LLMNR " Link-Local Multicast Name Resolution "
قابلیتی در ویندوز های جدید بعد از ویندوز ویستا معرفی شد ، این قابلیت برای پرس و جو های کوئری های DNS ایجاد شده و با IPv6 - v4 کار می کند یکی از خوبی های آن خیلی سرعت بالایی دارد و چون IP Security داخل ان انجام می شود امنیت بالایی دارد و در شبکه های ورک گروپ کار می کند بدی که دارد عدم کار در ویندوز های قدیمی تر از ویستا است - این قابلیت نیازی به تنظیمات ندارد
پسورد در ویندوز به صورت پیش فرض پالیسی هر 42 روز اکسپایر ( باطل شدن ) می شود و این پسورد را کاربر بیش از 24 بار نمی تواند استفاده کند این عبارت معادل 24 ضربدر 42 میباشد ... یغنی شما پسورد 123456 رو نمیتونید مدام استفاده کنید ازین خبرا نیست !!!
حالا چرا Functional level حدلکثر ورژن ویندوز سرور نباشد ممکن شما سروری داشته باشین که یک برنامه قدیمی رو آن فعال باشد مثلاً اگر لازم هست یکی از دامین ها ویندوز سرور 20008 باشد شما مجبورید فنکشنال لول برای فارست هم روی 2008 قرار بدهید همیشه بین فارست و دامین رابطه برقرار است توجه داشته باشید که اگر قصد دارید تا فانکشن لول در فارست افزایش پیدا کند باید تمامی دامین های داخل فارست را هم افزایش بدهید DFL>=FFL
برای مشاهده این مقدار 10 می توانید در کنسول AC اکتیودایرکتوری وارد ده از تب سربرگ View رو بزنید و گزینه Advanced Features و حالا روی اسمه دامین ( دومین ) Properties بگیرید و در سربرگ Attribute Editor و در این لیست کافیه روی یکی از پارامتر ها کلید و با کلید M کیبورد دنباله پارامتر ms-DS-Machine-Account-Qouta مشاهده می کنید این پارامتر پیش فرض 10 است که این مقدار قابل ویرایش است
DNS Server در ویندوز یکی از مهمترین اجزای یک DC است در این آموزش اجزای مهم یک DNS Server مایکروسافت رو شرح می دهیم :
- فرایند Forward Lookup Zone ---> تبدیل اسامی FQDN ( آن دسته از اسامی سلسه مراتبی ) به IP ادرس
- فراید Reverse Lookup Zone ---> فرایند Ip آدرس به FQDN است
دارای نوعی Zone هستند به نام های :
- Primary : که خاصیت Read و Write رو دارن و با اولین نصب یک DNS سرور ساخته می شوند
- Secondary : که فقط Read-only هست و محل نگهداری دیتاهای Zone ها است
- Stub Zone : یک نوع از Secondary zone است که فقط رکورد هایی نظیر SOA - NS و Glue ( که به NS رکورد ربط دارد )
توجه کنید که Zone ها دو دسته هستند استاندارد و Ad-Integrate ( مستقیم با اکتیودایرکتوری کار می کنند )
توجه : بهترین دستور برای صحت درستی کارکرد DNS Server دستور nslookup است
Domain Local : اصلی ترین عامل امنیتی در این مبحث اهمیت اختصاص حق دسترسی و مجوز ها است هر چند گروه هایی مثله یونیورسال و گلوبال هم داریم اما مایکروسافت پیشنهاد میکند که بهترین تمرین و بررسی حق دسترسی استفاده از یک گروه است که این حقوق دسترسی در آن مشترک اعمال شود ، گروه های یونیورسال و گلوبال می توانند به این گروه اضافه شوند چنین رایندی را برای به خاطر سپردن راحت تر AGDLP و AGGUDLP می نامند در حالت AGDLP که تنها یک دامین داریم کاربران برای دسترسی به منابع شبکه و حق دسترسی به دسته های زیر تقسیم می شوند :
هنگامی که یک کاربر مثلا helpdesk میسازید این کاربر در شبکه دامینی همیشه یک کاربر معمولی خواهد بود و دسترسی ادمینی به این سیستم ها ندارد ، اشتباه رایج این است که پسورد Administrator را به هلپ دسک ها بدیم یا آنها را عضو administrator domain کنیم ، گروهی را در اکتیودایرکتوری بسازید و آنها را عضو لوکال گروه های کلاینت ها قرار می دهیم
- اگر کلاینت ها تعدادشان زیاد نیست می توانید کاربر یا کاربران هلپ دسک را به صورت لوکالی در گروه administrators ویندوز کلاینت ها اضافه کنید
Netbios یک اسم تک بخشی یا فلت است که بعضی از خدمات قدیمی و ترجمه IP به اسم رو انجام میده ، و حداکثر 15 کاراکتر است ، در ویندوز هنگامی که مثلاً یک فایل یا فولدر شر شده به نام Foldershare\\ رو جستجو می کنیم چندین مرحله برای اینکه فایل یا فولدر اشتراکی باز بشه اعمال میشود :
- LLMNR >>> Link-local multicast name resolution >>> تنها در داخل شبکه کار می کند از ویندوز ویستا به بعد معرفی شد و به صورت پیش فرض فعال است ، به صورت مالتی کست و با IP >>> 224.0.0.252 میباشد ( در ویندوز سرور 2008 وقتی DNS >>> 127.0.0.1 رو تنظیم می کنید این بخش فعال میشد ) در واقع اسامی resolve شده LLMNR در کش Cache >>> Netbios ذخیره نمی شوند برای غیر فعال کردن این امکان هم از Group Pulicy ویندوز باید اقدام کرد
شکلی از یک دامین :
فارست Forest : جنگل رو فراموش کنید !!! داریم مهندسی مایکروسافت کار می کنیم ، در واقع یک فارست ساختار اکتیو دایرکتوری یک سازمان و ... است بالاترین ساختار شبکه مایکروسافتی است ( از یک یا بیشتر دامین ایجاد شده است که بین آنها اعتماد و ارتباد و Trust وجود دارد ) داخل فارست سه مورد مشترک وجود دارد Schema ( اسکما یا شِما یا اسکیما ) : ساختار خام اکتیودایرکتوری است یعنی اکتیودایرکتوری بعد نصب - این دیتابیس در کل فارست مشترک و بین دامین ها قابل انتقال است و در نرم افزارهایی که با AD همسازی دارند نظیر اکسچنج قابلیت این رو دارن که AD خام رو تغییر دهند و در بخش Properties کاربران و ... تب هایی رو اضافه کند این همان عمل اسکما است دومین مورد Global Catalog یا GC : دیتابیسی است که تمامی آبجکت ها و اتریبیوت های مهم را نگهداری می کند اولین DC شبکه همه GC است اما می توان DC های دیگر هم GC کنیم جستجوی کاربران و ... از هر دومین از قابلیت های آن میباشد ، این کاربران باید عضو گروه Universal Groups باشند که در اموزش ها توضیح دادم سومین حالت مشترک گروهی به نام Enterprise Administrators هست که به اولین Administrator در ساختار فارست هستند در واقع نام فارست رو اینترپرایز هم می گویند
Domain : مجموعه ای از احرازهویت یکپارچه و مدیریت سراسری است
Tree : از یک یا چند دومین تشکیل شده که با ی سری اسم با توجه به Parent ها به صورت Suffix برایشان تعریف می شود مثلاً اگر دامین یا parent ما در شبکه نام test.local باشه پرفیکس هایی مثلاً exame.test.local و quiz.test.local ( این دو را Child می نامند ) خواهد بود این سه تشکیل یک Tree را می دهند
