Active Directory คืออะไร
บริการโดเมน Active Directory คือเซิร์ฟเวอร์ไดเรกทอรีของ Microsoft มันมีกลไกการพิสูจน์ตัวตนและการอนุญาตเช่นเดียวกับกรอบภายในที่บริการอื่น ๆ ที่เกี่ยวข้องสามารถปรับใช้ (บริการออกใบรับรอง AD, AD Federated Services ฯลฯ ) มันเป็นฐานข้อมูลที่เข้ากันได้กับLDAPที่มีวัตถุ วัตถุที่ใช้บ่อยที่สุดคือผู้ใช้คอมพิวเตอร์และกลุ่ม วัตถุเหล่านี้สามารถจัดเป็นหน่วยขององค์กร (OUs) ตามจำนวนความต้องการทางตรรกะหรือธุรกิจใด ๆ Group Policy Objects (GPOs)สามารถเชื่อมโยงกับ OU เพื่อรวมศูนย์การตั้งค่าสำหรับผู้ใช้หรือคอมพิวเตอร์ต่าง ๆ ทั่วทั้งองค์กร
เมื่อมีคนพูดว่า "Active Directory" พวกเขามักจะอ้างถึง "บริการโดเมน Active Directory" สิ่งสำคัญคือต้องทราบว่ามีบทบาท / ผลิตภัณฑ์อื่น ๆ ของ Active Directory เช่น Certificate Services, Federation Services, Lightweight Directory Services, บริการการจัดการสิทธิ์เป็นต้นคำตอบนี้อ้างอิงเฉพาะกับ Active Directory Domain Services
โดเมนคืออะไรและฟอเรสต์คืออะไร
ฟอเรสต์เป็นเขตรักษาความปลอดภัย วัตถุในฟอเรสต์แยกกันจะไม่สามารถโต้ตอบซึ่งกันและกันได้เว้นแต่ผู้ดูแลระบบของฟอเรสต์ที่แยกกันจะสร้างความเชื่อถือระหว่างกัน ตัวอย่างเช่นบัญชี Enterprise Administrator สำหรับdomain1.comซึ่งโดยปกติเป็นบัญชีที่มีสิทธิ์มากที่สุดของฟอเรสต์จะไม่มีสิทธิ์ใด ๆ เลยในฟอเรสต์ที่สองdomain2.comแม้ว่าชื่อฟอเรสต์เหล่านั้นจะอยู่ภายใน LAN เดียวกันยกเว้นว่ามีความน่าเชื่อถือ .
หากคุณมีหน่วยธุรกิจที่แยกจากกันหลายหน่วยหรือมีความจำเป็นในการแยกขอบเขตความปลอดภัยคุณต้องมีหลายฟอเรสต์
โดเมนเป็นขอบเขตการจัดการ โดเมนเป็นส่วนหนึ่งของฟอเรสต์ โดเมนแรกในฟอเรสต์เรียกว่าโดเมนรูทฟอเรสต์ ในองค์กรขนาดเล็กและขนาดกลางหลายแห่ง (และแม้แต่องค์กรขนาดใหญ่บางแห่ง) คุณจะพบโดเมนเดียวในฟอเรสต์เดียว โดเมนรากของฟอเรสต์จะกำหนดเนมสเปซเริ่มต้นสำหรับฟอเรสต์ ตัวอย่างเช่นหากมีการตั้งชื่อโดเมนแรกในฟอเรสต์ใหม่domain1.comนั่นคือโดเมนรูทฟอเรสต์ หากคุณมีความต้องการทางธุรกิจสำหรับโดเมนของเด็กเช่น - chiสำนักงานสาขาในชิคาโกคุณอาจตั้งชื่อโดเมนลูก FQDNของโดเมนลูกจะเป็นchi.domain1.com. คุณจะเห็นได้ว่าชื่อโดเมนลูกนั้นเป็นชื่อของโดเมนรูทฟอเรสต์แบบต่อเติม นี่คือวิธีการทำงาน คุณสามารถแยกส่วนเนมสเปซออกจากกันในฟอเรสต์เดียวกันได้
