یادداشت ویراستار: اصل این مطلب در اردیبهشت ۹۸ نوشته شده بود و در دی ۹۹ دوباره بررسی و بهروز شده است.
در این محتوا قصد داریم به بررسی دامین کنترلر در اکتیودایرکتوری بپردازیم، اکتیو دایرکتوری چیست و چه کاربرد و همیتی دارد؟ با توسعه شبکه آداکهمراه باشید.
- اکتیو دایرکتوری چیست؟
- Domain در شبکه چیست؟
- تعریف domain controller
- تفاوت اکتیو دایرکتوری و دامین کنترلر
- اهمیت نصب دامین کنترلر چیست؟
- مزایای دامین کنترلر
- معایب دامین کنترلر
- راهکارهای افزایش امنیت دامین کنترلر
- انواع domain controller
- رول دامین کنترلر در اکتیو دایرکتوری
- پیکربندی رول ها در دامین کنترلر
- عملکرد سرور Global Catalog – سرور GC
- راه اندازی domain controller
- مفهوم Active Directory Replication و تست آن
اکتیو دایرکتوری چیست؟
اکتیو دایرکتوری مجموعهای از چند سرویس است که به صورت متمرکز ارایه میشود و به آسانی میتوان آنها را ساماندهی و مدیریت کرد. مایکروسافت سرویس Active Directory را در اختیار ادمینها قرار داده تا مدیریت مجوزهای دسترسی به منابع شبکه را به راحتی و از طریق لاگین به آن انجام دهند. اکتیودایرکتوری همراه با رشد سازمانی شما میتواند رشد کند.
اکنیودایرکتوری دیتابیسی برای ذخیره اطلاعات دارد و همانند هر دیتابیس دیگری دارای برنامهها و رولهای ویندوزی تا properties و permission و موارد دیگر را بخواند.
مطلب “اکتیو دایرکتوری و مزایای استفاده از آن” را بخوانید تا با اکتیودایرکتوری و ساختارش آشنا شوید.
Domain در شبکه چیست؟
دامنه در شبکه برای مدیریت دسترسی به منابع شبکه برای گروهی از کاربران استفاده میشود این منابع برنامهها و پرینترها و … هستند و ممکن است روی سرورهای مختلفی در شبکه قرار داشته باشند. فقط کافی است کاربر به دامین لاگین کند تا به منابع دست یابد.
وقتی کامپیوترهای شبکه را به صورت منطقی گروهبندی کنیم، در واقع از دامنه استفاده کردهایم و بدین ترتیب میتوانیم منابع شبکه را مدیریت کنیم. پس از لاگین شدن کاربران و احراز هویت آنها توسط مکانیزم اعتبار سنجی متمرکز (که اکتیودایرکتوری انجام میدهد)، به کاربران اجازه دسترسی به منابع به اشتراک گذاشته شده در دامنهشان داده میشود. این دسترسیها بر اساس مجوزهای دسترسی تعریف شده در دامین کنترلر است. مدیر هر دامنه، دامین کنترلر است و برای مدیریت راحتتر دامنهها میتوان چند دامنه را در ساختارهای درختی و جنگل دستهبندی کرد. دامنه در شبکه و اینترنت مفاهیم مختلفی دارد برای آشنایی با دامین و دامنه، مطلب “دامنه چیست؟” را بخوانید. همچنین خواندن “آموزش جوین کردن کلاینت به دامین” هم در این زمینه برای شما مفید خواهد بود. با مفهوم DC در شبکه چیست آشنا شدیم اما در ادامه به بررسی دقیقتر دامین کنترلر میپردازیم.
تعریف domain controller
وقتی کامپیوتر عضو دامین میشود، در دامین کنترلر برای او اکانت و رمزعبور تعریف میشود و با هر بار لاگین کاربر، فرآیند احراز هویت توسط دامین کنترلر انجام میشود. البته این امکان وجود دارد که کاربر از حساب کاربری خود روی هر کامپیوتر عضو دامین استفاده کند و فقط مختص به یک کامپیوتر نیست.
