A D设计和实施
AD架构设计
问:假如你是珠海总公司员工,带着你的笔记本电脑去南昌分公司出差,到了分公司以后,接入分公司网络这个时候你的身分验证是在那里完成的?
答:在南昌的其中一台DC完成身份验证。
分析:
珠海员工到南昌分公司出差办公当笔记本接入南昌分公司的网络后南昌分公司的DHCP 服务器会为它分配一个属于南昌网段的IP地址,并配置南昌分公司的DNS及网关地址,然后DNS会去查询本地的DC,最后在本地DC上对用户进行身份验证。
下面进行OS公司的AD的架构设计图
从图里我们可以看出Administrator用户对域有最高的权限,是整个AD的管理员,在大中型企业里如果AD靠管理员一个人去管理维护肯定是不可能的特别是有分支机构的企业,因此需要把部分权限委派出去。委派的权限不能过高,因为AD是公司的基础架构,很多应用都是基于AD的,如果AD发生崩溃在大中型企业里后果是不可想象,为了减少AD的崩溃和出错在权限设计方面一定要设计严格的管理权限,制定出在AD里对象的操作规则。
AD的结构主要是根据自己企业的实际情况和管理方便来划分下面只是一个实例仅供参考。
第一级划分
考虑到OS公司在未来的几年发展只限于国内发展,国外暂不考虑,结合中国地理位置第一级OU按省份来划分。
OS公司在3个省内有公司第一级划分三个OU分别是GD(广东)、JX(江西)、SC(四川)未来在别的省份发展分公司还可以断续增加省份OU。
在第一级OU中设计了一个Groups的OU这个OU主要用于存放OS公司的一些公共组,这个设计主要是为了便于管理。举个例子:总部有一份报表需要给珠海总公司、广东分公司、南昌分公司等各分公司的财务人员查看和修改,如果你是IT管理者该如何做?
最佳的解决方法:
1、要求各公司IT管理员创建一个本地的财务组,如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept,南昌NCOS-Finance-Dept等,自己本公司的所有财务人员加入到本地创建的财务组;;
2、总部管理员在Groups创建一个OS-Finance-Dept财务公共组,把各公司的财务组如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept等加入到OS-Finance-Dept财务组;
3、创建一个文件夹,把查看和修改权限赋予OS-Finance-Dept。
第二级划分
第二级划分主要根据OS公司的结构来划分,根据所在的省份在一级OU下为每个公司划分一个OU,每个OU委派给各公司IT主管进行管理。
从图里可以看出,每个公司的OU下都有一个组,这个组的用户对这个OU下面的对象负责管理,AD管理员把各公司的IT主管分别加入到相应的组里面。对每个公司的OU委派下面几个权限:
1、创建、删除以及管理用户帐户
2、创建、删除以及管理计算机帐户
3、重设用户密码并强制在下次登录时更改密码
4、读取所有用户信息
5、创建、删除和管理组
6、修改组成员身份
7、生成策略的结果集(计划)
8、生成策略的结果集(记录)
问题:假如我是南昌的IT管理员可以在一级OU上创建AD对象吗?可以对重庆的OU进行管理吗?
答:假如我是南昌的IT管理员可以在一级OU上创建AD对象吗?可以对重庆的OU进行管理吗?
