Apa itu Active Directory?
Layanan Domain Direktori Aktif adalah Server Direktori Microsoft. Ini menyediakan mekanisme otentikasi dan otorisasi serta kerangka kerja di mana layanan terkait lainnya dapat digunakan (Layanan Sertifikat AD, Layanan Federasi AD, dll). Ini adalah database yang sesuai dengan LDAP yang berisi objek. Objek yang paling umum digunakan adalah pengguna, komputer, dan grup. Objek-objek ini dapat diatur ke dalam unit organisasi (OU) dengan sejumlah kebutuhan logis atau bisnis. Objek Kebijakan Grup (GPO) kemudian dapat ditautkan ke OU untuk memusatkan pengaturan untuk berbagai pengguna atau komputer di seluruh organisasi.
Ketika orang mengatakan "Active Directory", mereka biasanya merujuk ke "Layanan Domain Direktori Aktif." Penting untuk dicatat bahwa ada peran / produk Direktori Aktif lainnya seperti Layanan Sertifikat, Layanan Federasi, Layanan Direktori Ringan, Layanan Manajemen Hak, dll. Jawaban ini merujuk secara khusus ke Layanan Domain Direktori Aktif.
Apa itu domain dan apa itu hutan?
Hutan adalah batas keamanan. Benda-benda di hutan terpisah tidak dapat berinteraksi satu sama lain, kecuali para administrator dari masing-masing hutan yang terpisah membuat kepercayaan di antara mereka. Misalnya, akun Administrator Perusahaan untuk domain1.com
, yang biasanya merupakan akun paling istimewa dari hutan, tidak akan memiliki izin sama sekali di hutan kedua yang dinamai domain2.com
, bahkan jika hutan itu ada dalam LAN yang sama, kecuali ada kepercayaan di tempat. .
Jika Anda memiliki beberapa unit bisnis yang terpisah atau memiliki kebutuhan akan batas keamanan yang terpisah, Anda memerlukan banyak hutan.
Domain adalah batas manajemen. Domain adalah bagian dari hutan. Domain pertama di hutan dikenal sebagai domain root hutan. Di banyak organisasi kecil dan menengah (dan bahkan beberapa yang besar), Anda hanya akan menemukan satu domain di satu hutan. Domain root hutan mendefinisikan namespace default untuk hutan. Misalnya, jika domain pertama di hutan baru dinamai domain1.com
, maka itu adalah domain root hutan. Jika Anda memiliki kebutuhan bisnis untuk domain anak, misalnya - kantor cabang di Chicago, Anda mungkin memberi nama domain anak chi
. The FQDN dari domain anak akanchi.domain1.com
. Anda dapat melihat bahwa nama domain anak adalah nama domain root hutan yang sudah ditulis sebelumnya. Ini biasanya cara kerjanya. Anda dapat memiliki ruang nama yang terpisah di hutan yang sama, tetapi itu adalah kaleng cacing yang terpisah untuk waktu yang berbeda.
Dalam kebanyakan kasus, Anda ingin mencoba dan melakukan segala yang mungkin untuk memiliki domain AD tunggal. Ini menyederhanakan manajemen, dan versi AD modern membuatnya sangat mudah untuk mendelegasikan kontrol berdasarkan OU, yang mengurangi kebutuhan untuk domain anak.
Saya dapat memberi nama domain saya apa pun yang saya inginkan, bukan?
Tidak juga. dcpromo.exe
, alat yang menangani promosi server ke DC tidak bodoh. Itu membuat Anda membuat keputusan buruk dengan penamaan Anda, jadi perhatikan bagian ini jika Anda tidak yakin. (Sunting: dcpromo sudah tidak digunakan lagi di Server 2012. Gunakan Install-ADDSForest
cmdlet PowerShell atau instal AD DS dari Server Manager.)
Pertama-tama, jangan gunakan TLD yang dibuat seperti .local, .lan, .corp, atau omong kosong lainnya. TLD itu tidak dicadangkan. ICANN menjual TLD sekarang, sehingga Anda mycompany.corp
yang Anda gunakan hari ini sebenarnya milik seseorang besok. Jika Anda memiliki mycompany.com
, maka hal yang cerdas untuk dilakukan adalah menggunakan sesuatu seperti internal.mycompany.com
atau ad.mycompany.com
untuk nama AD internal Anda. Jika Anda menggunakan mycompany.com
situs web yang dapat diselesaikan secara eksternal, Anda harus menghindari menggunakannya sebagai nama AD internal Anda, karena Anda akan berakhir dengan DNS otak-terpisah.