اکتیودایرکتوری، دامین را ایجاد میکند و سروری که اکتیودایرکتوری روی آن نصب میشود، دامین کنترلر نام دارد. دامین کنترلر، سروری است که نسخهای از Active Directory را ذخیره کرده و از دیتا استورِ اکتیودایرکتوری محافظت میکند. اکتیودایرکتوری برای این طراحی شده که منبع متمرکزی از اطلاعات یا دیتا استور فراهم کند تا منابع سازمان را به صورتی امن مدیریت کند.
دامین کنترلر سروری است که به درخواستهای احراز هویت کاربران و تایید آنها در شبکههای کامپیوتری پاسخ میدهد. دامینها از روش سلسله مراتبی برای سازماندهی کاربران و کامپیوترهایی که در یک شبکه با هم کار میکنند استفاده میکنند و دامین کنترلر تمام این دیتاها را سازماندهی کرده و امن نگه میدارد.
سرویس دایرکتوری AD تضمین میکند که منابع شبکه در دسترس هستند و کاربران قادرند به منابع شبکه، اپلیکیشنها و برنامهها دسترسی داشته باشند. ادمینها با کمک اکتیودایرکتوری میتوانند از طریق کامپیوتری در شبکه لاگین کنند و آبجکتهای اکتیو دایرکتوری را روی کامپیوتر متفاوتی در یک دامین و دامنه مدیریت کنند.
دامین کنترلر، کامپیوتری است که ویندوز ۲۰۰۰ و یا ویندوز سرور ۲۰۰۳ به بعد روی آن اجرا میشود و دارای یک کپی از دایرکتوری دامنه است. دامین کنترلرها در اکتیو دایرکتوری، حاوی دیتا استور آن و پالیسیهای امنیتی دامنه هستند. بنابراین، دامین کنترلر با احراز هویت کاربرانی که لاگین میکنند، امنیت دامنه را فراهم میکند.
برای تعمیر سرور hp خود روی لینک بزنید.
تفاوت اکتیو دایرکتوری و دامین کنترلر
مهمترین تفاوت اکتیو دایرکتوری و دامین کنترلر این است که اکتیودایرکتوری سرویسی است که دامین کنترلر آن را در شبکه ارایه میدهد. به عبارتی دامین کنترلر ظرف است و اکتیودایرکتوری مظروف؛ اکتیودایرکتوری در دامین کنترلر اجرا میشود. دامین کنترلر ماهیت فیزیکی دارد و اکتیودایرکتوری ماهیت منطقی.
اکتیو دایرکتوری نوعی دامنه است و دامین کنترلر، سرور مهمی در آن دامنه. همه دامنهها نیاز به دامین کنترلر دارند اما هر دامنهای اکتیو دایرکتوری نیست. مثل اینکه انواع ماشینها را داریم اما هر ماشین برای حرکت، به موتور خودش نیاز دارد.
اکتیودایرکتوری مانند یک دیتابیس است که اطلاعات را به صورت آبجکتهای کاربران و کامپیوترها و گروهها و … ذخیره میکند تا دسترسی به منابع قراهم شود اما دامین کنترلر سروری است که اکتیودایرکتوری را اجرا میکند و از دیتای ذخیره شده در اکتیودایرکتوری برای احراز هویت کاربران (authentication و authorization) استفاده میکند.
اهمیت نصب دامین کنترلر چیست؟
اکتیو دایرکتوری پادشاه است و دامین کنترلر جعبهای است که کلید پادشاهی را دارد. پس اگر هکرها برای دسترسی به شبکه و دامین کنترلر اقداماتی انجام دهند، نه تنها باید از دامین کنترلر محافظت کنید بلکه از خود دامین کنترلر برای حفاظت در برابر حملات سایبری استفاده خواهید کرد.
دامین کنترلرها حاوی اطلاعاتی هستند که دسترسی به شبکه شما را تعیین و تایید میکند مثلا نام تمام کامپیوترها و گروپ پالسیها. هر آنچه که هکر برای خرابکاری در شبکه و دزدی اطلاعات شما لازم دارد در دامین کنترلر قرار گرفته است پس دامین کنترلر میتواند هدف اصلی هکرها در حملات سایبری باشد.
به طور کلی فارغ از وسعت و اندازه، تمام کسبوکارهایی که اطلاعات مشتریانشان را در شبکه ذخیره میکنند برای تامین امنیت شبکهشان به دامین کنترلر نیاز دارند. تنها استثنای این موضوع، سرویسهایی است که تخت فضای ابری ارایه میشود مثلا CRM تحت کلود چون سرویس ابری خودش امنیت را فراهم میکند.
برای اینکه بفهمید برای امنیت دیتا به دامنه و دامین کنترلر نیاز دارید به این سوال پاسخ دهید: اطلاعات مشتریان شما در کجا ذخیره میشود و چه کسانی به آن دسترسی دارند؟
مزایای دامین کنترلر
مزایای دامین کنترلر عبارتند از:
- مدیریت متمرکز کاربران
- اشتراک گذاری منابعی مثل پرینترها و فایلها
- پیکربندی Federated برای افزونگی (که با استفاده از رولهای FSMO مشخص میشود)
- امکان توزیع و ریپلیکیت کردن در شبکههای بزرگ
- رمزگذاری دیتا
- اعمال محدودیتها برای تامین امنیت
معایب دامین کنترلر
معایب دامین کنترلر عبارتند از:
- هدف حملات سایبری
- کاربران و سیستم عامل باید ثبات داشته باشند و امنیت آنها حفظ شود و آپدیت باشند.
- شبکه به آپ تایم دامین کنترلر وابسته است.
- به سخت افزار و نرم افزار نیاز دارد.
راهکارهای افزایش امنیت دامین کنترلر
همان طور که گفتیم دامین کنترلر هدف خوب و مهمی برای هکرهاست و باید راهکارهایی برای افزایش امنیت آن به کار بریم. در ادامه چند نکته در این زمینه ارایه میدهیم:
- به صورت فیزیکی امنیت سرور دامین کنترلر را فراهم کنید. سرور دامین کنترلر را از دیگر سرورها جدا کنید و در جایی قرار دهید که کاربران غیرمجاز امکان دسترسی به آن را نداشته باشند. هر ورودی را با دستگاههای الکترونیکی بررسی کنید. دامین کنترلرهای مجازی باید روی هاست اختصاصی اجرا شوند پس باید پسورد بسیار قوی داشته باشد و فقط فرد دارای مجوز به آن دسترسی داشته باشد.
- برای دامین کنترلر ادمین باید پالیسی تعریف کنید. اعضای گروه ادمین باید خیلی محدود باشند.
- دسترسی شبکه به دامین کنترلر را کاملا محدود کنید.
- از جدیدترین نسخه ویندوز سرور استفاده کنید به جای آپگرید کردن دامین کنترلر، نسخه جدید آن را نصب کنید.
- پارامترهای امنیتی مناسب برای DC اعمال کنید.
- آنچه روی دامین کنترلر اجرا میشود را محدود کنید. DC باید فقط برنامهها و سرویسهایی که برای عملکرد و امنیت آن مهم است اجرا کند. میتوانید از برنامههایی استفاده کنید که برنامههای نرم افزاری غیرضروری را بلاک کند.
- مرورگر وب و وبگردی را خارج از DC نگه دارید. قطعا نباید از DC برای وبگردی استفاده شود حتی اکانتهای درجه بالا هم نباید چنین کاری کنند. این مورد را جزو پالیسی قرار دهید و مرورگر وب را بلاک کنید. پالیسیهای موثر و پیکربندیهای امنیتی و پارامترهای پیشگیرانه همگی با هم میتوانند وبگردی را کاملا ببندند.
- از دامین کنترلر بکاپ تهیه کنید.
انواع domain controller
دو نوع دامین کنترلر داریم:
- دامین کنترلر اصلی – primary domain controller – PDC: سروری است که دیتابیس اصلی را برای دامین مدیریت میکند.
- دامین کنترلر بکاپ – backup domain controller – BDC: یک یا چند سرور است که به عنوان دامین کنترلر بکاپ طراحی میشوند. دامین کنترلر اصلی به صورت دورهای کپیهایی از دیتابیس را به دامین کنترلر بکاپ میفرستد. BDC دو وظیفه دارد: اگر PDC بنابه دلایلی Fail شود، BDC جایگزین میشود و یا اگر شبکه، زیادی مشغول باشد، حجم کاری را بالانس میکند.
