IT: تکنولوژی اطلاعات

توجه : کلاینت ها بدون توجه به نوعشان می تواند در هر حوزه عملکردی در دامین و یا جنگل به منابع شبکه دسترسی پیدا کنند. سطوح عملکرد تنها مربوط به تعاملات دامین کنترلر ها با یکدیگر می شود و ربطی به کلاینت ها ندارد. البته به خاطر داشته باشید که بدون توجه به حوزه کارکرد، ویندوز ان تی سرور 4.0 (Windows NT Server 4.0) توسط ویندوز سرور 2008 (Windows Server 2008)  پشتیبانی نمی شود.

توجه : افزایش حوزه عملکرد به ویندوز سرور 2008 غیر قابل بازگشت خواهد بود. تمامی دامین کنترلر های موجود به غیر از ویندوز های سرور 2008 دیگر نمی توانند عمل کنند و در حقیقت ویزارد "wizard" در این صورت به شما اجازه افزایش حوزه عملکرد را نخواهد داد. پیش از این ارتقا توجه کنید که تمام نسخ ویندوز دامین کنترلر ها را به ویندوز سرور 2008 به روز رسانی کرده باشید.

 همچنین توصیه می کنم مقاله نیاز های سخت افزاری نصب اکتیو دایرکتوری برای یک دامین برنامه ریزی شده

بخوانید.

یک سرویس  دایرکتوری تقریبا مشابه یک دیتابیس است. در یک دایرکتوری اشیائی که به نوعی مرتبط اند، ذخیره می شوند و از طریق صفاتشان قابل دسترسی اند. در سرویس های مختلف و در سیستم عامل های مختلف، از یک سرویس دایرکتوری استفاده می شود. در سرویس دایرکتوری اطلاعات به صورت سلسه مراتبی نگه داری می شود همچنین سرویس دایرکتوری تمامی اطلاعات لازم را نگه داری می کند. با توجه به ارتباط میان اشیاء، دسترسی از طریق صفات و نگه داری تمامی اطلاعات لازم، مدیریت اطلاعات مرکزی و آسان تر می شود.

در شبکه های گوناگون همانند اینترنت، اشیاء مختلفی با استفاده از سرویس دایرکتوری نگه داری می شوند. سرویس هایی همانند فایل سرور ها و فکس سرور ها از دایرکتوری بهره می برند. اما عمکرد یک سرویس دایرکتوری در سرویس های مختلف، متفاوت است. با توجه به اهمیت این سرویس، باید مکانیسم های امنیتی و مدیریتی دیگر برای یکپارچگی و حفظ حریم خصوصی اتخاذ شود که در نتیجه باید از پروتکل ها و سرویس های جانبی دیگر نیز استفاده شود.

Active Directory Domain Service - AD DS :

سرویس دامین اکتیو دایرکتوری ، موجود در ویندوز نسخ سرور، شامل یک سرویس دایرکتوری است که اطلاعاتی همچون منابع و… را ذخیره می کند. اشیاء مختلفی در اکتیو دایرکتوری ذخیره می شود که به صورت اشیائی متفاوت سازمان می یابد. هر شیئ مجموعه مجزایی از صفات است که اشیائی از شبکه را مشخص می کند. به عنوان مثال یک User Account می تواند شامل ویژگی هایی همچون نام، نام خانوادگی و نام Logon باشد. در حالی که یک Computer Account شامل ویژگی های همچون نام و مشخصات می تواند باشد. بنابراین ضمن تفاوت اشیاء ویژگی ها متفاوت است و مشخص کننده اشیاء مختلفی از شبکه هستند. با بیان دقیق تر می توان گفت : هر داده ای که در Active Directory ذخیره می شود، به صورت اشیائی متمایز و دارای صفاتی جداگانه ذخیره می شود. برخی اشیاء خود می توانند شامل اشیائی دیگر باشند که با آنها Container گفته می شود به عنوان مثال یک دامین، یک Container است که خود شامل اشیائی دیگر همانند کامپیوتر ها یا کاربران می تواند باشد.

Active Directory Schema :

Active Directory schema معین کننده اشیائی است که می تواند در اکتیو دایرکتوری ذخیره شوند. Schema لیستی از انواع اشیاء و انواع داده های مربوط به آن اشیاء است، که می تواند در اکتیو دایرکتوری ذخیره شود. هر Schema به وسیله دو شیئ معین می شود:

1. schema class objects که schema classes نیز گفته می شود: مشخص کننده اشیائی است که امکان ساخت آن در اکتیو دایرکتوری وجود دارد.

2. schema attribute objects که schema attributes نیز گفته می شود. مشخص کننده ی ویژگی کلاس هایی است که عضو شده اند.

این دو شیئ با هم دیگر، metadata گفته می شوند.

یک schema class در واقع یک قالبی برای ساختن اشیاء جدید در اکتیو دایرکتوری است. هر schema class جمعی از schema attributes  است که در زمان ساخت یک شیئ جدید، مقادیر ویژگی ها تغییر پیدا می کند به عنوان مثال یک کلاس User شامل ویژگی ها مختلفی است همانند Home Folder . بدیهی است که هر schema attribute نیز صرفا معین کننده ی یک ویژگی از ویژگی های شیئ است. چندین ویژگی و کلاس مختلف به صورت پیش فرض Schema وجود دارد. امکان افزودن کلاس و ویژگی جدیدی که وجود ندارد، نیز وجود دارد. با توجه به آنکه یک Schema نمی تواند حذف شود، (فقط می تواند غیر فعال شود) باید در توسعه دادن Schema بسیار دقت شود.

اجزای Active Directory :

احزای مختلفی در اکتیو دایرکتوری نفش دارند. این اجزاء فیزیکی یا منطقی هستند به این سبب، اکتیو دایرکتوری دارای ساختار فیزیکی و منطقی است.

ساختار منطقی:

اشیاء را به صورت یک ساختار منطقی سازمان دهی می شوند. ساختار منطقی از روی ساختار واقعی منعکس می شود. این سماندهی منطقی اشیاء، سبب می شود تا بدون توجه به محل فیزیکی اشیاء به مدیریت بپردازیم. همچنین با دانستن ویژگی یا نام اشیاء می توانیم در ساختار منطقی به آن ها دست پیدا کنیم و یا آن را جستجو کنیم. اجزاء مختلفی در ساختار منطقی نفش ایفا می کنند که عبارتند از:

1. دامین (Domain – دامنه):

هسته و رکن اصلی ساختار منطقی دامین است. همانطور که گفته شده بود دامین خود یک Container است و می تواند شامل اشیاء دیگر باشد. اشیائی که در یک دامین قرار می گیرند برای یک شبکه حیاتی هستند. این اشیاء می تواند شامل پرینترها، کامپیوتر ها، آدرس ایمیل ها، کاربران و دیگر منابع باشد. اکتیو دایرکتوری می تواند شامل یک دامین یا بیشتر باشد. همچنین یک دامین می تواند دارای یک یا چند مکان فیزیکی باشد. هر دامین دارای دو مشخصه بارز است:

1. تمام اشیاء شبکه در یک دامین قرار دارند و هر دامین تنها اطلاعات مربوط به خود را دارا است.

2. یک دامین، یک محدوده امنیتی است. دسترسی به اشیاء دامین ها از طریق ACL ( لیست کنترل دسترسی – Access Control List) امکان پذیر می شود. در واقع تنها اشیائی قابلیت دسترسی دارند که در ACL موجود و دارای یک ACE باشند. این لیست مشخص می کند که کدام کاربر و در چه سطحی به دسترسی دارد.ACE کوتاه شده ی Access Control List است.

2. واحد های سازمان ( OU – Organization Unites ):

OU هم یک Container است که اشیاء موجود در دامین به گروه های کوچکتری تقسیم می کند. می توان OU ها را جداگانه مدیریت کرد و برای آن ها قوانین و ضوابط جدا از قوانین دامین وضع کرد. OU ها هم می توانند شامل اشیائی دیگر همانند کاربر، کامپیوتر، چاپگر و یا یک Ou دیگر باشند. از آنجایی که یک OU قسمت کوچکی از شبکه است می توان مدیریت یک OU را به عهده فرد دیگری گذاشت و بر آن نظارت کرد. یک بخش از یک سازمان را معمولا در یک OU قرار می دهیم تا راحت تر مدیریت کنیم. هر چند استفاده از OU ها چندان الزام آور نیست، اما عدم استفاده از OU ها در شبکه های متوسط و بزرگتر از آن سبب بروز مشکلات فروانی خواهد شد.

3.درخت ها (Tree) :

یک درخت، گروهی از دامین ها است که از طریق ایجاد یک فرزند به وجود می آید. دامنه های در یک درخت دارای یک فضای نامی پیوسته هستند به این معنا که اسم والدین به فرزندان اضافه می شود. از آنجایی که اسامی در اکتیو دایرکتوری دامین سرویس وابسته به DNS است، بدیهی است از نام یک دامین فرزند ترکیبی از نام خود و نام تمام والدین خود است. به مثال تصویری زیر توجه کنید:

4. جنگل ها (Forest) :

یک جنگل، گروهی از درخت های جداگانه است. در یک جنگل درخت ها با توجه به دامنه هایشان دارای ساختار نامی متفاوت اند و تمام درخت ها در یک جنگل مستقل عمل می کنند. تمامی دامین ها در یک جنگل از یک Schema عمومی استفاده می کنند.

ساختار فیزیکی:

1.سایت (Site) :

یک سایت مجموعه یک یا چند Subnet است که به وسیله لینک مطمئن ارتباطش ایجاد شده. برای کاهش ترافیک و… در یک شبکه اقدام به ایجاد چند سایت مختلف می کنیم. در واقع سایت ها از لحاظ فیزیکی متفاوت اند. به عنوان مثال سایت تهران، سایت کالیفرنیا و سایت توکیو می تواند سایت های فیزیکی یک دامین باشد. همچنین در وسعت کمتر، سایت ساختمان شمالی و ساختمان جنوبی یا سایت طبقه اول و سایت طبقه دوم مثال هایی از سایت های مختلف در یک دامین است. در بین سایت راهکارهای خاص ارتباطی می توان در نظر گرفت که در آینده صحبت می شود. یک سایت می تواند شامل قسمتی از یک دامنه، یک دامنه یا چند دامنه باشد.

معمولا یک سایت به یک LAN پایان می پذیرد و از طریق یک MAN یا WAN به سایت دیگری متصل می شود هر چند الزاما چنین نیست. زمانی که سایت ها قسمتی از فضای نامی نباشد، در استفاده از منابع گروه بندی اجزاء را گروه بندی دامین، فرزند-دامین و… مشاهده خواهید کرد و در مشاهده منابع وجود سایت ها را ممکن است احساس نکنید. در آینده در خصوص سایت ها با تفصیل صحبت خواهد شد.

2.دامین کنترلر (Domain Controller – DC):

دامین کنترلر یک کامپیوتری است که ویندوز نسخه سرور روی آن نصب شده است و Active Directory Domain Service روی آن در حال اجرا است. هر دامین کنترلر فقط می تواند یک دامین را سرویس دهد ولی هر دامین می تواند شامل تعدادی دامین کنترلر باشد. وظیفه ی شناسایی کاربران بر عهده Domain Controller ها است و به صورت مرکزی انجام می شود که در این خصوص در آینده بیشتر صحبت می شود.

هر دامین کنترلر یک کپی کامل از اطلاعات موجود در اکتیو دایرکتوری را نگه داری می کند. همچنین تغییرات خود را با سایر دامین کنترلرها Replicate می کند. در خصوص replication نیز در آینده صحبت می شود.

اکتیو دایرکتوری امکان یافتن منابع همانند پرینتر ها، فایل ها و کاربران را فراهم می کند. یک سرویس کاتالوگ، شامل اطلاعات برگزیده ای از هر دامین در خصوص هر شیئ است. Global Catalog سرویسی است که در اکتیو دایرکتوری برای یافتن منابع استفاده می شود. Global Catalog یک انبار مرکزی اطلاعات است که اطلاعات گزینش شده ای در خصوص اشیاء موجود در یک جنگل، درخت یا دامین را شامل می شود. به صورت پیش فرض Global Catalog روی اولین دامین کنترلر در جنگل (Forest) جدید ساخته می شود. دامین کنترلری که این انبار اطلاعات روی آن قرار داشته باشد، Global Catalog Server گفته می شود. در یک جنگل می توان هر دامین کنترلری را به عنوان Global Catalog Server تنظیم کرد. از آنجایی که از مکانیسم Multi Master در Replication استفاده می شود، مشکلی در همسان سازی اطلاعات به وجود نخواهد آمد. به صورت پیش فرض این اطلاعات گزینش شده، اطلاعاتی است که بیشتر مورد جستجو قرار می گیرد. همانند نام و نام خانوادگی کاربران. این صفات در Active Directory Schema معین می شوند. همانطور که گفته شد، یکی از وظایف Global Catalog فراهم آوردن امکان جستجو و یافتن اطلاعات است. از آنجایی که اطلاعات سراسر یک جنگل در دسترس است، بدون توجه به آنکه شیئ در چه دامینی است می توان به جستجو  پرداخت.

بر خلاف تصور، این تنها وظیفه یک Global Catalog Server نیست. یک Global Catalog Server در Logon شدن کاربران نیز می تواند نقش داشته باشد. در برخی Functional Level ها، دامین کنترلر در زمان logon باید در خواست اطلاعات universal group membership کند که از Global Catalog Server انجام می شود. همچنین اگر از UPN در جنگلی که بیشتر از یک دامین دارد استفاده شود، استفاده از Global Catalog Server برای resolve کردن نام کاربر تنها راه حل است.

Cashe کردن Universal Group Membership: در یک جنگلی که بیش از یک دامین دارد، در سایت هایی که Global Catalog Server ای وجود ندارد، باید از این ویژگی استفاده کرد. این ویژگی سبب می شود تا از درخواست مجدد universal group memberships از طریق لینک WAN که معمولا سرعت پایین و ترافیک بالایی دارد جلوگیری شود. تذکر آنکه برنامه ریزی برای لینک های WAN و MAN در یک اکتیو دایرکتوری از مهم ترین کارهایی است که یک مدیر شبکه باید انجام دهد. تنظیم صحیح سایت ها با دامین کنترلر ها و گلوبال کاتالوگ سرور ها از مهمترین این نکات هستند.

در جستجو آدرس بوک Exchange نیز، حتی Global Catalog Server کاربرد دارد. برای دسترسی به Global Access List یا GAL از Global Catalog Server استفاده می شود.

چگونه یک Global Catalog Server ایجاد کنیم؟

همانطور که گفته شد، یک Global Catalog Server باید یک دامین کنترلر باشد، بنابراین پیش نیاز تنظیم Global Catalog Server نصب اکتیو دایرکتوری و راه اندازی دامین کنترلر است. از آنجایی که به صورت پیش فرض اولین دامین کنترلر در جنگل جدید، Global Catalog Server است، باید برای ایجاد یک گلوبال کاتالوگ سرور دیگر، حداقل دو دامین کنترلر داشته باشیم. همانطور که گفته شد، اهمیت تنظیم Global Catalog Server زمانی است که چند سایت در دامین داریم به ایا علت از طریق کنسول Active Directory Sites & Services به مدیریت می پردازیم.

1. کنسول Active Directory Site and Services را از طریق Administrative Tools باز می کنیم.

2. روی سایتی که دامین کنترلر مورد نظر روی آن قرار دارد در نوار سمت راست دابل کلیک کنید.

3. روی Servers دابل کلیک کنید و روی NTDS Settings کلیک راست کنید و Properties را بزنید.

4. در زبانه (Tab) عمومی general چک باکس global Catalog را چک بزنید.

5. دامین کنترلر را Restart کنید و دامین کنترلر، Global Catalog Server هم از این پس خواهد بود. در Restart کردن Domain Controller شرایط راه اندازی مجدد یک سرور را فراموش نکنید.

برای اطلاعات بیشتر و آشنایی با معماری گلوبال کاتالوگ اینجا را بخوانید. در آینده مطالب بیشتری در این خصوص مورد بحث قرار خواهند گرفت.

پیش از این در خصوص ساختار اکتیو دایرکتوری صحبت کردیم، یکی از مهمترین اجزاء این ساختار سایت ها هستند. برنامه ریزی سایت ها بسیار حساس است و با دقت خاصی باید انجام شود. در اینجا برخی از این مسائل را بررسی می کنیم. برای بیشتر مدیران، سایت یک بخش فیزیکی از زیرساخت شبکه است. به عنوان مثال از دفتر سازمان در یک شهر گرفته تا طبقه ای از یک ساختمان. سایت ها از طریق یک لینک به سایر بخش های شبکه متصل است. ممکن است برای ارتباط سایت ها از چند لینک مختلف استفاده شود و لینک ها هم می توانند به سادگی یک Dial-up باشند یا می توانند ارتباط بی سیم، ارتباط از طریق ماهواره یا فیبر نوری باشند. بدون توجه به آنکه یک لینک با چه زیرساختی ایجاد می شود، زیرساخت شبکه در ساختار اکتیو دایرکتوری دارای اهمیت است. در هر شرایط باید راهکارهایی را اتخاذ کرد که بیشترین اثر بخشی را در مدیریت ترافیک داشته باشند.

در واقع  یک سایت دسته ای  از IP subnet ها است. معمولا در یک سایت از تکنولوژی های ارتباطی LAN بهره می بریم و با استفاده از تکنولوژی های ارتباطی MAN یا WAN به یک سایت دیگر متصل می شویم. لینک ارتباطی MAN یا WAN بین دو سایت را Site Link می گوییم. با اینکه دو واژه ی Site و Site Link معنای کاملا متفاوتی دارد به اشتباه برخی به جای همدیگر به کار می برند که باید از آن پرهیز کرد. گاها گفته می شود مرزهای یک سایت  مرزهای یک LAN است که با یک WAN به یک LAN دیگر متصل است. هر چند بیان درست است اما این سناریوی متداول است و همواره یک سایت چنین شرایطی را ندارد. حتی الزاما یک Site Link با استفاده از WAN Technology نیست. در سناریو های متفاوتی می توان از سایت ها استفاده کرد. امروزه Trust ها در سایت ها بی اثر اند، اما ممکن است در آینده امکان ایجاد Trust بین دو سایت ایجاد شود هر چند پروتکل های مورد استفاده در اکتیو دایرکتوری امروز این مسئله را قدری دور از ذهن می کنند. همچنین سایت ها به دامین ها هیچ ربطی ندارند. در واقع این جمله برای تاکید بیشتر روی مسئله ی آنکه یک سایت می تواند شامل چند دامین باشد و یا یا دامین می تواند شامل چند سایت باشد نوشتم.

معمولا لینک های با سرعت پایین تر از 512 Kbps لینک کم سرعت در نظر گرفته می شوند. هر چند از آنجایی که اکثر خطوط بین شهری و خطوط شهری به صورت اجاره ای از شرکت های مخابراتی است، هنوز خطوط کم سرعت متداول ترند. لینک های بین شهری اغلب کیفیت ارتباطی بالایی ندارند لذا باید در مدیریت لینک ها دقیق عمل کرد. مسئله دیگر هزینه استفاده از خطوط است. گاهی شرکت های مخابراتی در ازای ترافیک هزینه دریافت می کنند و یا ممکن است حجمی رایگان باشد و بیش از آن مستلزم پرداخت  مبلغی باشد. در این خصوص نیز باید دقت شود که لینک ارزان قیمت تر، کم ترافیک تر و… در اولویت است. فاکتوری به نام COST را برای مدیریت لینک ها در اختیار داریم. لینکی که دارای COST کمتری است در اولویت قرار خواهد داشت.  با توجه به این مسئله دو عامل بزرگترین انگیزه برای ایجاد سایت ها است:

ترافیک replication :

Replication منتقل کردن تغییرات رخ داده روی دامین کنترلر ها است. به عنوان مثال زمانی که یک User جدید ایجاد می شود، این کاربر باید روی دامین کنترلر های دیگر نیز ساخته شود.  بنابراین این امر ترافیکی را در شبکه ایجاد می کند.  این ترافیک دو نوع مختلف دارد. از لحاظ تئوری برخی تغییرات  در زمان اتفاق افتادنشان باید به سرعت بین دامین کنترلر ها  Replicate شوند.

محلی کردن سرویس دهی:

اگر شبکه در دو محل فیزیکی مختلف باشد، با قرار دادن یک دامین کنترلر در هر کدام از این محل های فیزیکی، به علت پیش فرض Load Balance در اکتیو دایرکتوری نمی توان معین کرد کاربران برای Authentication  از کدام دامین کنترلر استفاده کنند. اما با استفاده از سایت ها می توان در انتخاب دامین کنترلر، کلاینت را هدایت کرد. به عبارت  بهتر، با قرار دادن یک دامین کنترلر در هر سایت، کلاینت ها را در استفاده برای استفاده از دامین کنترلر موجود در سایت خود تشویق می کنیم. اگر دامین کنترلر در سایت خود در دسترس نباشد آنگاه از دامین کنترلر در سایت دیگر استفاده خواهند کرد.

تذکر مهم: از آنجایی که اهداف ذکر شده در شرایطی محقق می شوند که در هر سایت یک دامین کنترلر موجود باشد، در صورتی که  دامین کنترلر موجود نباشد در بسیاری از مواقع مفید نخواهد بود اما همواره چنین نیست. در واقع در اکثر شرایط مختلف وجود یک دامین کنترلر توصیه می شود. ضمن آنکه اگر Site Link با اختلال رو به رو شود که احتمال پایینی ندارد (خصوصا در ایران) وجود یک دامین کنترلر در سایت می تواند بسیار مفید باشد. در بیشتر مواقع در سایت های کوچک و branch office ها استفاده از یک Read-Only Domain Controller بهترین تصمیم است. به این صورت اگر سایت لینک اختلال داشته باشد، دامین کنترلر داخلی سایت در دسترس است و اگر دامین کنترلر اختلال داشته باشد، اگر سایت لینک اختلال نداشته باشد دامین کنترلر سایت همسایه در سایت مفروض سرویس دهی خواهد کرد. هر چند می توان از Additional Domain Controller نیز در یک سایت بهره برد.

جمعیت کاربران:

یکی دیگر از انگیزه های ایجاد سایت می تواند تعداد زیاد کاربران باشد. با این کار می توان ترافیک را تقسیم کرد و کاربران پراهمیت تر از Subnet که معمولا در آن حضور دارند به مشکلاتی که از ترافیک بالای دامین کنترلر برای آنها ایجاد می کند رو به رو نشوند. هرچند اگر در Subnet شلوغ تر Login کنند ممکن است با همان مشکلات رو به رو شوند. با توجه به هزینه های انجام این کار، زمامی که تعداد کاربران زیاد است و یا حجم کاری زیادی به دامین کنترلر وارد می کنند یک راه حل است. در حالی که زمانی امکانات سخت افزاری دامین کنترلر جوابگو نیست، می توان سخت افزار های قدرتمند تری تهیه کرد راهکار ایجاد سایت ها نیز راهکاری است که برخی مدیران شبکه  طرفدار آن هستند.

ایجاد یک سایت:

مدیریت سایت ها، replication و برخی مسائل دامین کنترلر ها را از طریق کنسول Active Directory Sites and Services انجام می شود. به صورت پیش فرض یک سایت به نام Default-First-Site-Name و یک سایت لینک به نام  Defaultsitelink وجود دارد. برای ساختن یک سایت جدید روی Sites کلیک راست کنید و new site را بزنید. نام سایت و لینک یا لینک هایی که آن سایت را به سایر سایت ها متصل می کند را انتخاب کنید.

اما سایت ها زمانی مفید خواهند بود که کلاینت ها و سرور ها بدانند در یک سایت هستند. این کار با معین کردن IP آدرس های هر سایت انجام می شود. به عبارت دیگر باید هر سایت یک Subnet نیز باشد و سپس با افزودن یک subnet در کنسول Active Directory Sites and Services معین می کنیم که هر Subnet مربوط به چه سایتی است. برای اضافه کردن یک Subnet روی Subnets کلیک راست کنید و گزینه New Subnet را بزنید. مشابه مثال20/ 157.54.208.0 NetID و SubnetMask را وارد کنید و سایتی که آن subnet به اختصاص دارد را انتخاب کنید.

