Erweiterte Verwaltung
Der folgende Inhalt richtet sich an Administratoren, die ein besseres Verständnis dafür entwickeln möchten, wie die Specops Password Sync-Komponenten interagieren und wie das System in verschiedenen Umgebungen am besten konfiguriert werden kann.
Komponenten
Specops Password Sync besteht aus den folgenden Komponenten. Die folgende Übersicht zeigt die Kommunikation zwischen den Komponenten bei der Durchführung einer Passwortsynchronisation.
Specops Password Change Notifier
Der Specops Password Change Notifier reagiert auf erfolgreiche Passwortänderungen, die vom Domänencontroller durchgeführt werden, und sendet eine Passwortsynchronisationsanfrage an den Sync Server. Der Password Change Notifier muss auf allen Domänencontrollern installiert sein, die Passwortänderungsanfragen bearbeiten.
Hinweis: Es ist am besten, den Password Change Notifier auf allen Domänencontrollern zu haben, aber nur die Domänencontroller, die Passwortänderungsanfragen bearbeiten, benötigen den Notifier.
Der Specops Password Change Notifier enthält die folgenden Unterkomponenten:
- Notifier Filter
- Notifier Service
Notifier Filter
Der Notifier Filter fängt Passwortänderungen auf dem Domänencontroller ab. Wenn eine erfolgreiche Passwortänderung erkannt wird, führt der Notifier Filter die folgenden Sicherheitsüberprüfungen durch:
-
Überprüfung privilegierter Gruppen: Benutzer mit der adminCount-Benutzereigenschaft auf 1 in Active Directory (Domain Admins, Schema Admins usw.) werden herausgefiltert und ihre Passwörter werden nicht synchronisiert. Jedes Mal, wenn ein Passwortsynchronisationsauftrag für einen geschützten Benutzer erkannt wird, wird ein Ereignis im Protokoll geschrieben.
Hinweis
Sie können die Passwortsynchronisation für privilegierte Gruppen aus den Change Notifier-Registrierungseinstellungen aktivieren. Weitere Informationen finden Sie im Specops Password Sync Administration Guide.
-
Überprüfung des Managementbereichs: Jeder Sync Scope muss mindestens einen User Scope of Management konfiguriert haben.
Hinweis
Wenn eine Gruppenrichtlinie, die einen Benutzer betrifft, außerhalb des Bereichs verknüpft ist, wird das Passwort nicht synchronisiert und ein Ereignisprotokolleintrag auf dem Domänencontroller geschrieben.
-
Überprüfung der konfigurierten Sync Server: Der Notifier Filter überprüft die Sync Server, die mit einem bestimmten Synchronisationspunkt konfiguriert sind. Dies verhindert, dass ein unbefugter Administrator einen genehmigten Sync Server durch einen ersetzt, den er kontrollieren kann. Dies verhindert, dass unbefugte Administratoren die Kern-Sicherheit des Systems umgehen.
Sobald die Sicherheitsüberprüfungen abgeschlossen sind, wird für jeden konfigurierten Sync Point eine Passwortänderungsanfrage-Datei erstellt. Das Passwort wird mit dem Windows Data Protection (DPAPI)-Mechanismus unter Verwendung der Systemanmeldeinformationen des Domänencontrollers verschlüsselt. Das bedeutet, dass nur der Domänencontroller das Passwort entschlüsseln kann. Der Standardpfad zur Jobwarteschlange ist:
%SystemRoot%\System32\SpecopsPasswordSync\Queues
Hinweis
- Der Pfad zur Jobwarteschlange befindet sich auf dem Domänencontroller.
- Nur das lokale System hat Berechtigungen, um auf diesen Ort zuzugreifen.
Notifier Service
Der Specops Password Change Notifier Service nimmt die Passwortänderungsanfrage-Datei aus dem Warteschlangenordner und erhält den richtigen Sync Server aus Active Directory. Der Notifier Service läuft im Sicherheitskontext des Domänencontrollers und kann das Passwort entschlüsseln. Der Notifier Service versucht, eine verschlüsselte SSL-Sitzung mit dem primären Sync Server für den Sync Point einzurichten. Wenn dies fehlschlägt, wird der sekundäre Sync Server kontaktiert. Wenn die Sitzung hergestellt ist, wird die Identität des entfernten Sync Server Service mit Kerberos Mutual Authentication überprüft, um sicherzustellen, dass der entfernte Computer der in Active Directory konfigurierte Computer ist. Die Passwortänderungsanfrage wird über den sicheren verschlüsselten Kanal an den Sync Server übergeben. Sobald ein erfolgreicher Kommunikationsversuch unternommen wurde, wird die lokal verschlüsselte Passwortänderungsanfrage-Datei aus dem Warteschlangenordner gelöscht.
Specops Password Sync Server
Der Specops Password Sync Server synchronisiert neue Passwörter mit verbundenen Systemen.
Der Specops Password Sync Notifier verbindet sich mit dem Specops Password Sync Server und sendet Passwortänderungsanfragen über eine SSL-Verbindung auf Port 4377. Wenn ein Sync Server vom Notifier kontaktiert wird, überprüft der Sync Server, dass der verbindende Computer der richtige Domänencontroller ist, indem Kerberos Mutual Authentication verwendet wird. Wenn die Anfrage validiert ist, wird das Passwort mit den Systemanmeldeinformationen DPAPI verschlüsselt und zur SQL CE-Datenbank hinzugefügt, die sich befindet in:
%LocalAppData%\Specops Password Sync\SpecopsPasswordSync.sdf
Hinweis
Der Specops Password Sync Server verwendet einen Specops Password Sync Provider, um die in dem Sync Point konfigurierten Zielsysteme zu kontaktieren und die Passwortsynchronisation durchzuführen. Sobald das Passwort synchronisiert wurde, wird der verschlüsselte Eintrag in der Datenbank entfernt. Wenn die Synchronisation nicht erfolgreich ist, wird der Specops Password Sync Server weiterhin versuchen, bis die maximale Anzahl an Wiederholungsversuchen erreicht ist. Wenn alle Wiederholungen fehlgeschlagen sind, wird das verschlüsselte Passwort entfernt.
Sync Server TCP IP Ports
Der Sync Server verwendet zwei Ports für die Kommunikation im internen Netzwerk.
| Registrierungsschlüssel | Beschreibung |
|---|---|
| TCP/4377 | Passwort-Sync-Job-Kommunikation zwischen dem Notifier Service und dem Sync Server. |
| TCP/4378 | Wird verwendet, wenn das Admin-Tool mit dem Sync Server kommuniziert. |
Die Porteinstellungen werden in der Dienstkonfigurationsdatei "PasswordSync.Server.exe.config" im Dienstinstallationsverzeichnis gespeichert. Sie können die Portnummern ändern, indem Sie den folgenden Abschnitt der Datei bearbeiten:
<service name="Specopssoft.PasswordSync.Server.HttpPasswordChangeListener" behaviorConfiguration="SpsServiceBehavior">
<add baseAddress="https://SRV01.specops.demo:4377/SPS"/>
<service name="Specopssoft.PasswordSync.Server.SyncServerAdminHost" behaviorConfiguration="DevelopmentSpsServiceBehavior">
<add baseAddress="net.tcp://SRV01.specops.demo:4378/SPS"/>
Sobald Sie die Portnummern geändert haben, müssen Sie die Datei speichern und den Sync Server-Dienst neu starten. Wenn Sie die Ports und Firewalls manuell ändern, müssen Sie die Änderungen nach einem Upgrade erneut durchführen.
Active Directory Integrierter Konfigurationsspeicher
Specops Password Sync verwendet Active Directory, um die vom System verwendeten Konfigurationsdaten zu speichern. Die Einstellungen für Specops Password Sync finden Sie im Systemcontainer in der Domäne. In Active Directory-Benutzer und -Computer (mit aktiviertem erweiterten Ansichtsmodus) oder ADSI-Edit können Sie zu
<your_domain_fqdn>/System/Specops/PasswordSync navigieren, um den Speicherort zu finden.
Konfigurationsdaten werden in diesem Container und serviceConnectionPoint-Objekten des Specops Password Sync Server-Objekts gespeichert. Beide Elemente sind Teil des Standard-Active Directory-Schemas. Durch das Speichern der Informationen in Active Directory stellt das System einen zuverlässigen Betrieb sicher.