دامین کنترلر (Domain Controller) چیست؟ و چگونه پیکربندی می شود؟

دامین‌کنترلر (Domain Controller – به اختصار DC) یا همان کنترل‌کننده دامنه، نوعی سرور است که درخواست‌های احراز هویت کاربران را در دامنه کامپیوتر پردازش می‌کند. کنترل‌کننده‌های دامنه علاوه بر بکارگیری در دامنه‌های اکتیو دایرکتوری (Windows Active Directory – به اختصار AD)، در سایر انواع سیستم‌های مدیریت احراز هویت (Identity Management System) نیز مورد استفاده قرار می‌گیرند.

دامین‌کنترلر برای ایمن‌سازی و جلوگیری از دسترسی غیرمجاز به دامنه‌های یک سازمان، ضروری هستند. Domain Controller، اطلاعات سرویس دایرکتوری نظیر اطلاعات کاربران، اطلاعات اصالت‌سنجی و سیاست‌های امنیتی سازمانی را در دامنه‌های خود کپی می‌کند.

دامین کنترلر چه وظیفه‌ای دارد؟

کنترل‌کننده‌های دامنه از طریق دریافت اطلاعات اصالت‌سنجی کاربر هنگام ورود به سیستم، آنها را احراز هویت نموده و از دسترسی غیرمجاز به منابع دامنه جلوگیری می‌کنند.

کنترل‌کننده‌های دامنه به هنگام مواجهه با درخواست‌های ارسالی جهت دسترسی به منابع دامنه، سیاست‌ها و قوانین امنیتی را اعمال می‌نمایند. به عنوان مثال، در یک Windows AD Domain، کنترل‌کننده دامنه، اطلاعات احراز هویت را برای حساب‌های کاربری از AD دریافت می‌نماید.

یک Domain Controller می‌تواند همانند یک سیستم واحد بکارگرفته شود اما معمولاً به منظور افزایش قابلیت اطمینان (Reliability) و در دسترس بودن (Availability)، به صورت Cluster پیاده‌سازی می‌شود. برای کنترل‌کننده‌های دامنه‌ای که در Windows AD اجرا می‌شوند، هر Cluster شامل یک دامین‌کنترلر اصلی (Primary Domain Controller – به اختصار PDC) و یک یا چند دامین‌کنترلر پشتیبان (Backup Domain Controller – به اختصار BDC) است. در بستر‌های Unix و Linux، نسخه‌های پشتیبان کنترل‌کننده‌ دامنه، پایگاه‌های داده اصالت‌سنجی را از کنترل‌کننده اصلی دامنه (PDC) کپی می‌کنند.

دلایل اهمیت دامین کنترلر

Domain Controller، تمام درخواست‌های دسترسی به دامنه را کنترل می‌کند، دسترسی غیرمجاز به شبکه‌های دامنه را مسدود نموده و در عین حال به کاربران اجازه می‌دهد به تمامی سرویس‌های مجاز دایرکتوری، دسترسی داشته باشند.

از آنجایی که کنترل‌کننده دامنه، منجر به دسترسی به تمام شبکه می‌شود بنابراین ضروری است با بکارگیری راهکارها و مکانیسم‌های امنیتی زیر، از شبکه محافظت شود:

• فایروال‌
• شبکه‌های ایمن و ایزوله
• پروتکل‌های امنیتی و رمزگذاری برای محافظت از داده‌های ذخیره شده و داده‌ها در هنگام انتقال
• استفاده محدود از پروتکل‌های ناامن نظیر پروتکل دسکتاپ از راه دور (Remote Desktop Protocol – به اختصار RDP) بر روی کنترلرها
• پیاده‌سازی در یک مکان فیزیکی امن جهت حفظ امنیت
• اعمال سریع و به موقع وصله‌ها و مدیریت پیکربندی
• مسدودسازی دسترسی به اینترنت برای کنترلرهای دامنه

Domain Controller دسترسی به تمام منابع محاسباتی در یک سازمان را کنترل می‌کند بنابراین باید طوری طراحی شود که ضمن جلوگیری از وقوع حملات سایبری، در شرایط نامطلوب نیز به کار خود ادامه دهد.

پیکربندی کنترلرهای دامنه در اکتیو دایرکتوری 

Domain Control مولفه‌ای از Microsoft Active Directory است؛ در واقع Domain Controller‌ها سرورهایی هستند که می‌توانند از Active Directory جهت پاسخ‌دهی به درخواست‌های احراز هویت استفاده کنند.

کارشناسان توصیه می‌کنند که حتی برای سازمان‌های کوچک‌تر صرفاً به یک Domain Controller اکتفاء نشود. بهترین راهکار برای جلوگیری از خرابی ناشی از در دسترس نبودن سیستم، بکارگیری یک دامین‌کنترلر اصلی و حداقل یک دامین‌کنترلر پشتیبان است.

