نبذة عن الــ DHCP والـ DNS والمجال DOMAIN

قبل أن نتعامل مع ويندوذ 2003 سيرفر لابد من توافر بعض المعلومات عن DHCP و DNS

الــ DHCP :

عادة و عند إعداد أي شبكة صغيرة كانت أو كبيرة هناك أمور لابد من تحقيقها و هي أن يكون لكل جهاز عنوان فريد خاص به IP و أن يتمكن كل جهاز من التعرف على أقرب DNS في حال وجوده و أن يعرف عنوان البوابة gateway أو الموجه router الذي يوفر الاتصال بالانترنت بالإضافة الى التعرف على المجال الذي ينتمي له الجهاز في حال توفره، من الممكن إدخال هذه المعلومات في كل جهاز بشكل يدوي و لكن تصور نفسك مدير شبكة تحتوي على عشرات الأجهزة أو أكثر هل ستقوم بالمرور على كل جهاز و إدخال كل هذه المعلومات يدويا؟ سيكون أمرا مرهقا و مضيعة للوقت، و هنا يأتي دور Happy2Dynamic Host Configuration Protocol (DHCP) حيث تتلخص مهمته في إعطاء كل جهاز في الشبكة عنوان IP خاص به و إدخال باقي المعلومات التي يحتاجها تلقائيا دون تدخل من المدير و دون المرور على كل جهاز على حده فيكفي أن تقوم بإعداد سيرفر DHCP ليقوم تلقائيا بإعطاء كل جهاز ينضم الى الشبكة كافة المعلومات التي يحتاج لها.

قبل ظهور تقنية DHCP كانت تتوفر تقنية قبلها تسمى BOOTP حيث كان على المدير جمع عناوين MAC لكل البطاقات الشبكية للأجهزة في الشبكة ليقوم سيرفر BOOTP بربط كل عنوان MAC بعنوان IP خاص به و كما ترون فهذه الطريقة ليست عملية حيث أنها تتطلب معرفة مسبقة بعناوين MAC لكل الأجهزة في الشبكة و ان لم يكن الأمر صعبا لكنه يضيف عبء زائد على مدير الشبكة.

أما مع ظهور DHCP فالأمر أصبح غاية في السهولة حيث لن تحتاج الى إعطاء عنوان ثابت إلا لعدد محدود من الأجهزة مثل سيرفر DHCP نفسه و سيرفر البوابة gateway بينما تحصل باقي الأجهزة على عناوينها ديناميكيا بشكل عشوائي مع إمكانية استخدام DHCP لمنح عناوين محددة عند الحاجة مثلا لسرفرات DNS و المتحكمات بالمجال و سيرفرات البريد و سيرفرات الويب.

أما عن الــ DNS :

لنفهم آلية عمل الشبكات لابد أن نعرف كيف يتم الربط بين الأسماء و العناوين ، بمعنى كيف تعرف الأجهزة أن العنوان : www.yahoo.com هو نفسه : 216.109112.135 و كيف يتم تحويل عناوين البريد الالكتروني الى وجهتها و الى أصحابها. هنا يأتي دور (Domain Name System (DNS و الذي تم اختراعه في عام 1984.

فيما يخص أنظمة تشغيل ميكروسوفت فإنها قبل ويندوز 2000 أي عندما كان يستخدم ويندوز NT كانت تعتمد على نظام (Windows Internet Name Service (WINS و الذي كان يقوم بنفس مهمة DNS لكنه كان يعتمد على البرتوكول NetBIOS لهذا كان نظاما خاصا بميكروسوفت و لا يعمل على أي من أنظمة التشغيل الأخرى أما DNS فهو نظام متوافق مع أغلب أنظمة التشغيل لهذا قررت ميكروسوفت ابتداء من ويندوز 2000 و ما يليه أ، تستخدمه عوضا عن WINS.

و لمعرفة أهمية DNS للدليل النشط يكفي أن تعرف أن أجهزة الزبائن تعتمد على DNS في العثور على المتحكمات بالمجال كي تتمكن من الولوج الى الشبكة ، كما أن المتحكمات بالمجال لابد أن يعثر أحدها على الآخر لتتشارك فيما بينها بمعلومات المستخدمين و المجموعات و لا يتم ذلك إلا بمساعدة DNS.

يعتمد نظام DNS على بعض القواعد فيما يخص الأسماء التي يتم منحها للأجهزة حيث يتكون الاسم من أجزاء تفصل نقاط بينها فمثلا يمكن لجهاز أن يكون اسمه كما يلي: PC1.lab.absba.com و يجب ألا يزيد كل جزء عن 63 رمزا بينما يجب ألا يزيد مجمل الاسم كاملا عن 255 رمزا ، و الرموز المسموح بها في الأسماء هي : A-Z , a-z, 0-9, -.

