فا

‫ نقش Windows Active Directory در سرورهاي ويندوزي

IRCAR201304172
تاريخ: 04/02/92
 
در اين مقاله در مورد اينكه در پشت صحنه يك نقش، به‌خصوص نقش Active Directory Domain Services چه اتفاقي مي‌افتد، شرح داده خواهد شد.
مقدمه
زماني كه نقش Active Directory را بر روي يك سرور ويندوزي نصب مي‌كنيد، دقيقاً چه اتفاقي مي‌افتد؟ دانستن اين موضوع و نيز مستند كردن آن، كاري كليدي است. دانستن آنچه در پشت صحنه اتفاق مي‌افتد به شما كمك مي‌كند كه مشكلات را برطرف كنيد و از امنيت سرورهاي خود اطمينان حاصل نماييد.
دسترسي به نقش‌هاي براي نصب
براي نصب نقش‌هاي مختلف بر روي يك سرور ويندوزي، نياز داريد كه به ابزار Server Manager مراجعه كنيد. به گفته مايكروسافت، اين ابزار مركز دستور تمامي فعاليت‌هاي مديريتي سرور است.Server Manager به شما اجازه مي‌دهد نقش‌هاي جديد را نصب كرده و نقش‌هاي موجود سرور خود را حذف كرده يا مشاهده نماييد.
Server Manager يكي از ابزارهاي مديريتي (Administrative Tools) است، بنابراين شما مي‌توانيد از طريق منوي Start يا كنترل پنل به آن دسترسي پيدا كنيد. هنگامي كه Server Manager را راه‌اندازي مي‌كنيد، علاوه بر نقش‌ها چيزهاي ديگري را نيز مشاهده مي‌كنيد. چرا كه Server Manager ابزاري براي مديريت اغلب فعاليت‌هاي سرور است. همانطور كه در شكل زير مشاهده مي‌كنيد، Server Manager به شما اجازه مي‌دهد به ابزارهاي مختلف و ساير جنبه‌هاي سرور نيز دسترسي پيدا كنيد.
همانطور كه در اين شكل مشاهده مي‌كنيد، نقش‌هاي زيادي بر روي اين سرور ويندوزي نصب شده است كه يكي از اين نقش‌ها، Active Directory Domain Services است. هنگامي كه اين نقش نصب مي‌شود، سرور را تبديل به يك كنترل كننده دامنه براي يك دامنه Active Directory مي‌كند. زماني كه اين نقش بر روي سرور نصب مي‌گردد، تغييرات قابل توجهي در سرور ايجاد مي‌كند كه امنيت و قابليت مديريت سرور را افزايش مي‌دهد.
سرويس‌ها
يكي از مهمترين جنبه‌هاي نقش Active Directory Domain Services، اين واقعيت است كه سرويس‌هاي ديگري را نيز نصب مي‌كند. مايكروسافت برخي تغييرات مهم را در سرويس‌هاي پيش‌فرض سرور ويندوزي در 2003 ايجاد كرد. اين تغييرات براي افزايش امنيت كلي و بهبود عملكرد سرور ايجاد شدند. هدف از اين كار، كاهش سطح حمله سرور ويندوزي بود.
هنگامي كه نقش Active Directory Domain Services نصب مي‌گردد، برخي سرويس‌هاي لازم نيز بايد نصب گردند تا سرور قادر باشد به‌عنوان يك كنترل كننده دامنه عمل كند. اين سرويس‌ها عبارتند از:
·         Active Directory Domain Services
·         DNS Client
·         Intersite Messaging
·         Kerberos Key Distribution Center
·         Netlgon
·         TCP/IP NetBIOS Helper
·         Windows Time
·         Workstation
اين‌ها سرويس‌هايي هستند كه با نصب اين نقش به‌طور خودكار نصب و فعال مي‌گردند. همانطور كه در شكل زير نشان داده شده است، شما مي‌توانيد اين مطلب را با باز كردن نقش Active Directory Domain Services در Server Manager مشاهده نماييد.
قوانين فايروال
علاوه بر اين سرويس‌ها، نصب اين نقش‌ها و به‌طور خاص نقش Active Directory Domain Services در اينجا، قوانين پيش‌فرض فايروال را نيز تنظيم مي‌كند تا سرويس‌ها و عملكرد كلي مورد نياز براي اين نقش، به خوبي كار كند. اين قوانين همچنين به محافظت از سرور در برابر حملات داخلي و خارجي كمك مي‌كند. فايروال ويندوز كه با ويندوز سرور 2008 آغاز به كار كرده است، يك پيشرفت قابل توجه نسبت به فايروال‌هاي پيشين مايكروسافت محسوب مي‌شود و در محافظت از سرورها، كمك قابل توجهي به شما خواهد كرد.
هنگامي كه نقش Active Directory Domain Services نصب مي‌گردد، قوانين فايروال كه در زير آمده‌اند نيز تنظيم مي‌گردند تا ارتباطات صحيح بر روي شبكه انجام پذيرد. قوانين داخلي در جدول اول و قوانين خارجي در جدول دوم نمايش داده شده‌اند.
Active Directory Domain Controller - Echo Request   (ICMPv4-In)
Active Directory Domain Controller - Echo Request   (ICMPv6-In)
Active Directory Domain Controller - LDAP (TCP-In)
Active Directory Domain Controller - LDAP (UDP-In)
Active Directory Domain Controller - LDAP for Global   Catalog (TCP-In)
Active Directory Domain Controller - Secure LDAP for   Global Catalog (TCP-In)
Active Directory Domain Controller - Secure LDAP   (TCP-In)
Active Directory Domain Controller - NetBIOS name   resolution (UDP-In)
Active Directory Domain Controller - SAM/LSA   (NP-TCP-In)
Active Directory Domain Controller - SAM/LSA   (NP-UDP-In)
Active Directory Domain Controller (RPC)
Active Directory Domain Controller (RPC-EPMAP)
Active Directory Domain Controller - W32Time   (NTP-UDP-In)
Kerberos Key Distribution Center - PCR (TCP-In)
Kerberos Key Distribution Center - PCR (UDP-In)
Kerberos Key Distribution Center (TCP-In)
Kerberos Key Distribution Center (UDP-In)
Netlogon Service (NP-In)
جدول 1: قوانين داخلي فايروال براي نقش Active Directory Domain Services
 
Active Directory Domain Controller - Echo Request (ICMPv4-Out)
Active Directory Domain Controller - Echo Request   (ICMPv6-Out)
Active Directory Domain Controller (TCP-Out)
Active Directory Domain Controller (UDP-Out)
Core Networking - Group Policy (LSASS-Out)
Core Networking - Group Policy (NP-Out)
Core Networking - Group Policy (TCP-Out)
File and Printer Sharing (Echo Request - ICMPv4-Out)
File and Printer Sharing (Echo Request - ICMPv6-Out)
File and Printer Sharing (NB-Datagram-Out)
File and Printer Sharing (NB-Name-Out), File and Printer   Sharing (NB-Session-Out)
File and Printer Sharing (SMB-Out), Core Networking   - DNS (UDP-Out)
جدول 2: قوانين خارجي فايروال براي نقش Active Directory Domain Services
 
نقش‌هاي وابسته
نصب يك نقش نه‌تنها منجر به نصب و تنظيم سرويس‌ها و قوانين فايروال مي‌گردد، بلكه برخي اوقات ممكن است نياز باشد نقش‌هاي ديگري نيز براي پشتيباني اين نقش نصب گردند. اين مسإله در مورد نقش Active Directory Domain Services نيز صادق است. كنترل كننده‌هاي دامنه بايد براي احراز هويت كامپيوتر و حساب‌هاي كاربري، با تمامي كامپيوترهاي شبكه و ساير كنترل كننده‌هاي دامنه ارتباط برقرار كنند. ارتباط يك كنترل كننده دامنه با يك كنترل كننده دامنه ديگر، همراه است با يكسان سازي پايگاه داده Active Directory و محتويات SYSVOL.
براي اينكه تمامي اين ارتباطات بر روي كنترل كننده‌هاي دامنه شما اتفاق بيفتد، نقش‌هاي ديگري بايد نصب گردند، از جمله:
  • DFS Namespace
  • DFS Replication
  • File Server
اين نقش‌ها به پشتيباني عملكرد كلي كنترل كننده دامنه كمك مي‌كنند و ارتباطات ديگري را كه سرويس‌هاي فوق ارائه نمي‌دهند، عرضه مي‌كنند.
ساير سرويس‌ها
براي اينكه يك كنترل كننده دامنه كار كند، ممكن است نقش‌ها و سرويس‌هاي ديگري وجود داشته باشد كه براي عملكرد دامنه Active Directory مورد نياز باشد. اين موارد عبارتند از:
  • Domain Naming Service
  • DHCP
DNS يك سرويس ضروري براي Active Directory است، البته نيازي نيست كه يك سرويس DNS مايكروسافت باشد. همچنين DNS مي‌تواند بر روي سرورهاي ديگر به جز كنترل كننده‌هاي دامنه قرار داشته باشد و همچنان كار كند. البته در اين حالت محدوديت‌هايي براي DNS ايجاد مي‌شود، اما همچنان مي‌تواند كار خود را انجام دهد.
DHCP معمولاً در شبكه‌هاي شركت‌ها مورد استفاده قرار مي‌گيرد، چرا كه اغلب شركت‌ها مايل نيستند كه به‌صورت دستي IP را بر روي سرورها و كامپيوترهاي شخصي تنظيم نمايند.
خلاصه
همانطور كه مشاهده مي‌كنيد، در پس نصب يك نقش و به‌خصوص نقش Active Directory Domain Services، اتفاقات زيادي در جريان است. هنگامي‌كه نقشي را نصب مي‌كنيد، سرور بايد طوري پيكربندي گردد كه تمامي ارتباطات سرويس داده شده توسط آن نقش را پشتيباني نمايد. اين بدان معناست كه سرويس‌هاي ديگري بايد نصب شده و فعال گردند. اين سرويس‌ها صرفاً به سرويس‌هاي مورد نياز آن نقش محدود مي‌شوند تا سطح حملات به حداقل كاهش يابد. قوانين داخلي و خارجي فايروال نيز به عنوان يك معيار ديگر براي كمك به محافظت از سرور ايجاد شده و تنظيم مي‌گردند تا اطمينان حاصل شود كه ارتباطات هسته مجاز هستند و ارتباطات ديگر غيرمجاز. اين نيز يك تاكتيك امنيتي سيستم عامل براي محدود ساختن حملات داخلي و خارجي است.
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0