تفاوت Active Directory با Additional Active Directory در مایکروسافت

در دنیای شبکه‌های سازمانی، سرویس Active Directory Domain Services (AD DS) قلب تپنده زیرساخت محسوب می‌شود. بدون آن، مدیریت هزاران کاربر، سیستم و دسترسی، عملاً غیرممکن است. اما سوال اینجاست که چطور این قلب تپنده را در برابر سکته‌های ناگهانی (خرابی سرور) بیمه کنیم؟ پاسخ در درک عمیق تفاوت و رابطه بین DC اصلی و ADC نهفته است.

۱. کالبدشکافی اولین Domain Controller (The Primary Instance)

زمانی که شما برای اولین بار در یک ویندوز سرور، نقش AD DS را نصب می‌کنید و یک Forest یا Domain جدید می‌سازید، این سرور به عنوان اولین Domain Controller (DC) شناخته می‌شود.

وظایف حیاتی سرور اول:

1. پایگاه داده NTDS.dit: این فایل حاوی تمام اشیاء شبکه (Objects) شامل کاربران، گروه‌ها، کامپیوترها و Policyهاست.
2. سرویس احراز هویت (Kerberos & NTLM): بررسی اینکه آیا “علی” واقعاً همان کسی است که ادعا می‌کند؟
3. میزبانی نقش‌های FSMO: این‌ها ۵ نقش منحصر‌به‌فرد هستند که مدیریت کل ساختار اکتیو دایرکتوری را بر عهده دارند (در ادامه دقیق‌تر بررسی می‌کنیم).
4. سرویس DNS: بدون DNS، اکتیو دایرکتوری حتی یک ثانیه هم دوام نمی‌آورد، چون کلاینت‌ها برای پیدا کردن سرور به رکورد‌های SRV در DNS نیاز دارند.

۲. مفهوم Additional Active Directory (ADC) چیست؟

Additional Domain Controller در واقع یک کپیِ زنده و عملیاتی از سرور اول است. در تکنولوژی مایکروسافت، ما مفهومی به نام Backup برای دامین کنترلر (به معنای غیرفعال) نداریم؛ بلکه همه‌چیز به صورت Active-Active عمل می‌کند.

وقتی یک ADC اضافه می‌کنید، عملیاتی به نام Replication (تکثیر) آغاز می‌شود. در این فرآیند، تمام اطلاعات از سرور اول به سرور دوم منتقل می‌شود. از آن لحظه به بعد، هر تغییری در هر کدام از سرورها ایجاد شود (مثلاً تغییر پسورد یک کاربر)، به سرعت به دیگری منتقل می‌شود.

۳. تحلیل تفاوت‌های فنی و ساختاری

برای درک بهتر، باید به لایه‌های زیرین این دو نگاه کنیم:

الف) مدیریت نقش‌های FSMO (Flexible Single Master Operations)

این بزرگترین تفاوت عملکردی است. اکتیو دایرکتوری در حالت عادی Multi-Master است (همه می‌توانند بنویسند)، اما برای جلوگیری از تداخل، ۵ نقش خاص فقط باید روی یک سرور باشند:

1. Schema Master: مدیریت ساختار کلی پایگاه داده (فقط در کل Forest یکی).
2. Domain Mapping Master: مدیریت اضافه و حذف دامین‌ها.
3. PDC Emulator: مرجع زمان شبکه و مدیریت تغییر پسوردها.
4. RID Master: صدور شناسه‌های عددی برای اشیاء جدید.
5. Infrastructure Master: هماهنگی بین دامین‌ها.

در ابتدا، همه این‌ها روی سرور اول هستند. ADC این نقش‌ها را ندارد مگر اینکه شما دستی آن‌ها را منتقل کنید (Seize یا Transfer).