روش دیگر، استقرار هر یک از Domain Controller‌ها بر روی یک سرور فیزیکی مستقل است که شامل دامین‌کنترلر مجازی است و باید بر روی ماشین‌های مجازی (Virtual Machine – به اختصار VM) و در سرورهای فیزیکی مختلف اجرا ‌شوند. دامین‌کنترلر را می‌توان بر روی سرورهای فیزیکی پیاده‌سازی کرد و به‌صورت VMsor – بخشی از سرویس دایرکتوری ابری (Cloud Directory Service) – اجرا نمود.

مراحل نصب یک AD Domain Controller عبارت است از:

• ارزیابی دامنه. اولین قدم در نصب یک دامین‌کنترلر، ارزیابی دامنه‌ای است که Domain Controller در آن راه‌اندازی می‌شود. این ارزیابی شامل تعیین انواع دامین‌کنترلر مورد نیاز، محل قرارگیری آنها و نحوه تعامل آنها با سیستم‌های موجود در دامنه است.
• نصب یا اضافه نمودن دامین‌کنترلر جدید. هنگامی که تصمیم به راه‌اندازی یک AD Domain Controller جدید می‌کنید یا مایل هستید یک کنترلر جدید به دامنه موجود اضافه نمائید، مکان دامین کنترلر و منابع مورد نیاز برای اجرای Domain Controller متمرکز و هر یک از دامین کنترلرهای مجازی را مشخص نمائید.
• امنیت بر اساس طراحی. ایمن‌سازی دامین کنترلر در برابر حملات داخلی یا خارجی ضروری است. بدین منظور، توصیه می‌شود معماری دامین‌کنترلر طوری طراحی شود که از اختلالات سرویس‌دهی که ناشی از قطعی اتصال، رفتن برق یا خرابی سیستم می‌باشد، مصون باشد.

تنظیم و پیکربندی AD Domain Controller بسته به نسخه Windows Server مورد استفاده در دامنه متفاوت می‌باشد.

ویدیوی زیر نحوه پیاده‌سازی یک دامین‌کنترلر را در Windows Server 2019 نشان می‌دهد.

سایر گزینه‌های پیکربندی دامین‌کنترلر

گزینه‌های زیر هنگام تنظیم و پیکربندی یک AD Domain Controller در دسترس می‌باشند:

برای آشنایی بیشتر با سرورهای DNS پیشنهاد می شود مقاله dns چیست را مطالعه نمایید.

• سرور Domain Name System – به اختصار DNS: دامین کنترلر را می‌توان به صورتی پیکربندی نمود که همانند یک سرور DNS عمل کند. شرکت دِل (Dell) توصیه می‌کند حداقل یک دامین‌کنترلر را به عنوان سرور DNS پیکربندی کنید.
• قابلیت‌های Global Catalog: دامین‌کنترلر را می‌توان به منظور بکارگیری Global Catalog پیکربندی نمود که کنترلر را قادر می‌سازد تا اطلاعات AD را در خصوص هر یک از “آبجکت‌های” (Object) سازمان، بدون توجه به اینکه آیا Object در همان دامنه کنترلر قرار دارد یا خیر، باز ‌گرداند. این برای سازمان‌های بزرگ که دارای چندین دامنه AD می‌باشند، مفید است.
• کنترل‌کننده دامنه فقط خواندنی (Read Only Domain Controller – به اختصار RODC): دامین‌کنترلی که در دفاتر شعب به‌کار گرفته می‌شوند یا DC های مورد استفاده در شرایط اتصال محدود شبکه، می‌توانند به‌ صورت فقط خواندنی پیکربندی شوند.
• Directory Services Restore Mode – به اختصار DSRM: Directory Services Restore Mode یا DSRM در واقع یک Boot Mode در دامین‌کنترلر می‌باشد که برای انجام نگهداری اضطراری نظیر بازیابی نسخه‌های پشتیبان در دامین‌کنترلر مورد استفاده قرار می‌گیرد. هنگامی که سرور دامین‌کنترلر از کار افتاد یا نیاز به بازیابی داشت از DSRM استفاده می‌کنیم؛ هنگام نصب و پیکربندی Active Directory باید به DSRM رمز عبور (Password) اختصاص دهیم.

مزایای دامین کنترلر

مزایای دامین کنترلر عبارت است از:

معایب دامین کنترلر

برخی از معایب دامین‌کنترلر عبارتند از:

جمع‌بندی

در این مقاله شما را با مفهوم و وظایف دامین کنترلر و مراحل نصب Domain Controller آشنا نمودیم؛ همچنین مهم‌ترین معایب  دامین‌کنترلر را در کنار مزیت‌های domain controller شرح دادیم.

در پایان توصیه می‌کنیم به منظور ممیزی و مدیریت حقوق دسترسی و حفظ امنیت شبکه، از ابزارهای نظارتی نظیر DC استفاده نمائید تا ضمن شناسایی دسترسی‌های پرخطر و مقابله با آن‌ها، اثر تهدیدات داخلی را به حداقل برسانید.