ในกรณีส่วนใหญ่คุณจะต้องพยายามทำทุกอย่างที่เป็นไปได้เพื่อให้มีโดเมนโฆษณาเดียว ช่วยลดความยุ่งยากในการจัดการและรุ่นโฆษณาสมัยใหม่ทำให้ง่ายต่อการมอบหมายการควบคุมตาม OU ซึ่งช่วยลดความต้องการโดเมนลูก
ฉันสามารถตั้งชื่อโดเมนของฉันได้ตามที่ต้องการใช่ไหม
ไม่ได้จริงๆ dcpromo.exeเครื่องมือที่จัดการการส่งเสริมเซิร์ฟเวอร์ไปยัง DC นั้นไม่ได้เป็นหลักฐานที่งี่เง่า มันช่วยให้คุณตัดสินใจได้ไม่ดีกับการตั้งชื่อของคุณดังนั้นให้ใส่ใจกับหัวข้อนี้หากคุณไม่แน่ใจ (แก้ไข: dcpromo เลิกใช้แล้วใน Server 2012 ใช้Install-ADDSForestPowerShell cmdlet หรือติดตั้ง AD DS จาก Server Manager)
ก่อนอื่นอย่าใช้ TLD ที่สร้างขึ้นเช่น. local, .lan, .corp หรืออึอื่น ๆ TLD เหล่านั้นจะไม่ถูกจอง ICANN กำลังขาย TLD ในขณะนี้ดังนั้นสิ่งmycompany.corpที่คุณใช้ในวันนี้อาจเป็นของใครบางคนในวันพรุ่งนี้ หากคุณเป็นเจ้าของmycompany.comแล้วสิ่งที่สมาร์ทจะทำคือการใช้สิ่งที่ต้องการinternal.mycompany.comหรือad.mycompany.comชื่อ AD ภายในของคุณ หากคุณใช้mycompany.comเป็นเว็บไซต์ที่แก้ไขได้จากภายนอกคุณควรหลีกเลี่ยงการใช้ชื่อดังกล่าวเป็นชื่อโฆษณาภายในของคุณเช่นกันเนื่องจากคุณจะต้องจบลงด้วย DNS แบบแยกส่วน
ตัวควบคุมโดเมนและแคตตาล็อกทั่วโลก
เซิร์ฟเวอร์ที่ตอบสนองต่อการตรวจสอบสิทธิ์หรือคำขอการอนุญาตคือ Domain Controller (DC) ในกรณีส่วนใหญ่ตัวควบคุมโดเมนจะถือสำเนาที่แค็ตตาล็อกสากล Global Catalog (GC) เป็นชุดวัตถุบางส่วนในโดเมนทั้งหมดในฟอเรสต์ สามารถค้นหาได้โดยตรงซึ่งหมายความว่าโดยทั่วไปการสืบค้นข้ามโดเมนสามารถทำได้ใน GC โดยไม่จำเป็นต้องมีการอ้างอิงไปยัง DC ในโดเมนเป้าหมาย หากมีการสอบถาม DC บนพอร์ต 3268 (3269 หากใช้ SSL) แสดงว่า GC กำลังถูกสอบถาม ถ้าพอร์ต 389 (636 ถ้าใช้ SSL) สอบถามแล้วสอบถาม LDAP มาตรฐานจะถูกใช้และวัตถุที่มีอยู่ในโดเมนอื่น ๆ อาจต้องใช้การอ้างอิง
เมื่อผู้ใช้พยายามเข้าสู่ระบบคอมพิวเตอร์ที่เข้าร่วมกับ AD โดยใช้ข้อมูลประจำตัวโฆษณาของพวกเขาชื่อผู้ใช้และรหัสผ่านที่ใส่เกลือและ hashed ถูกส่งไปยัง DC สำหรับทั้งบัญชีผู้ใช้และบัญชีคอมพิวเตอร์ที่เข้าสู่ระบบใช่ คอมพิวเตอร์เข้าสู่ระบบด้วย สิ่งนี้มีความสำคัญเนื่องจากหากมีสิ่งใดเกิดขึ้นกับบัญชีคอมพิวเตอร์ใน AD เช่นมีคนรีเซ็ตบัญชีหรือลบบัญชีคุณอาจได้รับข้อผิดพลาดที่บอกว่าไม่มีความสัมพันธ์แบบเชื่อถือได้ระหว่างคอมพิวเตอร์และโดเมน แม้ว่าข้อมูลรับรองเครือข่ายของคุณจะใช้ได้ แต่คอมพิวเตอร์ก็ไม่ไว้วางใจให้ลงชื่อเข้าใช้โดเมนอีกต่อไป
ความกังวลเกี่ยวกับสถานะของ Domain Controller
ฉันได้ยิน "ฉันมีตัวควบคุมโดเมนหลัก (PDC) และต้องการติดตั้งตัวควบคุมโดเมนสำรอง (BDC)" บ่อยครั้งกว่าที่ฉันอยากจะเชื่อ แนวคิดของ PDC และ BDCs เสียชีวิตด้วย Windows NT4 ป้อมปราการสุดท้ายสำหรับ PDC อยู่ในโหมดผสมการเปลี่ยนผ่านของ Windows 2000 เมื่อคุณยังคงมี NT4 DCs อยู่ โดยพื้นฐานแล้วถ้าคุณไม่สนับสนุนการติดตั้งอายุ 15 ปีขึ้นไปซึ่งไม่เคยได้รับการอัพเกรดคุณไม่มี PDC หรือ BDC จริงๆคุณมีตัวควบคุมโดเมนสองตัว
DC หลายตัวสามารถตอบคำขอการตรวจสอบสิทธิ์จากผู้ใช้และคอมพิวเตอร์ที่แตกต่างกันได้พร้อมกัน หากล้มเหลวบุคคลอื่นจะดำเนินการต่อเพื่อให้บริการการตรวจสอบความถูกต้องโดยไม่ต้องทำ "หลัก" อย่างที่คุณต้องทำใน NT4 วัน วิธีที่ดีที่สุดคือมีอย่างน้อยสอง DC ต่อโดเมน DCs เหล่านี้ทั้งคู่ควรเก็บสำเนาของ GC และทั้งคู่ควรเป็นเซิร์ฟเวอร์ DNS ที่เก็บสำเนาของโซน DNS รวมของ Active Directory สำหรับโดเมนของคุณเช่นกัน
บทบาท FSMO
"ดังนั้นถ้าไม่มี PDCs ทำไมถึงมีบทบาท PDC ที่ DC เพียงอันเดียวเท่านั้นที่สามารถมีได้"
ฉันได้ยินสิ่งนี้มาก มีบทบาทPDC Emulator มันแตกต่างจากการเป็น PDC ในความเป็นจริงมี5 บทบาทยืดหยุ่นหนึ่งต้นแบบการดำเนินงาน (FSMO) สิ่งเหล่านี้เรียกว่าบทบาทของ Operations Master เช่นกัน คำสองคำนี้ใช้แทนกันได้ พวกเขาคืออะไรและพวกเขาทำอะไร คำถามที่ดี! 5 บทบาทและหน้าที่ของพวกเขาคือ:
การตั้งชื่อโดเมน - มีเพียงหนึ่งการตั้งชื่อโดเมนต่อฟอเรสต์เดียวเท่านั้น Domain Naming Master ทำให้แน่ใจว่าเมื่อมีการเพิ่มโดเมนใหม่ในฟอเรสต์นั้นจะไม่ซ้ำกัน หากเซิร์ฟเวอร์ที่มีบทบาทนี้ออฟไลน์คุณจะไม่สามารถเปลี่ยนแปลงเนมสเปซ AD ซึ่งรวมถึงสิ่งต่าง ๆ เช่นการเพิ่มโดเมนลูกใหม่
Schema Master - มี Master Operations Schema เพียงหนึ่งเดียวในฟอเรสต์ รับผิดชอบการปรับปรุง Active Directory Schema งานที่ต้องใช้สิ่งนี้เช่นการเตรียม AD สำหรับ Windows Server รุ่นใหม่ที่ทำงานเป็น DC หรือการติดตั้ง Exchange ต้องมีการปรับเปลี่ยน Schema การปรับเปลี่ยนเหล่านี้จะต้องทำจาก Schema Master
Infrastructure Master - มี Infrastructure Master หนึ่งโดเมนต่อหนึ่งโดเมน หากคุณมีโดเมนเดียวในฟอเรสต์ของคุณคุณไม่จำเป็นต้องกังวลกับมัน ถ้าคุณมีป่าหลายแล้วคุณควรตรวจสอบให้แน่ใจว่าบทบาทนี้ไม่ได้จัดขึ้นโดยเซิร์ฟเวอร์ที่ยังเป็นผู้ถือ GC เว้นแต่ทุก DC ในป่าเป็น GC ต้นแบบโครงสร้างพื้นฐานมีหน้าที่ตรวจสอบให้แน่ใจว่ามีการจัดการการอ้างอิงข้ามโดเมนอย่างถูกต้อง หากมีการเพิ่มผู้ใช้ในโดเมนหนึ่งให้กับกลุ่มในโดเมนอื่นต้นแบบโครงสร้างพื้นฐานสำหรับโดเมนที่สงสัยต้องแน่ใจว่าจัดการได้อย่างถูกต้อง บทบาทนี้จะทำงานไม่ถูกต้องหากอยู่ในแค็ตตาล็อกส่วนกลาง
RID Master - Master ID เชิงสัมพันธ์ (RID Master) รับผิดชอบในการออก RID pool ไปยัง DCs มีหนึ่ง RID หลักต่อโดเมน วัตถุใด ๆ ในโดเมนโฆษณามีSecurity Identifier (SID) ที่ไม่ซ้ำกัน. สิ่งนี้ประกอบขึ้นจากการรวมกันของตัวระบุโดเมนและตัวระบุที่เกี่ยวข้อง ทุกวัตถุในโดเมนที่กำหนดมีตัวระบุโดเมนเดียวกันดังนั้นตัวระบุที่เกี่ยวข้องคือสิ่งที่ทำให้วัตถุไม่ซ้ำกัน DC แต่ละตัวมีพูลของ ID ที่เกี่ยวข้องที่จะใช้ดังนั้นเมื่อ DC นั้นสร้างวัตถุใหม่จะผนวก RID ที่ยังไม่ได้ใช้ เนื่องจาก DCs มีการออกพูลที่ไม่ทับซ้อนกัน RID แต่ละรายการควรยังคงไม่ซ้ำกันในช่วงระยะเวลาของโดเมน เมื่อ DC ถึง ~ 100 RID ที่เหลืออยู่ในพูลของมันมันจะร้องขอพูลใหม่จาก RID ต้นแบบ ถ้า RID ต้นแบบออฟไลน์เป็นระยะเวลานานการสร้างวัตถุอาจล้มเหลว
PDC Emulator - ในที่สุดเราได้รับบทบาทที่เข้าใจผิดอย่างกว้างขวางที่สุดของพวกเขาทั้งหมดคือบทบาทของ PDC Emulator มีหนึ่ง PDC Emulator ต่อโดเมน หากมีความพยายามในการรับรองความถูกต้องล้มเหลวมันจะถูกส่งต่อไปยัง PDC Emulator PDC Emulator ทำหน้าที่เป็น "tie-breaker" หากรหัสผ่านได้รับการปรับปรุงใน DC หนึ่งและยังไม่ได้ทำซ้ำกับคนอื่น ๆ PDC Emulator เป็นเซิร์ฟเวอร์ที่ควบคุมการซิงค์เวลาทั่วทั้งโดเมน DCs อื่น ๆ ทั้งหมดซิงค์เวลาของพวกเขาจาก PDC Emulator ไคลเอ็นต์ทั้งหมดซิงค์เวลาของพวกเขาจาก DC ที่พวกเขาลงชื่อเข้าใช้ เป็นเรื่องสำคัญที่ทุกอย่างจะต้องอยู่ภายใน 5 นาทีจากกันมิฉะนั้น Kerberos จะหยุดพักและเมื่อเกิดเหตุการณ์ขึ้นทุกคนจะร้องไห้
สิ่งสำคัญที่ต้องจำคือเซิร์ฟเวอร์ที่บทบาทเหล่านี้ทำงานไม่ได้ตั้งค่าไว้ โดยปกติแล้วมันจะไม่ค่อยมีบทบาทในการเคลื่อนย้ายบทบาทเหล่านี้ดังนั้นในขณะที่ DC บางคนทำหน้าที่ได้ดีกว่าคนอื่นเล็กน้อยหากพวกเขาลงไปช่วงเวลาสั้น ๆ หากพวกเขาหยุดทำงานเป็นเวลานานมันง่ายที่จะถ่ายโอนบทบาท มันยอดเยี่ยมกว่า NT4 PDC / BDC วันดังนั้นโปรดหยุดโทร DCs ของคุณด้วยชื่อเก่าเหล่านั้น :)
อืม ... DCs แบ่งปันข้อมูลอย่างไรถ้าพวกเขาสามารถทำงานได้อย่างเป็นอิสระจากกัน?
การจำลองแบบของหลักสูตร โดยค่าเริ่มต้น DCs ที่อยู่ในโดเมนเดียวกันในไซต์เดียวกันจะทำซ้ำข้อมูลของพวกเขาในช่วงเวลา 15 วินาที ทำให้แน่ใจว่าทุกอย่างค่อนข้างทันสมัย
มีเหตุการณ์ "เร่งด่วน" บางอย่างที่ก่อให้เกิดการจำลองแบบทันที เหตุการณ์เหล่านี้คือ: บัญชีถูกล็อคเอาไว้สำหรับการเข้าสู่ระบบที่ล้มเหลวมากเกินไปการเปลี่ยนแปลงรหัสผ่านโดเมนหรือนโยบายการล็อคการเปลี่ยนรหัสลับ LSA เปลี่ยนรหัสผ่านในบัญชีคอมพิวเตอร์ของ DC หรือโอนย้ายบทบาท RID Master ไปยัง DC ใหม่ เหตุการณ์ใด ๆ เหล่านี้จะทริกเกอร์เหตุการณ์การจำลองแบบทันที
การเปลี่ยนรหัสผ่านอยู่ระหว่างที่เร่งด่วนและไม่เร่งด่วนเท่านั้นและมีการจัดการโดยไม่ซ้ำใคร หากมีการเปลี่ยนรหัสผ่านของผู้ใช้DC01และผู้ใช้พยายามเข้าสู่ระบบคอมพิวเตอร์ที่รับรองความถูกต้องDC02ก่อนการจำลองแบบเกิดขึ้นคุณคาดหวังว่าสิ่งนี้จะล้มเหลวใช่ไหม โชคดีที่มันไม่ได้เกิดขึ้น สมมติว่ามี DC สามที่นี่เรียกว่าDC03ที่มีบทบาท PDC Emulator เมื่อDC01มีการอัพเดตด้วยรหัสผ่านใหม่ของผู้ใช้การเปลี่ยนแปลงนั้นจะถูกจำลองแบบทันทีDC03เช่นกัน เมื่อการพิสูจน์ตัวตนของคุณDC02ล้มเหลวพยายามDC02ส่งต่อว่าการพิสูจน์ตัวตนพยายามDC03ที่จะตรวจสอบว่าเป็นจริงดีและอนุญาตให้เข้าสู่ระบบ
มาคุยกันเรื่อง DNS กัน
DNS มีความสำคัญต่อโฆษณาที่ทำงานอย่างถูกต้อง บรรทัดปาร์ตี้ Microsoft อย่างเป็นทางการคือเซิร์ฟเวอร์ DNS ใด ๆ สามารถใช้งานได้หากตั้งค่าไว้อย่างถูกต้อง หากคุณลองและใช้ BIND เพื่อโฮสต์โซนโฆษณาของคุณแสดงว่าคุณอยู่ในระดับสูง อย่างจริงจัง. ติดกับการใช้โซน AD Integrated DNS และใช้เงื่อนไขหรือตัวส่งต่อส่วนกลางสำหรับโซนอื่นถ้าคุณต้อง ลูกค้าของคุณควรได้รับการกำหนดค่าให้ใช้เซิร์ฟเวอร์ AD DNS ของคุณดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องมีความซ้ำซ้อนที่นี่ หากคุณมี DC สองตัวให้พวกเขาทั้งคู่เรียกใช้ DNS และกำหนดค่าไคลเอนต์ของคุณเพื่อใช้ทั้งสองอย่างสำหรับการจำแนกชื่อ
นอกจากนี้คุณจะต้องตรวจสอบให้แน่ใจว่าหากคุณมี DC มากกว่าหนึ่งตัวพวกเขาจะไม่แสดงรายชื่อตัวเองก่อนเพื่อแก้ไขปัญหา DNS สิ่งนี้สามารถนำไปสู่สถานการณ์ที่พวกเขาอยู่บน"เกาะจำลองแบบ"ซึ่งพวกเขาถูกตัดการเชื่อมต่อจากโทโพโลยีการจำลองแบบโฆษณาที่เหลือและไม่สามารถกู้คืนได้ หากคุณมีสองเซิร์ฟเวอร์DC01 - 10.1.1.1และDC02 - 10.1.1.2แล้วรายการเซิร์ฟเวอร์ DNS ของพวกเขาควรจะกำหนดค่าเช่นนี้
เซิร์ฟเวอร์: DC01 (10.1.1.1)
DNS หลัก - 10.1.1.2
DNS รอง - 127.0.0.1
เซิร์ฟเวอร์: DC02 (10.1.1.2)
DNS หลัก - 10.1.1.1
DNS รอง - 127.0.0.1
ตกลงนี่ดูเหมือนจะซับซ้อน ทำไมฉันถึงต้องการใช้ AD เลย?
เพราะเมื่อคุณรู้ว่าคุณกำลังทำอะไรอยู่ชีวิตคุณจะดีขึ้นอย่างไม่มีที่สิ้นสุด โฆษณาช่วยให้การรวมศูนย์ของการจัดการผู้ใช้และคอมพิวเตอร์เป็นศูนย์กลางของการเข้าถึงทรัพยากรและการใช้งาน ลองนึกภาพสถานการณ์ที่คุณมีผู้ใช้ 50 คนในสำนักงาน หากคุณต้องการให้ผู้ใช้แต่ละคนมีการเข้าสู่ระบบของตนเองไปยังคอมพิวเตอร์แต่ละเครื่องคุณจะต้องกำหนดค่าบัญชีผู้ใช้ภายใน 50 บัญชีบนพีซีแต่ละเครื่อง ด้วย AD คุณจะต้องสร้างบัญชีผู้ใช้เพียงครั้งเดียวและสามารถลงชื่อเข้าใช้พีซีเครื่องใดก็ได้บนโดเมนโดยค่าเริ่มต้น หากคุณต้องการเพิ่มความปลอดภัยให้มากขึ้นคุณต้องทำ 50 ครั้ง เรียงฝันร้ายใช่ไหม ลองจินตนาการว่าคุณมีไฟล์แชร์ที่คุณต้องการเพียงครึ่งหนึ่งของคนเหล่านั้นที่จะไปถึง หากคุณไม่ได้ใช้งาน AD คุณต้องทำซ้ำชื่อผู้ใช้และรหัสผ่านของพวกเขาด้วยมือบนเซิร์ฟเวอร์เพื่อให้การเข้าถึงดูเหมือนไม่หรือ ต้องสร้างบัญชีที่ใช้ร่วมกันและให้ชื่อผู้ใช้และรหัสผ่านแก่ผู้ใช้แต่ละคน วิธีหนึ่งหมายความว่าคุณรู้รหัสผ่านของผู้ใช้ (และต้องอัปเดตอย่างต่อเนื่อง) วิธีอื่นหมายความว่าคุณไม่มีหลักฐานการตรวจสอบ ไม่ดีใช่มั้ย
คุณยังสามารถใช้นโยบายกลุ่มได้เมื่อคุณตั้งค่าโฆษณา นโยบายกลุ่มคือชุดของวัตถุที่เชื่อมโยงกับ OU ที่กำหนดการตั้งค่าสำหรับผู้ใช้และ / หรือคอมพิวเตอร์ใน OU เหล่านั้น ตัวอย่างเช่นหากคุณต้องการทำให้ "Shutdown" ไม่ได้อยู่ในเมนูเริ่มต้นสำหรับพีซีในแล็บ 500 เครื่องคุณสามารถทำได้ในการตั้งค่าเดียวในนโยบายกลุ่ม แทนที่จะใช้เวลาหลายชั่วโมงหรือหลายวันในการกำหนดรายการรีจิสตรีด้วยตนเองคุณสามารถสร้าง Group Policy Object หนึ่งครั้งเชื่อมโยงไปยัง OU หรือ OU ที่ถูกต้องและไม่ต้องคิดอีกเลย มี GPO หลายร้อยตัวที่สามารถกำหนดค่าได้และความยืดหยุ่นของนโยบายกลุ่มเป็นหนึ่งในเหตุผลสำคัญที่ Microsoft มีบทบาทสำคัญในตลาดองค์กร