Wat is het verschil tussen een domeincontroller en Active Directory?
Active Directory is Microsoft ‘ s directory service voor Windows domeinnetwerken. Toen het werd geà ntroduceerd in Windows 2000 Server, werd Active Directory alleen gebruikt om gecentraliseerd domeinbeheer af te handelen. Echter, met de komst van Windows Server 2008, Active Directory werd omgezet in een suite van directory services, waarvan de domeincontroller is slechts een., Andere Active Directory-functies zijn Lightweight Directory Services, Certificate Services (voor openbare-sleutelversleutelingsinfrastructuur), Federation-Services (voor eenmalige aanmelding) en Rights Management-Services (voor informatierechtenbeheer, dat de toegang tot bepaalde gegevens regelt).
in dit schema wordt de server waarop Active Directory wordt uitgevoerd, de domeincontroller genoemd. Een exemplaar van Active Directory bevat zowel een database Als uitvoerbare code (de zogenaamde Directory System Agent) voor het uitvoeren van de database en onderhoud gebruikersaanvragen., De database is gestructureerd met behulp van objecten, die zijn georganiseerd in drie niveaus-bossen, bomen, en domeinen.
Active Directory-domeincontrollers gebruiken vertrouwensrelaties om gebruikers in één domein toegang te verlenen aan anderen. Vertrouwensrelaties bestaan in het forest van de database, dat automatisch wordt gemaakt wanneer een domein wordt gemaakt., De typen vertrouwensrelaties omvatten een eenrichtingsvertrouwensrelatie (waarbij gebruikers van een domein toegang hebben tot een ander domein, maar niet omgekeerd), een tweerichtingsvertrouwensrelatie (waarbij twee domeinen toegang tot elkaar zijn toegestaan), een transitieve vertrouwensrelatie (die zich verder kan uitstrekken dan twee domeinen), een expliciete vertrouwensrelatie (gemaakt door een systeembeheerder), een forestvertrouwensrelatie (die van toepassing is op een volledig forest) en een externe vertrouwensrelatie (die verbinding met niet-Active Directory-domeinen mogelijk maakt).
een Active Directory-domeincontroller stelt systeembeheerders in staat om beleid in te stellen om te zorgen voor voldoende complexiteit van wachtwoorden., Voor beveiliging kan een Active Directory-wachtwoord de gebruikersnaam of de volledige naam van de gebruiker niet bevatten. Bovendien kunt u van Microsoft eisen dat een wachtwoord tekens bevat uit bepaalde categorieën, zoals hoofdletters, kleine letters, cijfers, symbolen (bijvoorbeeld#$%) en Unicode. met
Active Directory kunt u ook een minimale wachtwoordlengte instellen—hoe langer een wachtwoord is, hoe moeilijker het is om te kraken met behulp van brute-force-technieken., Standaard Windows 10 Active Directory vereist een wachtwoord om tekens uit ten minste drie van de eerder genoemde categorieën en niet minder dan acht tekens lang. Deze specificaties opleveren 218,340,105,584,896 verschillende totale mogelijkheden die hackers zou moeten proberen met brute-force methoden. Hoe gevoeliger de informatie die u probeert te beschermen, hoe robuuster uw wachtwoordvereisten moeten zijn.
hoeveel domeincontrollers heeft u nodig?,
in hun oorspronkelijke Windows-implementatie werden domeincontrollers onderverdeeld in twee categorieën: primaire domeincontroller en back-up domeincontroller (DC). Een primaire DC is de eerstelijnsdomeincontroller die gebruikersverificatieverzoeken afhandelt. Er kan maar één primaire DC worden aangewezen. Volgens de best practices op het gebied van beveiliging en betrouwbaarheid moet de server die de primaire DC huisvest, uitsluitend gewijd zijn aan domeinservices. Vanwege het centrale belang voor het netwerk, mag de primaire DC-server geen bestand -, toepassing-of afdrukservices uitvoeren, waardoor het kan worden vertraagd of het risico bestaat dat het crasht.,
een back-updomeincontroller bestaat als een fail-safe in het geval de primaire domeincontroller uitvalt. Er kunnen meerdere back-up domeincontrollers zijn voor redundantie. Het hebben van een speciale back-up DC is een verstandige voorzorgsmaatregel. Als de primaire DC uitvalt en er geen back-up is, kunnen gebruikers geen toegang krijgen tot het netwerk. Wanneer een gebruiker probeert in te loggen, neemt de software contact op met de primaire DC. Als de primaire DC niet beschikbaar is, neemt deze contact op met de back-up DC. De back-up kan worden bevorderd tot de primaire rol in het geval dat de primaire permanent buiten gebruik is., Houd er rekening mee dat domeinupdates (zoals extra gebruikers, nieuwe wachtwoorden of wijzigingen in gebruikersgroepen) alleen kunnen worden uitgevoerd in de primaire DC. Ze worden vervolgens gepropageerd in de back-up DC databases. Dit is een vorm van de master-slave replicatiestructuur, waarbij de primaire DC de master is en de secundaire DCs de slaven.
tegenwoordig is de primaire en back-up domeincontrollerarchitectuur echter verouderd. Toen Active Directory werd geïntroduceerd in Windows 2000, werd het ontworpen met een multimaster-replicatiestructuur., Dit betekent dat gebruikersaccountrechten redundant worden opgeslagen in een groep domeincontrollers, en elk lid van de groep kan alle anderen bijwerken. Wanneer bijvoorbeeld een nieuwe gebruiker aan een domeincontroller wordt toegevoegd, wordt de wijziging door multimaster replicatie naar de andere controllers verplaatst. In tegenstelling tot de master-slave architectuur levert multimaster replicatie meer betrouwbaarheid op (het falen van een enkele master is niet catastrofaal), meer flexibiliteit en snellere prestaties.,
in totaal blijft de domeincontroller, zowel in de oorspronkelijke primaire/back-upimplementatie als in het huidige Active Directory-framework, een essentieel onderdeel van een hedendaags netwerk. Hoe hoger het aantal domeincontrollers dat u hebt, hoe gemakkelijker het is om uptime te garanderen voor gebruikers die toegang tot het netwerk zoeken.
voor meer informatie over domeincontrollers en Active Directory, lees onze gerelateerde blogartikelen.