Pengontrol Domain dan Katalog Global
Server yang merespons permintaan otentikasi atau otorisasi adalah Pengontrol Domain (DC). Dalam kebanyakan kasus, Pengontrol Domain akan menyimpan salinan Katalog Global . Katalog Global (GC) adalah seperangkat objek parsial di semua domain di hutan. Ini dapat dicari secara langsung, yang berarti bahwa kueri lintas-domain biasanya dapat dilakukan pada GC tanpa perlu rujukan ke DC di domain target. Jika DC dipertanyakan pada port 3268 (3269 jika menggunakan SSL), maka GC sedang ditanyai. Jika port 389 (636 jika menggunakan SSL) ditanya, maka kueri LDAP standar sedang digunakan dan objek yang ada di domain lain mungkin memerlukan rujukan .
Ketika pengguna mencoba masuk ke komputer yang bergabung dengan AD menggunakan kredensial AD mereka, kombinasi nama pengguna dan kata sandi yang diasinkan dan di-hash dikirim ke DC untuk akun pengguna dan akun komputer yang sedang login. Ya, komputer masuk juga. Ini penting, karena jika sesuatu terjadi pada akun komputer dalam AD, seperti seseorang me-reset akun atau menghapusnya, Anda mungkin mendapatkan kesalahan yang mengatakan bahwa hubungan kepercayaan tidak ada antara komputer dan domain. Meskipun kredensial jaringan Anda baik-baik saja, komputer tidak lagi dipercaya untuk masuk ke domain.
Masalah Ketersediaan Pengontrol Domain
Saya mendengar "Saya memiliki Pengontrol Domain Utama (PDC) dan ingin menginstal Pengendali Domain Cadangan (BDC)" jauh lebih sering yang ingin saya percayai. Konsep PDC dan BDC mati dengan Windows NT4. Benteng terakhir untuk PDC adalah dalam AD mode transisi transisi Windows 2000 ketika Anda masih memiliki NT4 DC. Pada dasarnya, kecuali Anda mendukung pemasangan berusia 15+ tahun yang belum pernah ditingkatkan, Anda benar-benar tidak memiliki PDC atau BDC, Anda hanya memiliki dua pengontrol domain.
Beberapa DC mampu menjawab permintaan otentikasi dari berbagai pengguna dan komputer secara bersamaan. Jika salah satu gagal, maka yang lain akan terus menawarkan layanan otentikasi tanpa harus membuat satu "primer" seperti yang harus Anda lakukan di hari-hari NT4. Ini adalah praktik terbaik untuk memiliki setidaknya dua DC per domain. DC ini harus memiliki salinan GC dan keduanya harus merupakan server DNS yang menyimpan salinan zona DNS Terpadu Direktori Aktif untuk domain Anda.
Peran FSMO
"Jadi, jika tidak ada PDC, mengapa ada peran PDC yang hanya dimiliki oleh satu DC?"
Saya sering mendengar ini. Ada peran PDC Emulator . Ini berbeda dari menjadi PDC. Bahkan, ada 5 peran Operasi Master Tunggal Fleksibel (FSMO) . Ini juga disebut peran Master Operasi. Kedua istilah tersebut dapat dipertukarkan. Apa yang mereka dan apa yang mereka lakukan? Pertanyaan bagus! 5 peran dan fungsinya adalah:
Master Penamaan Domain - Hanya ada satu Master Penamaan Domain per hutan. Master Penamaan Domain memastikan bahwa ketika domain baru ditambahkan ke hutan, itu unik. Jika server yang memegang peran ini sedang luring, Anda tidak akan dapat membuat perubahan pada namespace AD, yang mencakup hal-hal seperti menambahkan domain anak baru.
Master Skema - Hanya ada satu Master Skema Operasi di hutan. Bertanggung jawab untuk memperbarui Skema Direktori Aktif. Tugas yang memerlukan ini, seperti menyiapkan AD untuk versi baru Windows Server yang berfungsi sebagai DC atau instalasi Exchange, memerlukan modifikasi Skema. Modifikasi ini harus dilakukan dari Master Skema.
