監控及維護 Active Directory

本章節中所含微軟測驗的項目：

規劃伺服器部署

規劃基礎結構服務伺服器角色。

...

規劃伺服器維護

規劃伺服器管理策略。Server

Manager ServerManagerCMD...

規劃委派管理權限。Active Directory ...

規劃和執行群組原則策略。 GPOGPO

...

規劃應用程式及資料佈建

提供應用程式。

System Center Configuration Manager...

規劃營運連續性及高可用性

規劃備份及復原。

...

208 MCITP：Windows Server 2008 Server Administrator 專業認證手冊

雖然企業將完整 Active Directory 樹系的規劃賦予 enterprise administrator，將每日例行任務授予 server administrator，但任何以 Microsoft Server 2008 伺服器為基礎的企業之伺服器管理者，都應當瞭解 Active Directory。

讀者務必瞭解 Active Directory 中的基本角色，特別是 Active Directory 網域服務(AD DS)與 Active Directory 憑證服務(AD CS)角色。也應當瞭解唯讀網域控制站(RODC)的用途。Active Directory 中包含許多內建群組，可用於簡化管理，而讀者必須瞭解它們並懂得如何加以運用。

沒有人希望見到網域控制站掛點；但如果不幸發生了，必須擁有應對之策。讀

者將在本章學習到 Active Directory 基本的備份與復原。

最後的部分不容小覷，讀者將學習到有關群組原則，包括如何運用群組原則與

一些重要的設定來管理企業。

System Center Configuration Manager 2

3 Windows Server 2008System Center Configuration Manager 4

7

9

Active Directory 角色 Active Directory 是微軟網路作業系統的核心。它包含樹系中物件的所有資料，並允許系統管理者得以集中管理網路。

Window Server 2008 Active Directory 已擴增到包括以前所沒有的其他 Active Directory 角色。雖然基本的網域控制站能力仍舊存在，新增角色在樹系中，提供具單純和擴充的 Active Directory 功能。

Chapter 5 監控及維護 Active Directory 209

Windows Server 2008 在 Active Directory 的角色支援如下：

Active Directory 網域服務(Active Directory Domain Services，AD DS) Active Directory 憑證服務(Active Directory Certificate Services，AD CS) Active Directory 輕量型目錄服務(Active Directory Lightweight Directory

Services，AD LDS) Active Directory 版權管理服務 (Active Directory Rights Management

Services，AD RMS) Active Directory 同盟服務(Active Directory Federation Services，AD FS)

當讀者準備 70-646 考試時，應該把重點放在 AD DS 和 AD CS 角色，而這些角色和唯讀網域控制站(RODC)將在以下各節深入說明。

Active Directory 網域服務 AD DS 角色是 Active Directory 中的主角。它擁有網路中物件相關資訊，並允許管理者集中管理網路。擔任這個角色的伺服器通常稱為網域控制站(domain

controller)。

Active Directory ( )( ) Active

Directory (AD DS)Active Directory

AD DS

AD DS 角色內包含的物件為使用者、電腦、群組和其他。當使用者需要存取網域，就得為使用者建立一個使用者帳戶。在 Active Directory 內的使用者帳戶即為物件。

在課堂上，我注意到「物件(object)」這個字有時令人們誤解，因為它不是一個常見的術語。讓我說得更明白一點，來幫助大家從客觀的角度去看：當你在

Active Directory 中建立使用者帳戶時，並不是建立個人。換言之，建立物件是為了關聯到個人。

你可以用相同方式去看待 AD 中大多數的物件；在 Active Directory 中所使用的物件，其實是在反應真實世界。你可以建立電腦物件以關聯至真實的電腦，

建立群組物件來關聯到如何將人們編在同一群組。

主要與 AD DS 互動的工具就是「Active Directory 使用者及電腦 (Active Directory Users and Computers)」，通常簡稱為 ADUC(發音為「a duck」)。圖5.1 顯示的是該工具的樣子。

210 MCITP：Windows Server 2008 Server Administrator 專業認證手冊

圖 5.1 Active Directory 使用者和電腦

網域通常會細分為組織單位(OU)，在網域內建立 OU 的原因有二：

委派控制給個別使用者或群組 如果有個網域包含 50 位使用者，也許你能輕易管理該網域。然而，如果管理是擁有 5000 位使用者的網域，就需要某些協助了。個別部門可以有自己專屬的 IT 單位，你可能希望這些 IT 人員管理他們所屬部門的使用者與電腦帳戶。

舉例來說，你可以建立一個 Sales OU 來支援業務部，並將業務部所有使用者和電腦加入到 Sales OU。此外，可為所有具備 Sales OU 管理權限的使用者建立一個群組(例如 SalesITAdmins)。

然後，委派 Sales OU 的管理權限給 SalesITAdmins 群組。現在仍是由你掌控整個網域，只是 Sale 部門的 IT 人員已能處理 Sales OU 中所有使用者的需求。

當委派控制給使用者或群組時，最好利用 ADUC 中的委派控制精靈。練習 5.1顯示了如何使用委派控制精靈。

利用群組原則進行管理 群組原則可供我們使用單獨的設定來管理許多使用者

和電腦。假如多個使用者或電腦需要共同套用設定，則有必要建立一個 OU 來組織這些物件。

Chapter 5 監控及維護 Active Directory 211

例如，所有人力資源(HR)部的人員需要使用特殊的應用程式。你可以使用群組原則來部署該應用程式。為了完成這個任務，首先需要為 HR 部門建立一個OU，將所有 HR 部門的使用者加入到這個 OU，然後建立 GPO 並連結到這個OU。

本章稍後將深入探討群組原則。

練習 5.1 顯示委派 OU 控制給某個群組的步驟。將會建立使用者帳號、群組和一個 OU。本練習假設 Windows Server 2008 伺服器已升級為網域控制站。

練習 5.1：委派控制至 OU

1. 開啟 Active Directory Users and Computers，按下「Start Administrative Tools Active Directory Users and Computers」。

2. 對著「domain」按右鍵，選擇「New Organizational Unit」，如圖所示。

3. 在「New Object–Organizational Unit」對話方塊，輸入「Sales」並按下「OK」，這將建立 Sales OU。

4. 對著「Sales OU」按右鍵，並選取「New User」。

5. 在「New Object–User」對話方塊，在「First Name and Last Name」方塊中輸入名字 (first name)和姓氏 (last name)。在「User Logon Name」輸入英文姓

名，並在名字和姓氏之間加上點號，按下「Next」。

6. 在「New Object – User Password」對話方塊，在 Password 和 Confirm Password 文字方塊輸入「P@ssw0rd」，取消勾選「User Must Change the Password at Next

