Преводач

11/27/2015

Domain Contorllers/Домейн Контролери - PDC - Primary Domain Controller

Домейн контролери


Всички домейн контролери по пъщество са еднакви с две изключения. RODCs/Read Only Domain Controllers/ съдържат само за четене копие от DS базата данни на AD, а другите домейн контролери имат права за четене и запис на копието. Има и някои
операции, които могат да се извършват само по конкретни домейн контролери, наречени operation masters.

Домейн контролер е сървър, който е конфигуриран да съхранява копие от AD DS директория на базата данни(Ntds.dit) и копие от папката SYSVOL. Всички домейн контролери с изключение на RODC съхраняват копие от Ntds.dit както и SYSVOL папките. Ntds.dit е самата база данни, а SYSVOL папка съдържа всички настройки на шаблона и файлове за GPOs.

Домейн контролерите използват мулти-майстор репликация процес. За повечето операции, данните могат да бъдат промяна на всеки домейн контролер с изключение на RODCs. AD DS репликация синхронизира промените, които са направени на базата данни на АД към всички други домейн контролери в домейна. Папките SYSVOL се репликират или чрез услугата за репликация на файлове (FRS), или от Разпределена файлова система (DFS).

Домейн контролерите имат и няколко други услуги включително Kerberos
удостоверяване на услуги, който се използва от потребители и компютри за влизане в системата и удостоверяване.

Всички потребители в AD съществуват в базата данни на АД и ако базата данни е недостъпна поради някаква причина, всички операции зависими от удостоверяване в домейна ще се провалят. Като най-добри практики трябва да има минимум две домейн контролери. Това поддържа висока наличност на базата данни на АД и се разпространява от натоварването на удостоверяване по време на пиковите при логване.
Когато използваме домейн контролер в клон, където физическа сигурност е по-слаба от оптималното, има някои допълнителни мерки, които можете да използвате, за да се намали нарушаването на сигурността. Единият вариант е да се използват RODC.

Тези домейн контролери държат само Read-only от базата данни на Ад-то и по подразбиране
не запазват(кешират) данни за потребителските пароли. Така ако този тип домейн контролер е изложен на риск, вероятността за загуба на данни е много по-малка.

Друг вариант е да използвате Windows BitLocker® за шифроване на устройства и за кодиране на хард диска  на домейн контролера. Ако хард диска е откраднат, BitLocker криптирането гарантира,  много малък шанс на злонамерен потребител да получи полезна информация от него.

BitLocker е система за криптиране за Windows Server операционни системи, както и за някои версии за клиентска операционната система. BitLocker криптира цялата операционна система, така че компютърът не може да започне, без да бъдат въведен частен ключ.. A диск остава криптирана, дори ако се закачи и прехвърли на друг компютър.

PDC - Основен домейн контролер

 
Чрез основния домейн контролер или PDC е основния източник се синхронизират часовете на всички други домейн контролери на всеки домейн във фореста.
Също така той отговаря и при спеша смяна на пароли. Ако потребител си смени паролата, информацията веднага се изпраща до Основния домейн контролер и ако потребител се опита да се логне и да се аутентикира през домейн контролер на различно местоположение, който още не е получил информация за промяната на паролата, въпросния домейн контролер ще се допита първо по PDC за скорошни промени. Ако основния домейн контролер е недостъпен по различни причини, потребители ще имат проблем с логването ако информацията не се е репликирала по останалите контролери.
PDC също се използва при промяна на GPO-тата. Когато групова политика различна от локална е отворена за промяна, копието, което се променя се съхранява на PDC. Това се прави с цел предотвратяване на конфликт ако двама администратори се опитват да променят една и съща групова политика по едно и също време на различни домейн контролери. Може да се избира на кой домейн контролер да се променят груповите политики. Това се използва, когато се променят политики в отдалечен офис с бавна връзка към основния домейн контролер.
 
 
 

Няма коментари:

Публикуване на коментар