Windows-Server-active-directory-services

ویندوز سرور (جلسه هشتم) تمامی سرویس های اکتیو دایرکتوری

ویندوز سرور (جلسه هشتم) تمامی سرویس های اکتیو دایرکتوریReviewed by مهندس حسین فاطمی on Mar 19Rating: 5.0

در جلسه پیش آموزش نصب نرم افزار از طریق ویندوز سرور در شبکه را آموختیم به گونه ای که با یک بار نصب در ویندوز سرور بر روی تمامی سیستم های تحت آن شبکه نصب شود که از سرویس های  Active Directory Domain & Users بود اکنون وقت معرفی چهار سرویس دیگر از سرویس های پنج گانه اکتیودایرکتوری است. در ادامه با ما همراه باشید:

Active Directory Lightweight Directory

۱- سرویس Active Directory Lightweight Directory چیست؟

سرویس Active Directory Lightweight Directory یا به اختصار AD LDS یکی از سرویس‌های پنج‌گانه مرتبط با تکنولوژی اکتیودایرکتوری در ویندوز سرور ۲۰۰۸ است. در ویندوز سرور ۲۰۰۳ سرویسی مشابه AD LDS به نام Active Directory Application Mode یا به اختصار ADAM موجود بود که اکنون AD LDS با برتری‌هایی که نسبت به ADAM دارد جایگزین شده است. همان‌طور که از اسم این سرویس مشخص است سرویسی کوچک شده از سرویس AD DS است که در واقع مهم‌ترین وظیفه آن پشتیبانی از نرم‌افزارهایی است که به سرویس دایرکتوری برای فعالیت خود نیازمندند اما در شبکه بنا به دلایلی نصب AD DS را مناسب نمی‌دانیم و یا ترجیح می‌دهیم سرویس AD DS دست نخورده باقی بماند.
یک مثال پرکاربرد، نرم افزار Microsoft Exchange Server 2007 است که تمام اطلاعات کاربران در این برنامه با سرویس دایرکتوری نگه‌داری می‌شود. زمانی که Microsoft Exchange Server 2007 را نصب می‌کنید، در AD DS Schema مواردی را اضافه می‌کند که تقریبا شاید حجم را به ۲ برابر می رساند. تغییر روی Schema شاید کار جالبی نباشد چرا که این تغییر همیشگی است و غیرقابل حذف شدن است، هرچند می‌توان آن را غیر فعال کرد.
از طرفی، روز به روز شاهد افزایش تعداد برنامه هایActive Directory integrated (برنامه های یکپارچه با اکتیودایرکتوری) هستیم که بسیاری از آن‌ها Schema را ویرایش می‌کنند. با توجه به آنکه ممکن است نخواهید یک برنامه Schema را در محیط اکتیو دایرکتوری شما ویرایش کند، راهکار AD LDS بسیار راهکار خوبی است. البته در آینده در خصوص بهترین طراحی اکتیو دایرکتوری و سناریوهای مرتبط با هر کدام از سرویس های پنج‌گانه صحبت خواهم کرد.
در هر حال زمانی که قصد نصب یک نرم افزار که Schema را تغییر می‌دهد دارید باید با دقت کافی عمل کنید چرا که سرویس اکتیو دایرکتوری برای سالیان بسیاری در محیط کاری شما باقی می‌ماند. حتی با به روز شدن نسخ ویندوز سرور و سرویس اکتیو دایرکتوری، از مهاجرت به نسخه جدید تر ویندوز و یا Upgrade استفاده خواهید کرد بنابراین اگر تغییری در Schema ایجاد شود ممکن است تا بیش از یک دهه باقی بماند.
حال ممکن است از نرم افزار اتوماسیون اداری استفاده می‌کنید که Schema را ویرایش می‌کند، با عوامل مختلفی ممکن است آن نرم افزار دیگر تولید نشود و یا در هر عوامل دیگری ایجاد شود که مجبور خواهید شد از نرم افزار دیگری استفاده کنید. همانند آن‌که آن برنامه دیگر نیازهای سازمان شما را برآورده نمی‌کند و به استفاده از نرم افزار دیگری روی می آورید. اکنون با توجه به آنکه تغییرات روی Schema قابل حذف نیستند، بسیاری از اطلاعات بیهوده نگه‌داری می شوند، زمان replication بالا می رود و… .

Active Directory Certificate Services

۲- Active Directory Certificate Services  چیست؟
سازمان ها با استفاده از AD CS می‌توانند از امضای دیجیتال و زیرساخت های کلید عمومی برای تشخیص هویت استفاده کنند. پشتیبانی تشخیص هویت کاربران با استفاه از Smart Card (کارت هوشمند) و پشتیبانی از نرم افزار ها همانند Encrypted File System یا EFS؛ Internet Protocol Security یا IPSec و… به عمل می‌آید. AD CS یک روش موثر و ایمن برای مدیریت مجوز (Certificate) ها ارائه می‌دهد.

Active Directory Rights Managment Services

۳- Active Directory Rights Managment Services چیست؟
Active Directory Rights Management Services یا به اختصار AD RMS یکی از سرویس های Active Directory است که جهت حفاظت از حقوق معنوی اطلاعات و دارایی های سازمان به کار گرفته می‌شود. گزارشات مالی، مشخصات و طراحی های محصولات، فایل های مولتی مدیا و ایمیل های محرمانه مثال های مناسبی از این موارد هستتند. AD RMS از هر نوع داده باینری محافظت می‌کند و حقوق استفاده از اطلاعات همواره با اطلاعات باقی می ماند به عبارت دیگر، حتی خارج از شبکه سازمان اطلاعات محافظت شده باقی می مانند.
علاوه بر یکپارچگی با Active Directory Domain Services این سرویس با Active Directory Certificate Services برای زیرساخت کلید عمومی و با Active Directory Federation Services برای پشتیبانی از حفاظت حقوق در ماورای فایروال یکپارچه شده است.
اطلاعات AD RMS شامل تنظیمات و log ها در یک Database ذخیره می گردد که در محیط آزمایشی می‌توانید از Windows Internal Database یا WID استفاده کنید اما در محیط عملیاتی توصیه می گردد از یک SQL Server روی یک سرور جداگانه استفاده کنید. این امر سبب می گردد امکان Load balancing برای سرورهای AD RMS به وجود آید و در صورت استفاده از WID از آنجا که اطلاعات تنها به صورت local قابل دسترس هستند این امکان وجود ندارد. همچنین IIS 7.0 برای Web Services و Microsoft Message Queuing برای تراکنش‌ها لازم اند. AD RMS برای تشخیص هویت کاربران به AD DS نیاز دارد.همچنین از Microsoft Federation Gateway نیز پشتیبانی به عمل می‌آید. در تصویر زیر نحوه ارتباط این سرویس ها با هم به خوبی مشخص شده است.

adlds1

Cluster ها شامل یک یا چند سرور AD RMS هستند.به صورت پیش فرض، با نصب اولین سرور AD RMS یک Root Cluster ایجاد می‌گردد. یک Root Cluster هم عملیات Certification و هم Licensing (دو عملیاتی که AD RMS انجام می‌دهد) را بر عهده خواهد داشت. امکان ایجاد سرورهای Licensing Only وجود دارد. Cluster ها تنها زمانی در دسترس قرار می‌گیرند که database روی یک سرور دیگر نصب شده باشد. هر زمان که یک سرور AD RMS جدید ایجاد می‌کنید، آن سرور به cluster مربوطه یکپارچه می گردد. مایکروسافت به دلایل زیر توصیه می‌کند تنها از root role استفاده گردد:
) Root Cluster می‌توانند تمام عملیات مربوط به AD RMS را انجام دهند).
سرورهای Root و licensing Only به یکدیگر غیر مرتبط اند و نمی‌توانند با یکدیگر Load Balance شوند در حالی که اگر تمام سرورها root باشند با یکدیگر می‌توانند load balance گردند.
برای مدیریت AD RMS چهار گروه کاربری به صورت Local به صورت پیش فرض، ایجاد می گردد. این گروه‌ها عبارت اند از:

A- AD RMS Enterprise Administrator
B- AD RMS Template Administrator
C- AD RMS Auditors
D- AD RMS Services

Active Directory Federation Services

۴- Active Directory Federation Services  چیست؟
با ظهور Active Directory Federation Services در ویندوز سرور ۲۰۰۸ باری دیگر کنترل روی شبکه داخلی از خارجی دگرگون شد. AD FS در واقع کار کردی مشابه روابط Trust را دارد اما نه با استفاده از LDAP با استفاده از HTTPS و پورت رایج ۴۴۳٫ برای این منظور AD FS وابسته به AD CS است تا برای هر سرور در پیاده سازی AD FS یک Certificate صادر کند. AD FS همچنین با گسترش AD RMS (Active Directory Rights Management Services) باعث مدیریت ساده تر روی Partners می‌شود.

adlds2

اساسا؛ AD FS وابسته به AD DS داخلی هر partner است. زمانی که یک کاربر می خواهد به یک برنامه یکپارچه با AD FS دسترسی پیدا کند، AD FS درخواست را به AD DS داخلی ارجاع می‌دهد و اگر کاربر مجوز دسترسی لازم را داشته باشد، برای استفاده از برنامه خارجی مجوز لازم صادر می‌شود. مزیت این روش آن است که هر سازمان همکار (Partner) تنها لازم است که اطلاعات تعیین هویت در شبکه داخلی خودش را مدیریت کند و AD FS بقیه کار ها را انجام می‌دهد. به طور خلاصه؛ زمانی که نیاز به Partnership با یک سازمان دیگری وابسته به دایرکتوری داخلی باشد، AD FS پیاده سازی می‌شود.
به عبارت جامع تر، Active Directory Federation Services یک موتور SSO یا Single Sing-On است که امکان Authentication برای کاربران یک نرم افزار تحت وب را فراهم می آورد. SSO یک خاصیت سیستم های کنترل دسترسی است که در آن کاربر یک بار logon کرده و برای دسترسی به سایر سیستم های مربوط (و نه وابسته) نیاز به logon مجدد ندارد. استفاده از SSO مزایای بسیار زیادی همانند کاهش هزینه، افزایش بهره بری و صرفه جویی در وقت را دارد. مزایای مدیریتی AD FS بسیار مشهود است. با استفاده از AD FS نیازی به استفاده از AD LDS برای Primeter Network نیست و تنها عملیات مدیریتی روی یک دایرکتوری انجام می‌شود. کاربران تنها لازم است یک کلمه عبور را به یاد داشته باشند و احتمال فراموش کردن کلمه عبور کاهش می یابد. ضمن آنکه تنها یک بار کلمه عبور از کاربر سوال خواهد شد.
برای روابط B2B – Business to Business استفاده از AD FS می‌تواند بهترین شکل ممکن پیاده سازی باشد. معمولا کمپانی های این سناریو ها به شکل زیر هستند (در یکی از دو دسته زیر جای می گیرند):
الف: Resource Organization زمانی که یک کمپانی منابعی همانند یک وب سایت را در دسترس کمپانی دیگر قرار می‌دهد از AD FS استفاده می‌کند. در این حالت این چون این کمپانی Shared Resource را روی perimeter Network خود قرار می‌دهد، Resource Organization گفته می‌شود.
ب: Account Organization زمانی که یک کمپانی در partnership با یک resource organization قرار می‌گیرد، یک Account Organization تلقی می‌شود چون؛ این کمپانی باید اکانت های کاربری را در طراحی SSO مدیریت کند تا به resource مورد نظر دسترسی پیدا کنند.
AD FS همچنین یک متد Authentication دیگری را پشتیانی می‌کند. در طراحی یک Web SSO کاربران می‌تواند از هر مکانی با استفاده از اینترنت authenticate شوند.

چه طور بود؟ سوالی پیرامون این سرویس ها برای تان پیش آمده است؟ آن را در بخش دیدگاه ها مطرح کنید.

0 پاسخ

ارسال یک پاسخ

در گفتگو ها شرکت کنید.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *