Active Directory (AD) on hakemistopalvelu luotu Microsoft, ja se tulee kuin joukko prosessien ja palveluiden useimmat versiot Windows Server-käyttöjärjestelmissä.
voit kuvitella mainoksen tietokannaksi tai turvalliseksi paikaksi, joka tallentaa kaikki käyttäjiesi attribuutit, kuten käyttäjätunnukset, salasanat ja paljon muuta., Tämä keskusrekisteri automatisoi monia tehtäviä, kuten käyttäjätietojen hallintaa, tietoturvan tarjoamista ja toimintojen yhdistämistä muihin hakemistoihin.
AD: n alkuperäisversioissa konflikteille oli monia mahdollisuuksia. Esimerkiksi domain controller lisäsi uuden työntekijän tietokantaan. Koska muutos tehtiin mainokseen, se heijastui koko yritykseen,ja se on hyvä. Muutamaa sekuntia myöhemmin toinen domain-ohjain halusi poistaa niiden työntekijöiden tiedot, jotka eivät enää työskennelleet yrityksessä. Vahingossa, se poisti tämän työntekijän mainoksesta samoin.,
konfliktien hallinta järjestelmä, joka oli sitten seurasi ”viimeinen kirjoittaja voittaa” – politiikkaa, joten tehty muutos, jonka toinen domain controller oli voimassa, kun muutos tehdään ensimmäinen domain controller hylättiin. Tämä tarkoittaa, että uusi työntekijä ei ollut enää järjestelmässä eikä päässyt käsiksi järjestelmän resursseihin, mikä ei tietenkään ole oikein.
tällaisten konfliktien ehkäisemiseksi otettiin käyttöön yksi master-malli. Tässä mallissa vain yksi domain controller (DC) voisi suorittaa tietyntyyppisen päivityksen., Jos edellä mainitussa tapauksessa vain ensimmäinen DC olisi vastuussa työntekijöiden lisäämisestä ja poistamisesta ja toinen DC olisi vastuussa turvallisuudesta, tällaista konfliktia ei olisi tapahtunut.
tähän tuli kuitenkin myös rajoituksia. Mitä tapahtuu, kun ensimmäinen DC kaatuu? Et voi lisätä tai poistaa työntekijöitä, ennen kuin se tulee takaisin ylös. Näin suuri riippuvuus yhdestä ohjaimesta ei ole koskaan hyvä toiminnalliselta kannalta.,
Joten, Microsoft meni hieman pidemmälle myöhemmissä versioissa sisällyttää useita rooleja kullekin DC ja antaa jokaiselle DC-kyky siirtää koko aseman muihin DC samassa yrityksessä. Ilmeinen etu tässä ei ole rooli on sidottu mihinkään tiettyyn DC, joten kun yksi menee alas, voit automaattisesti siirtää tämän roolin toiseen toimiva DC.
Koska tällainen malli tarjoaa paljon joustavuutta, se on nimeltään Flexible Single Master Operation (FSMO).,
Tehokkaasti, FSMO on multimaster malli, joka määrittää selkeät roolit ja vastuut jokainen DC ja samalla antaa joustavuutta siirtää rooleja, jos tarvitaan.
FSMO-roolit
FSMO on yleisesti jaettu viiteen rooleja ja ne ovat:
- Schema master
- Domain naming master
- RID-master
- PDC-emulaattori
- Infrastruktuuri-mestari
näistä kaksi ensimmäistä FSMO-roolit ovat saatavilla osoitteessa metsän tasolla, kun taas loput kolme ovat välttämättömiä jokaiselle domain.,
Etälaajennukset
katsotaan nyt jokaista FSMO-roolia perusteellisesti.
Schema master
mallikone, kuten nimestä voi päätellä, pitää lukea-kirjoittaa kopio MAINOKSEN koko rakenteen. Jos mietit mitä skeema on, se on kaikki ominaisuudet liittyvät käyttäjän kohde ja sisältää salasana, rooli, nimitys, ja työntekijä ID, muutamia mainitakseni.
joten, jos haluat vaihtaa työntekijän tunnuksen, sinun täytyy tehdä se tässä DC: ssä. Oletuksena ensimmäinen ohjain, jonka asennat metsääsi, on skeema master.,
Domain naming master
Domain naming master on vastuussa tarkastaa verkkotunnukset, niin siellä on vain yksi jokaista metsää. Tämä tarkoittaa, että jos luot uuden verkkotunnuksen olemassa olevaan metsään, tämä ohjain varmistaa, että tällaista verkkotunnusta ei ole jo olemassa. Jos verkkotunnuksen nimeämismestari on jostain syystä alhaalla, et voi luoda uutta verkkotunnusta.
