در این مقاله، خدمات AD DS، DNS و DHCP را توضیح میدهیم و نحوه پیادهسازی این ویژگیها در محیط ویندوز سرور را بررسی میکنیم. در بخش اول این مقاله، پیکربندیهای ابتدایی برای ویندوز سرور و رایانه کلاینت ویندوز را شرح میدهیم. سپس در بخشهای بعدی به خدمات AD DS و DNS و نحوه پیادهسازی آنها میپردازیم. در نهایت، سرور DHCP را پیکربندی کرده و عملکرد آن را آزمایش خواهیم کرد.
امیدوارم این مقاله به گونهای نوشته شود که برای مبتدیان سادهتر باشد. در برخی بخشها تقریباً تمام مراحل را ذکر میکنم. قصد دارم در مقالات آینده این سری به پیکربندیهای ویندوز سرور بیشتر پرداخته و جزئیات بیشتری را بررسی کنم. در این پست، پایهگذاری برای محیط ویندوز سرور را انجام میدهم.
پیکربندیهای پیشنیاز برای رایانه کلاینت ویندوز
برای تغییر نام میزبان رایانه کلاینت خود، روی آیکن “This PC” راستکلیک کرده، گزینه Properties را انتخاب کنید و نام میزبان را به “FCT-CL1” تغییر دهید.
پیکربندیهای ابتدایی برای ویندوز سرور
اول از همه، باید مدیر سرور (Server Manager) را در ویندوز سرور راهاندازی کنیم. سپس نام میزبان سرور را به “FCT-DC1” تغییر میدهم و پس از آن، منطقه زمانی را به UTC+5:30 تغییر میدهم زیرا سرور من در سریلانکا قرار دارد. بعد از آن، باید به دنبال بروزرسانیهای موجود بگردیم و آنها را نصب کنیم. بروزرسانیهای سیستمعامل برای سرورها بسیار مهم هستند تا آسیبپذیریها را برطرف کنند، امنیت را افزایش دهند و با گنجاندن رفع اشکالات و بهبودها، عملکرد بهینه را تضمین کنند.
سپس باید پیکربندی IPv4 را تغییر دهیم. در ادامه، به پیکربندی اترنت سرور بروید. سپس IPv6 را غیرفعال کنید و به ویژگیهای IPv4 بروید. در اینجا، آدرس IPv4 را به صورت استاتیک تعریف میکنم. آدرس IP را به 172.16.0.5/24 تنظیم کرده و دروازه پیشفرض را به 172.16.0.1 تغییر میدهم. تنظیم IP سرور DNS به 127.0.0.1 برای این است که ماشین محلی خود به عنوان حلکننده DNS تعیین شود، که به آن اجازه میدهد درخواستهای DNS را به طور داخلی پردازش کرده و پیکربندی برنامههای در حال اجرا روی همان سرور را سادهتر کند.
در این محیط آزمایشی، قصد دارم فقط از شبکه داخلی استفاده کنم، بنابراین یک آداپتور شبکه داخلی به ماشین مجازی خود اضافه کردم.
پس از آن، باید سرور را مجدداً راهاندازی کنیم. هنگام راهاندازی مجدد سرور، پیروی از روشهای صحیح مهم است تا دلیل راهاندازی مجدد سرور را ذکر کنیم. زمانی که خاموش کردن را با دلیل مشخصی آغاز میکنید، این اطلاعات در لاگهای رویداد ثبت میشود. دلیل مشخص شده میتواند برای عیبیابی، حسابرسی و نگهداری سوابق فعالیتهای سرور مفید باشد.
ابتدا باید به Manage > Add roles and features برویم. سپس ویژگیهایی را که میخواهیم اضافه کنیم، انتخاب میکنیم. من سرویسهای Active Directory Domain Services، DNS و DHCP را انتخاب کرده و آنها را نصب میکنم.
پیکربندی AD DS، DNS و DHCP
Active Directory یک سرویس دایرکتوری است که توسط مایکروسافت توسعه یافته و سیستم متمرکز و استانداردی برای مدیریت و سازماندهی منابع شبکه مانند کاربران، کامپیوترها و دستگاههای دیگر فراهم میکند. سرویسهای دایرکتوری دامنه فعال (AD DS) یک نقش در ویندوز سرور است که به مدیران این امکان را میدهد که دامنهها، کاربران و اشیاء را در داخل یک شبکه ایجاد و مدیریت کنند. AD DS خدمات احراز هویت و مجوزدهی را فراهم میکند که به کاربران اجازه میدهد وارد شبکه شوند و به منابع بر اساس مجوزهای خود دسترسی پیدا کنند.
پیادهسازی AD DS
پس از نصب سرویس AD DS روی سرور ویندوز، میتوانیم پیامی برای ارتقاء سرور به کنترلر دامنه در Server Manager مشاهده کنیم. روی لینک کلیک میکنیم تا پیکربندی کنترلر دامنه را انجام دهیم. به عنوان اولین گام، گزینه افزودن یک جنگل جدید را انتخاب میکنیم زیرا در اینجا هیچ کنترلر دامنه یا جنگلی وجود ندارد. سپس یک دامنه ریشه به نام “fct.ac.lk” ایجاد میکنیم. پس از آن روی next کلیک میکنیم.
در اینجا، سطح عملکرد جنگل و سطح عملکرد دامنه بهطور پیشفرض به عنوان ویندوز سرور ۲۰۱۶ انتخاب شده است. سطح جنگل در Active Directory مرزهای امنیتی و مدیریتی برای دامنههای متعدد را تعریف میکند، در حالی که سطح دامنه تنظیمات و پیکربندیهای خاص دامنههای فردی درون جنگل را مشخص میکند. در Active Directory، وقتی سطح جنگل و سطح دامنه به ویندوز سرور ۲۰۱۶ تنظیم میشود، ویژگیها و قابلیتهای جدید در دسترس برای این نسخه خاص ویندوز سرور را برای کل جنگل یا دامنههای فردی فراهم میکند.
این سرور اولین کنترلر دامنه در این جنگل است، به همین دلیل DNS و کاتالوگ جهانی (Global Catalog) بهطور پیشفرض انتخاب شدهاند. ما اجازه میدهیم که سرور DNS انتخاب شود زیرا از سرور DNS استفاده کردهایم.
این سرور به عنوان کنترلر دامنه فقط خواندنی (RODC) استفاده نمیشود، بنابراین اجازه میدهیم که این گزینه انتخاب نشود. RODC یک نسخه فقط خواندنی از پایگاه داده Active Directory را نگهداری میکند، خدمات احراز هویت و دایرکتوری را ارائه میدهد و در عین حال خطرات امنیتی را در شعبات یا محیطهای کمتر امن به حداقل میرساند.
پس از آن، یک رمز عبور قوی مناسب وارد کرده و روی next کلیک میکنیم.
این گزینه برای ایجاد واگذاری DNS از پیش انتخاب نشده است. واگذاری DNS فرآیند اختصاص مسئولیت یک زیر دامنه به مجموعهای دیگر از سرورهای نام است، که امکان مدیریت نامهای دامنه و رکوردهای مرتبط آنها را در چندین سرور DNS برای بهبود مقیاسپذیری و سازماندهی توزیع میکند.
ما نمیتوانیم واگذاری ایجاد کنیم زیرا دسترسی لازم برای اصلاح رکوردهای DNS در سطح والد را نداریم چون هیچگونه اختیاری بر روی ناحیه والد نداریم. سرورهای DNS ناحیه والد مسئول نگهداری اطلاعات واگذاری هستند و مشخص میکنند که کدام سرورهای نام برای زیر دامنه واگذار شده معتبر هستند.
سپس دوباره روی next کلیک میکنیم. ما fct.ac.lk را به عنوان دامنه ریشه انتخاب کردهایم، به همین دلیل نام دامنه NetBIOS به صورت FCT نشان داده میشود. اگر بخواهیم میتوانیم آن را تغییر دهیم، اما من تغییر نمیدهم و روی next کلیک میکنم.
بعد از آن، مکان پایگاه داده Active Directory، فایلهای لاگ و پوشه SYSVOL (پوشه سیستم) نمایش داده میشود. ما میتوانیم آنها را تغییر دهیم، اما من اجازه میدهم که به صورت پیشفرض باقی بمانند. روی next کلیک میکنیم.
بعد از بررسی تنظیمات خود، روی next برای نصب کلیک میکنیم. سپس روی دکمه نصب کلیک کرده و پس از تکمیل نصب، پنجره را میبندیم. سپس سرور به طور خودکار راهاندازی مجدد میشود.
