شرح NTDS Partitions في Active Directory — الدليل الشامل لمسؤولي Windows Server
آخر تحديث: 2025 | الفئة: Windows Server – Active Directory – IT Administration
مخطط توضيحي لأقسام NTDS Partitions في بيئة Active Directory
مقدمة
في بيئة Windows Server، يلعب Active Directory (AD) دوراً محورياً في إدارة الهوية والتحكم في الوصول عبر الشبكة. لكن خلف الواجهة البسيطة التي يراها المسؤول عبر Active Directory Users and Computers، يوجد نظام تخزين دقيق ومنظَّم يُسمى NTDS Partitions أو Naming Contexts.
فهم هذه الأقسام ليس رفاهية أكاديمية — بل ضرورة عملية. مشاكل الـ Replication، أخطاء الـ Schema، وتدهور أداء Active Directory كثيراً ما تكون جذورها في سوء فهم كيف تُنظَّم البيانات وتُوزَّع بين Domain Controllers. من يفهم NTDS Partitions يستطيع تشخيص هذه المشاكل وإصلاحها بثقة.
في هذا المقال ستجد شرحاً كاملاً للأنواع الأربعة من NTDS Partitions، كيف تعمل كل منها، أوامر PowerShell لإدارتها، وأفضل الممارسات للحفاظ على سلامة Active Directory.
- ما هي NTDS Partitions؟
- Domain Partition — بيانات المجال
- Configuration Partition — إعدادات الغابة
- Schema Partition — مخطط البيانات
- Application Partition — بيانات التطبيقات
- كيف تعمل الـ Replication بين الأقسام؟
- مقارنة شاملة بين الأنواع الأربعة
- أدوات إدارة NTDS Partitions
- أوامر PowerShell للإدارة والفحص
- Best Practices لإدارة NTDS Partitions
- استكشاف الأخطاء الشائعة وإصلاحها
- الأخطاء الشائعة
- الأسئلة الشائعة (FAQ)
- الخاتمة
- مقالات مرتبطة
1. ما هي NTDS Partitions؟
NTDS هو اختصار لـ NT Directory Services، وهو اسم قاعدة بيانات Active Directory المُخزَّنة في ملف NTDS.dit على كل Domain Controller. هذه القاعدة تُقسَّم إلى أجزاء منطقية مستقلة تُسمى Partitions أو Naming Contexts (NC).
كل Partition يُمثّل قاعدة بيانات مستقلة منطقياً من البيانات — لها سياسة Replication خاصة بها تحدد أي Domain Controllers يحصل على نسخة منها. هذا التصميم يُتيح توزيع البيانات بكفاءة عالية دون نسخ ما لا يلزم.
الأنواع الأربعة لـ NTDS Partitions:
| القسم (Partition) | يُخزَّن على | نطاق الـ Replication | قابل للتعديل؟ |
|---|---|---|---|
| Domain | كل DCs في المجال | داخل المجال فقط | ✔ نعم (يومياً) |
| Configuration | كل DCs في الـ Forest | عبر الـ Forest كاملاً | ✔ نعم (بحذر) |
| Schema | كل DCs في الـ Forest | عبر الـ Forest كاملاً | ⚠ نادر جداً |
| Application | DCs محددة فقط | قابل للتخصيص | ✔ نعم |
2. Domain Partition — بيانات المجال
Domain Partition هو القسم الأكثر استخداماً ومسّاً يومياً من قِبل مسؤولي النظام. يحتوي على جميع الكائنات التي تنتمي لمجال (Domain) معين.
ما الذي يحتويه Domain Partition؟
- User Accounts: جميع حسابات المستخدمين في المجال.
- Computer Accounts: حسابات أجهزة الكمبيوتر المنضمة للمجال.
- Groups: Security Groups وDistribution Groups.
- Organizational Units (OUs): الوحدات التنظيمية لتنظيم الكائنات.
- Group Policy Objects (GPOs): سياسات المجموعة.
- Contacts وPrinters: أجهزة الطباعة المنشورة وجهات الاتصال.
Active Directory Users and Computers — الأداة الرئيسية لإدارة Domain Partition
سياسة الـ Replication في Domain Partition:
يُنسَخ Domain Partition فقط بين Domain Controllers في نفس المجال. إذا كان لديك Forest يحتوي على مجالَين (domain-a.com وdomain-b.com)، فإن Domain Controllers في domain-a لا تحصل على نسخة من Domain Partition الخاص بـ domain-b — وهذا تصميم متعمَّد يحمي خصوصية بيانات كل مجال.
أدوات إدارة Domain Partition:
- Active Directory Users and Computers (ADUC): للإدارة اليومية.
- Active Directory Administrative Center (ADAC): واجهة أحدث وأكثر قدرة.
- PowerShell (ActiveDirectory Module): للإدارة المجمَّعة والأتمتة.
3. Configuration Partition — إعدادات الغابة كاملاً
Configuration Partition يُخزَّن مرة واحدة فقط لكل Forest (غابة Active Directory)، ويحتوي على معلومات البنية التحتية لـ Active Directory بأكملها.
ما الذي يحتويه Configuration Partition؟
- Sites وSubnets: مواقع الشبكة وعناوين IP المرتبطة بها.
- Site Links: روابط المواقع وتكاليف الـ Replication.
- بيانات الـ Forest: قائمة بكل المجالات في الـ Forest.
- FSMO Roles: مواقع أدوار التشغيل الفردية.
- Services Configuration: إعدادات الخدمات الممتدة لـ AD مثل Exchange.
- Certificate Services: إعدادات الـ PKI داخل الـ Forest.
Configuration Partition — يحتوي على إعدادات البنية التحتية لـ Forest كاملاً
سياسة الـ Replication في Configuration Partition:
يُنسَخ عبر جميع Domain Controllers في الـ Forest بأكملها — حتى تلك في مجالات مختلفة. هذا ضروري لأن جميع الـ DCs تحتاج لمعرفة بنية الـ Forest والمواقع والإعدادات العامة.
CN=Configuration,DC=forest,DC=com. يمكن رؤيته عبر ADSI Edit أو LDP.exe.
4. Schema Partition — مخطط البيانات
Schema Partition هو الأكثر حساسيةً بين الأقسام الأربعة. يحتوي على تعريفات لجميع أنواع الكائنات (Object Classes) والخصائص (Attributes) التي يمكن أن توجد في Active Directory.
بمعنى أبسط: Schema هو "المعجم" الذي يُعرّف ما هو المستخدم، ما هو الكمبيوتر، ما هي المجموعة، وما الخصائص التي يملكها كل نوع. لا يمكن إنشاء أي كائن في AD إلا إذا كان نوعه مُعرَّفاً في Schema.
Active Directory Schema — تعريفات الكائنات والخصائص التي تُشكّل بنية AD
خصائص Schema Partition الجوهرية:
- واحد لكل Forest: يوجد Schema Partition واحد فقط لكل Forest — مشترك بين جميع المجالات.
- قابل للتوسيع فقط: يمكن إضافة Classes وAttributes جديدة لكن لا يمكن حذف أو تعديل الموجودة (فقط تعطيلها).
- يُدار من Schema Master فقط: أحد أدوار FSMO الخمسة — فقط Schema Master يمكنه كتابة التغييرات.
متى يُعدَّل Schema؟
تعديل Schema أمر نادر ودقيق جداً. يحدث عادةً عند:
- ترقية Forest Functional Level (إضافة Windows Server جديد).
- تثبيت Microsoft Exchange Server (يضيف عشرات الـ Attributes).
- تثبيت Microsoft Lync/Skype for Business أو System Center.
- تطبيقات مؤسسية تحتاج لتوسيع Schema بـ Classes مخصصة.
5. Application Partition — بيانات التطبيقات
Application Partitions هي أقسام اختيارية يمكن إنشاؤها لتخزين بيانات تطبيقات محددة — مع التحكم الكامل في أي Domain Controllers تحصل على نسخة منها.
الفرق الجوهري عن Domain Partition: يمكنك تحديد قائمة مخصصة من الـ DCs التي تُنسَخ إليها بيانات هذا القسم — لا كل الـ DCs في المجال.
أمثلة عملية على Application Partitions:
| التطبيق | اسم الـ Partition | ما يحتويه | يُنسَخ لـ |
|---|---|---|---|
| DNS (AD-Integrated) | DomainDnsZones | بيانات DNS للمجال | DCs عليها DNS في المجال |
| DNS (Forest-wide) | ForestDnsZones | بيانات DNS للـ Forest | DCs عليها DNS في الـ Forest |
| Custom App | يُحدَّد يدوياً | بيانات التطبيق | DCs محددة فقط |
فائدة DNS Application Partitions: بيانات DNS تُنسَخ فقط لـ Domain Controllers التي تعمل كـ DNS Servers، مما يُقلّل حجم الـ Replication ويُحسّن الأداء مقارنةً بتخزينها في Domain Partition.
6. كيف تعمل الـ Replication بين الأقسام؟
Active Directory يستخدم نموذج Multi-Master Replication — أي يمكن تعديل البيانات على أي Domain Controller وتُنشر التغييرات تلقائياً لبقية الـ DCs. هذا يختلف عن نموذج Master-Slave التقليدي.
آلية الـ Replication:
- USN (Update Sequence Number): كل تغيير يحمل رقم تسلسلي فريد يُستخدم لتتبع ما تم نسخه وما لم يُنسَخ بعد.
- Replication Topology: يُحدَّد عبر KCC (Knowledge Consistency Checker) تلقائياً — يُنشئ مسارات Replication مثالية بين الـ DCs.
- Intra-Site vs Inter-Site: Replication داخل الموقع الواحد فوري تقريباً، بينما بين المواقع يُجدوَل حسب Site Link Cost وSchedule.
- Conflict Resolution: إذا حدث تعديل متزامن على نفس الكائن في DCَين مختلفَين، يُطبَّق آخر تعديل بناءً على الـ Timestamp (Last Write Wins).
7. مقارنة شاملة بين الأنواع الأربعة
| الجانب | Domain | Configuration | Schema | Application |
|---|---|---|---|---|
| نطاق الـ Replication | المجال فقط | الـ Forest كله | الـ Forest كله | مخصص |
| كم نسخة في الـ Forest؟ | نسخة لكل مجال | نسخة واحدة | نسخة واحدة | حسب التكوين |
| FSMO Role المسؤول | PDC Emulator, RID Master | Domain Naming Master | Schema Master | لا يوجد محدد |
| أداة الإدارة الأساسية | ADUC / PowerShell | AD Sites & Services | Schema MMC / PowerShell | PowerShell / ADSI Edit |
| درجة الحساسية | متوسطة | عالية | بالغة الحساسية | متوسطة |
8. أدوات إدارة NTDS Partitions
ADSI Edit
ADSI Edit (adsiedit.msc) هي أداة Low-Level تُتيح عرض وتعديل كل كائنات Active Directory مباشرةً — بما فيها Configuration وSchema وApplication Partitions التي لا تظهر في ADUC العادية.
- للوصول: ابدأ من Start ← اكتب
adsiedit.msc. - اضغط يمين على ADSI Edit ← Connect to ← اختر الـ Partition المطلوب.
- تحذير: تعديل الكائنات مباشرةً عبر ADSI Edit خطر — يُنصح بالقراءة فقط إلا للمختصين.
LDP.exe
أداة LDAP متقدمة تُتيح إجراء استعلامات LDAP مباشرة على أي Partition في Active Directory. مفيدة لاستكشاف الأخطاء وتشخيص مشاكل الـ Replication.
Active Directory Sites and Services
الأداة الرسمية لإدارة Configuration Partition — تُعرض فيها المواقع (Sites) وروابطها وإعدادات الـ Replication.
9. أوامر PowerShell للإدارة والفحص
عرض معلومات الـ Partitions الأساسية
Get-ADRootDSE | Select-Object -Property *NamingContext*
الوصول لـ Domain Partition
Get-ADUser -Filter * | Select-Object Name, SamAccountName, Enabled
# عرض جميع OUs
Get-ADOrganizationalUnit -Filter * | Select-Object Name, DistinguishedName
الوصول لـ Schema Partition
$schemaNC = (Get-ADRootDSE).schemaNamingContext
Get-ADObject -SearchBase $schemaNC -Filter {objectClass -eq "classSchema"} `
| Select-Object Name, DistinguishedName
الوصول لـ Configuration Partition
$configNC = (Get-ADRootDSE).configurationNamingContext
Get-ADObject -SearchBase "CN=Sites,$configNC" -Filter * `
| Where-Object {$_.ObjectClass -eq "site"} | Select-Object Name
فحص حالة الـ Replication
repadmin /showrepl
# فحص أخطاء Replication
repadmin /replsummary
# إجبار Replication فوري
repadmin /syncall /Ade
10. Best Practices لإدارة NTDS Partitions
-
1. راقب Replication بانتظام:
استخدم
repadmin /replsummaryأسبوعياً على الأقل. أخطاء Replication المتراكمة تؤدي لـ USN Rollback وتعارضات بيانات. - 2. لا تُعدّل Schema إلا بعد اختبار في Test Environment: أنشئ بيئة اختبار تحاكي الإنتاج، طبّق التغيير هناك أولاً، وتأكد من نتائجه قبل تطبيقه على الإنتاج.
- 3. احتفظ بـ System State Backup دوري من كل DC: System State يتضمن NTDS.dit وجميع Partitions. في حالة تلف Schema أو Configuration، هذا الـ Backup هو سبيل الإنقاذ.