Koska et halua luoda verkkotunnuksia usein, jotkut yritykset haluavat olla schema master ja domain naming master saman ohjain.,
rid master
aina kun luot tietoturvaperiaatteen, olipa kyseessä käyttäjätili, ryhmätili tai päätili, haluat lisätä käyttöoikeudet siihen. Mutta et voi tehdä sitä käyttäjän tai ryhmän nimen perusteella, koska se voi muuttua milloin tahansa.
oletetaan, että sinulla oli Andy tietyn roolin, ja hän jätti yhtiön. Suljit Andyn tilin ja toit Timin. Sinun täytyy korvata Andy Timillä jokaisen resurssin turvallisuuslistoilla.
tämä ei ole käytännöllistä, sillä se on aikaa vievää ja virhealtista.,
tämän vuoksi yhdistät jokaisen turvallisuusperiaatteen johonkin niin sanottuun TIETOTURVATUNNUKSEEN tai SID: hen. Tällä tavalla, vaikka Andy muutoksia Tim, SID pysyy samana, joten sinun täytyy tehdä vain yksi muutos.
Tämä SID on tietty kuvio varmistaa, että jokainen SID järjestelmässä on ainutlaatuinen. Se alkaa aina kirjaimella ”S”, jota seurasi versio (alkaa 1) ja tunniste authority-arvo. Tätä seuraa verkkotunnus tai paikallinen tietokoneen nimi, joka on yleinen kaikille saman verkkotunnuksen sisällä sijaitseville Kätkytkuolijoille. Lopuksi verkkotunnuksen nimi seuraa mitä kutsutaan suhteellinen ID tai RID.,
Pohjimmiltaan, EROON on arvo, joka takaa ainutlaatuisuus eri esineitä active directory.
a SID will look like this: S-1-5-32365098609486930-1029. Tässä 1029 on RID, joka tekee SID ainutlaatuinen, kun taas pitkä sarja numeroita on verkkotunnuksesi.
mutta tämäkin voi johtaa konflikteihin. Sanotaan, että luomme kaksi käyttäjätiliä samaan aikaan. Tämä voi aiheuttaa ristiriitoja, koska molemmilla esineillä on mahdollisuus olla sama Sidi.,
tämän ristiriidan välttämiseksi rid master määrittää 500: n lohkot kullekin domain-ohjaimelle. Näin DC1 saa RIDs 1-500, DC2 saa RIDs 501-1000, ja niin edelleen. Kun verkkotunnuksen ohjain loppuu rid, se ottaa yhteyttä RID master ja vuorostaan, tämä rid master määrittää toisen lohkon 500.
joten rid master vastaa DCS: n rid pool-pyyntöjen käsittelystä yhden verkkotunnuksen sisällä varmistaakseen, että jokainen SID on yksilöllinen.,
PDC-emulaattori
PDC sanoista Primary Domain Controller ja se tulee aika, jolloin siellä oli vain yksi toimialueen ohjauskone, joka oli luku-ja kirjoitus-kopio data. Loput verkkotunnuksen ohjaimet olivat varmuuskopio tämän PDC. Jos haluat vaihtaa salasanan, sinun pitäisi mennä PDC: hen.
nykyään PDCs: ää ei enää ole. Mutta muutamia sen rooleja, kuten Ajan synkronointi ja salasananhallinta, ottaa haltuunsa verkkotunnuksen ohjain nimeltä PDC emulaattori.
katsotaan ensin sen salasananhallintaa.,
Let ’s say I go to one domain controller and reset my password because it’ s expired. Sitten kirjaudun toiseen koneeseen eri sivustolle ja sanotaan, että se ottaa yhteyttä eri verkkotunnuksen ohjaimeen tunnistautumista varten. On mahdollista, että kirjautumiseni epäonnistuu, koska ensimmäinen verkkotunnuksen ohjain ei ehkä ole kopioinut salasanani muutosta muihin ohjaimiin.
