Hva er forskjellen mellom et domene kontrolleren og Active Directory?
Active Directory er Microsofts directory-tjenesten for Windows-domene nettverk. Når det ble introdusert i Windows 2000 Server, Active Directory ble utelukkende brukt til å håndtere sentralisert domain management. Imidlertid, med bruk av Windows Server 2008 Active Directory ble forvandlet til en suite av katalogtjenester, som domenekontroller er bare én., Andre Active Directory funksjoner inkluderer Lightweight Directory Services, Sertifikat Tjenester (for offentlig-nøkkel kryptering infrastruktur), Federation Services (for single sign-on), og (Rights Management Services for information rights management), som kontrollerer tilgang til bestemte data).
I dette skjemaet, serveren som kjører Active Directory er kjent som domenekontroller. En forekomst av Active Directory inkluderer både en database og kjørbar kode (kalt Directory System Agent) for å kjøre databasen og vedlikehold bruker-forespørsler., Databasen er bygget opp ved hjelp av gjenstander, som er organisert i tre nivåer—skog, trær, og domener.
Active Directory-domenekontrollere bruk klareringer for å gi brukere i et domene tilgang til andre. Stoler finnes i databasen er skog, som er opprettet automatisk når et domene blir opprettet., De typer av tillit inkluderer en en-veis tillit (som brukere av ett domene har tilgang til et annet domene, men ikke omvendt), en to-veis tillit (der to domener er tillatt tilgang til hverandre), et transitivt tillit (som kan strekke seg utover to domener), et uttrykkelig tillit (som er opprettet av systemansvarlig), en forest trust (som gjelder for en hel skog), og en ekstern tillit (muliggjør tilkobling til ikke-Active Directory-domener).
En Active Directory-domenekontroller kan sysadmins å angi retningslinjer for å bidra til å sikre tilstrekkelig passord kompleksitet., For sikkerhet, et Active Directory-passord kan ikke inneholde brukernavn eller brukerens fulle navn. Videre, Microsoft gir deg mulighet til å kreve et passord inneholde tegn fra enkelte kategorier som store bokstaver, små bokstaver, tall, symboler (f.eks., #$%), og Unicode.
Active Directory også kan du angi et minimum passordlengde—jo lengre passordet er, jo vanskeligere er det å knekke ved hjelp av brute-force teknikker., Som standard er Windows-10 Active Directory krever et passord hvis du har tegn fra minst tre av de tidligere nevnte kategorier, og for å være ikke mindre enn åtte tegn. Disse spesifikasjonene gi 218,340,105,584,896 forskjellige totalt muligheter som hackere som måtte prøve med brute-force metoder. Jo mer sensitive opplysningene du prøver å beskytte, mer robust passordet krav bør være.
Hvor mange domenekontrollere trenger du?,
I sin opprinnelige Windows-implementering, domenekontrollere ble delt inn i to kategorier: primære domenekontrolleren og backup domenekontroller (DC). En primær DC er den første-linje domenekontroller som håndterer bruker-godkjenning forespørsler. Bare én primær DC kan være angitt. I henhold til sikkerhet og pålitelighet beste praksis, server housing den primære DC bør være utelukkende dedikert til å domain services. På grunn av sin sentrale betydning for network, det primære DC-server, må du ikke kjøre fil, et program eller en print tjenester, noe som kan roe det ned eller risikere å krasje det.,
En sikkerhetskopi domenekontroller eksisterer som en fail-safe i tilfelle den primære domenekontrolleren går ned. Det kan være flere backup-domenekontrollere for redundans. Ha en dedikert backup DC er en klok forholdsregel. Hvis den primære DC mislykkes, og det er ingen backup, brukere vil ikke være i stand til å få tilgang til nettverket. Når en bruker forsøker å logge inn, programvare kontakter den primære DC. Hvis den primære DC er tilgjengelige, er det så kontakter backup DC. Sikkerhetskopiering kan bli forfremmet til den primære rolle i det tilfelle at det primære er permanent ut av tjeneste., Vær oppmerksom på at domenet oppdateringer (for eksempel flere brukere, nye passord, eller endringer i brukergrupper) kan bare gjøres til den primære DC. De blir deretter lagt inn i DC backup databaser. Dette er en form for master-slave-replikering struktur, med det primære DC være master og videregående DCs å være slaver.
i Dag, men den primære og backup domenekontroller arkitektur har blitt avskrevet. Når Active Directory ble introdusert i Windows 2000, og ble designet med en multimaster replikering struktur., Dette betyr at brukeren konto rettighetene er lagret redundantly blant en gruppe av domenekontrollere, og hvert medlem av gruppen kan oppdatere alle andre. Når en ny bruker er lagt til en domenekontroller, for eksempel, multimaster replikering presser endringen ut til andre kontroller. I motsetning til master-slave-arkitektur, multimaster replikering gir større pålitelighet (svikt i en enkelt master er ikke katastrofal), økt fleksibilitet og raskere ytelse.,
I sum, enten i sin originale primær/backup gjennomføringen eller i dagens Active Directory-rammeverk, domenekontrolleren er fortsatt en viktig del av et moderne nettverk. Jo høyere antall domenekontrollere du har, jo lettere er det å sikre oppetid for brukere som søker tilgang til nettverket.
For mer informasjon på domenekontrollere og Active Directory, kan du lese gjennom våre relatert blogg artikler.