– >
Active Directory (AD) er en katalogtjenesten som er opprettet med Microsoft, og det kommer som et sett av prosesser og tjenester i de fleste versjoner av Windows Server operativsystemer.
Du kan forestille deg ANNONSEN som en database eller et trygt sted, som lagrer alle attributtene til dine brukere, for eksempel brukernavn, passord og mer., Dette sentralt register automatiserer mange oppgaver som forvaltning av brukerdata, sikkerhetsstillelse, og inter-operasjoner med andre kataloger.
I de første versjonene av ANNONSEN, og det var mange muligheter for konflikter. For eksempel, la oss si, en domenekontroller lagt til en ny medarbeider til databasen. Siden endringen ble gjort til ANNONSEN, det var reflektert i virksomheten, og det er bra. Et par sekunder senere, på et annet domene kontrolleren ønsket å slette registreringer av ansatte som ikke lenger jobbet i bedriften. Ved et uhell, er det slettes denne ansatt fra ANNONSEN din, så vel.,
konflikten management system som eksisterte deretter fulgte «siste forfatter vinner» – politikk, så endringen som er gjort av andre domene kontrolleren var gyldig mens endringen laget av den første domenekontroller ble forkastet. Dette betyr at den ansatte ikke lenger var i systemet og kunne ikke få tilgang til systemets ressurser, som åpenbart ikke er riktig.
for Å unngå slike konflikter, en single-master-modellen ble introdusert. I denne modellen, bare en domenekontroller (DC) kunne utføre en bestemt type oppdatering., I ovennevnte sak, hvis bare den første DC var ansvarlig for å legge til og fjerne ansatte og andre DC hadde ansvar for sikkerhet, og en slik konflikt ikke ville ha oppstått.
Imidlertid, dette kom med begrensninger også. Hva skjer når de første DC går ned? Du kan ikke legge til eller slette de ansatte før det kommer opp igjen. En slik tung avhengighet av en enkelt kontrolleren er aldri bra fra et operativt ståsted.,
Så, Microsoft gikk litt videre i senere versjoner å inkludere flere roller for hver DC og å gi hver DC muligheten til å overføre hele rollen til noen andre DC innenfor samme bedrift. Den åpenbare fordelen her er noen rolle er bundet til noen spesiell DC, så når en går ned, kan du automatisk overføre denne rollen til en annen arbeider DC.
Siden en slik modell gir en stor fleksibilitet, det kalles Fleksibel Enkelt Master Drift (FSMO -).,
Effektivt, FSMO er en multimaster modell som tildeler klare roller og ansvar til hver DC og på samme tid, noe som gir fleksibilitet til å overføre roller hvis det er nødvendig.
FSMO-roller
FSMO er grovt deles inn i fem roller, og de er:
- Skjema master
- Domene navn master
- KVITTE master
- PDC-emulator
- Infrastruktur master
Ut av disse, de to første FSMO-roller er tilgjengelig på skogen nivå, mens de resterende tre er nødvendig for ethvert domene.,
Ekstern Utvidelser
La oss nå se på hver FSMO i dybden.
– Skjema master
Skjema master, som navnet antyder, har en lese-skrive kopi av ANNONSEN hele skjemaet. Hvis du lurer på hva et skjema er, det er alle attributter assosiert med en bruker-objekt og inkluderer passord, rolle, betegnelse, og ansatt-ID, for å nevne noen.
Så, hvis du ønsker å endre ansatt ID, har du å gjøre det i denne DC. Standardinnstillingen er at den første kontrolleren du installere i din skog vil være skjemaet master.,
Domene navn master
Domene navn master er ansvarlig for å verifisere domener, så det er bare én for hver skogen. Dette betyr at hvis du skal lage et helt nytt domene i en eksisterende skog, denne kontrolleren sørger for at et slikt domene ikke allerede eksisterer. Hvis domenet ditt navn master er nede for noen grunn, du kan ikke opprette et nytt domene.
Siden du ikke opprette domener ofte, noen bedrifter foretrekker å ha skjema master og domene navn mester innenfor den samme kontrolleren.,
KVITTE master
Hver gang du oppretter en sikkerhet prinsippet, det være seg en brukerkonto, gruppe-konto, eller en master-konto, blir du ønsker å legge tilgangsrettigheter til det. Men du kan ikke gjøre det basert på navnet til en bruker eller en gruppe på grunn som du kan endre når som helst.
La oss si at du hadde Andy med en bestemt rolle, og han forlot selskapet. Så, du har stengt Andy ‘ s konto, og i stedet tok i Tim. Nå, du har å gå og skifte, Andy med Tim i sikkerhet tilgang til lister over alle ressurser.
Dette er ikke praktisk, da det er tidkrevende og feil utsatt.,
Dette er grunnen til at du knytte hver sikkerhet prinsippet med noe som heter security-ID eller SID. På denne måten, selv om Andy endringer til Tim, SID vil forbli den samme, så du har å gjøre bare én endring.
Denne SIDEN har et bestemt mønster for å sikre at hver SID i systemet er unikt. Det begynner alltid med bokstaven «S», etterfulgt av versjon (begynner med 1) og en identifikator myndighet verdi. Dette er etterfulgt av domenet eller lokale datamaskinen navn som er felles for alle Sider ligger innenfor samme domene. Til slutt, domene-navnet er etterfulgt av det som er kalt en relativ ID eller KVITT.,
Egentlig, KVITT, er verdien som sikrer entydighet mellom forskjellige objekter i active directory.
EN SID vil se ut som dette: S-1-5-32365098609486930-1029. Her 1029 er KVITT som gjør en SID unike mens den lange serien av tall er ditt domenenavn.
Men dette kan føre til konflikter, også. La oss si at vi oppretter to brukerkontoer på samme tid. Dette kan føre til konflikt som det er en mulighet for begge disse objektene har samme SID.,
for Å unngå denne konflikten, RID-master tildeler blokker av 500 til hver domenekontroller. På denne måten, DC1 får RIDs fra 1 til 500, DC2 får RIDs fra 501 til 1000, og så videre. Når en domenekontroller som kjører ut av RIDs, den kommer i kontakt KVITT master-og i sin tur, dette KVITT master tildeler en annen blokk av 500.
Så, KVITT master er ansvarlig for behandling av RID-pool forespørsler fra DCs innen ett domene for å sikre at hver SID er unik.,
PDC-emulator
PDC står for Primære domenekontrolleren og det kommer fra en tid da det var bare en domenekontroller som hadde en lese-skrive kopi av skjemaet. De resterende domenekontrollere var en sikkerhetskopi for denne PDC. Så, hvis du ønsket å endre et passord, vil du har å gå til PDC.
i Dag, det er ikke mer PDCs. Men noen av sine roller som tiden synkronisering og passord management er tatt over av en domenekontroller som kalles PDC-emulator.
La oss se på sin passord management første.,
La oss si at jeg går til en domenekontroller, og tilbakestille passordet mitt, fordi det er utløpt. Så jeg logger på til en annen maskin for et annet nettsted og, la oss si, det kontakter et annet domene kontrolleren for godkjenning. Det er en sjanse for at min pålogging mislykkes fordi den første domenekontroller kan ikke ha kopiert mitt endre passord til andre kontroller.
ET PDC-emulator unngår disse forvirring ved å være kontrolleren for passordet tilbakestilles. Så, min klient vil kontakte PDC-emulator når en påloggingen mislykkes, for å sjekke om det var en endring av passord., Også, alle konto lockout på grunn av feil passord er behandlet på denne PDC-emulator.
Andre enn passord management, PDC-emulator synkroniserer tiden i et helhetlig system. Dette er en viktig funksjonalitet fordi AD godkjenning bruker en protokoll kalt kerberos for sikkerhet. Denne protokollen er viktigste oppgave er å sikre at data-pakker er ikke tatt av nettverket eller tuklet mens den blir overført.,
Så, når det er en forskjell på fem minutter eller mer mellom en server klokke og systemet under godkjenningsprosessen, kerberos mener dette er et angrep, og vil ikke godkjenne deg.
Fint, men hva er rollen som et PDC-emulator her?
Vel, ditt lokale system synkroniserer sin tid med domenekontroller, og domenekontrolleren, i sin tur, synkroniserer sin tid med PDC-emulator. På denne måten, PDC-emulator er master klokke for alle domenekontrollerne i domenet.,
Microsoft
Når denne kontrolleren er nede, din sikkerhet går ned et par hakk, og gjør passord sårbare for angrep.
– Infrastruktur master
kjernen funksjonaliteten av en infrastruktur master er å referere til alle lokale brukere og referanser innen et domene. Denne kontrolleren forstår den generelle infrastrukturen i domenet herunder hvilke objekter som er til stede her.
Det er ansvarlig for oppdatering av objekt-referanser lokalt og sørger for at den er oppdatert i kopier av andre domener., Det håndterer denne oppdateringen gjennom en unik identifikator, muligens en SID.
Infrastruktur master er lik en annen ANNONSE verktøy kalt Global Katalog (GC). Dette GC er som en indeks som vet hvor alt er, inne i et active directory. Hovedinfrastruktur, på den annen side, er en mindre versjon av GC, så det er begrenset innenfor et enkelt domene.
Nå, hvorfor er det viktig å vite om GC her? Fordi GC og infrastruktur master burde ikke være plassert i samme domene kontrolleren., Hvis du skje for å gjøre det, infrastruktur master vil slutte å virke som GC får forrang.
generelt, hvis du har bare en domenekontroller, dette vil ikke saken så mye. Men, hvis du har en stor skog med flere domenekontrollere, tilstedeværelse av både GC og infrastruktur master vil føre til problemer.
La oss ta en situasjon her. Vi har flere domener som ser opp til en GC-server. Inne i et domene, vil vi gjøre en endring gruppen medlemskap og infrastruktur master vet om denne endringen., Men det trenger ikke oppdatere GC-serveren, fordi endringen ikke ble gjort til en universell gruppe. Dette betyr, det er en sjanse for GC og hovedinfrastruktur for å være ute av sync, og i sin tur, dette kan føre til at godkjenning problemer. Det er derfor sørge for at du enten har en infrastruktur master-eller GC-for hvert domene, men ikke begge.
Oppsummering
Som du kan se. FSMO-roller hindre konflikter i et active directory og, på samme tid, gir deg fleksibilitet til å håndtere ulike operasjoner i active directory., De kan grovt deles inn i fem roller, hvorav de to første er for hele skogen mens de resterende tre er knyttet til et bestemt domene.
Har du gjennomført FSMO-roller i organisasjonen? Vennligst dele dine tanker med oss.
Photo credit: Wikimedia