care este diferența dintre un controler de domeniu și Active Directory?
Active Directory este serviciul director Microsoft pentru rețelele de domenii Windows. Când a fost introdus în Windows 2000 Server, Active Directory a fost folosit exclusiv pentru a gestiona gestionarea centralizată a domeniului. Cu toate acestea, odată cu apariția Windows Server 2008, Active Directory a fost transformat într-o suită de servicii de directoare, dintre care controlerul de domeniu este doar unul., Alte funcții Active Directory includ servicii de directoare ușoare, servicii de certificare (pentru infrastructura de criptare cu cheie publică), servicii de federație (pentru conectare unică) și servicii de gestionare a Drepturilor (pentru gestionarea drepturilor informațiilor, care controlează accesul la anumite date).
În această schemă, serverul care rulează Active Directory este cunoscut sub numele de Controller de domeniu. O instanță a Active Directory include atât o bază de date, cât și un cod executabil (numit agent de sistem de directoare) pentru rularea bazei de date și deservirea cererilor utilizatorilor., Baza de date este structurată folosind obiecte, care sunt organizate în trei niveluri—păduri, copaci și domenii.
controlerele de domeniu Active Directory utilizează trusturi pentru a acorda utilizatorilor dintr-un domeniu acces la alții. Trusturile există în pădurea bazei de date, care este creată automat ori de câte ori este creat un domeniu., Tipurile de încredere includ o încredere unidirecțională (în care utilizatorii unui domeniu au acces la un alt domeniu, dar nu invers), o încredere bidirecțională (în care două domenii au acces permis unul la celălalt), o încredere tranzitivă (care se poate extinde dincolo de două domenii), o încredere explicită (creată de un administrator de sistem), o încredere forestieră (care se aplică unei întregi păduri) și o încredere externă (care permite conectarea la domenii inactive Directory).
un controler de domeniu Active Directory permite administratorilor să stabilească politici pentru a asigura o complexitate adecvată a parolelor., Pentru securitate, o parolă Active Directory nu poate conține numele de utilizator sau numele complet al utilizatorului. Mai mult, Microsoft vă permite să solicitați ca o parolă să includă caractere din anumite categorii, cum ar fi litere mari, litere mici, numere, simboluri (de exemplu,#$%) și Unicode. Active Directory vă permite, de asemenea, să setați o lungime minimă a parolei—cu cât o parolă este mai lungă, cu atât este mai greu să spargeți folosind tehnici de forță brută., În mod implicit, Windows 10 Active Directory necesită o parolă pentru a avea caractere din cel puțin trei dintre categoriile menționate anterior și pentru a avea cel puțin opt caractere. Aceste specificații oferă 218,340,105,584,896 posibilități totale diferite pe care hackerii ar trebui să le încerce cu metode de forță brută. Cu cât informațiile pe care încercați să le protejați sunt mai sensibile, cu atât cerințele dvs. de parolă ar trebui să fie mai robuste.
de câte controlere de domeniu aveți nevoie?,
în implementarea lor originală Windows, controlerele de domeniu au fost împărțite în două categorii: controler de domeniu primar și controler de domeniu de rezervă (DC). Un DC principal este controlerul de domeniu de primă linie care gestionează cererile de autentificare a utilizatorilor. Doar un singur DC primar poate fi desemnat. Conform celor mai bune practici de securitate și fiabilitate, serverul care găzduiește DC-ul principal ar trebui să fie dedicat exclusiv serviciilor de domeniu. Datorită importanței sale centrale pentru rețea, serverul principal DC nu trebuie să ruleze servicii de fișiere, aplicații sau imprimare, ceea ce ar putea încetini sau risca să-l prăbușească.,
un controler de domeniu de rezervă există ca un fail-safe în cazul în care controlerul de domeniu principal se duce în jos. Pot exista mai multe controlere de domeniu de rezervă pentru redundanță. Având un DC de rezervă dedicat este o măsură de precauție înțeleaptă. Dacă dc-ul principal eșuează și nu există nicio copie de rezervă, utilizatorii nu vor putea avea acces la rețea. Când un utilizator încearcă să se conecteze, software-ul Contactează DC-ul principal. Dacă DC-ul principal nu este disponibil, acesta contactează dc-ul de rezervă. Backup-ul poate fi promovat la rolul principal în cazul în care primarul este permanent în afara serviciului., Rețineți că actualizările de domeniu (cum ar fi utilizatori suplimentari, parole noi sau modificări ale grupurilor de utilizatori) pot fi făcute numai în DC-ul principal. Acestea sunt apoi propagate în bazele de date DC de rezervă. Aceasta este o formă a structurii de replicare master-slave, DC primar fiind master și DCS secundar fiind sclavii.
în zilele noastre, cu toate acestea, arhitectura principală și de rezervă a controlerului de domeniu a fost depășită. Când Active Directory a fost introdus în Windows 2000, a fost proiectat cu o structură de replicare multimaster., Aceasta înseamnă că privilegiile contului de utilizator sunt stocate redundant într-un grup de controlere de domeniu, iar fiecare membru al grupului poate actualiza toate celelalte. Când un utilizator nou este adăugat la un controler de domeniu, de exemplu, replicarea multimaster împinge Schimbarea la celelalte controlere. Spre deosebire de arhitectura master-slave, replicarea multimaster oferă o fiabilitate mai mare (eșecul unui singur maestru nu este catastrofal), flexibilitate crescută și performanță mai rapidă.,
În concluzie, fie în implementarea primară/backup inițială, fie în cadrul Active Directory de astăzi, controlerul de domeniu rămâne o parte critică a unei rețele contemporane. Cu cât este mai mare numărul de controlere de domeniu pe care le aveți, cu atât este mai ușor să asigurați timpul de funcționare pentru utilizatorii care caută acces la rețea.
Pentru mai multe informații despre controlerele de domeniu și Active Directory, citiți articolele noastre de blog conexe.