答:1、不能在一级OU上创建AD对象,因为没有被授权;
2、不能对重庆OU进行管理,因为没有被授权;
前面我们根据地点和公司划分了二级OU,下面我们再针对每个公司继续划分OU。
每个公司的OU架构共设计了两个方案,下面我们先看看二个方案的架构图。
方案一:
方案二:
公司OU划分没有一定结构,原则是根据公司的实际情况来划分,怎么样管理方便就怎么样划分。
第一个方案简单明了,把相应的对象放入相应的OU再进行策略管理;
第二个方案也不错,在管理上划分得很细,但相应的也增加了管理的复杂度;
根据公司的实际情况,为了简化管理决定采用第一个方案,强化总公司的IT管理,减少AD的维护量,保障公司OU架构的统一性和可靠性所有公司都统一采用这一架构,并为公司里的每一个OU委派权限给分公司的IT管理员。具体的OU委派权限如下:
IT:
作用:此OU委派给总公司IT管理员创建和存放分公司的IT用户和组
委派权限:
1、创建、删除以及管理用户帐户
2、重设用户密码并强制在下次登录时更改密码
3、读取所有用户信息
4、创建、删除和管理组
5、修改组成员身份
6、生成策略的结果集(计划)
7、生成策略的结果集(记录)
Groups:
作用:委派给分公司IT管理员创建和存放本地分公司的用户组
委派权限:
1、创建、删除和管理组
2、修改组成员身份
Users:
作用:委派给分公司IT管理员创建和存放本地用户帐号
委派权限:
1、创建、删除和管理组
2、重设用户密码并强制在下次登录时更改密码
3、读取所有用户信息
4、修改组成员身份
5、生成策略的结果集(计划)
6、生成策略的结果集(记录)
Servers:
作用:委派给分公司IT管理员创建和存放本地服务器计算机帐号;委派权限:
1、创建、删除以及管理计算机帐户
2、生成策略的结果集(计划)
3、生成策略的结果集(记录)
Mobiles:
作用:委派给分公司IT管理员创建和存放本地笔记本计算机帐号;委派权限:
1、创建、删除以及管理计算机帐户
2、生成策略的结果集(计划)
3、生成策略的结果集(记录)
Workstations:
作用:委派给分公司IT管理员创建和存放本地普通计算机帐号;
委派权限:
1、创建、删除以及管理计算机帐户
2、生成策略的结果集(计划)
3、生成策略的结果集(记录)
子网划分
这篇系列文章我也是工作之余抽时间写的,我会尽快的写完,有的地方可能不会写得太详细。如果有纰漏或错误的地方,请及时指出。
AD的理论知识和实际操作技巧大多数朋友想必都很熟悉了,不熟悉的朋友建议先把理论知识学好再来看这个系列的文章。
公司概况
公司简单介绍:
OS公司是一家电子制作型企业,通过公司的运营和管理,发展迅速,现以拥有三家分公司,员工人数已经有10000人左右。为了满足公司未来的发展和
企业运营的需求,公司决定重新部署企业的网络。公司计划部署一个以AD为基础架构的信息系统用于完成企业的资源共享和数据通信。
下面是OS电子公司的分布图:
下面是OS电子公司IT部门的职能划分图
根据OS公司管理模型和其它状况决定采用单域多站点的结构来进行AD部署;
在设计部署AD之前首先要规划好IP地址的划分,子网的划分原则:,为每个分公司分配一个子网,子网数必须能满足今后的发展需求保证以后有足够可用的子网,每个子网有足够的可用Ip地址。
根据公司的现状,以及考虑以后的发展规模决定用一个B类地址172.16.0.0/16来划分子网。
下面是子网划分图
每个子网的掩码是:255.255.252.0
一共可以划分64个子网,每个子网有1022个可用IP,可以满足以后的发展需求。
下面是每个公司网络的IP划分规则
1、每个网络前1-100为用于服务器规划,如珠海总公司172.16.0.1-172.16.0.100/22保留,用于服务器IP地址的划分。
2、每个网络前101-150用于交换机和网络打印机地址规划,如珠海总公司
172.16.0.150-172.16.0.150/22用于交换机和网络打印机地址规划。
3、每个网络最后一个254地址用于路由器,如珠海总公司172.16.3.254/22用于和分公司连接的路由器地址。
4、剩下的IP地址用于客户端,或分公司IT自己划分,如珠海总公司
172.16.0.151-172.16.3.253/22用于客户端。
以上的IP划分规则所有分公司IT必须严格执行。
站点设计
在设计站点之前先定义一下AD里对像的命名规则吧。简单的说就是要对AD里的对象制定一套命名规则,每个公司IT部门都要严格按这套命名规则来对自己创建的AD对象进行命名。下面写得不太详细但太概的意思就是这样。
域的名字:os.ad