- 4. استخدم AD-Integrated DNS (Application Partition): تخزين DNS في Application Partition بدلاً من Domain Partition يُقلّل حجم الـ Replication ويمنع نسخ بيانات DNS لـ DCs غير DNS Servers.
-
5. راقب حجم NTDS.dit:
ملف NTDS.dit يكبر مع الوقت. استخدم AD Recycle Bin لتجنّب تراكم الكائنات المحذوفة (Tombstones). شغّل
ntdsutil "activate instance ntds" "files" "info" quit quitلمعرفة الحجم الحالي. - 6. تحقق من FSMO Roles بانتظام: تأكد أن الـ DCs المسؤولة عن FSMO Roles (خاصةً Schema Master وDomain Naming Master) تعمل بشكل سليم. فقدانها دون نقل الدور يُسبب مشاكل خطيرة.
11. استكشاف الأخطاء الشائعة وإصلاحها
مشاكل Replication
أكثر مشاكل NTDS Partitions شيوعاً. الأعراض: بيانات قديمة على بعض DCs، أخطاء Authentication، تعارضات في المستخدمين.
repadmin /showrepl * /errorsonly
# إصلاح Replication Topology
repadmin /kcc
إصلاح NTDS.dit التالف (NTDSUTIL)
إذا اشتبهت بتلف في قاعدة بيانات NTDS، استخدم NTDSUTIL لفحصها وإصلاحها. هذا يتطلب إيقاف DC أو تشغيله في Directory Services Restore Mode (DSRM):
activate instance ntds
files
integrity
quit
quit
C:\Windows\NTDS\ntds.dit
12. الأخطاء الشائعة
- ❌ تعديل Schema مباشرةً في بيئة الإنتاج بدون اختبار: Schema تغييراتها دائمة ومنتشرة لكل الـ Forest. خطأ في Schema قد يتطلب Restore كامل للـ Forest من الـ Backup.
- ❌ تجاهل أخطاء Replication لفترات طويلة: أخطاء Replication المتراكمة قد تتحول لـ Lingering Objects (كائنات حية في بعض DCs محذوفة في أخرى) — وهي مشكلة صعبة الحل.
- ❌ استخدام ADSI Edit للتعديل بدون خبرة كافية: ADSI Edit لا يُحذّرك من العواقب — أي تعديل خاطئ على Configuration أو Schema ينتشر فوراً.
- ❌ نسيان Backup قبل ترقية Forest Functional Level: رفع Forest Functional Level يُعدّل Schema Partition — لا يمكن التراجع عنه بدون Restore.
- ❌ تخزين DNS في Domain Partition بدلاً من Application Partition: هذا يُسبّب نسخ بيانات DNS لجميع DCs في المجال حتى تلك التي لا تعمل كـ DNS Servers — هدر في الموارد وزيادة غير ضرورية في حجم Replication.
13. الأسئلة الشائعة (FAQ)
14. الخاتمة
تُعتبر NTDS Partitions الأساس التقني الذي يقوم عليه Active Directory. فهم الأنواع الأربعة — Domain وConfiguration وSchema وApplication — وكيفية تفاعلها وسياسات الـ Replication الخاصة بكل منها هو ما يُميّز مسؤول النظام المحترف عن غيره.
مشاكل Active Directory الأكثر صعوبةً في التشخيص — من أخطاء Replication حتى تعارضات البيانات — مصدرها في الغالب سوء فهم كيفية عمل هذه الأقسام. بمجرد أن تُتقن هذا الجانب، تصبح قادراً على تشخيص الأعراض بسرعة ومعالجة جذور المشاكل لا أعراضها.
الخطوة التالية: طبّق ما تعلمته في بيئة Lab (يمكن إنشاؤها على Hyper-V أو Proxmox بتكلفة صفر)، استكشف الأدوات المذكورة، وابنِ ثقتك التقنية بالممارسة الفعلية.
15. مقالات مرتبطة
Home وPro وEnterprise وServer — أيهما يناسب بيئتك؟
اقرأ المقال ←كيف تحمي Active Directory وتضمن استعادتها بعد أي كارثة.
اقرأ المقال ←تشغيل Domain Controller داخل VM — متى يكون الخيار الأمثل.
اقرأ المقال ←عزل شبكة Domain Controllers عن باقي الشبكة بـ VLAN.
اقرأ المقال ←© 2025 – جميع الحقوق محفوظة | كمبيوترجي — تقنية المعلومات والبنية التحتية