PDC-emulaattori välttää nämä sekaannukset olemalla salasanaresetien ohjain. Niin, asiakkaani ottaa yhteyttä PDC emulaattori, kun kirjautuminen epäonnistuu, tarkistaa, jos oli salasanan muutos., Myös kaikki tilin sulut väärien salasanojen vuoksi käsitellään tässä PDC-emulaattorissa.
muu kuin salasananhallinta, PDC-emulaattori synkronoi ajan yritysjärjestelmässä. Tämä on tärkeä toiminnallisuus, koska AD todennus käyttää kerberos-protokollaa nimeltä turvallisuus. Tämän protokollan päätehtävä on varmistaa, että tietopaketteja ei poisteta verkosta tai peukaloida sen siirtyessä.,
Joten, kun ero on viisi minuuttia tai enemmän välillä palvelimen kellon ja järjestelmän todennusprosessin aikana, kerberos luulee, että tämä on hyökkäys ja ei todentaa sinua.
hienoa, mutta mikä on PDC-emulaattorin rooli tässä?
hyvin, paikallinen järjestelmä synkronoi aikansa verkkotunnuksen ohjaimen kanssa, ja verkkotunnuksen ohjain puolestaan synkronoi aikansa PDC-emulaattorin kanssa. Näin, PDC emulaattori on master Kello kaikki verkkotunnuksen ohjaimet verkkotunnuksen.,
Microsoft
Kun tämä säädin on alas, turvallisuuden menee alas muutaman pykälän ja tekee salasanoja haavoittuvia hyökkäyksille.
Infrastruktuuri-mestari
ydintoimintoja infrastruktuurin mestari on viittaus kaikki paikalliset käyttäjät ja viittauksia domainissa. Tämä ohjain ymmärtää verkkotunnuksen kokonaisinfrastruktuurin, mukaan lukien sen, mitä esineitä siinä on.
se vastaa objektiviittausten päivittämisestä paikallisesti ja varmistaa myös, että se on ajan tasalla muiden verkkotunnusten kopioissa., Se käsittelee tätä päivitysprosessia yksilöllisen tunnisteen, mahdollisesti SID: n, kautta.
Infrastructure master muistuttaa toista mainostyökalua nimeltä Global Catalog (GC). Tämä GC on kuin indeksi, joka tietää missä kaikki on, aktiivisen hakemiston sisällä. Infrastruktuurin mestari, toisaalta, on pienempi versio GC, koska se on rajoitettu yhden verkkotunnuksen.
Nyt, miksi on tärkeää tietää GC täällä? Koska GC: tä ja infrastructure Masteria ei pitäisi sijoittaa samaan verkkotunnuksen ohjaimeen., Jos satut tekemään niin, rataverkon haltija lopettaa toimintansa, kun GC saa etusijan.
Yleensä, Jos sinulla on vain yksi domain-ohjain, tällä ei ole niin suurta merkitystä. Mutta, jos sinulla on suuri metsä, jossa on useita toimialueen ohjauskoneet, läsnäolo sekä GC ja infrastructure master aiheuttaa ongelmia.
otetaan tilanne tästä. Meillä on useita verkkotunnuksia, jotka näyttävät jopa GC-palvelin. Yhden toimialueen sisällä teemme muutoksen konsernijäsenyyteen ja inframestari tietää tästä muutoksesta., Se ei kuitenkaan Päivitä GC-palvelinta, koska muutosta ei tehty yleisryhmään. Tämä tarkoittaa, on mahdollista, että GC ja infrastruktuuri master ei ole synkronoitu, ja tämä puolestaan voi aiheuttaa todennusongelmia. Siksi varmista, että sinulla on joko infrastruktuurimestari tai GC jokaiselle verkkotunnukselle, mutta ei molempia.
Yhteenveto
kuten näet. FSMO-roolit estävät ristiriidat active Directoryssa ja antavat samalla joustavuutta käsitellä eri toimintoja active Directoryssa., Ne voidaan karkeasti jakaa viiteen eri rooleja, joista kaksi ensimmäistä ovat koko metsää, kun taas loput kolme liittyvät tietyn toimialueen.
Oletko toteuttanut FSMO-rooleja organisaatiossasi? Kerro ajatuksesi meille.
Photo credit: Wikimedia