Active Directory (AD) egy könyvtár, a szolgáltatás a Microsoft által létrehozott, majd jön, mint egy sor folyamatok, szolgáltatások a legtöbb Windows-verziók Szerver operációs rendszerek.
elképzelheti a hirdetést adatbázisként vagy biztonságos helyként, amely tárolja a felhasználók összes attribútumát, például felhasználóneveket, jelszavakat stb., Ez a központi adattár számos feladatot automatizál, például a felhasználói adatok kezelését, a biztonság biztosítását, valamint a más könyvtárakkal végzett műveletek közötti műveleteket.
Az AD kezdeti verzióiban sok esély volt a konfliktusokra. Például, mondjuk, egy tartományvezérlő új alkalmazottat adott az adatbázishoz. Mivel a hirdetés megváltozott, az egész vállalkozásban tükröződött, és ez rendben van. Néhány másodperccel később egy másik tartományvezérlő törölni akarta azon alkalmazottak nyilvántartását, akik már nem dolgoztak a vállalkozásban. Véletlenül törölte ezt a munkavállalót a hirdetésből is.,
az akkor létező konfliktuskezelő rendszer követte az” utolsó író nyer ” házirendet, így a második tartományvezérlő által végrehajtott módosítás akkor volt érvényes, amikor az első tartományvezérlő által végrehajtott módosítást elvetették. Ez azt jelenti, hogy az új alkalmazott már nem volt a rendszerben, és nem tudott hozzáférni a rendszer erőforrásaihoz, ami nyilvánvalóan nem helyes.
az ilyen konfliktusok elkerülése érdekében egy master modellt vezettek be. Ebben a modellben csak egy tartományvezérlő (DC) hajthat végre egy adott típusú frissítést., A fenti esetben, ha csak az első DC volt felelős az alkalmazottak felvételéért és eltávolításáért, a második DC pedig a biztonságért felelős, akkor ilyen konfliktus nem történt volna meg.
Ez azonban korlátozásokkal is járt. Mi történik, ha az első DC lemegy? Addig nem adhat hozzá vagy törölhet alkalmazottakat, amíg vissza nem jön. Az ilyen nagy függőség egyetlen vezérlőtől soha nem jó működési szempontból.,
tehát a Microsoft egy kicsit tovább ment a későbbi verziókban, hogy minden DC-hez több szerepkört tartalmazzon, és hogy minden DC-nek képes legyen a teljes szerepet átvinni bármely más DC-re ugyanazon vállalkozáson belül. A nyilvánvaló előnye itt nincs szerepe van kötve egy adott DC, így amikor az egyik lemegy, akkor automatikusan át ezt a szerepet egy másik működő DC.
mivel egy ilyen modell sok rugalmasságot kínál, Flexible Single Master Operation (FSMO) – nak hívják.,
hatékonyan az FSMO egy multimaster modell, amely egyértelmű szerepeket és felelősségeket rendel minden DC-hez, ugyanakkor rugalmasságot biztosít a szerepek átviteléhez, ha szükséges.
FSMO szerepkörök
FSMO nagyjából osztva öt szerepek vannak:
- Séma-főkiszolgáló
- Domain naming master
- RID-főkiszolgáló
- PDC emulátor
- Infrastruktúra mester
ezek közül az első két FSMO szerepkörök elérhető az erdő szinten, míg a maradék három vagy szükséges, hogy minden domain.,
távoli kiterjesztések
nézzük meg minden FSMO szerepet mélységben.
séma mester
séma mester, ahogy a neve is sugallja, rendelkezik egy olvasási-írási másolatot a hirdetés teljes séma. Ha kíváncsi, hogy mi a séma, akkor a felhasználói objektumhoz társított összes attribútum tartalmazza a jelszót, a szerepet, a kijelölést és az alkalmazotti azonosítót, hogy néhányat megnevezzen.
