mi a különbség egy tartományvezérlő és az Active Directory között?
Active Directory a Microsoft directory service for Windows domain networks. Amikor bevezették a Windows 2000 Server, Active Directory kizárólag kezelésére használják központosított domain menedzsment. A Windows Server 2008 megjelenésével azonban az Active Directory könyvtárat könyvtári szolgáltatásokká alakították át, amelyek közül a tartományvezérlő csak egy., Az Active Directory egyéb funkciói közé tartoznak a könnyű Címtárszolgáltatások, a tanúsítványszolgáltatások (a nyilvános kulcsú titkosítási infrastruktúrához), a Föderációs szolgáltatások (Az egyszeri bejelentkezéshez), valamint a jogkezelési szolgáltatások (az információs jogkezeléshez, amely az adott adatokhoz való hozzáférést szabályozza).
ebben a sémában az Active Directory-t futtató kiszolgáló domain controller néven ismert. Az Active Directory egy példánya tartalmazza mind az adatbázist, mind a futtatható kódot (úgynevezett Directory System Agent) Az adatbázis futtatásához, valamint a felhasználói kérések kiszolgálásához., Az adatbázis három szintre—erdőkre, fákra és domainekre-tagolt objektumok felhasználásával épül fel.
Active Directory tartományvezérlők használja bízik, hogy a felhasználók egy domain hozzáférést másoknak. Trösztök léteznek az adatbázis erdő, amely automatikusan létrejön, amikor egy domain jön létre., A bizalom típusai közé tartozik az egyirányú bizalom (amelyben az egyik domain felhasználói hozzáférhetnek egy másik domainhez, de nem fordítva), a kétirányú bizalom (ahol két domainhez férhetnek hozzá), a tranzitív bizalom (amely két domainen túl is terjedhet), az explicit bizalom (amelyet egy rendszergazda hoz létre), az erdei bizalom (amely egy egész erdőre vonatkozik), valamint egy külső bizalom (amely lehetővé teszi a kapcsolatot a nem Aktív Könyvtár domainekkel).
Az Active Directory tartományvezérlő lehetővé teszi a sysadmins számára, hogy házirendeket állítson be a megfelelő jelszó összetettségének biztosítása érdekében., A biztonság érdekében az Active Directory jelszó nem tartalmazhatja a felhasználónevet vagy a felhasználó teljes nevét. Ezenkívül a Microsoft lehetővé teszi, hogy egy jelszó bizonyos kategóriákból származó karaktereket tartalmazzon, például nagybetűket, kisbetűket, számokat, szimbólumokat (például #$%), valamint Unicode-ot.
Az Active Directory lehetővé teszi a minimális jelszó hosszának beállítását is-minél hosszabb a jelszó, annál nehezebb a brute-force technikák segítségével feltörni., Alapértelmezés szerint a Windows 10 Active Directory jelszót igényel ahhoz, hogy a korábban említett kategóriák közül legalább három karakter legyen, és legalább nyolc karakter hosszú legyen. Ezek a specifikációk 218,340,105,584,896 különböző teljes lehetőségeket kínálnak, amelyeket a hackereknek brute-force módszerekkel kell megpróbálniuk. Minél érzékenyebbek a védeni kívánt információk, annál robusztusabbnak kell lennie a jelszó követelményeinek.
hány tartományvezérlőre van szüksége?,
Eredeti Windows implementációjukban a tartományvezérlőket két kategóriába sorolták: elsődleges tartományvezérlő és tartalék tartományvezérlő (DC). Az elsődleges DC az első vonalbeli tartományvezérlő, amely kezeli a felhasználói hitelesítési kéréseket. Csak egy elsődleges DC lehet kijelölni. A biztonsági és megbízhatósági bevált gyakorlatok szerint az elsődleges egyenáramú kiszolgálót kizárólag a domain szolgáltatásoknak kell szentelni. A hálózat központi fontossága miatt az elsődleges DC szerver nem futtathat Fájl -, alkalmazás-vagy nyomtatási szolgáltatásokat, amelyek lelassíthatják vagy veszélyeztethetik annak összeomlását.,
egy biztonsági tartományvezérlő hibabiztosként létezik, ha az elsődleges tartományvezérlő lemegy. A redundanciához több biztonsági mentési tartományvezérlő is lehet. Miután egy dedikált tartalék DC bölcs óvintézkedés. Ha az elsődleges DC meghibásodik, és nincs biztonsági mentés, a felhasználók nem tudnak hozzáférni a hálózathoz. Amikor egy felhasználó megpróbál bejelentkezni, a szoftver kapcsolatba lép az elsődleges DC-vel. Ha az elsődleges DC nem érhető el,akkor kapcsolatba lép a biztonsági másolattal. A biztonsági mentés elősegíthető az elsődleges szerepre abban az esetben, ha az elsődleges véglegesen nem működik., Vegye figyelembe, hogy a tartományfrissítések (például további felhasználók, új jelszavak vagy felhasználói csoportok módosítása) csak az elsődleges DC-re hajthatók végre. Ezeket ezután a tartalék DC adatbázisokba terjesztik. Ez a mester-rabszolga replikációs struktúra egyik formája, az elsődleges DC a mester, a másodlagos DCs pedig a rabszolgák.
manapság azonban az elsődleges és a biztonsági mentés tartományvezérlő architektúra elavult. Amikor az Active Directory-t bevezették a Windows 2000-be, multimaster replikációs struktúrával tervezték., Ez azt jelenti, hogy a felhasználói fiókok jogosultságai redundánsan tárolódnak a tartományvezérlők egy csoportja között, a csoport minden tagja frissítheti a többieket. Ha például egy új felhasználó hozzá van adva egy tartományvezérlőhöz, a multimaster replikáció a változást a többi vezérlőhöz tolja ki. A master-slave architektúrával ellentétben a multimaster replikáció nagyobb megbízhatóságot eredményez (egyetlen mester kudarca nem katasztrofális), nagyobb rugalmasságot és gyorsabb teljesítményt eredményez.,
összegezve, akár az eredeti elsődleges / biztonsági mentési megvalósításban, akár a mai Active Directory keretrendszerben, a tartományvezérlő továbbra is kritikus része a kortárs hálózatnak. Minél nagyobb a tartományvezérlők száma, annál könnyebb biztosítani a hálózathoz hozzáférést kereső felhasználók számára az üzemidőt.
a tartományvezérlőkkel és az Active Directory-val kapcsolatos további információkért olvassa el a kapcsolódó blogcikkeinket.