در این محتوا قصد داریم به بررسی دامین کنترلر در اکتیودایرکتوری بپردازیم. لازم است ابتدا بدانیم، اکتیو دایرکتوری چیست و چه کاربرد و اهمیتی دارد؟
اکتیو دایرکتوری (Active Directory)، مجموعهای از چند سرویس است که به صورت متمرکز ارائه میشود و به آسانی میتوان آنها را ساماندهی و مدیریت کرد. این یعنی چندین سرویس تحت نظر سرویس اکتیو دایرکتوری کار میکنند. مثل یوزرهای تعریف شده در شبکه، دسترسی هایی که به این یوزرها داده میشود، فایل ها و پرینترهای به اشتراک گذاشته شده در شبکه.
اکتیو دایرکتوری این سرویس ها را به صورت متمرکز ارائه میدهد که نتیجه آن ساماندهی و مدیریت آسان و دقیق این سرویس ها است. مایکروسافت سرویس Active Directory را در اختیار ادمینها قرار داده تا مدیریت مجوزهای دسترسی به منابع شبکه را به راحتی و از طریق لاگین به آن انجام دهند. اکتیودایرکتوری همراه با رشد سازمانی شما میتواند رشد کند.
بیشتر بخوانید: بهترین ابزارهای مدیریت اکتیو دایرکتوری
دامنه به گروهی از کامپیوترهای موجود در یک شبکه اطلاق میشود که نام، سیاست گذاری و پایگاه داده موجود را به اشتراک میگذارند. این سومین سطح در سلسله مراتب اکتیو دایرکتوری محسوب می شود. اکتیو دایرکتوری این توانایی را دارد تا میلیونها آبجکت موجود در یک دامنه را مدیریت کند.
دامنه ها به عنوان ظروفی برای اختصاص دادن کارهای مدیریتی و سیاست های امنیتی عمل میکنند. به طور پیش فرض، تمام آبجکت های درون یک دامنه، سیاست گذاریهای متداول که به این دامنه اختصاص داده شده را، به اشتراک میگذارند. تمام آبجکتهای درون یک دامنه، توسط مسئول دامنه مدیریت میشود. علاوه بر این، برای هر دامنه، پایگاه داده منحصر به فردی وجود دارد؛ فرآيند احراز هویت بر اساس دامنه انجام میشود و به محض این که مجوز لازم برای یک کاربر فراهم شود او میتواند به تمام آبجکتهای موجود در یک دامنه دسترسی داشته باشد.
برای این که یک اکتیو دایرکتوری بتواند کار خود را انجام دهد، به یک یا چند دامنه نیاز دارد. باید یک یا چند سرور در یک دامنه وجود داشته باشد که نقش کنترل کننده دامنه را ایفا کند. از کنترل کننده های دامنه برای حفظ سیاست گذاریها، ذخیره سازی پایگاه داده و همچنین فراهم سازی مجوز برای کاربران استفاده میشود.
اکتیو دایرکتوری خدماتی است که به مسئولان شبکه اجازه میدهد تا اطلاعات را ذخيره کرده و امکان دسترسی به این اطلاعات را برای کاربران مشخص شده فراهم کنند. در حالی که دامنه مجموعه ای از کامپیوترها است که سیاست گذاریها، اسامی و پایگاههای داده موجود را به اشتراک میگذارد. دامنه بخشی از اکتیو دایرکتوری است و بعد از سلسله مراتبهای forest و tree در جایگاه سوم قرار میگیرد.
دامین کنترلر، سروری است که نسخهای از Active Directory را ذخیره دارد و از دیتا استورِ اکتیودایرکتوری محافظت میکند. اکتیودایرکتوری برای این طراحی شده که منبع متمرکزی از اطلاعات را فراهم کند تا منابع سازمان را به صورتی امن مدیریت کند.
وقتی کامپیوتر عضو دامین میشود، در دامین کنترلر برای او اکانت و رمزعبور تعریف میشود و با هر بار لاگین کاربر، فرآیند احراز هویت توسط دامین کنترلر انجام میشود. البته این امکان وجود دارد که کاربر از حساب کاربری خود روی هر کامپیوتر عضو دامین استفاده کند و فقط مختص به یک کامپیوتر نیست.
دامین کنترلر سروری است که به درخواستهای احراز هویت کاربران و تایید آنها در شبکههای کامپیوتری، پاسخ میدهد. دامینها از روش سلسله مراتبی برای سازماندهی کاربران و کامپیوترهایی که در یک شبکه با هم کار میکند استفاده میکنند و دامین کنترلر تمام این دیتاها را سازماندهی کرده و امن نگه میدارد.
سرویس دایرکتوری تضمین میکند، که منابع شبکه در دسترس هستند و کاربران قادرند به منابع شبکه، اپلیکیشنها و برنامهها، دسترسی داشته باشند. ادمینها با کمک اکتیودایرکتوری میتوانند از طریق کامپیوتری در شبکه لاگین کنند و آبجکتهای اکتیو دایرکتوری را روی کامپیوتر متفاوتی در یک دامین و دامنه مدیریت کنند. دامین کنترلر، کامپیوتری است که ویندوز ۲۰۰۰ و یا ویندوز سرور ۲۰۰۳ به بعد روی آن اجرا میشود و دارای یک کپی از دایرکتوری دامنه است.
