دامین کنترلر در اکتیودایرکتوری چیست؟

پیاده‌سازی و اجرایی کردن سرورها به گونه‌ای که کلاینت‌های تحت شبکه بتوانند به شکل درستی به شبکه متصل شده و از منابع استفاده کنند نقش مهمی در پیشبرد اهداف تجاری سازمان دارد. از کارهای مهمی که هنگام نصب سرور و سیستم‌عامل باید به آن دقت کنید نصب و پیکربندی درست اکتیو دایرکتوری و کنترل‌کننده دامنه  یا دامین کنترلر است.

Domain در شبکه چیست؟

به‌طور معمول، دامنه در شبکه به منظور مدیریت دسترسی به منابع شبکه برای گروهی از کاربران استفاده می‌شود. این منابع می‌توانند برنامه‌ها، چاپگرها و موارد این چنینی باشند که ممکن است روی سرورهای مختلف در شبکه باشند. برای دسترسی به منابع کاربر باید به دامین وارد شود تا به منابع دست پیدا کند. وقتی کامپیوترهای شبکه به شکل منطقی گروه‌بندی شوند، در واقع از دامنه استفاده کرده‌ایم و بدین ترتیب قادر هستیم منابع شبکه را مدیریت کنیم. در این حالت فرایند ورود و احراز هویت کاربران توسط اکتیودایرکتوری انجام می‌شود. پس از انجام این‌کار کاربران اجازه دسترسی به منابع اشتراکی دامنه را دارند. این دسترسی‌ها بر مبنای مجوزهای دسترسی تعریف شده در دامین کنترلر است.

پیشنهاد مطالعه: انواع شبکه و تجهیزات پسیو و اکتیو 

domain controller چیست؟

وقتی کلاینتی عضو دامین می‌شود برای کلاینت حساب کاربری و گذرواژه تعریف می‌شود تا کلاینت در هر مرتبه ورود به حساب کاربری توسط دامین کنترلر احراز هویت شده و اطلاعات ثبت شوند. در برخی شرکت‌ها کاربر برای ورود به حساب کاربری از کامپیوترهای عضو دامین استفاده می‌کنند که ممکن است مختص آن‌ها نباشد. همان‌گونه که اطلاع دارید، اکتیودایرکتوری دامین را ایجاد می‌کند و سروری که اکتیودایرکتوری روی آن نصب می‌شود کنترل‌کننده دامنه (دامین کنترلر) نامیده می‌شود.

دامین کنترلر یا همان DC، سروری است که نسخه‌ای از اکتیو دایرکتوری را ذخیره می‌کند. اکتیودایرکتوری یکی از مهم‌ترین مولفه‌های ویندوز سرور است که منبع متمرکزی از اطلاعات مهم را ایجاد می‌کند تا مدیریت منابع سازمانی به سهولت انجام شود. بر مبنای این تعریف باید بگوییم که دامین کنترلر سروری است که به درخواست‌های احراز هویت کاربران و تایید آن‌ها پاسخ می‌دهد. دامنه‌ها از الگوی سلسله مراتبی برای سازمان‌دهی کاربران و کلاینت‌های یک شبکه استفاده می‌کنند.

سرویس دایرکتوری این اطمینان خاطر را می‌دهد که منابع شبکه همواره در دسترس خواهند بود و کاربران می‌توانند به منابع شبکه، برنامه‌های کاربردی و تجهیزات سخت‌افزاری دسترسی داشته باشند. سرپرستان شبکه می‌توانند از اکتیودایرکتوری برای مدیریت اشیا مختلف روی یک دامنه استفاده کنند.

به‌طور کلی، دامین کنترلر، کامپیوتری است که ویندوز سرور روی آن اجرا می‌شود و یک کپی از دایرکتوری دامنه است. دامین کنترلرها در اکتیو دایرکتوری، شامل داده‌های ذخیره‌ شده و خط‌مشی‌های امنیتی دامنه است. دامین کنترلر با احراز هویت کاربرانی که قصد ورود به شبکه را دارند امنیت دامنه را تضمین می‌کند.