域的功能级别:windows server2003
站点命名:地点前两个字母+公司简称,如:珠海总公司(ZHOS),广州分公司(GZOS),南昌分公司(NCOS);
服务器的命名:地点前两个字母+OS(公司简称)+服务器角色两个字母+IP地址(不足2位前面用0填充),让人通过名字就知道这台DC是那个分公司的,IP是多少。如珠海的DC(ZHOSDC02),重庆DC(CQOSDC02)
客户端PC的命名:地点前两个字母+OS(公司简称)+W(Workstations的意思)+3位数字编号(不足前面用0填充),如珠海的客户端ZHOSW001,广州的客户端GZOSW001;
用户登录帐号的命名:地点前两个字母+OS(公司简称)+U(Users的意思)+3位数字编号(不足前面用0填充),如珠海用户ZHOSU001,广州用户GZOSU001;
共享打印机的命名:地点前两个字母+OS(公司简称)+P(Printer的意思)+3位数字编号(不足前面用0填充),如珠海的打印机ZHOSP001,广州的打印机GZOSP001;
下面进入我们的主题站点的规划,不理解站点的朋友请详细阅读这篇文章
深刻理解站点和复制(实现站点以管理AD中的复制)
相关概念:
Active Directory中的站点代表网络的物理结构或拓扑。
Active Directory使用拓扑信息(在目录中存储为站点和站点链接对象)来建立最有效的复制拓扑。
可使用“Active Directory站点和服务”定义站点和站点链接。
站点是一组有效连接的子网。站点和域不同,站点代表网络的物理结构,而域代表组织的逻辑结构。
使用站点的好处-简化管理:
1.复制。通过在站点内更为频繁(与站点之间复制信息相比)地复制信息,Active Directory 平衡对最新目录信息的需求与对优化带宽的需求。您还可以配置站点间连接的相对开销,进一步优化复制。
2.身份验证。站点信息有助于使身份验证更快更有效。当客户端登录到域时,它首先在其本地站点中搜索可用于身份验证的域控制器。通过建立多个站点,可确保客户端利用与它们最近的域控制器进行身份验证,从而减少了身份验证滞后时间,并使通讯保持在WAN连接以外。
3.启用Active Directory的服务。启用Active Directory的服务可利用站点和子网信息,使客户端能够更方便地找到最近的服务器提供程序。
子网的作用,利用子网去定义站点。
在Active Directory中,站点是通过高速网络[如局域网(LAN)]有效连接的一组计算机。同一站点内的所有计算机通常放在同一建筑内,或在同一校园网络上。一个站点是由一个或多个Internet协议(IP)子网组成。
了解站点和域
在Active Directory中,站点反映了网络的物理结构,而域反映了组织的逻辑或管理结构。这种物理和逻辑结构的区分提供了下列好处:
●可以单独设计和维护网络的逻辑和物理结构。
●不必使域命名空间基于物理网络。
●可以为相同站点中的多个域部署域控制器。也可以为多个站点中的相同域部署域控制器
复制概述
除了非常小的网络之外,目录数据必须驻留在网络上的多个位置,以便于所有用户均等地使用。通过复制,Active Directory目录服务在多个域控制器上保留目录数据的副本,从而确保所有用户的目录可用性和性能。Active Directory使用一种多主机复制模型,允许在任何域控制器上(而不只是委派的主域控制器上)更改目录。Active Directory依靠站点概念来保持复制的效率,并依靠知识一致性检查器(KCC)来自动确定网络的最佳复制拓扑。
利用站点提高复制效率
Active Directory依靠站点使复制更加有效。站点定义为有效连接的计算机组,它决定了目录数据的复制方式。Active Directory在一个站点内比在站点之间更频繁地复制目录信息。这样,在连接最好的域控制器中,最可能需要特定目录信息的域控制器首先接收复制的更新内容。其他站点中的域控制器也接收更改,但不频繁,以降低网络带宽的消耗。
复制还分为站点内复制和站点间复制。
站点内复制:
网络连接既可靠同时具有足够的可用带宽
复制流量不进行压缩
更改通知进程启动站点内的复制。
Active Directory处理站点内的复制(或称站点间复制)与处理站点间复制所用方法不同,因为站点内的带宽更易使用。Active Directory信息一致性检查器(KCC)使用双向环式设计建立站内复制拓扑结构。站内复制可实现速度优化,站点内的目录更新根据更改通知自动进行。与站点间的复制数据不同,在站点内复制的目录更新并不压缩。
建立站内复制拓扑