بیشتر بخوانید: تفاوت بین ویندوز سرور و لینوکس سرور
مهمترین تفاوت اکتیو دایرکتوری و دامین کنترلر این است که اکتیودایرکتوری سرویسی است، که دامین کنترلر آن را در شبکه ارائه میدهد. به عبارتی دامین کنترلر ظرف است و اکتیودایرکتوری مظروف؛ اکتیودایرکتوری در دامین کنترلر اجرا میشود. دامین کنترلر ماهیت فیزیکی دارد و اکتیودایرکتوری ماهیت منطقی.
اکتیو دایرکتوری نوعی دامنه است و دامین کنترلر، سرور مهمی در آن دامنه. همه دامنهها نیاز به دامین کنترلر دارند، اما هر دامنهای اکتیو دایرکتوری نیست. مثل اینکه انواع ماشینها را داریم اما هر ماشین برای حرکت، به موتور خودش نیاز دارد.
اکتیو دایرکتوری نوعی دامنه است و دامین کنترلر، سرور مهمی در آن دامنه.
همان طور که گفتیم دامین کنترلر هدف خوب و مهمی برای هکرهاست و باید راهکارهایی برای افزایش امنیت آن به کار بریم. در ادامه چند نکته در این زمینه ارائه میدهیم:
ـ هر دامین کنترلر در هر دامنه، یک کپی از دیتا استور AD را برای دامنهای خاص ذخیره و حفظ میکند.
ـ دامین کنترلرها در Active Directory از تکرار چند کاربره استفاده میکند یعنی هیچ دامین کنترلری به تنهایی به عنوان دامین کنترلر اصلی محسوب نمیشود. تمامی دامین کنترلرها باید به صورت جفت در نظر گرفته شوند.
ـ دامین کنترلرها، اطلاعات دایرکتوری آبجکتهای ذخیره شده را به صورت اتوماتیک بین دامنهها تکرار (Replicate) میکنند.
ـ آپدیتهای مهم، بلافاصله برای دیگر دامین کنترلرهای دامنه تکرار میشوند.
ـ اجرای چندین دامین کنترلر در دامنه احتمال بروز خطا را برای دامنه بوجود میآورد.
ـ دامین کنترلرها در اکتیو دایرکتوری، Collisionها (برخوردها) را تشخیص دهند. Collisionها زمانی رخ میدهند که تغییری در داممنه خاص ایجاد شود و قبل از اعمال این تغییر در دامین کنترلر اصلی و پخش این تغییر به دیگر دامین کنترلرها، در یکی از دامین کنترلرها باعث تغییر شود.
ـ وظایف اکتیودایرکتوری به ۵ رول تقسیم میشود که در FSMO قرار میگیرد؛ FSMO مخفف Flexible Single Master Operation است و هر گاه بخواهیم دامین کنترلر جدیدی اضافه کنیم یا آیتمهای جدید مثل کاربر و گروه بسازیم از یکی از این رولها استفاده می کنیم. این ۵ رول با هم سیستم کامل اکتیودایرکتوری را میسازند:
به صورت پیش فرض با ایجاد اولین دامین کنترلر، رولهای FSMO ساخته میشود اما میتواند بر اساس زیرساخت شما، روی دو یا چند ماشین هم قرار گیرد.
رولهای اصلی که در دامین کنترلرها پیکربندی میشوند، شامل موارد زیر هستند:
رولهای اصلی میتوانند به دامین کنترلرهای در یک دامنه و یا Forest تخصیص داده شوند. Master Role رول های خاصی که به دامین کنترلرها تخصیص داده می شوند را Operations Masters مینامند. این دامین کنترلرها نسخه اصلی، از اطلاعات خاصی در Active Directory میزبانی میکنند و اطلاعات را در سایر دامین کنترلرها کپی میکنند. ۵ نوع رول اصلی (Master Role) برای تعریف در دامین کنترلرها وجود دارد. دو رول از رولهای اصلی که forest-wide master roles هستند به دامین کنترلری در Forest تخصیص داده میشوند. سه رول اصلی دیگر هم domain-wide master roles هستند که روی دامین کنترلر در هر دامنه اعمال میشوند.
سرور یا سرورهای Global Catalog نیز قابل نصب روی دامین کنترلر است. GC منبع متمرکز اطلاعات روی اشیا اکتیودایرکتوری در Forest و دامنه است و برای بهبود کارایی در جستجوی آبجکت در اکتیو دایرکتوری استفاده میشود. اولین دامین کنترلری که روی دامنه نصب میشود، به صورت پیش فرض به عنوان سرور GC در نظر گرفته می شود. سرور GC، نسخهای کامل از تمام اشیا را در دامنه میزبان خود و partial replica از اشیا را برای سایر دامنهها در Forest ذخیره میکند. این partial replica شامل اشیایی است که زیاد جستجو میشوند. به طور کلی پیشنهاد میشود که برای هر سایت در دامین، یک سرور GC را پیکربندی کنید.
ریپلیکیشن در اکتیودایرکتوری بخش مهمی است که وظیفه آن این است که بتوانید روی دامین کنترلر در فارست تغییرات ایجاد کنید و این تغییرات را به دیگر دامین کنترلرها ریپلیکیت کنید. روش توزیع این اطلاعات مساله مهمی برای تیم مایکروسافت بود. replication مستقل از ساختار دامین و درخت و فارست است.اکتیو دایرکتوری از شمارندهها و جداولی استفاده میکند، تا مطمئن شود دامین کنترلر جدیدترین اطلاعات مربوط به هر آبجکت و attribute را دارد و از از لوپ های ریپلیکیشن جلوگیری میکند.
بیشتر بخوانید: File Server Resource Manager (FSRM) چیست؟