DC-Agent模式和轮询模式的比力

本文先容从FSSO收集器代理上提供的FSSO域控制器检索用户信息的两种模式。
当将FSSO配置为无代理时，在这种情况下，FortiGate提供来自域控制器的轮询（在FortiGate GUI中的外部毗连器下显示为“Active Directory毗连器”）。
DC-Agent模式只能从Collector Agent或FortiAuthenticator中使用。
DC-Agent模式。

在DC代理模式下，Fortinet身份验证代理安装在每个域控制器上。
这些DC代理监视用户登录事件并将信息发送到收集器代理，收集器代理存储信息并将其发送到FortiGate。
安装在域控制器上的DC代理与收集器代理不同，它是一个名为“dcagent.dll”的DLL文件，安装在Windows\system32目录中。
这使得DC代理可以大概直接从当地安全授权子系统服务（LSASS）读取认证事件。
DC代理模式提供可靠的用户登录信息，但是必须在每个域控制器上安装DC代理。
安装代理后必要重新启动。每个安装也必要一些维护。由于这些原因，可能无法使用DC Agent模式。
每个域控制器毗连必要最低保证64 kbps带宽，以确保精确的FSSO功能。
在FortiGate上配置流量整形器，以确保域控制器毗连的最小带宽得到保证。
轮询模式

在每个域控制器上安装DC-Agent可以确保检测用户登录的最大准确性。
然而，有些用户不希望在其域控制器上安装第三方软件。
在轮询模式下，有三个选项：NetAPI轮询、事件日记轮询和使用SQL的事件日记。
所有这些都具有透明和无代理的长处。
但是，当直接从FortiGate使用当地轮询时，没有这样的选项，只使用事件日记轮询。
NetAPI轮询用于检索服务器登录会话。
这包括Controller代理的登录事件信息。
NetAPI运行速度比事件日记轮询快，但在系统负载繁重时会错过一些用户登录事件。
它必要少于10秒的查询来回时间。
事件日记轮询可能会运行得慢一点，但不会错过事件，纵然安装站点有很多必要身份验证的用户。
它对NetAPI轮询没有10秒的限定。
事件日记轮询必要快速的网络链接。如果有Mac OS用户登录到Windows AD，则必要事件日记轮询。
FortiGate集成轮询器只能使用这种轮询方法（在FortiGate GUI中的外部毗连器下显示为“Active Directory毗连器”）。
其他事件轮询方法专用于FortiAuthenticator或FSSO收集器代理。
事件日记（使用事件轮询）：SQL Server是从Windows服务器获取系统信息的Windows API，Collector Agent（CA）是SQL Server客户端，它将用户登录事件的SQL Server查询发送到DC（在本例中为SQL Server）。此模式的重要长处是，CA不必要在DC上搜刮安全事件日记以查找用户登录事件，相反，DC将通过DNS返回所有请求的登录事件。这也减少了CA和DC之间的网络负载。
在轮询模式下，收集器代理每隔几秒钟轮询每个域控制器的端口445以获取用户登录信息，并将其转发到FortiGate。
没有安装DC代理，因此收集器代理直接轮询域控制器。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。