domain controller

Apa itu domain controller?

Domain controller adalah jenis server yang memproses permintaan autentikasi dari pengguna dalam sebuah domain komputer. Domain controller paling sering digunakan dalam lingkungan Windows Active Directory (AD), tapi juga bisa digunakan dalam sistem manajemen identitas lainnya.

Domain controller menduplikasi informasi layanan direktori untuk domain mereka, termasuk data pengguna, kredensial autentikasi, dan kebijakan keamanan organisasi.

Apa fungsi utama domain controller?

Domain controller membatasi akses ke sumber daya dalam domain dengan cara mengautentikasi identitas pengguna melalui kredensial login, sekaligus mencegah akses tidak sah ke sumber daya tersebut.

Domain controller menerapkan kebijakan keamanan terhadap permintaan akses ke sumber daya domain. Misalnya, dalam domain Windows AD, domain controller akan menarik informasi autentikasi dari AD untuk akun pengguna.

Meskipun domain controller bisa beroperasi sebagai sistem tunggal, biasanya mereka diimplementasikan dalam bentuk klaster demi meningkatkan keandalan dan ketersediaan. Untuk domain controller berbasis Windows AD, setiap klaster terdiri dari satu primary domain controller (PDC) dan satu atau lebih backup domain controller (BDC). Di lingkungan Unix dan Linux, domain controller replika menyalin database autentikasi dari domain controller utama.

Kenapa domain controller itu penting?

Domain controller mengontrol semua akses dalam domain, memblokir akses tidak sah ke jaringan domain, sekaligus memberikan akses ke layanan direktori bagi pengguna yang berhak.

Karena domain controller jadi perantara semua akses jaringan, penting banget untuk melindunginya dengan mekanisme keamanan tambahan seperti:

  • firewall
  • jaringan yang aman dan terisolasi
  • protokol keamanan dan enkripsi untuk melindungi data yang disimpan maupun yang sedang ditransmisikan
  • pembatasan penggunaan protokol yang tidak aman seperti RDP di controller
  • penempatan di lokasi fisik yang terbatas dan aman
  • manajemen patch dan konfigurasi yang cepat
  • pemblokiran akses internet untuk domain controller

Karena domain controller mengontrol semua akses ke sumber daya komputasi dalam organisasi, mereka harus didesain agar tahan terhadap serangan dan tetap bisa berjalan meskipun dalam kondisi buruk.

Bagaimana cara menyetel domain controller di Active Directory?

Domain control merupakan salah satu fungsi dari Microsoft Active Directory, dan domain controller adalah server yang menggunakan AD untuk merespon permintaan autentikasi.

Para ahli menyarankan agar jangan hanya mengandalkan satu domain controller, bahkan untuk organisasi kecil sekalipun. Praktik terbaiknya adalah menggunakan satu primary domain controller dan setidaknya satu backup domain controller supaya nggak terjadi downtime kalau sistem utama bermasalah.

Praktik terbaik lainnya adalah men-deploy tiap domain controller di server fisik yang terpisah. Termasuk untuk domain controller virtual, sebaiknya dijalankan di VM (virtual machine) yang berada di host fisik berbeda.

Domain controller bisa di-deploy di server fisik, berjalan sebagai VM, atau menjadi bagian dari layanan direktori berbasis cloud.

Langkah-langkah menyetel domain controller AD antara lain:

  • Penilaian domain. Langkah awal adalah menilai domain yang akan digunakan. Ini mencakup menentukan jenis domain controller yang dibutuhkan, lokasinya, dan bagaimana mereka akan terintegrasi dengan sistem yang sudah ada.
  • Deployment baru atau penambahan. Apakah akan membuat deployment baru atau menambahkan controller ke domain yang sudah ada, pastikan untuk menentukan lokasi domain controller dan sumber daya yang dibutuhkan untuk menjalankannya.
  • Keamanan sejak desain awal. Domain controller harus didesain sedemikian rupa agar tahan terhadap serangan, baik dari dalam maupun luar, serta dari gangguan layanan seperti mati listrik, koneksi terputus, atau kegagalan sistem.

Detail lebih lanjut tentang konfigurasi domain controller AD tergantung pada versi Windows Server yang digunakan.

Opsi implementasi domain controller lainnya

Berikut beberapa opsi saat menyiapkan domain controller di AD:

  • Server Domain Name System (DNS): Domain controller bisa dikonfigurasi sebagai DNS server. Dell menyarankan setidaknya satu domain controller dijadikan DNS server.
  • Fungsi Global Catalog: Domain controller bisa dikonfigurasi menggunakan Global Catalog, yang memungkinkan controller mengakses info AD dari objek mana pun di organisasi, bahkan jika objek tersebut berada di domain berbeda.
  • Read Only Domain Controller (RODC): Digunakan di cabang atau tempat dengan koneksi terbatas. RODC hanya menyediakan akses baca saja.
  • Directory Services Restore Mode (DSRM): Mode khusus untuk pemulihan darurat, misalnya restore backup. Password DSRM harus dikonfigurasi sejak awal.

Apa manfaat domain controller?

Beberapa manfaat domain controller antara lain:

  • Manajemen terpusat memungkinkan organisasi mengautentikasi semua permintaan layanan direktori melalui domain controller pusat.
  • Domain controller yang terdistribusi dan direplikasi bisa menegakkan kebijakan keamanan dan mencegah akses tidak sah di jaringan enterprise dan WAN.
  • Akses ke file server dan sumber daya jaringan lainnya jadi terintegrasi secara mulus dengan layanan direktori seperti Microsoft AD.
  • Dukungan untuk protokol autentikasi dan transport yang aman meningkatkan keamanan proses login pengguna.

Apa kekurangan domain controller?

Beberapa keterbatasan domain controller:

  • Bisa jadi single point of failure kalau tidak ada backup.
  • Karena fungsinya yang penting, domain controller sering jadi target serangan siber. Jika berhasil diretas, penyerang bisa mengakses semua sumber daya jaringan dan kredensial pengguna.
  • Jaringan yang bergantung pada domain controller sangat tergantung padanya untuk proses autentikasi. Untuk meminimalkan risiko, domain controller bisa diimplementasikan dalam bentuk klaster.
  • Butuh infrastruktur tambahan dan mekanisme keamanan ekstra.
Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *