شبکه , هک و امنیت اطلاعات

امام سجاد(ع):آن کس که بر دوستی ما در دوران غیبت قائم ما پایدار بماند، خداوند به او پاداش هزار شهید از شهیدان بدر واحد بدهد

 
لیست طراحی ، نصب و راه اندازی اکتیو دایرکتوری
نویسنده : مصطفی نورزاده - ساعت ۱۱:٤٦ ‎ق.ظ روز شنبه ۱۳٩۱/۱٠/٢
 

این مقاله میتونه کمک مفیدی به شما در طراحی اکتیودایرکتوری در محیط های کوچک و شبکه های محلی و داخلی بکنه ، بریم سراغ چک لیست :


لیست طراحی ، نصب و راه اندازی اکتیو دایرکتوری

 این مقاله میتونه کمک مفیدی به شما در طراحی اکتیودایرکتوری در محیط های کوچک و شبکه های محلی و داخلی بکنه ، بریم سراغ چک لیست :

-1سیستم نامگذاری و سرویس DNS خود را درست طراحی کنید : همیشه و در بدو ایجاد یک شبکه می بایست یک نامگذاری مناسب برای ساختار DNS و اکتیودایرکتوری انتخاب کنید ، عوض کردن نام دامنه پس از ایجاد آن کار بسیار دشواری است ، همیشه به خاطر بسپارید که یک آدرس ثابت IP برای سرور خود انتخاب کنید و در صورتیکه از IP ورژن 6 استفاده نمی کنید ، آنرا غیر فعال کنید . پیشنهاد من این است که در صورتیکه شبکه شما به داخل سرویس می دهد از پسوند local در طراحی آن استفاده کنید .

-2کنترل کننده های دامنه یا :Domain Controllers همیشه بیش از یک دامین کنترلر در شبکه خود در نظر بگیرید ، داشتن دو یا حتی سه عدد DC به شما کمک می کند که دیگر نیازی به بازگردانی اطلاعات از Backup نداشته باشید. تا حد امکان سعی کنید که سرویس هایی مانند File Sharing و یا Web Server را در سرور های عضو دامین قرار دهید و دامین کنترلر را طوری در نظر بگیرید که صرفا کار Name Resolution یا تبدیل نامها و یا احزار هویت Authentication را بر عهده داشته باشد .اینکار باعث می شود که براحتی سرویس های شما قابل انتقال به جای دیگر باشند و وابستگی کمتری به سرویس ها بوجود خواهد آمد .

-3نامگذاری:NetBIOS در صورتیکه قرار است از سرور WINS در شبکه داخلی خود استفاده کنید ، حتما برای نامگذاری سرورهای خود راه حل داشته باشید ، نامگذاری WINS همیشه نکته ای اساسی در تعیین سهولت دسترسی به سروها خواهد بود .

-4بروز رسانی با: Upgrade اگر قصد بروزرسانی سرور خود را از سرور های قدیمی تر مانند سرور 2000 یا 2003 به سرور 2008 را دارید به احتمال زیاد شما نیاز به آماده سازی بستر برای بروز رسانی به سرور جدید با به گقته کارشناسان فنی Prepare کردن دامین را خواهید داشت . شما با استفاده از یک ابزار تحت داس به نام adprep.exe که معمولا با DVD محصول سرور جدیدتر ارائه می شود می توانید سرور را آماده بروزرسانی کنید . یکی از مهمترین کارهایی که این دستور انجام می دهد بروز رسانی schema یا اسکیما با توجه به اسکیمای سرور جدید است.

-5دستور:dcpromo قبل از ویندوز سرور 2008 ( در ویندوز سرور 2003 و 2000( از این دستور برای ایجاد عملیات promote کردن یا تبدیل کردن سرور یه سرور اکتیودایرکتوری استفاده می شده است اما در سرور 2008 علاوه بر اینکه میتوانید از این دستور استفاده کنید از طریق کنسول هم میتوانید عملیات promote را انجام دهید ، در ویندوز سرور 2008 پس از اجرای دستور dcpromo بهتر است از دکمه Advanced برای نصب استفاده کنید زیرا امکانات بیشتری را در اختیار شما قرار می دهد .

-6رمز :Restore Mode همیشه یکی از مسائلی که ما ایرانی ها با آن مواجه هستیم در راه اندازی یک دامین کنترلر این است که رمز Restore Mode سیستم را فراموش میکنیم ، این رمز در حقیقت برای بازگردانی اطلاعات شما بکار می رود و در صورتیکه دچار مشکل شوید از این رمز برای ورود به سیستم در حالت local استفاده خواهید کرد ، این رمز در آخرین مراحل نصب Active directory و عملیات dcrpomo از شما خواسته میشود و به جای اینکه در Active Directory ذخیره شود در فایل SAM داخلی سیستم نگهداری می شود .

:Replication-7 بعد از اینکه Active Directory رانصب کردید ، در صورتیکه چندین دامین کنترلر در شبکه دارید حتما Replication و رد و بدل شدن اطلاعات در بین آنها را چک کنید تا دچار مشکل نشود . هرگونه خطا را در این زمینه به سرعت پیگیری کنید .

-8تنظیمات زمان و تاریخ : همیشه سعی کنید که زمان درست را به سروری که دارای نقش PDC Emulator در شبکه هست را بدهید ، زمان بین المللی را بر حسب تاریخ تهران و بروز رسانی از طریق اینترنت را فعال کنید . همانطور که میدانید تمامی کامپیوتر های شبکه از طریق سرویس زمان یا همان time به سرور ورود می کنند پس تمهیدات زمانی را نظر بکیرید .اگر شبکه شما دارای NTP سرور هست آنرا به عنوان سرور زمان یا time server در شبکه در نظر بگیرید و به PDC emulator معرفی کنید .

-9مجازی سازی : ایجاد دامین کنترلر و ساختار اکتیودایرکتوری در ساختار مجازی سازی کاملا کار می کند اما باید تمهیداتی را نیز در نظر داشته باشید . از استفاده از امکان Snapshot و REDO در ساختار مجازی سازی برای سرور اکتیودایرکتوری استفاده نکنید و همیشه هماهنگ سازی زمان یا time Synchronization را در نظر داشته باشید . در مقاله ای جداگانه در مورد مشکلاتی که ناشی از ایجاد اکتیودایرکتوری در محیط مجازی بوجود می آید را بررسی خواهیم کرد .

:Global Catalog-10در یک محیط تک دامینی یا Single Domain همیشه تمامی سرور هایی را که در نقش دامین کنترلر هستند را به عنوان Global Catalog معرفی کنید اما در محیط هایی که چندین دامین مختلف در آن وجود دارد تداخل Infrastructure و Global Catalog سرور ممکن است ساختار شما را دچار مشکل کند پس برای این موارد حتما برنامه ریزی و طراحی نحوه قرار گیری GC را انجام دهید .

Operation Master Roles-11 یا: FSMO این نقش ها بصورت پیشفرض بر روی اولین دامین کنترلر نصب شده در شبکه قرار می گیرند . حتما توجه کنید که هر کدام از این نقش ها به نوبه خود اهمیت خاصی در شبکه دارند و میتوانند در صورت بروز مشکل شبکه را دچار اختلال کنند ، در ساختار هایی که از چندین دامین بصورت درختی استفاده می شود شما می بایست نحوه قرار گیری این نقش ها را حتما در نظر داشته باشید و برای آنها طرح داشته باشید ، ممکن است نیاز به جابجایی برخی از این نقوش در شبکه وجود داشته باشد .

-12نصب ابزارهای اضافی : بعضی از ابزارهای مدیریتی ویندوز سرور 2000 و 2003 بصورت پیشفرض بر روی آن نصب نشده اند که میتوانید از آنها استفاده کنید ، یکی از این ابزارها به نام support tools می باشد که در پوشه support سی دی ارائه شده توسط مایکروسافت وجود دارد و به شما در مدیریت ویندوز سرور بسیار کمک خواهد کرد . اما در ویندوز سرور 2008 بسیاری از این ابزار ها به عنوان ابزار کابردی در ویندوز بصور پیشفرض نصب و راه اندازی شده است . به عنوان مثال GPMC یا Group Policy Management Console در ویندوز سرور 2003 به عنوان یک ابزار جانبی نصب میشد که در ویندوز سرور 2008 به عنوان یک ابزار داخلی وجود دارد که تنها راه مدیریت GPO ها در سرور 2008 است .

Backup -13 و: Restore  اگر از سیستم خود Backup می گیرید ، حتما Backup گیری از اطلاعات Active Directory را مد نظر داشته باشید ، همچنین از طریق کنسول GPMC از Group Policy هم یک Backup تهیه کنید البته اگر تنظیمات خاصی بر روی آن انجام داده اید .

:Functional Level-14برای استفاده از بیشترین امکانات ممکن از سیستم عامل ها می بایست Functional Level های موجود را اصطلاحا Raise کرده و به بالاترین سطح قرار دهید ، توجه کنید که این عمل یک طرفه است و راه برگشتی وجود ندارد ، پس مطمئن شوید که سروری با سیستم عامل ورژن قبلی در شبکه به عنوان Domain Controller فعالیت نمیکند .

-15امنیت : همیشه امنیت را هر چند در حداقل اعمال کنید ، Password Policy برای رمز های عبور تعیین کنید ، از کلیه عملیات ها سیستم Log برداری کنید و سایز پوشه log ها را افزایش دهید ، log ها را به امان خدا نگذارید و حتما آنها را چک کنید تا ا سلامت سیستم خود اطمینان حاصل کنید . قبل از انجام هرگونه تمهیدات امنیتی ابتدا آنرا در یک محیط تست ، آزمایش کرده و بعد از آزمایش در محیط عملیاتی اعمال کنید . همیشه امنیت را بصورت بومی سازی شده استفاده کنید و از قالب های آماده امنیتی بصورت یکجا در شبکه استفاده نکنید . مثلا از template های Group Policy موجود در MMC بصورت کامل استفاده نکنید و آنها را بومی سازی کنید و تست کنید .

-16فایروال ها : Domain Controller ها بصورت پیشفرض از قابلیتAllocation Dynamic Port استفاده می کنند و این در برخی اوقات میتواند در برقراری ارتباط بین خود دامین کنترلر و کلاینت ها و حتی Member Server ها مشکلاتی ایجاد کند .همیشه در صورت امکان استفاده از فایروال در شبکه و بر روی دامین کنترلر ها از قبل تمامی پورتهای مورد استفاده و سرویس های مورد نظر را مشخص نموده و بر اساس آن فایروال خود را تنظیم کنید .

-17طرح نگهداری : همیشه برای خود یک طرح نگهداری تهیه و تنظیم کنید ، به عنوان مثال برای خود تعداد و مدت زمانی را برای توجه و مرور log های موجود بر روی سرور ها اختصاص دهید . بویژه log ها موجود بر روی دامین کنترلر ها که از همه سرور ها مهمتر هستند . همیشه به یاد داشته باشید که log ها فقط برای نگهداری نیستند و باید آنها را در وهله های زمانی منظم چک کرد . حتما با استفاده از ابزارهای کاربردی وضعیت سلامتی سرور های خود ار کنترل کنید ، پیشنهاد من همیشه پیاده سازی یک سیستم مانیتورینگ تجهیزات و سرور ها بصورت مرکزی در شبکه است که کار شما را بسیار آسانتر خواهد کرد .