رول دامین کنترلر در اکتیو دایرکتوری
رول دامین کنترلر در اکتیو دایرکتوری عبارتند از:
- هر دامین کنترلر در هر دامنه، یک کپی از دیتا استور AD را برای دامنهای خاص ذخیره و حفظ میکند.
- دامین کنترلرها در Active Directory از تکرار چند کاربره استفاده میکند یعنی هیچ دامین کنترلری به تنهایی به عنوان دامین کنترلر اصلی محسوب نمیشود. تمامی دامین کنترلرها باید به صورت جفت در نظر گرفته شوند.
- دامین کنترلرها، اطلاعات دایرکتوری آبجکتهای ذخیره شده را به صورت اتوماتیک بین دامنهها تکرار (Replicate) میکنند.
- آپدیتهای مهم، بلافاصله برای دیگر دامین کنترلرهای دامنه تکرار میشوند.
- اجرای چندین دامین کنترلر در دامنه احتمال بروز خطا را برای دامنه بوجود میآورد.
- دامین کنترلرها در اکتیو دایرکتوری، Collisionها (برخوردها) را تشخیص دهند. Collisionها زمانی رخ میدهند که تغییری در داممنه خاص ایجاد شود و قبل از اعمال این تغییر در دامین کنترلر اصلی و پخش این تغییر به دیگر دامین کنترلرها، در یکی از دامین کنترلرها باعث تغییر شود.
وظایف اکتیودایرکتوری به ۵ رول تقسیم میشود و در FSMO قرار میگیرد؛ FSMO مخفف Flexible Single Master Operation است و هر گاه بخواهیم دامین کنترلر جدیدی اضافه کنیم یا زمان را سینک کنیم یا آیتمهای جدید مثل کاربر و گروه بسازیم یکی از این رولها را صدا میزنیم. این ۵ رول با هم سیستم کامل اکتیودایرکتوری را میسازند:
- Schema Master – one per forest
- Domain Naming Master – one per forest
- Relative ID (RID) Master – one per domain
- Primary Domain Controller (PDC) Emulator – one per domain
- Infrastructure Master – one per domain
به صورت پیش فرض با ایجاد اولین دامین کنترلر، رولهای FSMO ساخته میشود اما میتواند بر اساس زیرساخت شما روی دو یا چند ماشین هم قرار گیرد.
اگر دامین کنترلری یا هر یک از این رولها از بین برود برخی فعالیتها محدود خواهد شد مثلا بدون Primary Domain Controller زیرساخت نمیتواند آپدیت پسوردهایی که برای کامپیوترها و اکانتهای کاربران تغییر کرده را بگیرد.
پیکربندی رول ها در دامین کنترلر
رولهای اصلی که در دامین کنترلرها پیکربندی میشوند، شامل موارد زیر هستند:
- Schema Master که یک forest-wide master role است که به دامین کنترلری تخصیص داده میشود که تمام تغییرات Active Directory schema را مدیریت میکند.
- Domain Naming Master یکی دیگر از forest-wide master role ها در دامین کنترلری است که تغییرات فارست مانند اضافه و حذف دامنه را مدیریت میکند. دامین کنترلری که این رول را دارد، مدیریت تغییرات domain namespace را نیز مدیریت میکند.
- Relative ID (RID) Master یک domain-wide master role در دامین کنترلری است که ID number های منحصربهفرد برای دامین کنترلرها تولید میکند و مدیریت تخصیص این اعداد را برعهده دارد.
- PDC Emulator یک domain-wide master role در دامین کنترلری است که عملکردی مانند ویندوز NT در دامین کنترلر دارد. وجود این رول معمولا زمانی ضروری است که کامپیوترهایی داریم که دارای سیستم عاملهای پیش از ویندوز ۲۰۰۰ و XP هستند.
- Infrastructure Master یکی دیگر از domain-wide master role است که به دامین کنترلری تخصیص داده میشود که مدیریت تغییرات ایجاد شده در یک گروه را برعهده دارد.
بی شک، رولهای اصلی میتوانند به دامین کنترلرهای یک دامنه و یا Forest تخصیص داده شوند. Master Role های خاصی که به دامین کنترلرها تخصیص داده شوند را Operations Masters مینامند. این دامین کنترلرها نسخه اصلی از اطلاعاتی خاص را در Active Directory میزبانی میکنند و اطلاعات را روی سایر دامین کنترلرها کپی میکنند. ۵ نوع رول اصلی (Master Role) برای تعریف در دامین کنترلرها وجود دارد. دو رول از رولهای اصلی که forest-wide master roles هستند به دامین کنترلری در Forest تخصیص داده میشوند. سه رول اصلی دیگر هم domain-wide master roles هستند که روی دامین کنترلر در هر دامنه اعمال میشوند.
سرور یا سرورهای Global Catalog نیز قابل نصب روی دامین کنترلر است. GC منبع متمرکز اطلاعات روی اشیا اکتیودایرکتوری در Forest و دامنه است و برای بهبود کارایی در جستجوی آبجکت در اکتیو دایرکتوری استفاده میشود. اولین دامین کنترلری که روی دامنه نصب میشود، به صورت پیش فرض به عنوان سرور GC در نظر گرفته شده است. سرور GC، نسخهای کامل از تمام اشیا را در دامنه میزبان خود و partial replica از اشیا را برای سایر دامنهها در Forest ذخیره میکند. این partial replica شامل اشیایی است که زیاد جستجو میشوند. به طور کلی پیشنهاد میشود که برای هر سایت در دامین، یک سرور GC را پیکربندی کنید. در ادامه عملکرد سرور GC را بررسی میکنیم.
عملکرد سرور Global Catalog – سرور GC
گلوبال کاتالوگ یه کاتالوگ چند دامنه است که سرچ سریعتر آبکجتها را بدون نیاز به نام دامنه فراهم میکند. عملکرد سرور GC به صورت زیر است:
- ویژگی UPN – User Principal Name نام کاربر سیستمی است که به فرمت ایمیل مثل john.doe@domain.com ذخیره میشود. وجود سرورهای GC برای عملکرد UPN در اکتیو دایرکتوری بسیار ضروری است زیرا سرورهای GC موارد UPN را انجام میدهد، زیرا وقتی دامین کنترلری که به درخواستهای احراز هویت رسیدگی میکند، به دلیل اینکه حساب کاربری در دامنه دیگری قرار دارد، قادر به احراز هویت نیست. در اینجا سرور GC برای یافتن حساب کاربری کمک میکند تا دامین کنترلری که وظیفه احراز هویت را برعهده دارد بتواند درخواست ورورد به سیستم (Log on) را برای کاربر ادامه دهد.
- سرورهای GC تمام درخواستهای سرچ را برای کاربرانی که در پی جستجوی اطلاعات در AD هستند، انجام میدهند و میتوانند تمام اطلاعات اکتیو دایرکتوری را صرفنظر از دامنهای که اطلاعات در آن قرار دارند، بیابند. سرورهای GC درخواستها را در کل Forest انجام میدهند.
سرورهای GC، اطلاعات عضویت Universal Group را در دامین کنترلر و برای درخواستهای ورود به شبکه، برای کاربران فراهم میکند.
راه اندازی domain controller
مراحل نصب دامین کنترلر همانند مراحل نصب اکتیودایرکتوری است که در آموزش نصب اکتیو دایرکتوری به طور کامل و تصویری آموزش داده شده است.
مفهوم Active Directory Replication و تست آن
ریپلیکیشن در اکتیودایرکتوری بخش مهمی است که وظیفه آن این است که بتوانید روی دامین کنترلر در فارست تغییرات ایجاد کنید و این تغییرات را به دیگر دامین کنترلرها ریپلیکیت کنید. روش توزیع این اطلاعات مساله مهمی برای تیم مایکروسافت بود. AD DS replication مستقل از ساختار دامین و درخت و فارست است.
اکتیو دایرکتوری از شمارندهها و جداولی استفاده میکند تا مطمئن شود دامین کنترلر، جدیدترین اطلاعات مربوط به هر آبجکت و attribute را دارد و از از لوپ های ریپلیکیشن جلوگیری میشود.
برای بررسی سلامت ریپلیکیشن در اکتیودایرکتوری از دستور Repadmin /replsummary و برای بررسی وضیعت ریپلیکیشن از دستور Repadmin /Showrepl در Command Prompt استفاده کنید.
