שאלה בקשר לAD וDNS
- פותח הנושא lizard
- פורסם בתאריך
א ש ה ג ו ל ש
New member
AD ????
סליחה על הבורות אבל מה זה AD
סליחה על הבורות אבל מה זה AD
לא
למחשב יש רשומת DNS משלו רק אם קיים DHCP שמעדכן DNS של חלונות. ה- DHCP, למיטב זכרוני, צריך להיות משולב בחלונות, ולא יכול לרוץ על מערכת אחרת (יש כל מיני טריקים כדי לעבוד עם זה אחרת, אבל הם לא מושלמים). המחשב מקבל רשומת DNS מעדכון ה- DHCP, ולא מה- AD עצמו. ברגע שרשמת מחשב ל- AD, המחשב קיבל Computer Account, שבו יש לו מספר SID, קיימים קשרי trust בין המחשב לשרת (כלומר, המחשב סומך על השרת, והשרת סומך מספיק על המחשב כדי לאפשר לו לאמת משתמשים מולו), מוחלות הגדרות אבטחת הדומיין על המחשב, מוחלים עליו כללי ה- GPO הרלוונטיים לקבוצה אליה הוא שייך. מה המחשב מקבל? את ההגדרות האלו, את הזכות לאמת מול שרת ה- AD. הוא לא מקבל רשומת DNS (אם הוא לא מול DHCP ושרת DNS שמתעדכן אוטומאטית), ואפילו לא SRV-Record. למה היתה הכוונה שלך ב- "מקבל"?
למחשב יש רשומת DNS משלו רק אם קיים DHCP שמעדכן DNS של חלונות. ה- DHCP, למיטב זכרוני, צריך להיות משולב בחלונות, ולא יכול לרוץ על מערכת אחרת (יש כל מיני טריקים כדי לעבוד עם זה אחרת, אבל הם לא מושלמים). המחשב מקבל רשומת DNS מעדכון ה- DHCP, ולא מה- AD עצמו. ברגע שרשמת מחשב ל- AD, המחשב קיבל Computer Account, שבו יש לו מספר SID, קיימים קשרי trust בין המחשב לשרת (כלומר, המחשב סומך על השרת, והשרת סומך מספיק על המחשב כדי לאפשר לו לאמת משתמשים מולו), מוחלות הגדרות אבטחת הדומיין על המחשב, מוחלים עליו כללי ה- GPO הרלוונטיים לקבוצה אליה הוא שייך. מה המחשב מקבל? את ההגדרות האלו, את הזכות לאמת מול שרת ה- AD. הוא לא מקבל רשומת DNS (אם הוא לא מול DHCP ושרת DNS שמתעדכן אוטומאטית), ואפילו לא SRV-Record. למה היתה הכוונה שלך ב- "מקבל"?
----->
אימות מול AD זאת לא זכות אלא חובה. כמובן שניתן לבצע login לוקלי (במידה וזה לא מבוטל דרך GPO). לא מבין מה כל המהומה על DNS/DHCP... אלה שירותים שאומנם AD נשען עליהם, לא שונים בהרבה מDNS או DHCP אחרים. DNS יכול לקבל עידכונים דינמיים או: 1) ע"י הקליינט עצמו ישירות (או בצורה מאובטחת או לא) 2) ע"י DHCP שחילק את הכתובת - האפשרות נחוצה עבורה legacy clients כגון 9X או NT לא רואה קשר לSRV records - אלה קשורים לשירותים שאותם אתה מפרסם דרך DNS, אם זה ldap או kerberos או כל שירות אחר. ו-lizard: אנשים בשביל להבין מה זה AD לומדים שנים. אתה מנסה תוך כמה ימים לדמות משהו על לינוקס. לא קפצנו קצת גבוהה ? תתחיל מזה שתקח איזה ספר נורמלי על AD (אם אתה רוצה, אני יכול להמליץ על כמה טובים שקראתי), תחרוש את הכמה עשרות RFC-ים על LDAP, תעשה dump לschema של LDAP מייקרוסופטי ואחרי כל זה, אולי תגיע למסקנה (שכבר הגעתי אליה מזמן ואני יכול גם לנמק אותה בצורה די רצינית) שזה בלתי אפשרי לדמות AD על לינוקס. נקודה. לינוקס זה לא 2000 ולא 2003. בשביל לקבל AD אתה חייב לקשור יותר מדי שירותים לתוך מנגנון יחיד ומתוזמן. לינוקס אומנם גמישה, אבל ה"חופשיות" שלה גובה מחיר של אי קיום חבילה ארוזה של כמה שירותים יחד. LDAP לבד, DNS לבד, Kerberos לבד... ככה לא תתפור שום דבר שיתקרב לAD. AD = מייקרוסופט. לינוקס לא יכול לעשות הכל.
