%20%E4%BD%BF%E7%94%A8%E6%86%91%E8%AD%89%E6%9C%89%E4%BD%95%E7%94%A8%E9%80%94%EF%BC%9F.png)
每個人都談論網域控制器,並且他們應該安裝證書,但最終它是可選的。安裝後,證書的實際用途是什麼?我的理解是,至少需要:
- 智慧卡認證
- LDAPS
但是,我想知道網域控制站使用憑證的 DC 或 Active Directory 是否有特定的本機操作?
我知道這裡的安全隱患/良好實踐:)我只是對遊戲中的機制感興趣。
答案1
即使在安裝 SSL 憑證之後,網域控制站之間的複製仍將透過 RPC 進行。有效負載已加密,但未使用 SSL。
如果您使用 SMTP 複製,則可以使用網域控制站的 SSL 憑證對複製進行加密...但我希望 2017 年沒有人使用 SMTP 複製。
LDAPS 與 LDAP 類似,但透過 SSL/TLS,利用網域控制站的憑證。但一般 Windows 網域成員不會自動開始使用 LDAPS 進行 DC 定位器或網域加入等操作。他們仍然只使用普通的 cLDAP 和 LDAP。
我們使用 LDAPS 的主要方式之一是用於需要安全方式查詢網域控制站的第三方服務或未加入網域的系統。借助 LDAPS,即使這些系統未加入域,它們仍然可以從加密通訊中受益。 (想想 VPN 集中器、Wifi 路由器、Linux 系統等)
但加入網域的 Windows 用戶端已經具有 SASL 簽章和密封以及 Kerberos,這些都已經加密且非常安全。所以他們會繼續使用它。
智慧型卡用戶端在下列情況下使用網域控制站的 SSL 憑證:嚴格的 KDC 驗證已開啟。這只是智慧卡客戶端的額外保護措施,能夠驗證他們正在交談的 KDC 是否合法。
網域控制器還可以使用其憑證進行 IPsec 通信,無論是在它們之間還是與成員伺服器之間。
我現在能想到的就是這些。