تكوين خادم الويندوز لخدمات الدليل

تشرح هذه المقالة كيفية تكوين الإعدادات والأذونات في الخادم الويندوز للسماح لنقاط الحوسبة السحابية في Cato بالتكامل مع وحدة التحكم في المجال لدليل الأكاتيف.

ملاحظة

ملاحظات:

  • اللقطات والإجراءات في هذه المقالة تستند إلى الويندوز سيرفر 2016. التفاصيل قد تختلف للإصدارات الأخرى.

  • إذا كنت بحاجة إلى مزيد من المعلومات حول عنوان IP الخاص بـ Cato لخدمة LDAP، انظر حل المشاكل مع مزامنة LDAP (يجب أن تسجل الدخول إلى قاعدة المعرفة لـCato لعرض هذه المقالة).

إنشاء مستخدم مجال جديد لخدمات الدليل

أنشئ مستخدم مجال مخصص للدمج بين حساب Cato الخاص بك ومجال الأكاتيف ديركتوري.

هذه هي متطلبات كلمة مرور دليل الأكاتيف لهذا المستخدم:

  • كلمة المرور لا تنتهي صلاحيتها أبدًا

  • تعطيل الإعداد الذي يجبر المستخدم على تغيير كلمة المرور للتسجيل الأولي

لإنشاء مستخدم لخدمات الدليل:

  1. أنشئ مستخدم مجال جديد (هذا المستخدم يستخدم فقط لخدمات الدليل لـCato).

  2. في علامة التبويب العضو في، تأكد من أن المستخدم عضو في مجموعة مستخدمي المجال.

  3. أضف المستخدم إلى المجموعات التالية:

    • مستخدمي COM موزعين

    • قرّاء سجل الأحداث

      Prerequisites_For_Enabling_User_Awareness_01.png

  4. انقر فوق موافق لإنشاء المستخدم.

تكوين إعدادات DCOM

قم بتكوين هذه الإعدادات ل COM الموزعة (DCOM) على خادم الويندوز للسماح لنقاط الحوسبة السحابية في Cato بالتواصل عن بعد مع المجال. هذه هي إعدادات DCOM التي تحتاج لتكوينها:

  • خدمات الويندوز

  • خصائص DCOM وبروتوكولاته

  • أذونات أمان COM

تكوين خدمات الويندوز

ابدأ الخدمات عبر الويندوز السيرفر، الريجستري البعيد، و WMI Performance Adapter على خدمات الويندوز وقم بتكوينها لتعمل بدءاً من التمهيد التلقائي مع خادم الويندوز.

ملاحظة

ملاحظة: تُسمى الخدمة WMI Performance Adapter باسم WMI في الإصدارات الأخرى لخادم الويندوز.

لتمكين خدمات الويندوز:

  1. من القائمة تشغيل أدخل services.msc وانقر فوق موافق.

  2. في نافذة الخدمات، تحقق من بدء كل من الخدمات السيرفر، الريجستري البعيد، و محول أداء WMI وتعيينها لبدء التشغيل التلقائي.

    1. لتغيير خاصية الخدمة، انقر بزر الماوس الأيمن على اسم الخدمة، ثم انقر فوق الخصائص.

    2. بالنسبة لـ نوع التشغيل، حدد تلقائي.

    3. إذا لم يتم بدء حالة الخدمة، انقر فوق بدء.

  3. انقر فوق موافق وأغلق نافذة الخدمات.

تكوين خصائص الاتصال DCOM والبروتوكولات

تحدد خصائص DCOM مستوى المصادقة ومستوى التجسيد للخادم. اضبط مستوى مصادقة الخادم على التوصيل، مما يعني أن مفتاح الجلسة لا يستخدم إلا لمصافحة المصادقة.

اضبط مستوى التجسيد على التعريف، للسماح لنقاط الحوسبة السحابية بالوصول فقط إلى بيانات المستخدم ذات الصلة بخدمات الدليل لـCato.

تحدد تسلسل بروتوكول DCOM للخادم كيفية تواصل الخادم مع الشبكة. تستخدم خدمات الدليل بروتوكول TCP/IP الموجه للاتصال.

