Hvad er forskellen mellem en domænecontroller og Active Directory?
Active Directory er Microsofts katalogtjeneste til domainindo .s-domænenetværk. Da den blev introduceret i Serverindo .s 2000 Server, blev Active Directory udelukkende brugt til at håndtere centraliseret domænestyring. Men med fremkomsten af Activeindo .s Server 2008 blev Active Directory omdannet til en suite af katalogtjenester, hvoraf domænecontrolleren kun er en., Andre Active Directory-funktioner omfatter Lightweight Directory Services, Certifikat-Tjenester (for public-key kryptering infrastruktur), Federation Services (for single sign-on), og (Rights Management Services for information rights management), som kontrollerer adgang til bestemte data).
i dette skema er serveren, der kører Active Directory, kendt som domænecontrolleren. En forekomst af Active Directory indeholder både en database og eksekverbar kode (kaldet Directory System Agent) til at køre databasen og servicering brugeranmodninger., Databasen er struktureret ved hjælp af objekter, der er organiseret i tre niveauer—skove, træer og domæner. Active Directory-domænecontrollere bruger trusts til at give brugere i et domæneadgang til andre. Trusts findes i databasens skov, som automatisk oprettes, når et domæne oprettes., De typer af tillid til, omfatter en én-vejs-trust (i som brugere af et domæne har adgang til et andet domæne, men ikke vice versa), en to-vejs tillid (hvor to domæner er tilladt adgang til hinanden), en transitive tillid (som kan strække sig ud over to domæner), en eksplicit tillid (skabt af en system administrator), en forest trust (som gælder for en hel skov), og en ekstern tillid (muliggør tilslutning til ikke-Active Directory-domæner). en Active Directory-domænecontroller gør det muligt for sysadmins at indstille politikker, der hjælper med at sikre tilstrækkelig adgangskodekompleksitet., Af sikkerhedshensyn kan en Active Directory-adgangskode ikke indeholde brugernavnet eller brugerens fulde navn. Desuden giver Microsoft dig mulighed for at kræve, at en adgangskode indeholder tegn fra bestemte kategorier som store bogstaver, små bogstaver, tal, symboler (f.eks.
Active Directory kan du også indstille et minimum pass .ord længde—jo længere en adgangskode er, jo sværere er det at knække ved hjælp brute-force teknikker., Som standard kræver Activeindo .s 10 Active Directory en adgangskode for at have tegn fra mindst tre af de tidligere nævnte kategorier og være ikke mindre end otte tegn lange. Disse specifikationer udbytte 218,340,105,584,896 forskellige samlede muligheder, hackere skulle prøve med brute-force metoder. Jo mere følsomme de oplysninger, du forsøger at beskytte, jo mere robuste skal dine adgangskodekrav være.
hvor mange domænecontrollere har du brug for?,
i deres oprindelige implementationindo .s-implementering blev domænecontrollere opdelt i to kategorier: primær domænecontroller og backup domain controller (DC). En primær DC er den første linje domænecontroller, der håndterer anmodninger om brugergodkendelse. Kun en primær DC kan betegnes. I henhold til bedste praksis for sikkerhed og pålidelighed skal serveren, der huser den primære DC, udelukkende være dedikeret til domænetjenester. På grund af dets centrale betydning for netværket må den primære DC-server ikke køre fil -, applikations-eller udskriftstjenester, hvilket kan bremse det eller risikere at gå ned i det.,
Der findes en backup-domænecontroller som en fejlsikker, hvis den primære domænecontroller går ned. Der kan være flere backup domænecontrollere til redundans. At have en dedikeret backup DC er en klog forholdsregel. Hvis den primære DC mislykkes, og der ikke er nogen sikkerhedskopi, kan brugerne ikke få adgang til netværket. Når en bruger forsøger at logge ind, kontakter soft .aren den primære DC. Hvis den primære DC ikke er tilgængelig, kontakter den derefter Backup DC. Sikkerhedskopien kan fremmes til den primære rolle i tilfælde af, at den primære er permanent ude af drift., Bemærk, at domæneopdateringer (såsom yderligere brugere, nye adgangskoder eller ændringer i brugergrupper) kun kan foretages til den primære DC. De formeres derefter til backup DC-databaserne. Dette er en form for master-slave-replikationsstrukturen, hvor den primære DC er master og sekundære DCs er slaverne.
i dag er den primære og backup-domænecontroller-arkitektur imidlertid blevet forældet. Når Active Directory blev introduceret i 2000indo .s 2000, blev den designet med en multimaster replikationsstruktur., Dette betyder, at brugerkontoprivilegier gemmes overflødigt blandt en gruppe domænecontrollere, og hvert medlem af gruppen kan opdatere alle de andre. Når en ny bruger føjes til en domænecontroller, for eksempel, skubber multimaster-replikation ændringen ud til de andre controllere. I modsætning til master-slave-arkitekturen giver multimaster-replikation større pålidelighed (fejlen i en enkelt master er ikke katastrofal), øget fleksibilitet og hurtigere ydelse.,
i sum, hvad enten det er i sin oprindelige primære / backup-implementering eller i dagens Active Directory-ramme, forbliver domænecontrolleren en kritisk del af et moderne netværk. Jo højere antallet af domænecontrollere du har, jo lettere er det at sikre oppetid for brugere, der søger adgang til netværket.
For mere information om domænecontrollere og Active Directory, Læs gennem vores relaterede blogartikler.