Active Directory là gì?
Dịch vụ miền Active Directory là Máy chủ thư mục của Microsoft. Nó cung cấp các cơ chế xác thực và ủy quyền cũng như một khung trong đó các dịch vụ liên quan khác có thể được triển khai (Dịch vụ chứng chỉ quảng cáo, Dịch vụ liên kết quảng cáo, v.v.). Nó là một cơ sở dữ liệu tuân thủ LDAP có chứa các đối tượng. Các đối tượng thường được sử dụng là người dùng, máy tính và nhóm. Các đối tượng này có thể được tổ chức thành các đơn vị tổ chức (OU) theo bất kỳ số lượng nhu cầu logic hoặc kinh doanh nào. Đối tượng chính sách nhóm (GPO) sau đó có thể được liên kết với các OU để tập trung cài đặt cho nhiều người dùng hoặc máy tính khác nhau trong một tổ chức.
Khi mọi người nói "Active Directory", họ thường đề cập đến "Dịch vụ miền Active Directory". Điều quan trọng cần lưu ý là có các vai trò / sản phẩm Active Directory khác như Dịch vụ chứng chỉ, Dịch vụ liên kết, Dịch vụ thư mục nhẹ, Dịch vụ quản lý quyền, v.v. Câu trả lời này đề cập cụ thể đến Dịch vụ miền Active Directory.
Một miền là gì và một khu rừng là gì?
Một khu rừng là một ranh giới an ninh. Các đối tượng trong các khu rừng riêng biệt không thể tương tác với nhau, trừ khi các quản trị viên của từng khu rừng riêng biệt tạo ra một sự tin tưởng giữa chúng. Ví dụ: tài khoản Quản trị viên doanh nghiệp domain1.com, thường là tài khoản đặc quyền nhất của một khu rừng, sẽ không có quyền trong một khu rừng thứ hai có tên domain2.com, ngay cả khi những khu rừng đó tồn tại trong cùng một mạng LAN, trừ khi có sự tin tưởng .
Nếu bạn có nhiều đơn vị kinh doanh rời rạc hoặc có nhu cầu về ranh giới bảo mật riêng biệt, bạn cần nhiều khu rừng.
Một miền là một ranh giới quản lý. Tên miền là một phần của một khu rừng. Miền đầu tiên trong một khu rừng được gọi là miền gốc rừng. Trong nhiều tổ chức vừa và nhỏ (và thậm chí một số tổ chức lớn), bạn sẽ chỉ tìm thấy một tên miền duy nhất trong một khu rừng. Miền gốc rừng xác định không gian tên mặc định cho rừng. Ví dụ: nếu tên miền đầu tiên trong một khu rừng mới được đặt tên domain1.com, thì đó là miền gốc của khu rừng. Nếu bạn có nhu cầu kinh doanh cho một tên miền con, ví dụ - một văn phòng chi nhánh ở Chicago, bạn có thể đặt tên cho tên miền con chi. Các FQDN của miền con sẽ làchi.domain1.com. Bạn có thể thấy rằng tên miền con đã được đặt trước tên miền gốc rừng. Đây thường là cách nó hoạt động. Bạn có thể có các không gian tên khác nhau trong cùng một khu rừng, nhưng đó là một loại giun hoàn toàn riêng biệt trong một thời gian khác nhau.
Trong hầu hết các trường hợp, bạn sẽ muốn thử và làm mọi thứ có thể để có một miền AD duy nhất. Nó đơn giản hóa việc quản lý và các phiên bản hiện đại của AD giúp cho việc ủy quyền kiểm soát dựa trên OU rất dễ dàng, giúp giảm bớt nhu cầu đối với các miền con.
Tôi có thể đặt tên miền của mình bất cứ điều gì tôi muốn, phải không?