يكون الجزء الأيسر الأقصى من الاسم هو اسم الكمبيوتر بينما يكون الجزء المتبقي هو اسم المجال الذي ينتمي إليه الكمبيوتر ففي مثالنا السابق يكون اسم الكمبيوتر هو PC1 بينما يكون اسم المجال هو lab.absba.com.

و لكي نفهم آلية عمل DNS دعنا نتناول المثال التالي :

لنفترض أنك قمت بكتابة العنوان التالي في متصفح الانترنت www.absba.com و انتظرت أن يقوم المتصفح بعرض الموقع ، ماذا يحدث لتحقيق ذلك؟:

يقوم المتصفح بسؤال سيرفر DNS المحلي في شبكتك ليقوم بترجمة الاسم الى عنوان IP ليتم الاتصال به ، مما يعني أنه سيكون عليه أن يعرف عنوان الجهاز المسئول عن خدمة www في المجال absba.com ، و السؤال هنا من أين يحصل على العنوان؟ ببساطة عليه الاتصال بسيرفر DNS المسئول عن المجال absba.com و لكن يبرز السؤال من جديد من أين له أن يعرف عنوان سيرفر DNS هذا؟ الجواب : بشكل عام يتم الحصول على عنوان DNS لمجال معين بسؤال سيرفر DNS للمجال الأب الذي يعلوه بمعنى للحصول على عنوان DNS للمجال lab.absba.com نسأل DNS للمجال absba.com ، حسنا نعود لمثالنا السابق ، للحصول على عنوان DNS للمجال absba.com علينا أن نسأل DNS للمجال الأب وهو في هذه الحالة ببساطة com ، حيث يحتوي DNS المجال com على جميع عناوين DNS للمجالات التي تنتهي ب com و كذلك هو الحال بالنسبة لباقي المجالات net , org و غيرها. حسنا و لكننا عدنا لنفس السؤال من جديد من أين نحصل على عنوان DNS للمجال com؟ في هذه الحالة نسأل DNS للمجال الأب و الذي يطلق عليه المجال الجذر Root حيث يوجد 13 سيرفر DNS خاصة بالجذر و يتم الحصول على عناوينها من ملف اسمه cache.dns تقوم ميكروسوفت بتوفيره لك عند تنصيب خدمة DNS على السيرفر و تجده في المجلد التالي: windowssystem32dns، بهذه الطريقة يتصل المتصفح بأحد سيرفرات DNS للجذر و الذي يعطيه بدوره عناوين سيرفرات DNS للمجال com ليتصل بأحدها و الذي يعطيه بدوره عناوين سيرفرات DNS للمجال absba ليتصل به و يعرف عنوان الجهاز المسئول عن تشغيل خدمة الويب و يحتوي على الموقع و هكذا بإتباع هذه الخطوات يتمكن متصفح الانترنت من العثور على العنوان الصحيح للموقع و يعرضه لك.

وبالنسبة للمجال DOMAIN :

يعتبر مفهوم المجال Domain من أهم أساسيات التشبيك في عالم شبكات ميكروسوفت ، و يمكن شرح مفهوم المجال ببساطة بأنه عبارة عن مجموعة من السيرفرات و محطات العمل تتفق فيما بينها على حفظ و إدارة أسماء و كلمات مرور حسابات المستخدمين و الأجهزة في قاعدة بيانات مشتركة يطلق عليها الدليل النشط، و الذي بفضله يستطيع المستخدم الولوج الى حسابه في المجال من أي جهاز كمبيوتر متصل بالشبكة و منتمي للمجال و يكفي أن يدخل اسمه و كلمة المرور الخاصة بحسابه ليجد نفسه قد دخل الى المجال و حصل على جميع إعداداته و كأنه يعمل من جهازه الخاص الذي اعتاد عليه. و يمكن تلخيص ما يقدمه المجال و دليله النشط فيما يلي:

1- يقدم قائمة و قاعدة بيانات مركزية للمستخدمين و كلمات مرورهم يتم حفظها في ملف اسمه NTDS.DIT و يقوم الدليل النشط بإدارته.
2- يوفر إمكانية حفظ الإعدادات الجانبية للمستخدمين Profiles مما يسمح للمستخدمين بنقل إعداداتهم معهم أينما ذهبوا.
3- يسمح بحفظ و استخدام ما يطلق عليه نهج المجموعة Group Policies و التي تمثل لوحة التحكم بكل شيء في المجال حيث تسمح للمدير بالتحكم بكل شيء في السيرفرات و الأجهزة بدءا بالبرامج و كيفية استخدامها و من يحق له استخدامها و انتهاء بالتحكم في كل ما يستطيع المستخدم فعله أو عدم فعله.
4- يوفر مجموعة من السيرفرات مسئولة عن التحقق من هوية المستخدمين قبل السماح لهم بالولوج الى المجال و يطلق على هذه السيرفرات اسم المتحكمات بالمجال Domain Controllers (DC) و هي تقوم بأداء عمليتين أساسيتين : أولا : Authentication و تتمثل بالتعرف على هوية المستخدم عند مقارنة اسمه و كلمة مروره بما هو مخزن لديها في قاعدة البيانات. و ثانيا : Authorization و تتمثل بمراجعة الصلاحيات التي يملكها المستخدم في المجال.
5- يوفر فهرس قابل للبحث لجميع الموارد على الشبكة مثل مجلدات المشاركة و الطابعات و غيرها لتسهيل الوصول إليها.
6- يسمح لك بإنشاء حسابات للمستخدمين بمستويات مختلفة من القوة بدءا من حسابات ضعيفة جدا مثل حسابات الضيوف Guest مرورا بحسابات المستخدمين العاديين وصولا الى حسابات تسمح بالتحكم في كل شيء و هي حسابات مدراء المجال ، كما يسمح لك بإنشاء حسابات لمدراء أقل قوة بمنحهم بعض إمكانيات مدراء المجال و ليس كلها.
7- يسمح لك بتقسيم مجالك الى مجالات فرعية تسمى وحدات مؤسسية Organization Units (OU) تحتوي على حسابات المستخدمين و الأجهزة، ثم تمنح إدارة هذه الوحدات لبعض الأفراد ليكونوا بمثابة مدراء للأقسام.

يتكون الدليل النشط أساسا من مجموعة من الأدوات و الخصائص يمكن التعرف عليها كما يلي:

1- المجالات Domains.
2- مجموعات الأجهزة و المستخدمين User and machine Groups.
3- الوحدات المؤسسية Organization Units.
4- المواقع Sites.
5- أشجار المجالات Trees of Domains.
6- غابات أشجار المجالات Forests of trees of domains.
7- نهج المجموعة Group Policies.

بعد أن تعرفنا على مفهوم المجال Domain سنقوم بتناول باقي أدوات و خصائص الدليل النشط بشيء من التفصيل في هذه الحلقة و التي تليها ثم ننتقل الى الجزء العملي من الشرح.

فيما يخص مجموعات الأجهزة و المستخدمين فهي تستخدم بشكل أساسي لمنح مجموعة ما من المستخدمين الترخيص باستخدام بعض موارد المجال ، فعلى سبيل المثال لنفترض وجود مجلد لدينا يحتوي على بيانات اقتصادية نريد فقط من المحاسبين أن يتمكنوا من الإطلاع على هذه البيانات ، في هذه الحالة بدلا من أن نقوم بالسماح لكل محاسب على حده باستخدام هذه البيانات، نقوم بإنشاء مجموعة و نضيف إليها جميع حسابات المحاسبين، ثم نتوجه الى خصائص المجلد الذي يحتوي على البيانات الهامة و نمنح حق قراءة و تحرير المحتويات لهذه المجموعة فقط.

إذا ً فالمجموعات هي مكونات في الدليل النشط أو الكمبيوتر المحلي و تحتوي على غيرها من المكونات مثل المستخدمين كأعضاء فيها.

من الممكن أن تكون المجموعات في الدليل النشط موجودة داخل حاويات الدليل النشط Active Directory containers أو داخل مجال Domain أو داخل وحدات مؤسسية organizational units (OUs).

تستخدم المجموعات لتسهيل إدارة الشبكة ، و ذلك بالسماح للمدراء Administrators بمنح الحقوق و التراخيص لعدة مستخدمين دفعة واحدة بدلا من منحها لكل منهم على حدة.

الحقوق Rights ترخص للمستخدمين القيام بأعمال محددة مثل النسخ الاحتياطي للملفات أو تسجيل الدخول الى النظام و غير ذلك.

تكون الحقوق مرتبطة بالمستخدم user أو بحساب الكمبيوتر computer account.

أما التراخيص Permissions فتحدد نوع الوصول الممنوح للمستخدم أو المجموعة ليطبق على مكون ما أو على خصائص ذلك المكون.

فالتراخيص إذن تكون مرتبطة بالمكون object الذي ستطبق عليه.