Master Infrastruktur - Ada satu Master Infrastruktur per domain. Jika Anda hanya memiliki satu domain di hutan Anda, Anda tidak perlu khawatir tentang hal itu. Jika Anda memiliki banyak hutan, maka Anda harus memastikan bahwa peran ini tidak dipegang oleh server yang juga merupakan pemegang GC kecuali setiap DC di dalam hutan adalah GC . Master infrastruktur bertanggung jawab untuk memastikan bahwa referensi lintas-domain ditangani dengan benar. Jika pengguna dalam satu domain ditambahkan ke grup di domain lain, master infrastruktur untuk domain tersebut memastikan bahwa itu ditangani dengan benar. Peran ini tidak akan berfungsi dengan benar jika ada di katalog global.
Master RID - Master ID Relatif (Master RID) bertanggung jawab untuk mengeluarkan kumpulan RID ke DC. Ada satu master RID per domain. Objek apa pun dalam domain AD memiliki Pengidentifikasi Keamanan (SID) yang unik. Ini terdiri dari kombinasi pengidentifikasi domain dan pengidentifikasi relatif. Setiap objek dalam domain yang diberikan memiliki pengidentifikasi domain yang sama, jadi pengidentifikasi relatif adalah apa yang membuat objek unik. Setiap DC memiliki kumpulan ID relatif untuk digunakan, jadi ketika DC itu membuat objek baru, itu menambahkan RID yang belum digunakan. Karena DC diberikan kumpulan yang tidak tumpang tindih, masing-masing RID harus tetap unik selama masa berlaku domain. Ketika DC sampai ~ 100 RID tersisa di kumpulannya, ia meminta kumpulan baru dari master RID. Jika master RID sedang offline untuk jangka waktu yang lama, pembuatan objek mungkin gagal.
Emulator PDC - Akhirnya, kita sampai pada peran yang paling banyak disalahpahami dari semuanya, peran Emulator PDC. Ada satu Emulator PDC per domain. Jika ada upaya otentikasi yang gagal, itu diteruskan ke Emulator PDC. PDC Emulator berfungsi sebagai "tie-breaker" jika kata sandi diperbarui pada satu DC dan belum direplikasi ke yang lain. Emulator PDC juga merupakan server yang mengontrol sinkronisasi waktu di seluruh domain. Semua DC lain menyinkronkan waktu mereka dari Emulator PDC. Semua klien menyinkronkan waktu mereka dari DC yang mereka masuki. Sangat penting bahwa semuanya tetap dalam 5 menit satu sama lain, jika tidak Kerberos istirahat dan ketika itu terjadi, semua orang menangis.
Yang penting untuk diingat adalah bahwa server yang menjalankan peran ini tidak diatur dalam batu. Biasanya sepele untuk memindahkan peran ini, jadi sementara beberapa DC melakukan sedikit lebih banyak daripada yang lain, jika mereka turun untuk waktu yang singkat, semuanya biasanya akan berfungsi secara normal. Jika mereka down untuk waktu yang lama, mudah untuk mentransfer peran secara transparan. Ini jauh lebih bagus daripada NT4 PDC / BDC hari, jadi tolong berhenti memanggil DC Anda dengan nama-nama lama. :)
Jadi, um ... bagaimana DC membagi informasi jika mereka dapat berfungsi secara independen satu sama lain?
Replikasi, tentu saja . Secara default, DC milik domain yang sama di situs yang sama akan mereplikasi data mereka satu sama lain pada interval 15 detik. Ini memastikan bahwa semuanya relatif terbaru.
Ada beberapa peristiwa "mendesak" yang memicu replikasi langsung. Kejadian ini adalah: Akun dikunci karena terlalu banyak login gagal, perubahan dilakukan pada kata sandi domain atau kebijakan penguncian, rahasia LSA diubah, kata sandi diubah pada akun komputer DC, atau peran RID Master ditransfer ke DC baru. Salah satu dari peristiwa ini akan memicu peristiwa replikasi langsung.
Perubahan kata sandi berada di antara mendesak dan tidak mendesak dan ditangani secara unik. Jika kata sandi pengguna diubah DC01
dan pengguna mencoba masuk ke komputer yang diautentikasi DC02
sebelum replikasi terjadi, Anda akan berharap ini gagal, kan? Untungnya itu tidak terjadi. Asumsikan ada DC ketiga di sini yang disebut DC03
memegang peran PDC Emulator. Ketika DC01
diperbarui dengan kata sandi baru pengguna, perubahan itu segera direplikasi DC03
juga. Ketika upaya otentikasi DC02
gagal, DC02
maka upaya otentikasi akan dilanjutkan DC03
, yang memverifikasi bahwa memang, baik, dan masuk diizinkan.