Không hẳn vậy. dcpromo.exe, công cụ xử lý việc quảng cáo máy chủ lên DC không phải là bằng chứng ngu ngốc. Nó không cho phép bạn đưa ra quyết định tồi với việc đặt tên của bạn, vì vậy hãy chú ý đến phần này nếu bạn không chắc chắn. (Chỉnh sửa: dcpromo không dùng nữa trong Máy chủ 2012. Sử dụng Install-ADDSForestlệnh ghép ngắn PowerShell hoặc cài đặt AD DS từ Trình quản lý máy chủ.)
Trước hết, không sử dụng các TLD tạo thành như .local, .lan, .corp hoặc bất kỳ thứ tào lao nào khác. Những TLD đó không được bảo lưu. ICANN hiện đang bán TLD, do đó, mycompany.corpviệc bạn sử dụng hôm nay thực sự có thể thuộc về ai đó vào ngày mai. Nếu bạn sở hữu mycompany.com, thì điều thông minh cần làm là sử dụng một cái gì đó giống như internal.mycompany.comhoặc ad.mycompany.comcho tên AD nội bộ của bạn. Nếu bạn sử dụng mycompany.comnhư một trang web có thể phân giải bên ngoài, bạn cũng nên tránh sử dụng tên đó làm tên AD nội bộ của mình, vì bạn sẽ kết thúc với DNS tách rời.
Bộ kiểm soát miền và Danh mục toàn cầu
Máy chủ đáp ứng yêu cầu xác thực hoặc ủy quyền là Bộ điều khiển miền (DC). Trong hầu hết các trường hợp, Bộ kiểm soát miền sẽ giữ một bản sao của Danh mục toàn cầu . Danh mục toàn cầu (GC) là một bộ các đối tượng trong tất cả các miền trong một khu rừng. Nó có thể tìm kiếm trực tiếp, điều đó có nghĩa là các truy vấn tên miền chéo thường có thể được thực hiện trên một GC mà không cần giới thiệu đến một DC trong miền đích. Nếu một DC được truy vấn trên cổng 3268 (3269 nếu sử dụng SSL), thì GC sẽ được truy vấn. Nếu cổng 389 (636 nếu sử dụng SSL) được truy vấn, thì truy vấn LDAP tiêu chuẩn đang được sử dụng và các đối tượng hiện có trong các miền khác có thể yêu cầu giới thiệu .
Khi người dùng cố gắng đăng nhập vào máy tính được kết nối với AD bằng thông tin đăng nhập AD của họ, kết hợp tên người dùng và mật khẩu đã được băm và băm được gửi đến DC cho cả tài khoản người dùng và tài khoản máy tính đang đăng nhập. Nhật ký máy tính quá. Điều này rất quan trọng, bởi vì nếu có điều gì đó xảy ra với tài khoản máy tính trong AD, như ai đó đặt lại tài khoản hoặc xóa nó, bạn có thể gặp lỗi nói rằng mối quan hệ tin cậy không tồn tại giữa máy tính và miền. Mặc dù thông tin mạng của bạn vẫn ổn, máy tính không còn đáng tin cậy để đăng nhập vào miền.
Mối quan tâm sẵn có của bộ điều khiển miền
Tôi nghe thấy "Tôi có Bộ điều khiển miền chính (PDC) và muốn cài đặt Bộ điều khiển miền sao lưu (BDC)" thường xuyên hơn mà tôi muốn tin. Khái niệm về PDC và BDC đã chết với Windows NT4. Pháo đài cuối cùng cho các PDC là trong chế độ hỗn hợp chuyển tiếp AD của Windows 2000 khi bạn vẫn còn các NT4 DC xung quanh. Về cơ bản, trừ khi bạn hỗ trợ cài đặt hơn 15 năm chưa bao giờ được nâng cấp, bạn thực sự không có PDC hoặc BDC, bạn chỉ có hai bộ điều khiển miền.
