به "وبلاگ فالنیک ( ایران اچ پی)" خوش آمدید    |   وبسایت فالنیک (ایران اچ پی)
تماس با فالنیک : 8363-021
سرور و شبکه

دامین کنترلر در اکتیودایرکتوری چیست و چه کاربردی در شبکه تحت دامین دارد؟

رول دامین کنترلر چیست؟

یادداشت ویراستار: اصل این مطلب در اردیبهشت 98 نوشته شده بود و در دی 99 دوباره بررسی و به‌روز شده است.

در این محتوا قصد داریم به بررسی دامین کنترلر در اکتیودایرکتوری بپردازیم، اکتیو دایرکتوری چیست و چه کاربرد و همیتی دارد؟ با فالنیک همراه باشید.

خرید سرور با بهترین قیمت و گارانتی طلایی فالنیک
فالنیک با دارا بودن سبد کاملی از سرورهای اچ پی و تنها دارنده گارانتی رسمی و معتبر سرور اچ پی در ایران، خرید سرور را با گارانتی طلایی، سرویس دوره ای و مشاوره خرید رایگان ارائه می‌کند. شماره تماس مشاوره و اطلاع از قیمت سرور: 02154591914
خرید سرور

اکتیو دایرکتوری چیست؟

اکتیو دایرکتوری مجموعه‌ای از چند سرویس است که به صورت متمرکز ارایه می‌شود و به آسانی می‌توان آنها را ساماندهی و مدیریت کرد. مایکروسافت سرویس Active Directory را در اختیار ادمین‌ها قرار داده تا مدیریت مجوزهای دسترسی به منابع شبکه را به راحتی و از طریق لاگین به آن انجام دهند. اکتیودایرکتوری همراه با رشد سازمانی شما می‌تواند رشد کند.

اکنیودایرکتوری دیتابیسی برای ذخیره اطلاعات دارد و همانند هر دیتابیس دیگری دارای برنامه‌ها و رول‌های ویندوزی تا properties و permission و موارد دیگر را بخواند.

مطلب “اکتیو دایرکتوری و مزایای استفاده از آن” را بخوانید تا با اکتیودایرکتوری و ساختارش آشنا شوید.

Domain در شبکه چیست؟

دامنه در شبکه برای مدیریت دسترسی به منابع شبکه برای گروهی از کاربران استفاده می‌شود این منابع برنامه‌ها و پرینترها و … هستند و ممکن است روی سرورهای مختلفی در شبکه قرار داشته باشند. فقط کافی است کاربر به دامین لاگین کند تا به منابع دست یابد.

وقتی کامپیوترهای شبکه را به صورت منطقی گروه‌بندی کنیم، در واقع از دامنه استفاده کرده‌ایم و بدین ترتیب می‌توانیم منابع شبکه را مدیریت کنیم. پس از لاگین شدن کاربران و احراز هویت آنها توسط مکانیزم اعتبار سنجی متمرکز (که اکتیودایرکتوری انجام می‌دهد)، به کاربران اجازه دسترسی به منابع به اشتراک گذاشته شده در دامنه‌شان داده می‌شود. این دسترسی‌ها بر اساس مجوزهای دسترسی تعریف شده در دامین کنترلر است. مدیر هر دامنه، دامین کنترلر است و برای مدیریت راحتتر دامنه‌ها می‌توان چند دامنه را در ساختارهای درختی و جنگل دسته‌بندی کرد. دامنه در شبکه و اینترنت مفاهیم مختلفی دارد برای آشنایی با دامین و دامنه، مطلب “دامنه چیست؟” را بخوانید. همچنین خواندن “آموزش جوین کردن کلاینت به دامین” هم در این زمینه برای شما مفید خواهد بود. با مفهوم DC در شبکه چیست آشنا شدیم اما در ادامه به بررسی دقیق‌تر دامین کنترلر می‌پردازیم.

