Jaka jest różnica między kontrolerem domeny A Active Directory?

Active Directory to usługa katalogowa firmy Microsoft dla sieci domenowych Windows. Gdy została wprowadzona w systemie Windows 2000 Server, Usługa Active Directory była używana wyłącznie do scentralizowanego zarządzania domenami. Jednak wraz z pojawieniem się systemu Windows Server 2008 Active Directory został przekształcony w pakiet usług katalogowych, z których kontroler domeny jest tylko jednym., Inne funkcje Active Directory obejmują lekkie usługi katalogowe, usługi certyfikacyjne( dla infrastruktury szyfrowania klucza publicznego), usługi federacyjne (dla pojedynczego logowania) i usługi zarządzania prawami (dla zarządzania prawami do informacji, które kontrolują dostęp do określonych danych).

w tym schemacie serwer z Active Directory jest znany jako kontroler domeny. Instancja Active Directory zawiera zarówno bazę danych, jak i kod wykonywalny (zwany agentem systemu katalogów) do uruchamiania bazy danych i obsługi żądań użytkowników., Baza danych jest zorganizowana za pomocą obiektów, które są zorganizowane w trzy poziomy-lasy, drzewa i domeny.

kontrolery domeny Active Directory wykorzystują trusty do przyznawania użytkownikom w jednej domenie dostępu innym. Trusty istnieją w lesie bazy danych, który jest tworzony automatycznie po utworzeniu domeny., Rodzaje zaufania obejmują zaufanie jednokierunkowe (w którym użytkownicy jednej domeny mają dostęp do innej domeny, ale nie odwrotnie), zaufanie dwukierunkowe( w którym dozwolone są dostęp do dwóch domen), zaufanie przejściowe (które może wykraczać poza dwie domeny), zaufanie jawne (tworzone przez administratora systemu), zaufanie leśne (które odnosi się do całego lasu) i zaufanie zewnętrzne (umożliwiające połączenie z domenami spoza usługi Active Directory).

kontroler domeny Active Directory umożliwia administratorom sysadminów ustawianie zasad w celu zapewnienia odpowiedniej złożoności haseł., Dla bezpieczeństwa hasło usługi Active Directory nie może zawierać nazwy użytkownika ani pełnej nazwy użytkownika. Ponadto Microsoft pozwala wymagać, aby hasło zawierało znaki z pewnych kategorii, takich jak wielkie litery, małe litery, cyfry, symbole (np.#$%) I Unicode.

Active Directory pozwala również ustawić minimalną długość hasła—im dłuższe jest hasło, tym trudniej je złamać przy użyciu technik brute-force., Domyślnie System Windows 10 Active Directory wymaga, aby hasło miało znaki z co najmniej trzech wcześniej wymienionych kategorii i miało długość nie mniejszą niż osiem znaków. Te specyfikacje dają 218,340,105,584,896 różnych całkowitych możliwości, które hakerzy będą musieli wypróbować metodami brute-force. Im bardziej wrażliwe są informacje, które próbujesz chronić, tym bardziej rygorystyczne powinny być wymagania dotyczące hasła.

ile kontrolerów domeny potrzebujesz?,

w oryginalnej implementacji Windows kontrolery domeny zostały podzielone na dwie kategorie: primary domain controller I backup domain controller (DC). Główny DC jest kontrolerem domeny pierwszej linii, który obsługuje żądania uwierzytelniania użytkowników. Można wyznaczyć tylko jeden główny prąd stały. Zgodnie z najlepszymi praktykami bezpieczeństwa i niezawodności serwer, w którym znajduje się główny DC, powinien być dedykowany wyłącznie usługom domenowym. Ze względu na swoje centralne znaczenie dla sieci, główny serwer DC nie może uruchamiać plików, aplikacji ani usług drukowania, które mogłyby go spowolnić lub spowodować jego awarię.,

zapasowy kontroler domeny istnieje jako zabezpieczenie awaryjne w przypadku awarii głównego kontrolera domeny. W celu nadmiarowości może istnieć wiele kontrolerów domeny kopii zapasowych. Posiadanie dedykowanego zapasowego DC jest mądrym środkiem ostrożności. Jeśli główny DC ulegnie awarii i nie będzie kopii zapasowej, użytkownicy nie będą mogli uzyskać dostępu do sieci. Gdy użytkownik próbuje się zalogować, oprogramowanie kontaktuje się z głównym DC. Jeśli główny DC jest niedostępny, kontaktuje się z zapasowym DC. Kopia zapasowa może być promowana do roli głównej w przypadku, gdy podstawowa jest trwale wyłączona z użytku., Należy pamiętać, że aktualizacje domeny (takie jak dodatkowi użytkownicy, nowe hasła lub zmiany w grupach użytkowników) mogą być dokonywane tylko w głównym DC. Są one następnie propagowane w zapasowych bazach danych DC. Jest to forma struktury replikacji master-slave, z głównym DC jest master, a wtórnym DCS jest niewolnikami.

obecnie jednak Architektura kontrolera domeny podstawowej i zapasowej jest przestarzała. Gdy Active Directory został wprowadzony w systemie Windows 2000, został zaprojektowany z wielomasterową strukturą replikacji., Oznacza to, że uprawnienia kont użytkowników są redundantnie przechowywane wśród grupy kontrolerów domeny, a każdy członek grupy może aktualizować wszystkie pozostałe. Na przykład, gdy nowy użytkownik jest dodawany do jednego kontrolera domeny, replikacja multimaster wypycha zmianę do innych kontrolerów. W przeciwieństwie do architektury master-slave, replikacja wielomasterowa zapewnia większą niezawodność( awaria pojedynczego Mastera nie jest katastrofalna), większą elastyczność i szybszą wydajność.,

podsumowując, zarówno w pierwotnej implementacji primary / backup, jak i w dzisiejszym frameworku Active Directory, kontroler domeny pozostaje krytyczną częścią współczesnej sieci. Im większa liczba kontrolerów domeny, tym łatwiej jest zapewnić dostępność dla użytkowników szukających dostępu do sieci.

aby uzyskać więcej informacji na temat kontrolerów domen i usługi Active Directory, przeczytaj nasze powiązane artykuły na blogu.