سپس میتوانیم مشاهده کنیم که سرور با موفقیت به یک کنترلر دامنه ارتقا یافته است و میتوانیم با استفاده از رمز عبور وارد شویم. سپس مشاهده میکنیم که کنسولهای مدیریت Active Directory در منوی ابزارهای سرور منیجر در دسترس هستند. ما میتوانیم از این کنسولها در آینده نزدیک استفاده کنیم.
DNS (Domain Name System) چیست؟
DNS (سیستم نام دامنه) به نقشه و سرویسی اشاره دارد که برای حل و فصل نام دامنه منابع شبکه استفاده میشود. DNS یک جزء اساسی از اینترنت و شبکههای محلی است که نامهای دامنه قابل خواندن برای انسان را به آدرسهای IP تبدیل میکند که رایانهها برای شناسایی یکدیگر در شبکه استفاده میکنند. در این نمایش، نام دامنه ما fct.ac.lk است.
اجرای DNS
ما ابزارهای مدیریت DNS را در مرحله قبلی نصب کردیم. حالا شروع به پیکربندی سرور DNS میکنیم. ابتدا به Tools > DNS میرویم تا کنسول مدیریت DNS را باز کنیم. میتوانیم سرور FCT-DC1 را مشاهده کنیم که سرور ما است و میتوانیم آن را گسترش دهیم تا فهرست ناحیهها را ببینیم. در حال حاضر، هیچ ناحیهای در “forward lookup zones” مشاهده نمیکنیم. در این زمان، ما سرور خود را “سرور کش” نامیدهایم.
ناحیه جستجوی پیشرو (forward lookup zone) برای حل و فصل نامهای میزبان به آدرسهای IP استفاده میشود، و ناحیه جستجوی معکوس (reverse lookup zone) برای حل و فصل آدرسهای IP به نامهای میزبان استفاده میشود. با این دو ناحیه، میتوانیم یک سرور با عملکرد کامل DNS راهاندازی کنیم.
روی ناحیه جستجوی معکوس کلیک راست کرده و گزینه “ناحیه جدید” را انتخاب کنید. پس از آن، باید نوع ناحیهای که میخواهیم ایجاد کنیم را انتخاب کنیم. به طور پیشفرض، ناحیه اصلی انتخاب شده است. یک ناحیه اصلی شامل نسخه معتبر دادههای ناحیه است؛ یک ناحیه ثانویه یک نسخه فقط خواندنی از ناحیه اصلی برای تحمل خطا است؛ و یک ناحیه استاب فقط شامل رکوردهای منابع ضروری برای ارجاع درخواستها به سرورهای معتبر در یک دامنه DNS دیگر است. در اینجا ما ناحیه اصلی را انتخاب میکنیم.
میتوانیم ببینیم که ناحیه در دایرکتوری فعال (Active Directory) قبلاً انتخاب شده است زیرا ما AD DS را در مراحل قبلی نصب و پیکربندی کردهایم. در غیر این صورت، خاکستری شده و غیرفعال خواهد بود. به عبارت دیگر، آن جعبه فقط زمانی در دسترس است که یک ناحیه DNS را در کنترلر دامنه ایجاد کنیم. آن را به صورت پیشفرض نگه میدارم و روی “بعدی” کلیک میکنم.
ما قبلاً دامنه fct.ac.lk را در اینجا داریم و همچنین یک سرور DNS به کنترلر دامنه اضافه کردهایم. نیازی به قابلیت ویندوز 2000 نداریم، بنابراین آن را انتخاب کرده و روی “بعدی” کلیک میکنیم.
منطقه جستجوی معکوس IPv4 را انتخاب کرده و روی “بعدی” کلیک کنید.
پس از آن، شناسه شبکه را به عنوان 172.16.0 وارد میکنیم. شناسه شبکه به بخش شبکهای IP اطلاق میشود.
گزینه “فقط بروزرسانیهای داینامیک امن را مجاز کن” را انتخاب میکنیم زیرا میخواهیم امنیت را افزایش دهیم و از بروزرسانیهای غیرمجاز یا مخرب به رکوردهای معکوس DNS جلوگیری کنیم. این کار برای Active Directory توصیه میشود.