Nhiều DC có khả năng trả lời các yêu cầu xác thực từ những người dùng và máy tính khác nhau cùng một lúc. Nếu một lần thất bại, thì những người khác sẽ tiếp tục cung cấp dịch vụ xác thực mà không phải thực hiện một "chính" như bạn sẽ phải làm trong những ngày NT4. Cách tốt nhất là có ít nhất hai DC trên mỗi miền. Các DC này đều phải giữ một bản sao của GC và cả hai đều phải là máy chủ DNS chứa bản sao các vùng DNS tích hợp Active Directory cho miền của bạn.
Vai trò của FSMO
"Vì vậy, nếu không có PDC, tại sao lại có vai trò PDC mà chỉ một DC duy nhất có thể có?"
Tôi nghe điều này rất nhiều. Có một vai trò giả lập PDC . Nó khác với việc là một PDC. Trên thực tế, có 5 vai trò Hoạt động chính đơn linh hoạt (FSMO) . Đây cũng được gọi là vai trò Operations Master. Hai thuật ngữ có thể thay thế cho nhau. Họ là gì và họ làm gì? Câu hỏi hay! 5 vai trò và chức năng của chúng là:
Tên miền chính chủ - Chỉ có một Tên miền đặt tên chính cho mỗi khu rừng. Master Naming Domain đảm bảo rằng khi một tên miền mới được thêm vào một khu rừng thì nó là duy nhất. Nếu máy chủ giữ vai trò này ngoại tuyến, bạn sẽ không thể thay đổi không gian tên AD, bao gồm những thứ như thêm tên miền con mới.
Schema Master - Chỉ có một Schema Operations Master trong một khu rừng. Nó chịu trách nhiệm cập nhật Lược đồ Active Directory. Các tác vụ yêu cầu điều này, chẳng hạn như chuẩn bị AD cho phiên bản Windows Server mới hoạt động như một DC hoặc cài đặt Exchange, yêu cầu sửa đổi Schema. Những sửa đổi này phải được thực hiện từ Schema Master.
Cơ sở hạ tầng - Có một Cơ sở hạ tầng trên mỗi miền. Nếu bạn chỉ có một tên miền duy nhất trong khu rừng của mình, bạn không thực sự cần phải lo lắng về nó. Nếu bạn có nhiều rừng, thì bạn nên đảm bảo rằng vai trò này không được giữ bởi một máy chủ cũng là chủ sở hữu GC trừ khi mọi DC trong rừng là một GC . Chủ cơ sở hạ tầng chịu trách nhiệm đảm bảo rằng các tham chiếu tên miền chéo được xử lý đúng cách. Nếu người dùng trong một tên miền được thêm vào một nhóm trong tên miền khác, chủ cơ sở hạ tầng cho các tên miền được đề cập đảm bảo rằng nó được xử lý đúng cách. Vai trò này sẽ không hoạt động chính xác nếu nó nằm trong một danh mục toàn cầu.
RID Master - Master ID tương đối (RID Master) chịu trách nhiệm cấp các nhóm RID cho các DC. Có một chủ RID cho mỗi tên miền. Bất kỳ đối tượng nào trong miền AD đều có Mã định danh bảo mật (SID) duy nhất. Điều này được tạo thành từ sự kết hợp của mã định danh miền và mã định danh tương đối. Mỗi đối tượng trong một miền nhất định có cùng một mã định danh miền, do đó, định danh tương đối là thứ làm cho các đối tượng trở nên duy nhất. Mỗi DC có một nhóm ID tương đối để sử dụng, vì vậy khi DC đó tạo một đối tượng mới, nó sẽ thêm RID mà nó chưa được sử dụng. Vì các DC được cấp các nhóm không chồng lấp, mỗi RID phải duy nhất trong suốt vòng đời của miền. Khi một DC nhận được ~ 100 RID còn lại trong nhóm của nó, nó sẽ yêu cầu một nhóm mới từ chủ RID. Nếu chủ RID ngoại tuyến trong một khoảng thời gian dài, việc tạo đối tượng có thể thất bại.
Trình giả lập PDC - Cuối cùng, chúng ta có được vai trò bị hiểu lầm rộng rãi nhất trong số tất cả, đó là vai trò Trình giả lập PDC. Có một Trình giả lập PDC cho mỗi miền. Nếu có một nỗ lực xác thực thất bại, nó được chuyển tiếp đến Trình giả lập PDC. Trình mô phỏng PDC hoạt động như "bộ ngắt kết nối" nếu mật khẩu được cập nhật trên một DC và chưa được sao chép sang các DC khác. Trình mô phỏng PDC cũng là máy chủ kiểm soát đồng bộ hóa thời gian trên toàn miền. Tất cả các DC khác đồng bộ hóa thời gian của họ từ Trình mô phỏng PDC. Tất cả khách hàng đồng bộ hóa thời gian của họ từ DC mà họ đã đăng nhập. Điều quan trọng là mọi thứ vẫn tồn tại trong vòng 5 phút với nhau, nếu không Kerberos sẽ phá vỡ và khi điều đó xảy ra, mọi người đều khóc.
Điều quan trọng cần nhớ là các máy chủ mà các vai trò này chạy không được đặt chính xác. Việc di chuyển các vai trò này thường không quan trọng, vì vậy trong khi một số DC làm hơi nhiều so với các vai trò khác, nếu họ đi xuống trong thời gian ngắn, mọi thứ thường sẽ hoạt động bình thường. Nếu họ thất bại trong một thời gian dài, thật dễ dàng để chuyển đổi vai trò một cách minh bạch. Nó đẹp hơn nhiều so với NT4 PDC / BDC ngày, vì vậy hãy ngừng gọi DC của bạn bằng những tên cũ đó. :)
Vậy, ừm ... làm thế nào để các DC chia sẻ thông tin nếu họ có thể hoạt động độc lập với nhau?
Nhân rộng, tất nhiên . Theo mặc định, các DC thuộc cùng một tên miền trong cùng một trang sẽ sao chép dữ liệu của chúng cho nhau trong khoảng thời gian 15 giây. Điều này đảm bảo rằng mọi thứ tương đối cập nhật.
Có một số sự kiện "khẩn cấp" kích hoạt sự nhân rộng ngay lập tức. Những sự kiện này là: Tài khoản bị khóa vì quá nhiều lần đăng nhập thất bại, thay đổi được thực hiện đối với mật khẩu tên miền hoặc chính sách khóa, bí mật LSA bị thay đổi, mật khẩu được thay đổi trên tài khoản máy tính của DC hoặc vai trò RID Master được chuyển đến một DC mới. Bất kỳ sự kiện nào trong số này sẽ kích hoạt một sự kiện sao chép ngay lập tức.
Thay đổi mật khẩu nằm ở đâu đó giữa khẩn cấp và không khẩn cấp và được xử lý duy nhất. Nếu mật khẩu của người dùng được thay đổi DC01và người dùng cố gắng đăng nhập vào máy tính đang xác thực DC02trước khi sao chép xảy ra, bạn có muốn điều này thất bại không? May thay điều đó không xảy ra. Giả sử rằng cũng có một DC thứ ba ở đây được gọi là DC03giữ vai trò Trình mô phỏng PDC. Khi DC01được cập nhật với mật khẩu mới của người dùng, thay đổi đó cũng được sao chép ngay lập tức DC03. Khi bạn xác thực cố gắng DC02không thành công, DC02sau đó chuyển tiếp xác thực DC03đó, để xác minh rằng nó thực sự tốt và đăng nhập được cho phép.