每个域控制器上的知识一致性检查器(KCC)使用双向环式设计自动建立站内复制的最有效复制拓扑。这种双向环式拓扑至少将为每个域控制器创建两个连接(用于容错),任意两个域控制器之间不多于三个跃点(以减少复制滞后时间)。为了避免出现多于三个跃点的连接,此拓扑可以包括跨环的快捷连接。KCC定期更新复制拓扑。
●KCC实际上为每个目录分区(架构、配置、域、应用程序)创建了单独的复制拓扑。在单个站点内,对于同一组域控制器拥有的所有分区,这些拓扑通常是相同的。
确定何时发生站内复制
在站点内进行的目录更新可能对本地客户端产生最直接的影响,因此站内复制可实现速度优化。站点内的复制根据更改通知而自动进行。当在某个域控制器上执行目录更新时,站内复制就开始了。默认情况下,源域控制器等待15秒钟,然后将更新通知发送给最近的复制伙伴。如果源域控制器有多个复制伙伴,在默认情况下将以3秒为间隔向每个伙伴相继发出通知。当接收到更改通知后,伙伴域控制器将向源域控制器发送目录更新请求。源域控制器以复制操作响应该请求。3秒钟的通知间隔可避免来自复制伙伴的更新请求同时到达而使源域控制器应接不暇。
对于站点内的某些目录更新,并不使用15秒钟的等待时间,复制会立即发生。这种立即复制称为紧急复制,应用于重要的目录更新,包括帐户锁定的指派以及帐户锁定策略、域密码策略或域控制器帐户上密码的更改。
站点间复制:
可用带宽有限且可能不可靠
所有站点间的复制流量都经过压缩
更改的复制将按手动定义的计划进行
Active Directory处理站点之间的复制(或称站点间复制)与处理站点内的复制所用方法不同,因为站点之间的带宽通常是有限的。Active Directory信息一致性检查器(KCC)使用开销最低的跨越树设计建立站点间复制拓扑。站点间复制被优化为最佳的带宽效率,并且站点之间的目录更新可根据可配置的日程安排自动进行。在站点之间复制的目录更新被压缩以节省带宽。
建立站点间复制拓扑
Active Directory使用您(通过“Active Directory站点和服务”)提供的关于站点连接的信息,自动建立最有效的站点间复制拓扑。该目录将此信息存储为站点链接对象。每个站点被指派一个域控制器(称为站点间拓扑生成程序)以建立该拓扑。使用最低开销跨越树算法以消除站点之间的冗余复制路径。站点间复制拓扑将定期更新,以响应网络中发生的任何更改。可以通过在创建站点链接时所提供的信息来控制站点间复制。详细信息,请参阅管理复制。
确定何时发生站点间复制
Active Directory通过最小化复制的频率以及允许安排站点复制链接的可用性,来节省站点之间的带宽。在默认情况下,跨越每个站点链接的站点间复制每180分钟(3小时)进行一次。可以调整此频率以满足您的具体需要。请注意,提高此频率将增加复制所用的带宽量。此外,还可以安排复制所用的站点链接的可用性。在默认情况下,站点链接在任何时间
都可以传输复制通讯。可以将此安排限制在每周的特定日子和每天的具体时间。例如,可以安排站点间复制,使其仅发生在正常工作时间以后。
实现站点以管理AD中的复制。
目的:通过站点人为控制复制频率。
拓朴
简单步骤分析:
单域环境,一台DC、DNS(如位于广州),一台BDC(位于深圳)。
1.创建IP子网和站点对象
2.关联站点和子网对象
3.在站点内移动服务器对象
4.在站点间创建IP站点链接
5.配置复制成本、日程和链接间隔
环境:
图2:https://www.doczj.com/doc/7b15551611.html,根DC172.16.1.1
图5:lab2路由
图3:https://www.doczj.com/doc/7b15551611.html, BDC192.168.1.1
图4:lab3解释https://www.doczj.com/doc/7b15551611.html,
如图:
1.创建站点对象(siteB,默认站点改名为siteA)和IP子网。
新建站点siteB
默认站点改名为siteA
siteA:
siteB:
3.在站点内移动服务器对象
4.在站点间创建IP站点链接(也可直接用默认的)
远程过程调用(RPC)RPC是默认协议。此协议是用于客户端/计算机通讯的工业标准协议;
简单邮件传输协议(SMTP)。SMTP支持站点之间及域之间的架构、配置以及全局编录的复制。
5.配置复制成本、日程和链接间隔
如图:
完成后工作:管理站点拓扑
需要了解的相关概念:
1.桥头服务器:
是在每个站点中指派的一台域控制器,负责发送和接收复制数据。源站点的桥头服务器收集所有复制更改,然后将其发送到接收站点的桥头服务器,接收站点的桥头服务器然后将更改复制到站点中所有的域控制器上。