پیشنهاد مطالعه

تعریف domain controller

وقتی کامپیوتر عضو دامین می‌شود، در دامین کنترلر برای او اکانت و رمزعبور تعریف می‌شود و با هر بار لاگین کاربر، فرآیند احراز هویت توسط دامین کنترلر انجام می‌شود. البته این امکان وجود دارد که کاربر از حساب کاربری خود روی هر کامپیوتر عضو دامین استفاده کند و فقط مختص به یک کامپیوتر نیست.

اکتیودایرکتوری، دامین را ایجاد می‌کند و سروری که اکتیودایرکتوری روی آن نصب می‌شود، دامین کنترلر نام دارد. دامین کنترلر، سروری است که نسخه‌ای از Active Directory را ذخیره کرده و از دیتا استورِ اکتیودایرکتوری محافظت می‌کند. اکتیودایرکتوری برای این طراحی شده که منبع متمرکزی از اطلاعات یا دیتا استور فراهم کند تا منابع سازمان را به صورتی امن مدیریت کند.

دامین کنترلر سروری است که به درخواست‌های احراز هویت کاربران و تایید آنها در شبکه‌های کامپیوتری پاسخ می‌دهد. دامین‌ها از روش سلسله مراتبی برای سازماندهی کاربران و کامپیوترهایی که در یک شبکه با هم کار می‌کنند استفاده می‌کنند و دامین کنترلر تمام این دیتاها را سازماندهی کرده و امن نگه می‌دارد.

سرویس دایرکتوری AD تضمین می‌کند که منابع شبکه در دسترس هستند و کاربران قادرند به منابع شبکه، اپلیکیشن‌ها و برنامه‌ها دسترسی داشته باشند. ادمین‌ها با کمک اکتیودایرکتوری می‌توانند از طریق کامپیوتری در شبکه لاگین کنند و آبجکت‌های اکتیو دایرکتوری را روی کامپیوتر متفاوتی در یک دامین و دامنه مدیریت کنند.

دامین کنترلر، کامپیوتری است که ویندوز 2000 و یا ویندوز سرور 2003 به بعد روی آن اجرا می‌شود و دارای یک کپی از دایرکتوری دامنه است. دامین کنترلرها در اکتیو دایرکتوری، حاوی دیتا استور آن و پالیسی‌های امنیتی دامنه‌ هستند. بنابراین، دامین کنترلر با احراز هویت کاربرانی که لاگین می‌کنند، امنیت دامنه را فراهم می‌کند.

برای تعمیر سرور hp خود روی لینک بزنید.

تفاوت اکتیو دایرکتوری و دامین کنترلر

مهمترین تفاوت اکتیو دایرکتوری و دامین کنترلر این است که اکتیودایرکتوری سرویسی است که دامین کنترلر آن را در شبکه ارایه می‌دهد. به عبارتی دامین کنترلر ظرف است و اکتیودایرکتوری مظروف؛ اکتیودایرکتوری در دامین کنترلر اجرا می‌شود. دامین کنترلر ماهیت فیزیکی دارد و اکتیودایرکتوری ماهیت منطقی.

اکتیو دایرکتوری نوعی دامنه است و دامین کنترلر، سرور مهمی در آن دامنه. همه دامنه‌ها نیاز به دامین کنترلر دارند اما هر دامنه‌ای اکتیو دایرکتوری نیست. مثل اینکه انواع ماشین‌ها را داریم اما هر ماشین برای حرکت، به موتور خودش نیاز دارد.

اکتیودایرکتوری مانند یک دیتابیس است که اطلاعات را به صورت آبجکت‌های کاربران و کامپیوترها و گروه‌ها و … ذخیره می‌کند تا دسترسی به منابع قراهم شود اما دامین کنترلر سروری است که اکتیودایرکتوری را اجرا می‌کند و از دیتای ذخیره شده در اکتیودایرکتوری برای احراز هویت کاربران (authentication و authorization) استفاده می‌کند.

دامین کنترلر در اکتیودایرکتوری چیست و چه کاربردی در شبکه تحت دامین دارد؟
اکتیو دایرکتوری نوعی دامنه است و دامین کنترلر، سرور مهمی در آن دامنه.

اهمیت نصب دامین کنترلر چیست؟

اکتیو دایرکتوری پادشاه است و دامین کنترلر جعبه‌ای است که کلید پادشاهی را دارد. پس اگر هکرها برای دسترسی به شبکه و دامین کنترلر اقداماتی انجام دهند، نه تنها باید از دامین کنترلر محافظت کنید بلکه از خود دامین کنترلر برای حفاظت در برابر حملات سایبری استفاده خواهید کرد.

دامین کنترلرها حاوی اطلاعاتی هستند که دسترسی به شبکه شما را تعیین و تایید می‌کند مثلا نام تمام کامپیوترها و گروپ پالسی‌ها. هر آنچه که هکر برای خرابکاری در شبکه و دزدی اطلاعات شما لازم دارد در دامین کنترلر قرار گرفته است پس دامین کنترلر می‌تواند هدف اصلی هکرها در حملات سایبری باشد.

به طور کلی فارغ از وسعت و اندازه، تمام کسب‌وکارهایی که اطلاعات مشتریانشان را در شبکه ذخیره می‌کنند برای تامین امنیت شبکه‌شان به دامین کنترلر نیاز دارند. تنها استثنای این موضوع، سرویس‌هایی است که تخت فضای ابری ارایه می‌شود مثلا CRM تحت کلود چون سرویس ابری خودش امنیت را فراهم می‌کند.

برای اینکه بفهمید برای امنیت دیتا به دامنه و دامین کنترلر نیاز دارید به این سوال پاسخ دهید: اطلاعات مشتریان شما در کجا ذخیره می‌شود و چه کسانی به آن دسترسی دارند؟

پیشنهاد مطالعه

مزایای دامین کنترلر

مزایای دامین کنترلر عبارتند از:

  1. مدیریت متمرکز کاربران
  2. اشتراک گذاری منابعی مثل پرینترها و فایل‌ها
  3. پیکربندی Federated برای افزونگی (که با استفاده از رول‌های FSMO مشخص می‌شود)
  4. امکان توزیع و ریپلیکیت کردن در شبکه‌های بزرگ
  5. رمزگذاری دیتا
  6. اعمال محدودیت‌ها برای تامین امنیت

معایب دامین کنترلر

معایب دامین کنترلر عبارتند از:

  1. هدف حملات سایبری
  2. کاربران و سیستم عامل باید ثبات داشته باشند و امنیت آنها حفظ شود و آپدیت باشند.
  3. شبکه به آپ تایم دامین کنترلر وابسته است.
  4. به سخت افزار و نرم افزار نیاز دارد.

راهکارهای افزایش امنیت دامین کنترلر

همان طور که گفتیم دامین کنترلر هدف خوب و مهمی برای هکرهاست و باید راهکارهایی برای افزایش امنیت آن به کار بریم. در ادامه چند نکته در این زمینه ارایه می‌دهیم:

  1. به صورت فیزیکی امنیت سرور دامین کنترلر را فراهم کنید. سرور دامین کنترلر را از دیگر سرورها جدا کنید و در جایی قرار دهید که کاربران غیرمجاز امکان دسترسی به آن را نداشته باشند. هر ورودی را با دستگاه‌های الکترونیکی بررسی کنید. دامین کنترلرهای مجازی باید روی هاست اختصاصی اجرا شوند پس باید پسورد بسیار قوی داشته باشد و فقط فرد دارای مجوز به آن دسترسی داشته باشد.
  2. برای دامین کنترلر ادمین باید پالیسی تعریف کنید. اعضای گروه ادمین باید خیلی محدود باشند.
  3. دسترسی شبکه به دامین کنترلر را کاملا محدود کنید.
  4. از جدیدترین نسخه ویندوز سرور استفاده کنید به جای آپگرید کردن دامین کنترلر، نسخه جدید آن را نصب کنید.
  5. پارامترهای امنیتی مناسب برای DC اعمال کنید.
  6. آنچه روی دامین کنترلر اجرا می‌شود را محدود کنید. DC باید فقط برنامه‌ها و سرویس‌هایی که برای عملکرد و امنیت آن مهم است اجرا کند. می‌توانید از برنامه‌هایی استفاده کنید که برنامه‌های نرم افزاری غیرضروری را بلاک کند.
  7. مرورگر وب و وبگردی را خارج از DC نگه دارید. قطعا نباید از DC برای وبگردی استفاده شود حتی اکانت‌های درجه بالا هم نباید چنین کاری کنند. این مورد را جزو پالیسی قرار دهید و مرورگر وب را بلاک کنید. پالیسی‌های موثر و پیکربندی‌های امنیتی و پارامترهای پیشگیرانه همگی با هم می‌توانند وبگردی را کاملا ببندند.
  8. از دامین کنترلر بکاپ تهیه کنید.