Logon」，按下「Next」，再按下「Finish」來建立使用者帳號。

212 MCITP：Windows Server 2008 Server Administrator 專業認證手冊

7. 對著「Sales OU」按右鍵，選擇「New Group」。

8. 在 「 New Object–Group 」 對 話 方 塊 ， 在 「 Group name 」 欄 位 中 輸 入「SalesITAdmins」。

確認 Group scope 的 Global 以及 Group type 的 Security 已選取，如圖所示，按

下「OK」。

9. 雙擊使用者帳號來到內容頁面，也可以對帳號按右鍵選擇「Properties」。

10. 選擇「Member of」標籤，並按下「Add」。

11. 在「Select Groups」對話方塊，輸入「SalesITAdmins」並按下「OK」。在使用者帳號的「properties」頁面，按下「OK」。

這時，讀者有了 OU、使用者帳戶和群組。此外，也已將使用者帳戶加入到群

組。以下的步驟要進行委派控制 Sales OU 給 SalesITAdmins 群組。令這個群

組的使用者帳戶具有相同權限。

12. 在「Sales OU」按右鍵，並選擇「Delegate Control」。

13. 在「Delegation of Control Wizard Welcome」頁面，按下「Next」。

14. 在「Users or Groups」頁面，按下「Add」。

15. 在「Select Users,Computers, or Groups」頁面，輸入「SalesITAdmins」物件名稱，按下「OK」。

最佳的做法是無論何時都應指派權限給群組而非使用者。若要授予其他使用

者相同的權限，只需要將它們加入到該群組即可。長期下來這種做法較容易

管理。

Chapter 5 監控及維護 Active Directory 213

16. 回到「Users or Groups」頁面，按下「Next」。

17. 在 「 Tasks to Delegate 」 頁 面 ， 勾 選 「 Create, Delete and Manage User Accounts」核取方塊，畫面看起來應該如下圖。

儘管該練習中我們只委派控制給某個使用者帳號，但在 OU 中可以委派控制給

任何類型的物件。如果有需要，可以選取「 Create a Custom Task to

Delegate」，然後選擇「Full Control」，以便授予權限給 OU 中的群組去做任

何事。

18. 在「Tasks to Delegate」頁面按下「Next」。在「Completing the Delegation of Control Wizard」頁面，按下「Finish」結束。

唯讀網域控制站 在第 1 章「介紹 Windows Server 2008」已提過唯讀網域控制站，此為Windows Server 2008 新的功能。

RODC DCPromo

214 MCITP：Windows Server 2008 Server Administrator 專業認證手冊

在此提醒，RODC 主要的目的是支援需要建立網域控制站(DC)的分公司，無需學會 DC 複雜的操作以及擔心實體安全。

請記住，DC 擁有網域內所有物件(如使用者和電腦)的複本。倘若 DC 無充份的實體安全而遭到竊取，小偷將不受限制地侵入 Active Directory 資料庫，破解密碼也只是時間問題，最終危及整個網域。唯一安全的解決方案是移除整個網

域，並從頭開始建立。

然而，RODC 不包含整個 Active Directory 的資料庫。如果 RODC 遭盜用，不會波及到整個網域。

RODC 可能包含一些認證資訊，視 RODC 密碼複寫原則如何設定。一般會設定該原則只快取分公司使用者的認證(credential)資訊，不建議存放任何管理者的認證。

圖 5.2 為 RODC 的運作原理。假設使用者 Bob 從分公司登入網域，當他首次發出認證訊息到 RODC 時，RODC 會將其認證資訊傳遞到總公司的 DC。然後總公司的 DC 作出回應，指示 RODC 快取其認證。下次 Bob 登入 RODC 時，他的認證就能在分公司的當地驗證。

圖 5.2 分公司的 RODC

RODC 的優點之一是，即使總公司和分公司之間的 WAN 連線中斷，分公司使用者仍可登入網域並存取當地的資源。

如果分公司未採用 RODC，使用者必須透過 WAN 連線來向總公司的 DC 進行認證。若是 WAN 連線中斷，使用者雖能使用本機快取的認證來存取他們本機電腦；然而只靠本機快取認證的使用者，將無法利用自己的網域帳戶來存取分

公司任何 LAN 的資源。

Chapter 5 監控及維護 Active Directory 215

密碼複寫原則 密碼複寫原則(Password Replication Policy)是用來定義哪些使用者、群組和電腦可將其密碼快取在 RODC 上，以及不會快取哪些使用者的密碼。

可在該原則中新增使用者、群組和電腦，並選擇 Allow 或 Deny 設定。如果選擇 Deny，密碼將不會快取在 RODC；若選擇 Allow，密碼便會存放於RODC。也就是說，要讓 RODC 存放密碼，必須將使用者加入至 Allow 清單中，而不是在 Deny 清單。

說到這裡，到底「密碼快取」是什麼意思？一般所謂的快取(cache)係指記憶體，一旦系統斷電，快取裡的資料隨即消失，但此處並非這個意思。

相反地，密碼快取意指可讀寫的 DC 將會使用者的密碼複寫到 RODC，並允許其密碼暫時存放，重新開機後仍然存在。一旦變更使用者密碼，其暫存的值也

將改變。

我們可以從 RODC 伺服器上的 ADUC 內容頁面設定密碼複寫原則。圖 5.3 顯示從 RODC 伺服器的內容中所選擇的密碼複寫原則標籤。

圖 5.3 分公司 RODC

圖 5.3 也顯示了預設新增的帳戶。請注意，這些具有較高權利與權限的群組(Account Operators、Administrators、Backup Operators、Server Operators)設定為 Deny，可避免這些群組成員的認證被快取在 RODC。

216 MCITP：Windows Server 2008 Server Administrator 專業認證手冊

Administrator RODC Deny

Administrator RODC RODC Administrator

有兩種群組值得進一步探討：Denied RODC Password Replication Group 和Allowed RODC Password Replication Group。當建立 RODC 時，這兩個群組都會加入到 RODC 密碼複寫原則。

利用這些群組，就能決定哪些帳戶可以存放到 RODC 上。說明白點，可使用個別的 RODC 密碼複寫原則來允許或拒絕快取分公司的特定使用者。

這兩個群組都在 ADUC 的 Users 容器中。說明如下：

Denied RODC Password Replication Group 加入至網域本機群組的帳號和

群組會自動地拒絕其密碼快取於任何 RODC。圖 5.4 顯示了該群組預設的成員。注意，高層級的管理者(如 Domain Admins、Enterprise Admins、Schema Admins)預設會加入至該群組。

Allowed RODC Password Replication Group 預設情況下，此群組沒有任

何成員。然而如果希望確保企業中特定群組的使用者，能將其密碼儲存在每個

RODC，可以將他們加入至該群組。

圖 5.4 Denied RODC Password Replication Group 的成員

Chapter 5 監控及維護 Active Directory 217

RODC 的必要條件

為了支援 RODC，必須滿足以下必要條件：

網域功能等級必須是 Windows Server 2003 或以上。

樹系功能等級必須是 Windows Server 2003 或以上。

執行 adprep/rodcprep。這在樹系中必須執行一次。它將修改 DNS 應用程式目錄分割區的權限，並允許扮演 DNS 的 RODC 也能正確複寫其權限。

必須在執行 Windows Server 2008 可讀寫的網域控制站上設定密碼複寫原則。因為 RODC 會轉送驗證要求到此 DC，而密碼複寫原則決定是否將認證複寫到 RODC。

扮演彈性單一主機操作(Flexible Single Master Operations，FSMO)PDC 模擬器角色的網域控制站，其作業系統必須是 Windows Server 2008。

Active Directory 憑證服務 AD CS 角色係用來建立憑證授權單位(certification authority)和發行憑證，憑證和憑證授權單位是公開金鑰基礎結構(public key infrastructure，PKI)的一部分。

只有 Windows Server 2008 企業版和 Datacenter 版完全支援 AD CS 的所有功能。雖然 Windows Server 2008 標準版也有 AD CS，但其支援的元件與功能有限，例如不支援線上回應服務(Online Responder Service)。

當我們討論到 AD CS 時，其重點在於瞭解有關憑證和憑證服務的一些基本術語：

公開金鑰基礎結構 PKI 涵蓋許多技術，並使用憑證與金鑰來進行驗證和加密。就像 IP 通訊協定和 IP 位址是網際網路所使用的 TCP/IP 協定組之一部分，憑證和金鑰也只是公開金鑰基礎結構的一部分。PKI 包括眾多元件，如軟體、硬體、憑證授權單位、線上憑證狀態通訊協定 (Online Certificate Status Protocol)和線上回應…等等。

憑證 憑證是一個電子檔案，擁有憑證持有人的相關資訊、憑證發行者(CA)、憑證有效期限、以及可用來加密的金鑰。憑證分成多種用途，但憑證的兩個主

要用途是加密與驗證。

憑證中所含的金鑰稱為公開金鑰(public key)，可供任何需要取得該憑證的人使用。而相符的私密金鑰則是不對外公開。同一組的公開和私密金鑰可用來加密

和解密兩實體間的資料，如用戶端和伺服器。以公開金鑰加密的資料只有同一

組的私密金鑰可以解密。同理，以私密金鑰加密的資料只有同一組的公開金鑰

才可解密。

218 MCITP：Windows Server 2008 Server Administrator 專業認證手冊

若要使用憑證加密資料，則嵌入公開金鑰的憑證會傳送給用戶端，用戶端便可

使用該公開金鑰來加密資料。伺服器收到資料後，使用私密金鑰加以解密。如

果有心人士攔截該加密的資料，理論上世上只有一把私密金鑰，因而無法使用

其他的私密金鑰讀取它。

驗證的運作雖與加密些許差異，但仍是一把金鑰負責加密而另一把金鑰負責解

密。差異之處在於私密金鑰負責加密資料，公開金鑰則負責解密。

假設有間公司的副總裁想要傳送電子郵件給公司的 CEO，公司政策規定所有行政電子郵件必須附有數位簽章。該數位簽章由副總裁的憑證與私密金鑰加密

所建立。該 CEO 收到加密的數位簽章之電子郵件，由於已經有了副總裁的憑證(也可以是取自 Active Directory)，其中包含副總裁的公開金鑰。如果公開金鑰能夠解密此數位簽章，就表示此數位簽章必定是由副總裁的私密金鑰加密而

成。換言之，確定這是由副總裁所發送的信。

憑證可用來識別身分(驗證)或加密資料(加密)，使他人即使攔截到資料也無法讀取。憑證是經常會被拿來討論的網際網路技術，其應用相當廣泛，舉凡 EFS加密、智慧卡(嵌入式驗證的憑證)、電子郵件加密、電子郵件數位簽章、程式碼簽署(如 ActiveX 控制項)、IPSec 驗證等等。

憑證授權單位 憑證授權單位(Certification authority，CA，一般發音為「cah」)負責發行、管理和驗證憑證。CA 可以是公用或私有的授權單位。在 CA 發行憑證以前，CA 會透過查核與驗證程序來識別申請者。一旦確認申請者沒有問題，即發行憑證。如果憑證是由信任的 CA 所發行，則將自動信任該憑證。

假設有個人兌現支票。他被要求提供他的駕駛執照作為身分識別，以證明他的身

分。駕照視為有效的證明，因為它是由公路監理部門 (Department of Motor Vehicles，DMV)所發行。在發行駕駛執照前，DMV 會先查證某人的身分。因為我們相信 DMV，加上駕照是由 DMV 所發行，所以我們相信駕照的真實性。

同樣的道理，網路世界有一些受信任的根憑證授權單位。相信它們就如同相信

DMV 。圖 5.5 顯示 IE 瀏覽器中部分信任的根憑證授權 (Trusted Root Certification Authorities)之清單。可從 Tools Internet Options 檢視此頁面，選擇 Content 標籤，按下 Certificates 按鈕，然後選擇 Trusted Root Certification Authorities。

VeriSign 和 Thawte 是兩個相當著名的憑證授權單位，但還有更多。如果企業購買 Thawte 憑證，然後提交憑證到電腦用來身分證明，就能相信這類憑證是真的。電腦信任 Thawte，因此它也相信由 Thawte 所售出的企業憑證。

CA 也維護憑證撤銷清單(certificate revocation list)(下一頁將作說明)，也能夠執行 OCSP 通訊協定，以回應憑證的狀態要求。

Chapter 5 監控及維護 Active Directory 219

憑證授權單位的類型包括獨立根 CA、企業根 CA 和次級 CA。這些將在下一節探討。

圖 5.5 信任的根憑證授權清單

憑證撤銷清單(CRL) 遭到洩漏的憑證可以撤銷。例如，若發現發行憑證不

當，或私密金鑰遭盜用，那麼就不應該繼續使用該憑證。

被撤銷的憑證會發佈於憑證撤銷清單(certificate revocation list，CRL，通常發音為「crill」)。當伺服器向用戶端出示憑證時，用戶端可諮詢 CRL 來驗證憑證是否遭到撤銷。如果該憑證列在 CRL 中，則用戶端會得知此錯誤訊息。

經數位簽署過的 CRL 可防止無效的 CRL 被利用。此外，CA 會設定 CRL 的到期時間，以避免 CRL 被無限期地快取。

線上憑證狀態通訊協定(OCSP) OCSP 用來檢查憑證的狀態。這是經常被用來作為一種檢查 CRL 的其他選項。其並非檢查 CRL，而是用戶端發送狀態要求到伺服器，伺服器便會回應憑證目前的狀態。

OCSP 要求與回應通常快於傳送整個 CRL，並且強制用戶端檢查全部項目。例如，該 CRL 可能有 100 個項目。100 個項目的清單被擷取並透過網路傳送，然後，用戶端必須檢查 100 個項目中的每一項。相反地，用戶端傳送 OCSP 要求，伺服器檢查 CRL 並以精簡狀態之訊息回應給用戶端。執行 OCSP 協定的伺服器稱之為線上回應(online responders)。

線上回應 執行線上回應服務的伺服器即為線上回應。其收到用戶端的 OCSP狀態要求之後，便會傳回一個回應。回應可分為「good」、「revoked」或

「unknown」。

220 MCITP：Windows Server 2008 Server Administrator 專業認證手冊

當用戶端收到「good」回應，代表可以信任憑證，並繼續使用工作階段。任何「good」以外的回應，代表著錯誤訊息。

線上回應和憑證授權單位可以是同一台或不同的伺服器。使用網際網路應用程

式時，線上回應很可能是不同的伺服器，但在企業 PKI 內，CA 也可能同時是個線上回應。

欲瞭解有關憑證不同的專有名詞，可參考圖 5.6 這些專有名詞之間的關聯性。在步驟 1 中，用戶端提出 HTTPS 要求到網頁伺服器。在步驟 2，網頁伺服器傳回其嵌入公開金鑰的憑證。步驟 3 中，用戶端需要驗證憑證是否有效，於是使用 OCSP 來查詢線上回應。線上回應可能存取 CRL 或向 CA 查詢。在步驟 4中，一旦線上回應已驗證憑證目前的狀態，即傳送 OCSP 回應給用戶端。

在 SSL 工作階段使用憑證

每當我們在網際網路上建立 SSL 工作階段時，都會用到憑證。此時 URL 顯示的是

HTTPS 而不是 HTTP，表示它是安全的，且大多數瀏覽器的某處會顯示一個掛鎖的

圖案。表面上，安全工作階段建立相當迅速，但其實背後有許多事情發生。

假設我們要在亞馬遜進行線上購物，當開始結帳時，亞馬遜的伺服器會發送一個

憑證給我們的電腦系統，並啟始 HTTPS 工作階段。亞馬遜的公開金鑰已嵌入在憑

證中。

在信任亞馬遜的憑證前，我們的電腦會先檢查該憑證是否從信任的根憑證授權公司

發行出來的。如果是的話，就使用 OCSP 檢查憑證的狀態，以確保其仍有效而沒有

被撤銷。如果通過檢查，程序便會繼續進行。

接著我們的系統會建立一個用於加密整個工作階段的金鑰。然而必須要讓亞馬遜知

道該工作階段金鑰，且不能被駭客知道；因此要利用亞馬遜憑證所含的公開金鑰將

工作階段金鑰加密。只有亞馬遜的私密金鑰(與你系統收到憑證中的公開金鑰是一

對的)才能將加密的工作階段金鑰解密。

亞馬遜收到加密的工作階段金鑰，並使用其私密金鑰來解密工作階段金鑰。此時，

我們的電腦和亞馬遜公司的伺服器都擁有了相同的工作階段金鑰，就能以此金鑰將

整個工作階段加密。這是因為在加密一般資料的成本上，對稱式加密(使用工作階

段金鑰)要比非對稱式加密(兩個金鑰，公開和私密)來得小。

令人震驚的是，這些全部都發生在短短幾秒鐘以內的事。

Chapter 5 監控及維護 Active Directory 221

圖 5.6 憑證驗證程序

憑證授權單位的類型 通常憑證授權單位收到憑證要求後便會發行憑證。但 CA 發行憑證給誰以及CA 如何設定，會視當時的情況而有所不同。

所有 CA 都有一個根 CA(root CA)，也可能會有次級 CA(subordinate CA)。此外，CA 可以是個獨立 CA(stand-alone CA)或是企業 CA(enterprise CA)。以下章節介紹這些不同類型 CA 之間的區別。

根和次級憑證授權單位

根(root)CA 是命名空間裏最頂層的第一台憑證授權單位伺服器。在一個小型組織，可能只有一個根 CA。其目的只是用來發行憑證。

在較大的組織，根 CA 可用來發行憑證給次級 CA。獨立和企業 CA(稍後會說明)可以只有一個根 CA 或是擁有根 CA 和次級 CA。

如圖 5.7。圖中顯示了根 CA 和幾個次級 CA。根 CA 發行憑證給次級 CA，然後次級 CA 發行憑證給其他次級 CA。最底層的 CA 則發行憑證給終端使用者。

當公司的階層式架構如圖 5.7 時，常見的做法是將根 CA 與網路隔離，並盡可能的保護其安全性。

假設最底層的次級 CA 發行憑證給網頁瀏覽器。然後此網頁瀏覽器使用憑證開始建立 SSL 工作階段。為了確保用戶端信任此憑證，來自根 CA 的憑證複本就必須存放在信任的根憑證授權。

222 MCITP：Windows Server 2008 Server Administrator 專業認證手冊

圖 5.7 根和次級 CA

只要網頁瀏覽器所購買的公用 CA 之憑證位於信任的根憑證授權，運作就會正常。如果從 Gibson 購買了廉價憑證(或從其他一些不明的實體)，可能會出問題。若 SSL 工作階段在一開始就出現錯誤，代表該憑證是不被信任的。

從電子商務的角度來看，不容許有憑證不被信任的錯誤訊息發生。假設自己正

準備線上購買工具箱。信用卡拿在手上，然後彈出一個錯誤訊息說這個憑證不

受到信任，將有不好的事情發生，而它建議你不要繼續進行交易。照常理，人

們此時應會收起自己的信用卡。

獨立憑證授權單位 獨立 CA 不需要 Active Directory 網域服務。相反地，它是完全不在網域內的一台伺服器。公用憑證授權單位(例如 VeriSign 或 Thawte)被稱為獨立 CA。

向獨立 CA 申請憑證，有時是經由網頁註冊工具，或透過像是電子郵件附件的其他電子工具來提交憑證要求。一旦收到憑證要求，便會標記要求為擱置中

(pending)。憑證授權單位將按照自己的內部規則來決定申請者的身分。這有時可能會相當複雜。一旦申請者身分驗證得到確認，便會核准該要求，然後發行

憑證。

企業憑證授權單位

企業憑證授權單位必須建立在 Active Directory 網域服務環境內，並需要存取Active Directory 網域服務。其用來發行憑證給企業或組織內的實體。因為它與Active Directory 網域服務關聯在一起，所以能善用網域的多項優勢，例如群組原則。