追求产品和服务高质量,努力实现与客户之间真诚有效的沟通,
不断地圆梦、奔跑与腾飞。
一个域描述了一组用户、系统、应用程序、网络、数据库服务器和其他任何资源,这些资源都受到一组共同的管理规则的控制。通常,一个域还包括一个物理空间,比如一个办公室或多个办公室。如果你在域内,你就处于一个理论上安全和可信的空间。如果在外面,你就是不可信的,所以域实际上就像是你的城堡,周围有护城河。
域控制器(DC)是一台服务器,管理网络和身份安全,有效地充当用户验证和授权进入域内 IT 资源的门卫。域控制器在微软目录服务术语中尤其重要,作为验证 Windows 用户身份的主要方式,以便让他们访问 Windows 系统、应用程序、文件服务器和网络。它们还托管 Active Directory 服务。
Windows 系统在企业解决方案中的流行,使域控制器成为网络架构中的常见术语。然而,最近的趋势已经使它们的使用过时了,特别是对于非 Windows 系统。如今的域控制器不符合中小型企业(SME)的要求。这导致许多企业寻求替代的云身份和访问管理(IAM)解决方案以及适用于 Windows 之外系统的设备管理。无域企业通过基于云的基础设施实现了域控制器为 Windows 网络所做的事情。它将身份视为边界,将设备视为资源的网关。
然而,域控制器仍然是中小型企业的基础技术,并且可以通过云目录进行扩展和改进,包括 NingDS 的开放式目录平台。本文深入介绍了域控制器的工作原理以及如何使用它们。
域控制器简介
域控制器的概念最初是由微软引入的,用于管理基于 Windows NT 的网络。它为 IT 管理员提供了一种控制域内资源访问的方式,也就是企业的用户和 IT 资源。在这种环境下,所有用户请求都被发送到域控制器进行身份验证和授权。然后,域控制器通过验证用户名和密码来验证用户身份,并相应地授权访问请求。Windows Server 多年来已经发展了许多新功能,以支持现代托管范例和部署选项。随后的发布版本添加了额外的服务器角色,并可以跟上更新的硬件、身份验证协议、报告、管理和安全要求。
域控制器的作用是什么?
域控制器继续执行网络资源的权限和安全策略,同时确保网络的总体安全性和可靠性。随后,微软的Active Directory(AD)的加入使网络管理员能够从一个集中的位置管理基于 Windows 的网络的用户帐户和权限。AD 设置诸如密码复杂性要求或帐户锁定等策略,也可以将数据和用户信息复制到网络上的其他域,无论是在本地还是在其他位置。
在过去的二十多年里,AD 一直在许多企业中发挥着至关重要的作用。域控制器对于现代企业仍然是相关的,但是如果没有包含云服务来联合身份和管理所有设备平台,就会将用户锁定在 Windows 网络中。
如何在域控制器上设置活动目录?
首先,我们来探讨一下 AD 的组成部分。活动目录由四个基本服务组成,这些服务在域控制器上运行,使其能够提供身份和访问管理:
活动目录域服务(AD DS)。这是活动目录协议中的主要服务。除了存储目录信息外,它还控制哪些用户可以访问每个企业资源和组策略。AD DS 使用分层结构,包括域、树和森林,以协调网络资源。 活动目录轻量级目录服务(AD LDS)。它与 AD DS 共享相同的代码库和功能。但是,与 AD DS 不同,AD LDS 使用轻量级目录访问协议(LDAP),允许在同一服务器上运行多个实例。 活动目录联合服务(AD FS)。如其名称所示,AD FS 是一种联合身份服务,提供单点登录(SSO)功能。它使用许多流行的协议,如 OAuth、OpenID 和安全断言标记语言(SAML),在不同的身份提供者之间传递凭据。 活动目录证书服务(AD CS)。这是一个创建本地公钥基础设施(PKI)的服务,使企业能够创建、验证和撤销内部使用的证书。
按照以下步骤设置AD:
安装 Windows Server:指定一个 Windows Server 实例作为您的主域控制器。专用一个满足运行 Windows Server 的最低硬件要求的虚拟化平台或服务器,并留出扩展空间。
如果您正在构建以 DC 为核心的基础架构,则很可能需要额外的服务器实例和角色。微软修改了其许可制度,使其在每个核心的基础上运行(更不用说您需要的每个其他客户端访问许可(CAL)了)。记住这些额外成本,因为服务器核心许可可能比你意识到的要更昂贵。
安装活动目录域服务:使用服务器管理器或 PowerShell 安装 AD DS。制定备份的应急计划,并解决如果你的 DC 崩溃会发生什么的问题。
将服务器晋升为域控制器:接下来,你需要将服务器晋升为域控制器。活动目录域服务安装向导将协助指定网络的适当设置。
配置活动目录:根据你的网络要求配置活动目录。这涉及创建组织单位、用户、组和其他网络组件。满足现代安全标准可能是一个复杂的过程,只有了解其中风险的经验丰富的管理员才能尝试。
配置DNS:活动目录在名称解析方面严重依赖 DNS(域名系统)。正确配置 DNS 以确保活动目录正常运行。至少有两个内部 DNS 服务器,并考虑使用活动目录集成区域。这可以提高可靠性、性能,并且 DNS 服务器将拒绝未经授权的主机请求。
配置组策略:最后,配置组策略,它允许你跨网络管理和强制执行策略。组策略设置可以应用于域、站点或组织单元级别。默认的 UI 可能会具有挑战性和繁琐性。GPO 模板使 Windows 更容易实现强安全姿态,如 CIS 基准测试。
域控制器和DNS服务器是相同的吗?
域控制器作为主机访问域资源的门卫,并使用 Kerberos 和(或)NTLM 对进入域的用户/设备进行身份验证。它是执行策略和托管 AD 的地方。域名系统(DNS)协议将 IP 地址转换为 URL,帮助用户浏览网络。DNS 服务器将严格提供 DNS 服务。
其他域控制器实现选项
以下部署选项可以帮助管理员节省费用并满足其要求。
全局目录 (GC):GC 是非官方的灵活的单主操作(FSMO)角色和 AD 特性,可提供跨所有林域的任何对象的信息。选择的属性会被复制到 GC 服务器,这使管理员可以获取必要的信息。
只读域控制器(RODC):当IT资源有限时,RODC 是在分支机构托管 Active Directory 只读副本的选项。它是在企业的每个分支机构建立安全数据中心设施的经济替代方案。身份验证请求发送到 RODC,而不是通过 WAN 链路,以提高安全性。RODC 服务器仅保存有关 DC 的有限数据,凭据缓存由策略定义。本地管理员可以进行更改,而不会影响总部的主要 DC。
目录服务还原模式(DSRM):DSRM 是一种特殊的启动模式,可帮助管理员恢复AD数据库并还原系统状态。这类似于 Windows 中的“安全模式”概念。黑客有时使用渗透测试工具,如 Mimikatz,激活并捕获本地 DSRM 管理员凭据。他们可以使用本地管理员帐户获得远程访问。
服务热线
1391-024-6332
Copyright 2015-2018 www.intsavi.com.cn All Rights Reserved
电话:010-62980070 010-62961051 手机:13910246332
版权所有北京赛维博信科技发展有限公司 备案号:京ICP备14043711号-1 京ICP备14043711号-3