دامین کنترلر چیست ؟

🔸 دامین کنترلر، سروری است که نسخه‌ای از Active Directory را ذخیره کرده و از دیتا استور Active Directory محافظت می‌کند. AD برای این طراحی شده است که منبع متمرکزی از اطلاعات یا دیتا استور فراهم کند تا منابع سازمان را به صورتی امن مدیریت کند. سرویس دایرکتوری AD تضمین می‌کند که منابع شبکه در دسترس هستند و کاربران قادرند به منابع شبکه، اپلیکیشن‌ها و برنامه‌ها دسترسی داشته باشند. با AD، ادمین‌ها می‌توانند از طریق کامپیوتری در شبکه لاگین کنند و آبجکت‌های اکتیو دایرکتوری را روی کامپیوتر متفاوتی در یک دامین و دامنه مدیریت کند.

🔸Domain Controller، کامپیوتری است که ویندوز ۲۰۰۰ و یا ویندوز سرور ۲۰۰۳ به بعد روی آن اجرا می‌شود و دارای یک کپی از دایرکتوری دامنه است. دامین کنترلرها در Active Directory، حاوی دیتا استور آن و پالیسی‌های امنیتی دامنه‌ هستند. بنابراین، دامین کنترلر با احراز هویت کاربرانی که لاگین می‌کنند، امنیت دامنه را فراهم می‌کند.

رول دامین کنترلر در اکتیو دایرکتوری عبارتند از:

🔹هر Domain Controller در هر دامنه، یک کپی از دیتا استور AD را برای دامنه‌ای خاص ذخیره و حفظ می‌کند.

🔹دامین کنترلرها در Active Directory از تکرار چند کاربره استفاده می‌کند یعنی هیچ دامین کنترلری به تنهایی به عنوان دامین کنترلر اصلی محسوب نمی‌شود. تمامی دامین کنترلرها باید به صورت جفت در نظر گرفته شوند.

🔹Domain Controller ، اطلاعات دایرکتوری آبجکت‌های ذخیره شده را به صورت اتوماتیک بین دامنه‌ها تکرار (Replicate) می‌کنند.

🔹آپدیت‌های مهم، بلافاصله برای دیگر دامین کنترلرهای دامنه تکرار می‌شوند.

🔹اجرای چندین Domain Controller در دامنه احتمال بروز خطا را برای دامنه بوجود می‌آورد.

🔹دامین کنترلرها در اکتیو دایرکتوری، Collisionها (برخوردها) را تشخیص دهند. Collisionها زمانی رخ می‌دهند که تغییری در دامینی خاص ایجاد شود و قبل از اعمال این تغییر در دامین کنترلر اصلی و پخش این تغییر به دیگر دامین کنترلرها، در یکی از دامین کنترلرها باعث تغییر شود.

🌀بی شک، رول‌های اصلی می‌توانند به دامین کنترلرهای یک دامنه و یا Forest تخصیص داده شوند. Master Role های خاصی که به دامین کنترلرها تخصیص داده شوند را Operations Masters می‌نامند. این دامین کنترلرها نسخه اصلی از اطلاعاتی خاص را در Active Directory میزبانی می‌کنند و اطلاعات را روی سایر دامین کنترلرها کپی می‌کنند. 5 نوع رول اصلی (Master Role) برای تعریف در دامین کنترلرها وجود دارد. دو رول از رول‌های اصلی که forest-wide master roles هستند به دامین کنترلری در Forest تخصیص داده می‌شوند. سه رول اصلی دیگر هم domain-wide master roles هستند که روی دامین کنترلر در هر دامنه اعمال می‌شوند.

رول‌های اصلی که در دامین کنترلرها پیکربندی می‌شوند، شامل موارد زیر هستند:

🔻Schema Master که یک forest-wide master role است که به دامین کنترلری تخصیص داده می‌شود که تمام تغییرات Active Directory schema را مدیریت می‌کند.

🔻Domain Naming Master یکی دیگر از forest-wide master role ها در دامین کنترلری است که تغییرات فارست مانند اضافه و حذف دامنه را مدیریت می‌کند. دامین کنترلری که این رول را دارد، مدیریت تغییرات domain namespace را نیز مدیریت می‌کند.
Relative ID (RID) Master یک domain-wide master role در دامین کنترلری است که ID number های منحصربه‌فرد برای دامین کنترلرها تولید می‌کند و مدیریت تخصیص این اعداد را برعهده دارد.

🔻PDC Emulator یک domain-wide master role در دامین کنترلری است که عملکردی مانند ویندوز NT در دامین کنترلر دارد. وجود این رول معمولا زمانی ضروری است که کامپیوترهایی داریم که دارای سیستم عامل‌های پیش از ویندوز 2000 و XP هستند.

🔻Infrastructure Master یکی دیگر از domain-wide master role است که به دامین کنترلری تخصیص داده می‌شود که مدیریت تغییرات ایجاد شده در یک گروه را برعهده دارد.

💥سرور یا سرورهای Global Catalog نیز قابل نصب روی دامین کنترلر است. GC منبع متمرکز اطلاعات روی اشیاء Active Directory در Forest و دامنه است و برای بهبود کارایی در جستجوی آبجکت در اکتیو دایرکتوری استفاده می‌شود. اولین دامین کنترلری که روی دامنه نصب می‌شود، به صورت پیش فرض به عنوان سرور GC در نظر گرفته شده است. سرور GC، نسخه‌ای کامل از تمام اشیاء را در دامنه میزبان خود و partial replica از اشیاء را برای سایر دامنه‌ها در Forest ذخیره می‌کند. این partial replica شامل اشیائی است که زیاد جستجو می‌شوند. به طور کلی پیشنهاد می‌شود که برای هر سایت در دامین، یک سرور GC را پیکربندی کنید.

 امن سازی دامین کنترلر ها

🔰DC ها یک Physical Storage را برای AD DS Database فراهم سازی می‌کنند. علاوه بر آن؛ با فراهم سازی سرویس‌ها و داده‌ها به سازمان ها این اجازه را می دهند که به صورت موثر سرورها، Workstation ها، کاربران و نرم افزار ها را مدیریت نمایند. اگر یک نفوذگر با دسترسی بالا به DC ها متصل شود، آن کاربر اجازه دستکاری، تخریب و نابود سازی AD DS Database و در واقع تمامی سیستم ها و حساب‌های کاربری تحت مدیریت Active Directory را خواهد داشت.

🔰logo-active-directoryاز انجائیکه DC ها قابلیت خواندن و نوشتن برروی AD DS Database را خواهند داشت، به خطر افتادن DC به این معنا خواهد بود که Active Directory Forest دیگر نمی‌تواند قابل اعتماد باشد مگر آنکه امکان Recover کردن با استفاده از یک Backup مناسب وجود داشته باشد. در بسیاری از سناریو های به مخاطره افتادن دامین کنترلر ها، بازگرداندن نسخ پشتیبان قادر به حل مشکلات ایجاد نمی باشد..

🔰مدت زمانی که نفوذگر می‌تواند با سطح دسترسی بالا به Active Directory ارتباط داشته باشد اهمیت ندارد، بلکه نوع برنامه‌ریزی نفوذگر برای لحظه ای که دسترسی حاصل می شود حائز اهمیت می‌باشد. عموماً با توجه به میزان تخصص نفوذگر تغییرات و یا حتی خسارت‌های جبران ناپذیر به AD DS Database فقط بین چند دقیقه تا حداکثر یک ساعت انجام می‌پذیرد. لذا اتخاذ برنامه واکنش سریع به نفوذ امر دیگری است که اهمیت بسیار بالایی دارد.