אימות מול AD זאת לא זכות אלא חובה. כמובן שניתן לבצע login לוקלי (במידה וזה לא מבוטל דרך GPO). לא מבין מה כל המהומה על DNS/DHCP... אלה שירותים שאומנם AD נשען עליהם, לא שונים בהרבה מDNS או DHCP אחרים. DNS יכול לקבל עידכונים דינמיים או: 1) ע"י הקליינט עצמו ישירות (או בצורה מאובטחת או לא) 2) ע"י DHCP שחילק את הכתובת - האפשרות נחוצה עבורה legacy clients כגון 9X או NT לא רואה קשר לSRV records - אלה קשורים לשירותים שאותם אתה מפרסם דרך DNS, אם זה ldap או kerberos או כל שירות אחר. ו-lizard: אנשים בשביל להבין מה זה AD לומדים שנים. אתה מנסה תוך כמה ימים לדמות משהו על לינוקס. לא קפצנו קצת גבוהה ? תתחיל מזה שתקח איזה ספר נורמלי על AD (אם אתה רוצה, אני יכול להמליץ על כמה טובים שקראתי), תחרוש את הכמה עשרות RFC-ים על LDAP, תעשה dump לschema של LDAP מייקרוסופטי ואחרי כל זה, אולי תגיע למסקנה (שכבר הגעתי אליה מזמן ואני יכול גם לנמק אותה בצורה די רצינית) שזה בלתי אפשרי לדמות AD על לינוקס. נקודה. לינוקס זה לא 2000 ולא 2003. בשביל לקבל AD אתה חייב לקשור יותר מדי שירותים לתוך מנגנון יחיד ומתוזמן. לינוקס אומנם גמישה, אבל ה"חופשיות" שלה גובה מחיר של אי קיום חבילה ארוזה של כמה שירותים יחד. LDAP לבד, DNS לבד, Kerberos לבד... ככה לא תתפור שום דבר שיתקרב לAD. AD = מייקרוסופט. לינוקס לא יכול לעשות הכל.
----->
כפי שכבר ציטטתי פעם: In theory, there is no difference between theory and practice. But, in practice, there is תזכר במה שאמרתי אחרי שתעבור על הschema של AD, תבין מה התפקיד של כל FSMO ואיך כל קליינט מוצא איזה GPO הוא אמור לקבל. תזכור רק שלמייקרוסופט לקח כמה שנים לממש AD...
כפי שכבר ציטטתי פעם: In theory, there is no difference between theory and practice. But, in practice, there is תזכר במה שאמרתי אחרי שתעבור על הschema של AD, תבין מה התפקיד של כל FSMO ואיך כל קליינט מוצא איזה GPO הוא אמור לקבל. תזכור רק שלמייקרוסופט לקח כמה שנים לממש AD...
----->
הספרים של מארק מהווים מבוא לא רע: Mastering Windows Server 2003 by Mark Minasi נוברים בתוך AD: אומנם נכתב עוד בתקופה של 2000, אבל אני לא מצאתי ספר אחר שמתעסק עם AD בצורה יותר מעמיקה מזה (אמורה בקרוב לצאת מהדורה שתכלולל את 2003): Inside Active Directory: A System Administrator's Guide by Sakari Kouti, Mika Seitsonen ספר של "מתכונים" עבור AD. הספר זכה לביקורת מאוד טובה בקהילת AD בעולם. Active Directory Cookbook for Windows Server 2003 and Windows 2000 by Robbie Allen שלושתם ביחד מכסים לא רע את הנושא של AD.