Mari kita bicara tentang DNS
DNS sangat penting untuk AD yang berfungsi dengan baik. Baris pihak Microsoft yang resmi adalah bahwa server DNS apa pun dapat digunakan jika sudah diatur dengan benar. Jika Anda mencoba dan menggunakan BIND untuk meng-host zona AD Anda, Anda tinggi. Serius. Tetap menggunakan zona DNS Terpadu AD dan gunakan forwarder bersyarat atau global untuk zona lain jika Anda harus. Semua klien Anda harus dikonfigurasi untuk menggunakan server DNS AD Anda, jadi penting untuk memiliki redundansi di sini. Jika Anda memiliki dua DC, minta keduanya menjalankan DNS dan konfigurasikan klien Anda untuk menggunakan keduanya untuk resolusi nama.
Juga, Anda akan ingin memastikan bahwa jika Anda memiliki lebih dari satu DC, bahwa mereka tidak mendaftar sendiri terlebih dahulu untuk resolusi DNS. Ini dapat menyebabkan situasi di mana mereka berada di "pulau replikasi" di mana mereka terputus dari sisa topologi replikasi AD dan tidak dapat pulih. Jika Anda memiliki dua server DC01 - 10.1.1.1
dan DC02 - 10.1.1.2
, maka daftar server DNS mereka harus dikonfigurasi seperti ini:
Server: DC01 (10.1.1.1)
DNS Primer - 10.1.1.2
DNS sekunder - 127.0.0.1
Server: DC02 (10.1.1.2)
DNS Primer - 10.1.1.1
DNS sekunder - 127.0.0.1
Oke, ini sepertinya rumit. Mengapa saya ingin menggunakan AD sama sekali?
Karena begitu Anda tahu apa yang Anda lakukan, hidup Anda menjadi jauh lebih baik. AD memungkinkan sentralisasi manajemen pengguna dan komputer, serta sentralisasi akses dan penggunaan sumber daya. Bayangkan situasi di mana Anda memiliki 50 pengguna di kantor. Jika Anda ingin setiap pengguna memiliki login sendiri ke setiap komputer, Anda harus mengonfigurasi 50 akun pengguna lokal di setiap PC. Dengan AD, Anda hanya perlu membuat akun pengguna satu kali dan dapat masuk ke PC mana pun di domain secara default. Jika Anda ingin memperkeras keamanan, Anda harus melakukannya 50 kali. Semacam mimpi buruk, kan? Bayangkan juga Anda memiliki file yang hanya Anda inginkan separuh dari orang-orang itu. Jika Anda tidak menggunakan AD, Anda harus mereplikasi nama pengguna dan kata sandi mereka secara langsung di server untuk memberikan akses yang tidak terlihat, atau Anda Saya harus membuat akun bersama dan memberikan setiap pengguna nama pengguna dan kata sandi. Satu cara berarti Anda tahu (dan harus terus memperbarui) kata sandi pengguna. Cara lain berarti Anda tidak memiliki jejak audit. Tidak bagus kan?
Anda juga mendapatkan kemampuan untuk menggunakan Kebijakan Grup saat Anda menyiapkan AD. Kebijakan Grup adalah seperangkat objek yang ditautkan ke OU yang menentukan pengaturan untuk pengguna dan / atau komputer di OU tersebut. Misalnya, jika Anda ingin membuatnya sehingga "Shutdown" tidak ada di menu mulai untuk 500 PC lab, Anda bisa melakukannya dalam satu pengaturan di Kebijakan Grup. Alih-alih menghabiskan berjam-jam atau berhari-hari mengkonfigurasi entri registri yang tepat dengan tangan, Anda membuat Objek Kebijakan Grup sekali, menautkannya ke OU atau OU yang benar, dan tidak perlu memikirkannya lagi. Ada ratusan GPO yang dapat dikonfigurasi, dan fleksibilitas Kebijakan Grup adalah salah satu alasan utama mengapa Microsoft begitu dominan di pasar perusahaan.