انواع domain controller

دو نوع دامین کنترلر داریم:

  1. دامین کنترلر اصلی – primary domain controller – PDC: سروری است که دیتابیس اصلی را برای دامین مدیریت می‌کند.
  2. دامین کنترلر بکاپ – backup domain controller – BDC: یک یا چند سرور است که به عنوان دامین کنترلر بکاپ طراحی می‌شوند. دامین کنترلر اصلی به صورت دوره‌ای کپی‌هایی از دیتابیس را به دامین کنترلر بکاپ می‌فرستد. BDC دو وظیفه دارد: اگر PDC بنابه دلایلی Fail شود، BDC جایگزین می‌شود و یا اگر شبکه، زیادی مشغول باشد، حجم کاری را بالانس می‌کند.

رول دامین کنترلر در اکتیو دایرکتوری

رول دامین کنترلر در اکتیو دایرکتوری عبارتند از:

  • هر دامین کنترلر در هر دامنه، یک کپی از دیتا استور AD را برای دامنه‌ای خاص ذخیره و حفظ می‌کند.
  • دامین کنترلرها در Active Directory از تکرار چند کاربره استفاده می‌کند یعنی هیچ دامین کنترلری به تنهایی به عنوان دامین کنترلر اصلی محسوب نمی‌شود. تمامی دامین کنترلرها باید به صورت جفت در نظر گرفته شوند.
  • دامین کنترلرها، اطلاعات دایرکتوری آبجکت‌های ذخیره شده را به صورت اتوماتیک بین دامنه‌ها تکرار (Replicate) می‌کنند.
  • آپدیت‌های مهم، بلافاصله برای دیگر دامین کنترلرهای دامنه تکرار می‌شوند.
  • اجرای چندین دامین کنترلر در دامنه احتمال بروز خطا را برای دامنه بوجود می‌آورد.
  • دامین کنترلرها در اکتیو دایرکتوری، Collisionها (برخوردها) را تشخیص دهند. Collisionها زمانی رخ می‌دهند که تغییری در داممنه خاص ایجاد شود و قبل از اعمال این تغییر در دامین کنترلر اصلی و پخش این تغییر به دیگر دامین کنترلرها، در یکی از دامین کنترلرها باعث تغییر شود.

وظایف اکتیودایرکتوری به 5 رول تقسیم می‌شود و در FSMO قرار می‌گیرد؛ FSMO مخفف Flexible Single Master Operation است و هر گاه بخواهیم دامین کنترلر جدیدی اضافه کنیم یا زمان را سینک کنیم یا آیتم‌های جدید مثل کاربر و گروه بسازیم یکی از این رول‌ها را صدا می‌زنیم. این 5 رول با هم سیستم کامل اکتیودایرکتوری را می‌سازند:

  1. Schema Master – one per forest
  2. Domain Naming Master – one per forest
  3. Relative ID (RID) Master – one per domain
  4. Primary Domain Controller (PDC) Emulator – one per domain
  5. Infrastructure Master – one per domain

به صورت پیش فرض با ایجاد اولین دامین کنترلر، رول‌های FSMO ساخته می‌شود اما می‌تواند بر اساس زیرساخت شما روی دو یا چند ماشین هم قرار گیرد.

اگر دامین کنترلری یا هر یک از این رول‌ها از بین برود برخی فعالیت‌ها محدود خواهد شد مثلا بدون Primary Domain Controller زیرساخت نمی‌تواند آپدیت پسوردهایی که برای کامپیوترها و اکانت‌های کاربران تغییر کرده را بگیرد.

پیکربندی رول ها در دامین کنترلر

رول‌های اصلی که در دامین کنترلرها پیکربندی می‌شوند، شامل موارد زیر هستند:

  • Schema Master که یک forest-wide master role است که به دامین کنترلری تخصیص داده می‌شود که تمام تغییرات Active Directory schema را مدیریت می‌کند.
  • Domain Naming Master یکی دیگر از forest-wide master role ها در دامین کنترلری است که تغییرات فارست مانند اضافه و حذف دامنه را مدیریت می‌کند. دامین کنترلری که این رول را دارد، مدیریت تغییرات domain namespace را نیز مدیریت می‌کند.
  • Relative ID (RID) Master یک domain-wide master role در دامین کنترلری است که ID number های منحصربه‌فرد برای دامین کنترلرها تولید می‌کند و مدیریت تخصیص این اعداد را برعهده دارد.
  • PDC Emulator یک domain-wide master role در دامین کنترلری است که عملکردی مانند ویندوز NT در دامین کنترلر دارد. وجود این رول معمولا زمانی ضروری است که کامپیوترهایی داریم که دارای سیستم عامل‌های پیش از ویندوز 2000 و XP هستند.
  • Infrastructure Master یکی دیگر از domain-wide master role است که به دامین کنترلری تخصیص داده می‌شود که مدیریت تغییرات ایجاد شده در یک گروه را برعهده دارد.

بی شک، رول‌های اصلی می‌توانند به دامین کنترلرهای یک دامنه و یا Forest تخصیص داده شوند. Master Role های خاصی که به دامین کنترلرها تخصیص داده شوند را Operations Masters می‌نامند. این دامین کنترلرها نسخه اصلی از اطلاعاتی خاص را در Active Directory میزبانی می‌کنند و اطلاعات را روی سایر دامین کنترلرها کپی می‌کنند. 5 نوع رول اصلی (Master Role) برای تعریف در دامین کنترلرها وجود دارد. دو رول از رول‌های اصلی که forest-wide master roles هستند به دامین کنترلری در Forest تخصیص داده می‌شوند. سه رول اصلی دیگر هم domain-wide master roles هستند که روی دامین کنترلر در هر دامنه اعمال می‌شوند.

سرور یا سرورهای Global Catalog نیز قابل نصب روی دامین کنترلر است. GC منبع متمرکز اطلاعات روی اشیا اکتیودایرکتوری در Forest و دامنه است و برای بهبود کارایی در جستجوی آبجکت در اکتیو دایرکتوری استفاده می‌شود. اولین دامین کنترلری که روی دامنه نصب می‌شود، به صورت پیش فرض به عنوان سرور GC در نظر گرفته شده است. سرور GC، نسخه‌ای کامل از تمام اشیا را در دامنه میزبان خود و partial replica از اشیا را برای سایر دامنه‌ها در Forest ذخیره می‌کند. این partial replica شامل اشیایی است که زیاد جستجو می‌شوند. به طور کلی پیشنهاد می‌شود که برای هر سایت در دامین، یک سرور GC را پیکربندی کنید. در ادامه عملکرد سرور GC را بررسی می‌کنیم.

عملکرد سرور Global Catalog – سرور GC 

گلوبال کاتالوگ یه کاتالوگ چند دامنه است که سرچ سریع‌تر آبکجت‌ها را بدون نیاز به نام دامنه فراهم می‌کند. عملکرد سرور GC به صورت زیر است:

  • ویژگی UPN – User Principal Name نام کاربر سیستمی است که به فرمت ایمیل مثل john.doe@domain.com ذخیره می‌شود. وجود سرورهای GC برای عملکرد UPN در اکتیو دایرکتوری بسیار ضروری است زیرا سرورهای GC موارد UPN را انجام می‌دهد، زیرا وقتی دامین کنترلری که به درخواست‌های احراز هویت رسیدگی می‌کند، به دلیل اینکه حساب کاربری در دامنه دیگری قرار دارد، قادر به احراز هویت نیست. در اینجا سرور GC برای یافتن حساب کاربری کمک می‌کند تا دامین کنترلری که وظیفه احراز هویت را برعهده دارد بتواند درخواست ورورد به سیستم (Log on) را برای کاربر ادامه دهد.
  • سرورهای GC تمام درخواست‌های سرچ را برای کاربرانی که در پی جستجوی اطلاعات در AD هستند، انجام می‌دهند و می‌توانند تمام اطلاعات اکتیو دایرکتوری را صرف‌نظر از دامنه‌ای که اطلاعات در آن قرار دارند، بیابند. سرورهای GC درخواست‌ها را در کل Forest انجام می‌دهند.

سرورهای GC، اطلاعات عضویت Universal Group را در دامین کنترلر و برای درخواست‌های ورود به شبکه، برای کاربران فراهم می‌کند.

پیشنهاد مطالعه

راه اندازی domain controller

مراحل نصب دامین کنترلر همانند مراحل نصب اکتیودایرکتوری است که در آموزش نصب اکتیو دایرکتوری به طور کامل و تصویری آموزش داده شده است.

راه اندازی domain controller
راه اندازی دامین کنترلر و اکتیو دایرکتوری

مفهوم Active Directory Replication و تست آن

ریپلیکیشن در اکتیودایرکتوری بخش مهمی است که وظیفه آن این است که بتوانید روی دامین کنترلر در فارست تغییرات ایجاد کنید و این تغییرات را به دیگر دامین کنترلرها ریپلیکیت کنید. روش توزیع این اطلاعات مساله مهمی برای تیم مایکروسافت بود. AD DS replication مستقل از ساختار دامین و درخت و فارست است.

اکتیو دایرکتوری از شمارنده‌ها و جداولی استفاده می‌کند تا مطمئن شود دامین کنترلر، جدیدترین اطلاعات مربوط به هر آبجکت و attribute را دارد و از از لوپ های ریپلیکیشن جلوگیری می‌شود.

برای بررسی سلامت ریپلیکیشن در اکتیودایرکتوری از دستور Repadmin /replsummary و برای بررسی وضیعت ریپلیکیشن از دستور Repadmin /Showrepl در Command Prompt استفاده کنید.

مفهوم Active Directory Replication و تست آن
دستورات بررسی سلامت ریپلیکیشن و وضیعت ریپلیکیشن در اکتیودایرکتوری

برای دانلود ابزار Download Active Directory Replication Status Tool از سایت مایکروسافت روی لینک بزنید. این ابزار وضعیت ریپلیکیشنِ دامین کنترلر را در دامین یا فارست اکتیودایرکتوری انجام می‌دهد و روی ویندوز سرورهای 2003 به بعد قابل استفاده است.

مشاوره و طراحی شبکه در فالنیک (ایران اچ پی)
فالنیک با تکیه بر دانش، تخصص و تجربه متخصصین خود، نیازهای مشتریان خصوصی و دولتی خود را بررسی و تحلیل می‌کند و خدمات خود را در زمینه مشاوره، طراحی، پیاده‌سازی، نظارت و پشتیبانی شبکه‌های کامپیوتری ارایه می‌دهد.
دریافت مشاوره طراحی شبکه

3.7/5 - (3 امتیاز)
وبینار آشنایی با معماری، مفاهیم و کاربردهای VMware vsan وبینار آشنایی با معماری، مفاهیم و کاربردهای VMware vsan

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا