Active Directory (AD) jest usługą katalogową stworzoną przez firmę Microsoft.
możesz sobie wyobrazić reklamę jako bazę danych lub bezpieczną lokalizację, która przechowuje wszystkie atrybuty Twoich użytkowników, takie jak nazwy użytkowników, hasła i inne., To centralne repozytorium automatyzuje wiele zadań, takich jak zarządzanie danymi użytkowników, zapewnienie bezpieczeństwa i wzajemne operacje z innymi katalogami.
w początkowych wersjach AD było wiele szans na konflikty. Na przykład, powiedzmy, kontroler domeny dodał nowego pracownika do bazy danych. Ponieważ zmiany zostały wprowadzone w reklamie, zostały odzwierciedlone w całym przedsiębiorstwie, i to jest w porządku. Kilka sekund później inny kontroler domeny chciał usunąć zapisy pracowników, którzy nie pracowali już w przedsiębiorstwie. Przypadkowo usunął również tego pracownika z ogłoszenia.,
istniejący wówczas system zarządzania konfliktami stosował zasadę „last Writer wins”, więc zmiana dokonana przez drugi kontroler domeny była ważna, podczas gdy zmiana dokonana przez pierwszy kontroler domeny została odrzucona. Oznacza to, że nowy pracownik nie był już w systemie i nie mógł uzyskać dostępu do zasobów systemu, co oczywiście nie jest właściwe.
aby zapobiec takim konfliktom, wprowadzono model single-master. W tym modelu tylko jeden kontroler domeny (DC) mógł wykonać konkretny typ aktualizacji., W powyższym przypadku, gdyby tylko pierwszy DC był odpowiedzialny za dodawanie i usuwanie pracowników, a drugi DC był odpowiedzialny za bezpieczeństwo, wówczas taki konflikt nie doszedłby do skutku.
jednak to przyszło również z ograniczeniami. Co się stanie, gdy padnie pierwsza stolica? Nie można dodawać ani usuwać pracowników, dopóki nie pojawi się ponownie. Tak duża zależność od jednego kontrolera nigdy nie jest dobra z operacyjnego punktu widzenia.,
Tak więc Microsoft poszedł nieco dalej w kolejnych wersjach, aby uwzględnić wiele ról dla każdego DC i dać każdemu DC możliwość przeniesienia całej roli do dowolnego innego DC w tym samym przedsiębiorstwie. Oczywistą zaletą jest to, że żadna rola nie jest związana z żadnym konkretnym DC, więc gdy jeden idzie w dół, Możesz automatycznie przenieść tę rolę do innego działającego DC.
ponieważ taki model oferuje dużą elastyczność, nazywa się to elastyczną operacją pojedynczego mistrza (FSMO).,
skutecznie, FSMO jest modelem multimaster, który przypisuje jasne role i obowiązki każdemu DC, a jednocześnie, dając elastyczność przenoszenia ról w razie potrzeby.
role FSMO
FSMO jest zasadniczo podzielone na pięć ról i są to:
- Schema master
- domain naming master
- RID master
- emulator PDC
- Infrastructure master
z tych dwóch pierwszych ról FSMO są dostępne na poziomie lasu, podczas gdy pozostałe trzy są niezbędne dla każdej domeny.,
zdalne rozszerzenia
przyjrzyjmy się teraz dogłębnie każdej roli FSMO.
Schema master
Schema master, jak sama nazwa wskazuje, przechowuje kopię do odczytu i zapisu całego schematu reklamy. Jeśli zastanawiasz się, czym jest schemat, to są to wszystkie atrybuty powiązane z obiektem użytkownika i obejmują hasło, rolę, oznaczenie i identyfikator pracownika, aby wymienić tylko kilka.
więc jeśli chcesz zmienić identyfikator pracownika, musisz to zrobić w tym DC. Domyślnie pierwszy kontroler, który zainstalujesz w swoim lesie, będzie wzorcem schematu.,
domain naming master
Domain naming master jest odpowiedzialny za weryfikację domen, więc dla każdego lasu jest tylko jedna. Oznacza to, że jeśli tworzysz zupełnie nową domenę w istniejącym lesie, kontroler ten zapewnia, że taka domena już nie istnieje. Jeśli mistrz nazewnictwa domeny jest wyłączony z jakiegokolwiek powodu, nie możesz utworzyć nowej domeny.
