На текущий момент доступно множество способов защиты информации корпоративной сегмента сети. Физический уровень сетевого подключение по эталонной модели OSI, предусматривает меры контроля доступа к физический устройствам, средам передачи данных или же каналов, а так же обсуждаются контролируемые зоны предприятия. Для канального используются технологии VLAN, Port Security, отключают не используемые порты. То для централизованного контроля и обеспечения безопасности прикладного уровня используется AAA-сервер или же Active Directory.
Для чего нужен домен Active Directory?
Active Directory – это роль на сервере или же служба каталогов, представляющая собой централизованное структурное хранилище данных сети: узлы, пользователи, группы и организационные подразделения. Так же AD позволяет проводить аутентификацию, авторизацию, разграничивать доступ между узлами и используемыми ресурсами, а так же вести журнал логов.
В практически любой компании уже используют информационные технологии для автоматизации рутинных процессов, единый доступ сотрудников к облачным ресурсам и прочие сервисы, которые может предоставить корпоративная инфраструктура. Они дают множество преимуществ, но так же и рисков для активов. Поэтому очень важно уделять внимание безопасности каждого уровня сетевой инфраструктуры.
Однако для того, чтобы сконцентрироваться на более важных вещах как создание сложной архитектуры с возможностью поддерживать корпоративные ресурсы вы можете развернуть абсолютно любой VDS, VPS серверы на облачной платформе от Serverspace или же перенести свои сегменты инфраструктуры сразу на нее.
Перейдите на главную страницу, выберите облачную платформу под ваши требования и нажмите на кнопку Создать сервер, выберите необходимые параметры конфигурации и буквально через некоторое время вы получите доступ к собственному серверу!
Как развернуть Active Directory?
В нашей базе знаний, мы уже рассматривали базовый случай первоначального развертывания службы AD, рассмотрите его в деталях, если вы работаете с службой впервые. Стоит обратить внимание на имя хоста, переименуйте для более простой идентификации машин. Данный случай подойдет для организации корпоративной сети размером от 10 до 50 человек, но все зависит так же от ваших требований и желаемого уровня безопасности.
Однако если ваша инфраструктура предполагает физически разделенные офисы на расстоянии, для безопасного соединения можно рассмотреть несколько вариантов. Топология доменной технологии предполагает использование нескольких уровней, которые логически инкапсулируются друг в друга. Как устроен Active Directory?
Существует лес, который представляет совокупность связанных доменов, внутри него есть деревья. Это связанные доменные зоны второго уровня и выше, а так же сами домены – логические пространства, которые позволяют объединить узлы и взять под управление контроллером домена, AAA-сервером.
Для целой компании в любом случае мы создаем лес, в который заводим первый домен, он будет являться корневым. Затем для каждого из департаментов компании мы можем создать связанные домены, в которых назначим Администраторов и делегируем права, по схеме представленной ниже. Домены будут объединять отделы или направления работы, а группы их внутреннюю структуру.
Для данной схемы взаимодействующих компонентов AD, соответствует следующее топологическое решение. Домены контроллеров могут находиться в одной информационно-вычислительной системе или же ИВС и получать запросы от клиентов в ней же, а могут находиться в распределенной ИВС.
В ином случае архитектура размещения AD в корпоративном сегменте может представлять собой, так же и подразделения на сайты. Сайт – это физическая область, взаимодействующих компонентов сети, которые общаются по LAN и находятся под управлением уже реплицированного контроллера домена. Данное решение позволяет соответствовать требованиям по отказоустойчивости, эффективного взаимодействия компонентов в домене, а так же вытекающих требований контролировать один актив AD, вместо кучи сетевых сессий от разных активов домена.
Если с первым случаем развертки AD, где DC находятся в одном экземпляре нам всего лишь необходимо добавить дочерние домены для работы отделов, то в случае с сайтами, нам необходимо создать новый DC. Так же для первого случая, мы можем создать второй контроллер домена, для повышения эффективности и отказоустойчивости сети.
Как создать второй контроллер домена?
Для начала проведем подготовку сервера, в котором будем разворачивать второй домен контроллера. Про подготовку первого вы можете так же просмотреть в базовом случае развертки AD. Переименуйте сервер в соответствии с предназначенным ему названием в панели управления Server Manager во вкладке конфигурации.
Нажмите ОК и после перезагрузите сервер для применения, соответствующих настроек. Перейдя, в управление интерфейсами пропишите статический IP машины с маской и шлюзом, чтобы машина с первым контроллером домена были в сетевой доступности второго.
Обратите внимание! Для того, чтобы репликация домена прошла успешно необходимо в сетевых настройках второго домена контроллера указать в качестве DNS сервера первый домен контроллера или же прописать hosts.
Затем для разделения домена на разные физические области перейдем на первый контроллер домена и найдем в поиске Windows инструмент AD Sites and Services.
Открыв вкладку, перейдите в панель слева для быстрого управления, нажмите на название папки Sites правой кнопкой мыши и создайте новый сайт.
Перейдите к папке Subnets и укажите сеть, для обслуживания вашего физического пространства и прикрепите его к созданному сайту.
Закончив подготовку на первом домене контроллера вернемся ко второму и найдем в инструменте Server Manager справа сверху пункт Roles and Features. Выберем опцию с Add и попадем в меню.
В левом меню дойдем до пункта Server Roles и поставим галочку на AD Domain Services и DNS, после чего пройдя несколько пунктов нажмем Install и дождемся конца установки. Справа сверху увидим знак предупреждения о необходимости повышения привилегий сервера:
Нажмите на кнопку Promote this server и дождитесь открытия окна настроек. Перейдите в Deployment Configuration и выберите пункт Add a domain controller to an existing domain, что позволит добавить машину и реплицировать настройки с первого.
Скриншот №12 — Конфигурация контроллера
Укажем Site name для идентификации сетевого пространства, которым будем управлять новый DC. Зададим пароль для DSRM сервиса, который позволит восстановить данные об сервере из бэкапа.
Выберем домен с которого будем реплицировать или оставим функцию Any domain controller, если в сетевой доступности только один DC.
Перейдем по меню слева до проверки соответствия параметров контроллера и в случае успеха нажмем кнопку Install.
Машина перезагрузится и следующий вход в систему нужно будет осуществить, при помощи учетных записей с первого домена контроллера, зайдем в инструмент AD User and Computers. Найдем параметр Domain Controllers и увидим наш новый домен контроллера делегированный на новый сайт.
Можно отметить, что в настоящее время существует множество эффективных методов обеспечения безопасности корпоративных сетей. От контроля физического уровня с использованием технологий OSI до централизованного управления прикладным уровнем с помощью службы Active Directory.
Active Directory представляет собой не только централизованное хранилище данных, но и инструмент для проведения аутентификации, авторизации, управления доступом и ведения журналов логов. Это особенно важно в условиях растущей зависимости компаний от информационных технологий и использования облачных ресурсов.
