, indledningen, eftersom windows 2000 - serveren blev frigivet næsten 15 år siden, domænecontrollere har været absolut grundlaget for ethvert active directory miljø.de klare autentificering af din brugerkonti og udstyr.de giver eller nægter at give brugerne adgang til sådanne ting som fælles mapper, printere og andre ressourcer på deres net.de opbevarer oplysninger om alle de regnskaber og ressourcer i deres miljø og sætter brugerne i stand til at se de ressourcer, de har brug for.de lod dig oprette og anvende koncernens politik genstande (gpos), der gør det muligt for dem at styre, kontrollere og lås adskillige aspekter af deres miljø.,, men da domænecontrollere grundlæggende forvaltning af sikkerheden af deres aktive adresseregister miljø, de repræsenterer et vigtigt mål for dem, der ønsker at angribe deres organisation.at sikre den fysiske sikkerhed for domænecontrollere er af afgørende betydning, for hvis nogen var i stand til at stjæle fra dine domænecontrollere, kunne de have adgang til hemmeligheder, hvor din virksomhed opererer i.af denne grund microsoft indført en ny type område registeransvarlige, begyndende med windows server - 2008 opfordrede en read - only område controller (rodc).i modsætning til en sikker (normalt) område registeransvarlige, en rodc opretholder en read - only kopi af din active directory fortegnelse database.det er også replikater fortegnelse over ændringer i én retning (er), som betyder, at hvis en rodc blev kompromitteret, ændringer i sin database, ikke vil blive gentaget i resten af din skov.rodcs omfatter også supplerende sikkerhedselementer, f.eks. med hensyn til, hvordan de lager papirer.disse elementer af rodcs gør dem til et godt valg, når du har brug for at sætte et område flyveleder i en lille filial eller andre fjerntliggende område, som ikke har de samme fysiske sikkerhed som deres centrale kontor.,, hvor man skal begynde, deres udgangspunkt for at lære rodcs arbejde, og hvordan de skal være der er planlægning og anvendelse af read only domænecontrollere whitepaper, som er til rådighed i. doc format fra microsoft downloade center.lad være med at være generet af den kendsgerning, at denne whitepaper blev offentliggjort i 2008, fordi der har været væsentlige ændringer til, hvordan rodcs arbejde siden windows server - 2008.med andre ord, windows server - 2012 r2 rodcs arbejde, er den samme som windows server - 2008 rodcs.eventuelle ændringer af rodcs siden 2008 har stort set været insekt fastsættes.du kan også vil se på, hvordan læser kun domænecontrollere og dns, arbejder i technet wiki for yderligere oplysninger om, hvordan rodcs samspil med dns infrastruktur, der undergirds din active directory miljø.,, når du har læst ovenstående whitepaper og wiki artikel, den næste ressource, bør du nok gennemgang vil blive læst kun område controller (rodc) branch office vejledning, som er til rådighed fra downloade center.denne. doc er af 2009, men det er stadig ret meget præcise med hensyn til anvendelse af windows server - 2012 rodcs i filialer.,, hvis du tænker på at indsætte en rodc i den demilitariserede zone (området net) i deres miljø, deres udgangspunkt for behandling bør være active directory domain tjenester på området net (vinduer - 2008) whitepaper, der findes her fra downloade center.der er også en technet wiki side om dette emne, men i øjeblikket er det kun en stub.,, når du har downloadet og læse alle disse varer, kan du stadig støder på problemer eller situationer ikke er dækket af dem.det er, hvad denne artikel skal løse.med andre ord skal vi se på nogle tips og gotchas om rodcs, der ikke er omfattet af disse varer, eller i det mindste de er ikke dækket meget klart.,, rodcs og din virksomhed ansøgninger, et vigtigt spørgsmål, bør du undersøge, før du begynder at rodcs i deres miljø, om alle dine virksomhedsapplikationer vil arbejde med rodcs.hvis du har en mission kritisk anvendelse, der ikke arbejder med rodcs og du gå videre og anvende rodcs, kan du pludselig finde din virksomhed pludselig stå,.,, microsoft har at tilbyde i denne forbindelse er det således kun domænecontrollere anvendelse forenelighed vejledning