محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

معرفی 17 نکته در چک لیست نصب و راه اندازی اکتیودایرکتوری

بسیاری از دوستان از بنده درخواست یک چک لیست رو داشتند که وقتی میخان اکتیودایرکتوری رو طراحی و پیاده سازی کنند از اون استفاده کنند و موردی رو از قلم نندازند ، بنده یک چک لیست آماده کردم که از این طریق شما هیچ مشکلی در طراحی و پیاده سازی ساختار اکتیودایرکتوری نخواهید داشت . من قبلا در قالب آموزش اکتیودایرکتوری این چک لیست رو بصورت ویدیویی هم در وب سایت قرار دادم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

البته این چک لیست بر اساس یک سازمان ایده آل در نظر گرفته شده و شما میتونید بر حسب نیازتون بعضی از موارد رو در طراحی در نظر نگیرید و یا از مواردی هم در ساختار forest استفاده نکنید ، اما در هر صورت این مقاله میتونه کمک مفیدی به شما در طراحی اکتیودایرکتوری در محیط های کوچک و شبکه های محلی و داخلی بکنه ، بریم سراغ چک لیست :

1.سیستم نامگذاری و سرویس DNS خود را درست طراحی کنید

همیشه و در بدو ایجاد یک شبکه می بایست یک نامگذاری مناسب برای ساختار DNS و اکتیودایرکتوری انتخاب کنید ، عوض کردن نام دامنه پس از ایجاد آن کار بسیار دشواری است ، همیشه به خاطر بسپارید که یک آدرس ثابت IP برای سرور خود انتخاب کنید و در صورتیکه از IP ورژن 6 استفاده نمی کنید ، آنرا غیر فعال کنید . پیشنهاد من این است که در صورتیکه شبکه شما به داخل سرویس می دهد از پسوند local در طراحی آن استفاده کنید .

2.کنترل کننده های دامنه یا Domain Controllers

همیشه بیش از یک دامین کنترلر در شبکه خود در نظر بگیرید ، داشتن دو یا حتی سه عدد DC به شما کمک می کند که دیگر نیازی به بازگردانی اطلاعات از Backup نداشته باشید. تا حد امکان سعی کنید که سرویس هایی مانند File Sharing و یا Web Server را در سرور های عضو دامین قرار دهید و دامین کنترلر را طوری در نظر بگیرید که صرفا کار Name Resolution یا تبدیل نامها و یا احزار هویت Authentication را بر عهده داشته باشد .اینکار باعث می شود که براحتی سرویس های شما قابل انتقال به جای دیگر باشند و وابستگی کمتری به سرویس ها بوجود خواهد آمد .

3.نامگذاری NetBIOS

در صورتیکه قرار است از سرور WINS در شبکه داخلی خود استفاده کنید ، حتما برای نامگذاری سرورهای خود راه حل داشته باشید ، نامگذاری WINS همیشه نکته ای اساسی در تعیین سهولت دسترسی به سروها خواهد بود . در دوره آموزش MCSA ویندوز کلاینت در خصوص تنظیمات WINS و NetBIOS Name صحبت می کنیم.

4.بروز رسانی با Upgrade

اگر قصد بروزرسانی سرور خود را از سرور های قدیمی تر مانند سرور 2000 یا 2003 به سرور 2008 را دارید به احتمال زیاد شما نیاز به آماده سازی بستر برای بروز رسانی به سرور جدید با به گقته کارشناسان فنی Prepare کردن دامین را خواهید داشت . شما با استفاده از یک ابزار تحت داس به نام adprep.exe که معمولا با DVD محصول سرور جدیدتر ارائه می شود می توانید سرور را آماده بروزرسانی کنید . یکی از مهمترین کارهایی که این دستور انجام می دهد بروز رسانی schema یا اسکیما با توجه به اسکیمای سرور جدید است.

