معرفی،توصیف و تشرح مفاهیم اولیه Active Directory-بخش دوم شبکه های دامین

در مقاله قبل در مورد شبکه های WorkGroup صحبت کردیم و به چالش های پیش رو در این شبکه پرداختیم.

در شبکه های Domain این موارد برطرف خواهد شد ، تا بتوانید به بهترین نحو از این مدل شبکه استفاده کنید. از این مقاله به بعد به طور خاص به شبکه Domain Model می پردازیم و ضمن معرفی این نوع شبکه اصطلاحاتی را که در این نوع شبکه استفاده می شود تعریف و تشریح می کنیم.

شبکه Domain Model:

تعاریف زیادی از این نوع شبکه وجود دارد :

تعریف اول:Domain ، یک گروه بندی منطقی از کامپیوترهای شبکه ای است که از یک محل مشترک به منظور ذخیره سازی اطلاعات امنیتی ، استفاده می نمایند.

تعریف دومServer Base یک مرز و حوزه (Domain) با نصب سرویس Active Directory به وجود می آید، سپس تمامی کلاینت های داخل شبکه می بایست خود را وارد این حوزه (Join to Domain) نمایند، به این ترتیب و بعد از وارد شدن کامپیوترها به مرز منطقی فوق همگی آنان می توانند با همدیگر به راحتی ارتباط برقرار نموده و از منابع همدیگر استفاده نمایند.

در تعریف دوم از اصطلاح ServerBase استفاده شده که امروزه در سرویس های مایکروسافتی به نام Domain Model  یاد می شود و ما هم همین نام را استفاده می کنیم.

ذکر این نکته بسیار مهم می باشد که تمامی نود هایی که در یک شبکه بر اساس Domain ملحق یا اضافه می شوند از یک مجموعه قوانین مشخص و واحد(Policy)تبعیت می کنند.

لازم می دانیم مواردی را در مورد این دسته بندی شبکه بیان کنیم:

اینکه شبکه مورد نظر ما Domain Model یا Work Group است یک ماهیت فیزیکی ندارد و کاملا Logical می باشد(یعنی از فیزیک شبکه نمی توان به دامین یا Work group بودن پی برد) به عنوان مثال اگر در شبکه سرور HP وجود داشت نمی توان نتیجه ای برای مشخص کردن این دو دسته گرفت.

از نظر سیستم عامل،در شبکه Work group ممکن است سیستم عامل سرور سایدی مثل server 2016 وجود داشته باشد یا نداشته باشد ،این در حالیست که در Domain حتما باید سیستم عامل سرور سایدی وجود داشته باشد. برای اینکه در این نوع شبکه سرویس هایی وجود دارد که برای ارایه آنها یاید سیستم عامل سرور سایدی موجود باشد زیرا سیستم عامل های کلاینت ساید امکان ارایه سرویس های مورد نظر را ندارند.

در شبکه های Domain Model پروتکل احراز هویت Kerberos V5 می باشد.(در ابتدا NTLM بود که امروز در شبکه های Work Group مورد استفاده قرار می گیرد)

(انشا الله در مقالات بعدی مفصل در مورد این پروتکل احراز هویت صحبت خواهیم کرد.)

بیشتر بدانید

در واقع معنا و مفهوم شبکه های دامین بر اساس همین پالیسی های مشترک بنا شده است،چرا که در شبکه های Work Group هر کسی پالیسی مختص به خود را دارد و درنظر گرفتن یک پالیسی برای یک سیستم هیچ تاثیری در بقیه سیستم ها ندارد و اگر می خوایم پالیسی برای همه تعریف شود باید بر روی تک تک سیستم ها آن پالیسی را ست کنیم ولی در شبکه های Domain یک بار تعریف کرده و به سبب تعریف آن پالیسی بقیه نیز تحت شعاع آن پالیسی قرار می گیرند.یعنی خواسته خود را یکبار و یک جا می زنیم.

 

نکته دیگر در مورد این نوع شبکه این است که یک دیتا بیس مترکز وجود دارد که کلیه Object های موجود(User Acount،Computer Acount و…) در شبکه در آن قرار می گیرد بر خلاف دیتا بیس شبکه های Work Group که Object های موجود در شبکه در هر یک از سیستم های موجود قرار دارد یعنی هر سیستم دیتا بیس مختص به خود را دارد .بنابر این کلیه Object های شبکه در کل سیستم ها پخش می باشد و در یک جا متمرکز وجود ندارد و  پراکنده می باشد.