ponieważ nie tworzy się często domen, niektóre przedsiębiorstwa wolą mieć wzorzec schematu i wzorzec nazewnictwa domen w ramach tego samego kontrolera.,
rid master
za każdym razem, gdy tworzysz zasadę bezpieczeństwa, czy to konto użytkownika, konto grupy, czy konto główne, chcesz dodać do niej uprawnienia dostępu. Ale nie możesz tego zrobić na podstawie nazwy użytkownika lub grupy, ponieważ może to ulec zmianie w dowolnym momencie.
Załóżmy, że miałeś Andy ' ego z konkretną rolą i odszedł z firmy. Więc zamknęłaś konto Andy ' ego, a zamiast tego przyprowadziłaś Tima. Teraz będziesz musiał zastąpić Andy ' ego Timem na listach zabezpieczeń każdego Zasobu.
nie jest to praktyczne, ponieważ jest czasochłonne i podatne na błędy.,
dlatego każdą zasadę bezpieczeństwa kojarzysz z czymś, co nazywa się security ID lub SID. W ten sposób, nawet jeśli Andy zmieni Tima, SID pozostanie taki sam, więc będziesz musiał dokonać tylko jednej zmiany.
Ten SID ma specyficzny wzorzec, aby zapewnić, że każdy SID w systemie jest unikalny. Zawsze zaczyna się od litery „S”, po której następuje wersja (zaczyna się od 1) i wartość identyfikatora. Po tym następuje nazwa domeny lub komputera lokalnego, która jest wspólna dla wszystkich Sid znajdujących się w tej samej domenie. Na koniec, po nazwie domeny następuje coś, co nazywa się względnym ID lub RID.,
zasadniczo RID jest wartością zapewniającą unikalność między różnymi obiektami w Active directory.
a SID będzie wyglądał tak: S-1-5-32365098609486930-1029. Tutaj 1029 to RID, który sprawia, że SID jest unikalny, podczas gdy długa seria liczb to Twoja nazwa domeny.
ale to też może prowadzić do konfliktów. Załóżmy, że tworzymy dwa konta użytkowników w tym samym czasie. Może to spowodować konflikt, ponieważ istnieje możliwość, że oba te obiekty mają ten sam SID.,
aby uniknąć tego konfliktu, RID master przypisuje bloki po 500 do każdego kontrolera domeny. W ten sposób, DC1 dostaje Ridów od 1 do 500, DC2 dostaje Ridów od 501 do 1,000, i tak dalej. Gdy kontroler domeny skończy się, kontaktuje się z RID master i z kolei ten rid master przypisuje kolejny blok 500.
tak więc, rid master jest odpowiedzialny za przetwarzanie żądań rid pool od DCs w ramach jednej domeny, aby upewnić się, że każdy SID jest unikalny.,
emulator PDC
PDC oznacza Primary Domain Controller i pochodzi z czasów, gdy był tylko jeden kontroler domeny, który miał kopię do odczytu i zapisu schematu. Pozostałe kontrolery domeny stanowiły kopię zapasową tego PDC. Więc, jeśli chcesz zmienić hasło, musisz iść do PDC.
dzisiaj nie ma już PDC. Ale kilka jego ról, takich jak Synchronizacja czasu i zarządzanie hasłami, są przejmowane przez kontroler domeny o nazwie emulator PDC.
przyjrzyjmy się najpierw zarządzaniu hasłami.,
Załóżmy, że przechodzę do jednego kontrolera domeny i resetuję Hasło, ponieważ wygasło. Następnie loguję się na innym komputerze do innej witryny i, powiedzmy, kontaktuje się z innym kontrolerem domeny w celu uwierzytelnienia. Istnieje szansa, że mój login nie powiedzie się, ponieważ pierwszy kontroler domeny może nie replikować mojej zmiany hasła na inne kontrolery.
emulator PDC unika tych nieporozumień, będąc kontrolerem resetowania haseł. Tak więc, mój klient skontaktuje się z emulatorem PDC, gdy login nie powiedzie się, aby sprawdzić, czy nie było zmiany hasła., Ponadto, wszystkie blokady konta z powodu niewłaściwych haseł są przetwarzane na tym emulatorze PDC.
oprócz zarządzania hasłami, emulator PDC synchronizuje czas w systemie korporacyjnym. Jest to ważna funkcjonalność, ponieważ uwierzytelnianie AD wykorzystuje protokół o nazwie kerberos dla bezpieczeństwa. Głównym zadaniem tego protokołu jest zapewnienie, że pakiety danych nie są usuwane z sieci lub modyfikowane podczas przesyłania.,
tak więc, gdy podczas procesu uwierzytelniania jest różnica co najmniej pięciu minut między zegarem serwera a twoim systemem, kerberos uważa, że jest to atak i nie uwierzytelni Cię.
dobra, ale jaka jest tu rola emulatora PDC?
cóż, twój lokalny system synchronizuje swój czas z kontrolerem domeny, a kontroler domeny z kolei synchronizuje swój czas z emulatorem PDC. W ten sposób emulator PDC jest zegarem głównym dla wszystkich kontrolerów domeny w Twojej domenie.,
Microsoft
gdy ten kontroler jest wyłączony, Twoje zabezpieczenia spadają o kilka wycięć i sprawiają, że hasła są podatne na ataki.
Infrastructure master
podstawową funkcjonalnością infrastructure master jest odwoływanie się do wszystkich lokalnych użytkowników i odniesień w danej domenie. Kontroler ten rozumie ogólną infrastrukturę domeny, w tym, jakie obiekty są w niej obecne.
jest odpowiedzialny za lokalną aktualizację odniesień do obiektów, a także zapewnia aktualność w kopiach innych domen., Obsługuje ten proces aktualizacji za pomocą unikalnego identyfikatora, prawdopodobnie SID.
Infrastructure master jest podobny do innego narzędzia reklamowego o nazwie Global Catalog (GC). Ten GC jest jak indeks, który wie, gdzie wszystko jest w Active directory. Infrastructure master, z drugiej strony, jest mniejszą wersją GC, ponieważ jest ograniczona w jednej domenie.
Dlaczego warto wiedzieć o GC tutaj? Ponieważ GC i infrastructure master nie powinny być umieszczone w tym samym kontrolerze domeny., Jeśli zdarzy ci się to zrobić, mistrz infrastruktury przestanie działać, gdy GC otrzyma pierwszeństwo.
ogólnie rzecz biorąc, jeśli masz tylko jeden kontroler domeny, nie ma to większego znaczenia. Ale jeśli masz duży las z wieloma kontrolerami domen, obecność zarówno GC, jak i infrastructure master spowoduje problemy.
przyjrzyjmy się sytuacji. Mamy wiele domen, które przypominają serwer GC. Wewnątrz jednej domeny dokonujemy zmiany w członkostwie w grupie, a mistrz infrastruktury wie o tej zmianie., Ale nie aktualizuje serwera GC, ponieważ zmiana nie została wprowadzona do grupy uniwersalnej. Oznacza to, że istnieje szansa, że Twój GC i mistrz infrastruktury nie będą zsynchronizowane, co z kolei może powodować problemy z uwierzytelnianiem. Dlatego upewnij się, że masz mistrza infrastruktury lub GC dla każdej domeny, ale nie obu.
podsumowanie
Jak widać. Role FSMO zapobiegają konfliktom w usłudze Active directory i jednocześnie zapewniają elastyczność obsługi różnych operacji w usłudze Active directory., Można je zasadniczo podzielić na pięć ról, z których dwie pierwsze dotyczą całego lasu, podczas gdy pozostałe trzy dotyczą konkretnej dziedziny.
czy wdrożyłeś role FSMO w swojej organizacji? Podziel się z nami swoimi przemyśleniami.
zdjęcie pochodzi z: Wikimedia