5.دستور dcpromo

قبل از ویندوز سرور 2008 ( در ویندوز سرور 2003 و 2000( از این دستور برای ایجاد عملیات promote کردن یا تبدیل کردن سرور یه سرور اکتیودایرکتوری استفاده می شده است اما در سرور 2008 علاوه بر اینکه میتوانید از این دستور استفاده کنید از طریق کنسول هم میتوانید عملیات promote را انجام دهید ، در ویندوز سرور 2008 پس از اجرای دستور dcpromo بهتر است از دکمه Advanced برای نصب استفاده کنید زیرا امکانات بیشتری را در اختیار شما قرار می دهد .

6.رمز Restore Mode

همیشه یکی از مسائلی که ما ایرانی ها با آن مواجه هستیم در راه اندازی یک دامین کنترلر این است که رمز Restore Mode سیستم را فراموش میکنیم ، این رمز در حقیقت برای بازگردانی اطلاعات شما بکار می رود و در صورتیکه دچار مشکل شوید از این رمز برای ورود به سیستم در حالت local استفاده خواهید کرد ، این رمز در آخرین مراحل نصب Active directory و عملیات dcrpomo از شما خواسته میشود و به جای اینکه در Active Directory ذخیره شود در فایل SAM داخلی سیستم نگهداری می شود .

7.Replication

بعد از اینکه Active Directory رانصب کردید ، در صورتیکه چندین دامین کنترلر در شبکه دارید حتما Replication و رد و بدل شدن اطلاعات در بین آنها را چک کنید تا دچار مشکل نشود . هرگونه خطا را در این زمینه به سرعت پیگیری کنید .

8.تنظیمات زمان و تاریخ

همیشه سعی کنید که زمان درست را به سروری که دارای نقش PDC Emulator در شبکه هست را بدهید ، زمان بین المللی را بر حسب تاریخ تهران و بروز رسانی از طریق اینترنت را فعال کنید . همانطور که میدانید تمامی کامپیوتر های شبکه از طریق سرویس زمان یا همان time به سرور ورود می کنند پس تمهیدات زمانی را نظر بکیرید .اگر شبکه شما دارای NTP سرور هست آنرا به عنوان سرور زمان یا time server در شبکه در نظر بگیرید و به PDC emulator معرفی کنید .

9. مجازی سازی

ایجاد دامین کنترلر و ساختار اکتیودایرکتوری در ساختار مجازی سازی کاملا کار می کند اما باید تمهیداتی را نیز در نظر داشته باشید . از استفاده از امکان Snapshot و REDO در ساختار مجازی سازی برای سرور اکتیودایرکتوری استفاده نکنید و همیشه هماهنگ سازی زمان یا time Synchronization را در نظر داشته باشید . در مقاله ای جداگانه در مورد مشکلاتی که ناشی از ایجاد اکتیودایرکتوری در محیط مجازی بوجود می آید را بررسی خواهیم کرد . برای یادگیری مجای سازی می توانید به دوره آموزش VCP-DCV خودم در این لینک مراجعه کنید.

10.Global Catalog

در یک محیط تک دامینی یا Single Domain همیشه تمامی سرور هایی را که در نقش دامین کنترلر هستند را به عنوان Global Catalog معرفی کنید اما در محیط هایی که چندین دامین مختلف در آن وجود دارد تداخل Infrastructure و Global Catalog سرور ممکن است ساختار شما را دچار مشکل کند پس برای این موارد حتما برنامه ریزی و طراحی نحوه قرار گیری GC را انجام دهید .

11.Operation Master Roles یا FSMO

این نقش ها بصورت پیشفرض بر روی اولین دامین کنترلر نصب شده در شبکه قرار می گیرند . حتما توجه کنید که هر کدام از این نقش ها به نوبه خود اهمیت خاصی در شبکه دارند و میتوانند در صورت بروز مشکل شبکه را دچار اختلال کنند ، در ساختار هایی که از چندین دامین بصورت درختی استفاده می شود شما می بایست نحوه قرار گیری این نقش ها را حتما در نظر داشته باشید و برای آنها طرح داشته باشید ، ممکن است نیاز به جابجایی برخی از این نقوش در شبکه وجود داشته باشد .