پس از افزودن یک لینک در properties سایت مربوطه قابل مشاهده است. هرچند از اینجا نمی توانید آن را تغییر بدهید. برای این کار باید به properties همان subnet مراجعه کنید. در محیط عملیاتی توجه داشته باشید که تمام Subnet ها را در یک سایتی اضافه کرده باشید. عدم وجود یک Subnet باعث می شود کلاینت متوجه نشود در کدام سایت است و باعث مشکلات performance و ترافیک می شود.

مدیریت دامین کنترلر ها در سایت ها:

زمانی که اولین دامین کنترلر در جنگل جدید را ایجاد می کنید، به صورت پیش فرض سایتی به نام default-first-site-name ایجاد می شود و Domain Controller در آن سایت قرار می گیرد. پس از آن اگر سایت هایی ایجاد کنید، دامین کنترلر ها برحسب IP address خود در سایت های مربوط به Subnet خود اتوماتیک قرار می گیرند. توجه داشته باشید servers در کنسول Active Directory Sites and Services فقط DC ها را نمایش می دهد. همانطور که گفته شد تنها به دامین کنترلر ها می گوییم سرور و بقیه سرور ها را کامل بیان می کنیم مثلا DHCP server . هر سایت یک کانتیتر سرور برای خود دارد. می توانید با move کردن و یا drag & drop یک دامین کنترلر را در یک سایت قرار دهید. اگر یک سایت شامل دامین کنترلر نباشد یا دامین کنترلر آن سایت down شود کاربران هنوز می توانند authenticate شود چرا که در دامین کنترلر سایت همسایه یا یک دامین کنترلر دیگر در دامین استفاده می کنند.

چگونه کلاینت ها به دامین کنترلر محلی خودشان هدایت می شوند؟

این یکی از سوالاتی است که از لحاظ تکنولوژیک بسیار جالب است. خیلی خلاصه در اینجا بحث می کنم این قسمت در حل مشکلات پیش آمده بسیار مفید است و با توجه به عدم توجه بسیاری مدیران، قدری کم توجهی به این مسئله جالب شده است.  زمانی که یک دامین کنترلر در یک سایت قرار می گیرد، تبلیغ می کند که من اینجا هستم، برای authenticate به من مراجعه کنید. حال اگر آن دامین کنترلر آنجا نباشد مثلا down شده باشد، قطعا مشتریان یا کلاینت ها به سراغ یک دامین کنترلر دیگر می روند.زمانی که یک دامین کنترلر به دامین اضافه می شود برای آنکه کلاینت از توانایی دامین کنترلر مطلع شوند رکورد های DNS ای را ثبت می کند. این رکورد ها از نوع ( SRV ( Service Locator هستند. در رکورد های SRV بر خلاف A record ها مشخص می شود که چه سرویسی توسط چه host name ای انجام می شود. دامین کنترلر قابلیت خود را با درست کردن رکورد های SRV و با نام های kerberos_ و LDAP_ برای کلاینت ها آشکار می کنند. این رکورد ها را در جاهای مختلفی در  DNS ثبت می کنند.

اول: رکورد ها را در پوشه ی tcp_ ثبت می کنند.
دوم : رکورد ها را در پوشه TCP_ درنام سایت خود ثبت می کنند.
سوم: رکورد های دیگری هم در msdcs_ ثبت می شود. این zone شامل دامین کنترلر های مایکروسافت می شود.

بر اساس RFC 2052 یک رکورد SRV حداقل شامل:

1. نام و پورت :  در ویندوز سرور 2008 شامل ldap پورت 389 ؛ Kerberos پورت 88 ؛ KPassWD پورت 646 و GC پورت 3268 در خصوص دامین کنترلر ها است. KPassWD کوتاه شده ی Kerberos PassWord است و GC کوتاه شده ی Global Catalog است.

2. پروتکل : پروتکل لایه انتقال ( Transport ) باید مشخص شود که TCP یا UDP می تواند باشد که هر دوی آنها ثبت می شود. کلاینت های مایکروسافت از TCP استفاده می کنند اما UNIX از UDP هم می تواند استفاده کند.

3. Host Name : مشخص کننده ی یک Host Name است که IP Address ان از طریق یک  A record دیگر مشخص می شود. نکته جالب آن است که زمانی که یک Query برای یک رکورد SRV ارسال می شود، DNS Server خودکار جواب رکورد A مربوطه را نیز ارسال می کند تا Query دیگری دوباره ارسال نشود.

تصور کنید الان یک کلاینت جدید را عضو دامین می کنیم. تنظیمات IP آن Automatic است و از یک DHCP Server یک IP و… دریافت می کند. کلاینت restart می شود و اکنون آماده است که یک user تشخیص هویت شود و کاربر وارد desktop خود شود. حال کلاینت از کجا باید یک دامین کنترلر پیدا کند؟ کلاینت یک Query به DNS Server ای که DHCP Server به او معرفی کرده می فرستد. Query ارسال شده برای بخش tcp_ است که همانطور که در قبل توضیح داده شد، شامل تمام دامین کنترلر ها می شود. DNS Server هم IP آدرس تمام دامین کنترلرها را به کلاینت می دهد. اولین دامین کنترلری که جوابی به کلاینت ارسال کند از روی Subnet های معین شده به کلاینت می گوید که در کدام سایت قرار دارد. کلاینت هم نام سایت را در Reistry خود ذخیره می کند و حال به DNS Server یک Query برای دامین کنترلر سایتی که در آن حضور دارد ارسال می کند. DNS Server با توجه به آنچه گفته شد، می داند کدام دامین کنترلر در کدام سایت است پس جواب Query را به کلاینت باز می گرداند. کلاینت اکنون از تمام دامین کنترلر های سایت خود در خواست authenticate می کند و هر دامین کنترلری که اول جواب دهد او تشخیص هویت کاربر را انجام می دهد. این اولین Startup پس از عضویت در دامین بود.

از آنجا که دامین کنترلر سریع تر از بقیه جواب داده بود، کلاینت به این دامین کنترلر علاقه مند می شود و در دفعات بعدی تلاش می کند تا با همین دامین کنترلر authenticate شود. اگر این دامین کنترلر در دسترس نبود آنگاه کلاینت به اجبار یک Query به DNS Server می فرستد و از دامین کنترلر های سایت خود سوال می کند و دوباره همان مراحل در خصوص یک دامین کنترلر دیگر اتفاق می افتد. اما اگر یک کامپیوتر قابل حمل همانند یک Laptop باشد چه اتفاقی می افتد؟ تصور کنید که Laptop در سایت A یکبار Authenticate شده و اکنون از سایت A به سایت B می رود. از آنجایی که Laptop به دامین کنترلر سایت A علاقه مند شده بود، ابتدا تلاش می کند که با دامین کنترلر سایت A تشخیص هویت شود حال آنکه در سایت B است و دامین کنترلر A به Laptop تذکر خواهد داد که سایت جدید شما B است به دامین کنترلر مربوط خودتان مراجعه کنید. Laptop هم به DNS Server یک Query می فرستد و از دامین کنترلر های سایت B سوال می کند.

اما اگر هیچ دامین کنترلری در سایت C موجود نباشد چه می شود؟ در این شرایط دامین کنترلر های نزدیک رکورد SRV خود را در سایت C ثبت می کنند. به این فرآیند Site Coverage گفته می شود. توضیح دقیق تر آنکه سایتی که دامین کنترلر نداشته باشد توسط دامین کنترلر سایتی پوشش داده می شود که کمترین Cost برای Site Link آن تنظیم شده باشد. هر چند می توانید به صورت دستی هم با تنظیم priority در رکورد های DNS این روند را تغییر دهید. اگر دامین کنترلر یک سایت down شود، سایت همسایه می تواند در آن سایت به سرویس دهی بپردازد.

ایجاد یک سایت لینک:

همانطور که گفته شد، به صورت پیش فرض یک سایت لینک با نام DefaultSiteLink وجود دارد. سایت لینک ها خودکار ایجاد نمی شوند و باید برای مدیریت Replication بین سایت ها و… سایت لینک ها به خوبی مدیریت شوند. در خصوص آنکه چگونه سایت لینک روی Replication اثر می گذارند در آینده بحث می کنیم. اما می توانید در هر سایت لینک فاصله زمانی یک Replication با Replication بعدی را معین کنید. همچنین با استفاده از Schedule می توانید معین کنید Relication فقط در ساعات خاصی اتفاق بی افتد. نکته قابل توجه آن است که حتی اگر Time Zone ها بین دو سایت یکسان نباشد، از آنجایی که ساعت بر حسب local time zone مشخص می شود و (Coordinated Universal Time (UTC ذخیره می شود. این به معنای آن است که در سایت دوم، زمان بی مشکل مشخص خواهد شد. اما در هر دو سایت برای پیشگیری از بروز مشکلی بهتر است مسئله را مانیتور کنید.

یک سایت لینک خاصیت تعدی دارد. همانند ریاضی که اگر a بتواند b را نتیجه دهد و b بتواند c را نتیجه دهد، a می تواند c را نتیجه دهد. اگر سایت a و b یک سایت لینک داشته باشند و سایت b و c هم یک سایت لینک داشته باشد، سایت a به سایت c متصل در نظر گرفته می شود. می توان خاصیت تعدی (Transitive) را فعال را غیر فعال کرد. به صورت پیش فرض برای هر نوع transport فعال است. به عنوان مثال تمام لینک های موجود در IP با هم دیگر خاصیت تعدی دارند. توجه کنید که اگر خاصیت تعدی را برای یک Transport غیر فعال کنید برای تمام سایت لینک های موجود در آن Transport غیرفعال می شود و باید به صورت دستی Site Link Bridge بسازید تا بتوانید از خاصیت تعدی استفاده کنید.  اما دلایل غیر فعال کردن خاصیت تعدی چه می تواند باشد؟

1. می خواهید کنترل کامل روی replication بین سایت ها داشته باشید.

2. Routing به صورت کامل در بین سایت ها برقرار نیست.

برای غیر فعال کردن خاصیت تعدی روی Transport مورد نظر کلیک راست کنید و گزینه properties را بزنید. سپس در زبانه(Tab) عمومی (general) گزینه Bridge all site links چک مارکش را بردارید. حال چگونه چند لینک را Bridge کنیم؟ با Bridge کردن دو یا چند سایت لینک در زمانی که خاصیت تعدی فعال است، خاصیت تعدی را برای چند سایت لینک ایجاد می کنیم . همچنین از آنجا گزینه Bridge all site links به صورت پیش فرض فعال است، Bridge کردن سایت لینک ها بدون غیر فعال بودن گزینه مذکور هیچ اثری نخواهد داشت.  برای ساختن پل میان دو سایت لینک، روی transport مورد نظر کلیک راست کنید و گزینه New Site Link Bridge را بزنید. یک نام انتخاب کنید و سپس سایت لینک هایی که می خواهید خاصیت تعدی داشته باشند را انتخاب کنید.

یکی از سوالتی که برخی افراد دارند آن است که تفاوت میان IP و SMTP و RPC در Transport ها چیست؟ که در این خصوص در آینده و در بحث Replication صحبت خواهد شد.

با تشکر از سایت پورت ۸۰ به آدرس http://www.erfantaheri.com

بررسی Active Directory Partitions :

همانطور که گفته شد، سرویس دایرکتوری برای نگه داری اطلاعات از Data Store های متعددی استفاده می کند به ویژه یک پایگاه داده (DataBase) به نام ntds.dit.  اطلاعاتی که در دایرکتوری ذخیره می شود، به صورت منطقی در بخش هایی به نام Partition (پارتیشن) جای می گیرند. به هر پارتیشن، Naming Context نیز گفته می شود. این بخش های منطقی یا Parition واحد هایی هستند که در Replication استفاده می شوند. برخی از این پارتیشن ها عبارتند از:

Domain Partition : این پارتیشن معرف هر آنچه در دامین وجود دارد می باشد. همانند (Users ، Computers ، Group policy Containers (GPCs . این اطلاعات در هر دامین مخصوص خودش است و  بین دامین های دیگر Replicate نمی شود، اما بین تمام دامین کنترلر های همان دامین Replication می شود. متداول است که به این پارتیشن Domain NC گفته شود.

Configuration Partition: شامل تنظیمات و ساختار منطقی و فیزیکی اکتیو دایرکتوری است. همانند سایت ها، دامین ها و Subnet ها که در بین تمام دامین کنترلر ها در جنگل Replicate می شود.

Schema Partition : این پارتیشن شامل تمام اشیائی است که می تواند در سراسر یک جنگل (Forest) ساخته شود، همچنین معین کننده نوع  مقادیر آن ها است. که در بین تمام دامین کنترلر ها در جنگل Replicate می شود.

* Replication به عمل یکسان ساری اطلاعات دامین کنترلرها  با هم دیگر گفته می شود.

با توجه به انواع پارتیشن ها،  هر دامین کنترلر حداقل سه Replication دارد. هر دامین کنترلری یک نسخه کپی از پارتیشن های مختلف نگه داری می کند که به آن Replica گفته می شود. Replica به معنی نسخه مشابه است.

در گذشته، تمام Replica ها در تمام دامین کنترلرها خواندنی – نوشتنی بود، اما با Read-only Domain Controller ها  قدری این تفکر را تغییر پیدا می کند. در RODC ها، یک نسخه فقط خواندنی از Replica نگه داری می شود. البته نکته قابل توجه آن است که اطلاعات حیاتی با RODC ها Replicate نمی شود همانند Password ها. هرچند که می توان می توان با استفاده از Password Policy در خصوص RODC ها این امکان را ایجاد کرد، اما به غیر از این مورد، موارد دیگری وجود دارند که هیچ گاه با دامین کنترلر های فقط خواندنی Replicate نمی شوند.

بررسی Global Catalog :

تصور کنید جنگلی شامل 2 دامین است و هر دامین شامل 2 دامین کنترلر است. بنابراین جنگل شامل 4 دامین کنترلر است. تمام این دامین کنترلر ها شامل Schema و Configurarion پارتیشن ها می شوند. دامین کنترلر هایی که در در دامین اولی هستند، Domain NC را بین خود Replicate می کنند و همین طور دامین دومی. اکنون اگر یک کاربر در دامین دوم یک کاربر در دامین اول را جستجو (Search) کند چه اتفاقی خواهد افتاد؟ از آنجایی که دامین کنترلرهای دامین دوم هیچ اطلاعاتی در خصوص Users دامین اول را شامل نمی شوند، به این شکل نمی توان جواب این Query را داد. اینجا است که Global Catalog پایش به میان می آید. GC هم یک پارتیشن است که اطلاعات تمام اشاء (Objects) را روی جنگل (Forest) شامل می شود. اما برای بازدهی بهتر، GC شامل تمام ویژگی های یک شیئ نیست ولی شامل بخشی از اطلاعات است که در جستجوی در اکتیو دایرکتوری مفید هستند. هرچند نادرست اما می توان تصور کرد که GC مشابه یک index برای AC است.

در گذشته قدری در اینجا با GC آشنا شدیم و وظایف مختلف آن را دیدم. همچنین دیدم که چگونه باید یک GC Server را تنظیم کنیم. به صورت ایده آل، تمام دامین کنترلرها GC Server هم هستند، اما شاید در همه جا چنین چیزی امکان پذیر نباشد. به عنوان یک قابلیت باید پذیرفت که شبکه ها با سرعتی قابل ملاحظه در حال دسترسی به این ایده آل هستند. در صورتی که یکی از شرایط زیر برقرار باشد توصیه می شود حتما در هر سایتی حداقل یک GC Server وجود داشته باشد:

1. لینک ارتباطی تا نزدیک ترین GC Server کم سرعت است یا اختلال زیادی دارد.

2. سایت شامل یک کامپیوتری است که Exchange Server را اجرا می کند.

3. نرم افزار های دیگری در سایت موجود است که از GC Server استفاده می کنند.

اگر دامینی تمام دامین کنترلرها GC باشند دیگر مدیریت operarion master ها اهمیت چندانی نخواند داشت. در جنگل های با یک دامین شاید چندان آنکه تمام دامین کنترلرها GC باشند کار سختی نباشد چرا که تمام دامین کنترلرها در واقع تمام ویژگی ها و اشیاء را شامل می شوند و در واقع بار اضافی برای سیستم و شبکه ندارد. اما در صورتی که جنگلی بیش از یک دامین داشته باشد، نیاز به مدیریت خاص در هر شرایط دارد و سرعت و کیفیت لینک ها و میزان ترافیک بین سایت ها پر اهمیت ترین فاکتور این مدیریت هستند.

بررسی Application Directory Partitions :

Application Directory Partition، پارتیشن محل ذخیره سازی اطلاعاتی است که مربوط به برنامه ها یا سرویس های غیر از سرویس اکتیو دایرکتوری است. برخلاف سایر پارتیشن ها می توان معین کرد که در بین کدام دامین کنترلر ها Replicate شود. هرچند به صورت پیش فرض بین تمام دامین کنترلرها Replicate می شود. این پارتیشن ها می تواند شامل هر نوعی شیئ باشد به غیر از اشیایی که به نحوی با امنیت مرتبط است همانند Users . از آنجایی که Replication این پارتیشن تحت ضوابط خاصی صورت می گیرد، نتایج خوبی در عملکرد و کنترل ترافیک دارد. راحت ترین مثال برای Application Directory Partition  می تواند Microsoft DNS Server باشد. وقتی که یک Zone یکپارچه با اکتیو دایرکتوری (Active Directory Intergrated Zone) ایجاد می کنید، رکورد های DNS توسط Application Directory Partition بین DNS Server ها Replicate می شود. توجه کنید که این اطلاعات بین تمام DC ها Replicate نمی شود.

این مطلب پیش زمینه ای برای مبحث Replication است که در آینده بحث خواهد شد

با تشکر از سایت پورت ۸۰ به آدرس http://www.erfantaheri.com

در اکتیو دایرکتوری تمام دامین کنترلر ها با همدیگر برابراند. آن ها می توانند اطلاعات را روی Database خودشان ذخیره نمایند و سپس آن را بین بقیه دامین کنترلرها Replicate  کنند . در اکتیو دایرکتوری دامین کنترلرهای Operaion Master فقط و فقط  Role های مشخصی را به عهده دارند و  با آنکه دامین کنترلر های دیگر می توانند آن ها را انجام دهند، از انجام دادن آن role ها سر باز می زنند.

تصور نکنید:اگر از مدیران شبکه قدیمی ویندوز NT هستید، لطفا تصور نکنید که operation master همان Primary Domain Controller است. همچنین می دانم تصور نخواهید کرد که این همان Read-Only Domain Controller است.

Operaion Master ها چی هستند؟

- اکتیو دایرکتوری شامل 5 رول Operation Master است. دوتای آنها در سراسر جنگل (Forest) انجام می شود آنها را Forest-wide می گوییم. توجه داشته باشد هر رول فقط توسط یک دامین کنترلر در سراسر جنگل صورت می پذیرد:

1. Domain Naming : در زمان اضافه یا حذف کردن یک دامین از این رول استفاده می شود. بنابراین در زمان اضافه کردن یا حذف کردن یک دامین در جنگل باید رول Domain Naming Master در دسترس باشد.

2. Schema : دامین کنترلری که رول Schema Master را دارد فقط  این دامین کنترلر می تواند تغییرات روی Schema در سراسر جنگل را اعمال کند. سایر دامین کنترلرها یک نسخه read-only از schema را نگه داری می کنند که آن را با دامین کنترلر که رول Schema Master دارد یکسان می کنند. اگر می خواهید Schema را تغییر دهید یا نرم افزاری نصب کنید که Schema را تغییر می دهد، توصیه می شود آن را در دامین کنترلری که رول Schema Master رادارد انجام دهید. در غیر این صورت تغییرات باید از Schema Master درخواست (Request) شوند.

- و سه تای آنها در هر دامینی انجام می شود. آنها را Domain-Wide می گوییم و توجه داشته باشید که فقط توسط یک دامین کنترلر در تمام دامین انجام می شود:

3.(Relative Identifier (RID : این رول بسیار حیاتی است. SID شناسه ای است که اشیاء همانند Users.Computers, Groups در سراسر یک دامین با آن شناسایی می شوند. SID یک عدد است که در سراسر دامین یکتا است. از آنجا که در هر دامین کنترلری می توان یک شیئ جدید ایجاد کرد، باید یک مکانیسمی وجود داشته باشد تا یکتا بودن SID آن را تضمین کند. RID Master بسیار شبیه به DHCP است حال آنکه به جای آنکه IP اختصاص دهد، از ID Pool خود، ID اختصاص می دهد.

4. Infrastructure : در یک جنگل که چند دامین دارد، اشیاء ترکیبی می توان ساخت. به عنوان مثال می توان گروهی را ساخت که شامل کاربرانی در دامین دیگر باشد! اگر کاربری که در دامین دیگر است move شد یا rename شد دامینی که شامل گروه است از کجا مطلع شود که کاربر تغییر کرده؟ infrastructure Master رولی است که اطلاعات دامین کنترلری که گروه در آن است را به روز می کند. برای راحتی نحوه عملکرد infrastructure فعلا تصور کنید که یک سیستم Tracking است و تغییراتی که روی اشاء دیگر اتفاق می افتد را ردیابی می کند.

5. PDC Emulator : این رول چند عمل حیاتی را در یک دامین انجام می دهد.

> ادای یک Primary Domain Controller را در می آورد! در گذشته، در زمان ویندوز NT 4.0 تغییرات روی اکتیو دایرکتوری فقط در PDC می توانست ذخیره شود. نرم افزارهایی که در آن زمان نوشته شده اند بر این اساس کار می کردند. اکنون روی هر دامین کنترلری می توان تغییرات را ذخیره و سپس با دامین کنترلرهای دیگر Replicate شود.  PDC Emulator هرچند واقعا یک PDC نیست اما وانمود می کند که PDC است! خود را به عنوان PDC در سراسر دامین معرفی می کند، هرچند که در روند نرم افزار های جدید تغییری به وجود نمی آید اما با نرم افزارهایی که برای روزگار PDC نوشته شده بودند هماهنگی ایجاد می کند. اکتیو دایرکتوری اکنون تقریبا 10 ساله شده است، بهتر است چنین نرم افزار های قدیمی به روز شوند. اگر امکان پذیر نیست با این رول می توانید سیستم عامل دامین کنترلرها را ارتفا دهید هر چند باید به Functional Level نیز توجه کنید.

> زمامی که  password یک کاربر reset می شود و یا Change می شود و… تغییراتی هستند که اهمیت بالایی دارند و نمی توان منتظر Replication ماند. بنابراین این دسته تغییرات به سرعتReplicate می شود. اما آیا بین تمام دامین کنترلرها Replicate می شود و آیا سرعت Replicate شدن کافی است؟ تغییرات به PDC Emulator گفته می شود. اگر یک کاربر بلافاصله پس از آنکه Password خود را تغییر داد Logon کند، ممکن است هنوز تغییرات به دامین کنترلری که در حال بررسی هویت کاربر است گفته نشده باشد بنابراین از password جدید کاربر بی اطلاع است. اما پیش از آنکه Username و Password را نپذیرد، سری به PDC Emulator می زند. در واقع درخواست Logon را به PDC Emulator می فرستد از آنجا که PDC Emulator همیشه آخرین تغییرات را می داند، کلمه عبور و نام کاربری کاربر را تایید می کند و به دامین کنترلر دستور می دهد تا logon را قبول کند. البته این به آن معنا است که هر زمانی که کاربر password خود را اشتباه وارد کند، درخواست Authentication به PDC Emulator ارسال می شود. بنابراین باید PDC Emulator سرعت ارتباطی بالا و امکانات سخت افزای قوی داشته باشد. (در خصوص وجود سایت بحث خواهد شد)

> اکتیو دایرکتوری، Kerberos ، FRS و بسیاری از سرویس های دیگر بسیار به قالب زمانی وابسته اند. پس همسان سازی ساعت و تاریخ (زمان) در تمام یک محیط بسیار پر اهمیت است. PDC Emulator ای که در Forest Root قرار دارد معین کننده زمان در تمام جنگل است. روند همسان سازی زمان به این صورت است که هر PDC Emulator زمان خود را با PDC Emulator موجود در Forest root همسان می کند و تمام دامین کنترلر های یک دامین خود را به PDC Emulator دامین خود. کلاینت ها و سرور های دیگر خود را با دامین کنترلرها همسان می کنند. این سلسه مراتب همسان سازی دامین در کاهش ترافیک و بار سرور ها خیلی موثر است و از طریق سرویس Win32time انجام می شود.

> زمانی که وارد Network می شوید. مثلا روی Start کلیک می کنید و Network را می زنید، لیستی از برخی کامپیوتر های موجود را می بینید. این لیست که Browse list نام دارد، توسط یک سرویس به نام Browser service ساخته می شود. Master Browser در شبکه های دامین وظیفه ساختن یک Browse List را دارد. یک PDC Emulator در نقش یک Domain Master Browser می تواند عمل کند.

همانطور که مشاهده کردید، سرویس های حیاتی وجود دارند که فقط روی یک دامین کنترلر قابل ارائه هستند. امروزه راهی برای ارائه شدن این سرویس ها روی چند دامین کنترلر وجود ندارد. امنیت، در دسترس بودن، امکانات سخت افزاری و سرعت مناسب ارتباط برای دامین کنترلرهایی که نقش های فوق را بر عهده دارند بسیار فاکتور های مهمی هستند. با توجه به آنکه در یک دامین یک دامین یا یک جنگل تنها یک دامین کنترلر می تواند این رول ها یا برخی از آنها را  به عهده داشته باشد،در یک جنگل با یک دامین 5 رول و در یک جنگل با 2 دامین 8 رول وجود دارد. این رول ها باید به خوبی مدیریت شوند.

جای مناسب Operation Master ها کجا است؟

زمانی که اولین دامین کنترلر در یک جنگل جدید و دامین چدید را ایجاد می کنید تمام 5 رول Operation Master بر عهده همان دامین کنترلر گذاشته می شود. بدیهی است که پس از آنکه دامین کنترلر دیگری اضافه کردید می توانید به علت Load Balance یکی یا چندی از این رول ها را به دامین کنترلر دیگری واگذار کنید. همچنین ممکن است با توجه به موقعیت فیزیکی، تصمیم بگیرید که رول ها را به دامین کنترلری که شرایط مناسب تری دارد منتقل کنید. بهترین نحوه این تنظیمات عبارت است از:

1. Schema Master و  Domain Naming Master باید روی یک دامین کنترلر که GC Server است قرار گیرد. این دامین کنترلر باید امن تر از دامین کنترلرهای دیگر باشد و از آنجا که این رول ها باهم و به GC وابسته اند بهتر است روی یک دامین کنترلر قرار گیرند.

2. RID و PDC Emulator روی یک دامین کنترلر باشند. اگر می خواهید که روی دو دامین کنترلر مختلف آن ها را تنظیم کنید، باید از لینک ارتباطی مطمئن و پر سرعتی بین این دو  دامین کنترلر موجود باشد. همچنین باید در Replication به صورت مستقیم باهم Repication انجام دهند. اما در هر حال بهترین حالت زمانی است که هر دوی آنها روی یک دامین کنترلر باشند مگر در شرایط خاص.

3. Infrastructure Master روی دامین کنترلر باشد که GC Server نیست اما از طریق یک لینک مطمئن و با سرعت مناسب به GC Server متصل است. مانعی برای قرار دادن Infrastructure Master روی همان دامین کنترلری که PDC Emulator و RID Master است وجود ندارد.

4. یکی از توصیه هایی که می شود آن است که تمام دامین کنترلرها GC Server باشند. در این صورت دیگر اهمیتی ندارد که کدام دامین کنترلر نقش Infrastructure Master را بازی کند.

5. فکر آنکه یک دامین کنترلر مثلا همان دامین کنترلر اولی در یک شبکه بزرگ تمام این کارها را انجام دهد را هم نکنید.

6. یک برنامه برای failover یا redundancy ایجاد کردن داشته باشید. خواهید دید که می توان این رول ها را منتقل کرد. بدون شک باید این برنامه از پیش تعیین شده باشد.

این مطلب ادامه دارد…

مشخص کردن Operation Master ها و انتقال آن ها:

برای تنظیم کردن یک دامین کنترلر در یک رول Operation Master، ابتدا باید بدانید که در حال حاضر کدام DC این رول را برعهده دارد. از طریق خط فرمان یا محیط گرافیکی می توان به مدیریت پرداخت:

الف. رول های Domain-Wide که عبارت اند از RID ، PDC Emulator و Intrastructure :  به کنسول Active Directory Users & Computers رفته  و سپس  روی دامین کلیک راست کرده و گزینه Master Operation را انتخاب کنید. در زبانه (tab) های مربوط به هر رول می توانید سروری که در حال حاضر آن رول را بر عهده دارد ببینید.

ب. رول Domain Naming : در کنسول Active Directory Domains and Trusts روی Root Node یعنی Active Directory Domains and Trusts کلیک راست کرده و گزینه Operaion Master را بزنید. حال می توانید سروری که در حال حاضر رول Domain Naming را بر عهده دارد مشاهده کنید.

ج. رول Schema Master : به MMC بروید. و از منوی File گزینه  Add/remove Snap-in را برنید. از لیست Snap-in های سمت چپ، Active Directory Schema را add کنید. سپس روی Root Node یعنی Active Directory Schema کلیک راست کنید و گزینه Operation Master را انتخاب کنید.

نکته مهم : باید Active Directory Schma Snap-in را در اولین باری که باز می کنید register کنید. در غیر این صورت در قسمت ج نخواهید توانست که Active Directory Schema را بین Snap-in های موجود پیدا کنید. برای این کار به خط فرمان رفته و سپس وارد کنید:

regsvr32 schmmgmt.dll

یادآوری: همانطور که پیش از این در قسمت یک گفته شده بود، زمانی که اولین دامین کنترلر در دامین جدید و جنگل جدید ایجاد می کنید آن دامین کنترلر تمام این 5 رول را بر عهده می گیرد. زمانی که اولین دامین کنترلر را در دامین جدید جنگل موجود ایجاد می کنید رول های Domain Wide را برعهده می گیرد. زمانی که دامین کنترلر های دیگری در دامین / جنگل ایجاد می کنید، توصیه می شود برای load Balance رول ها را بین دامین کنتر ها تقسیم کنید.

توجه مهم : اگر برنامه ریزی کرده اید که دامین کنترلر مدتی offline شود، اگر Master Operation روی آن دامین کنترلر است حتما آن ها را انتقال دهید.

برای انتقال Operation Master ها باید 3 گام کلی زیر را انجام دهید:

1. با توجه به آنچه در قسمت های الف تا ج گفته شد، به کنسول مربوط به role ای که می خواهید تغییر دهید بروید.

2. روی Root Node کلیک راست کنید و گزینه های Connect to Domain Controller یا Change Domain Controller را بزنید و به دامین کنترلری که می خواهید رول به آن منتقل شود را انتخاب و به آن متصل شوید.

3. مشابه آنچه در قسمت های الف تا ج گفته شد عمل کنید. سپس دکمه change را بزنید.

تذکر: در محیط عملیاتی برای یادگیری آزمایش نکنید. همچنین پیش از انتقال از صلاحیت  (فیزیکی -  منطقی) دامین کنترلر مقصد اطمینان یابید.

تذکر: بهتر است پس از انتقال یک Replication بین دو دامین کنترلر به صورت force انجام شود هر چند عدم انجام مانعی ندارد.

زمانی که یک role را منتقل می کنید و هر دو دامین کنترلر online هستند. یعنی در شبکه در حال سرویس دهی هستند. به سرعت دامین کنترلر جدید رول را بر عهده می گیرد و دامین کنترلر قدیمی از انجام role سر باز می زند. این روش بهترین روش انتقال این رول ها است.

خرابی دامین کنترلر های دارای یک وظیفه Operation Master و مصادره رول ها :

چنانچه دامین کنترلری که یک رول Operation Master را به عهده دارد، خراب شود و دیگر امیدی به رکاوری نباشد یا اینکه برای مدت زیادی زمان نگه داری نیاز داشته باشد، اگر نتوانسته بودید که رول ها را انتقال دهید می توانید آن ها را Seizing یا مصادره کنید. در خصوص هر کدام از این رول ها شرایط خاصی ایجاد خواهد شد:

1. PDC Emulator : این رول اگر در دسترس نباشد سریع تر از تمام رول های دیگر در شبکه ایجاد اختلال خواهد کرد و کاربران سریع با مسئله درگیر می شوند. خوشبختانه می توان این رول را Seize کرد و سپس به سرویس دهنده اصلی بازگرداند. منظور از سرویس دهنده اصلی دامین کنترلری است که وظیفه PDC Emulator را بر عهده داشته.

2. infrastructure Master : هرچند در خرابی های این role  شاید کاربران سریع درگیر نمی کند، اما مدیران را اذیت خواهد کرد. می توان این رول را Seize کرد و با بازگرداننده سرویس دهنده اصلی، رول را به او بازگردانند.

3. RID Master : خرابی RID Master باعث خواهد شد که دامین کنترلرها نتوانند SID جدیدی دریافت کنند. بنابراین از ساخت user,group و… جلوگیری به عمل خواهد آورد. از آنجایی که دامین کنترلر ها یک دسته SID را دریافت می کنند، ممکن است به سرعت با مشکل جدی رو به رو نشوید. Seize این رول عمل مناسبی نیست و توصیه نمی شود اما در صورت لزوم و اجتناب ناپذیر بودن آن، دامین کنترلری که این رول از آن مصادره شده است نمی تواند دوباره به کار خود بازگردد و online شود.

4. Schema Maste : این رول تنها زمانی حیاتی است که تغییر در Schema به وجود آید. حال چه توسط برنامه های Active Directory integrated چه توسط یک مدیر شبکه.  Seize این رول عمل مناسبی نیست و توصیه نمی شود اما در صورت لزوم و اجتناب ناپذیر بودن آن، دامین کنترلری که این رول از آن مصادره شده است نمی تواند دوباره به کار خود بازگردد و online شود.

5. Domain Naming Master : این رول زمانی کاربرد دارد که یک دامین به جنگل اضافه/حذف می شود.  Seize این رول عمل مناسبی نیست و توصیه نمی شود اما در صورت لزوم و اجتناب ناپذیر بودن آن، دامین کنترلری که این رول از آن مصادره شده است نمی تواند دوباره به کار خود بازگردد و online شود.

نحوه مصادره یک رول:

هشدار: در محیط عملیاتی برای یادگیری آزمایش نکنید. Seize عمل حساسی است.

با آنکه انتقال یک رول هم از طریق خط فرمان و هم از طریق محیط گرافیکی امکان پذیر است، مصادره کردن یک role فقط از طریق خط فرمان (CMD) امکان پذیر است. برای Seize کردن یک رول مراحل زیر را پیش بگیرد:

1. در run وارد کنید CMD و در خط فرمان وارد کنید ntdsutil و enter بزنید.

2.در فرمان ابزار ntdsutil وارد کنید roles و enter بزنید.

3. اکنون باید به دامین کنترلری که قرار اجرای role به آن واگذار شود، متصل شوید برای این کار در فرمان fsmo maintenance وارد کنید connections و enter بزنید.

4. اکنون در فرمان server connections وارد کنید connect to server DCFQDN و enter بزنید. دقت کنید DCFQDN نام کامل دامین کنترلر مورد نظر است مثلا : Server8.contoso.com

5.در فرمان Server connection وارد کنید quit و enter بزنید.

6.در فرمان fsmo maintenance وارد کنید seize ROLE و enter بزنید.

ROLE یکی از رول ها می تواند باشد یعنی : PDC , RID master , schema master , domain naming master , infrastructure master (خود لغت ROLE را وارد نکنید)

7.در فرمان fsmo maintenance و ntdsutil وارد کنید quit

* در هر مرحله می توانید از ؟ برای راهنمایی استفاده کنید.

** برای انتقال به جای دستور seize ROLE از دستور transfer ROLE استفاده کنید.

هشدار: به هیچ عنوان دامین کنترلر هایی که قابل بازگرداندن نیستند را به شبکه دوباره متصل نکنید. اگر می خواهید دوباره از آن استفاده کنید به استفاده از دستور dcpromo /forceremoval نقش دامین کنترلر را از آن حذف کنید. گاهی توصیه شده است از ابتدا ویندوز را روی آن نصب کنید و البته پس از این کار دوباره می توانند به دامین بازگردد، دامین کنترلر شود و رول(ها) را به آن انتقال داد. در هر حال مصادره کردن آخرین راه است.

پ.ن: اعتراف می کنم نمی دانم seize را  به فارسی چه ترجمه می کنند اما واژه های “مصاده یا توقیف” در اینجا مناسب ترین معنی لغوی است.

همانطور که گفته شد؛ SYSVOL یک پوشه (folder) است که به صورت پیش فرض در systemroot%\SysVol% قرار دارد. این پوشه شامل اطلاعاتی نظیر Group Policy Templates است. در حالت ایدآل، فلدر های sysvol روی تمام دامین کنترلرها باید کاملا یکسان باشند. مدیران شبکه باید Replication فلدر sysvol را طوری مدیریت کنند که ضمن کافی بودن، بیشترین اثربخشی را داشته باشد. در گذشته  از File Replication Service یا به اختصار FRS برای Replication دو فلدر SysVol استفاده می شد اما از ویندوز سرور 2003 R2 به بعد، با توجه به مزایای DFS-R توصیه می شود از DFS-R استفاده کنید. تنظیم، مدیریت و حل مشکل FRS قدری دشوار است و از لحاظ حجم و performance دارای محدودیت است(به علت الگوریتم) بنابراین مهاجرت به DFS-R برای تمام شبکه ها توصیه می شود.

توجه: با توجه به مطلبی که در اینجا مطرح شده، Domain Functional Level را به ویندوز سرور 2008 باید ارتقاء دهید. صرفا استفاده از ویندوز سرور 2008 برای استفاده از DFS-R کافی نیست.

مراحل مهاجرت:

از آنجایی که SysVol شامل اطلاعات حیاتی برای دامین است، ویندوز فرآیندی برای انتقال یک دفعه ای از FRS به DFS-R ندارد. فرآیند مهاجرت به این شکل است که ابتدا یک ساختار موازی با SysVol ایجاد می شود و سپس Request های برای SysVol به ساختار جدید هدایت می شود. زمانی که مشخص شد مکانیسم DFS-R به خوبی کار می کند، FRS حذف می شود. این مهاجرت در 4 گام صورت می گیرد:

گام 0 ، شروع : زمانی است که فقط از FRS برای Replicate کردن SysVol استفاده می شود.

گام 1، آماده شده :  یک کپی از فلدر SysVol به نام SysVol_DFS ساخته شده و DFS شروع به Replicate کردن آزمایشی می کند. هر چند هنوز از فقط از پوشه SysVol استفاده می شود و با FRS عملیات Replication صورت می گیرد.

گام 2، هدایت شده : دیگر از فلدر SysVold_DFS استفاده می شود و نام Share پوشه Sysvol به  SysVold_DFS مسیرش عوض می شود.

گام3، حدف شدن: Relicate شدن با FRS متوقف می شود، هرچند پوشه SysVol همچنان موجود است و اگر می خواهید آن را delete کنید باید دستی این کار را انجام دهید.

نحوه مهاجرت:

روی خط فرمان (CMD) می توانید مهاجرت را آغاز کنید. این کار با دستور DFSRmig انجام می شود. از 3 سوییچ این دستور باید استفاده کنید:

SetGlobalState State :  با این سوییچ می توانید مرحله مهاجرت را تعیین کنید. متغییر state مقادیر 0 تا 3 را می تواند اختیار کند. (مشابه آنچه در مراحل گفته شد) تمامی دامین کنترلر ها از مهاجرت به مرحله دیگر مطلع می شوند و خود را منطبق می کنند.

GetGlobalState : با این سوییچ می توانید مرحله فعلی مهاجرت را ببینید.

GetMigrationSate : با این سوییچ می توانید وضعیت فعلی مهاجرت هر دامین کنترلر را ببینید. علت وجود چنین سوییچی آن است که مدت زمانی طول می کشد تا دامین کنترلرها از مرحله جدید مهاجرت آگاه شوند و از آن مهم تر مدت زمانی طول می کشد تا دامین کنترلر فعالیت های مربوط به مهاجرت را انجام دهد.

برای افزایش مرحله مهاجرت، از سوییچ SetGlobalState استفاده کنید و برای رفتن به مرحله بعدی باید 15 دقیقه تا 1 ساعت منتظر بمانید. در زمان انتظار حتما با سوییچ  GetGlobalState وضعیت کلی و با سوییچ GetMigrationState وضعیت هر دامین کنترلر را بررسی کنید.

دلایل مهاجرت و آشنایی با DFS-R :

استفاده از تکنولوژی های DFS مقاومت در برابر خطا افزایش یافته و در شبکه های WAN همسان سازی اطلاعات بهتر صورت گیرد. DFS کوتاه شده ی Distributed File System است که یکی از این تکنولوژی ها DFS Replication است. مزایای DFS-R عبارت اند از:

1. اثر بخشی بیشتر در استفاده از شبکه : فقط تغییراتی که روی یک فایل اتفاق افتاده منتقل می شود. استفاده از الگوریتم فشرده سازی بایتی جدید به نام Remote differential compression و …

2.مدیریت آسان تر : با استفاده از Snap-in به نام DFS Managment می توان آن را مدیریت کرد.

3. دسترسی آسان تر به اطلاعات با استفاده از مجازی سازی فضای نامی

4. توسعه های در مقیاس های بزرگ : از آنجایی که تنظیمات آن در اکتیو دایرکتوری ذخیره می شود، DFS-R یک متد Replication مطمئن است که بدون توجه به توپولوژی می توان هزاران node را پوشش دهد.

و…

سرویس Active Directory Lightweight Directory یا به اختصار AC LDS یکی از سرویس های 5 گانه مرتبط با تکنولوژی اکتیو دایرکتوری در ویندوز سرور 2008 است. در ویندوز سرور 2003 سرویسی مشابه AD LDS به نام  Active Directory Application Mode یا به اختصار ADAM موجود بود که اکنون AD LDS با برتری هایی که نسبت به ADAM دارد جایگزین شده است. همانطور که از اسم این سرویس مشخص است سرویسی کوچک شده از سرویس AD DS است که در واقع مهمترین وظیفه AD LDS پشتیبانی از نرم افزار هایی است که به سرویس دایرکتوری برای فعالیت خود نیازمند اند اما در شبکه بنا به دلایلی نصب AD DS را مناسب نمی دانیم و یا ترجیح می دهیم سرویس AD DS دست نخورده باقی بماند. یک مثال پرکاربرد، نرم افزار Microsoft Exchange Server 2007 است که تمام اطلاعات کاربران در این برنامه با سرویس دایرکتوری نگه داری می شود. زمانی که Microsoft Exchange Server 2007 را نصب می کنید، در AD DS Schema مواردی را اضافه می کند که تقریبا شاید حجم را به 2 برابر می رساند. تغییر روی Schema شاید کار جالبی نباشد چرا که این تغییر همیشگی است و غیرقابل حذف شدن است، هرچند می توان آن را غیر فعال کرد. از طرفی، روز به روز شاهد افزایش تعداد برنامه های Active Directory integrated (برنامه های یکپارچه با AD) هستیم که بسیاری از آنها Schema را ویرایش می کنند. با توجه به آنکه ممکن است نخواهید یک برنامه Schema را در محیط اکتیو دایرکتوری شما ویرایش کند، راهکار AD LDS بسیار راهکار خوبی است. البته در آینده در خصوص بهترین طراحی اکتیو دایرکتوری و سناریوهای مرتبط با هر کدام از سرویس های 5 گانه صحبت خواهم کرد.

در هر حال زمانی که قصد نصب یک نرم افزار که Schema را تغییر می دهد دارید باید با دقت کافی عمل کنید چرا که سرویس اکتیو دایرکتوری برای سالیان بسیاری در محیط کاری شما باقی می ماند. حتی با به روز شدن نسخ ویندوز سرور و سرویس اکتیو دایرکتوری، از مهاجرت به نسخه جدید تر ویندوز و یا Upgrade استفاده خواهید کرد بنابراین اگر تغییری در Schema ایجاد شود ممکن است تا بیش از یک دهه باقی بماند. حال ممکن است از نرم افزار اتوماسیون اداری استفاده می کنید که Schema را ویرایش می کند، با عوامل مختلفی ممکن است آن نرم افزار دیگر تولید نشود و یا در هر عوامل دیگری ایجاد شود که مجبور خواهید شد از نرم افزار دیگری استفاده کنید. همانند آنکه آن برنامه دیگر نیازهای سازمان شما را برآورده نمی کند و به استفاده از نرم افزار دیگری روی می آورید.  اکنون با توجه به آنکه تغییرات روی Schema قابل حذف نیستند، بسیاری از اطلاعات بیهوده نگه داری می شوند، زمان replication بالا می رود و … .

سرویس AD LDS می تواند تمام نیاز های یک نرم افزار یکپارچه با AD را بر آورده کند و سرویس AD DS دست نخورده باقی بماند.(در خصوص Global Catalog دقت کنید) به اضافه آنکه به اعتبارات گروهی Enterprise Administrator و Schema Administrator برای ویرایش AD LDS نیاز نیست و مدیران شبکه هر بخش می توانند خود به مدیریت بپردازند. مدیریت AD LDS آسان تر است و حتی نصب آن به Restart بی نیاز است. AD LDS مشابه AD DS از پروتکل Lightweight Directory Access Protocol یا LDAP استفاده می کند  و بنابراین یک ساختار سلسله مراتبی دارد. نکته قابل توجه دیگر آن است بر خلاف اکتیو دایرکتوری دامین سرویس، Directory Partition در AD LDS از نامگذاری پروتکلهای X500 پشتیبانی به عمل می آورد. AD LDS از Global Catalog و Trusts بهره نمی برد و فاقد Group Policy ، X509 و PKIs است. (Public key infrastructure) لزومی ندارد AD LDS روی یک دامین کنترلر Run شود و می تواند با ابزار Backup ویندوز سرور 2008 یکپارچه کار کند.

بهبود های AD LDS نسبت به ADAM :

1. امکان نصب در Server Core

2.امکان Auditing پیشرفته

3. پشتیبانی از سایت ها مشابه AD DS

4. پشتیبانی از ابزار Database Mounting Tool  یا در واقع Dsamain.exe که در ریکاوری بسیار مفید است.

و بسیاری دیگر

پیشنیاز های نصب AD LDS :

1. سیستم عامل مورد پشتیبانی همانند Windows Server 2008, Enterprise Edition
2. یک User Account با داشتن حقوق مدیریتی Local

پیشنیاز های حذف AD LDS :

1. حذف کردن تمام نرم افزارهای مرتبط از طریق Programs & Features از کنترل پنل
2. یک User Account با داشتن حقوق مدیریتی Local

نصب Active Directory Lightweight Directory Service :

به Server Manager بروید و در قسمت Roles گزینه Add Roles را بزنید. در ویزاردی که باز می شود Active Directory Lightweigh Directory Services را انتخاب کنید و سپس نصب را انجام دهید. اکنون باید مرحله دوم را انجام دهید. می توانید به Administrative Tools بروید و Active DActive Directory Lightweigh Directory Services Setup Wizard را بزنید. همچنین می توانید به پوشه (Folder) ویندوز رفته و سپس در آن پوشه adam رفته و adaminstall را بزنید. به عبارت دیگر به systemroot%\adam% بروید. راهنمای مراحل این ویزارد و نحوه تنطیمات AD LDS را در قسمت بعدی بررسی خواهیم کرد.

این مطلب ادامه دارد…

در قسمت قبل رول Active Directory Lightweight Directory Service را نصب کردیم و به مرحله انجام ویزارد نصب و تنظیمات اولیه رسیدیم، حال مطلب را ادامه می دهیم.

پیش نیاز ها:

نصب  AD LDS مشابه AD DS شامل دو مرحله است. مرحله اول نصب Role بود که در قسمت قبل انجام شد، مرحله دوم تنظیمات اولیه است که در اینجا بررسی می شوند:

آ. توصیه می شود یک پارتیشن یا والیوم به غیر از پارتیشنی که سیستم عامل روی آن قرار دارد را جهت نصب نمونه آماده کنید.

ب. یک نام که توصیه می شود یک نام با معنی انتخاب کنید.

پ. پورت ها، AD LDS و AD DS هر دو از پورت های یکسان برای انتقال اطلاعات استفاده می کنند (به صورت پیش فرض) این پورت ها شامل LDAP یا پورت 389 و LDAP Over SSL یا Secure LDAP پورت 636 است. به اضافه آنکه AD DS از دو پورت 3268 برای دسترسی به GC با پروتکل LDAP و پورت 3269 که برای دسترسی به GC با Secure LDAP استفاده می کند. بدیهی است از آنجایی که GC در AD LDS موجود نیست، این دو پورت بدون استفاده برای AD LDS هستند. این مسئله تداخل پورت ها دلیل خوبی برای آن است که روی یک سرور AD LDS و AD DS را با هم اجرا نکنیم هرچند که ویزارد می تواند به صورت خودکار این تداخل را تشخیص دهد و در این صورت پورت های 50،000 , 50،001 را به صورت پیش فرض انتخاب می کند و برای موارد اضافی نیز پورت هایی از همان Range انتخاب می کند. می توانید به دلایل خاص این پورت ها را تغییر دهید مثلا زمانی که در اشغال نرم افزار دیگری هستند و در غیر این صورت تغییر پورت ها توصیه نمی شود. اگر در یک محیط دامین این کار را انجام می دهید توصیه می شود پورت های 50،000 را انتخاب کنید.

ت. یک نام برای Active Directory Application Partition می توانید انتخاب کنید. این نام باید یک نام DN یا distinguished name باشد که به عنوان مثال به این شکل نوشته می شودCN=AppPartADLDS,DC=Contoso=DC=com . اینکه یک Application Partition ایجاد کنید یا خیر بستگی به نیاز محیط عملیاتی شما دارد. همانطور که می دانید App. Partition برای کنترل replication در یک سرویس دایرکتوری کاربرد دارد. به عنوان مثال زمانی که یک Active Directory Intergrated Zone در MS DNS ایجاد می کنید، از یک پارتیشن برای همسان سازی اطلاعات استفاده خواهد شد. یک App. Partition برای AD LDS هم برای کنترل ترافیک Replication کاربرد دارد. در سه روش می توان یک Application Partition مربوط به AD LDS ایجاد کرد. زمامی که سرویس را نصب می کنید. زمانی که نرم افزاری نصب می کنید که وابسته به سرویس است و یا به صورت دستی و با استفاده از دستور LDP.exe. توصیه می شود اگر نرم افزاری نصب می کنید که به صورت خودکار App. Partition نمی سازد در زمان نصب سرویس یک Application Partition بسازید.

ث. یک Account برای اجرای سرویس نیاز خواهید داشت. هرچند می توانید از اشتراک Network Service استفاده کنید اما در برخی سناریو ها مثلا زمانی که چندین نمونه را همزمان به کار می گیرید و یا مواردی که اعتبارات خاص نیاز است استفاده از Network Serivce ناکارآمد خواهد بود. برای ساخت یک Account دیگر اقدام کنید و توصیه های زیر را در نظر بگیرید:

- اگر در محیط اکتیو دایرکتوری هستید یک Domain Account بسازید و در غیر این صورت Local Account بسازید.

- نام Account با نام نمونه (Instance) یکی باشد.

- از یک پسورد بسیار ایمن استفاده کنید. (بسیار پیچیده باشد)

- گزینه های  User Cannot change Password و  The Passowd Never Expire را انتخاب کنید.

- در هر کامپیوتری که میزبان نمونه است (نمونه را روی آن می سازید) حق Logon as a Service را به Account بدهید. (از طریق Local Security Policy در صورت در دسترس بودن)

- برای Auditing حتما گزینه های مربوطه را تنظیم کنید.

ج. گروهی که مدیران AD LDS هستند. بهتر است همواره یک گروه را انتخاب کنید  حتی اگر آن گروه شامل یک کاربر باشد. بهتر است یک گروه هم نام با نمونه بسازید و اگر در دامین هستید، یک Domain Group و اگر نیستید یک Local Group  بسازید. خود را در آن گروه عضو کنید.

چ. فایل های LDIF یا Light Weight Directory Interchange Format که سبب توانایی هایی برای AD LDS علاوه بر توانایی ها پیش فرض می شود. این فایل ها در systemroot%\Adam% قرار می گیرند. به عنوان مثال برای هماهنگ شدن AD DS با AD LDS باید فایل ms-AdamSyncMetaData.ldif را انتخاب کنید. می توانید فایل های جدیدی اضافه کنید اما فایل های موجود به شرح زیر اند:

-  فایل ms-ADAM-upgrade-1.ldf : به روز رسانی Schema به آخرین ورژن موجود.

- فایل ms-ADAMSchemaw2k3.ldf : برای همکاری با اکتیو دایرکتوری در ویندوز سرور 2003 پیش نیاز و لازم است.

- فایل ms-ADAMSchemaw2k8.ldf : برای همکاری با اکتیو دایرکتوری در ویندوز سرور 2008 پیش نیاز و لازم است.

- فایل ms-ADAMSyncMetadata.ldf : برای همکاری با یک جنگل AD DS با AD LDS پیش نیاز و لازم است.

- فایل ms-ADLDS-DisplaySpecifiers.ldf : برای استفاده از کنسول Active Directory Sites & Services  در AD LDS لازم است.

- فایل ms-InetOrgperson.ldf : برای ساختن کلاس های InetOrgPreson User لازم است.

- فایل ms-User.ldf : برای ساخت کلاس های کاربری (User Classes) لازم است.

- فایل ms-UserProxy.ldf : برای ساختن کلاس ساده ی UserProxy لازم است.

- فایل ms-UserProxyFull.ldf : برای ساختن کلاس کامل UserProxy لازم است. ms-UserProxy.ldf یا ms-inetOrgPerson.ldf نیز در صورت انتخاب این گزینه باید انتخاب شوند.

شروع به تنظیمات:

1. ویزارد AD LDS Setup Wizard را مطابق آنچه پیش از این توضیح داده شد اجرا کنید و Welcome ویزارد را بخوانید و Next بزنید.

2. در گام بعدی در خصوص آنکه آیا یک نمونه (instance) جدید ایجاد شود یا یک Replica از یک instance موجود ایجاد شود سوال می شود. دقت داشته باشید که اگر یک New instance ایجاد کنید (یعنی A unique instance را انتخاب کنید) ، نمونه جدید نمی تواند با نمونه های گذشته Replication انجام دهد. اگر می خواهید که یک Replica از یک نمونه ی AD LDS موجود ایجاد کنید، گزینه A Replica of an existing instance را انتخاب کنید. من فعلا گزینه اول را انتخاب می کنم. با زدن Next به مرحله بعدی Wizard بروید.

3. در این مرحله باید یک نام برای نمونه جدید انتخاب کنید.

4.  در مرحله بعدی باید با توجه به آنچه در بخش پیش نیاز ها گفته شد، پورت ها را انتخاب کنید. با زدن Next به مرحله بعدی می رویم.

5. در این مرحله باید معین کنیم که آیا App. Partition ساخته شود یا خیر، با توجه به آنچه در پیش نیاز ها گفته شد.

6. در این مرحله باید محل قرار گیری فایل های سرویس دایرکتوری را معین کنیم که به صورت پیش فرض در مسیری مشابه C:\Program Files\Microsoft ADAM\InsanceName\Data ذخیره می شود. InstanceName نام نمونه است و به توصیه پیش نیاز توجه کنید. با زدن Next به مرحله بعدی می رویم.

7. اکنون باید Account مناسب را با توجه به مباحث پیش نیاز معین کنیم.

8. در مرحله بعدی باید مدیر (ها) سرویس AD LDS را معین کنیم. توصیه می شود یک گروه را انتخاب کنید.

9. حال باید فایل LDIF را برای Import شدن انتخاب کنیم.

10. با زدن Next فرآیند نصب را تایید می کنیم و نصب شدن آغاز می شود. به Restart شدن نیازی نیست.

این مطلب ادامه دارد…

Read-Only Domain Controller ها یا RODC ها  Additional Domain Controller هایی هستند که یک نسخه فقط خواندنی از پارتیشن ها نگه داری می کنند. RODC ها برای قرارگیری در شعبه های شرکت اصلی یا Branch Office ها ساخته شده اند. معمولا این Branch Office ها شرایط محدود کننده ای همانند پهنای باند کم، امنیت فیزیکی نا مناسب، عدم وجود تکنسین شبکه، تعداد کم کاربر و دانش ناکافی در زمینه IT دارند بنابراین نگه داشتن یک دامین کنترلر در آنها ریسکی بزرگ است و امنیت تمام شبکه را به مخاطره می اندازد. این Branch Office ها معمولا با استفاده از یک WAN یا MAN به Main Office یا دفتر مرکزی متصل می شوند همچنین معمولا Branch Office ها با هم متصل نیستند به عبارت دیگر فقط یک لینک کم سرعت بین دفتر شعب و دفتر مرکزی موجود است و لینک پشتیبان وجود ندارد. همچنین پهنای باند لینک موجود هم بسیار کم است و ارتباط از کیفیت مناسبی نیز برخوردار نیست. در گذشته راه حلی نا مناسبی به غیر از راه اندازی یک DC در دفتر شعبه نداشتیم اما با ویندوز سرور 2008 نوع جدید و پر کاربردی از دامین کنترلرها به نام دامین کنترلرهای فقط خواندنی معرفی شد که راه گشای بسیار مشکلات گذشته است. توجه به RODC در طراحی های جدید بسیار مهم و مفید است ضمن آنکه می تواند هزینه های نگه داری و گاهی پیاده سازی را بکاهد. در تصویر زیر یک مثال را مشاهده می کنید:

اگر در Branch Office دامین کنترلری موجود نباشد بدون شک باید عملیات Authenticate از طریق لینک WAN و توسط دامین کنترلری که در Main Office موجود است انجام شود. حال در آغاز ساعت کاری که تمام کارمندان می خواهند Login کنند، با دو مشکل رو به رو خواهیم شد. یکی کمبود پهنای باند WAN و دیگری ترافیک بالای دامین کنترلر ها در Main Office. مسئله دیگر Service Ticket ها است که یکی از اجزای جدید Kerberos در ویندوز سرور 2008 است. فعلا هر چند نادرست اما تصور کنید مشابه یک کلیدی است که برای استفاده از سرویس ها توسط دامین کنترلرها برای کاربران صادر می شود و از آنجایی که در هر روز معمولا چندین بار این اتفاق برای هر کاربر می افتد، اگر در دفتر شعب دامین کنترلر نباشد باید از طریق لینک WAN و از دامین کنترلر موجود در Main Office صادر شود. این مسائل و مسائل مشابه دیگری ما را مجبور می سازد تا در هر Branch Office یک دامین کنترلر قرار دهیم و آن را به عنوان یک سایت معین کنیم. همچنین هر شعبه یک IP Subnet مخصوص خود خواهد داشت. اما با توجه به محدودیتی هایی که در ابتدا اشاره شد نمی توان یک دامین کنترلر را در شعب قرار داد چرا که اگر دامین کنترلر مورد هر نوع تهاجمی قرار گیرد، امنیت در تمام شبکه به مخاطره می افتد لذا از یک RODC استفاده می کنیم.

به غیر از کلمه ی عبور User Accounts یک RODC تمام اطلاعاتی که روی یک دامین کنترلر است را نگه داری می کند اما کلاینت ها نمی توانند تغییراتی روی RODC ذخیره کنند. برخی نرم افزاری هایی که از AD DS برای ذخیره سازی اطلاعات خود استفاده می کنند ممکن است اطلاعات پر اهمیتی همانند کلمه عبور یا کلید های Encryption را ذخیره کنند که نباید در RODC ها ذخیره شود. در این خصوص هم می توانید معین کنید این اطلاعات پر اهمیت در RODC ها ذخیره نشوند. زمانی که کاربر می خواهد Login کند، RODC درخواست را دریافت می کند و آن را برای DC موجود در Main Office می فرستد. DC عملیات Authentication را انجام می دهد. اگر قابلیت Cache کردن در RODC فعال باشد، RODC اطلاعات را Cache می کند و اگر دفعه بعدی کاربر بخواهد Login کند، RODC خود جواب Authentication را می دهد. از آنجایی که RODC فقط اطلاعات یک زیر مجموعه ای از کاربران را Cache می کند، تهدید آنکه RODC مورد حمله قرار گیرد محدود می شود. DC های نوشتنی هم لیستی از اطلاعاتی که توسط دامین کنترلرها فقط خواندنی Cache شده را نگه داری می کنند. از آنجایی که Replication فقط یک طرفه صورت می گیرد، هیچ خطری نمی تواند شبکه را تهدید کند و تنها کافی است امنیت برای همان اطلاعات Cache شده بازسازی شود مثلا Password های همان عده از کاربران تغییر پیدا کند. بر خلاف DC ها RODC ها یک گروه Administrator به صورت Local دارند و می توانید به یک یا چند نفر از پرسنل Branch Office قابلیت مدیریت کردن را بدهید بدون آنکه عضو گروه Domain Admins باشند می توانند به نگه داری از RODC بپردازند و دیگر نگران فعالیت های آنان نخواهید بود. این چنین دیگر لازم نیست ساعات زیادی از وقت خود را صرف انتخاب permission های مناسب در بخش های Security کنسول های مختلف کنید.

نصب یک RODC :

برای نصب یک RODC مراحل زیر را طی کنید:

1. اطمینان پیدا کنید که Forest Functional Level حداقل Windows Server 2003 است. (اینجا و اینجا را بخوانید)

2. اگر در سراسر جنگل دامین کنترلری ویندوز سرور 2003 دارد adprep /rodcprep را اجرا کنید.

3. اطمینان پیدا کنید حداقل یک DC ویندوز سرور 2008 دارد.

4. نصب RODC

اگر یک Forest موجود را به روز رسانی می کنید تا شامل دامین کنترلر های ویندوز سرور 2008 باشد و قصد نصب RODC را دارید باید دستور adprep /rodcprep را اجرا کنید. این دستور باعث می شود تا مجوز های لازم جهت Replicate شدن Application Partition مربوط به DNS با RODC را ایجاد می کند. اگر تمامی دامین کنترلرها ویندوز سرور 2008 دارند نیازی به اجرای این دستور نیست. فایل ها مربوطه در دی وی دی ویندوز سرور 2008 در پوشه Sources در پوشه Adprep قرار دارد و این پوشه را در دامین کنترلری که رول Schema Master را دارد کپی کنید و در CMD به محلی که فایل ها را کپی کرده اید بروید و سپس دستور را اجرا کنید. توجه داشته باشید که برای اجرای این دستور باید مجوز های مدیریتی لازم را داشته باشید در واقع باید عضو گروه Enterprise Admins باشید چرا که قرار است Schema تغییر کند.

حداقل باید یک DC با ویندوز سرور 2008 وجود داشته باشد (در دامین) به صورت ایده آل این دامین کنترلر باید در نزدیک ترین سایت با به عبارت دیگر با کوتاه ترین لینک از محل قرار گیری RODC باشد. اگر می خواهید که RODC به عنوان DNS Server نیز عمل کند باید دامین کنترلر ویندوز سرور 2008 نیز شامل Zone های مربوطه باشد. نصب RODC مشابه نصب Additional Domain Controller است با این تفاوت که در انجام مراحل ویزارد باید چک باکس Read-Only Domain Controller را چک بزنید.

Read-Only DNS :

می توانید DNS Server را روی یک RODC نصب کنید و در این صورت کلاینت ها می توانند با ارسال Query به RODC که در واقع یک DNS Server است نام یا آی پی Resolve کنند. اما DNS Server ای که روی RODC است نمی تواند رکورد جدیدی روی آن ثبت شود. زمانی که کلاینت سعی می کند با استفاده از DDNS یک Record را به روز کند، DNS Server روی read-only Domain Controller کلاینت را ارجاع می دهد و کلاینت رکورد را در محلی که DNS Server روی RODC ارجاع داده Update می کند. البته در پشت صحنه مسائل پیچیده تری از آنچه گفته شد اتفاق می افتد که در آینده بیشتر بررسی خواهند شد.

سناریوهای دیگر:

هرچند که در به سناریو ی محدودیت ها اشاره کردیم اما ممکن است به دلایل دیگری نیز استفاده از Read-Only Domain Controller ها لازم باشد. همانند سناریو هایی که یک نرم افزار LOB یا Line Of Bussines روی دامین کنترلر ها اجرا می شود. برای مدیریت LOB ها می توان به صورت Interactive یا در واقع از پشت کامپیوتر Login کرد و یا از Terminal Service استفاده کرد. با استفاده از RODC در آینده این شانس وجود دارد تا بتوان افرادی به غیر از گروه Admins بتوانند به صورت Interactive به سیستم وارد شوند و هیچ تهدید امنیتی وجود نداشته باشد. احتمال می رود در آینده با حل مشکلات موجود RODC نحوه طراحی تغییر یابد و شاهد بهبود های بسیاری باشیم. تصویر زیر مثالی از این تغییر طراحی است.

این مطلب در آینده با مطالب مرتبط دیگری تکمیل می شود.

در قسمت قبل، با کلید های عمومی و خصوص آشنا شدیم اکنون ادامه ی بحث را پی می گیریم.

Digital Certificate ها، کارت شناسایی های دیجیتالی هستند که برای تصدیق هویت افراد، کامپیوتر ها و تجهیزات در شبکه به کار می روند. یک Digital Certificate عملکردی دقیقا مشابه یک کارت شناسایی مثل پاسپورت یا گواهی نامه رانندگی دارد. به عنوان مثال گواهی نامه رانندگی توسط دولت ها به اشخاص داده می شود تا مشخص شود این فرد اجازه رانندگی با اتومبیل های با وزن حداکثر 2تن را دارد. زمانی که کسی از شما سوال می کند آیا مجوز رانندگی دارید، گواهی نامه رانندگی خود را به او نشان می دهید. اگر یک گواهی نامه رانندگی بین المللی نداشته باشید، فقط می توانید در کشوری که آن را اخذ کرده اید با آن رانندگی کنید مگر آن که کشور دومی، به گواهی نامه کشور اول اعتماد داشته باشد. اما باید گواهی نامه از یک مرجع معتبر اخذ شود به عنوان مثال شما نمی توانید برای خودتان یک گواهی نامه رانندگی صادر کنید چرا که مورد تایید دیگران نخواهد بود.

همانند گواهینامه که هویت شما و آنکه مجوز رانندگی با چه وسایلی را دارید را شامل می شود، Digital Certificate ها هم شامل اطلاعاتی است نظیر:

1. هویت شما با آن اطلاعات مشخص شود.

2. هویت مرجع صادر کننده مشخص شود.

3. اطلاعاتی که بتوان از طریق آن با مرجع صادر کننده تماس گرفت.

همچنین کیفیت این مجوز بیشتر می شود اگر:

1. مرجع صدور بتواند آن را در هر زمانی که لازم باشد، باطل کند.

2. با رشوه دادن قابل اخذ نباشد و جعل کردن آن دشوار باشد.

3. ابطال شدن آن را بتوان از طریق ارتباط با مرجع صادر کننده  به سرعت متوجه شد.

استفاده از Digital Certificate ها سه هدف اصلی به دنبال دارد:

1. تصدیق هویت: برخی از راه هایی که Digital Certificate ها در تصدیق هویت به کمک می آیند، عبارت اند از:

آ. IPSec ، Internet Protocol Security

ب. Login کردن به کامپیوتر و تصدیق هویت کاربرد

پ. تصدیق هویت سرور برای کاربر با استفاده از Transport Layer Security ، TLS

ت. تصدیق هویت کلاینت در شبکه بی سیم

و بسیاری دیگر…

2. رمزنگاری : برخی از راه هایی که Digital Certificate ها در رمزنگاری به کمک می آیند، عبارت اند از:

آ. Secure Multipurpose Internet Mail Extensions ، S/MIME

ب. TLS

پ. Encryption File System ، EFS

3. صحت داده ها : رمزنگاری در انتقال اطلاعات و امضای دیجیتال که در قسمت قبل بحث شد.

کلاس ها:

شرکت VeriSign کلاس بندی برای Certificate ها کرده است که از این قرار است:

کلاس 1 : برای اشخاص حقیقی

کلاس 2: برای اشخاص حقوقی

کلاس 3: برای نرم افزار ها و سرو ها

کلاس 4: برای تراکنش های آنلاین مالی بین شرکت ها

کلاس 5: برا ی سازمان های سری و سازمان های امنیتی و سری دولتی

از لحاظ تئوری با راه اندازی مجوز ها، جهان خودمان را به دو قسمت تبدیل می کنیم،جهانی که به آن ها اعتماد داریم و جهانی که به آن ها اعتماد نداریم. اما واقعا چگونه عناصر قابل اعتماد از غیر قابل اعتماد قابل تشخیص اند؟ باید بر اساس Certificate که دارا هستند به آن ها اعتماد کنیم. اما آیا هر Certificate ای قابل اعتماد است؟ البته که نه. تنها Certificate هایی که از طرف کمپانی ما قابل قبول هستند، قابل اعتماد هستند. از طرفی دیگر یک Certificate برای همیشه قابل اعتماد نیست بلکه پس از مدتی بی اعتبار می شود. به عبارت دیگر Certificate ها تاریخ انقضا دارند. در ادامه بیشتر بحث می شود.

Certificate Service چیست؟

یک Certificate Service، سرویسی است که با استفاده از زیرساخت های کلید عمومی برای تصدیق هویت کاربران، کامپیوتر ها و تجهیزات مجوز صادر می کند، مجوز ها را بازبینی می کند و کلید ها را مدیریت می کند.

به صورت کلی صدور یک مجوز دو حالت دارد:

1. Manual verification  : که به صورت دستی مدیر صدور مجوز درخواست شده را تایید می کند.
2. Automatic approval : که بر اساس عضویت در Active Directory Domain Service صورت می گیرد.

شروع با Active Directory Certificate Services :

Active Directiry Certificate Services با زیرساخت Public Key و Certificate در سناریو های مختلفی کاربرد دارد از جمله:

1. رمزنگاری فایل ها. یکی از بزرگترین مشکلات امنیتی امروز، به سرقت رفتن اطلاعات روی کامپیوتر های قابل حمل است. با ویندوز سرور 2008 و در ویندوز ویستا یا سون می توانید با استفاده از Group Policy تمام اطلاعات کاربران را رمزنگاری کنید.

2. رمزنگاری ارتباطات. ویندوز سرور 2008 شامل هر دو پروتکل IPSec و Secure Sockets Tunnelling Protocol یا SSTP است. هر دوی این پروتکل ها به زیرساخت Certificate ها در مبدا و مقصد وابسته اند.

3. امنیت Email ها: ویندوز سرور 2008 شامل پروتکل Secure Multipurpose Internet Mail Exchanges یا S/MIME است. این پروتکل، پروتکل استاندارد ایمن سازی ایمیل ها است.

4. امنیت Login : استفاده از کارت های هوشمند یا Smart Card ها ، Certificate ها در اینجا هم به کمک می آیند.

5. امنیت وب سایت: با استفاده از IIS 7.0 در ویندوز سرور 2008 به راحتی می توانید تراکنش های بین وب سرور و کلاینت ها را ایمن تر کنید.

6. امنیت سرور ها با تصدیق شدن هویت سرور. به عنوان مثال زمانی که به تمام سرور های شبکه خود یک Certificate اختصاص دهید، آنگاه کامپیوتر های شبکه شما می توانند مطمئن شوند که با کامپیوتری که در حال جعل هویت یکی از سرور ها است انتقال اطلاعات انجام نمی دهند.

7. امنیت شبکه های بی سیم: با استفاده از ویندوز سرور 2008 و ویندوز ویستا یا سون، می توانید مطمئن باشید که تمام ارتباطات در بین وسیله های مورد اعتماد است.

8. با استفاده از ویندوز سرور 2008 و Active Directory Rights Managment Services می توانید از اطلاعات در برابر کنجکاوی ها محافظت کنید.

ضمن آنکه مد نظر داشته باشید صادر کردن یک Certificate برای تمام کارمندان شرکت (کاربران شبکه) می تواند هویت آن ها را در هر تراکنشی تصدیق کند. با استفاده از AD CS یک (PKI (Public Key Infrastracure به صورت سلسه مراتبی در تمام شبکه ایجاد می شود که AD CS از اجزا و رول های مختلفی تشکیل شده که با تعدادی از آنها آشنا می شویم.

1. Certificate Authorities :

سرور هایی هستند که برای صدور و مدیریت مجوز ها به کار می روند. به اختصار آن ها را CAs می خوانیم. به علت ساختار سلسه مراتبی PKI، سرویس AD CS می تواند هم Root و هم Child ها را پشتیبانی کند. سرور CA که در  Root قرار دارد را Root CA می گوییم و معمولا Root CA مجوز هایی را CAs زیردست می دهند تا آن ها مجوز های لازم را برای کاربران صادر کنند. همانطور که می دانید هر Certificate دارای مدت زمانی برای خود است و بعد از آن منقضی می شود. زمانی که مجوز های Subordinate CA ها یا CA های زیردست، منقضی می شود آنها باید از Root CA دوباره درخواست تجدید مجوز را کنند. این دلیل آن است که Root CA در بازه های زمانی مشخصی در شبکه حاضر می شود و مجوز ها را تمدید یا مجوز های جدیدی صادر می کند. برای افزایش امنیت Root CA حتی به صورت فیزیکی Root CA را از شبکه خارج می کنند. در این خصوص در ادامه بیشتر بحث می شود. البته معمولا مدت زمان اعتباز مجوز یک Subordinate بیشتر از زمانی است که به کاربران، کامپیوتر ها و سرویس های دیگر مجوز می دهد.

2.CA Web Enrollment :

با استفاده از Web Entrollment کاربران برای درخواست یک Certificate و دریافت لیست مجوز های باطل شده  از طریق یک Web Browser به CA وصل می شوند. Certificate Revocation List یا به اختصار CRL لیستی از مجوز هایی است که توسط سازمان باطل شده است. به طور خاص این لیست فقط شامل شماره سریال مجوزها است. بر اساس RFC 3280 دو وضعیت مختلف برای Revocation وجود دارد که عبارت است از:

الف: Revoked : یک مجوز به صورت غیر قابل برگشت،باطل شده است. به عنوان مثال متوجه می شوید که CA یک مجوز به طور نا صحیح صادر کرده یا یک Private Key به سرقت رفته. در این حالت عمل باطل شدن مجوز غیرقابل لغو شدن است.

ب: Hold : یک مجوز به صورت قابل برگشت لغو می شود. برای مواردی کاربرد دارد که هنوز تصمیم قطعی گرفته نشده. به عنوان مثال تعلیق یک کاربر.

بر اساس RFC 5280 (صفحه 69) ده دلیل Revoke کردن یک مجوز به این شرح است:

CRLReason ::= ENUMERATED {
        unspecified             (0),
        keyCompromise           (1),
        cACompromise            (2),
        affiliationChanged      (3),
        superseded              (4),
        cessationOfOperation    (5),
        certificateHold         (6),
             -- value 7 is not used
        removeFromCRL           (8),
        privilegeWithdrawn      (9),
        aACompromise           (10) }

CRL در بازه های زمانی مشخصی منتشر می شود و همچنین می تواند پس از آنکه یک مجوز باطل شد به صورت فوری منتشر شود. برای جلوگیری از حملات Denial Of Service و Spoofing معمولا CRL ها دارای یک امضای دیجیتال هستند تا مشخص شود حتما از CA مربوطه صادر شده اند. در این خصوص درآینده توضحات دقیق تری ارائه می شود.

از ویندوز سرور 2000 این ویژگی موجود بوده است و برای درخواست صدور یا تمدید مجوز ها برای کاربران و کامپیوتر هایی که در AD DS نیستند یا مستقیما به شبکه ارتباط ندارند و کامپیوترهایی که سیستم عامل آن ها مایکروسافت ویندوز نیست طراحی شده است. بر خلاف AutoEnrollment و Certificate Request Wizard که در ادامه با آن ها آشنا می شویم، از طریق اینترنت نیز امکان دریافت مجوز وجود دارد. کنترل کننده قبلی Xenroll.dll در ویندوز ویستا و سرور 2008 با کنترل کننده ی جدیدی به نام CertEnroll.dll جایگزین شده است و با آنکه فرآیند درخواست و صدور مجوز تغییری نکرده، در زمانی که کامپیوتری که سیستم عامل آن ویستا یا سرور 2008 است از کامپیوتری که یک سیستم عامل قدیمی تر دارد درخواست مجوز کند، مشکل compatibility ایجاد می شود. البته برعکس این امر صحیح نیست، یعنی سیستم عامل های قدیمی تر می توانند از سیستم عامل جدید تر مجوز دریافت کنند.

3. Online Responder :

مشابه CRL، یک OR هم برای تصدیق یک مجور به کار می رود. با استفاده از پروتکل Online Certificat Status Protocol یا به اختصار OCSP (توضیح در RFC 2560) این سرویس کار می کند. با استفاده از یک OR دیگر نیازی نیست که یک لیست  کامل CRL برای کنترل مجوز ها وجود داشته باشد. OR درخواست های تصدیق مجوز ها را دریافت می کند و آن ها را بررسی می کند و پاسخ می دهد. استفاده از Online Responder ها سریع تر و کارآمد تر است. AD CS به عنوان یک سرویس جدید در ویندوز سرور 2008 شامل این سرویس است. یک OR، در جواب یک درخواست سه جواب “Revoked” یا “Good” یا “Unknown” را باز می گرداند. این جواب توسط امضای OR، امضا می شود. چنانچه در پردازش درخواست مشکلی به وجود آید، OR یک Error Code را باز می گرداند. ORها از لحاظ امنیتی بسیار بحث برانگیز هستند که در آینده بحث خواهد شد.

4. Network Device Enrollment Service :

تجهیزاتی که دارای سیستم عامل سطح پایین هستند همانند روتر ها و سوییچ ها، نیز می توانند از PKIs بهره ببرند. با استفاده از پروتکل Simple Certificate Enrollment Protocol یا به اختصار SCEP که توسط سیسکو سیستمز ایجاد شده است، NDES نیز می تواند از PKIs استفاده کند. البته بدیهی است که این تجهیزات قسمتی از AD DS نیستند اما با استفاده از NDES می توانند با انکه دارای اکانت AD DS نیستند در ساختار سلسله مراتبی PKIs به خوبی جای بگیرند. NDES پیاده سازی مایکروسافت از روی پروتکل SCEP است که با آنکه تجهیزاتی همانند روتر و سوییچ نمی توانند توسط AD DS شناسایی شوند، بتوانند از مجوزهای CA استفاده کنند. بیشترین کاربرد NDES برای سازمان هایی است که دارایPKIs هستند و می خواهند ارتباط خودشان را با استفاده از IPSec با تجهیزاتی از شبکه ایمن کنند. در ویندوز سرور 2003 پکیج به نام Microsoft SCEP به صورت پکیج اضافه شونده قابل دسترسی است. البته Microsoft SCEP در واقع پشتیبانی مایکروسافت از SCEP است و یک پروتکل مجزا نیست. در ویندوز سرور 2008، با نام NDES این پشتیبانی به عمل آمد.

Crytography Next Generation – CNG .5 :

CNG در ویندوز سرور 2008 یک ابزار برای انعطاف پذیر برای توسعه ی رمزنگاری است. با استفاده از CNG می توان یک الگوریتم رمزنگاری جدید ایجاد، آپدیت یا از یک الگوریتم custom استفاده کرد. با CNG می توان عملیات ابتدای رمزنگاری همانند Hashها، رمزنگاری و رمزگشایی را انجام داد، می توان کلید های جدیدی ساخت، آنها را نگه داری کرد و آن ها را بازیابی کرد. می توان از Provider های دیگر استفاده کرد. برای اطلاعات بیشتر به اینجا، TechNet مراجعه کنید.

6. Restricted Enrollment Agent و Enrollment Agent :

Ristricted Enrollment Agent ویژگی جدیدی است که در ویندوز سرور 2008 معرفی شد. Enrollment Agents افرادی هستند که در یک سازمان مورد اعتماد هستند و برای آن ها مجوزی به نام Enrollment Agent Certificate صادر می شود. این افراد می توانند از طرف کاربران دیگر برای مجوز های Smart Card درخواست کنند. این افراد معمولا عضو تیم امنیت فناوری اطلاعات سازمان یا پشتیبانی باید باشند. البته در برخی سازمان ها همانند بانک ها که شعب زیادی دارند افراد تیم امنیت IT یا Help Desk نمی توانند این کار را بر عهده گیرند بنابراین این وظیفه بر عهده یک فرد دیگر همانند مدیر شعبه گذاشته می شود. CA در ویندوز سرور 2008، می توان مشخص کرد که یک Agent بتواند فقط برای گروهی از کاربران درخواست کند. روش کار چنین است که باید چند Security Templates مختلف طراحی شود و برای هر Template تنها فرد مربوطه به عنوان Enrollment Agent انتخاب شود. توجه داشته باشید که هنوز امکان آنکه که بر اساس یک OU این امر صورت گیرد وجود ندارد. شاید در آینده شاهد این تغییر مهم باشیم. همچنین توجه داشته باشید این ویژگی در Enterprise CA موجود است.

همانطور که گفته شد یک مجوز برای مدت مشخصی دارای اعتبار است، دلایل اصلی این امر عبارت است از:

1. هر چقدر عمر جفت کلید بیشتر باشد احتمال به سرقت رفتن آن بیشتر می شود، به عبارت دیگر چنین گفته می شود که اگر در هر حمله زخمی به جفت کلید ها وارد شود، جفت کلید بیشتر زخم خورده می شوند.

2. time nesting : زمانی که CA Certificate باطل شود، تمام مجوز های صادر شده توسط آن نیز باطل می شود. CA Certificate خود زمان انقضا دارد و اگر منقضی شود، مجوز های صاده شده توسط آن CA هم باطل می شود مگر آنکه:

آ. قبلا باطل شده باشند.
ب. مجوز CA تمدید شود.

در پایان استاندارد هایی که در CA مایکروسافت استفاده شده به این شرح است:

این مطلب ادامه دارد

با تشکر از سایت پورت ۸۰ به آدرس http://www.erfantaheri.com

CA های Stand-alone و Enterprise :

آ. Stand-alone CA : یک CA که لزوما به با AD DS یکپارچه نشده را می گویند. Stand-alone CA ها در معمولا روی یک Stand-alone Server نصب می شوند و  CA Client ها الزاما عضو دامین نیستند. صدور مجوز ها به صورت دستی باید تایید شوند. قالب امنیتی آن ها Standard Security Template است و غیر قابل تغییر است.  در ویرایش Standard ویندوز سرور هم در دسترس است.

ب. Enterprise CA : یک CA که با AD DS یکپارچه شده را می گویند. Enterprise CA ها روی Member-Server ها نصب می شوند و صدور مجوز ها از آنجا که CA با Active Directory Domain Service یکپارچه است، خودکار صورت می گیرد. قالب های امنیتی قابل ویرایش اند و بسیار پیشرفته تر از Stand-alone CA ها است. در ویرایش Standard ویندوز سرور در دسترس نیست و در ویرایش Enterprise یا Data Center موجود است.

همان طور مشاهده می کنید، تفاوت های این دو نوع سرور بسیار است و تصمیم گیری صحیح در طراحی بسیار اهمیت دارد. معمولا Enterprise در شبکه های داخلی که تعداد کاربران آن ها بسیار زیاد است استفاده می شود و فرآیند صدور مجوز بسیار آسان تر می شود اما این به معنای برتری Enterprise بر Stand-Alone نیست چرا که در برخی سناریو ها شرایط حکم می کند از Stand-Alone استفاده شود. در مرحله طراحی CA اولین فاکتوری که باید در نظر گرفته شود این مورد است. البته گام هایی که پیش از این در طراحی برداشته اید همانند Volume و… در این مرحله در انتخاب گزینه مناسب نقش کلیدی دارند. همچنین ممکن است در سناریو هایی به ترکیبی از این انواع دست بزنیم.

سلسه مراتب CA :

در مرحله طراحی اولیه، فاکتور بعدی که باید در نظر گرفته شود، امنیت با استفاده از سلسله مراتب است. این امر بسیار اهمیت دارد و کلید حل شدن بسیاری از مشکلات آینده است. از آنجا که ساختار CA سلسله مراتبی است، هر خطری که برای ROOT پیش آید، خطر تمام CA های زیر دست و به عبارت بهتر خطر تمام مجوز ها است. یکی از کارهای متداول یک معماری چندین مرتبه ای است و پس از پیاده سازی، سرورهای پر اهمیت خاموش می شوند یا از شبکه خارج می شوند سپس در برنامه های زمان بندی شده نا منظم، سرور را روشن یا به شبکه متصل می کنند تا به وظایف مدیریتی بپردازد. در این معماری، هر یک یا چند مرتبه را یک لایه تصور می کنیم و سپس ابتدا تعداد لایه ها را مشخص و سپس تعداد مرتبه های موجود در هر لایه را معین می کنیم. وسعت جغرافیایی، روابط Trust بین CA ها ، استفاده از کارت های هوشمند (Smart cards)، شبکه های بیسیم، تراکنش با افرادی خارج از شبکه محلی، IPSec و SSTP مواردی هستند که در این مرحله باید معین شوند چرا که در طراحی سلسله مراتب CA بسیار تاثیرگذارند.

- استفاده از یک CA که آن را گاها Single Root CA می خوانند، درموارد اندکی کاربرد دارد. زمانی که یک Single Root CA قصد دارید در نظر بگیرید، مهم ترین مسئله آن است که آن است که احتمال به خطر افتادن CA کم باشد و چنانچه مشکلی به وجود آید تاثیر بسیار مهمی نداشته باشد. با توجه به این دو شرط، در سناریوهای اندکی کاربرد دارد.

- ساختار دو لایه ای.  در لایه یک، Root CA وجود دارد که پس از راه اندازی و اقدامات مدیریتی اولیه خارج می شود و در بازه های زمانی نا منظم جهت مدیریت روشن می شود یا به شبکه متصل می شود. در لایه دو، تعدادی CA دیگر به دادن مجوز ها می پردازد. در اکثر کمپانی ها از این مدل استفاده می شود، چرا که وسعت و امکانات موجود اجازه ی افزایش لایه ها را نمی دهد.

- ساختار سه لایه ای. در لایه یک، Root CA وجود دارد که پس از راه اندازی و اقدامات مدیریتی اولیه خارج می شود و در بازه های زمانی نا منظم جهت مدیریت روشن می شود یا به شبکه متصل می شود. در لایه دوم، تعدادی CA را شامل می شود که آن ها نیز مشابه لایه یک خارج می شوند و در لایه سوم CA هایی موجود اند که مجوز ها را می دهند. معمولا در سازمان هایی که وسعت جغرافیایی قابل توجهی دارند و هزینه های این ساختار قابل توجیه است به کار می رود.

- ساختار های بیش از سه لایه.  ساختار های بیش از سه لایه ساختار های پیچیده ای هستند که در سناریو های خاص که تعداد کاربران بسیار زیاد، و اهمیت امنیت CA ها بسیار زیاد است کاربرد دارد.

همانطور که توجه می کنید با افزایش هر لایه عملیات مدیریتی چندین برابر می شود و فشار قابل توجهی به تیم فناوری اطلاعات کمپانی یا سازمان وارد می کند بنابراین انتخاب صحیح یا ساختار می تواند هم هزینه های نگه داری و هم هزینه های پیاده سازی را کاهش دهد. ضمن آنکه در نظر نگرفتن لایه های کافی ریسک به خطر افتادن زیرساخت CA را به مقدار قابل توجهی افزایش می دهد. در تصویر زیر به نوع و وضعیت online یا offline بودن CA ها توجه کنید.

چند نکته :

- تا جایی که ممکن است از ساختار تک لایه ای پرهیز کنید.

- Root CA که در لایه اول جای می گیرد باید به سرعت خاموش شوند، یک راه مناسب برای کاهش هزینه های پیاده سازی استفاده از تکنولوژِی Hyper-v در ویندوز سرور 2008 است که پس از انجام عملیات مدیریتی می توان کامپیوتر مجازی را خاموش کرد. جهت مسائل امنیتی حتما فایل های VM مربوط به کامپیوتر مجازی را از کامپیوتر حقیقی پاک کنید و آن ها را در یک محل ایمن نگه داری کنید.

- امنیت فیزیکی برای تمام CA ها بسیار اهمیت دارد.

- توجه کنید که مدیران CA ها افراد قابل اطمینانی باشند.

- امکان تغییر نام سروری که روی آن AD CS نصب می شود وجود ندارد.

- هر چند امکان پذیر است اما توصیه می شود، AD CS را روی DC نصب نکنید.

- علاوه بر مسائل فوق، مواردی که باید در مرحله طراحی اولیه در نظر گرفته شوند، زمان اعتبار مجوزها، نحوه درخواست مجوز، وجود کارت های هوشمند و… دیگری است که در ادامه مورد بررسی قرار می دهیم.

علاوه بر موارد ذکر شده، موارد دیگری هم هستند که در طراحی AD CS باید در نظر گرفته شوند. اولین مورد قابل توجه نحوه درخواست و توزیع مجوز ها است. همانطور که گفته شد یک مجوز برای تعیین هویت یک کاربر، وسیله یا برنامه به کار می رود. بنابراین باید مکانیسمی برای دادن مجوز صحیح به آن شیئ داشته باشیم. CA ها (نه فقط CA مایکروسافت) از مکانیسم های متعددی برای بررسی پیش از صدور مجوز هستند. یکی از سخت گیرانه ترین روش های متداول آن است که یک فرد با ملاقات حضوری با متقاضی دریافت مجوز، برای او مجوز صادر کند. برای آنکه مجوز امنیت بیشتری داشته باشد می تواند مجوز را روی یک وسیله سخت افزاری ایمن همانند کارت هوشمند به او تحویل داد پس از این وظیفه نگه داری از مجوز بر عهده ی شخصی است که مجوز به او داده شده است. اگر از Automatic Enrollment (صدور مجوز به صورت خودکار) استفاده می شود باید افراد پیش از آنکه توانایی دسترسی به شبکه را داشته باشند، تعیین هویت شوند. این کار با اخذ مدارکی همچون کارت پرسنلی و… قابل انجام است. این فرایند باید توسط مدیر ارشد IT و مدیر منابع انسانی پیش بینی شود.

مسئله بعدی مدت زمان اعتبار یک مجوز است. همانطور که گفته شد، معمولا Certificate ها دارای یک جفت کلید هستند. با کم کردن زمان اعتبار، ریسک به سرقت رفتن کلید ها کاهش پیدا می کند و به عبارت دیگر مدت کوتاه تر اعتبار، سبب افزایش قابلیت اطمینان به زیرساخت امنیتی می شود. اما کوتاه تر شدن مدت اعتبار سبب افزایش شدید عملیات مدیریتی می شود. همچنین زمان مجوز های خود CA ها نیز دارای اهمیت است. معمولا ROOT CA ها دارای بیشترین زمان هستند. پس از آن ها intermediate CA ها هستند. Issuing CA که CA هایی هستند که مستقیما با کاربران در ارتباط اند دارای زمان کوتاه تری هستند. به عنوان مثال ممکن است از یک فاصله ی 5 ساله برای ساختار سه لایه ای استفاده کنید به این ترتیب که، مجوز های صادر شده توسط Issuing CA دارای یک سال اعتبار باشند. مجوز Issuing CA دارای 5 سال اعتبار، Intermediate CA ها 10 سال و ROOT CA دارای 15 سال اعتبار باشد. همانطور که گفته شد، چنانچه مجوز یک CA باطل شود، تمام مجوز های صادر شده توسط آن از جمله CA های زیردست نیز باطل می شود بنابراین بازه های زمانی باید با دقت انتخاب شوند. اعداد ذکر شده تنها مثال بودند و در آینده در خصوص نسبت مناسب و چگونگی طراحی این زمان بیشتر بحث خواهد شد. 

نصب AD CS :

سروری که روی آن قصد نصب AD CS را دارید باید حداقل ویژگی های زیر را داشته باشد:

1. چند پردازنده داشته باشد، چرا که توان پردازشی بالا می تواند فرآیند واگذاری را تسریع کند.

2. مقدار RAM قابل توجه نیست و حداقل میزان RAM کفایت می کند. VM ها می توانند فقط 512MB RAM داشته باشند.

3. داشتن حداقل دو Hard disk جدا برای جدا کردن محل ذخیره سازی Database و logها. همچنین استفاده از تکنولوژی RAID در حالاتی که توازنی بین Reliability و Performance ایجاد می کند اکیدا توصیه می شود.

4. طول کوتاه تر کلید، سبب بیشتر استفاده شدن از دیسک می شود. طول بلند تر کلید سبب بیشتر استفاده شدن از CPU می شود. بنابراین تعادلی از این دو با توجه به شرایط سرور دارای اهمیت است.

5. سیستم عامل ویندوز سرور 2008 نسخه Standard فقط از Stand-alone CA پشتیبانی می کند. در نسخ کامل تر( Enterprise و DataCenter ) تمام قابلیت ها پشتیبانی می شود.

همچنین موارد زیر را در نظر داشته باشید:

- یک جنگل AD DS که حداقل دارای دارای یک دامین باشد.

- با توجه به طراحی شبکه و طراحی Certificate Server ها، کامپیوتر هایی که قرار است CA شوند در Server Farm های مناسب قرار داشته باشند. با توجه به لایه های، Issuing CA می تواند NDES هم باشد. توجه داشته باشید که برای نصب AD CS باید IIS نصب شود. البته نیازی نیست که پیش از نصب AD CS اقدام به نصب IIS کنید چرا که به صورت خودکار IIS و اجزای مورد نیاز نصب می شود.

پیاده سازی یک سناریوی ساده با AD CS سلسله مراتبی:

این سناریو، یک سناریوی متداول است و هر چند در اینجا فقط به مباحث آموزشی توجه می کنیم. در سناریوی زیر از سه سرور مختلف با نام های Server01 ، Server02 و Server03 استفاده می کنیم. همچنین زیرساخت های ارتباطی از پیش پیکربندی شده اند و همچنین AD DS در حال اجرا است. برای افزودن این سرویس جدید، در مرحله طراحی شبکه زیرساخت های لازم در نظر گرفته شده و اکنون قصد داریم مرحله پیاده سازی این سرویس را آغاز کنیم.

1. Server03 عضو دامین است. در این سرور قصد داریم Root CA را راه اندازی کنیم. یک رول جدید را می خواهیم اضافه کنیم. برای این کار در Server Manager روی گره Roles کلیک راست کرده و Add Roles را می زنیم.

2. مطالب توضیح داده شده را دقت می خوانیم و next را می زنیم. سپس در مرحله Select Server Roles گزینه Active Directory Certificate Services را انتخاب می کنیم و next را می زنیم.

3. در مرحله بعد، مطالب توضیح داده شده و معرفی سرویس AD CS را با دقت می خوانیم و Next را می زنیم.

4. با توجه به آنکه در حال راه اندازی Root CA هستیم و به زودی از شبکه آن خارج خواهیم کرد یا آن را Shut Down می کنیم، هیچ رول دیگری روی ان نصب نمی کنیم. فقط Certificate Autority را انتخاب می کنیم و next را می زنیم. ضمنا توجه کنید که رول های Network Device Enrollment Service و Cetrificate Autority نمی توانند هم زمان روی یک سرور نصب شوند.

5. در مرحله انتخاب نوع سرور گزینه StandAlone را انتخاب می کنیم و next را می زنیم.در مرحله بعدی Root CA را انتخاب می کنیم.

6. در مرحله Private Key؛ یک کلید خصوص جدید می سازیم. با توجه به آنکه در حال نصب اولین بار Root CA هستیم، مجبور به انجام این کار هستیم. چنانچه به دلایلی همانند System failures در حال نصب مجدد سرویس هستیم می توانیم از کلید ها موجود استفاده کنیم، هرچند توصیه نمی کنم. همچنین اگر در حال راه اندازی CA هستید که در سلسله مراتب یک CA غیر مایکروسافتی قرار دارد باید گزینه Select an existing private key on this computer را انتخاب کنید. توجه کنید که باید پیش از نصب رول CA کلید خصوصی را روی سرور نصب کرده باشید.

7. در بخش تنظیمات رمزنگاری (Cryptograohy) ابتدا Provider رمزنگاری را معین می کنیم، سپس الگوریتم hash و طول کلید را مشخص کرده و در پایان گزینه Use strong private key protection را در دسترس داریم که می توان به این طریق امنیت محکم تری را برای Root CA و… ایجاد کرد. در این بخش گزینه های متعددی داریم که تنظیم صحیح آن ها بسیار اهمیت دارد. به اختصار به چند نکته پایه اشاره می شود:

- هرچه طول کلید طولانی تر باشد امنیت محکم تر می شود اما پردازش بیشتری به پردازنده(ها) وارد می شود و به عبارت دیگر زمان بیشتری صرف امضای اسناد می شود، زمان بیشتری صرف کد کردن و دی کد کردن می شود.

- Cryptographic Service Provider یا CSP متوری است که Cryptographic Application Programming Interface یا API برای تولید زوج کلید استفاده می شود. CSP می تواند نرم افزار یا سخت افزار باشد. به عنوان مثال RSA#Microsoft Software key Storage Provider یک Provider مبنی بر نرم افزار و RSA#Microsoft SmartCard Key Storage Provider یک provider مبنی بر سخت افزار است.

- الگوریتم Hash، برای تولید و منصوب کردن یک مقدار Hash به یک زوج کلید است. به سادگی می توان گفت انتخاب الگوریتم متفاوت سبب می شود تا روش متفاوتی برای تولید Hash Value ایجاد شود.

- با استفاده ازگزینه use strong private key protection features provided by the csp می توان از استفاده های غیر تایید شده به وسیله ورود کلمه عبور یک مدیر پیش از هر عمل مربوط به رمزنگاری جلوگیری کرد.

8. با زدن next به گام بعدی می رویم. در این مرحله نام و پسوند CA را می توان معین کرد، در صورت نیاز آن ها را تغییر دهید.

9. در مرحله بعدی مدت زمان اعتبار مجوز را مطابق آنچه گفته شد معین می کنیم. در اینجا 20 سال را برای RootCA انتخاب می کردیم.

10. در مرحله بعدی باید محل ذخیره سازی Database و log را معین کنیم. همانطور که در نصب اکتیودایرکتوری گفته شده همواه توصیه می شود این دو محل کاملا از لحاظ دیسک مجزا باشند و همچنین گزینه های backup و RAID مناسب درنظر گرفته شود. با این حال در RootCA از آنجا که اغلب offline می شود از حساسیت کمتری برخوردار است. در RootCA هایی که از کامپیوتر مجازی استفاده می شود لازم است از زمان بندی های دقیق تر Backup استفاده شود.

11. در این مرحله ممکن است نصب IIS نیز لازم باشد. از آنجا که در اینجا پیش نیاز ها را رعایت کرده بودیم و IIS را پیش تر نصب کرده بودیم، با این مرحله مواجه نشدیم.

12. در مرحله آخر، باید تنظیمات معین شده را با دقت خواند تا از هر اشتباهی جلوگیری شود. لازم به توجه است که نام و دامین پس از آنکه رول CA نصب می شود نمی تواند تغییر کند. در صورت صحت اطلاعات نمایش داده شده، Install را می زنیم.

اکنون RootCA آماده شده است و می توان Issuing Server های دیگری راه اندازی کرد. حال قصد داریم در Server04 یک Subordinate CA راه اندازی کنیم. مراحل مشابه آن است که قبل انجام دادیم.

1. در مرحله CA Type ، گزینه Subordinate CA را انتخاب می کنیم.

2. در مرحله Certificate Request به صورت زیر عمل می کنیم:

- اگر CA والد در حال حاضر آنلاین است، گزینه Send a Certificate Request to a parent CA را انتخاب می کنیم و سپس بر اساس Computer Name با CA name و انتخاب Parent CA یک درخواست ارسال می کنیم.

- اگر CA والد در حال حاضر آنلاین نیست، گزینه درخواست مجوز را در محلی مناسب ذخیره می کنیم و پس از آنکه مجوز توسط Parent CA تایید شد، CA جدید می تواند شروع به کار کند. برای این کار گزینه Save a Certificate request to file را انتخاب می کنیم.

در این بخش نحوه نصب سرویس پایان می پذیرد و در قسمت بعدی با مدیریت های ابتدایی آشنا خواهیم شد

با تشکر از سایت پورت ۸۰ به آدرس http://www.erfantaheri.com

پس از نصب سرویس Active Directory Certificate Services اولین اقدامات مدیریتی برای راه اندازی اولیه سرویس عبارتند از:

1. تنظیم Certificate revocation

2.تنظیم قالب مجوز ها با توجه به فاکتور های زیر:

الف. چنانچه با استفاده از EFS در ذخیره سازی اطلاعات استفاده می شود، باید تنظیمات مربوط به این مسئله در نظر گرفته شود که شامل Recovery Agent نیز می باشد. Recovery Agent فردی است که در صورتی که کلید کاربر از دست برود می تواند اطلاعات را بازیابی کند.

ب. چنانچه با استفاده از مجوز ها ارتباط بی سیم(wireless) محافظت می شود، باید تنظیمات مربوط به این مسئله در نظر گرفته شود که شامل Authentication و Encryption اجباری برای تمام ارتباطات Wireless نیز می باشد.

ج. چنانچه با استفاده از کارت های هوشمند (Smart Card) تشخیص هویت افراد دو عاملی می شود، باید تنظیمات مربوطه در نظر گرفته شود. منظور از دو عاملی استفاده همزمان از کلمه عبور (چه چیزی می دانید؟) و کارت هوشمند (چه چیزی به همراه دارید؟) است. توضیح اضافه آنکه فاکتور دیگری به نام چه ویژگی دارید وجود دارد که شامل تشخیص هویت با وسایل بیومتریک است.

د. چنانچه قصد دارید از یک وب سایت محافظت کنید باید مجوز های مربوطه را تنظیم نمایید. البته از همین روش می توانید برای محافظت از DC ها نیز بهره ببرید و تمام انتقال اطلاعات بین آن ها را رمزنگاری کنید.

ه. موارد بسیاری دیگر که در اینجا صرف نظر شده تا در بحث خودشان دقیق مورد بررسی قرار گیرند.

3. تکمیل تنظیمات نحوه ی درخواست و صدور مجوز

تنظیم Certification Revocation برای یک سرور:

Revocation تنها ابزاری است که برای ابطال یک مجوز پس از صدور موجود است. پیش از این به برخی دلایل ابطال مجوز اشاره شد. بنابراین باید پیش از صدور مجوز تنظیمات مربوطه را اعمال کرد. یکی از ویژگی های Active Directory Certificate Services ، به روز رسانی و انتشار خودکار CRL است. بازه های زمانی توسط مدیر CA معین می شود تا این عمل صورت گیرد. این بازه زمانی به نام Publish Period مشهور است. پس از راه اندازی اولیه CA، بازه زمانی انتشار یک هفته، به صورت پیش فرض در نظر گرفته می شود. این بازه زمانی از روی Local time کامپیوتر معین می شود و دقیقا یک هفته یکبار از اولین راه اندازی CRL منتشر می شود. این بازه زمانی قابل تغییر است که در ادامه به آن خواهیم پرداخت. مسئله مهم دیگر، بازه زمانی دیگری است به نام مدت اعتبار CRL یا The Validity Period of CRL مقوله ای کاملا متفاوت با Publish Period است. بازه زمانی اعتبار CRL مدت زمان اعتبار یک CRL است که این مدت زمان برای شخص بازبینی کننده مجوزها تعیین می شود. تا زمانی که یک نسخه دارای اعتبار از CRL روی Cache سیستم Local موجود باشد، سیستم برای دریافت یک CRL جدید تلاشی نخواهد کرد. بازه زمانی انتشار CRL توسط CA administrator معین می شود. اما مدت زمان اعتبار CRL توسط اکتیو دایرکتوری، با افزودن به بازه زمانی انتشار معین می شود. به صورت پیش فرض اکتیو دایرکتوری این کار را با افزودن 10% زمان به بازه زمانی انتشار انجام می دهد. به عبارت دیگر چنانچه Publish Period بیست و چهار ساعت در نظر گرفته شود، آنگاه The Validity Period of CRL به مدت 26.4 ساعت در نظر گرفته می شود. البته این اضافه شدن زمان دارای سقف 12 ساعت است و چنانچه 10% اضافه بیش از 12 ساعت باشد، تنها 12 ساعت اضافه خواهد شد. به اضافه آنکه 10 دقیقه برای عدم توازن ساعت در نظر گرفته می شود. برای تعیین این بازه زمانی باید سنجشی بر روی امنیت و عملکرد صورت گیرد.(Performance & Security) بدیهی است بازه های زمانی طولانی تر انتشار CRL سبب می شود تا اطلاعات کلاینت ها از مجوز های باطل شده نا صحیح باشد و امکان سوء استفاده های احتمالی افزوده می شود. از جهت دیگر دریافت CRL در بازه های زمانی کوتاه تر سبب می شود تا باری بر روی سرورها، کلاینت ها و شبکه اضافه شود. از این رو انتخاب بازه زمانی مناسب با توجه به حساسیت ها و تعداد کاربران بسیار در این مرحله دارای اهمیت است.

با گذشت زمان لیست مجوز های ابطال شده، CRL، بسیار طولانی خواهد شد. به عبارت دیگر حجم این لیست زیاد می شود و چنانچه دفعات انتشار زیاد باشد بار سنگینی ایجاد خواهد کرد. لازم است تا راهکاری برای این مسئله یافت شود. برای این مسئله لیست دیگری از CRL ها ایجاد می شود به نام Delta CRL. به این طریق، کلاینت لیستی از جدید ترین Delta CRL ها را با لیستی از جدیدترین CRL ها ترکیب می کند و لیستی کامل و تقریبا به روز از مجوز های باطل شده دارد. از آنجایی که به صورت پیش فرض کلاینت دارای یک Cache برای CRL است، استفاده از Delta CRL می تواند عملکرد را بهبود ببخشد. برای استفاده از Delta CRL کلاینت ها باید از وجود Delta CRL آگاه باشند تا آن را برای مجوز های باطل شده چک کنند. چنانچه کلاینت از Delta CRL استفاده نکند، در هر زمان که Cache تجدید (Refresh) می شود برای دریافت CRL مجددا اقدام خواهد کرد. چنانچه از Delta CRL توسط برنامه ای که از certification Autority استفاده پیشتیانی نمی شود توصیه می شود از تنظیم Delta CRL خودداری شود.

در میان رخ داد دو زمان انتشار CRL می توان CRL را منتشر کرد. کاربر رایج این مسئله زمانی است که یک مجوز داری اهمیت ابطال می شود احتمال سوء استفاده از آن وجود دارد. چنانچه به صورت دستی در میان بازه زمانی CRL منتشر شود، بازه زمانی restart می شود به عبارت دیگر، بازه زمانی از آن زمان در نظر گرفته خواهد شد. مثلا، اگر بازه زمانی انتشار 7 روز باشد و در روز پنجم یک انتشار دستی صورت گیرد، انتشار خودکار بعدی، 7 روز پس از روز انتشار دستی در نظر گرفته می شود. نحوه انتشار دستی در ادامه توضیح داده می شود.

هر مجوزی که توسط Microsoft certification Authority صادر شده باشد دارای یک قسمت به نام CRL Distribution Point است. CRL Distribution Piont معین کننده ی آدرسی در شبکه است که به آن طریق می توان اعتبار مجوز ها را آزمود. به عبارت ساده تر این آدرس، محلی است که CRL ها و یا Delta CRL ها در آن ها قرار گرفته اند و به منظور بررسی آنکه آیا مجوز ابطال شده است یا خیر مورد استفاده قرار می گیرد. در خصوص معین کردن Distribution Point در ادامه بحث می شود. به صورت پیش فرض CRL و Delta CRL ها در مسیر Systemroot\System32\Certsrv\Certenroll قرار می گیرند. پسوند این فایل ها crl است و نحوه نام گیری آن ها به شکل زیر است:

* myca نام سرور CA است.

1. معین کردن distribution point برای CRL

برای شروع کنسول Certification Authority را باز می کنیم. مثلا از طریق Administrative Tools. روی نام CA کلیک راست کرده و به زبانه Extensions می رویم. در لیست Drop-Down List گزینه CRL Distribution Point را انتخاب می کنیم. با استفاده از دکمه های Add و Remove می توان یکی از محل هایی CRL در آن قرار می گیرد را اضافه یا حذف کرد. با انتخاب هر کدام از این محل های ذخیره سازی CRL می توان گزینه های موجود در پایین Dialog Box را ویرایش کرد. با توجه به نوع CA و محل ذخیره سازی گزینه های مختلفی در دسترس اند. URL های مربوطه می تواند ldap، http، fille یا ftp باشد. از متغیر های زیر برای تعیین مسیر این URL می توان استفاده کرد.

توحه شود یادگیری این متغیر ها اولویت نیستند چرا که به صورت پیش فرض مسیر های مناسب ساخته می شوند و می توان آن ها را باز تنظیم کرد. پس از انتخاب محل ذخیره سازی، باید گزینه های مربوطه را تنظیم کنیم که به شکل زیر است:

مهمترین و ابتدایی ترین شیئ که پس از نصب اکتیو دایرکتوری مورد بررسی قرار می گیرد، User یا کاربر است. هر چند دومین قدم در مراحله عملیاتی سازی محیط اکتیو دایرکتوری شاید مدیریت کاربران نباشد. برای مدیریت محیط اکتیو دایرکتوری از کنسول ها و Snap-in های متعددی استفاده می شود. کنسولی که بیشترین استفاده روزانه را دارد و بیشترین حجم کاری مدیر شبکه روی آن کنسول اتفاق می افتد کنسولی به نام Active Directory Users and Computers است که از طریق MMC یا روش های مشابه می توانید به آن دسترسی پیدا کنید. برای باز کردن کنسول در یک روش ساده می توانید روی DC در run وارد کنید dsa.mcs. چنانچه از Core Server استفاده می کنید، توصیه می کنم به صورت remote به DC متصل شده و به مدیریت بپردازید.

برای شروع در ساده ترین گام های ممکن اقدام به ساخت یک کاربر جدید می کنیم.

1. در Administrative Tools در Control Panel کنسول Active Directory Users and Computers را باز کنید.
2. در نوار سمت چپ، روی نام دامین مثلا Contoso.com دابل کلیک کنید تا ساختار درختی آن باز شود.
3. روی Users کلیک کرده تا User های موجود را مشاهده کنید.
4. برای ساخت یک کاربر جدید روی Users کلیک راست کرده و New > New User را بزنید.
5. در ویزارد باز شده با توجه به موارد زیر فیلد ها را پر کنید.
- در واقع فیلد Initials مربوط به نام وسط می شود.
- نام کامل برای ویرایش آسان تر است و در واقع CN کاربر است. این قسمت در کنسول نمایش داده می شود. باید در دربرگیرنده ی خود یکتا باشد. به عنوان مثال تنها یک کاربر با نام کامل معین می تواند در یک OU باشد. در تشابهات اسمی می توانید نام کامل را به نحوی ویرایش کنید که بتوانند هر دو کاربر ساخته شوند.
- در قسمت logon name نامی که کاربر باید با آن وارد سیستم شود را معین می کنید و با استفاده از لیست drop-down پسوند UPN را که در ادامه ی نام انتخابی شما می آید را انتخاب می کنید. این پسوند با استفاده از کاراکتر “@” به بقیه نام متصل می شود. در اکتیو دایرکتوری شما می توانید از کارکتر هایی همانند – یا ‘ برای logon name استفاده کنید اما در بسیاری از نرم افزار ها محدودیت کارکتر های خاص بیشتر است بنابراین توصیه می شود از کارکتر های خاص استفاده نکنید.
- لیست پسوند های UPN می تواند از طریق کنسول Active Directory Domains & Trusts قابل تعیین است که در اینجا مورد بحث قرار نمی گیرند اما نام DNS دامین همیشه در دسترس قرار دارد و نمی توان را حذف کرد.
- در قسمت logon name ویندوز های قبل 2000 محدودیت تعداد کارکتر بیشتر است و بعدا در این خصوص توضیح داده خواهد شد.

6. next را بزنید و در مرحله بعدی کلمه عبور اولیه و تنظیمات ساده ای را می توان انجام داد.
- اکیدا توصیه می شود به علت پیگیری های وقایع و یافتن عامل خطا های انسانی، کلمه عبور یکسانی برای کاربران در حال ساخت تعیین نکنید و گزینه user must change password at next logon را فعال کنید تا کاربر با تعویض کلمه عبور خود، مسئولیت فعالیت های خود را نتواند به دپارتمان IT یا مدیر شبکه حواله کند.
- پسورد اولیه باید شرایط تعیین شده در Group Policy را دارا باشد به صورت پیش فرض باید دارای Complexity باشد که دارای شرایط زیر است

          آ. بیش از 7 کاراکتر یا 7 کاراکتر
         ب. باید شامل سه یا چهار نوع (دسته) کاراکتر متفاوت باشد؛ شامل حروف کوچک، حروف بزرگ، اعداد و کارکتر های غیر الفبایی همانند – % # ! $
         ج. نمی تواند شامل هیچ کدام از نام ها یا logon name ها باشد

7. Next را بزنید و اطلاعات وارد شده را بازبینی کنید. در صورتی که اشکالی موجود نبود Finish را بزنید.

اتوماتیک کردن مدیریت و ساخت کاربران

ساخت User Accounts ها فرآیندی است که بار کاری مدیران شبکه را افزایش می دهد. با توجه به مطالبی که در بالا ذکر شد، می توان به راحتی تمام اعمال مدیریتی مربوطه را انجام داد اما آن روش، روش کارا و مناسبی برای مدیریت کاربران نیست. اغلب در بین کاربران یک دامین ویژگی های مشابهی وجود دارد همانند امکان logon کردن در ساعات مشخص شده. در زمان ساخت یک user جدید می توان به سادگی از گزینه کپی کردن کاربر به جای ساخت یک کاربر جدید استفاده کرد. از زمان Windows NT 4.0، مفاهیم User Templates در ویندوز پشتیبانی می شد. User Template یک کاربر ساخته شده و آماده شده است که برای ساخت کاربر جدید از آن استفاده می شود. برای آنکه با این کاربر logon صورت نگیرد معمولا آن را Disable می کنند. پس از انجام این کار، اطلاعاتی از روی کاربر قدیم (Template) به کاربر ساخته شده کپی می شود که در هر زبانه به این صورت است:

1. General : هیچ اطلاعاتی کپی نمی شود.
2. Address : کدپستی، شهر، کشور کپی می شود اما آدرس کپی نمی شود.
3. Account : ساعت های logon، کامپیوتر هایی که می تواند Logon کند، تاریخ انقضای اکانت و Account Options کپی می شوند.
4. Profile : قسمت های profile path، logon Script و Home Drive و Home Folder Path کپی می شوند.
5. Organization: قسمت های دپارتمان، کمپانی و مدیر کپی می شوند.
6. Member of : گروه ها کپی می شوند.

تذکر: علاوه به مواردی که به صورت عادی در کنسول Active Directory Users & Computers موجود است، گزینه ها و موارد پر کاربرد دیگری نیز در دسترس است که برای دسترسی به آن ها باید از منوی View گزینه Advanced Features را انتخاب کرد. در این صورت گزینه هایی همانند Assitant و یا Employee ID نیز در دسترس خواهند بود که برخی از آن ها نیز کپی می شوند.

مفاهیم مربوط به  DN, RDN , CN

DN دقیقا مشابه یک مسیر برای اشیاء اکتیو دایرکتوری است. همانطور که با استفاده از مسیر c:\text\a.txt می تواند به فایل متنی رسید، DN یک روش مناسب تر برای رسیدن به اشیاء است. هر چند DN بسیار متفاوت از آن مثال است. هر شیء دارای یک DN یکتا خود است.

یک DN با شئ شروع می شود و به top level domain name ختم می شود. همانطور که پیش تر اشاره شد CN یا common name معرف شیئ است. OU معرف organizational unit است و DC معرف Domain Component.

قسمتی از DN که پیش از اولین OU است RDN یا relative distinguished name گفته می شود. از آنجایی که DN باید یکتا باشد RDN باید در دربرگیرنده (container) خود یکتا باشد.

استفاده از ابزار های مدیریتی روی خط فرمان:

جستجو روی خط فرمان

با استفاده از دستور dsquery می توانید به جستجو در اکتیو دایرکتوری بپردازید. مشابه سایر دستورات اکتیو دایرکتوری به صورت کامل مستند سازی شده و با استفاده از دستور ?/ dsquery می توانید اطلاعات کامل کسب کنید. به عنوان مثال برای جستجو یک کاربر از dsquery user استفاده می کنیم یا برای جستجو یک گروه از dsquery group و برای کامپیوتر از dsquery computer استفاده می کنیم. به عنوان مثال برای یافتن کاربر که نام او با erf شروع می شود دستور زیر را وارد می کنیم:

c:\> dsquery user -name erf*

نتیجه جستجو چیزی مشابه زیر خواهد بود:

" CN=Erfan CN=Users,DC=contoso,dc=com"

چنانچه شیوه ی DN شیوه مطلوب شما برای مشاهده ی نتایج نیست می توانید از سوییچ o استفاده کنید. مثلا برای مشاهده logon name می توانید سوییچ o upn- را به دستور اضافه کنید. یا برای مشاهده نام کاربری مربوط به ویندوز قبل از 2000 سوییچ o samid- را اضافه کنید.

افزودن یک کاربر روی خط فرمان

الگوی زیر را برای وارد کردن دستور افزودن یک نام کاربری در نظر بگیرید:

dsadd user  [-samid ] [-upn ]
    [-fn ] [-mi ] [-ln ] [-display ] 
    [-pwd { | *}] [-desc ]  [-mustchpwd {yes | no}] 
    [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] 
    [-acctexpires ] [-disabled {yes | no}] 
   

توضیح آنکه هر سوییچ مربوط به کدام فیلد است در <> رو به روی هر سوییچ اضافه شده است. توجه فرمایید چنانچه از * در سوییچ pwd استفاده کنید، dsadd از شما برای کلمه عبور سوال خواهد کرد و روی صفحه نمایش داده نخواهد شد. همچنین توجه داشته باشید که را به صورت کامل و صحیح وارد کنید. به مثال زیر توجه فرمایید.

dsadd user cn=erfan,cn=users,dc=contoso,dc=com
  -fn erfan -ln taheri
  -pwd p@ssword!
 -disabled no

از طریق دستور DSadd می توانید تمام مشخصه ها را تنظیم کنید. برای کسب اطلاعات بیشتر به اینجا مراجعه کنید.

استفاده از CSVDE و LDIFDE

CSVDE یک ابزار خط فرمان است که با استفاده از آن می توان اطلاعات را از اکتیو دایرکتوری خارج یا به اکتیو دارکتوری وارد کرد. نوع فایل این ابزار می تواند به سادگی یک فایل متنی با شیوه نگارش صحیح باشد یا یک فایل CSV. می توان با استفاده از notepad یا Microsoft Office Excel نصب به ساخت این نوع فایل ها پرداخت. این دستور در اتوماتیک کردن فرآیند ساخت کاربران بسیار مهم و ساده است. الگوی کلی دستور به صورت زیر است:

csvde [-i] [-f filename] [-k]

پارامتر i معین کننده عمل import یا درون ریزی است و پارامتر f مشخص کننده نام و آدرس فایل ورودی یا خروجی است. سوییچ k برای در نظر نگرفتن خطای ناشی از وجود نظیر است. در اینجا منظور از وجود نظیر، وجود یک ویژگی نظیر یا یا شیئ نظیر با همان DN است. در این شیوه دیتا با استفاده از ویرگول به جای tab جدا می شود و به نحوی جدا می شود که هر قسمت مربوط به یک ستون از دایرکتوری است.

استفاده از CSVDE ها ضمن سادگی دارای معایبی نیز می باشد به همین جهت استفاده از LDIFDE توصیه می شود. در آینده در خصوص نحوه ساخت فایل CSV بیشتر بحث خواهد شد.

LDIFDE نیز برای درون ریزی یا برون ریزی اطلاعات از Active Directory استفاده می شود. Lightweight Directory Access Protocol Data Interchange Format یا به اختصار LDIF یک استاندارد Draft برای نوعی فایل است که برای انجام عملیات روی دایرکتوری هایی که از استاندارد های LDAP پشتیبانی می کند کاربرد دارد. در خصوص LDIFDE و نحوه استفاده از آن در آینده بحث می شود

 ممکن است محیط Enterprise دارای چند دامین باشد، در این صورت فرآیند های مدیریتی پیچیده تر از حالت تک دامینی (Single Domain) است. ممکن است لازم باشد تا اشیائی میان دامین ها انتقال پیدا کند و یا ساختار دامین ها باز سازی شوند. شاید لازم باشد که تشخیص هویت و دسترسی به منابع در بین دامین ها یا درخت ها انجام شود. با توجه به دورنمایی که در مدیریت سایت ها در اکتیو دایرکتوری به دست می آورید و مدیریت دامین های چند تایی می توانید ساختار کامل اکتیو دایرکتوری را مدیریت کنید و آماده به طراحی محیط اکتیو دایرکتوری شبکه های Enterprise شوید.