به دیتا بیس سیستم های موجود در شبکه Work group اصطلاح SAM  و در شبکه های Domain Model اصطلاح Directory را می گوییم.

سوالی که مطرح می شود این است که این دیتا بیس متمرکز در کجا قرارد دارد؟یعنی بر روی چه سیستمی واقع شده است؟

سروری که (کامپیوتر) که روی آن دیتابیسی می باشد و دیتا بیس در اختیار آن قرار دارد و بر اساس مندرجات این دیتا بیس کار های مختلف خود را انجام می دهد Domain Controller یا به اختصار DC می گوییم. به طور خیلی عامیانه می توان نقش DC را شبیه به یک نگهبان دانست که از محدوه خاصی مراقبت می کند و هر کسی بخواهد وارد این محدوده شود اولا باید احراز هویت شود ثانیا باید از قوانین موجود در آن محدوده تبعیت کند که این قوانین در قالب policy و در Directory ثبت و ضبط می شود.

در شبکه Work Group این دیتا بیس و این Server وجود ندارد.

درنظر بگیرین کارمندی صبح پشت سیستم خود می نشیند و می خواد عمل logon را انجام دهد:

اگر شبکه Work Group باشد باید توسط Local User Acount که قبلا برایش ساخته شده است به سیستم خود logon کند که این User Acount در Sam یا همان دیتا بیس Local باید وجود داشته باشد.

 

حال اگر شبکه به یک شبکه Domain Model تبدیل شده باشد دیگر نمی گوییم به سیستم خود log on می کند چراکه لازمه آن داشتن Local User Acount  است و کاربر هم همچین یوزری ندارد کاربر مورد نظر باید به دامین توسط Domain User Acount که توسط مدیر شبکه ساخته شده است Log On کند. و این Domain User Acount در دیتا بیس یا همان Directory برروی DC قرار دارد.پس از این به بعد کلیه یوز Acount ها در یک جا و یک بار ساخته می شود.بنابراین کارمند مورد نظر باید با ارایه Domain User Acount خود را به DC معرفی کند و DC پروسه authentication را انجام داده و در صورت احراز هویت اجازه ورود به محدوده یا Domain مورد نظر را می دهد.

تنها یک سوال در اینجا مطرح می شود که کارمند مورد نظر با ارایه نام کاربری خود برای اینکه احراز هویت شود چگونه به سراغ DC می رود؟ یا بهتر است بگوییم چگونه متوجه می شود که DC کجاست؟ پاسخ DNS می باشد.همانطور که می دانید وظیفه اصلی DNS عمل NameResolution می باشد.(در ادامه مقالات بعدی مجله تک تیک با مفهوم و نحوه کاربرد DNS آشنا می شویم.)

به طور خلاصه:
وقتی شبکه مورد نظر ما Domain Model می باشد برای اینکه کاربر بتواند از سرویس های این محدوده استفاده کند باید جزو این محدوده باشد.برای اینکه جزو این محدوده باشد باید آن را به اصطلاح Join به دامین کنیم.هنگامیکه به دامین Join می شود به اعتبار UserAcount که هنگام join به دامین درخواست می شود برای کاربر مورد نظر ComputerAcount در ِDirectory ساخته می شود.سپس مدیر Domain یکبار و یکجا برای کاربر در Directory یک UserAcount می سازد. هنگامیکه کاربر می خواهد به دامین Log On کند برای احراز هویت به سراغ DC می رود (DC از طریق DNS پیدا می شود) پس از احراز هویت(توسط متود Kerberos )توسط DC یک Token که هویت آن ثبت شده به او ارایه می دهد که در سرتاسر Domain اعتبار دارد و به واسطه همان Tokenمی تواند از سرویس های مورد نظرش در صورتیکه اجازه داشته باشد (Authority) استفاده کند. نکته قابل توجه این است که قبل از Authority فازauthentication انجام می شود ولی این عمل در شبکه دامین در Background انجام می شودآن هم به دفعات که مطلوب ما نیز می باشد ولی این بار بر  خلاف شبکه WorkGroup کاربر را وارد این پیچیدگی ها نمی کنیم.

امیدواریم از خواندن این مقاله نهایت استفاده را ببرید ،در مقالات بعدی به ادامه مفاهیم Domain می پردازیم .مجله تک تیک را در شبکه های مجازی دنبال کنید و به دوستان خود معرفی نمایید.

 

 

مطالب مرتبط بیشتر از نویسنده