التراخيص المرتبطة بمكون ما تعتمد على نوع المكون ، فعلى سبيل المثال فإن التراخيص المرتبطة بالملفات و المجلدات تختلف عن تلك المرتبطة بمكونات الدليل النشط.

كل تعيين للتراخيص لمستخدم أو مجموعة يطلق عليه access control entry (ACE).

بشكل عام فإنه من الأفضل تعيين و إدارة كلا من الحقوق و التراخيص من خلال استخدام المجموعات.

الحقوق و التراخيص المرتبطة بمجموعة ما يتم توريثها الى كل أعضاء المجموعة.

عليك إعطاء الحقوق للمستخدمين على الشبكة كي يتمكنوا من الوصول الى البيانات و الخدمات التي يحتاجونها للقيام بمهامهم، و تستخدم التراخيص لتحدد أي من المستخدمين لديه الحق في الوصول الى أي من موارد الشبكة و ماذا يستطيع أن يعمل بها، فعلى سبيل المثال تستطيع منح مجموعة ما ترخيص القراءة Read لملف بحيث يستطيع أعضاء المجموعة الإطلاع على الملف بدون التعديل عليه، و تستطيع أيضا منح مجموعة أخرى ترخيص الكتابة Write لنفس الملف بحيث يتمكن أعضاؤها من إجراء التغييرات عليه.

من الممكن للمجموعات أن تحتوي على مستخدمين ، كمبيوترات أو مجموعات أخرى.
تستطيع إضافة الكمبيوترات الى المجموعة لكي يتمكن أعضاء المجموعة من الوصول الى الموارد على تلك الكمبيوترات للقيام بمهام تتعلق بالنظام.

عندما تضيف مجموعة الى مجموعة أخرى فإن المجموعة المضافة ترث التراخيص الممنوحة للمجموعة المضافة إليها، يطلق على هذه العملية الاحتواء أو التداخل nesting.

بشكل عام ينصح أن لا يصل عمق التداخل في المجموعة الى أكثر من 3 مستويات ، لأنها بذلك تصبح معقدة و تصعب إدارتها و مراقبة التراخيص الممنوحة للمجموعات في المستويات المختلفة، لهذا يجب التخطيط جيدا قبل التفكير باستخدام التداخل، و يفضل توثيق جميع الصلاحيات الممنوحة للمجموعات و الاحتفاظ بهذه الوثائق و مراجعتها دوريا للخروج من حالة الإرباك التي قد تصيب مدير الشبكة عندما تكون كبيرة و معقدة.

يسمح لك ويندوز 2003 أن تنشئ نوعين أساسيين من المجموعات: مجموعات أمنية security groups و مجموعات توزيع distribution groups.

تستخدم المجموعات الأمنية لتعيين التراخيص للمكونات و الموارد، أما الكمبيوترات و المجموعات و حسابات المستخدمين فتتسلم الحقوق و التراخيص كأعضاء في المجموعة الأمنية.

أما مجموعات التوزيع فتستخدم لغير الأغراض الأمنية مثل إرسال رسائل البريد الإلكتروني لأعضاء المجموعة، و هذه المجموعات تعمل فقط مع البرامج المصممة للعمل مع الدليل النشط، و لا تستطيع تعيين الحقوق أو التراخيص.

كما تستطيع استخدام المجموعات الأمنية لأداء المهام غير الأمنية مثل مجموعات التوزيع، فمثلا بعض برامج البحث في الدليل النشط تستخدم المجموعات الأمنية لإرسال رسالة بريد إلكتروني الى مجموعة من المستخدمين دفعة واحدة.

من الممكن تحويل المجموعات الأمنية الى مجموعات توزيع و بالعكس.

لكل مجموعة أمنية مدى أو scope و هو الذي يحدد فيما إذا كان من الممكن إضافة أعضاء الى المجموعة من المجال الذي أنشأت فيه المجموعة أو من أي مجال، و يحدد أيضا فيما إذا كنت تستطيع منح أعضاء المجموعة تراخيص للموارد في مجالات أخرى في غابة المجالات forest.

من الممكن أن يكون للمجموعة واحد من scopes التالية:

1- global
2- domain local
3- universal.

أعضاء مجموعة Global group من الممكن اختيارهم فقط من المجال الرئيسي أو المجال الفرعي subdomain الذي أنشأت فيه المجموعة، و لكنك تستطيع منحهم الحق في الوصول الى الموارد في أي مجال في غابة المجالات

الآن وبعد أن فهمنا تقريبا ما المقصود بالــ DHCP والــ DNS والمجال DOMAIN نبدأ على بركة الله الشرح بالتفصيل لعمل السيرفر .

يتبع ...