Active Directory (AD) je adresářová služba vytvořená společností Microsoft, a je dodáván jako soubor procesů a služeb ve většině verzí systému Windows Server operační systémy.

můžete si představit reklamu jako databázi nebo bezpečné místo, které ukládá všechny atributy vašich uživatelů, jako jsou uživatelská jména, hesla a další., Toto centrální úložiště automatizuje mnoho úkolů, jako je správa uživatelských dat, zajištění bezpečnosti a inter-operace s jinými adresáři.

v počátečních verzích AD bylo mnoho šancí na konflikty. Například, řekněme, řadič domény přidal do databáze nového zaměstnance. Vzhledem k tomu, že změna byla provedena na reklamu, odrážela se v celém podniku, a to je v pořádku. O několik sekund později chtěl jiný řadič domény odstranit záznamy zaměstnanců, kteří již v podniku nepracovali. Omylem smazala I tohoto zaměstnance z reklamy.,

systém řízení konfliktů, který existoval, pak následoval politiku“ Poslední writer wins“, takže změna provedená druhým řadičem domény byla platná, zatímco změna provedená prvním řadičem domény byla vyřazena. To znamená, že nový zaměstnanec již nebyl v systému a nemohl přistupovat ke zdrojům systému, což samozřejmě není správné.

aby se předešlo takovým konfliktům, byl zaveden jednomístný model. V tomto modelu mohl určitý typ aktualizace provést pouze jeden řadič domény (DC)., Ve výše uvedeném případě, kdyby pouze první DC měl na starosti přidávání a odstraňování zaměstnanců a druhý DC měl na starosti bezpečnost, pak by k takovému konfliktu nedošlo.

to však přišlo s omezeními. Co se stane, když první DC klesne? Nemůžete přidávat ani mazat zaměstnance, dokud se znovu nevrátí. Taková těžká závislost na jediném regulátoru není z provozního hlediska nikdy dobrá.,

Microsoft tak v následujících verzích šel o něco dále, aby zahrnoval více rolí pro každý DC a dal každému DC možnost přenést celou roli na jakýkoli jiný DC ve stejném podniku. Zjevnou výhodou je, že žádná role není vázána na žádný konkrétní DC, takže když jeden klesne, můžete tuto roli automaticky přenést na jiný pracovní DC.

protože takový model nabízí velkou flexibilitu, nazývá se Flexibilní Single Master Operation (FSMO).,

FSMO je multimaster model, který přiřazuje jasné role a odpovědnosti každému DC a současně poskytuje flexibilitu pro přenos rolí v případě potřeby.

FSMO role

FSMO je zhruba rozdělit do pěti rolích, a to jsou:

  • hlavní server Schémat
  • hlavní server názvů Domén
  • RID
  • emulátor primárního ŘADIČE domény
  • hlavní server Infrastruktury

z těchto, první dva FSMO role jsou k dispozici na les úrovni, zatímco zbývající tři jsou nutné pro každou doménu.,

vzdálená rozšíření

podívejme se nyní na každou roli FSMO do hloubky.

Schema master

Schema master, Jak název napovídá, obsahuje přečtenou kopii celého schématu vaší reklamy. Pokud vás zajímá, co je schéma, jsou to všechny atributy spojené s uživatelským objektem a zahrnují heslo, roli, označení a ID zaměstnance, abychom jmenovali alespoň některé.

takže pokud chcete změnit ID zaměstnance, budete to muset udělat v tomto DC. Ve výchozím nastavení bude prvním ovladačem, který nainstalujete ve svém lese, schema master.,

Domain naming master

Domain naming master je odpovědný za ověřování domén, takže tam je jen jeden pro každý lesa. To znamená, že pokud vytváříte zcela novou doménu ve stávajícím lese, tento řadič zajišťuje, že taková doména již neexistuje. Pokud je váš doména pojmenování master z jakéhokoli důvodu, nemůžete vytvořit novou doménu.

Protože nemusíte vytvářet domény často, některé podniky raději mít schema master a domain naming master ve stejné řadiče.,

rid master

pokaždé, když vytvoříte princip zabezpečení, ať už je to uživatelský účet, Skupinový účet nebo hlavní účet, Chcete k němu přidat přístupová oprávnění. Ale nemůžete to udělat na základě jména uživatele nebo skupiny, protože se to může kdykoli změnit.

Řekněme, že jste měli Andyho s určitou rolí a opustil společnost. Takže jsi uzavřel Andyho účet a místo toho jsi přivedl Tima. Nyní budete muset jít a nahradit Andyho Timem v seznamech přístupu k zabezpečení každého zdroje.

to není praktické, protože je časově náročné a náchylné k chybám.,

proto spojujete každý bezpečnostní princip s něčím, co se nazývá ID zabezpečení nebo SID. Tímto způsobem, i když se Andy změní na Tima, SID zůstane stejný, takže budete muset udělat jen jednu změnu.

Tento SID má specifický vzor, který zajišťuje, že každý SID v systému je jedinečný. Vždy začíná písmenem “ S “ následovaným verzí (začíná 1) a hodnotou identifikačního orgánu. Následuje název domény nebo místního počítače, který je společný pro všechny SIDs umístěné ve stejné doméně. Konečně, název domény je následován tím, co se nazývá relativní ID nebo RID.,

v podstatě je rid hodnota, která zajišťuje jedinečnost mezi různými objekty v aktivním adresáři.

