jaký je rozdíl mezi řadičem domény a Active Directory?
Active Directory je adresářová služba společnosti Microsoft pro sítě domén Windows. Když byl zaveden v systému Windows 2000 Server, Active Directory byl používán výhradně pro zpracování centralizované správy domén. Nicméně, s příchodem Windows Server 2008, Active Directory byl transformován do sady adresářových služeb, z nichž řadič domény je jen jeden., Další funkcí služby Active Directory zahrnují Lightweight Directory Services certifikační Služby (pro veřejnost-klíč šifrování infrastruktury), Federace Služeb (pro single sign-on), a Rights Management Services (správa informačních práv, který řídí přístup k jednotlivým datům).
v tomto schématu je server se systémem Active Directory známý jako řadič domény. Instance Active Directory obsahuje jak databázový, tak spustitelný kód (nazývaný Directory System Agent) pro spuštění databáze a obsluhu uživatelských požadavků., Databáze je strukturována pomocí objektů, které jsou uspořádány do tří úrovní—lesy, stromy a domény.
řadiče domény Active Directory používají trusty k udělení přístupu uživatelů v jedné doméně ostatním. Trusty existují v lese databáze, která je automaticky vytvořena, kdykoli je vytvořena doména., Typy důvěry patří one-way trust (ve kterém uživatelé z jedné domény mají přístup k jiné doméně, ale ne naopak), two-way trust (kde dvě domény jsou povoleny přístup k sobě navzájem), tranzitivní důvěra (která může rozšířit mimo dvě domény), výslovný trust (vytvořil správce systému), forest trust (který se vztahuje na celý les), a externí vztah důvěryhodnosti (umožňující připojení k non-Active Directory domény).
řadič domény Active Directory umožňuje sysadmins nastavit zásady, které pomohou zajistit odpovídající složitost hesla., Pro zabezpečení heslo služby Active Directory nemůže obsahovat uživatelské jméno nebo celé jméno uživatele. Navíc, Microsoft vám umožňuje vyžadovat heslo obsahovat znaky z určité kategorie, jako jsou velká písmena, malá písmena, čísla, symboly (např. #$%), a Unicode.
Active Directory také umožňuje nastavit minimální délku hesla – čím delší je heslo, tím těžší je prasknout pomocí technik hrubou silou., Ve výchozím nastavení, Windows 10 Active Directory vyžaduje heslo, znaky z alespoň tři z výše uvedených kategorií, a být ne méně než osm znaků dlouhé. Tyto specifikace výnos 218,340,105,584,896 různých celkové možnosti, které hackeři by třeba, aby se pokusili s brute-force metody. Čím citlivější jsou informace, které se snažíte chránit, tím robustnější by měly být vaše požadavky na heslo.
kolik řadičů domény potřebujete?,
v původní implementaci systému Windows byly řadiče domén rozděleny do dvou kategorií: primární řadič domény a záložní řadič domény (DC). Primární DC je řadič domény první řady, který zpracovává požadavky na ověření uživatele. Lze označit pouze jeden primární DC. Podle bezpečnost a spolehlivost osvědčené postupy, server housing primární DC by měl být věnován výhradně domain services. Protože jeho centrální význam sítě, primární DC serveru se nesmí spustit soubor, aplikaci, nebo vytisknout služeb, které by mohly zpomalit, nebo nebezpečí zřícení.,
záložní domain controller existuje jako fail-safe v případě, že primární řadič domény klesne. Pro redundanci může být více řadičů záložní domény. Mít vyhrazenou zálohu DC je moudré opatření. Pokud primární DC selže a není záloha, uživatelé nebudou moci získat přístup k síti. Když se uživatel pokusí přihlásit, software kontaktuje primární DC. Pokud primární DC není k dispozici, kontaktuje záložní DC. Záloha může být povýšena na primární roli v případě, že primární je trvale mimo provoz., Upozorňujeme, že aktualizace domén (jako jsou další uživatelé, nová hesla nebo změny skupin uživatelů) lze provést pouze na primární DC. Poté se šíří do záložních databází DC. Jedná se o formu replikační struktury master-slave, přičemž primární DC je hlavní a sekundární DC jsou otroky.
v současné době je však Architektura primárního a záložního řadiče domény zastaralá. Když byl Active Directory představen v systému Windows 2000, byl navržen s multimaster replikační strukturou., To znamená, že oprávnění uživatelského účtu jsou uložena redundantně mezi skupinou řadičů domén a každý člen skupiny může aktualizovat všechny ostatní. Když je do jednoho řadiče domény přidán nový uživatel, například replikace multimaster posune změnu na ostatní řadiče. Na rozdíl od architektury master-slave poskytuje replikace multimaster větší spolehlivost (selhání jednoho mistra není katastrofální), zvýšenou flexibilitu a rychlejší výkon.,
v součtu, ať už v původní primární / záložní implementaci nebo v dnešním frameworku Active Directory, zůstává řadič domény kritickou součástí současné sítě. Čím vyšší je počet řadičů domény, tím snazší je zajistit provozuschopnost uživatelů, kteří hledají přístup k síti.
pro více informací o řadičích domén a Active Directory si přečtěte naše související články blogu.