Hãy nói về DNS
DNS rất quan trọng đối với một AD hoạt động đúng. Dòng chính thức của Microsoft là bất kỳ máy chủ DNS nào cũng có thể được sử dụng nếu được thiết lập đúng. Nếu bạn thử và sử dụng BIND để lưu trữ các vùng AD của mình, bạn sẽ cao. Nghiêm túc. Gắn bó với việc sử dụng các vùng DNS tích hợp AD và sử dụng các chuyển tiếp có điều kiện hoặc toàn cầu cho các vùng khác nếu bạn phải. Tất cả các máy khách của bạn phải được cấu hình để sử dụng các máy chủ AD DNS của bạn, vì vậy điều quan trọng là phải có dự phòng ở đây. Nếu bạn có hai DC, hãy để cả hai chạy DNS và định cấu hình ứng dụng khách của bạn để sử dụng cả hai để phân giải tên.
Ngoài ra, bạn sẽ muốn đảm bảo rằng nếu bạn có nhiều hơn một DC, thì trước tiên họ không liệt kê độ phân giải DNS. Điều này có thể dẫn đến tình huống chúng ở trên "đảo nhân rộng" nơi chúng bị ngắt kết nối với phần còn lại của cấu trúc liên kết sao chép AD và không thể phục hồi. Nếu bạn có hai máy chủ DC01 - 10.1.1.1và DC02 - 10.1.1.2, sau đó danh sách máy chủ DNS của họ nên được cấu hình như thế này:
Máy chủ: DC01 (10.1.1.1)
DNS chính - 10.1.1.2
DNS thứ cấp - 127.0.0.1
Máy chủ: DC02 (10.1.1.2)
DNS chính - 10.1.1.1
DNS phụ - 127.0.0.1
OK, điều này có vẻ phức tạp. Tại sao tôi muốn sử dụng AD cả?
Bởi vì một khi bạn biết những gì bạn đang làm, cuộc sống của bạn trở nên tốt hơn vô cùng. AD cho phép tập trung quản lý người dùng và máy tính, cũng như tập trung truy cập và sử dụng tài nguyên. Hãy tưởng tượng một tình huống mà bạn có 50 người dùng trong một văn phòng. Nếu bạn muốn mỗi người dùng có thông tin đăng nhập riêng cho mỗi máy tính, bạn phải định cấu hình 50 tài khoản người dùng cục bộ trên mỗi PC. Với AD, bạn chỉ phải tạo tài khoản người dùng một lần và nó có thể đăng nhập vào bất kỳ PC nào trên miền theo mặc định. Nếu bạn muốn tăng cường bảo mật, bạn phải thực hiện 50 lần. Sắp xếp một cơn ác mộng, phải không? Cũng hãy tưởng tượng rằng bạn có một chia sẻ tệp mà bạn chỉ muốn một nửa số người đó nhận được. Nếu bạn không sử dụng AD, bạn cần phải sao chép tên người dùng và mật khẩu của họ bằng tay trên máy chủ để cấp quyền truy cập dường như hoặc bạn ' d phải tạo một tài khoản dùng chung và cung cấp cho mỗi người dùng tên người dùng và mật khẩu. Một cách có nghĩa là bạn biết (và phải liên tục cập nhật) mật khẩu của người dùng. Cách khác có nghĩa là bạn không có dấu vết kiểm toán. Không tốt, phải không?
Bạn cũng có thể sử dụng Chính sách nhóm khi bạn đã thiết lập AD. Chính sách nhóm là một tập hợp các đối tượng được liên kết với các OU xác định cài đặt cho người dùng và / hoặc máy tính trong các OU đó. Ví dụ: nếu bạn muốn làm cho nó "Tắt máy" không có trong menu bắt đầu cho 500 PC trong phòng thí nghiệm, bạn có thể làm điều đó trong một cài đặt trong Chính sách nhóm. Thay vì dành hàng giờ hoặc hàng ngày để cấu hình các mục đăng ký thích hợp bằng tay, bạn hãy tạo Đối tượng chính sách nhóm một lần, liên kết nó với OU hoặc OU chính xác và không bao giờ phải suy nghĩ lại. Có hàng trăm GPO có thể được cấu hình và tính linh hoạt của Chính sách nhóm là một trong những lý do chính khiến Microsoft chiếm ưu thế trong thị trường doanh nghiệp.