در این محتوا قصد داریم به بررسی دامین کنترلر در اکتیودایرکتوری بپردازیم. لازم است ابتدا بدانیم، اکتیو دایرکتوری چیست و چه کاربرد و اهمیتی دارد؟
اکتیو دایرکتوری چیست؟
فهرست محتوا
اکتیو دایرکتوری (Active Directory)، مجموعهای از چند سرویس است که به صورت متمرکز ارائه میشود و به آسانی میتوان آنها را ساماندهی و مدیریت کرد. این یعنی چندین سرویس تحت نظر سرویس اکتیو دایرکتوری کار میکنند. مثل یوزرهای تعریف شده در شبکه، دسترسی هایی که به این یوزرها داده میشود، فایل ها و پرینترهای به اشتراک گذاشته شده در شبکه.
اکتیو دایرکتوری این سرویس ها را به صورت متمرکز ارائه میدهد که نتیجه آن ساماندهی و مدیریت آسان و دقیق این سرویس ها است. مایکروسافت سرویس Active Directory را در اختیار ادمینها قرار داده تا مدیریت مجوزهای دسترسی به منابع شبکه را به راحتی و از طریق لاگین به آن انجام دهند. اکتیودایرکتوری همراه با رشد سازمانی شما میتواند رشد کند.
بیشتر بخوانید: بهترین ابزارهای مدیریت اکتیو دایرکتوری
دامنه (Domain) چیست؟
دامنه به گروهی از کامپیوترهای موجود در یک شبکه اطلاق میشود که نام، سیاست گذاری و پایگاه داده موجود را به اشتراک میگذارند. این سومین سطح در سلسله مراتب اکتیو دایرکتوری محسوب می شود. اکتیو دایرکتوری این توانایی را دارد تا میلیونها آبجکت موجود در یک دامنه را مدیریت کند.
دامنه ها به عنوان ظروفی برای اختصاص دادن کارهای مدیریتی و سیاست های امنیتی عمل میکنند. به طور پیش فرض، تمام آبجکت های درون یک دامنه، سیاست گذاریهای متداول که به این دامنه اختصاص داده شده را، به اشتراک میگذارند. تمام آبجکتهای درون یک دامنه، توسط مسئول دامنه مدیریت میشود. علاوه بر این، برای هر دامنه، پایگاه داده منحصر به فردی وجود دارد؛ فرآيند احراز هویت بر اساس دامنه انجام میشود و به محض این که مجوز لازم برای یک کاربر فراهم شود او میتواند به تمام آبجکتهای موجود در یک دامنه دسترسی داشته باشد.
برای این که یک اکتیو دایرکتوری بتواند کار خود را انجام دهد، به یک یا چند دامنه نیاز دارد. باید یک یا چند سرور در یک دامنه وجود داشته باشد که نقش کنترل کننده دامنه را ایفا کند. از کنترل کننده های دامنه برای حفظ سیاست گذاریها، ذخیره سازی پایگاه داده و همچنین فراهم سازی مجوز برای کاربران استفاده میشود.
تفاوت بین اکتیو دایرکتوری و دامنه در چیست؟
اکتیو دایرکتوری خدماتی است که به مسئولان شبکه اجازه میدهد تا اطلاعات را ذخيره کرده و امکان دسترسی به این اطلاعات را برای کاربران مشخص شده فراهم کنند. در حالی که دامنه مجموعه ای از کامپیوترها است که سیاست گذاریها، اسامی و پایگاههای داده موجود را به اشتراک میگذارد. دامنه بخشی از اکتیو دایرکتوری است و بعد از سلسله مراتبهای forest و tree در جایگاه سوم قرار میگیرد.
تعریف Domain controller:
دامین کنترلر، سروری است که نسخهای از Active Directory را ذخیره دارد و از دیتا استورِ اکتیودایرکتوری محافظت میکند. اکتیودایرکتوری برای این طراحی شده که منبع متمرکزی از اطلاعات را فراهم کند تا منابع سازمان را به صورتی امن مدیریت کند.
وقتی کامپیوتر عضو دامین میشود، در دامین کنترلر برای او اکانت و رمزعبور تعریف میشود و با هر بار لاگین کاربر، فرآیند احراز هویت توسط دامین کنترلر انجام میشود. البته این امکان وجود دارد که کاربر از حساب کاربری خود روی هر کامپیوتر عضو دامین استفاده کند و فقط مختص به یک کامپیوتر نیست.