برای دانلود ابزار Download Active Directory Replication Status Tool از سایت مایکروسافت روی لینک بزنید. این ابزار وضعیت ریپلیکیشنِ دامین کنترلر را در دامین یا فارست اکتیودایرکتوری انجام میدهد و روی ویندوز سرورهای ۲۰۰۳ به بعد قابل استفاده است.
اکتیودایرکتوری، دامین را ایجاد میکند و سروری که اکتیودایرکتوری روی آن نصب میشود، دامین کنترلر نام دارد. دامین کنترلر، سروری است که نسخهای از Active Directory را ذخیره کرده و از دیتا استورِ اکتیودایرکتوری محافظت میکند. اکتیودایرکتوری برای این طراحی شده که منبع متمرکزی از اطلاعات یا دیتا استور فراهم کند تا منابع سازمان را به صورتی امن مدیریت کند.”
}
},{
“@type”: “Question”,
“name”: “تفاوت اکتیو دایرکتوری و دامین کنترلر”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “مهمترین تفاوت اکتیو دایرکتوری و دامین کنترلر این است که اکتیودایرکتوری سرویسی است که دامین کنترلر آن را در شبکه ارایه میدهد. به عبارتی دامین کنترلر ظرف است و اکتیودایرکتوری مظروف؛ اکتیودایرکتوری در دامین کنترلر اجرا میشود. دامین کنترلر ماهیت فیزیکی دارد و اکتیودایرکتوری ماهیت منطقی.”
}
},{
“@type”: “Question”,
“name”: “اهمیت نصب دامین کنترلر چیست؟”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “اکتیو دایرکتوری پادشاه است و دامین کنترلر جعبهای است که کلید پادشاهی را دارد. پس اگر هکرها برای دسترسی به شبکه و دامین کنترلر اقداماتی انجام دهند، نه تنها باید از دامین کنترلر محافظت کنید بلکه از خود دامین کنترلر برای حفاظت در برابر حملات سایبری استفاده خواهید کرد.”
}
},{
“@type”: “Question”,
“name”: “راهکارهای افزایش امنیت دامین کنترلر”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “همان طور که گفتیم دامین کنترلر هدف خوب و مهمی برای هکرهاست و باید راهکارهایی برای افزایش امنیت آن به کار بریم. در ادامه چند نکته در این زمینه ارایه میدهیم:
به صورت فیزیکی امنیت سرور دامین کنترلر را فراهم کنید. سرور دامین کنترلر را از دیگر سرورها جدا کنید و در جایی قرار دهید که کاربران غیرمجاز امکان دسترسی به آن را نداشته باشند. هر ورودی را با دستگاههای الکترونیکی بررسی کنید. دامین کنترلرهای مجازی باید روی هاست اختصاصی اجرا شوند پس باید پسورد بسیار قوی داشته باشد و فقط فرد دارای مجوز به آن دسترسی داشته باشد.
برای دامین کنترلر ادمین باید پالیسی تعریف کنید. اعضای گروه ادمین باید خیلی محدود باشند.”
}
},{
“@type”: “Question”,
“name”: “پیکربندی رول ها در دامین کنترلر”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “رولهای اصلی که در دامین کنترلرها پیکربندی میشوند، شامل موارد زیر هستند:
Schema Master که یک forest-wide master role است که به دامین کنترلری تخصیص داده میشود که تمام تغییرات Active Directory schema را مدیریت میکند.
Domain Naming Master یکی دیگر از forest-wide master role ها در دامین کنترلری است که تغییرات فارست مانند اضافه و حذف دامنه را مدیریت میکند. دامین کنترلری که این رول را دارد، مدیریت تغییرات domain namespace را نیز مدیریت میکند.”
}
},{
“@type”: “Question”,
“name”: “مفهوم Active Directory Replication و تست آن”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “ریپلیکیشن در اکتیودایرکتوری بخش مهمی است که وظیفه آن این است که بتوانید روی دامین کنترلر در فارست تغییرات ایجاد کنید و این تغییرات را به دیگر دامین کنترلرها ریپلیکیت کنید. روش توزیع این اطلاعات مساله مهمی برای تیم مایکروسافت بود. AD DS replication مستقل از ساختار دامین و درخت و فارست است.”
}
}]
}