ب) کاتالوگ جهانی (Global Catalog)

هر دو سرور می‌توانند GC باشند. کاتالوگ جهانی به کاربران اجازه می‌دهد اشیاء را در کل Forest (حتی دامین‌های دیگر) جستجو کنند. معمولاً توصیه می‌شود برای پایداری، ADC هم یک GC باشد.

ج) اولویت در پاسخگویی

از نظر کلاینت‌ها (ویندوزهای کاربران)، هیچ تفاوتی بین این دو وجود ندارد. کلاینت با هر سروری که زودتر به درخواستش پاسخ دهد، ارتباط برقرار می‌کند.

۴. سناریوهای استقرار: چرا داشتن ADC اجباری است؟

اگر در شرکتی بیش از ۱۰ کاربر دارید و هنوز ADC ندارید، با آتش بازی می‌کنید! به این دلایل:

۱. تداوم کسب‌وکار (High Availability)

تصور کنید صبح دوشنبه، هارد سرور اصلی شما می‌سوزد. اگر ADC داشته باشید، کاربران بدون اینکه متوجه شوند به کار خود ادامه می‌دهند. اگر نداشته باشید، کل شرکت تا زمان بازیابی بک‌آپ (که ممکن است ساعت‌ها طول بکشد) تعطیل خواهد بود.

۲. توزیع بار (Load Balancing)

در ساعات شروع کاری، همه همزمان دکمه Power را می‌زنند و قصد لاگین دارند. ADC بار ترافیکی احراز هویت را تقسیم می‌کند تا سرور اصلی زیر فشار درخواست‌ها “هنگ” نکند.

۳. مدیریت شعب (Geographical Sites)

اگر دفتر مرکزی در تهران و شعبه در مشهد باشد، نباید کاربران مشهد از طریق لینک WAN به تهران متصل شوند تا لاگین کنند. یک ADC در مشهد قرار می‌دهید؛ کاربران محلی لاگین می‌کنند و سرور مشهد در پس‌زمینه با سرور تهران همگام‌سازی می‌شود.

۵. مقایسه ADC با مفاهیم مشابه (رفع ابهام)

بسیاری از دانشجویان شبکه ADC را با موارد زیر اشتباه می‌گیرند:

مفهوم	تفاوت با ADC
Read-Only DC (RODC)	یک ADC است که کاربران نمی‌توانند روی آن چیزی بنویسند (مخصوص جاهای ناامن مثل نگهبانی یا شعب کوچک).
Child Domain	یک فضای نامی کاملاً متفاوت دارد (مثلاً tehran.google.com). ADC دقیقاً همان google.com است.
Member Server	فقط یک ویندوز سرور است که عضو دامین شده (مثل فایل سرور) اما دیتابیس کاربران را ندارد.

۶. چک‌لیست راه اندازی یک Additional DC استاندارد

برای اینکه یک ADC اصولی داشته باشید، این موارد را رعایت کنید:

1. DNS مناسب: کارت شبکه سرور دوم باید در بخش DNS، آدرس سرور اول را داشته باشد تا بتواند آن را پیدا کند.
2. Global Catalog: حتماً تیک GC را در تنظیمات ADC بزنید.
3. Site & Services: اگر سرور در محل فیزیکی دیگری است، حتماً Subnet مربوطه را در تنظیمات تعریف کنید تا ترافیک Replication بهینه شود.
4. Time Sync: ساعت هر دو سرور باید دقیقاً یکی باشد (تفاوت بیش از ۵ دقیقه باعث شکست در لاگین می‌شود).

۷. نتیجه‌گیری: استراتژی برنده

تفاوت Active Directory اصلی با Additional در هویت نیست، بلکه در نقش و مسئولیت است. سرور اول “بنیان‌گذار” است و ADC “تضمین‌کننده بقا”. در یک شبکه حرفه‌ای، ما چیزی به نام “تک سرور” نداریم. همیشه باید حداقل دو دامین کنترلر داشته باشید تا امنیت، پایداری و سرعت شبکه تضمین شود.