הספרים של מארק מהווים מבוא לא רע: Mastering Windows Server 2003 by Mark Minasi נוברים בתוך AD: אומנם נכתב עוד בתקופה של 2000, אבל אני לא מצאתי ספר אחר שמתעסק עם AD בצורה יותר מעמיקה מזה (אמורה בקרוב לצאת מהדורה שתכלולל את 2003): Inside Active Directory: A System Administrator's Guide by Sakari Kouti, Mika Seitsonen ספר של "מתכונים" עבור AD. הספר זכה לביקורת מאוד טובה בקהילת AD בעולם. Active Directory Cookbook for Windows Server 2003 and Windows 2000 by Robbie Allen שלושתם ביחד מכסים לא רע את הנושא של AD.
לינוקס כן יכול לעשות הכל...
אם אתה לא יודע אל תקבע עובדות, חוסר ידע זה לא דבר רע ולעומת זאת לדבר שטויות זה כן דבר רע ואף לפעמים רע מאוד ומשאיר טעם רע בפה. על לינוקס ניתן לבצע את מה שAD עושה, בסך הכל AD זה חיקוי לא מוצלח של LDAP SERVER אשר מיושם על גבי מערכות POSIX עוד שהיית בש"ש. בשילוב של NIS אשר מיוסם על LDAP SERVER ניתן לקבל פונקציונליות דומה לAD. עכשיו לאחר ששמעת סקירה קצרה מאוד (מאוד מאוד קצרה) מאחר שזה פורום של אוהדי מייקרוסופט תוכל לעבור לפורום לינוקס ולשאול שאלות אשר ינחו אותך בכיוון אליו אתה אמור ללכת. לינוקס כן יכול לעשות הכל, אנשי הGUI לא יכולים לעשות הכל
((לא לקחת ללב הכל בדיחה) may the source be with you
אם אתה לא יודע אל תקבע עובדות, חוסר ידע זה לא דבר רע ולעומת זאת לדבר שטויות זה כן דבר רע ואף לפעמים רע מאוד ומשאיר טעם רע בפה. על לינוקס ניתן לבצע את מה שAD עושה, בסך הכל AD זה חיקוי לא מוצלח של LDAP SERVER אשר מיושם על גבי מערכות POSIX עוד שהיית בש"ש. בשילוב של NIS אשר מיוסם על LDAP SERVER ניתן לקבל פונקציונליות דומה לAD. עכשיו לאחר ששמעת סקירה קצרה מאוד (מאוד מאוד קצרה) מאחר שזה פורום של אוהדי מייקרוסופט תוכל לעבור לפורום לינוקס ולשאול שאלות אשר ינחו אותך בכיוון אליו אתה אמור ללכת. לינוקס כן יכול לעשות הכל, אנשי הGUI לא יכולים לעשות הכל
((לא לקחת ללב הכל בדיחה) may the source be with youאכן
http://mirror.hamakor.org.il/archives/linux-il/02-2004/8523.html http://mirror.hamakor.org.il/archives/linux-il/02-2004/8531.html (שתי ההודעות הן שלי) תקרא עד הסוף ואחרי שתמצא את השם שלי גם בפורום לינוקס, אם ישארו לך שאלות, אני לא הולך לשום מקום...
http://mirror.hamakor.org.il/archives/linux-il/02-2004/8523.html http://mirror.hamakor.org.il/archives/linux-il/02-2004/8531.html (שתי ההודעות הן שלי) תקרא עד הסוף ואחרי שתמצא את השם שלי גם בפורום לינוקס, אם ישארו לך שאלות, אני לא הולך לשום מקום...
Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.