i technet bibliotek.desværre, at vejledning blev sidst opdateret i 2007, så det er nok ikke tilstrækkelige til at besvare alle deres spørgsmål om rodc kompatibilitet for deres vigtige forretningsmæssige formål.da jeg drøftede dette spørgsmål min active directory kontakter på microsoft - de sagde, de ville ikke holde en mester liste over ansøgninger, der ikke er forenelig med rodcs, fordi det er en opgave for anvendelse ejere, ikke active directory team, for at fastslå, om deres ansøgninger arbejde med rodcs eller ej.jeg har imidlertid bekræfter klart, f.eks. at microsoft sql - serveren kan monteres på en rodc, at microsoft exchange kan ikke søge mod en rodc osv.,, så er der spørgsmålet om tredjeparters anmodninger og deres forenelighed med rodcs.for selvfølgelig kan du ikke spørge microsoft - - de kan ikke forventes at føre et centralt register af alle de virksomheder, hvorvidt ansøgninger i verden.du skal kontakte anvendelsen sælger i stedet, og bede dem om rodc forenelighed direkte til deres ansøgninger.men forvent ikke en positiv reaktion fra sælgere.jeg spurgte en systemleverandør om dette, og deres svar var "hvad er en rodc?",, så din bedste måde at nærme sig problemet med anvendelse i overensstemmelse med rodcs er at opbygge en test, miljø, der har alle deres kritiske virksomhedsapplikationer, der er udstationeret.så indføre nogle rodcs i din test netværk, hver ansøgning gennem sine skridt, og se, hvad der sker.husk, hvis du ikke har en test miljø, så deres produktion miljø * * din test miljø.- og du vil ikke have det.,, rodcs og pdc emulator rolle, tror jeg ikke det er veldokumenteret i technet, men fra samtaler med mine kolleger, ser det ud til, at der kan være en direkte afhængighed af rodcs i et område på området registeransvarlige, der pdc emulator rolle på dette område.den pdc emulator er den officielle område embedsmand i et område, og det er nødvendigt for at synkronisere tid inden for miljø, så kerberos autentificeringen kan fungere ordentligt.jeg hørte et stykke tid tilbage fra en kollega, at han kendte en, der anvendes ipsec til segment, deres miljø, på en sådan måde, at en rodc ikke kunne kommunikere direkte med pdc emulator for det fælles område skov.en bivirkning, der blev bemærket i denne situation var, at når en brugerkonto blev slettet fra active directory, ændrer ikke var tilfældet for fortegnelse database for rodc.endnu en bivirkning var, at når der sker en ændring til en af brugernes rettigheder via koncernens politik, denne ændring var heller ikke anvendes til sikkerhedspolitik for rodc.når en ipsec - ordningen blev indført, der gjorde det muligt at rodc til direkte at tale med pdc emulator men sådanne ændringer blev gennemført som planlagt af rodc.jeg har ikke kontrolleret i mit laboratorium endnu, men det tyder på, at man bør udvise forsigtighed, når firewalling deres interne net med ipsec tunneller, som du kunne ende med at bryde aktive register, der kan føre til autentificering fiaskoer og andre dermed forbundne spørgsmål, da jeg sagde, at disse spørgsmål ikke er dokumenteret på technet, er der nogle råd. her kan der opstå problemer, som rodc kan ikke kommunikere direkte med pdc emulator.f.eks. emnet er "at løse en konto - problem i en filial af en rodc" i artikel forvaltning af rodcs i filialer.den røde tråd i titlen replikation tidsplaner med rodc i fjerntliggende ad stedet på det technet fora, også om nogle spørgsmål, som er forbundet med dette spørgsmål. vi må se nogle flere potentielle problemer med rodcs i den næste artikel i denne serie, er spørgsmål om active directory?,, hvis du har spørgsmål om anvendelse af read - only domænecontrollere, det bedste sted at bede dem er active directory domain services forum om technet.hvis du ikke får den hjælp, du har brug for det, kan du prøve at sende deres spørgsmål til [email protected], så vi kan offentliggøre det i spørge vores læsere, del af vores nyhedsbrev og se, om nogen af de næsten 100.000 det pro abonnenter på vores nyhedsbrev har nogen forslag om dit problem.
active directory indsigt (del 3)
Previous:active directory indsigt (del 4)
Next Page:active directory indsigt (del 2)