انواع دامین کنترلر

به‌طور کلی دو نوع دامنه کنتر‌ل‌کننده به شرح زیر وجود دارد: دامین کنترلر اصلی (primary domain controller) که سروری حاوی بانک اطلاعاتی اصلی است که برای مدیریت دامنه استفاده می‌شود و دامین کنترلر پشتیبان (backup domain controller) که یک یا چند سرور است که به عنوان دامین کنترلر پشتیبان در نظر گرفته شده‌اند.

دامین کنترلر اصلی به شکل دوره‌ای کپی‌هایی از بانک اطلاعاتی را به دامنه کنترلر پشتیبان ارسال می‌کند. در این‌جا دامین کنترلر پشتیبان دو وظیفه دارد. اول آن‌که اگر به هر دلیلی دامین اصلی خراب شد، نسخه پشتیبان جایگزین آن می‌شود و دوم آن‌که اگر شبکه بار کاری زیادی داشته باشد، حجم کاری را متعادل می‌کند.

مزایای domain controller

به‌طور معمول سازمان‌های بزرگ برای مدیریت سرور مجبور به استفاده از دامین کنترلر  هستند. از مهم‌ترین مزایای دامین کنترلر باید به مدیریت متمرکز کاربران، اشتراک‌گذاری منابعی مثل چاپگرها و مستندات، پیکربندی Federated برای دستیابی به افزونگی، رمزگذاری اطلاعات، تعیین سطح دسترسی به منابع، گروه‌بندی کاربران بر مبنای وظیفه‌ای که در سازمان دارند، اعمال محدودیت‌ها برای تامین امنیت و موارد این چنینی اشاره کرد.

اکتیو دایرکتوری چیست؟

اکتیو دایرکتوری (Active Directory) یک بانک اطلاعاتی بسیار بزرگ و مفصل از اشیا شبکه است که از یک الگوی سلسله مراتبی برای سازمان‌دهی دامنه‌ها و منابع استفاده می‌کند. این بانک اطلاعات بزرگ برای ذخیره‌سازی اطلاعات کاربران، کامپیوترها، سرویس‌ها و سایر منابع شبکه تعریف و استفاده می‌شود. امروزه اکتیو دایرکتوری عملکردها و ویژگی‌های امنیتی جدید قدرتمندی را ارایه می‌کند که عمدتا بر احراز هویت متمرکز و یکپارچه متمرکز است و اجازه دسترسی دقیق به منابع را می‌دهد. با این‌حال، مهم‌ترین ویژگی اکتیو دایرکتوری مدیریت دقیق کلاینت‌های تحت شبکه است.

تفاوت اکتیو دایرکتوری و دامین کنترلر

اکتیو دایرکتوری سرویسی از ویندوز سرور است که کنترل‌کننده دامنه آن‌را در شبکه ارایه می‌کند. به بیان ساده‌تر، کنترل‌کننده دامنه را باید شبیه به کانتینر یا مخزنی تصور کنید که اکتیو دایرکتوری درون آن قرار می‌گیرد. بر همین أساس باید بگوییم که اکتیو دایرکتوری در کنترل‌کننده دامنه اجرا می‌شود. دومین تفاوت بزرگ این دو سرویس در این است که کنترل‌کننده دامنه ماهیت فیزیکی دارد، در حالی که اکتیودایرکتوری ماهیت منطقی دارد. سومین تفاوت در این است که اکتیو دایرکتوری نوع ویژه‌ای از دامنه است، در حالی که دامین کنترلر سرور کلیدی در آن دامنه است.

تمامی دامنه‌ها به یک کنترل‌کننده دامنه نیاز دارند، اما هر دامنه‌ای نمی‌تواند اکتیو دایرکتوری باشد. چهارمین تفاوت این است که اکتیو دایرکتوری مثل یک بانک اطلاعاتی است که همه داده‌ها و اطلاعات را به شکل اشیا کاربران، کامپیوترها، گروه‌ها و موارد این چنینی ذخیره‌سازی می‌کند تا دسترسی به منابع با سهولت امکان‌پذیر باشد، اما کنترل‌کننده دامنه سروری است که اکتیودایرکتوری را اجرا کرده و از اطلاعات ذخیره شده در بانک اطلاعاتی (اکتیودایرکتوری) برای احراز هویت و تایید هویت کاربران استفاده می‌کند.

اهمیت نصب دامین کنترلر

اکتیو دایرکتوری به این دلیل نصب می‌شود که تمامی اطلاعاتی که برای مدیریت شبکه، دامنه، کاربران و کلاینت‌ها به آن نیاز است را ذخیره‌سازی می‌کند، در حالی که کنترل‌کننده دامنه کانتینری است که امنیت را تضمین می‌کند.

دامین کنترلرها اطلاعاتی درباره دسترسی به شبکه و احراز هویت در اختیار دارد تا تمامی کلاینت‌ها و گره‌های تحت شبکه بر مبنای خط‌مشی‌های تعیین شده برای هر گروه به شبکه دسترسی پیدا کنند. بنابراین باید به دقت از آن محافظت شود، زیرا اگر هکرها موفق به نفوذ به آن شوند قادر به پیاده‌سازی أنواع مختلفی از حمله‌های سایبری هستند.

مفهوم Active Directory Replication

سرویس (Active Directory Replication) یکی از مولفه‌های مهم اکتیو دایرکتوری است که برای اعمال تغییرات در Forest که روی کنترل‌کننده دامنه وجود دارد از آن استفاده می‌شود. کاری که مولفه فوق انجام می‌دهد کپی این تغییرات به دیگر کنترل‌کننده دامنه است. AD DS replication مستقل از ساختار دامنه، Forest و Tree است. اکتیو دایرکتوری از جداول و شماره‌هایی استفاده می‌کنند تا اطمینان حاصل کنند کنترل‌کننده دامنه تازه‌ترین اطلاعات مرتبط با هر شی و خصلت را دارد و مانع تکثیر بدون دلیل و بی مورد اطلاعات شود. برای بررسی وضعیت برنامه‌ها در اکتیودایرکتوری از دستور Repadmin /replsummary و برای بررسی وضیعت برنامه‌های کاربردی از دستور Repadmin /Showrepl استفاده می‌شود.

راه اندازی Domain Controller

هنگامی که ویندوز سرور را برای اولین بار اجرا کنید (برای انجام مراحل نصب ویندوز سرور 2019 کلیک کنید) و پنجره Server Manager باز میشود، مشاهده می‌کنید پیغام هشداری در کنار پرچم قرار دارد. اگر روی آیکون مذکور کلیک کنید، منویی همانند شکل زیر را مشاهده می‌کنید که اعلام می‌دارد domain controller و سرویس دامنه اکتیو دایرکتوری باید پیکربندی شوند.

با کلیک روی گزینه Promote this server to a domain controller پنجره پیکربندی سرویس دامنه اکتیودایرکتوری باز می‌شود. پنجره‌ فوق اجازه ‌می‌دهد، دامنه‌ای ایجاد کنید تا سرورها یا کلاینت ها بتوانند عضو آن دامنه شده و به کنترل‌کننده دامنه اضافه شوند. در پنجره این ابزار سه گزینه به شرح زیر وجود دارد:

Add a domain controller to an existing domain: گزینه فوق برای افزودن یک کنترل‌کننده دامنه به کنترل‌کننده دامنه‌ای که از قبل ساخته شده، استفاده می‌شود.

Add a new domain to an existing forest: گزینه فوق دامنه جدیدی به Forest از قبل ساخته شده، اضافه می‌کند.

Add a new forest: برای ساخت یک Forest استفاده می‌شود که گزینه مدنظر ما در این مقاله است. گزینه فوق را انتخاب کرده و کلید Next را فشار دهید.

با انتخاب گزینه Add a new forest باید در فیلد Root Domain Name نام دامنه را وارد کنید. به‌طور مثال، این دامنه می‌تواند شبیه به example.com باشد. پس از وارد کردن نام دامنه کلید Next را فشار دهید.

در صفحه بعد باید سطح عملیاتی Forest و domain را انتخاب کنید. در دو فیلد اول اگر در نظر دارید از سرورهایی که سیستم‌عامل آن‌ها قدیمی است استفاده کنید باید گزینه ویندوز سرور 2008 یا 2012 را انتخاب کنید. پیش‌فرض‌های سه گزینه دیگر را تغییری ندهید. در این بخش باید گذرواژه‌ای برای سرور کنترل‌کننده مشخص کنید. گذرواژه‌ای که وارد کرده‌اید را در مکانی یادداشت کرده و کلید Next را فشار دهید.

در صفحه بعد پیغام هشداری نشان داده می‌شود که احراز هویت منطقه‌ای Parent برای سرور سامانه نام دامنه پیدا نشده است. در این مقاله نیازی به بررسی گزینه فوق ندارید، بنابراین دکمه Next را کلیک کنید.

در صفحه بعد ویندوز سرور نام NetBIOS اختصاص داده شده به دامنه را نشان می‌دهد تا در صورت لزوم آن‌را ویرایش کنید. نام نشان داده شده را قبول کرده و کلید اینتر را فشار دهید.

در صفحه بعد مسیرهایی که فایل‌های گزارش، بانک‌های اطلاعاتی کنترل‌کننده دامنه اکتیو دایرکتوری و SYSVOL در آن مکان‌ها ذخیره می‌شوند را مشاهده می‌کنید. روی دکمه Next کلیک کنید.

در صفحه بعد گزارشی از گزینه‌ها و انتخاب‌هایی که انجام داده‌اید نشان داده می‌شود.

در این صفحه دکمه‌ای برای مشاهده فایل اسکریپتی به نام View Script وجود دارد. اگر روی دکمه فوق کلیک کنید، تنظیماتی که امکان به‌کارگیری آن‌ها در محیط پاورشل امکان‌پذیر است را مشاهده می‌کنید. تنظیمات فوق گزینه‌هایی هستند که انتخاب کرده‌ایم.

اگر فایل اسکریپتی را باز کرده‌اید، آن‌را بسته و روی دکمه Next کلیک کنید. در این صفحه گزارش نهایی را همراه با جزییات آن یکبار دیگر مشاهده می‌کنید. در این بخش ویندوز سرور هشدار می‌دهد که آداپتور شبکه فاقد یک آدرس آی‌پی ایستا است. در حالت کلی، ویندوز سرور برای انجام درست کارها و مدیریت دقیق‌تر کامپیوترها به یک آدرس آی‌پی ایستا و ثابت نیاز دارد. با توجه به این‌که در مقاله فوق هدف آشنایی با نحوه ایجاد یک کنترل‌کننده دامنه است، روی دکمه Install کلیک کنید.

 

پس از انجام این‌کار سرور راه‌اندازی شده و صفحه‌ای همانند شکل زیر نشان داده می‌شود.

اکنون کامپیوتر به دامنه متصل شده است. برای ورود به سرور باید نام کاربری و گذرواژه برای اتصال به دامنه را وارد کنید. نام کاربری را Administrator وارد کرده و در فیلد دوم گذرواژه‌ای که تعیین کرده‌اید را وارد کنید.

پیشنهاد مطالعه: آموزش حذف کامل دامین کنترلر DC از اکتیو دایرکتوری