vad är skillnaden mellan en domänkontrollant och Active Directory?
Active Directory är Microsofts katalogtjänst för Windows-domän nätverk. När den introducerades i Windows 2000 Server användes Active Directory enbart för att hantera centraliserad domänhantering. Men med tillkomsten av Windows Server 2008 omvandlades Active Directory till en svit av katalogtjänster, varav domänkontrollanten bara är en., Andra Active Directory-funktioner inkluderar lätta katalogtjänster, certifikattjänster (för krypteringsinfrastruktur med offentlig nyckel), Federationstjänster (för enkel inloggning) och Rättighetshanteringstjänster (för hantering av informationsrättigheter, som kontrollerar tillgången till vissa uppgifter).
i detta schema kallas den server som kör Active Directory domänkontrollanten. En instans av Active Directory innehåller både en databas och körbar kod (kallad Directory system Agent) för att köra databasen och service användarförfrågningar., Databasen är strukturerad med hjälp av objekt, som är organiserade i tre nivåer-skogar, träd och domäner.
Active Directory-domänkontrollanter använder förtroende för att ge användare i en domän åtkomst till andra. Förtroende finns i databasens skog, som automatiskt skapas när en domän skapas., Trusttyperna inkluderar ett envägsförtroende (där användare av en domän har tillgång till en annan domän, men inte vice versa), ett tvåvägsförtroende (där två domäner får tillgång till varandra), ett transitivt förtroende (som kan sträcka sig utöver två domäner), ett uttryckligt förtroende (skapat av en systemadministratör), ett skogsförtroende (som gäller för en hel skog) och ett externt förtroende (som möjliggör anslutning till icke-aktiva Katalogdomäner).
en Active Directory-domänkontrollant gör det möjligt för sysadmins att ställa in policyer för att säkerställa tillräcklig lösenordskomplexitet., För säkerhet kan ett Active Directory-lösenord inte innehålla användarnamnet eller användarens fullständiga namn. Dessutom tillåter Microsoft dig att kräva att ett lösenord innehåller tecken från vissa kategorier som versaler, små bokstäver, siffror, symboler (t.ex.#$%) och Unicode.
Active Directory låter dig också ställa in en minsta lösenordslängd—ju längre ett lösenord är desto svårare är det att spricka med brute-force-tekniker., Som standard kräver Windows 10 Active Directory ett lösenord för att ha tecken från minst tre av de tidigare nämnda kategorierna och att inte vara mindre än åtta tecken långa. Dessa specifikationer ger 218,340,105,584,896 olika totala möjligheter som hackare skulle behöva försöka med brute-force metoder. Ju mer känslig information du försöker skydda, desto mer robusta dina lösenord krav bör vara.
hur många domänkontrollanter behöver du?,
i sin ursprungliga Windows-implementering delades domänkontrollanter in i två kategorier: primär domänkontrollant och backup domain controller (DC). En primär DC är den första raden domänkontrollant som hanterar användarautentiseringsbegäranden. Endast en primär DC kan betecknas. Enligt bästa praxis för säkerhet och tillförlitlighet bör servern som rymmer den primära DC endast vara avsedd för domäntjänster. På grund av dess centrala betydelse för nätverket får den primära DC-servern inte köra fil -, applikations-eller utskriftstjänster, vilket kan sakta ner eller riskera att krascha den.,
en backup domänkontrollant finns som en felsäker om den primära domänkontrollanten går ner. Det kan finnas flera backup domänkontrollanter för redundans. Att ha en dedikerad backup DC är en klok försiktighetsåtgärd. Om den primära DC misslyckas och det finns ingen säkerhetskopia, kommer användarna inte att kunna få tillgång till nätverket. När en användare försöker logga in kontaktar programvaran den primära DC. Om den primära DC är otillgänglig, kontaktar den sedan backup DC. Säkerhetskopian kan främjas till den primära rollen i händelse av att den primära är permanent ur drift., Observera att domänuppdateringar (t.ex. ytterligare användare, nya lösenord eller ändringar i användargrupper) endast kan göras till den primära DC. De förökas sedan i backup DC-databaserna. Detta är en form av master-slave replikation struktur, med den primära DC är master och sekundära DCs är slavarna.
nuförtiden har dock den primära och säkerhetskopierade domänkontrollansarkitekturen föråldrats. När Active Directory introducerades i Windows 2000 var den utformad med en Multimaster replikeringsstruktur., Detta innebär att användarkontotbehörighet lagras redundant bland en grupp domänkontrollanter, och varje medlem i gruppen kan uppdatera alla andra. När en ny användare läggs till i en domänkontrollant, till exempel, trycker multimaster replikering ändringen ut till de andra styrenheterna. I motsats till master-slave-arkitekturen ger Multimaster-replikering större tillförlitlighet (misslyckandet hos en enda mästare är inte katastrofalt), ökad flexibilitet och snabbare prestanda.,
Sammanfattningsvis, oavsett om det är i sin ursprungliga primära/backup-implementering eller i dagens Active Directory-ramverk, är domänkontrollanten fortfarande en kritisk del av ett modernt nätverk. Ju högre antalet domänkontrollanter du har, desto lättare är det att säkerställa upptid för användare som söker tillgång till nätverket.
För mer information om domänkontrollanter och Active Directory, läs igenom våra relaterade bloggartiklar.