دامین کنترلر چیست؟

دامین کنترلر (Domain Controller) چیست؟

دامین کنترلر (Domain Controller) یا کنترل کننده دامنه نوعی سرو است درخواست‌های احراز هویت کاربران را دامنه رایانه پردازش می‌کند. کنترل کننده‌های دامنه بیشتر در دامنه‌های ویندوز اکتیو دایرکتوری (Windows Active Directory) مورد استفاده قرار می‌گیریند اما با انواع دیگر سیستم‌های مدیریت هویت نیز استفاده می‌شوند. دامین کنترلرها اطلاعات سرویس دایرکتوری را برای دامنه‌های خود کپی می‌کنند، از جمله کاربران، اعتبارنامه‌های احراز هویت و سیاست‌های امنیتی سازمانی.

وظایف اصلی دامین کنترلر چیست؟

کنترل‌کننده‌های دامنه دسترسی به منابع دامنه را با احراز هویت کاربر از طریق اعتبارنامه ورود و جلوگیری از دسترسی غیرمجاز به آن منابع محدود می‌کنند. دامین کنترلرها سیاست‌های امنیتی را برای درخواست‌های دسترسی به منابع دامنه اعمال می‌کنند. به عنوان مثال، در یک دامنه اکتیو دایرکتوری، دامین کنترلر اطلاعات احراز هویت را برای حساب‌های کاربری از اکتیو دایرکتوری می‌گیرد.

یک کنترل‌کننده دامنه می‌تواند به‌عنوان یک سیستم واحد عمل کند، اما معمولاً برای افزایش قابلیت اطمینان و در دسترس بودن به‌صورت خوشه‌ای پیاده‌سازی می‌شوند. برای کنترل‌کننده‌های دامنه که تحت ویندوز اکتیو دایرکتوری اجرا می‌شوند، هر خوشه شامل یک کنترل‌کننده دامنه اصلی (PDC) و یک یا چند کنترل‌کننده دامنه پشتیبان (BDC) است. در محیط‌های یونیکس و لینوکس، کنترل‌کننده‌های دامنه تکراری، پایگاه‌های داده احراز هویت را از کنترل‌کننده دامنه اصلی کپی می‌کنند.

چرا دامین کنترلر مهم است؟

کنترل‌کننده‌های دامنه، تمام دسترسی‌های دامنه را کنترل می‌کنند، دسترسی غیرمجاز به شبکه‌های دامنه را مسدود می‌کنند و در عین حال به کاربران اجازه می‌دهند به همه سرویس‌های دایرکتوری مجاز دسترسی داشته باشند. کنترل کننده دامنه تمام دسترسی ها به شبکه را واسطه می کند، بنابراین محافظت از آن با مکانیسم های امنیتی اضافی مانند:

• فایروال ها
• شبکه های ایمن و ایزوله
• پروتکل های امنیتی و رمزگذاری برای محافظت از داده ها و داده های ذخیره شده
• استفاده محدود از پروتکل های ناامن، مانند پروتکل Remote Desktop، بر روی کنترلرها
• استقرار در یک مکان محدود فیزیکی برای امنیت
• تسریع مدیریت پچ و پیکربندی
• مسدود کردن دسترسی به اینترنت برای کنترلرهای دامنه

کنترل‌کننده‌های دامنه تمام دسترسی به منابع محاسباتی در یک سازمان را کنترل می‌کنند، بنابراین باید طوری طراحی شوند که در برابر حملات مقاومت کنند و در شرایط نامطلوب به کار خود ادامه دهند.

دامین کنترلرها در اکتیو دایرکتوری چگونه تنظیم می‌شوند؟

دامین کنترلر تابعی از مایکروسافت اکتیو دایرکتوری است و دامین کنترلرها سرورهایی هستند که می‌توانند از اکتیو دایرکتوری برای پاسخگویی به درخواست‌های احراز هویت استفاده کنند. کارشناسان توصیه می‌کنند که حتی برای سازمان‌های کوچک نیز به یک کنترل کننده دامنه تکیه نکنید. بهترین روش ها برای جلوگیری از خرابی ناشی از در دسترس نبودن سیستم، یک کنترل کننده دامنه اصلی و حداقل یک کنترل کننده دامنه پشتیبان را می طلبد.

یک روش دیگر، استقرار هر دامین کنترلر بر روی یک سرور فیزیکی مستقل است، این شامل دامین کنترلرهای مجازی است که باید روی ماشین‌های مجازی (VM) اجرا شوند که روی میزبان‌های فیزیکی مختلف اجرا می‌شوند.

کنترل‌کننده‌های دامنه را می‌توان بر روی سرورهای فیزیکی مستقر کرد و به‌عنوان بخشی از سرویس دایرکتوری ابری به‌عنوان VMsor اجرا می‌شوند.

مراحل راه اندازی یک کنترل کننده دامنه اکتیو دایرکتوری عبارتند از:

• ارزیابی دامنه: اولین قدم در راه اندازی یک کنترل کننده دامنه، ارزیابی دامنه ای است که کنترل کننده در آن راه اندازی می شود. این ارزیابی شامل تعیین انواع کنترل‌کننده‌های دامنه مورد نیاز است، محل قرارگیری آنها و نحوه تعامل آنها با سیستم‌های موجود در دامنه است.
• استقرار یا اضافه شدن جدید: چه برنامه‌ریزی برای استقرار جدید کنترل‌کننده‌های دامنه AD یا افزودن یک کنترل‌کننده جدید برای یک دامنه موجود، مکان کنترل‌کننده دامنه و منابع مورد نیاز برای اجرای کنترل‌کننده دامنه متمرکز و هر کنترل‌کننده دامنه مجازی را تعیین کنید.
• امنیت بر اساس طراحی: ایمن سازی دامنه کنترل کننده از حملات داخلی یا خارجی ضروری است. همچنین، معماری کنترل کننده دامنه را طوری طراحی کنید که از اختلالات سرویس ناشی از قطع اتصال، از دست دادن برق یا خرابی سیستم ایمن باشد.

مشخصات تنظیم و پیکربندی کنترل‌کننده‌های دامنه AD بسته به نسخه سرور ویندوز مورد استفاده در دامنه متفاوت است.