در گذشته توصیه می شد یک Domain Forest Root انحصاری در طراحی در نظر گرفته شود. Domain Forest Root به اولین دامین در جنگل (Forest) گفته می شود و Domain Forest Root انحصاری دامینی است که انحصارا جهت مدیریت زیرساخت های جنگل به کار می رود. این دامین شامل گروه های حساس کاربری همچون Enterprise Admins و Schema Admins را دارا می باشد و Operation Master های Forest-Wide در همین دامین پیش بینی شده اند. در تئوری پیش بینی شده بود که استفاده از Dedicated Domain Forest Root می تواند امنیت را بهبود ببخشد. در زیر Domain Forest Root انحصاری، بر اساس توصیه های اخیر یک دامین فرزند به صورت Global قرار می گیر و سایر اشیاء درون آن جای می گیرند. اکنون دیگر استفاده از Domain Forest Root انحصاری در تمام شبکه های Enterprise توصیه نمی شود و استفاده از یک دامین تکی در جنگل متداول ترین نحوه طراحی توصیه شده است. البته لازم به ذکر است هیچ متد طراحی واحدی وجود ندارد که برای هر سازمانی مناسب باشد پس لازم است تا با در نظر گرفتن شرایط طراحی مناسب به دست آید. طراحی مناسب امروز در بسیاری از سازمان ها مطابق تصویر فوق است.

با گذشت زمان، اکتیو دایرکتوری کامل تر شده و بهبود پیدا کرد است. توصیه های گذشته در امروز دیگر کاربردی ندارند. امروزه اکیدا توصیه می شود که از یک Single Domain در طراحی استفاده شود و افزودن دامین های دیگر آخرین گزینه انتخابی در طراحی ها قرار گیرد. نکات زیر می تواند در درک دلایل این تغییر کافی به نظر برسد.

1. در یک جنگل با دامین های چندتایی ریسک و هزینه افزایش پیدا می کند. استفاده از یک دامین تکی هزینه های سخت افزاری و پشتیبانی کاربران را کاهش می دهد.

2. هنوز هیچ ابزار مناسبی برای هرس کردن و قلمه زدن درخت ها وجود ندارد! به عبارت بهتر، نمی توان به طور قابل قبولی یک دامین را از یک درخت جدا و در یک درخت دیگر قرار داد. چنانچه این امر امکان پذیر بود، استفاده از Domain Forest Root انحصاری بیشتر می توانست مفید باشد.

3. در تنظیمات امنیتی می توان کمترین برتری ها را در نظر گرفت که اگر از ساختار Domain Forest Root انحصاری امن تر نباشد، ضعیف تر نیست.

بنابراین بهترین نحوه در زمان طراحی، ابتدا در نظر گرفتن یک Single Domain است که در صورت نیاز گسترش پیدا می کند. بزرگ ترین اشتباه در طراحی دامین های چندگانه اثر گرفتن از بخش ها و ساختار سازمان است. گاهی این اشتباه در طراحی ها بسیار به چشم می خورد که در ازای هر بخش از سازمان یک دامین فرزند طراحی شده است. طراحی ساختار درختی اکتیو دایرکتوری نباید الهام گرفته شده از بخش ها، دپارتمان ها و دفاتر یک سازمان باشد. ساختار چندتایی دامین ها باید به طور مستقیم از ویژگی های خود دامین ها مشتق شده باشد. با این حال، در برخی از سناریو ها استفاده از دامین های چندگانه الزام دارد.

1. یک Domain Partition که بین تمامی DC ها replicate می شود. اشیاء موجود در یک دامین  همانندUsers ، Groups ، Policies و Computers بین تمام دامین کنترلر ها در دامین Replicate می شود. اگر با توجه به توپولوژی شبکه لازم است تا اطلاعات مورد Replicate تقسیم شوند، باید از دامین های چندتایی استفاده شود. البته فراموش نشود که فرآیند Replication در AC DS بسیار اثر بخش است و می تواند اطلاعات دامین های بسیار بزرگ را با استفاده از پهنای باند پایین Replicate کند. در شرایطی که از لحاظ قانونی یا از نظر مشتری لازم است تا اطلاعات معینی برخی محل های نگه داری DC وجود نداشته یک روش موثر استفاده از دامین های چندتایی است. همچنین می توان با جلوگیری از ذخیره سازی آن اطلاعات مشخص در Domain Partition راه حلی ارائه داد. در هر صورت در این شرایط لازم است تا اطمینان حاصل شود که Global Catalog اطلاعات را Replicate نمی کند.

2. یک سیاست Kerberos. سیاست پیش فرض Kerberos برای اکثر شبکه ها کافی و موثر است اما برای داشتن یک سیاست متمایز لازم است از چند دامین در ساختار اکتیو دایرکتوری استفاده شود.

3. یک فضای نامی DNS. هر دامین تنها دارای یک نام DNS منحصر به فرد است. اگر چند فضای نامی متفاوت لازم است باید از چند دامین استفاده شود. با این وجود توجه به افزایش هزینه ها و ریسک ها پیش از انجام این عمل لازم است.

4. در دامین هایی با Functional Level پیش از Windows Server 2008 یک دامین تنها می تواند یک Password Policy و یک Account Lockout Policy منحصر به فرد داشته باشد. بنابراین در شرایط Functional Level گفته شده چنانچه سیاست مجزایی لازم است باید از چند دامین استفاده شود.

همانطور که گفته شد، استفاده از دامین های چندتایی هزینه های سخت افزاری، مدیریتی و نگه داری را به شدت افزایش می دهد. هر دامین به حداقل دو دامین کنترلر نیاز دارد که هر کدام از آن ها به امنیت فیزیکی، تهیه نسخ پشتیبان و… نیازمند است. حتی ممکن است با توجه به گستره جغرافیایی سازمان، به دامین کنترلر های بیشتری نیاز باشد. دامین های چندتایی فرآیند مدیریتی را نیز به طور چشمگیر افزایش می دهند. به عنوان مثال؛ انتقال یک شیئ بین دو دامین بسیار دشوار تر از بین دو OU است. غیر از هزینه ها، ریسک های امنیتی نیز بیشتر می شوند. یک تصور ناقص آن است که دامین یک مرز امنیتی است، در صورتی که یک Forest (جنگل) یک مرز امنیتی است. به عبارت دیگر در یک Forest، مدیران شبکه می توانند سبب زیان در تمام Forest شوند. در واقع خسارات بسیاری ممکن است از سوی یک اشتباه مدیریتی اتقاق افتد. ضمن آنکه یک مدیر بیشتر، به معنای افزایش خطای انسانی و افزایش امکان خیانت به اطلاعات شرکت توسط یک مدیر با هدف بد است. ساده ترین مسئله، می تواند سبب جلوگیری از سرویس دادن (Denial Of Service) شود و یا integrity تمام جنگل را زیر سوال ببرد.

به عنوان مثال مدیر شبکه در یکی از دامین ها یک گروه Universal می تواند بسازد که با GC همواره لازم است Replicate شود و با ساختن یک گروه و اضافه کردن اعضای بسیار زیادی در آن و ادامه این فرآیند می تواند سبب جلوگیری از سرویس دادن در شبکه شود. یا در یک مثال دیگر، هر مدیر شبکه در یکی از دامین ها می تواند یک نسخه پشیتیبان تاریخ گذشته مثلا مربوط به سال گذشته سازمان را Restore کند و تمام جنگل را دچار اختلال کند. در آینده در خصوص نحوه طراحی محیط اکتیو دایرکتوری بیشتر بحث می شود.

درخت های چند تایی

توجه داشته باشید که یک درخت یک فضای نامی پیوسته است. اگر به فضای نامی دیگری نیاز است باید درخت دیگری در جنگل در نظر گرفته شود. مطابق تصویر زیر:

جنگل های چند تایی

یک جنگل یک نمونه مستقل از محیط اکتیو دایرکتوری است. تمام دامین و دامین کنترلرها در یک جنگل Replicate های Schema و تنظیمات را دارا هستند و کاربرانی که در دامین ها هستند به نام Authenticated user شناسایی می شوند که هویت معینی در هر دامین دارند. مدیران مختلف شبکه هر یک وظایف معین و مناسبی برای خود دارند. چنانچه هر کدام از موارد فوق الزام آور نیست، توصیه می شود که از جنگل های چندگانه استفاده کنید. امروزه با استفاده از Active Directory Federation Services و Cross Forest Trust استفاده از شیوه جنگل های چند تایی در حال متداول شدن و بهترین راه کار است.

با تشکر از سایت پورت ۸۰ به آدرس http://www.erfantaheri.com

در سناریو های چند دامینی عمل انتقال اشیاء بین دامین ها و جنگل ها بسیار صورت می گیرد. ممکن است حجم قابل توجهی از کاربران، گروه ها و کامپیوتر لازم باشد تا انتقال یابند. به دامینی که اشیاء از آن منتقل می شوند Source Domain و به دامین مقصد، Target Domain می گوییم. بر حسب وضعیت قرار گیری جنگل در عمل انتقال، انتقال به دو دسته تقسیم می شود:

1. Infra-Forest Migration : انتقال اکانت ها و بازسازی درون یک جنگل
2. Inter-Forest Migration : انتقال اکانت و بازسازی بین جنگل متمایز با جنگل Source Domain

در Inter-Forest Migration کپی از نسخه اکانت ها روی Target Domain ایجاد می شود و اکانت های روی Source Domain از بین نمی روند. این مکانیسم سبب می شود تا بتوان عمل انتقال را در چند فاز کاری مختلف انجام داد. پس از پایان عملیات انتقال و بازسازی ساختار Target Domain به سادگی می توان Source Domian را آفلاین کرد. در Infra-Forest Migration تنها با انتقال مستقیم از Source Domain به Target Domain انجام می شود و پس پایان عمل انتقال می توان ساختار را بازسازی کرد و OU  های جدید مورد نیاز را ایجاد کرد. سازمان ها که از ساختار دامین های چند تایی استفاده کرده اند از این روش برای انتقال به یک دامین جهت کاهش هزینه ها استفاده می کنند.

آشنایی با ابزار Active Directory Migration Tool

ابزار Active Directory Migratin Tools V3.1 می تواند اشیاء را میان Source Domain به Target Domain  منتقل کند. ADMT یک ویزارد برای انتقال کاربران، گروه ها، کامپیوتر ها، Trust ها و اکانت های سرویس را در اختیار شما قرار می دهد. همچنین می توان با استفاده از کنسول ADMT یا خط فرمان این کار را انجام داد. ADMT بسیار قدرتمند است و راه های مختلقی برای اتوماتیک کردن فرآیند وجود دارد. AMDT همچنین می توان با استفاده از VBScript یک اسکریپت تهیه و عملیاتMigration را انجام داد. همچنین ADMT امکان شبیه سازی را فرآهم می آورد که به این طریق می توان احتمال بروز خطا ها را بدون هیچ تغییر ارزیابی کرد. همچنین ویزارد این امکان را می دهد که پس از ارزیابی، انتقال را به زمان دیگری موکول کنید و به رفع خطاهای ارزیابی شده بپردازید. اکیدا توصیه می شود پس از رفع خطاهای ارزیابی شده، مجدد عملیات انتقال را ارزیابی کنید. این ابزار قابل دریافت از وب سایت مایکروسافت است و ورژن 3.1 آن از ویندوز سرور 2008 پشتیبانی می کند.

Security Identifiers و انتقال

پیش از انجام عمل انتقال لازم است تا بر SIDs مسلط بود. همچنین لازم است با مفاهیم Token، Access Control List و SIDHistory آشنا بود.

SID معرف هایی برای اشیا در دامین هستند که در تمام دامین یکتا هستند. مثلا در زمان ساخت یک کاربر، یک SID به آن تعلق می گیرد و زمانی که کاربر Logon می کند یک Token جهت دسترسی برای او صادر می شود که شامل SID کاربر است. همچنین آن Token شامل SID های گروه هایی که کاربر عضو آن ها است.منابع با استفاده از SD یا Security Descrptor ایمن می شوند. SD می تواند مجوز ها، مالکیت و Auditing (بازبینی) را برای معین کند. در SD در واقع دو ACL وجود دارد. Discretionary ACL که در واقع سطوح دسترسی به منبع را معین می کند. به Discretionary ACL به اختصار DACL گفته می شود. معمولا بسیاری از منابع آموزشی به جای استفاده از واژه DACL به اختصار از ACL استفاده می کنند. ACL دیگری که در SD موجود است System ACL یا SACL است که معرف Auditing روی آن منبع است. در DACL لیستی از اشخاصی که دارای دسترسی به منبع هستند وجود دارد که به هر کدام از آن ها ACE گفته می شود. ACE می تواند Allow یا Deny باشد. از آنجا که DACL مستقیما به SID کاربر مربوط است سطوح دسترسی کاربر به هر منبع از طریق SID خود و SD منبع صورت می گیرد. زمانی که کاربر تلاش می کند به یک منبع دسترسی پیدا کند، LSASS یا Local Security Authority Subsystem ابتدا SID کاربر را که در Token او موجود است با SID های موجود در DACL مقایسه می کند و سپس در صورت مجوز Allow به او مجوز استفاده از منبع را می دهد.

زمانی که اکانت ها از یک دامین به دامین دیگر انتقال پیدا می کنند، SID های جدید در Target Domain برای آن ها در نظر گرفته می شود تا با SID های قبلی دامین تداخل نداشته باشد. با توجه به آنکه SID ها باید یکتا باشند انجام این امر حیاتی است. بنابراین SID های اکانت ها در Target Domain با SID ها در Source Domain یکسان نخواهد بود. در واقع به صورت تکنیکال بهتر است بگوییم اکانت ها کاملا جدید است و به هیچ منبعی دسترسی ندارند. برای حل این مشکل دو راهکار وجود دارد.

1. SIDHistory: معمولا مدیران شبکه دوست دارند از SIDHistory برای کارآمد کردن بازسازی ساختار اکتیو دایرکتوری استفاده کنند. در یک Attribute به نام SIDHistory می توان SID های اکانت را ذخیره کرد و LSASS مشابه یک SID عادی با آن برخورد می کند و همچنان SID اکانت در دامین یکتا است.

2. Security Translation: فرآیندی است که طی آن SD های منابع با SID های Source Domain مقایسه می شوند و با SID ی Target Domain جایگذاری می شوند. به فرآیند باز ارتباط دهی SID ها RE-ACLing نیز گفته می شود. بدیهی است که انجام این فرآیند به صورت دستی خسته کننده و یا اصلا غیر ممکن است. ADMT می تواند این کار را به صورت خودکار انجام دهد. ADMT می تواند در خصوص موارد زیر Security Translation را به خوبی انجام دهد:

آ. File & Folder Permissions
ب. Printer Permissions
ج. Share Permissions
د. Registry Permissions
ه. User Rights
و. Local Profile که شامل تغییر مجوز های دسترسی فایل ها و پوشه ها نیز می شود.
ز. Group Membership

نکته مهم: فرآیند انتقال معمولا مدتی طول می کشد. از این جهت توصیه می شود از SIDHistory در زمان فرآیند انتقال استفاده کنید و سپس از Security Translation در پایان فرآیند استفاده کنید.

عضویت در گروه ها

آخرین نگرانی بزرگ در عمل انتقال برای دسترسی به منابع تغییرات در عضویت ها هستند. گروه های Global تنها می توانند از همان دامین عضو داشته باشند. بنابراین اگر یک کاربر به Target Domain کپی شود دیگر نمی تواند عضو آن گروه باشد. در Inter-Forest Migration برای حل این مشکل لازم است ابتدا Global Group ها به Target Domain را انتقال دهید. این گروه ها با استفاده از SIDHistory می توانند SID خود را نگه دارند و سپس انتقال کاربران را آغاز کنید. ADMT می تواند کاربر را در Target Domain دوباره عضو همان گروه کند. اگر گروه در Target Domain وجود نداشته باشد ADMT می تواند یک گروه جدید در Target Domain بسازد. در نهایت؛ کاربر در Target Domain به عضویت آن گروه در خواهد آمد و کاربر و گروه در SIDHistory خود دارای SID پیشین خود در Source Domain هستند و تغییر در دسترسی آن ها صورت نمی گیرد.

در Ifra-Domain Migration فرآیند با آنچه برای Inter-Forest Migration گفته شد متفاوت است. ابتدا گروه Global در Target Domainبه عنوان گروه Universal ساخته می شود. بنابراین می تواند شامل کاربرانی از هر دو دامین Source و Target باشد. گروه Universal جدید SID جدید می گیرد اما در SIDHistory خود SID گروه Global روی Source Domain را نگه داری می کند. پس از آنکه عمل انتقال کامل شد، Group Scope از universal به global تغییر می کند.

سایر نگرانی ها و راهکار ها

نگرانی های متعددی در عملیات انتقال موجود است. در اینجا به اختصار به سه مورد دیگر که قابل توجه هستند اشاره می شود:

1. انتقال کلمه های عبور: ADMT می تواند کلمه های عبور را بدون توجه به سیاست های Target Domain منتقل کند. به عنوان مثال یک کلمه عبور خالی منتقل می شود. کلمه عبور جدید فعال خواهد ماند تا در زمان Expire شدن کاربر مجبور باشد با شرایط دامین جدید کلمه عبور انتخاب کند.

2. اکانت های سرویس: سرویس های روی کامپیوترها ممکن است از اکانت های دامین استفاده کنند. از آنجا که SID های این اکانت ها تغییر می کند ADMT به صورت خودکار اطلاعات سرویس را به روز می کند.

3. اشیائی که نمی توانند منتقل شوند: با آنکه ADMT ابزار قدرتمندی است دارای محدودیت هایی نیز هست. به عنوان مثال ADMT نمی تواند گروه های پیش ساخته یا Built-in را منتقل کند.

بهترین شیوه انجام یک سناریو ی انتقال

1. تهیه نسخه پشتیان به صورت کامل از Source Domain و Target Domain. همچنین اگر کامپیوتر هایی وجود دارند که در انتقال وجود دارند و روی آن ها به اشتراک گذاری منابع صورت گرفته و از Security Translation استفاده می شود توصیه می شود از آن ها نیز Backup گرفته شود.

2. ساخت یک کاربر آزمایشی و عضویت آن در یک گروه مناسب و انجام عملیات انتقال به صورت آزمایشی و در نهایت چک کردن دسترسی ها.

3. آزمایش سناریوی انتقال در یک محیط آزمایشی پیش از انتقال در محیط عملیاتی

4. برنامه ریزی برای Recovery و کسب اطمینان از آنکه برنامه Recovery کارا و صحیح است.

5. رمزگشایی کردن (Decrypt) فایل های رمزنگاری شده (Encrypted) توسط EFS و کسب اطمینان جهت اطلاع کاربران از این امر.

6. کسب اطمینان از آنکه زمان کامپیوتر ها با هم Sync است. زیرا Kerberos در صورت اختلاف از تشخیص هویت باز می ماند.

7. انجام عملیات انتقال

* لازم است با روابط Trust پیش از عمل انتقال آشنا باشید

با تشکز سایت پورت ۸۰ به آدرس http://www.erfantaheri.com

زمانی که یک رابطه Trust ایجاد می شود، احتمال آنکه کاربری از دامنه اعتماد شده، ممکن است دسترسی به منابعی پیدا کند. در بخش زیر مواردی که قابل توجه است مورد بررسی قرار می گیرد.

Authenticated Users

یک رابطه Trust به تنهایی دسترسی به منابع ایجاد نمی کند، با این وجود کاربران در دامین اعتماد شده بلافاصله به برخی از منابع دسترسی پیدا می کنند. دلیل این امر آن است که در ACLs بسیاری از موارد از طریق گروه کاربران Authenticated Users مجوز دار شده اند.

عضویت در گروه های کاربری دامین

بهترین روش برای مدیریت کاربران و سطوح دسترسی آن ها قرار دادن کاربران در گروه های کاربری است. کاربران باید در گروه ها قرار گیرند و دسترسی کاربران از روی گروه هایی که عضو است مشخص گردد. بهترین روش مدیریت کاربران دامین اعتماد شده (در صورت تعدد کاربرانی که نیاز به دسترسی به منابع مختلف دارند) آن است که گروه های Global آن ها عضو گروه های دامین اعتماد کننده شوند.

ACLs

امکان اضافه کردن کاربران یا گروه های Global به صورت مستقیم در ACLs موجود است. این روش به مناسبی عضویت در گروه های کاربری دامین نیست اما امکان پذیر است و در محیط های کوچک کفایت می کند.

transitivity و Realm Trust

در زمان ساخت Realm Trust توجه داشته باشید که به صورت غیر Transitive یا بدون خاصیت تعدی به صورت پیش فرض Trust ساخته می شود. اگر رابطه را Transitive کنید، تمام کاربرانی که در Realm و Domain های اعتماد شده ی Realm اعتماد شده شما قرار دارند مورد اعتماد خواهند بود و پتانسیل دسترسی به منابع را خواهند داشت. از این رو اکیدا توصیه می شود روابط Realm Trust به صورت غیر Transitive باشند.

SID Filtering یا Domain quarantine

به صورت پیش فرض SID Filtering در تمام روابط External Trust و Forest Trust فعال است. زمانی که یک کاربر در دامین اعتماد شده، Authenticate می شود، کاربر اطلاعات همچون SID و SID های گروهایی که در آن عضو است را در تیکت خود داراست.

برخی از SID هایی که در تیکت کاربر است ممکن است توسط Domian اعتماد شده ساخته نشده باشند. به عنوان مثال در سناریوی انتقال اشیاء ممکن است SIDHistory دارای SID هایی باشد که بدون شک توسط دامین مقصد (دامین اعتماد شده) ساخته نشده اند. در این حالت ممکن است کاربر به منابعی از طریق SIDHistory خود دسترسی داشته باشد.در سناریوی روابط Trust دو دامین، ممکن است کاربر بدون داشتن دسترسی های Administrator، دسترسی Administrator پیدا کند.

با استفاده از SID Filtering می توان از بروز مشکلات بسیاری جلوگیری کرد. با استفاده از این روش SID هایی که SIDهای اصلی کاربر نیستند فیلتر می شوند. هر SID شامل SID دامینی است که از آن نشات گرفته است، بنابراین وقتی که کاربر لیست SID ها را در تیکت ارائه می دهد، SID Filtering آن ها را بررسی می کند و از دامین اعتماد شده می خواهد که تمام SID هایی که منشاء آن دامین اعتماد شده نباشند را دور بریزد. استفاده از SID Filtering اکیدا توصیه می شود اما در صورتی که می خواهید کاربران با استفاده از SIDHistory خود بتوانند به منابع دسترسی داشته باشند لازم است تا SID Filtering غیر فعال گردد.

برای غیر فعال کردن SID Filtering دستور زیر را وارد کنید:

netdom trust TrustingDomainName /domain:TrustedDomainName /quarantine:no

و برای فعال کردن به جای مقدار no در سوییچ quarantine مقدار yes را قرار دهید.

توجه داشته باشید که مثال SIDHistory تنها یک مورد از موارد تاثیر SID Filtering است.

حالات Authentication

با ساختن یک رابطه ی External Trust یا Forest Trust، امکان تنظیم Scope تشخیص هویت (Authentication) نیز وجود دارد. دو حالت برای Authentication موجود است:

- Selective Authentication
- Domain-Wide Authentication برای External و Forest-Wide Authentication برای Forest

اگر Domain-wide یا Forest-wide انتخاب شود، تمام کاربران در دامین اعتماد شده، می توانند برای دسترسی به منابع در دامین اعتماد کننده مورد Authenticate قرار بگیرند. در نظر داشته باشید تمام کاربران در دامین اعتماد شده، Authenticated Users در نظر گرفته می شود و ممکن است به برخی از منابع بلافاصله دسترسی پیدا کنند. جهت استفاده از این حالت لازم است اطمینان نسبی نسبت به وضعیت امنیتی داشته باشید.

اگر Selective Authentication انتخاب شود، تمام کاربران در دامین اعتماد شده، دارای هویت های قابل اعتماد هستند. اما آنها تنها برای سرویس ها و منابعی که معین شده است حق دسترسی دارند. برای تنظیم کردن Authentication Mode در یک رابطهOutgoing ابتدا Properties مربوط به دامین اعتماد کننده را در کنسول Active Directory Domain and Trusts باز کرده و سپس ارتباط Trust مورد نظر را انتخاب و Properties مربوطه را باز کردن و در tab (زبانه) Authentication می توانید حالت مطلوب را معین کنید.

پس از انتخاب Selective Authentication دیگر هیچ کاربر مورد اعتمادی نمی تواند به منابع دسترسی داشته باشد مگر آنکه مجوز های مربوطه را داشته باشد. برای این منظور در کنسول Active Directory Users and Computers رفته و از منوی View ویژگی Advanced Features را فعال کنید. سپس Properties مربوط به کامپیوتری که کاربر از دامین اعتماد شده لازم است به آن دسترسی داشته باشد را انتخاب کنید. (مثلا File Server) در زبانه Security کاربر یا گروه کاربری مورد نظر را اضافه کرده و چک باکس Allow را چک بزنید. سپس لازم است کاربر مجوز های NTFS و Share Permission لازم جهت دسترسی به فایل را داشته باشد.

با تشکر از سایت پورت ۸۰ به آدرس  http://www.erfantaheri.com

موضوع مدیریت دامین های چند تایی به مدیریت روابط Trust بسیار گره خورده، به عبارت دیگر دامین های چند تایی در سایه روابط Trust امکان پذیر می شوند.

ارتباطات Trust در یک دامین

در زمان عضویت کامپیوتر در دامین، زمانی که کامپیوتر هنوز عضو شبکه Workgroup است، کامپیوتر اطلاعات مربوط به کاربران را در پایگاه داده SAM یا Security Account Manager نگه داری می کند. در زمان تشخیص هویت تنها با استفاده از پایگاه داده SAM اطلاعات را کنترل می کند. زمانی که کامپیوتر عضو دامین می شود یک رابطهTrust داخل دامینی بین کامپیوتر و دامین برقرار می شود. نتیجه این رابطه آن است که کامپیوتر اجازه می دهد تا هویت کاربر توسط AD DS تایید شود. همچنین با استفاده از این رابطه، AD DS قادر می شود تا روی دسترسی به منابع نیز مدیریت داشته باشد.

ارتباطات Trust بین دامینی

با همان بنیان، می توان مفهوم Trust را گسترش داد و آن را بین دو دامین مطرح کرد. رابطه Trust بین دو دامین باعث می شود که یک دامین به تشخیص هویت دامین دیگر اعتماد داشته باشد و برای دسترسی به منابع نیز بتواند از آن تشخیص هویت استفاده کند. به عبارت دیگر یک ارتباط Trust بین دو دامین یک اتصال منطقی است بین دو دامین که باعث می شوند از مرحله تشخیص هویت گذر کنند.

در هر رابطه دو دامین نقش دارند:
1. دامین اعتماد کننده
2. دامین اعتماد شده

دامین اعتماد شده، دامینی است که هویت ها را در اطلاعات ذخیره شده خود ذخیره می کند و تشخیص هویت را انجام می دهد.

دامین اعتماد کننده، دامینی است که نمی تواند کاربر را تشخیص هویت کند زیرا اطلاعات را در اطلاعات ذخیره شده خود ندارد بنابراین به تشخیص هویت دامین اعتماد شد اعتماد می کند.

کاربران در دامین اعتماد شده می تواند به منابع در صورد داشتن مجوز دسترسی، دسترسی داشته باشند. همچنین می توانند حقوقی داشته باشند همانند اجازه Logon کردن روی کامپیوتر های دامین اعتماد کننده.

لغات ها در مبحث Trust شاید کمی گیج کننده باشند. درک رابطه trust با استفاده از دیاگرام بسیار ساده تر است. در دیاگرام زیر دامین A به دامین B اعتماد می کند. بنابراین دامین A دامین اعتماد کننده است و دامین B دامین اعتماد شده. اگر یک کاربر در دامین B بخواهد از دامین A استفاده کند، دامین A تشخیص هویت را با استفاده از رابطه Trust به دامین B واگذار می کند. همچنین دامین A می تواند از کاربران یا گروه های دامین B استفاده کند مثلا در دادن مجوز های دسترسی به منابع.

یک رابطه Trust بین دو دامین با سه مشخصه زیر می تواند معین شود:

1. transitivity (خاصیت تعدی) : برخی از روابط Trust دارای خاصیت تعدی هستند البته همه رابطه ها دارای این خاصیت نیستند. با توجه به دیاگرام زیر خاصیت تعدی به این شکل تعریف می گردد. دامین A به دامین B اعتماد دارد. دامین B دامین C اعتماد دارد بنابراین دامین A به دامین C نیز اعتماد دارد. اگر Trust دارای خاصیت تعدی نباشد آنگاه دامین A به دامین C اعتماد ندارد. معمولا برای ایجاد اعتماد بین A و C از یک رابطه Trust جداگانه استفاده می گردد اما اگر Trust دارای خاصیت تعدی باشد این Trust جداگانه لازم نیست.

2. جهت (direction) : یک رابطه Trust می تواند یک طرفه یا دو طرفه باشد. در Trust به صورت یک طرفه یا one way کاربران در دامین اعتماد شده می توانند در دامین اعتماد کننده تشخیص هویت شوند اما عکس آن امکان پذیر نیست. در مثال فوق کاربران دامین B در دامین A تشخیص هویت می شوند اما کاربران دامین A در دامین B تشخیص هویت نمی شوند. در بسیاری از سناریو برای رسیدن به هدف رابطه دو طرفه (Two Way) می توان یک Trust دیگر با یک جهت متصاد Trust موجود ایجاد کرد.

3. اتوماتیک یا دستی: برخی از روابط Trust خودکار ساخته می شوند و برخی دیگر لازم است تا به صورت دستی ساخته شوند. در یک جنگل (Forest) تمام دامین ها به یک دیگر اعتماد دارند. به این دلیل که دامین هر Root Domain به Forest Root اعتماد دارد و هر Child Domain به parent Domain خود اعتماد دارد. این Trust ها به صورت خودکار ساخته می شوند و لازم نیست خاصیت تعدی یا جهت در آن ها در نظر گرفته شود.

پروتکل های تشخیص هویت و روابط Trust

ویندوز سرور 2003 با استفاده از دو پروتکل می تواند تشخیص هویت می کند: Kerberos V5 یا NT LAN Manager به اختصار NTLM و Kerberos V5 پروتکل پیش فرض در ویندوز های سرور 2008، 2003 و ویندوز های 7، Vista و XP است. اگر کامپیوتری در شبکه موجود باشد که از Kerberos V5 پشتیبانی نمی کند به جای Kerberos V5 از NTLM استفاده می شود.

تشخیص هویت Kerberos در یک دامین

به صورت بسیار مختصر؛ زمانی که کاربر به یک کلاینت تحت دامین و با پشتیبانی Kerberos تلاش می کند که Logon کند، درخواست تشخیص هویت برای Domain Controller ارسال می شود. هر Domain Controller همانند یک Key Distribution Center یا با اختصار KDC عمل می کند. پس از تایید هویت کاربر، KDC به کاربر های تایید شده یک Ticket-Granting Ticket یا به اختصار TGT می دهد. زمانی که کاربر نیاز دارد از یک منبع در همان دامین استفاده کند، ابتدا کاربر باید دارای یک Session Ticket معتبر برای آن کامپیوتری که منبع روی آن است داشته باشد. Session Ticket توسط KDC در Domain Controller فراهم می شوند. بنابراین کاربر درخواست Session Ticket خود را به Domain Controller می دهد. از آنجا که کاربر قبلا تشخیص هویت شده است دارای TGT است و TGT خود را برای نشانه ای این امر نمایش می دهد. این امر باعص می شود تا KDC بدون آنکه دوباره عمل تشخیص هویت را انجام دهد Session Ticket را به کاربر بدهد. Session Ticket احتیاج دارد تا سرور و سرویس مورد نظر معین شده باشد. KDC می تواند با استفاده از Service Principal Name یا SPN سرور درخواست شده در همان دامین سرویس را معین کند.

سپس کاربر می تواند با استفاده از Session Ticket خود به سرویس مطلوب متصل شود. سرور قادر است تا Session Ticket را بررسی کند و کنترل کند که کاربر تشخیص هویت شده است. این اتفاق با استفاده از Private Key انجام می شود. در هر صورت در اینجا قصد بررسی kerberos V5 را نداریم و در نهایت سرور با توجه به Trust داخل دامینی تشخیص هویت دامین که توسط دامین کنترلر انجام می شود را قبول دارد.

تشخیص هویت Kerberos در یک جنگل

هر Child Domain به Parent Domain خود Trust دارد و هر Tree Root به Forest Root نیز Trust دارد. این دو Trust از نوع Transitive و Two Way و اتوماتیک است. به Trust اول Parent-Child Trust و به Trust دوم Tree-Root Trust گفته می شود. درک Trust در یک جنگل از روی دیاگرام بسیار ساده تر از نوشتن این روابط است از این رو با توجه به دیاگرام زیر مطالب زیر را در نظر بگیرد.

به روابط Trust ساخته شده از روی Tree-Root Trust و Parent-Child Trust در اصطلاح Trust Path یا Trust Flow گفته می شود. در دیاگرام اول نمایی از DNS و در دیاگرام دوم نمایی از Trust Path به نمایش در آمده است. Tailspintoys.com در اینجا Forest Root است و Forest شامل دو Tree می باشد. اگر یک کاربر در USA.Windtiptoys.com بخواند یک Shared Folder روی EUROPE.Tailspintoys.com را ببیند تراکنش های زیر اتفاق می افتد.

1. کاربر روی کامپیوتر در USA.wingtiptoys.com ابتدا Logon می کند و توسط دامین کنترلر در دامین خود یعنی usa.wingtiptoys.com تشخیص هویت می شود. مراحل تشخیص هویت مشابه آن است که پیش تر گفته شد و کاربر یک TGT دریافت می کند.

کاربر می خواهد Shared Folder روی Europe.tailspintoys.com را ببیند.

2. کاربر به KDC روی دامین کنتر USA.wingtiptoy.com متصل می شود و درخواست Session Ticket می کند.

3. بر اساس SPN دامین کنترلر در USA.wingtiptoy.com متوجه می شود که سرویس مورد نظر روی دامین خود نیست. وظیفه KDC یک واسط بین کلاینت و سرویس است. از آنجا که سرویس Trust است اما در دامین خود نیست، KDC برای کمک به دسترسی به سرویس یک referral صادر می کند تا کاربر بتواند به Session Ticket مورد نظر خود دست پیدا کند.

KDC برای این کار یک الگوریتم ابتدایی دارد. اگر دامین KDC به صورت مستقیم با دامین سرویس Trust باشد، KDC به صورت مستقیم یک referral به دامین سرویس می دهد. اگر به صورت مستقیم Trust نباشد، Trust به صورت Transitive است بنابراین KDC یک Referral برای دامین بعدی در TRUST PATH صادر می کند.

4. از آنجا که usa.wingtiptoy.com مستقیما به europe.tailspintoy.com دارای Trust نیست، KDC یک referral برای دامین بعدی یعنی wingtiptoy.com صادر می کند.

5. کلاینت با KDC دامین ارجاع شده یعنی wingtiptoy.com ارتباط برقرار می کند.

6. بار دیگر KDC در wingtiptoy.com یک referral برای tailspintoy.com صادر می کند.

7. کلاینت با KDC در tailspintpy.com ارتباط بر قرار می کند و به europe.tailspintoys.com ارجاع داده می شود.

8. کلاینت به KDC در Europe.tailspintoys.com ارتباط برقرار می کند و از آنجا که Europe.tailspintoys.com به usa.wingtiptoys.com اعتماد دارد یک Session Ticket برای کاربر صادر می کند.

9. با توجه به Session Ticket کاربر می تواند با توجه به مجوز های دسترسی خود به Shared Folder دسترسی داشته باشد.

فرآیند فوق ممکن است پیچیده و زمان گیر به نظر آید اما تمام فرآیند در پشت صحنه صورت می گیرد و کاربر با این مسائل درگیر نمی شود. آنچه در اینجا به عنوان ارتباط Kerberos V5 و روابط Trust بحث شد ساده شده و مختصر شده است.

با تشکر از سایت پورت ۸۰ به آدرس http://www.erfantaheri.com

Trust های دستی

  4 نوع Trust هستند که باید به صورت دستی ساخته شوند:

1. Shortcut Trust
2. External Trust
3. Realm Trust
4. Forest Trust

ساخت یک Trust به صورت دستی

با توجه به Trust که قصد ساختن آن را دارید و نحوه ی آن باید عضو گروه Domain Admins یا Enterprise Admins باشید. برای ساخت یک Trust به صورت دستی قدم های زیر را طی کنید:

1. کنسول Active Directory Domains & Trusts را باز کنید.

2. روی دامینی که یک سمت از رابطه ی Trust است راست کلیک کنید و گزینه Properties را بزنید. توجه داشته باشید روی این دامین باید دارای privilege های ساخت یک رابطه trust باشید.

3. روی TAB (زبانه) Trust کلیک کنید و سپس روی دکمه new کلیک کنید. یک ویزارد برای ساخت یک رابطه Trust به شما کمک خواهد کرد.

4. در صفحه Trust Name، نام دامین دیگری که در رابطه Trust قرار می گیرد را وارد کنید و سپس next را بزنید.

5. اگر دامین وارد شده جزء همان جنگل (Forest) دامین جاری نباشد، باید یکی از سه نوع Trust زیر را انتخاب کنیدو:

- Forest
- External
- Realm

اگر در همان جنگل باشد، نوع Trust به صورت Shortcut در نظر گرفته می شود. در ادامه انواع Trust را مورد بررسی قرار می دهیم.

6. در صفحه Direction Of Trust باید جهت رابطه Trust را با توجه به شرح زیر معین کنید:

- Two-Way: یک ارتباط Trust دو طرفه که در آن هر دو دامین، دامین اعتماد شده و دامین اعتماد کننده خواهند بود. به عبارت مناسب تر؛ هر دو دامین تشخیص هویت یکدیگر را مورد اعتماد قرار می دهند.

- One-Way:Incoming : یک ارتباط Trust یک طرفه به صورتی که دامینی که روی آن کلیک راست کرده اید و Properties را زدید دامین اعتماد شده است و دامین دیگر دامین اعتماد کننده است. جهت فلش در دیاگرام به دامین اعتماد شده وارد می شود و استفاده از لغت Incoming به این منظور است.

- One-Way: Outgoing : یک ارتباط Trust یک طرفه به صورتی که دامینی که روی آن کلیک راست کرده اید و Properties را زدید دامین اعتماد کننده و دامین دیگر دامین اعتماد شونده است. جهت فلش در دیاگرام به دامین اعتماد شده وارد می شود از این رو لغت Outgoing انتخاب شده است.

7. در صفحه Sides of the trust با توجه به دسترسی های اکانت خود با توجه به توضیحات زیر یکی از گزینه های زیر را انتخاب کنید:

- Both this domian and specified domain : در هر دو سمت رابطه ی Trust نصب می شود. برای انتخاب این گزینه باید در هر دو سمت privilege های ساخت یک رابطه Trust را داشته باشید.

- This Domain Only : در دامینی که روی آن کلیک کرده اید و Properties را زده اید رابطه ساخته می شود و یک مدیر دیگر در دامین دیگر باید همین پروسه را روی آن دامین انجام دهد.

با توجه به گزینه های انتخابی قبلی مراحل بعدی متفاوت خواهند بود:

- اگر Both this domain and specified domain را انتخاب کرده اید، باید یک username و password با دسترسی های مناسب وارد کنید.

- اگر This Domain Only را انتخاب کرده اید، باید یک کلمه رمز که برای برقراری Trust استفاده می شود را انتخاب و وارد کنید. یک کلمه رمز نباید password خودتان باشید و باید یکتا باشد. پس از برقراری رابطه دامین آن را تغییر خواهد داد.

8. اگر Trust از نوع outgoing باشد؛ باید یکی از موارد زیر را انتخاب کنید:

- Selective Authentication

- Domain-Wide Authentication یا Forest-Wide Authentication با توجه به آنکه نوع Trust چیست External یا Forest

این گزینه ها در آینده توضیح داده می شود.

9. در پنجره جدید، توضیحات مختصر تنظیمات در نظر گرفته شما نمایش داده می شود. آن را بررسی کنید و Next را بزنید.

اگر در ساخت رابطه Trust گزینه both Sides را انتخاب کرده باشید، در اینجا مراحل پایان می پذیرد، اگر This Domain Only را انتخاب کرده باشید، رابطه Trust برقرار نمی شود مگر آنکه:

- اگر نوع رابطه ساخته شده توسط شما one-way:Outgoing است، یک مدیر شبکه در دامین دیگر، با توجه به فرآیند بالا یک رابطه Trust با نوع  One-Way:Incoming بسازد.

- اگر نوع رابطه ساخته شده توسط شما One-Way:Incoming است، یک مدیر شبکه در دامین دیگر، با توجه به فرآیند بالا یک رابطه Trust با نوع One-Way:Outcoming بسازد.

- اگر نوع رابطه ساخته شده توسط شما Two-way است، یک مدیر شبکه در دامین دیگر، با توجه به فرآیند بالا یک رابطه Trust با نوع Two-Way بسازد.

Trust های Shortcut

با توجه به آنچه که در خصوص Trust های درون دامینی و فرآیند طی شدن یک Trust به صورت Transitive گفته شد، این فرآیند به شدت می تواند Performance را کاهش دهد. همچنین اگر یکی از دامین کنترلر های مسیر Trust در دسترس نباشد به صورت کلی Authentication کاربر صورت نمی گیرد و دسترسی به سرویس مورد نظر صورت نمی گیرد. برای حل این مشکل از Shortcut Trust باید استفاده کنیم. لازم به ذکر است که Shortcut Trust ها لازم است در مرحله طراحی در نظر گرفته شوند تا از بروز مشکلات احتمالی جلوگیری گردد. Shortcut Trust ها Authentication و Session ها را در یک جنگل چند دامینی بهینه می کنند. دیاگرام زیر مثالی از دو Shortcut Trust است.

Trust های External

زمانی که لازم است با یک دامینی که در جنگل دیگری است کار کنیم، باید یک External Trust بسازیم. در دیاگرام زیر دو External Trust مشخص شده است.

در ادامه در مبحث امنیت روابط Trust درخصوص پیش بینی های امنیتی در این خصوص بحث خواهد شد.

Trust های Realm

زمانی که لازم است یک رابطه Trust بین یک دامین با سرویس های امنیتی روی پیاده سازی های دیگری از kerberos V5 انجام شود از Realm Trust استفاده می شود. مثلا در زمانی که لازم است دامین با یک Unix Kerberos V5 یک رابطه Trust برقرار کند. Realm Trust ها تنها به صورت One-Way امکان پذیر هستند بنابراین برای ایجاد یک رابطه دو طرفه، دو رابطه One-Way با جهت های متضاد ایجاد گردد.  همچنین به صورت پیش فرض این رابطه transitive نیست اما می توانند Transitive شوند.

اگر یک Kerberos v5 Realm غیر ویندوزی به دامین ویندوزی اعتماد کنند، در این صورت تمام اشیاء امنیتی در دامین ویندوزی مورد اعتماد قرار خواهند گرفت. اگر دامین ویندوزی به kerberos V5 Realm اعتماد کند کاربران در Realm می توانند به منابع دسترسی پیدا اما این فرآیند مستقیم نیست. زمانی که کاربر توسط یک Kerberos Realm غیر ویندوزی Authenticate می شود ticket صادر شده برای او شامل تمام مواردی که ویندوز جهت Authorization نیاز دارد نیست. بنابراین یک متد برای بازنشاندن اکانت ها لازم است. اشیاء امنیتی لازم در دامین ویندوزی ساخته می شود و به هویت های واقعی در Keberos Realm غیر ویندوزی مرتبط می گردند.

Trust های Forest

زمانی که لازم است بین دو کمپانی با دو جنگل متفاوت همکاری ایجاد شود از Forest Trust استفاده می شود. یک Forest Trust یک Trust به صورت One-way یا Two-Way است که به صورت Transitive بین دو Forest Root ایجاد می شود. Forst Trust ها به نسبت سایر Trust های دیگر، طرح ریزی و مدیریت ساده تری دارند از این رو در بسیاری از سناریو ها اولین گزینه ی انتخابی باید Forest Trust باشد. همچنین Forest Trust ها در بسیاری از سناریو ها همانند همکاری بین دو شرکت، ادغام شدن دو شرکت و مالکیت شرکت دیگر راهکار مناسبی است. همچنین در سازمان هایی با بیش از یک Forest – این عمل جهت ایزوله کردن سرویس و اطلاعات اکتیو دایرکتوری صورت می گیرد – گزینه مناسب ارتباط Forest Trust است.

زمانی که یک ارتباط Trust بین دو Forest ایجاد می شود SID Filtering (همچنین Domain quarantine گفته می شود) فعال می گردد. SID Filtering در ادامه مورد بحث قرار می گیرد. تصویر زیر یک مثال از Forest Trust است.

یک Forest Trust می تواند One-Way یا Two-Way باشد. همانطور که گفته شد Forest Trust دارای ویژگی تعدی است (Transitive است). با این وجود خودشان دارای این ویژگی نیستند. به عنوان مثال اگر tailspintoys.com به worldwideimporters.com اعتماد داشته باشد و worldwideimporters.com به northwindtrades.com اعتماد داشته باشد، tailspintoys.com به northwindtrades.com اعتماد ندارد. برای ایجاد این رابطه باید یک Trust دیگر ایجاد شود.

پیش نیاز ها

- برای ایجاد Forest Trust باید Functional Level در هر دو Forest ویندوز سرور 2003 باشد.

- همانطور که پیش تر گفته شد؛ برای ایجاد رابطه Trust باید دارای privilege های لازم باشید.

- برای ایجاد Forest Trust باید DNS به صورت مناسب تنظیم شده باشد:

1. اگر یک Root DNS Server وجود داشته باشد، می توان Root DNS Server را برای هر دو Namespace جنگل ها قرار داد و Root hints تمام DNS Server ها را به روز کرد.

2. اگر Root DNS Server وجود نداشته باشد، برای هر DNS Server می توان از conditional forwarders استفاده کرد.

3. اگر Root DNS Server وجود نداشته باشد و Forest DNS Namespace خانواده ویندوز سرور 2003 یا جدید تر نباشد، یک Secondary Zone در هر DNS namespace تنظیم می گردد.

نکته: در برقراری ارتباط بین یک دامین ویندوز سرور 2008 و دامین ویندوز NT 4.0 از External Trust استفاده می شود. به عنوان مثال اگر شما مدیر یک دامین ویندوز سرور 2008 هستید و کاربران می خواهند به منابعی که در دامین روی ویندوز NT 4.0 است دسترسی پیدا کنند باید یک رابطه Trust به صورتی که دامین ویندوز NT 4.0 به Windows Server 2008 اعتماد داشته باشد ایجاد کنید. در این حالت دامین ویندوز NT 4.0 دامین اعتماد کننده و دامین ویندوز سرور 2008 دامین اعتماد شده است.

مدیریت روابط

جهت اطمینان از کارکرد یک رابطه Trust، می توان این ارتباط را بین هر دو دامین ویندوزی Validate کرد. امکان Validate کردن Realm Trust وجود ندارد. برای این منظور:

1. کنسول Active Directory Domains and Trusts را باز کنید.

2. روی دامینی که شامل رابطه است کلیک راست کرده و Properties را بزنید. روی tab (زبانه) Trust کلیک کنید و سپس Trust که می خواهید Validate کنید را انتخاب کنید.

3. روی Trust مورد نظر کلیک راست کنید و Properties را بزنید. سپس Validate را بزنید. Yes را برای Validate کردن یک Incoming Trust بزنید. همچنین می توانید No را برای عدم Validate کردن بزنید.

4. با استفاده از دستور زیر همچنین می توانید یک رابطه را Validate کنید:

netdom trust TrustingDomainName /domain:TrustedDomainName /verify

5. برای حذف یک رابطه می توانید Remove را بزنید و یا از دستور زیر در خط فرمان استفاده کنید:

netdom trust TrustingDomainName /domain:TrustedDomainName /remove
[/force] /userD:User PasswordD:*

توجه: استفاده از سوییچ Force برای حذف Realm Trust ها لازم است.

با تشکر از سایت پورت ۸۰ به آدرس http://www.erfantaheri.com