در این محتوا قصد داریم به بررسی دامین کنترلر در اکتیودایرکتوری بپردازیم. لازم است ابتدا بدانیم، اکتیو دایرکتوری چیست و چه کاربرد و اهمیتی دارد؟

اکتیو دایرکتوری چیست؟

اکتیو دایرکتوری (Active Directory)، مجموعه‌ای از چند سرویس است که به صورت متمرکز ارائه می‌شود و به آسانی می‌توان آنها را ساماندهی و مدیریت کرد. این یعنی چندین سرویس تحت نظر سرویس اکتیو دایرکتوری کار می‌کنند. مثل یوزرهای تعریف شده در شبکه، دسترسی هایی که به این یوزرها داده می‌شود، فایل ها و پرینترهای به اشتراک گذاشته شده در شبکه.

اکتیو دایرکتوری این سرویس ها را به صورت متمرکز ارائه می‌دهد که نتیجه آن ساماندهی و مدیریت آسان و دقیق این سرویس ها است. مایکروسافت سرویس Active Directory را در اختیار ادمین‌ها قرار داده تا مدیریت مجوزهای دسترسی به منابع شبکه را به راحتی و از طریق لاگین به آن انجام دهند. اکتیودایرکتوری همراه با رشد سازمانی شما می‌تواند رشد کند.

دامنه (Domain) چیست؟

دامنه به گروهی از کامپیوترهای موجود در یک شبکه اطلاق می‌شود که نام، سیاست گذاری و پایگاه داده موجود را به اشتراک می‌گذارند. این سومین سطح در سلسله مراتب اکتیو دایرکتوری محسوب می ‎شود. اکتیو دایرکتوری این توانایی را دارد تا میلیون‎ها آبجکت موجود در یک دامنه را مدیریت کند.

دامنه‎ ها به عنوان ظروفی برای اختصاص دادن کارهای مدیریتی و سیاست های امنیتی عمل می‌کنند. به طور پیش فرض، تمام آبجکت‎ های درون یک دامنه، سیاست گذاری‎های متداول که به این دامنه اختصاص داده شده را، به اشتراک می‌گذارند. تمام آبجکت‎های درون یک دامنه، توسط مسئول دامنه مدیریت می‌شود. علاوه بر این، برای هر دامنه، پایگاه داده منحصر به فردی وجود دارد؛ فرآيند احراز هویت بر اساس دامنه انجام می‌شود و به محض این که مجوز لازم برای یک کاربر فراهم شود او می‌تواند به تمام آبجکت‎های موجود در یک دامنه دسترسی داشته باشد.

برای این که یک اکتیو دایرکتوری بتواند کار خود را انجام دهد، به یک یا چند دامنه نیاز دارد. باید یک یا چند سرور در یک دامنه وجود داشته باشد که نقش کنترل کننده دامنه را ایفا کند. از کنترل کننده ‎های دامنه برای حفظ سیاست گذاری‎ها، ذخیره سازی پایگاه داده و همچنین فراهم سازی مجوز برای کاربران استفاده می‌شود.

تفاوت بین اکتیو دایرکتوری و دامنه در چیست؟

اکتیو دایرکتوری خدماتی است که به مسئولان شبکه اجازه می‌دهد تا اطلاعات را ذخيره کرده و امکان دسترسی به این اطلاعات را برای کاربران مشخص شده فراهم ‌کنند. در حالی که دامنه مجموعه ‎ای از کامپیوترها است که سیاست گذاری‎ها، اسامی و پایگاه‎های داده موجود را به اشتراک می‌گذارد. دامنه بخشی از اکتیو دایرکتوری است و بعد از سلسله مراتب‎های forest و tree در جایگاه سوم قرار می‌گیرد.

تعریف Domain controller:  

دامین کنترلر، سروری است که نسخه‌ای از Active Directory را ذخیره دارد و از دیتا استورِ اکتیودایرکتوری محافظت می‌کند. اکتیودایرکتوری برای این طراحی شده که منبع متمرکزی از اطلاعات را فراهم کند تا منابع سازمان را به صورتی امن مدیریت کند.

وقتی کامپیوتر عضو دامین می‌شود، در دامین کنترلر برای او اکانت و رمزعبور تعریف می‌شود و با هر بار لاگین کاربر، فرآیند احراز هویت توسط دامین کنترلر انجام می‌شود. البته این امکان وجود دارد که کاربر از حساب کاربری خود روی هر کامپیوتر عضو دامین استفاده کند و فقط مختص به یک کامپیوتر نیست.

دامین کنترلر سروری است که به درخواست‌های احراز هویت کاربران و تایید آنها در شبکه‌های کامپیوتری، پاسخ می‌دهد. دامین‌ها از روش سلسله مراتبی برای سازماندهی کاربران و کامپیوترهایی که در یک شبکه با هم کار می‌کند استفاده می‌کنند و دامین کنترلر تمام این دیتاها را سازماندهی کرده و امن نگه می‌دارد.

سرویس دایرکتوری تضمین می‌کند، که منابع شبکه در دسترس هستند و کاربران قادرند به منابع شبکه، اپلیکیشن‌ها و برنامه‌ها، دسترسی داشته باشند. ادمین‌ها با کمک اکتیودایرکتوری می‌توانند از طریق کامپیوتری در شبکه لاگین کنند و آبجکت‌های اکتیو دایرکتوری را روی کامپیوتر متفاوتی در یک دامین و دامنه مدیریت کنند. دامین کنترلر، کامپیوتری است که ویندوز ۲۰۰۰ و یا ویندوز سرور ۲۰۰۳ به بعد روی آن اجرا می‌شود و دارای یک کپی از دایرکتوری دامنه است.

تفاوت دامین کنترلر در اکتیودایرکتوری :

مهمترین تفاوت اکتیو دایرکتوری و دامین کنترلر این است که اکتیودایرکتوری سرویسی است، که دامین کنترلر آن را در شبکه ارائه می‌دهد. به عبارتی دامین کنترلر ظرف است و اکتیودایرکتوری مظروف؛ اکتیودایرکتوری در دامین کنترلر اجرا می‌شود. دامین کنترلر ماهیت فیزیکی دارد و اکتیودایرکتوری ماهیت منطقی.

اکتیو دایرکتوری نوعی دامنه است و دامین کنترلر، سرور مهمی در آن دامنه. همه دامنه‌ها نیاز به دامین کنترلر دارند، اما هر دامنه‌ای اکتیو دایرکتوری نیست. مثل اینکه انواع ماشین‌ها را داریم اما هر ماشین برای حرکت، به موتور خودش نیاز دارد.

اکتیو دایرکتوری نوعی دامنه است و دامین کنترلر، سرور مهمی در آن دامنه.

اهمیت نصب دامین کنترلر چیست؟

• اکتیو دایرکتوری مانند پادشاه می باشدکه دامین کنترلر جعبه‌ کلید پادشاهی ست. پس اگر هکرها برای دسترسی به شبکه و دامین کنترلر اقداماتی انجام دهند باید از دامین کنترلر محافظت شود، تا از خود دامین کنترلر برای حفاظت در برابر حملات سایبری استفاده شود.
• دامین کنترلرها حاوی اطلاعاتی هستند، که دسترسی به شبکه شما را تعیین و تایید می‌کند. مثلا نام تمام کامپیوترها و هر آنچه که هکر برای خرابکاری در شبکه و دزدی اطلاعات شما لازم دارد، در دامین کنترلر قرار گرفته است. پس دامین کنترلر می‌تواند هدف اصلی هکرها در حملات سایبری باشد.
• به طور کلی فارغ از وسعت و اندازه، تمام کسب‌وکارهایی که اطلاعات مشتریانشان را در شبکه ذخیره می‌کنند، برای تامین امنیت شبکه‌، به دامین کنترلر نیاز هست. تنها استثنای این موضوع، سرویس‌هایی مانند CRM که تخت فضای ابری ارایه می‌شود، است.
• برای اینکه بدانیم، برای امنیت دیتا به دامنه یا دامین کنترلر نیاز دارید به این سوال پاسخ دهید: اطلاعات مشتریان شما در کجا ذخیره می‌شود و چه کسانی به آن دسترسی دارند؟
• اکتیو دایرکتوری با ارائه یک ساختار سلسله مراتبى، سازماندهى آسان Domain ها و منابع را فراهم مى‌کند و مانند یک دیتابیس که اطلاعات را به صورت آبجکت‌های کاربران و کامپیوترها و گروه‌ها و … ذخیره می‌کند، می باشد تا دسترسی به منابع فراهم شود؛ اما دامین کنترلر سروری است که اکتیودایرکتوری را اجرا می‌کند و از دیتای ذخیره شده در اکتیودایرکتوری برای احراز هویت کاربران (authentication و authorization) استفاده می‌کند.

مزایای دامین کنترلر عبارتند از:

• مدیریت متمرکز کاربران
• اشتراک گذاری منابعی مثل پرینترها و فایل‌ها
• پیکربندی Federated برای افزونگی (که با استفاده از رول‌های FSMO مشخص می‌شود)
• امکان توزیع و ریپلیکیت کردن در شبکه‌های بزرگ
• رمزگذاری دیتا
• اعمال محدودیت‌ها برای تامین امنیت

معایب دامین کنترلرعبارتند از:

• هدف حملات سایبری
• کاربران و سیستم عامل باید ثبات داشته باشند و امنیت آنها حفظ شود و آپدیت باشند.
• شبکه به آپ تایم دامین کنترلر وابسته است.
• به سخت افزار و نرم افزار نیاز دارد.

راهکارهای افزایش امنیت دامین کنترلر:

همان طور که گفتیم دامین کنترلر هدف خوب و مهمی برای هکرهاست و باید راهکارهایی برای افزایش امنیت آن به کار بریم. در ادامه چند نکته در این زمینه ارائه می‌دهیم:

• به صورت فیزیکی امنیت سرور دامین کنترلر را فراهم کنید. سرور دامین کنترلر را از دیگر سرورها جدا کنید و در جایی قرار دهید که کاربران غیرمجاز امکان دسترسی به آن را نداشته باشند. هر ورودی را با دستگاه‌های الکترونیکی بررسی کنید. دامین کنترلرهای مجازی باید روی هاست اختصاصی اجرا شوند پس باید پسورد بسیار قوی داشته باشد و فقط فرد دارای مجوز به آن دسترسی داشته باشد.
• برای دامین کنترلر ادمین باید پالیسی تعریف کنید. اعضای گروه ادمین باید خیلی محدود باشند.
• دسترسی شبکه به دامین کنترلر را کاملا محدود کنید.
• از جدیدترین نسخه ویندوز سرور استفاده کنید به جای آپگرید کردن دامین کنترلر، نسخه جدید آن را نصب کنید.
• پارامترهای امنیتی مناسب برای DC اعمال کنید.
• آنچه روی دامین کنترلر اجرا می‌شود را محدود کنید. DC باید فقط برنامه‌ها و سرویس‌هایی که برای عملکرد و امنیت آن مهم است اجرا کند. می‌توانید از برنامه‌هایی استفاده کنید که برنامه‌های نرم افزاری غیرضروری را بلاک کند.
• مرورگر وب و وبگردی را خارج از DC نگه دارید. قطعا نباید از DC برای وبگردی استفاده شود حتی اکانت‌های درجه بالا هم نباید چنین کاری کنند. این مورد را جزو پالیسی قرار دهید و مرورگر وب را بلاک کنید. پالیسی‌های موثر و پیکربندی‌های امنیتی و پارامترهای پیشگیرانه همگی با هم می‌توانند وبگردی را کاملا ببندند.
• از دامین کنترلر بکاپ تهیه کنید.

دو نوع دامین کنترلر داریم:

1. دامین کنترلر اصلی – primary domain controller – PDC: سروری است که دیتابیس اصلی را برای دامین مدیریت می‌کند.
2. دامین کنترلر بکاپ – backup domain controller – BDC: یک یا چند سرور است که به عنوان دامین کنترلر بکاپ طراحی می‌شوند. دامین کنترلر اصلی به صورت دوره‌ای کپی‌هایی از دیتابیس را به دامین کنترلر بکاپ می‌فرستد. BDC دو وظیفه دارد: اگر PDC بنابه دلایلی Fail شود، BDC جایگزین می‌شود و یا اگر شبکه، زیادی مشغول باشد، حجم کاری را بالانس می‌کند.

نقش دامین کنترلر در اکتیو دایرکتوری عبارتند از:

ـ هر دامین کنترلر در هر دامنه، یک کپی از دیتا استور AD را برای دامنه‌ای خاص ذخیره و حفظ می‌کند.

ـ دامین کنترلرها در Active Directory از تکرار چند کاربره استفاده می‌کند یعنی هیچ دامین کنترلری به تنهایی به عنوان دامین کنترلر اصلی محسوب نمی‌شود. تمامی دامین کنترلرها باید به صورت جفت در نظر گرفته شوند.

ـ دامین کنترلرها، اطلاعات دایرکتوری آبجکت‌های ذخیره شده را به صورت اتوماتیک بین دامنه‌ها تکرار (Replicate) می‌کنند.

ـ آپدیت‌های مهم، بلافاصله برای دیگر دامین کنترلرهای دامنه تکرار می‌شوند.

ـ اجرای چندین دامین کنترلر در دامنه احتمال بروز خطا را برای دامنه بوجود می‌آورد.

ـ دامین کنترلرها در اکتیو دایرکتوری، Collisionها (برخوردها) را تشخیص دهند. Collisionها زمانی رخ می‌دهند که تغییری در داممنه خاص ایجاد شود و قبل از اعمال این تغییر در دامین کنترلر اصلی و پخش این تغییر به دیگر دامین کنترلرها، در یکی از دامین کنترلرها باعث تغییر شود.

ـ وظایف اکتیودایرکتوری به ۵ رول تقسیم می‌شود که در FSMO قرار می‌گیرد؛ FSMO مخفف Flexible Single Master Operation است و هر گاه بخواهیم دامین کنترلر جدیدی اضافه کنیم یا آیتم‌های جدید مثل کاربر و گروه بسازیم از یکی از این رول‌ها استفاده می کنیم. این ۵ رول با هم سیستم کامل اکتیودایرکتوری را می‌سازند:

• Schema Master – one per forest
• Domain Naming Master – one per forest
• Relative ID (RID) Master – one per domain
• Primary Domain Controller (PDC) Emulator – one per domain
• Infrastructure Master – one per domain

به صورت پیش فرض با ایجاد اولین دامین کنترلر، رول‌های FSMO ساخته می‌شود اما می‌تواند بر اساس زیرساخت شما، روی دو یا چند ماشین هم قرار گیرد.

پیکربندی رول ها در دامین کنترلر:

رول‌های اصلی که در دامین کنترلرها پیکربندی می‌شوند، شامل موارد زیر هستند:

• Schema Master که یک forest-wide master role است که به دامین کنترلری تخصیص داده می‌شود که تمام تغییرات Active Directory schema را مدیریت می‌کند.
• Domain Naming Master یکی دیگر از forest-wide master role ها در دامین کنترلری است که تغییرات فارست مانند اضافه و حذف دامنه را مدیریت می‌کند. دامین کنترلری که این رول را دارد، مدیریت تغییرات domain namespace را نیز مدیریت می‌کند.
• Relative ID (RID) Master یک domain-wide master role در دامین کنترلری است که ID number های منحصربه‌فرد برای دامین کنترلرها تولید می‌کند و مدیریت تخصیص این اعداد را برعهده دارد.
• PDC Emulator یک domain-wide master role در دامین کنترلری است که عملکردی مانند ویندوز NT در دامین کنترلر دارد. وجود این رول معمولا زمانی ضروری است که کامپیوترهایی داریم که دارای سیستم عامل‌های پیش از ویندوز ۲۰۰۰ و XP هستند.
• Infrastructure Master یکی دیگر از domain-wide master role است که به دامین کنترلری تخصیص داده می‌شود که مدیریت تغییرات ایجاد شده در یک گروه را برعهده دارد.

رول‌های اصلی می‌توانند به دامین کنترلرهای در  یک دامنه و یا Forest تخصیص داده شوند. Master Role رول های خاصی که به دامین کنترلرها تخصیص داده می شوند را Operations Masters می‌نامند. این دامین کنترلرها نسخه اصلی، از اطلاعات خاصی در Active Directory میزبانی می‌کنند و اطلاعات را در سایر دامین کنترلرها کپی می‌کنند. ۵ نوع رول اصلی (Master Role)  برای تعریف در دامین کنترلرها وجود دارد. دو رول از رول‌های اصلی که forest-wide master roles هستند به دامین کنترلری در Forest تخصیص داده می‌شوند. سه رول اصلی دیگر هم domain-wide master roles هستند که روی دامین کنترلر در هر دامنه اعمال می‌شوند.

سرور یا سرورهای Global Catalog نیز قابل نصب روی دامین کنترلر است. GC منبع متمرکز اطلاعات روی اشیا اکتیودایرکتوری در Forest و دامنه است و برای بهبود کارایی در جستجوی آبجکت در اکتیو دایرکتوری استفاده می‌شود. اولین دامین کنترلری که روی دامنه نصب می‌شود، به صورت پیش فرض به عنوان سرور GC در نظر گرفته می شود. سرور GC، نسخه‌ای کامل از تمام اشیا را در دامنه میزبان خود و partial replica از اشیا را برای سایر دامنه‌ها در Forest ذخیره می‌کند. این partial replica شامل اشیایی است که زیاد جستجو می‌شوند. به طور کلی پیشنهاد می‌شود که برای هر سایت در دامین، یک سرور GC را پیکربندی کنید.

مفهوم Active Directory Replication چیست؟

ریپلیکیشن در اکتیودایرکتوری بخش مهمی است که وظیفه آن این است که بتوانید روی دامین کنترلر در فارست تغییرات ایجاد کنید و این تغییرات را به دیگر دامین کنترلرها ریپلیکیت کنید. روش توزیع این اطلاعات مساله مهمی برای تیم مایکروسافت بود. replication مستقل از ساختار دامین و درخت و فارست است.اکتیو دایرکتوری از شمارنده‌ها و جداولی استفاده می‌کند، تا مطمئن شود دامین کنترلر جدیدترین اطلاعات مربوط به هر آبجکت و attribute را دارد و از از لوپ های ریپلیکیشن جلوگیری می‌کند.

منبع : https://mrshabake.com/domain-controller-in-active-directory/