سپس به ویژگیهای fct-dc1 در پوشهی “Forward Lookup Zone” بروید و گزینهی “Update associated pointer (PTR) record” را تیک بزنید، زیرا این گزینه اطمینان میدهد که رکورد معکوس مربوطه (PTR record) به طور خودکار زمانی که رکورد جستجوی رو به جلو (A record) تغییر یا اضافه میشود، بروزرسانی شود. این کار به حفظ سازگاری بین رکوردهای DNS رو به جلو و معکوس برای هاست مشخص شده کمک میکند.
ما میتوانیم یک اشارهگر (PTR) را به نواحی جستجوی معکوس اضافه شده ببینیم.
DHCP چیست؟
DHCP مخفف پروتکل پیکربندی میزبان پویا است. این یک پروتکل شبکه است که به طور خودکار آدرسهای IP و سایر پارامترهای پیکربندی شبکه را به دستگاههای موجود در شبکه اختصاص میدهد.
DHCP چهار مرحله اصلی برای اختصاص آدرسهای IP به دستگاهها دنبال میکند.
- کشف – کلاینت پیامی را برای کشف سرور DHCP پخش میکند.
- پیشنهاد – سرورهای DHCP آدرس IP و سایر پارامترهای پیکربندی مانند ماسک زیرشبکه، دروازه پیشفرض و سرورهای DNS را پیشنهاد میدهند.
- درخواست – کلاینت یک پیشنهاد را انتخاب کرده و به طور رسمی درخواست میکند تا از آدرس IP استفاده کند.
- تأیید – سرور DHCP با تأیید پاسخ میدهد و تأیید میکند که آدرس IP به دستگاه اختصاص داده شده است.
این فرآیند به مدیران شبکه اجازه میدهد که آدرسهای IP را به طور پویا مدیریت و اختصاص دهند، بدون اینکه مجبور به پیکربندی دستی هر دستگاه با یک آدرس IP استاتیک باشند.
پیکربندی DHCP
در اینجا، ما قبلاً نقش سرور DHCP را در مرحله قبلی نصب کردهایم و IP استاتیک را به سرور اختصاص دادهایم. سپس ویزارد پیکربندی پس از نصب DHCP را باز میکنیم.
در اینجا، از اعتبارنامههای کاربر بهعنوان FCT\Administrator استفاده میکنیم، روی “Commit” کلیک میکنیم و سپس میبینیم که گروههای امنیتی با موفقیت ایجاد شدهاند و احراز هویت سرور DHCP با موفقیت انجام شده است. پس از آن، این پنجره را ببندید.
سپس باید دامنه DHCP را ایجاد کنیم. بنابراین، به Tools > DHCP میرویم و کنسول DHCP را باز میکنیم. سپس میتوانیم IPv4 را در سرور fct-dc1 خود ببینیم. حالا روی آن راستکلیک کرده و گزینه “Create New Scope” را انتخاب میکنیم. به جای این، میتوانیم دامنه را با رفتن به Action > Create Scope نیز ایجاد کنیم.
سپس یک نام برای دامنه وارد میکنیم. من از “IP Pool” استفاده کردم. همچنین میتوانیم یک توضیح برای آن اضافه کنیم. سپس روی گزینه “Next” کلیک میکنیم و پس از آن باید محدوده آدرس IP که میخواهیم به کامپیوترهای مشتری اختصاص دهیم را مشخص کنیم. در این دمو، محدوده IP را از 172.16.0.10 تا 172.16.0.100 انتخاب میکنم. ماسک زیرشبکه من باید 255.255.255.0 باشد. طول بیت شبکه در آدرس IPv4 به صورت خودکار روی 24 تنظیم خواهد شد. سپس روی گزینه “Next” کلیک میکنیم.
سپس از ما میپرسند که آیا میخواهیم تنظیمات DHCP را در حال حاضر پیکربندی کنیم. اگر بخواهیم تنظیمات DHCP را اکنون پیکربندی کنیم، باید گزینه بله را انتخاب کنیم؛ در غیر این صورت، خیر. در این دمو، ما میخواهیم آدرس IP گیتوی پیشفرض، آدرس IP سرور DNS و جزئیات دامنه خود را پیکربندی کنیم. بنابراین، من گزینه بله را انتخاب کردم. سپس روی گزینه “Next” کلیک میکنیم.
سپس، آدرس IP گیتوی پیشفرض (روتر) خود را بهعنوان 172.16.0.1 اضافه میکنیم. روی گزینه “Next” کلیک میکنیم.
سپس میبینیم که دامنه والد بهطور پیشفرض بهعنوان “fct.ac.lk” اضافه شده است و آدرس IP سرور DNS نیز بهعنوان 172.16.0.5 اضافه شده است. دلیل این موضوع این است که ما قوانین سرور DHCP را بر روی کنترلکننده دامنه نصب و پیکربندی کردهایم. اگر این اطلاعات بهطور خودکار اضافه نشده باشد، میتوانیم آن را بهطور دستی اضافه کنیم، بهطوری که نام سرور را بهعنوان FCT-DC1.fct.ac.lk وارد کرده و روی گزینه “Resolve” کلیک کنیم. سپس میبینیم که به آدرس IP 172.16.0.5 حل میشود. حالا آن را اضافه کرده و روی “Next” کلیک میکنیم.
اگر سرورهای WINS دارید، میتوانید اطلاعات IP آنها را در اینجا اضافه کنید. در این آزمایش من سرور WINS ندارم، بنابراین آن را خالی میگذارم و روی “Next” کلیک میکنم. سپس از من خواسته میشود که محدوده (scope) خود را فعال کنم، بنابراین گزینه “Yes” را انتخاب کرده و محدوده خود را فعال میکنم. سپس روی “Next” و بعد از آن روی “Finish” کلیک میکنم تا پیکربندیها به پایان برسد.
اکنون میبینیم که محدوده (scope) ما با موفقیت ایجاد شده است. در اینجا، میتوانیم محدوده IP خود را در پوشه Address Pool مشاهده کنیم و جزئیات روتر، سرور DNS و نام دامنه DNS را در پوشه Scope Options مشاهده میکنیم. همچنین، میتوانیم آدرسهای IP که اجاره داده شدهاند را در پوشه Address Leases ببینیم.
اکنون به رایانه کلاینت باز میگردیم و سعی میکنیم آدرس IP را از سرور DHCP دریافت کنیم. روی دکمه شروع راستکلیک کرده و گزینه Network Connections را انتخاب میکنیم، سپس به Change Adapter Options > Ethernet Adapter رفته و به Properties میرویم. سپس گزینه Internet Protocol Version 4 (TCP/IPv4) را انتخاب کرده و وارد Properties میشویم. سپس گزینه Obtain an IP address automatically را انتخاب میکنیم. حالا رایانه کلاینت آدرس IP، آدرس پیشفرض دروازه (default gateway) و آدرس سرور DNS را از سرور DHCP دریافت میکند.
سپس رایانه کلاینت ما (FCT-CL1) یک آدرس IP از سرور DHCP اجاره میکند. اکنون میتوانیم این را با رفتن به وضعیت اترنت تأیید کنیم. برای این کار روی آداپتور اترنت راستکلیک کرده و گزینه Status را انتخاب میکنیم، سپس جزئیات اتصال شبکه را بررسی میکنیم. در اینجا میتوانیم مشاهده کنیم که DHCP فعال است و آدرسهای IP سرور DHCP و DNS و همچنین دروازه پیشفرض (default gateway) به آدرس 172.16.0.5 تنظیم شدهاند. اطلاعات بیشتری در مورد DNS و DHCP وجود دارد.
با مراجعه به پوشه Address Leases در پوشه Scope بر روی سرور DHCP، میتوانیم آدرس IP 172.16.0.20 را مشاهده کنیم که یک آدرس IP در محدوده آدرسهای ما است و به طور خودکار برای رایانه کلاینت FCT-CL1 اجاره داده شده است. همچنین اطلاعاتی در مورد این اجاره مانند زمان انقضای اجاره را میتوانیم مشاهده کنیم.
همچنین میتوانیم از خط فرمان در رایانه کلاینت برای بررسی اتصالات و عیبیابی استفاده کنیم. دستور ping را به fct.ac.lk (کنترلکننده دامنه) اجرا کنید. در این صورت، مشاهده میکنیم که ping با موفقیت انجام شده است، زیرا ویژگیهای DNS و DHCP را به درستی پیکربندی کردهایم. اگر 100% خطا در ping دریافت کردید، معمولاً مشکل در پیکربندی DNS یا DHCP وجود دارد یا ممکن است مشکل فیزیکی مربوط به شبکه باشد.
