1. 域和活动目录简介
域和活动目录的概念
■域(Domain)
域是企业网络中人为定义的一组计算机和用户的集合,目的是为了对集合中的各种资源对象进行统一和集中的管理
■活动目录(Active Directory)
活动目录是一种数据库,通过定义域内的各种对象的属性并在逻辑上形成层次化结构,便于更有效的展示和管理
■域控制器(Domain Controller)
存放活动目录数据库的服务器,运行 ADDS(Active Directory Domain Services)服务
域和活动目录的价值
■ 强制终端计算机及用户的安全策略及桌面 / 应用环境,并可实现批量和自动部署,减轻 IT 人员日常的管理难度和工作强度
■ 域中的各类服务和资源(文件和打印共享等)的访问控制可以灵活的与企业的层次化组织架构相结合,满足复杂的权限分配等管理需求
■ 统一的身份验证手段,可与多种 Windows 应用服务(如 Exchange、Sharepoint 等)及第三方软件集成,实现单点登陆,改善用户在多业务中切换中的操作体验
域中的角色
■ 域控制器(Domain Controller,简称 DC)
■ 域内的成员服务器
■ 域内的终端计算器
域控制器中的 AD 数据库文件
■ AD 数据库文件默认保存在 C:\Windows\NTDS 目录中
ntds.dit 主数据文件
edb0000x.log 事务日志
ebd.chk 检查点文件
edbress000x.jrs 预留文件
■ AD 数据库维护工程中必要时可进行服务启停、文件夹重定向、脱机整理、备份及恢复等操作
域控制器之间的 AD 数据库同步
■ AD 数据库会定时或在发生改变时自动在 DC 之间相互同步复制,同步复制的频率和时间窗口可以配置和定义
特殊的域控制器:RODC
■只读域控制器(Read Only Domain Controller)
RODC 保存域控制器中 AD 数据库的只读副本
不允许在 RODC 本地对数据库做出更改操作
RODC 适合部署在没有本地管理需求的远程分支机构
GC(Global Category Server)
■全局编录服务器(GC)
GC 是一种特殊的域控制器,一个域至少部署一台
GC 用于多域环境中和其他域进行数据同步(但并不是同步全部数据,通常需要同步的数据仅占 AD 数据库总量的 5%-10%),以便优化 Exchange Server 等应用的全局或跨域搜索的效率
2. 域和活动目录规划
什么时候需要多域
■一个域可以包含 100 万个对象,绝大多数企业在技术上只需要一个域
■出现以下需求情况时可能需要考虑多域部署:
IT 管理政策上需要有分离或独立的 IT 管控边界
公司重组或合并等原因影响到域的变化
域的改造和迁徒需要同时新旧域的并存
多域的分布式架构
■一个域林中可以包含多个域,一个域中可以包含多个子域
■父域和子域的命名空间(FQDN 域名后缀)需保持相同和连续
多域中的术语
■域林(Domain Forest)
域林由一个或多个没有形成连续命名空间的域树组成
■域树(Domain Tree)
域树由多个域使用连续命名空间的域组成
■树根域(Tree Root Domain)
域树中的第一个域为树根域,可作为父域在其下创建多个或多级子域
■林根域(Forest Root Domain)
林根域是域林中创建的第一个域,域林中只有一个林根域
林根域在整个域林中有重要地位,影响到其他域的运作
域间的信任关系
■信任关系可实现跨域的身份验证和资源访问
如果域之间没有信任关系,每个域中的用户只能访问本域中的资源
根据场景的不同,部分信任关系是默认存在的,部分是需要另行手工配置的
站点(Site)
■站点(Site)是指同一个域内包含特定 IP 子网并与特定域控制器关联的网络
■部署多个站点的目的是优化站点间 DC 的复制同步,同时使客户端能够和就近的 DC 优先通信,优化登陆验证的操作
域的规划建议
■域的规划没有统一的标准,但建议尽可能简化
■企业规模、网络带宽、IT 管控界面、法律或政治要求、公司并购计划等是常见的考虑因素
活动目录的规划
■OU 层次化结构规划
■用户和计算机命名规范
■组的规划
■AD 管理权限的规划