tehát, ha meg akarja változtatni az alkalmazott azonosítóját, akkor ezt meg kell tennie ebben a DC-ben. Alapértelmezés szerint az erdőbe telepített első vezérlő lesz a séma mester.,
Domain naming master
Domain naming master ellenőrzéséért felelős tartományok, így csak egy van, minden erdő. Ez azt jelenti, hogy ha egy teljesen új domaint hoz létre egy meglévő erdőben, ez a vezérlő biztosítja, hogy egy ilyen domain még ne létezzen. Ha a domain névadó mester bármilyen okból le van állítva, akkor nem hozhat létre új domaint.
mivel nem hoz létre gyakran domaineket, egyes vállalkozások inkább a sémamester és a tartománynév-mester használatát részesítik előnyben ugyanazon vezérlőn belül.,
rid master
minden alkalommal, amikor biztonsági elvet hoz létre, legyen az Felhasználói fiók, Csoportos fiók vagy mester fiók, hozzá szeretne adni hozzáférési jogosultságokat. De nem teheti meg egy felhasználó vagy csoport neve alapján, mert ez bármikor megváltozhat.
tegyük fel, hogy volt Andy egy bizonyos szerepet, és elhagyta a cég. Szóval, bezárta Andy számláját, és helyette behozta Timet. Most, el kell menned és Helyettesítened Andy-t Tim-el minden erőforrás biztonsági hozzáférési listájában.
Ez nem praktikus, mivel időigényes és hibára hajlamos.,
ezért társít minden biztonsági elvet egy biztonsági azonosítóval vagy SID-vel. Így, még ha Andy változik Tim, A SID ugyanaz marad, így lesz, hogy csak egy változás.
Ez a SID egy speciális mintával rendelkezik annak biztosítására, hogy a rendszer minden oldala egyedi legyen. Mindig az “S” betűvel kezdődik, majd a verzió (1-gyel kezdődik) és az azonosító hatóság értéke. Ezt követi a tartomány vagy a helyi számítógép neve, amely közös az összes SIDs belül található ugyanazon a tartományon. Végül a domain nevet követi az úgynevezett relatív azonosító vagy RID.,
lényegében a RID az az érték, amely biztosítja az egyediséget az aktív könyvtár különböző objektumai között.
A SID így fog kinézni: S-1-5-32365098609486930-1029. Itt az 1029 a RID, amely egyedivé teszi a SID-t, míg a hosszú számsor az Ön domain neve.
de ez konfliktusokhoz is vezethet. Tegyük fel, hogy egyszerre két felhasználói fiókot hozunk létre. Ez konfliktust okozhat, mivel mindkét objektumnak lehetősége van arra, hogy ugyanaz a SID legyen.,
a konfliktus elkerülése érdekében a RID master 500 blokkokat rendel minden tartományvezérlőhöz. Így a DC1 rid-eket kap 1-től 500-ig, a DC2-t 501-től 1000-ig, stb. Amikor egy tartományvezérlő elfogy a rid-ből, kapcsolatba lép a RID mesterrel, ez a RID mester pedig egy másik 500-as blokkot rendel.
tehát a RID master felelős a DCS RID pool kéréseinek egyetlen tartományon belüli feldolgozásáért annak biztosítása érdekében, hogy minden SID egyedi legyen.,
PDC emulátor
A PDC az elsődleges tartományvezérlőt jelenti, amely egy olyan időből származik, amikor csak egy tartományvezérlő volt, amely a séma olvasási-írási példányát tartalmazta. A fennmaradó tartományvezérlők biztonsági másolatot készítettek erre a PDC-re. Tehát, ha meg akarja változtatni a jelszót, akkor a PDC-hez kell mennie.
ma nincs több PDC. De néhány szerepkörét, mint az időszinkronizálás és a jelszókezelés, egy PDC emulátor nevű tartományvezérlő veszi át.
először nézzük meg a jelszókezelést.,
tegyük fel, hogy egy tartományvezérlőhöz megyek, és visszaállítom a jelszavamat, mert lejárt. Ezután bejelentkezek egy másik gépre egy másik webhelyre, és mondjuk egy másik tartományvezérlővel lép kapcsolatba a hitelesítéshez. Van esély arra, hogy a bejelentkezésem sikertelen lesz, mert előfordulhat, hogy az első tartományvezérlő nem replikálta a jelszavam megváltoztatását más vezérlőkre.
A PDC emulátor elkerüli ezeket a zavarokat azáltal, hogy a jelszó visszaállításának vezérlője. Tehát ügyfelem felveszi a kapcsolatot a PDC emulátorral, ha a bejelentkezés sikertelen, hogy ellenőrizze, történt-e Jelszó módosítása., Ezen a PDC emulátoron a hibás jelszavak miatt minden fiókzárolás feldolgozásra kerül.
a jelszókezelés kivételével a PDC emulátor szinkronizálja az időt egy vállalati rendszerben. Ez fontos funkció, mivel a hirdetés hitelesítése a kerberos nevű protokollt használja a biztonság érdekében. Ennek a protokollnak a fő feladata annak biztosítása, hogy az adatcsomagokat ne vegyék le a hálózatról, vagy ne manipulálják továbbítás közben.,
tehát, ha a szerveróra és a rendszer között legalább öt perc különbség van a hitelesítési folyamat során, kerberos úgy gondolja, hogy ez támadás, és nem hitelesíti Önt.
finom, de mi a szerepe egy PDC emulátor itt?
Nos, a helyi rendszer szinkronizálja az idejét a tartományvezérlővel, a tartományvezérlő pedig szinkronizálja az idejét a PDC emulátorral. Így a PDC emulátor a tartomány összes tartományvezérlőjének fő órája.,
Microsoft
Ha ez a vezérlő le van kapcsolva, a biztonság néhány bevágással csökken, és a jelszavakat sebezhetővé teszi a támadásokkal szemben.
Infrastructure master
az infrastructure master alapvető funkciója az, hogy egy tartományon belüli összes helyi felhasználót és hivatkozást hivatkozzon. Ez a vezérlő megérti a domain általános infrastruktúráját, beleértve azt is, hogy milyen objektumok vannak jelen.
felelős az objektumhivatkozások helyi frissítéséért, valamint biztosítja, hogy naprakész legyen más domainek másolataiban., Kezeli ezt a frissítési folyamatot egy egyedi azonosító, esetleg egy SID.
az Infrastructure master hasonló a Global Catalog (GC) nevű másik hirdetési eszközhöz. Ez a GC olyan, mint egy index, amely tudja, hol van minden, egy aktív könyvtárban. Az infrastructure master viszont a GC kisebb változata, mivel egyetlen tartományon belül korlátozott.
most, miért fontos tudni a GC-ről itt? Mivel a GC-t és az infrastructure master-t nem szabad ugyanabba a tartományvezérlőbe helyezni., Ha ez megtörténik, Az infrastruktúra-mester leáll, mivel a GC elsőbbséget élvez.
általában, ha csak egy tartományvezérlője van, ez nem számít annyira. De ha van egy nagy erdő több domain vezérlővel, akkor mind a GC, mind az infrastructure master jelenléte problémákat okoz.
Vegyünk egy helyzetet itt. Több domainünk van, amelyek egy GC kiszolgálóra néznek. Egy tartományon belül változtatunk a csoport tagságán, és az infrastruktúra mester tud erről a változásról., De nem frissíti a GC szervert, mert a változás nem egy univerzális csoportra történt. Ez azt jelenti, hogy van esély arra, hogy a GC és az infrastructure master szinkronban legyen, ami viszont hitelesítési problémákat okozhat. Ezért győződjön meg arról, hogy van-e infrastruktúra-mester vagy GC Minden domainhez, de nem mindkettő.
összefoglaló
mint látható. Az FSMO szerepkörök megakadályozzák az Active directory konfliktusait, ugyanakkor rugalmasságot biztosítanak az active directory különböző műveleteinek kezeléséhez., Ezek nagyjából öt szerepre oszthatók, amelyek közül az első kettő az egész erdőre vonatkozik, míg a fennmaradó három egy adott tartományra vonatkozik.
végrehajtotta az FSMO szerepeket a szervezetében? Kérjük, ossza meg velünk gondolatait.
Fotó hitel: Wikimedia