دامین کنترلر سروری است که به درخواستهای احراز هویت کاربران و تایید آنها در شبکههای کامپیوتری، پاسخ میدهد. دامینها از روش سلسله مراتبی برای سازماندهی کاربران و کامپیوترهایی که در یک شبکه با هم کار میکند استفاده میکنند و دامین کنترلر تمام این دیتاها را سازماندهی کرده و امن نگه میدارد.
سرویس دایرکتوری تضمین میکند، که منابع شبکه در دسترس هستند و کاربران قادرند به منابع شبکه، اپلیکیشنها و برنامهها، دسترسی داشته باشند. ادمینها با کمک اکتیودایرکتوری میتوانند از طریق کامپیوتری در شبکه لاگین کنند و آبجکتهای اکتیو دایرکتوری را روی کامپیوتر متفاوتی در یک دامین و دامنه مدیریت کنند. دامین کنترلر، کامپیوتری است که ویندوز ۲۰۰۰ و یا ویندوز سرور ۲۰۰۳ به بعد روی آن اجرا میشود و دارای یک کپی از دایرکتوری دامنه است.
بیشتر بخوانید: تفاوت بین ویندوز سرور و لینوکس سرور
تفاوت دامین کنترلر در اکتیودایرکتوری :
مهمترین تفاوت اکتیو دایرکتوری و دامین کنترلر این است که اکتیودایرکتوری سرویسی است، که دامین کنترلر آن را در شبکه ارائه میدهد. به عبارتی دامین کنترلر ظرف است و اکتیودایرکتوری مظروف؛ اکتیودایرکتوری در دامین کنترلر اجرا میشود. دامین کنترلر ماهیت فیزیکی دارد و اکتیودایرکتوری ماهیت منطقی.
اکتیو دایرکتوری نوعی دامنه است و دامین کنترلر، سرور مهمی در آن دامنه. همه دامنهها نیاز به دامین کنترلر دارند، اما هر دامنهای اکتیو دایرکتوری نیست. مثل اینکه انواع ماشینها را داریم اما هر ماشین برای حرکت، به موتور خودش نیاز دارد.
اکتیو دایرکتوری نوعی دامنه است و دامین کنترلر، سرور مهمی در آن دامنه.
اهمیت نصب دامین کنترلر چیست؟
- اکتیو دایرکتوری مانند پادشاه می باشدکه دامین کنترلر جعبه کلید پادشاهی ست. پس اگر هکرها برای دسترسی به شبکه و دامین کنترلر اقداماتی انجام دهند باید از دامین کنترلر محافظت شود، تا از خود دامین کنترلر برای حفاظت در برابر حملات سایبری استفاده شود.
- دامین کنترلرها حاوی اطلاعاتی هستند، که دسترسی به شبکه شما را تعیین و تایید میکند. مثلا نام تمام کامپیوترها و هر آنچه که هکر برای خرابکاری در شبکه و دزدی اطلاعات شما لازم دارد، در دامین کنترلر قرار گرفته است. پس دامین کنترلر میتواند هدف اصلی هکرها در حملات سایبری باشد.
- به طور کلی فارغ از وسعت و اندازه، تمام کسبوکارهایی که اطلاعات مشتریانشان را در شبکه ذخیره میکنند، برای تامین امنیت شبکه، به دامین کنترلر نیاز هست. تنها استثنای این موضوع، سرویسهایی مانند CRM که تخت فضای ابری ارایه میشود، است.
- برای اینکه بدانیم، برای امنیت دیتا به دامنه یا دامین کنترلر نیاز دارید به این سوال پاسخ دهید: اطلاعات مشتریان شما در کجا ذخیره میشود و چه کسانی به آن دسترسی دارند؟
- اکتیو دایرکتوری با ارائه یک ساختار سلسله مراتبى، سازماندهى آسان Domain ها و منابع را فراهم مىکند و مانند یک دیتابیس که اطلاعات را به صورت آبجکتهای کاربران و کامپیوترها و گروهها و … ذخیره میکند، می باشد تا دسترسی به منابع فراهم شود؛ اما دامین کنترلر سروری است که اکتیودایرکتوری را اجرا میکند و از دیتای ذخیره شده در اکتیودایرکتوری برای احراز هویت کاربران (authentication و authorization) استفاده میکند.
مزایای دامین کنترلر عبارتند از:
- مدیریت متمرکز کاربران
- اشتراک گذاری منابعی مثل پرینترها و فایلها
- پیکربندی Federated برای افزونگی (که با استفاده از رولهای FSMO مشخص میشود)
- امکان توزیع و ریپلیکیت کردن در شبکههای بزرگ
- رمزگذاری دیتا
- اعمال محدودیتها برای تامین امنیت
معایب دامین کنترلرعبارتند از:
- هدف حملات سایبری
- کاربران و سیستم عامل باید ثبات داشته باشند و امنیت آنها حفظ شود و آپدیت باشند.
- شبکه به آپ تایم دامین کنترلر وابسته است.
- به سخت افزار و نرم افزار نیاز دارد.
راهکارهای افزایش امنیت دامین کنترلر:
همان طور که گفتیم دامین کنترلر هدف خوب و مهمی برای هکرهاست و باید راهکارهایی برای افزایش امنیت آن به کار بریم. در ادامه چند نکته در این زمینه ارائه میدهیم:
- به صورت فیزیکی امنیت سرور دامین کنترلر را فراهم کنید. سرور دامین کنترلر را از دیگر سرورها جدا کنید و در جایی قرار دهید که کاربران غیرمجاز امکان دسترسی به آن را نداشته باشند. هر ورودی را با دستگاههای الکترونیکی بررسی کنید. دامین کنترلرهای مجازی باید روی هاست اختصاصی اجرا شوند پس باید پسورد بسیار قوی داشته باشد و فقط فرد دارای مجوز به آن دسترسی داشته باشد.
- برای دامین کنترلر ادمین باید پالیسی تعریف کنید. اعضای گروه ادمین باید خیلی محدود باشند.
- دسترسی شبکه به دامین کنترلر را کاملا محدود کنید.
- از جدیدترین نسخه ویندوز سرور استفاده کنید به جای آپگرید کردن دامین کنترلر، نسخه جدید آن را نصب کنید.
- پارامترهای امنیتی مناسب برای DC اعمال کنید.
- آنچه روی دامین کنترلر اجرا میشود را محدود کنید. DC باید فقط برنامهها و سرویسهایی که برای عملکرد و امنیت آن مهم است اجرا کند. میتوانید از برنامههایی استفاده کنید که برنامههای نرم افزاری غیرضروری را بلاک کند.
- مرورگر وب و وبگردی را خارج از DC نگه دارید. قطعا نباید از DC برای وبگردی استفاده شود حتی اکانتهای درجه بالا هم نباید چنین کاری کنند. این مورد را جزو پالیسی قرار دهید و مرورگر وب را بلاک کنید. پالیسیهای موثر و پیکربندیهای امنیتی و پارامترهای پیشگیرانه همگی با هم میتوانند وبگردی را کاملا ببندند.
- از دامین کنترلر بکاپ تهیه کنید.
دو نوع دامین کنترلر داریم:
- دامین کنترلر اصلی – primary domain controller – PDC: سروری است که دیتابیس اصلی را برای دامین مدیریت میکند.
- دامین کنترلر بکاپ – backup domain controller – BDC: یک یا چند سرور است که به عنوان دامین کنترلر بکاپ طراحی میشوند. دامین کنترلر اصلی به صورت دورهای کپیهایی از دیتابیس را به دامین کنترلر بکاپ میفرستد. BDC دو وظیفه دارد: اگر PDC بنابه دلایلی Fail شود، BDC جایگزین میشود و یا اگر شبکه، زیادی مشغول باشد، حجم کاری را بالانس میکند.
نقش دامین کنترلر در اکتیو دایرکتوری عبارتند از:
ـ هر دامین کنترلر در هر دامنه، یک کپی از دیتا استور AD را برای دامنهای خاص ذخیره و حفظ میکند.
ـ دامین کنترلرها در Active Directory از تکرار چند کاربره استفاده میکند یعنی هیچ دامین کنترلری به تنهایی به عنوان دامین کنترلر اصلی محسوب نمیشود. تمامی دامین کنترلرها باید به صورت جفت در نظر گرفته شوند.
ـ دامین کنترلرها، اطلاعات دایرکتوری آبجکتهای ذخیره شده را به صورت اتوماتیک بین دامنهها تکرار (Replicate) میکنند.
ـ آپدیتهای مهم، بلافاصله برای دیگر دامین کنترلرهای دامنه تکرار میشوند.
ـ اجرای چندین دامین کنترلر در دامنه احتمال بروز خطا را برای دامنه بوجود میآورد.
ـ دامین کنترلرها در اکتیو دایرکتوری، Collisionها (برخوردها) را تشخیص دهند. Collisionها زمانی رخ میدهند که تغییری در داممنه خاص ایجاد شود و قبل از اعمال این تغییر در دامین کنترلر اصلی و پخش این تغییر به دیگر دامین کنترلرها، در یکی از دامین کنترلرها باعث تغییر شود.
ـ وظایف اکتیودایرکتوری به ۵ رول تقسیم میشود که در FSMO قرار میگیرد؛ FSMO مخفف Flexible Single Master Operation است و هر گاه بخواهیم دامین کنترلر جدیدی اضافه کنیم یا آیتمهای جدید مثل کاربر و گروه بسازیم از یکی از این رولها استفاده می کنیم. این ۵ رول با هم سیستم کامل اکتیودایرکتوری را میسازند:
- Schema Master – one per forest
- Domain Naming Master – one per forest
- Relative ID (RID) Master – one per domain
- Primary Domain Controller (PDC) Emulator – one per domain
- Infrastructure Master – one per domain
به صورت پیش فرض با ایجاد اولین دامین کنترلر، رولهای FSMO ساخته میشود اما میتواند بر اساس زیرساخت شما، روی دو یا چند ماشین هم قرار گیرد.
پیکربندی رول ها در دامین کنترلر:
رولهای اصلی که در دامین کنترلرها پیکربندی میشوند، شامل موارد زیر هستند:
- Schema Master که یک forest-wide master role است که به دامین کنترلری تخصیص داده میشود که تمام تغییرات Active Directory schema را مدیریت میکند.
- Domain Naming Master یکی دیگر از forest-wide master role ها در دامین کنترلری است که تغییرات فارست مانند اضافه و حذف دامنه را مدیریت میکند. دامین کنترلری که این رول را دارد، مدیریت تغییرات domain namespace را نیز مدیریت میکند.
- Relative ID (RID) Master یک domain-wide master role در دامین کنترلری است که ID number های منحصربهفرد برای دامین کنترلرها تولید میکند و مدیریت تخصیص این اعداد را برعهده دارد.
- PDC Emulator یک domain-wide master role در دامین کنترلری است که عملکردی مانند ویندوز NT در دامین کنترلر دارد. وجود این رول معمولا زمانی ضروری است که کامپیوترهایی داریم که دارای سیستم عاملهای پیش از ویندوز ۲۰۰۰ و XP هستند.
- Infrastructure Master یکی دیگر از domain-wide master role است که به دامین کنترلری تخصیص داده میشود که مدیریت تغییرات ایجاد شده در یک گروه را برعهده دارد.
رولهای اصلی میتوانند به دامین کنترلرهای در یک دامنه و یا Forest تخصیص داده شوند. Master Role رول های خاصی که به دامین کنترلرها تخصیص داده می شوند را Operations Masters مینامند. این دامین کنترلرها نسخه اصلی، از اطلاعات خاصی در Active Directory میزبانی میکنند و اطلاعات را در سایر دامین کنترلرها کپی میکنند. ۵ نوع رول اصلی (Master Role) برای تعریف در دامین کنترلرها وجود دارد. دو رول از رولهای اصلی که forest-wide master roles هستند به دامین کنترلری در Forest تخصیص داده میشوند. سه رول اصلی دیگر هم domain-wide master roles هستند که روی دامین کنترلر در هر دامنه اعمال میشوند.
سرور یا سرورهای Global Catalog نیز قابل نصب روی دامین کنترلر است. GC منبع متمرکز اطلاعات روی اشیا اکتیودایرکتوری در Forest و دامنه است و برای بهبود کارایی در جستجوی آبجکت در اکتیو دایرکتوری استفاده میشود. اولین دامین کنترلری که روی دامنه نصب میشود، به صورت پیش فرض به عنوان سرور GC در نظر گرفته می شود. سرور GC، نسخهای کامل از تمام اشیا را در دامنه میزبان خود و partial replica از اشیا را برای سایر دامنهها در Forest ذخیره میکند. این partial replica شامل اشیایی است که زیاد جستجو میشوند. به طور کلی پیشنهاد میشود که برای هر سایت در دامین، یک سرور GC را پیکربندی کنید.
مفهوم Active Directory Replication چیست؟
ریپلیکیشن در اکتیودایرکتوری بخش مهمی است که وظیفه آن این است که بتوانید روی دامین کنترلر در فارست تغییرات ایجاد کنید و این تغییرات را به دیگر دامین کنترلرها ریپلیکیت کنید. روش توزیع این اطلاعات مساله مهمی برای تیم مایکروسافت بود. replication مستقل از ساختار دامین و درخت و فارست است.اکتیو دایرکتوری از شمارندهها و جداولی استفاده میکند، تا مطمئن شود دامین کنترلر جدیدترین اطلاعات مربوط به هر آبجکت و attribute را دارد و از از لوپ های ریپلیکیشن جلوگیری میکند.
بیشتر بخوانید: File Server Resource Manager (FSRM) چیست؟