SID bude vypadat takto: s-1-5-32365098609486930-1029. Zde 1029 je RID, který dělá Sid jedinečný, zatímco dlouhá řada čísel je název vaší domény.

ale to může také vést ke konfliktům. Řekněme, že vytváříme dva uživatelské účty současně. To může způsobit konflikt, protože existuje možnost, aby oba tyto objekty měly stejný SID.,

aby se zabránilo tomuto konfliktu, RID master přiřadí bloky 500 každému řadiči domény. Tímto způsobem DC1 dostane Ridy od 1 do 500, DC2 dostane Ridy od 501 do 1 000 a tak dále. Když dojde řadič domény z rid, kontaktuje RID master a na oplátku tento rid master přiřadí další blok 500.

RID master je tedy zodpovědný za zpracování požadavků rid pool z DCs v rámci jedné domény, aby bylo zajištěno, že každý SID je jedinečný.,

emulátor PDC

PDC znamená primární řadič domény a pochází z doby, kdy existoval pouze jeden řadič domény, který měl kopii schématu pro čtení a zápis. Zbývající řadiče domény byly zálohou pro tento PDC. Takže pokud byste chtěli změnit heslo, museli byste jít do PDC.

dnes již neexistují žádné další PDC. Některé z jeho rolí, jako je synchronizace času a správa hesel, však přebírá řadič domény s názvem PDC emulator.

podívejme se nejprve na jeho správu hesel.,

řekněme, že jdu do jednoho řadiče domény a resetuji heslo, protože vypršela. Pak se přihlásím k jinému počítači pro jiný web a řekněme, že kontaktuje jiný řadič domény pro autentizaci. Existuje šance, že moje přihlášení selže, protože první řadič domény nemusí replikovat změnu hesla na jiné řadiče.

emulátor PDC se těmto zmatkům vyhýbá tím, že je řadičem pro resetování hesla. Takže můj klient bude kontaktovat emulátor PDC, když selže přihlášení, aby zkontroloval, zda došlo ke změně hesla., Na tomto emulátoru PDC jsou také zpracovány všechny výluky účtu kvůli nesprávným heslům.

kromě správy hesel, emulátor PDC synchronizuje čas v podnikovém systému. To je důležitá funkce, protože ověřování reklam používá protokol nazvaný kerberos pro zabezpečení. Hlavním úkolem tohoto protokolu je zajistit, aby datové pakety nebyly odebrány ze sítě nebo manipulovány, když jsou přenášeny.,

takže pokud je během procesu ověřování rozdíl mezi hodinami serveru a vaším systémem pět minut nebo více, kerberos si myslí, že se jedná o útok a nebude vás ověřovat.

v pořádku, ale jaká je role emulátoru PDC zde?

váš místní systém synchronizuje svůj čas s řadičem domény a řadič domény zase synchronizuje svůj čas s emulátorem PDC. Tímto způsobem je emulátor PDC hlavní hodiny pro všechny řadiče domény ve vaší doméně.,

Microsoft

Když tento regulátor je dole, vaše bezpečnost jde dolů pár zářezů a dělá hesla náchylné k útokům.

Infrastructure master

základní funkcí master infrastruktury je odkazovat na všechny místní uživatele a odkazy v rámci domény. Tento řadič chápe celkovou infrastrukturu domény včetně toho, jaké objekty jsou přítomny.

je zodpovědný za lokální aktualizaci odkazů na objekty a také zajišťuje, že je aktuální v kopiích jiných domén., Zpracovává tento proces aktualizace prostřednictvím jedinečného identifikátoru, případně SID.

Infrastructure master je podobný jinému reklamnímu nástroji nazvanému Global Catalog (GC). Tento GC je jako index, který ví, kde je vše, uvnitř aktivního adresáře. Na druhé straně master infrastruktury je menší verze GC, protože je omezena v rámci jedné domény.

proč je důležité vědět o GC zde? Protože GC a infrastructure master by neměly být umístěny ve stejném řadiči domény., Pokud tak učiníte, master infrastruktury přestane fungovat, protože GC dostane přednost.

obecně platí, že pokud máte pouze jeden řadič domény, na tom nebude tolik záležet. Pokud však máte velký les s více řadiči domén, přítomnost GC I infrastructure master způsobí problémy.

Vezměme si situaci zde. Máme více domén, které vzhlížejí k serveru GC. Uvnitř jedné domény provedeme změnu členství ve skupině a master infrastruktury o této změně ví., Server GC však neaktualizuje, protože změna nebyla provedena u univerzální skupiny. To znamená, že existuje šance, že váš GC a infrastructure master budou mimo synchronizaci,a to může způsobit problémy s ověřením. To je důvod, proč se ujistěte, že máte buď infrastrukturu master nebo GC pro každou doménu, ale ne obojí.

shrnutí

Jak vidíte. Role FSMO zabraňují konfliktům v active directory a zároveň vám poskytují flexibilitu při zpracování různých operací v rámci Active directory., Mohou být široce rozděleny do pěti rolí, z nichž první dvě jsou pro celý les, zatímco zbývající tři se týkají konkrétní domény.

už jste implementovali role FSMO ve vaší organizaci? Prosím, podělte se o své myšlenky s námi.

Foto úvěru: Wikimedia

Articles

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *