اگر قصد دارید وارد یک شبکهی سازمانی شوید، یا میخواهید اطلاعات بیشتری درباره آن بدانید و محیطی مشابه آن را در خانه راهاندازی کنید، ممکن است قبلاً عبارت کنترل کننده دامنه (Domain Controller) را شنیده باشید. کنترل کننده دامنه یک بخش اساسی شبکههای سازمانی است و اگر به کار با شبکه فکر میکنید، دانستن اینکه کنترل کننده دامنه چیست، ضروری است.
Domain Controller یا کنترل کننده دامنه به زبان ساده سروری است که تضمین میدهد همه سرورها و کلاینتهای دیگر میتوانند با هم تبادل اطلاعات داشته باشند. در این مقاله، در مورد کنترلکنندههای دامنه، Active Directory و برخی از نقشهای رایجی که یک کنترلکننده دامنه میتواند داشته باشد، اطلاعات بیشتری کسب خواهید کرد.
عملکرد اصلی یک کنترل کننده دامنه
اغلب با این سوال مواجه میشویم که “کنترل کننده دامنه در Active Directory چیست؟”. سوال جالبی است ولی در اصل باید پرسیده شود که “Active Directory در یک کنترل کننده دامنه چیست؟”.
به این دلیل که Domain Controller سروری است که Active Directory در آن نصب شده است. بنابراین، بدون کنترل کننده دامنه (DC)، هیچ دایرکتوری فعالی (AD) وجود ندارد.
کنترل کننده دامنه نقشی است که میتوانید به سرور ویندوز اختصاص دهید. این کار را زمانی انجام میدهید که سرویس ADDS (Active Directory Domain Services ) را نصب میکنید. بسته به نسخه ویندوز سرور، میتوانید انتخاب کنید که یک کنترلکننده دامنه کلید اصلی باشد یا نباشد.
نقش Active Directory چیست؟
Active Directory در اصل، یک پایگاه داده مرکزی است که همه چیز را در مورد شرکت ذخیره میکند. منظور این نیست که فایلها و تصاویر را ذخیره میکند، بلکه کاربران، مشتریان و سرورها را ذخیره میکند.
برای درک بهتر با یک مثال توضیح میدهیم:
فرض کنید سارا یک کار جدید را در شرکت A شروع میکند. برای اینکه سارا بتواند به رایانه وارد شود، باید یک حساب کاربری فعال در Active Directory داشته باشد. وقتی سارا بخواهد به رایانه وارد شود، رایانه توسط دایرکتوری فعال بررسی میکند که آیا کاربری به نام سارا وجود دارد یا خیر و آیا مجاز است به رایانه وارد شود یا خیر.
وقتی سارا وارد سیستم شد، میخواهد تعدادی سند را چاپ کند. از آنجایی که رایانه سارا در Active Directory قرار دارد، بنابراین او به راحتی میتواند به یک درایو شبکه مشترک که سند در آن قرار دارد دسترسی پیدا کند.
چون دایرکتوری فعال برخی تنظیمات پیشفرض را نیز برایش ارسال کرده است، او از قبل چاپگر آفیس را نصب و به عنوان چاپگر پیشفرض تنظیم کرده است، پس به آسانی میتواند سند را چاپ کند.
Active Directory تمامی کاربران، کامپیوترها و سرورها را در خود جای میدهد. اما یک نکته مهم وجود دارد و آن اینست که آنچه همه چیز را در کنار هم نگه میدارد یک دامنه است نه دایرکتوری فعال. Active Directory به عنوان پایگاه دادهای است که اطلاعات را نگهداری میکند درحالیکه یک دامنه باعث میشود همه چیز با یکدیگر در ارتباط باشند.
تفاوت بین دامنه، Domain Controller و Active Directory چیست؟
برای اولین بار، ممکن است تشخیص کنترل کننده دامنه، دایرکتوری فعال و دامنه اندکی مشکل باشد. آیا همگی آنها یک چیز ولی با نامهای مختلف نیستند؟
– Domain یا دامنه
همانطور که در بالا به اختصار اشاره شد، دامنه چیزی است که همه چیز را کنار هم نگه میدارد. سارا یک حساب دامنه دارد. رایانه او بخشی از دامنه است و درایو شبکه مشترک روی سروری است که بخشی از دامنه است. میتوانید اینگونه در نظر بگیرید که دامنه مانند یک خانه است. همه چیز زیر یک سقف قرار دارد و میتوانند با یکدیگر ارتباط داشته باشند.
دامنه چیزی است که یک شرکت در صورت استفاده از سرورهای ویندوز از آن استفاده میکند؛ که اکثر شرکتها این کار را انجام میدهند. برای اینکه بخشی از یک دامنه باشید، باید یک حساب کاربری در Active Directory داشته باشید.
– Active Directory يا دایرکتوری فعال
دایرکتوری فعال یا AD، پایگاه دادهای است که همه کاربران شرکت و نیز رايانههای كاربران و سرورهای شرکت را در خود جای میدهد. همه این موارد دارای یک حساب کاربری در Active Directory هستند و این حساب سطح مجوز کاربر یا رایانه را تعیین میکند. مواردی مانند سیاستهای گروه، تنظیمات امنیتی و اتصال به سرویسهای دیگر نیز وجود دارد.
چیزی که بسیاری از مدیران فناوری اطلاعات دوست دارند داشتن گروههای Active Directory است. این گروهها را میتوان بر روی فایلهای مشترک یا هر منبع دیگری تنظیم کرد.
کاربری که خواهان مجوز برای آن منبع، خواه یک فایل، یک برنامه، یک وبسایت یا یک سرور است، میتواند عضو این گروه باشد. چون گروه از قبل مجوز دارد، کاربر نیز با قرار گرفتن در گروه، به آن منبع دسترسی خواهد داشت.
از دایرکتوری فعال میتوان برای اتصال به سرویسهای دیگر نیز استفاده کرد. ممکن است درباره چیزی به نام ورود تک مرحلهای یا SSO شنیده باشید یا آن را در بسیاری از صفحات ورود به سیستم برای خدماتی که استفاده میکنید دیده باشید.
هنگام استفاده از این ویژگی، سرویسی که قصد ورود به آن را دارید، با دایرکتوری فعال ارتباط برقرار کرده و بررسی میکند که اگر حساب شما وجود دارد آیا اجازه ورود به این سرویس را دارید یا خیر.
این هم برای کاربر و هم برای مدیر IT خوب است. کاربر مجبور نیست رمز عبور جدیدی را به خاطر بسپارد زیرا رمز عبور همان رمز عبوری است که همیشه استفاده میشود. همچنین مديران IT میتوانند آن را با گروهها مدیریت کنند و با پایان یافتن کاربر، مجوزهای سرویس را به طور خودکار حذف کنند تا کاربر دیگر دسترسی نداشته باشد.
– Domain Controller یا کنترل کننده دامنه
چون قبلاً کنترل کننده دامنه (Domain Controller) را توضیح دادهایم، بنابراین در اینجا به اختصار اشارهای خواهیم داشت. کنترل کننده دامنه سروری است که دایرکتوری فعال روی آن اجرا میشود. این سرویس Active Directory Domain Services نامیده میشود و میتواند بر روی دستگاهی که ویندوز سرور بر روی آن نصب است اجرا گردد.
بطور خلاصه، میتوان گفت:
- Domain Controller یک سرور است.
- دایرکتوری فعال یک پایگاه داده از کاربران، رایانهها و سرورها است.
- دامنه چیزی است که همه چیز را به هم پیوند میزند.
کنترل کننده دامنه اصلی چیست؟
بهترین روش برای شرکتهایی که از دایرکتوری فعال استفاده میکنند، داشتن حداقل دو کنترل کننده دامنه است. این کار برای افزونگی انجام میشود تا اگر یکی از آنها از کار افتاد، درحالیکه مدير IT به دنبال رفع مساله است شرکت بتواند به کار خود ادامه دهد. ترجیحاً، کنترل کنندههای دامنه باید از نظر فیزیکی در مکانهای مختلف قرار داشته باشند.
یکی دیگر از مزایای داشتن چندین Domain Controller میتواند این باشد که آنها را در مکانهای مختلف دارید. فرض کنید شرکت، یک دفتر در موقعيت جغرافيايی A و دفتر دیگری در موقعيت B دارد.
به جای داشتن کاربرانی در موقعيت B برای اتصال به A، اگر یک Domain Controller در دفتر موقعيت B وجود داشته باشد، میتوان فرآیند احراز هویت را تسریع کرد. بنابراین، داشتن یک Domain Controller در هر موقعيت جغرافيايی میتواند ایده خوبی باشد.
تا قبل از Domain Controller ورژن 2008، همیشه یک کنترل کننده دامنه اصلی و بقیه کنترل کنندههای دامنه، پشتیبان بودند. در سال 2008 مایکروسافت این مورد را تغییر داد، بنابراین اگر یک کنترل کننده دامنه از سال 2008 یا بعد از آن دارید، مفهوم کنترل کننده دامنه اصلی و پشتیبان از بین رفته است.
امروزه با همه کنترل کنندههای دامنه به یک روش رفتار میشود. دایرکتوری فعال با همه ماشینها همگامسازی میشود و هر کدام میتوانند برای هر کاری استفاده شوند، زیرا همگی به یک روش کار میکنند.
با این حال، ممکن است در مورد PDC (Primary Domain Controller) و (BDC (Backup Domain Controller بشنوید زیرا بسیاری از کارکنان IT از آن استفاده میکنند.
کنترل کننده دامنه فقط خواندنی (Read Only Domain Controller) چیست؟
یک کنترل کننده دامنه میتواند فقط خواندنی باشد که RODC نامیده میشود. RODC یک Domain Controller است که نمیتواند در دایرکتوری فعال بنویسد. برای دریافت آخرین اطلاعات همچنان از سایر کنترل کنندههای دامنه همگامسازی میشود، اما خودش نمیتواند بروزرسانی شود. مثلا اگر به برنامهای برای خواندن از دایرکتوری فعال نیاز دارید، این گزینه میتواند مفید باشد.
اگر برنامه خراب شود، یا اگر کسی بخواهد نقطه ضعفی در برنامه پیدا کند، به کنترل کننده دامنهای میرسد که فقط قابل خواندن است. این بد است، اما آنها نمیتوانند با وارد کردن اطلاعات اشتباه در پایگاه داده، اوضاع را بدتر کنند، که این خوب است!
همچنین میتوان از آن در دفاتر دیگری که فقط احراز هویت لازم است استفاده کرد. هنگامی که یک کاربر به رایانه وارد میشود، رایانه نیازی به نوشتن چیزی در کنترل کننده دامنه ندارد، فقط بررسی میکند که ورود کاربر به سیستم برای خواندن مشکلی نداشته باشد.