|
Nima uchun xavfsiz kanallar muhim?
Nima uchun qo'llab-quvvatlovchi kimdir xavfsiz kanalning sog'lig'i haqida qayg'uradi? Buning sababi shundaki, domen bilan bog'liq barcha xizmatlar ko'proq yoki kamroq darajada xavfsiz kanalga tayanadi. Guruh siyosatini ololmaysizmi? Xavfsiz kanalni tekshiring. Tarmoq resursiga kira olmayapsizmi? Xavfsiz kanalni tekshiring. Domenga kira olmayapsizmi? Xavfsiz kanalni tekshiring. Albatta, xuddi shunday muammolarga olib kelishi mumkin bo'lgan boshqa narsalar ham bor, ammo tashxis qo'yish muammoli xavfsiz kanaldan ko'ra qiyinroq yoki keng tarqalgan.
Ushbu kompyuterlar ushbu xavfsiz kanallar bilan nima qiladi? Aniq javob: "Domen bilan bog'liq har qanday narsa, albatta!" Domen bilan bog'liq barcha xizmatlar xizmat so'rovini yuborish uchun DCni topish qobiliyatiga tayanadi. Bu domen a'zosi (masalan, ish stantsiyasi, a'zo server) hamda DC uchun amal qiladi. Haqiqatan ham, javob beruvchi DC ning mavjudligi xavfsiz kanaldir. Agar so'rovlarni yuborish uchun server bilan bog'lanib bo'lmasa, xizmatlar muvaffaqiyatsiz bo'ladi.
Masalan, agar foydalanuvchi Kerberos’dan foydalanish uchun sozlangan SharePoint saytiga ulansa, avtorizatsiya uchun SharePoint serveriga o‘tish uchun Kerberos chiptasini so‘rashi kerak bo‘ladi. Foydalanuvchining kompyuteri DC Kerberos chipta so'rovini yuborish uchun ushbu domen uchun keshlangan xavfsiz kanal ma'lumotlarini (NetLogon xizmati tomonidan saqlanadigan kesh) qidiradi. Agar bu DC har qanday sababga ko'ra javob bermasa, chipta so'rovi amalga oshmaydi va SharePoint ulanishi Kerberos yordamida autentifikatsiya qilinmaydi. SharePoint konfiguratsiyasiga qarab, bu saytga kirishning yo'qligiga olib kelishi mumkin - barchasi xavfsiz kanal bilan bog'liq muammo tufayli.
Keling, odatiy ko'p domenli stsenariyni ko'rib chiqaylik. Faraz qilaylik, A domenidan foydalanuvchi A B domenidagi B kompyuteriga kirdi. Foydalanuvchi uchun tizimga kirish Guruh siyosati qayta ishlanadi va A domenidan qaysi guruh siyosatlari foydalanuvchi A uchun qo‘llanilishini aniqlash uchun LDAP orqali so‘raladi. B kompyuteri qanday ishlaydi B domeniga a'zo bo'lgan , qaysi domen A siyosatini qayta ishlash kerakligini bilish uchun tarmoq trafigini qayerga yuborishni bilasizmi? U buni qila oladi, chunki ushbu domen uchun tarmoq joylashuvi va undagi DC ma'lumotlari doimiy ravishda yangilanib turadi. Ushbu ma'lumot NetLogon xizmati tomonidan domenga ulangan har bir Windows kompyuterida yangilanib turadi. NetLogon xizmati doimiy ravishda mavjud DC va domenlar ro'yxatini saqlab turadi (ishonchlar mavjud bo'lganda). Quyida NetLogon disk raskadrovka jurnali snippeti mavjud boʻlib, unda oʻsha davom etayotgan tartiblarning bir qismi koʻrsatilgan. Albatta,NetLogon xizmati uchun disk raskadrovka jurnalini yoqish .”
03/26 14:51:04 [MISC] [19236] NetpDcGetName: americas.contoso.com. keshlangan ma'lumotlardan foydalanish (NlDcCacheEntry = 0x0000003887FC68D0)
26/03 14:51:09 [MISC] [11528] DsGetDcName funksiyasi chaqirildi: mijoz PID=1292, Dom:(null) Acct:(null) Bayroqlar: DS GC RET_DNS
26/03 14:51:09 [MISC] [11528] NetpDcInitializeContext: DSGETDC_VALID_FLAGS c03ffff1
26/03 14:51:09 [MISC] [11528] NetpDcGetName: americas.contoso.com. keshlangan ma'lumotlardan foydalanish (NlDcCacheEntry = 0x0000003888470170)
26/03 14:51:09 [MISC] [11528] DsGetDcName: natijalar quyidagicha: DCName:\\BYC-NA-DC-50.americas.contoso.com DCAddress:\\ DCAddrType:0x1 DomainName:am .contoso.com DnsForestName:contoso.com Flags: 0xe00031fc DcSiteName:NYC-RHQ ClientSiteName:NYC-RHQ
26/03 14:51:09 [MISC] [11528] DsGetDcName funksiyasi 0 ni qaytaradi (mijoz PID=1292): Dom:(null) Acct:(null) Bayroqlar: DS GC RET_DNS
Yuqori darajada, xavfsiz kanal muammosining sabablari tarmoqqa ulanish muammolariga qadar qaynatiladi. Agar ulanish bilan bog'liq muammolar vaqti-vaqti bilan bo'lsa, tarmoq ishlayotganida, barcha xizmatlar ham ishlaydi. Agar ulanish muammolari davom etsa, ular xavfsiz kanalning buzilishiga olib kelishi mumkin . Buzilgan xavfsiz kanal shunchaki kompyuter va AD o'rtasidagi umumiy sir bir-biriga o'xshamasligini anglatadi va natijada kompyuter ishonchsiz bo'ladi. Bunday vaziyatning aniq ta'siri shundaki, hech kim domenga kira olmaydi va domen resurslariga kira olmaydi.
Mijoz kompyuterida yoki a'zo serverida buzilgan xavfsiz kanal yomon, chunki bu kompyuterning tarmoq xizmatlariga va u taqdim etadigan boshqa xizmatlarga autentifikatsiyasiga ta'sir qilishi mumkin. DCda u AD replikatsiyasini oldini oladi va davolanmasa, kutilmagan tizimga kirish va kirish muammolarini keltirib chiqarishi mumkin.
Do'stlaringiz bilan baham: |