12.نصب ابزارهای اضافی

بعضی از ابزارهای مدیریتی ویندوز سرور 2000 و 2003 بصورت پیشفرض بر روی آن نصب نشده اند که میتوانید از آنها استفاده کنید ، یکی از این ابزارها به نام support tools می باشد که در پوشه support سی دی ارائه شده توسط مایکروسافت وجود دارد و به شما در مدیریت ویندوز سرور بسیار کمک خواهد کرد . اما در ویندوز سرور 2008 بسیاری از این ابزار ها به عنوان ابزار کابردی در ویندوز بصور پیشفرض نصب و راه اندازی شده است . به عنوان مثال GPMC یا Group Policy Management Console در ویندوز سرور 2003 به عنوان یک ابزار جانبی نصب میشد که در ویندوز سرور 2008 به عنوان یک ابزار داخلی وجود دارد که تنها راه مدیریت GPO ها در سرور 2008 است .

13.Backup و Restore

اگر از سیستم خود Backup می گیرید ، حتما Backup گیری از اطلاعات Active Directory را مد نظر داشته باشید ، همچنین از طریق کنسول GPMC از Group Policy هم یک Backup تهیه کنید البته اگر تنظیمات خاصی بر روی آن انجام داده اید .

14.Functional Level

برای استفاده از بیشترین امکانات ممکن از سیستم عامل ها می بایست Functional Level های موجود را اصطلاحا Raise کرده و به بالاترین سطح قرار دهید ، توجه کنید که این عمل یک طرفه است و راه برگشتی وجود ندارد ، پس مطمئن شوید که سروری با سیستم عامل ورژن قبلی در شبکه به عنوان Domain Controller فعالیت نمیکند .

15.امنیت

همیشه امنیت را هر چند در حداقل اعمال کنید ، Password Policy برای رمز های عبور تعیین کنید ، از کلیه عملیات ها سیستم Log برداری کنید و سایز پوشه log ها را افزایش دهید ، log ها را به امان خدا نگذارید و حتما آنها را چک کنید تا ا سلامت سیستم خود اطمینان حاصل کنید . قبل از انجام هرگونه تمهیدات امنیتی ابتدا آنرا در یک محیط تست ، آزمایش کرده و بعد از آزمایش در محیط عملیاتی اعمال کنید . همیشه امنیت را بصورت بومی سازی شده استفاده کنید و از قالب های آماده امنیتی بصورت یکجا در شبکه استفاده نکنید . مثلا از template های Group Policy موجود در MMC بصورت کامل استفاده نکنید و آنها را بومی سازی کنید و تست کنید .

16.فایروال ها 

Domain Controller ها بصورت پیشفرض از قابلیتAllocation Dynamic Port استفاده می کنند و این در برخی اوقات میتواند در برقراری ارتباط بین خود دامین کنترلر و کلاینت ها و حتی Member Server ها مشکلاتی ایجاد کند .همیشه در صورت امکان استفاده از فایروال در شبکه و بر روی دامین کنترلر ها از قبل تمامی پورتهای مورد استفاده و سرویس های مورد نظر را مشخص نموده و بر اساس آن فایروال خود را تنظیم کنید . در دوره آموزش نتورک پلاس در خصوص مبانی امنیت و فایروال ها صحبت می کنیم.

17.طرح نگهداری 

همیشه برای خود یک طرح نگهداری تهیه و تنظیم کنید ، به عنوان مثال برای خود تعداد و مدت زمانی را برای توجه و مرور log های موجود بر روی سرور ها اختصاص دهید . بویژه log ها موجود بر روی دامین کنترلر ها که از همه سرور ها مهمتر هستند . همیشه به یاد داشته باشید که log ها فقط برای نگهداری نیستند و باید آنها را در وهله های زمانی منظم چک کرد . حتما با استفاده از ابزارهای کاربردی وضعیت سلامتی سرور های خود ار کنترل کنید ، پیشنهاد من همیشه پیاده سازی یک سیستم مانیتورینگ تجهیزات و سرور ها بصورت مرکزی در شبکه است که کار شما را بسیار آسانتر خواهد کرد .


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات