Active Directory nedir?
Active Directory Etki Alanı Hizmetleri, Microsoft'un Dizin Sunucusu'dur. Kimlik doğrulama ve yetkilendirme mekanizmalarının yanı sıra, ilgili diğer hizmetlerin kullanılabileceği bir çerçeve (AD Sertifika Hizmetleri, AD Federasyon Hizmetleri, vb.) Sağlar. Bu bir olan LDAP nesneleri içeren uyumlu veri tabanı. En sık kullanılan nesneler kullanıcılar, bilgisayarlar ve gruplardır. Bu nesneler, herhangi bir sayıda mantıksal veya iş gereksinimi ile organizasyonel birimler (OU) olarak düzenlenebilir. Grup İlkesi Nesneleri (GPO'lar) daha sonra bir kuruluştaki çeşitli kullanıcıların veya bilgisayarların ayarlarını merkezileştirmek için OU'lara bağlanabilir.
İnsanlar "Active Directory" derken, genellikle "Active Directory Etki Alanı Hizmetleri" ne atıfta bulunurlar. Sertifika Hizmetleri, Federasyon Hizmetleri, Basit Dizin Hizmetleri, Hak Yönetimi Hizmetleri, vb. Gibi başka Active Directory rolleri / ürünleri bulunduğuna dikkat etmek önemlidir.
Etki alanı nedir ve orman nedir?
Bir orman bir güvenlik sınırıdır. Ayrı ormanlardaki nesneler, her ayrı ormanın yöneticileri aralarında güven oluşturmadıkça birbirleriyle etkileşime giremez. Örneğin domain1.com, normalde bir ormanın en ayrıcalıklı hesabı olan bir Enterprise Administrator hesabı , domain2.combu ormanlar aynı yerel ağ içinde olsalar bile, yerinde bir güven olmadıkça, adlandırılmış ikinci bir ormanda hiçbir izin alamazlar. .
Birden fazla ayrık işletme biriminiz varsa veya ayrı güvenlik sınırları için gereksiniminiz varsa, birden fazla ormana ihtiyacınız vardır.
Bir etki alanı bir yönetim sınırıdır. Etki alanları bir ormanın parçasıdır. Bir ormandaki ilk alan, orman kök alanı olarak bilinir. Birçok küçük ve orta ölçekli kuruluşta (ve hatta bazı büyük kuruluşlarda), yalnızca tek bir ormanda tek bir etki alanı bulacaksınız. Orman kök etki alanı, ormanın varsayılan ad alanını tanımlar. Örneğin, yeni bir ormandaki ilk etki alanı adlandırılırsa domain1.com, o zaman bu orman kök etki alanıdır. Bir çocuk etki alanı için bir iş gereksiniminiz varsa, örneğin - Şikago'daki bir şube olarak, alt etki alanını adlandırabilirsiniz chi. Alt etki alanının FQDN'sichi.domain1.com. Alt alan adının ormanlık kök alan adının hazır olduğunu görebilirsiniz. Bu genellikle nasıl çalıştığıdır. Aynı ormanda ayrık ad alanlarına sahip olabilirsiniz, ancak bu farklı bir zaman için tamamen ayrı bir solucan kutusu olabilir.
Çoğu durumda, tek bir AD etki alanına sahip olmak için mümkün olan her şeyi denemek ve yapmak isteyeceksiniz. Yönetimi basitleştirir ve AD'nin modern sürümleri, çocuk alan adlarına duyulan ihtiyacı azaltan OU'ya göre kontrolü devretmeyi çok kolaylaştırır.
Etki alanımı ne istersem adlandırabilirim, değil mi?
Pek sayılmaz. dcpromo.exeBir sunucunun bir DC'ye terfiini işleyen araç aptal geçirmez değildir. İsminizle kötü kararlar vermenizi sağlar, bu yüzden emin değilseniz bu bölüme dikkat edin. (Düzenleme: dcpromo, Server 2012'de kullanımdan kaldırılmıştır . Install-ADDSForestPowerShell cmdlet'ini kullanın veya AD DS'yi Sunucu Yöneticisi'nden yükleyin.)
Her şeyden önce, .local, .lan, .corp veya benzeri şeylerden oluşan TLD'leri kullanmayın. Bunlar TLD'leri edilir değil saklıdır. ICANN şimdi TLD satıyor, bu nedenle mycompany.corpbugün kullandığınız yarın aslında birine ait olabilir. Sahibi mycompany.com, daha sonra yapılacak akıllıca şey gibi bir şey kullanmaktır internal.mycompany.comveya ad.mycompany.comdahili AD adı için. Eğer kullanırsanız mycompany.com, dışarıdan çözülebilir web sitesi olarak size bölünmüş beyin DNS ile bitireceğiz, çünkü sen, hem de iç AD adınız olarak kullanmaktan kaçınmalısınız.
Etki Alanı Denetleyicileri ve Genel Kataloglar
Kimlik doğrulama veya yetkilendirme isteklerine yanıt veren bir sunucu bir Etki Alanı Denetleyicisidir (DC). Çoğu durumda, bir Etki Alanı Denetleyicisi Genel Kataloğun bir kopyasını tutacaktır . Genel Katalog (GC) ormandaki tüm alanlardaki kısmi nesne kümesidir . Doğrudan aranabilir, bu da çapraz etki alanı sorgularının genellikle hedef etki alanındaki bir DC'ye yönlendirmeye gerek olmadan bir GC üzerinde gerçekleştirilebileceği anlamına gelir. 3268 numaralı bağlantı noktasında bir DC sorgulanıyorsa (SSL kullanılıyorsa 3269), GC sorgulanıyordur. 389 numaralı bağlantı noktasının (SSL kullanıyorsanız 636) sorgulanması durumunda, standart bir LDAP sorgusu kullanılıyor ve diğer alanlarda bulunan nesneler bir başvuru gerektirebilir .
Bir kullanıcı AD kimlik bilgilerini kullanarak AD'ye katılan bir bilgisayarda oturum açmaya çalıştığında, hem kullanıcı hesabı hem de oturum açan bilgisayar hesabı için tuzlu ve karma kullanıcı adı ve parola birleşimi DC'ye gönderilir. bilgisayar da giriş yapıyor. Bu önemlidir, çünkü AD'deki bilgisayar hesabına bir şey olursa, birisinin hesabı sıfırlaması veya silmesi gibi, bilgisayar ve etki alanı arasında bir güven ilişkisinin olmadığını söyleyen bir hata alabilirsiniz. Ağ kimlik bilgileriniz iyi olsa da, etki alanına giriş yapmak için bilgisayara artık güvenilmez.
Etki Alanı Denetleyicisi Kullanılabilirliği Endişeleri
"Birincil Etki Alanı Denetleyicisine (PDC) sahibim ve inanmak istediğimden daha sık bir yedekleme etki alanı denetleyicisine (BDC) yüklemek istiyorum" duyuyorum. PDC ve BDC kavramı, Windows NT4 ile öldü. PDC'ler için son bastion, hala NT4 DC'leriniz varken, Windows 2000 geçiş karışık modundaki AD idi. Temel olarak, daha önce hiç yükseltilmemiş olan 15+ yıllık bir kurulumu desteklemiyorsanız, gerçekten bir PDC'niz veya BDC'niz yoktur, yalnızca iki etki alanı denetleyiciniz vardır.
Birden fazla DC, farklı kullanıcılardan ve bilgisayarlardan gelen kimlik doğrulama isteklerini aynı anda yanıtlayabilir. Biri başarısız olursa, diğerleri NT4 günlerinde yapacağınız gibi bir "birincil" yapmak zorunda kalmadan kimlik doğrulama hizmetleri sunmaya devam edecektir. Etki alanı başına en az iki DC olması en iyi yöntemdir . Bu DC'ler hem GC'nin bir kopyasını bulundurmalı hem de etki alanınız için Active Directory Tümleşik DNS bölgelerinin bir kopyasını tutan DNS sunucuları olmalıdır.
FSMO Rolleri
“Öyleyse, PDC yoksa, neden sadece tek bir DC'nin sahip olabileceği bir PDC rolü var?”
Bunu çok duyuyorum. Bir PDC Emulator rolü var. PDC olmaktan farklı. Aslında, 5 Esnek Tek Ana İşlem rolü vardır (FSMO) . Bunlar aynı zamanda Operations Master rolleri olarak da adlandırılır. İki terim birbirinin yerine geçebilir. Onlar nelerdir ve ne yaparlar? İyi soru! 5 rol ve bunların işlevleri:
Alan Adlandırma Master - Orman başına sadece bir Alan Adlandırma Master var. Etki Alanı Adlandırma Yöneticisi, bir ormana yeni bir etki alanı eklendiğinde benzersiz olmasını sağlar. Bu rolü tutan sunucu çevrimdışıysa, yeni alt etki alanları eklemek gibi şeyleri içeren AD ad alanında değişiklik yapamazsınız.
Şema Master - Bir ormanda sadece bir Şema Operasyon Master var. Active Directory Şeması'nın güncellenmesinden sorumludur. Bunu gerektiren görevler, örneğin bir DC olarak çalışan Windows Server'ın yeni bir sürümüne AD hazırlamak veya Exchange kurulumu gibi Şema değişiklikleri gerektirir. Bu değişikliklerin Schema Master'dan yapılması gerekir.
Altyapı Yöneticisi - Etki alanı başına bir Altyapı Yöneticisi vardır. Ormanda yalnızca tek bir etki alanı varsa, gerçekten endişelenmene gerek yok. Birden fazla ormanınız varsa , ormandaki her DC bir GC olmadıkça , bu rolün GC tutucu olan bir sunucu tarafından tutulmadığından emin olmalısınız . Altyapı yöneticisi, etki alanları arası başvuruların doğru şekilde yapıldığından emin olmaktan sorumludur. Bir etki alanındaki bir kullanıcı başka bir etki alanındaki bir gruba eklenirse, söz konusu etki alanları için altyapı yöneticisi doğru işlendiğinden emin olun. Bu rol, genel bir katalogdaysa doğru çalışmayacaktır.
RID Master - Relative ID Master (RID Master), RID havuzlarını DC'lere vermekten sorumludur. Etki alanı başına bir RID yöneticisi vardır. Bir AD etki alanındaki herhangi bir nesnenin benzersiz bir Güvenlik Tanımlayıcısı (SID) vardır. Bu, etki alanı tanımlayıcısının ve göreceli bir tanımlayıcının kombinasyonundan oluşur. Belirli bir etki alanındaki her nesne aynı etki alanı tanımlayıcısına sahiptir, bu nedenle göreceli tanımlayıcı, nesneleri benzersiz yapan şeydir. Her DC'nin kullanması için göreceli kimlik havuzuna sahiptir, bu nedenle bu DC yeni bir nesne oluşturduğunda, henüz kullanmadığı bir RID'yi ekler. DC'lere örtüşmeyen havuzlar verildiğinden, her RID, etki alanı ömrü boyunca benzersiz kalmalıdır. Bir DC, havuzunda ~ 100 RID bıraktığında, RID yöneticisinden yeni bir havuz ister. RID yöneticisi uzun süre çevrimdışıysa, nesne oluşturma başarısız olabilir.
PDC Emulator - Sonunda, PDC Emulator rolünün hepsinin en yaygın olarak yanlış anlaşılan rolünü görüyoruz. Etki alanı başına bir PDC Emülatörü var. Kimlik doğrulama girişimi başarısız olursa, PDC Emulator'a iletilir. PDC Emulator, bir DC'de bir şifre güncellendiğinde ve henüz başkalarına kopyalanmadıysa, "bağlantı kırıcı" olarak işlev görür. PDC Emulator aynı zamanda etki alanı genelinde zaman senkronizasyonunu kontrol eden sunucudur. Diğer tüm DC'ler zamanlarını PDC Emulator'dan senkronize eder. Tüm müşteriler zamanlarını, giriş yaptıkları DC'den senkronize eder. Her şeyin birbirinden 5 dakika içinde kalması önemlidir, aksi takdirde Kerberos kırılır ve bu olduğunda herkes ağlar.
Hatırlanması gereken en önemli şey, bu rollerin üzerinde çalıştığı sunucuların taş olmadığıdır. Bu rolleri hareket ettirmek genellikle önemsizdir, bu nedenle bazı DC'ler diğerlerinden biraz daha fazla olsa da, kısa bir süre boyunca düşerse, her şey genellikle normal şekilde çalışacaktır. Uzun süre kapalı kalmaları durumunda rolleri şeffaf bir şekilde aktarmak kolaydır. NT4 PDC / BDC günlerinden çok daha güzel, bu yüzden lütfen DC'lerinizi bu eski isimlerle aramayı bırakın. :)
Peki, um ... DC'ler birbirlerinden bağımsız olarak çalışabiliyorlarsa bilgiyi nasıl paylaşırlar?
Tabii ki çoğaltma . Varsayılan olarak, aynı sitedeki aynı etki alanına ait olan DC'ler, verilerini 15 saniyelik aralıklarla birbirlerine kopyalar. Bu, her şeyin nispeten güncel olduğundan emin olmanızı sağlar.
Hemen çoğaltmayı tetikleyen bazı "acil" olaylar var. Bu olaylar: Bir hesap çok fazla başarısız oturum açma için kilitlendi, etki alanı şifresinde veya kilitleme politikalarında bir değişiklik yapıldı, LSA sırrı değiştirildi, DC'nin bilgisayar hesabında parola değiştirildi veya RID Master rolü aktarıldı yeni bir DC'ye. Bu olaylardan herhangi biri anında bir çoğaltma olayını tetikler.
Parola değişiklikleri acil ve acil olmayan arasında bir yere düşer ve benzersiz şekilde ele alınır. Bir kullanıcının şifresi değiştirilmişse DC01ve bir kullanıcı DC02çoğaltma gerçekleşmeden önce kimlik doğrulaması yapan bir bilgisayara giriş yapmaya çalışırsa , bunun başarısız olmasını beklersiniz, değil mi? Neyse ki bu olmuyor. Burada DC03PDC Emulator rolünü tutan üçüncü bir DC olduğunu da varsayalım . Ne zaman DC01kullanıcının yeni şifre ile güncellenir, bu değişiklik hemen çoğaltılır DC03de. Bir kimlik doğrulama girişimi DC02başarısız olduğunda, DC02bu kimlik doğrulaması girişimini iletir; DC03bu, bunun gerçekten iyi olduğunu ve oturum açmaya izin verildiğini doğrular.
DNS hakkında konuşalım
DNS, düzgün çalışan bir AD için çok önemlidir. Resmi Microsoft parti hattı, düzgün ayarlanmışsa herhangi bir DNS sunucusunun kullanılabileceği yönündedir. AD bölgelerinizi barındırmak için BIND kullanıyor ve kullanıyorsanız, yükseksiniz. Ciddi anlamda. AD Tümleşik DNS bölgelerini kullanmaya devam edin ve gerekiyorsa diğer bölgeler için koşullu veya genel ileticiler kullanın. Müşterilerinizin tümü AD DNS sunucularınızı kullanacak şekilde yapılandırılmalıdır, bu nedenle burada fazlalık olması önemlidir. İki DC'niz varsa, ikisinin de DNS çalıştırmasını ve istemcilerinizi ad çözümlemesi için ikisini de kullanacak şekilde yapılandırmasını isteyin.
Ayrıca, birden fazla DC'niz varsa, DNS çözümlemesi için ilk önce kendilerini listelemediklerinden emin olmak isteyeceksiniz. Bu , AD çoğaltma topolojisinin bağlantısıyla bağlantısı kesildiği ve toparlanamadıkları bir "çoğaltma adasında" oldukları bir duruma yol açabilir . İki sunucunuz varsa DC01 - 10.1.1.1ve DC02 - 10.1.1.2bunların DNS sunucu listesi şöyle yapılandırılmalıdır:
Sunucu: DC01 (10.1.1.1)
Birincil DNS - 10.1.1.2
İkincil DNS - 127.0.0.1
Sunucu: DC02 (10.1.1.2)
Birincil DNS - 10.1.1.1
İkincil DNS - 127.0.0.1
Tamam, bu karmaşık görünüyor. Neden AD’yi kullanmak istiyorum?
Çünkü ne yaptığınızı bir kez bilirseniz, hayatınız sonsuza dek daha iyi hale gelir. AD, kullanıcı ve bilgisayar yönetiminin merkezileştirilmesinin yanı sıra kaynak erişiminin ve kullanımının merkezileştirilmesine izin verir. Bir ofiste 50 kullanıcınızın olduğu bir durum düşünün. Her kullanıcının her bilgisayarda kendi girişini yapmasını istiyorsanız, her bilgisayarda 50 yerel kullanıcı hesabı yapılandırmanız gerekir. AD ile, kullanıcı hesabını yalnızca bir kez yapmanız yeterlidir ve varsayılan olarak etki alanındaki herhangi bir PC'ye giriş yapabilir. Güvenliği güçlendirmek isteseydin, bunu 50 kere yapmak zorunda kalırdın. Bir çeşit kabus, değil mi? Ayrıca, bu kişilerin yalnızca yarısının ulaşmasını istediğiniz bir dosya paylaşımınız olduğunu hayal edin. AD kullanmıyorsanız, erişimsiz bir görünüm vermek için kullanıcı adlarını ve şifrelerini el ile sunucuya kopyalamanız gerekir. paylaşılan bir hesap yapmak ve her kullanıcıya kullanıcı adı ve şifreyi vermek zorundasınız. Bir yol, kullanıcıların şifrelerini bildiğiniz (ve sürekli güncellemeniz gerektiği) anlamına gelir. Diğer yol ise, denetim izinizin olmadığı anlamına gelir. İyi değil mi?
Ayrıca AD kurduğunuzda Grup İlkesi kullanma özelliğini de kullanabilirsiniz. Grup İlkesi, bu kuruluşlardaki kullanıcılar ve / veya bilgisayarlar için ayarları tanımlayan kuruluş birimlerine bağlı olan bir nesne kümesidir. Örneğin, "Kapatma" işleminin 500 laboratuvar bilgisayarı için başlat menüsünde olmadığı şekilde yapmak istiyorsanız, bunu Grup İlkesi'ndeki bir ortamda yapabilirsiniz. El ile uygun kayıt defteri girdilerini el ile yapılandırmak için saat veya gün harcamak yerine, bir kez bir Grup İlkesi Nesnesi oluşturur, onu doğru OU veya OU'lara bağlar ve bir daha asla düşünmek zorunda kalmazsınız. Yapılandırılabilecek yüzlerce GPO vardır ve Grup İlkesi'nin esnekliği, Microsoft'un kurumsal pazarda bu kadar baskın olmasının ana nedenlerinden biridir.