لتكوين DCOM لخدمات الدليل:

  1. من القائمة تشغيل أدخل dcomcnfg وانقر فوق موافق. تفتح نافذة خدمات المكونات.

  2. من خدمات المكونات > أجهزة الكمبيوتر > الكمبيوتر الخاص بي، انقر بزر الماوس الأيمن على الكمبيوتر الخاص بي وحدد خصائص. تفتح نافذة خصائص الكمبيوتر الخاص بي.

    Windows_DCOM.png

  3. قم بتكوين خصائص الاتصال DCOM لخادم الويندوز:

    1. في نافذة خصائص الكمبيوتر الخاص بي، حدد علامة التبويب الخصائص الافتراضية.

    2. حدد تمكين DCOM الموزعة على هذا الكمبيوتر.

    3. من مستوى المصادقة الافتراضي، حدد الاتصال.

    4. من مستوى التجسيد الافتراضي، حدد التعرف.

  4. تأكد من أن بروتوكولات DCOM تتضمن TCP/IP الموجه للاتصال.

    Windows_DCOM_Protocols.png

    1. انقر على علامة التبويب بروتوكولات افتراضية. إذا كانت بروتوكولات DCOM تتضمن TCP/IP موجه بالتوصيل، قم بالاستمرار مع الخطوة 6 أدناه.

    2. انقر على إضافة. تفتح نافذة تحديد بروتوكول DCOM.

    3. من تسلسل البروتوكول، حدد TCP/IP موجه بالتوصيل.

    4. انقر فوق موافق لإغلاق نافذة تحديد بروتوكول DCOM.

  5. انقر فوق موافق.

  6. لرسالة تُخطِرك بتغيير الإعدادات على مستوى الآلة لـDCOM. اضغط على نعم للمتابعة.

تكوين أذونات أمان COM

في نافذة خدمات المكونات (dcomcnfg)، قم بتكوين أذونات الوصول لأمان COM وأذونات الإطلاق والنشاط لمنح نقاط الحوسبة السحابية حق الوصول الافتراضي لـ:

  • مستخدمي COM موزعين

  • قرّاء سجل الأحداث

لتكوين أذونات الأمان لـ COM لخدمات الدليل:

  1. إذا لزم الأمر، افتح نافذة خصائص الكمبيوتر الخاص بي من خدمات المكونات > أجهزة الكمبيوتر > الكمبيوتر الخاص بي، انقر بزر الماوس الأيمن على الكمبيوتر الخاص بي وحدد خصائص.

  2. انقر على علامة التبويب أمان COM.

    Windows_COM_Security.png

  3. قم بتكوين أذونات الوصول الافتراضية لمستخدمي COM موزعين وقرّاء سجل الأحداث:

    1. في أذونات الوصول، انقر فوق تحرير الافتراضي.

    2. تحت أسماء المجموعة أو المستخدمين، أضف وكون مستخدمي COM موزعين بالأذونات التالية:

      • الوصول المحلي - مسموح

      • الوصول عن بعد - مسموح

    3. كرر الخطوتين السابقتين لمجموعة قرّاء سجل الأحداث.

    4. انقر فوق موافق.

  4. قم بتكوين أذونات الإطلاق لمستخدمي COM موزعين وقرّاء سجل الأحداث:

    1. في أذونات الإطلاق والتفاعل، انقر فوق تحرير الافتراضي.

    2. تحت أسماء المجموعة أو المستخدمين، أضف وكون مستخدمي COM موزعين بالأذونات التالية:

      • الإطلاق عن بعد - مسموح

      • التفاعل عن بعد - مسموح

    3. كرر الخطوتين السابقتين لمجموعة قرّاء سجل الأحداث.

    4. انقر فوق موافق.

  5. انقر فوق موافق وأغلق نافذة خصائص الكمبيوتر الخاص بي ونافذة خدمات المكونات. تم تكوين أذونات الأمان لـ COM.

تكوين خادم الويندوز WMI

تناقش هذه القسم كيفية تكوين أذونات WMI للسماح لوعي المستخدم بـCato بإرسال استفسارات WMI من نقاط الحوسبة السحابية إلى خادم الويندوز.

تكوين WMI للاتصال بتطبيق إدارة Cato

للاتصال بجهاز كمبيوتر بعيد باستخدام WMI، تأكد من تمكين إعدادات DCOM الصحيحة وإعدادات أمان النطاق لـWMI للاتصال.

للمزيد حول كيفية تكوين إعدادات WMI للسماح باتصالات من تطبيق إدارة Cato، ارجع إلى مستندات Microsoft.

تكوين وصول مستخدم WMI

يجب أن يكون لدى المستخدم أو المجموعة التي تم تكوينها للوصول إلى COM أيضًا إذن WMI للوصول إلى سجلات أحداث الويندوز التي تمنح Cato الوصول إلى أحداث تسجيل الدخول لمستخدمي AD. قم بتكوين WMI للسماح بالوصول عن بعد لمستخدمي COM موزعين ولقرّاء سجل الأحداث.

لتكوين إعدادات وصول مستخدم WMI:

  1. من القائمة تشغيل أدخل wmimgmt.msc وانقر فوق موافق. تفتح نافذة إدارة ويندوز للتكوينات.

  2. انقر بزر الماوس الأيمن على تكوينات WMI (محلي) وحدد خصائص. تفتح نافذة خصائص تكوينات WMI (محلي).

  3. حدد علامة التبويب الأمان. تظهر شجرة قائمة النطاق.

  4. قم بتوسيع فرع الجذر وانقر فوق CIMV2.

    Windows_WMI_Security.png

  5. انقر فوق الأمان أسفل شجرة القائمة. تفتح نافذة الأمان لـROOT\CIMV2.

  6. قم بتكوين أذونات الإطلاق لمستخدمي COM موزعين ولقرّاء سجل الأحداث

    1. تحت أسماء المجموعة أو المستخدمين، أضف وكون مستخدمي COM موزعين بالأذونات التالية:

      • تمكين الحساب - السماح

      • تمكين عن بعد - السماح

    2. كرر الخطوة السابقة لـقراء سجلات الأحداث.

  7. قم بتكوين الإعدادات المتقدمة لمستخدمي DCOM الموزعين:

    1. حدد مستخدمي DCOM الموزعين وانقر فوق متقدم. تفتح نافذة إعدادات الأمان المتقدمة لـCIMV2.

    2. في عمود المستخدم الرئيسي، حدد مستخدمي DCOM الموزعين وانقر فوق تحرير. تفتح نافذة إدخال الأذونات لـCIMV2.

    3. في قائمة التطبيقات على المنسدلة، حدد هذه المساحة الفرعية والمساحات الفرعية التابعة.

      Windows_COMusers_Advanced.png

  8. انقر فوق OK. أغلق نافذة إعدادات الأمان المتقدمة لـCIMV2.

  9. قم بتكوين الإعدادات المتقدمة لقراء سجلات الأحداث:

    1. حدد قراء سجلات الأحداث وانقر فوق متقدم.

      Windows_EventLog_Advanced.png

      تفتح نافذة إعدادات الأمان المتقدمة لـCIMV2.

    2. في عمود المستخدم الرئيسي، حدد قراء سجلات الأحداث وانقر فوق تحرير. تفتح نافذة إدخال الأذونات لـCIMV2.

    3. في قائمة التطبيقات على المنسدلة، حدد هذه المساحة الفرعية والمساحات الفرعية التابعة.

  10. انقر فوق OK لإغلاق نافذة إعدادات الأمان المتقدمة لـCIMV2.

  11. انقر فوق OK لإغلاق نافذة الأمان لـROOT\CIMV2 ونافذة خصائص التحكم في WMI (محلي).

    تم تكوين إعدادات الوصول لمستخدم WMI.

تكوين سجل WMI Controller

تحرير سجل Windows لمنح أذونات القراءة لمستخدمي DCOM الموزعين وقراء سجلات الأحداث.

لتكوين أذونات السجل لجهاز تحكم WMI:

  1. تشغيل Regedit.

  2. انتقل إلى

    HKEY_LOCAL_MACHINE\SYSTEM\

    CurrentControlSet\

    Services\Eventlog\Security

  3. انقر بزر الفأرة الأيمن على مجلد الأمان وحدد أذونات.

  4. أضف وقم بتكوين هذه المجموعات بأذونات القراءة:

    • مستخدمي DCOM الموزعين

    • قراء سجلات الأحداث

  5. انقر فوق OK.

تكوين جهاز تحكم WMI بنفق IPsec

نظرًا لأن الاتصال بـDC يستخدم عنوان IP مصدري في نطاق نظام Cato، إذا كنت تستخدم نفق IPsec للاتصال بمقبس Cato، فيجب عليك تكوين المرحلة 2 لنطاق نظام Cato: 10.254.254.12.

بالنسبة للحسابات التي تستخدم نطاق نظام مخصص بدلاً من النطاق الافتراضي، استخدم النطاق المخصص لحساب عنوان IP الثابت للمزامنة مع وعي المستخدم. عنوان IP الثابت هو العنوان التاسع في النطاق المخصص. على سبيل المثال، إذا كان النطاق المحجوز المخصص هو 10.10.10.0/16، فسيكون عنوان IP الثابت هو 10.10.10.9.

بالنسبة للحسابات التي تستخدم نطاق IP أصغر، فإنها لا تزال تستخدم العنوان التاسع في النطاق المخصص. على سبيل المثال، إذا كان النطاق المحجوز المخصص هو 10.200.200.64/28، فعنوان IP الثابت هو 10.200.200.73 (10.200.200.64 + x.x.x.9).

تكوين جدار حماية Windows للسماح بـDCOM

قم بتكوين جدار الحماية Windows أو جدار حماية تابع لجهة خارجية للسماح بالوصول لعنوان IP الثابت لنطاق النظام (أو لنطاق مخصص). لمزيد من المعلومات حول الأنظمة والنطاقات المخصصة، انظر تكوين جهاز تحكم WMI بنفق IPsec أعلاه.

  • إذا كنت تستخدم جدار حماية Windows، فيجب إضافة استثناء يسمح باتصالات DCOM

  • إذا كنت تستخدم جدار حماية تابع لجهة خارجية بين خادم Windows وCato Network، أضف نفس الاستثناء إليه

لتكوين جدار حماية Windows للسماح باتصالات DCOM:

  1. افتح قائمة التشغيل.

  2. اكتب wf.msc ثم انقر فوق OK.

  3. حدد القواعد الواردة.

  4. في قائمة الإجراءات، حدد قاعدة جديدة. تفتح نافذة معالج القواعد الواردة الجديدة.

    Windows_FW_NewRule.png

  5. حدد مخصص وانقر فوق التالي. تفتح نافذة البرنامج.

  6. حدد كل البرامج، ثم انقر فوق التالي. تفتح نافذة البروتوكولات والمنافذ.

  7. بالنسبة لنوع البروتوكول، حدد TCP وانقر فوق التالي. تفتح نافذة نطاق.

  8. بالنسبة لـعناوين IP البعيدة التي تنطبق عليها هذه القاعدة، حدد خيار هذه العناوين IP.

  9. انقر فوق إضافة. في عنوان IP هذا أو الشبكة الفرعية، أدخل عنوان IP الثابت لنطاق النظام: 10.254.254.12.

    • إذا كنت تستخدم نطاقًا مخصصًا، أدخل عنوان IP الثابت لنطاقك.

  10. انقر فوق OK ثم انقر فوق التالي. تفتح نافذة الإجراء.

  11. حدد السماح بالاتصال ثم انقر فوق التالي. تفتح نافذة الملف الشخصي.

  12. حدد واحد أو أكثر من ملفات تعريف الشبكة التي تنطبق عليها القاعدة وانقر فوق التالي. تفتح نافذة الاسم.

  13. أدخل اسم قاعدة جدار الحماية، ثم انقر فوق إنهاء.

هل كان هذا المقال مفيداً؟

3 من 3 وجدوا هذا مفيداً

لا توجد تعليقات