域和活动目录的概念
域(Domain)是企业网络钟人为定义的一组计算机和用户的集合,目的是为了对集合钟的各种资源对象进行统一和集中的管理。
活动目录(Active Directory)是一种小型数据库,通过定义域内的各种对象的属性并在逻辑上形成层次化结构,便于更有效的展示和管理。
域控制器(Domain Controller)存放活动目录数据库的服务器,运行ADDS(Active Directory Domain Service)服务。
概述:
域提供了一个集合的环境,在集合中,包含了各种各样的对象(计算机、用户),对象存放于基于文件集的数据库当中,名称就叫活动目录,活动目录存放在域控制器上,一个企业可以拥有多台域控制器,实现高可用和负载均衡。
- 强制终端计算机及用户的安全策略及桌面/应用环境,并可实现批量和自动部署,减轻IT人员日常的管理难度和工作强度。
- 域中的各类服务和资源(文件和打印共享等)的访问控制可以灵活的与企业的层次化组织架构相组合,满足复杂的权限分配等管理需求。
- 统一的身份验证手段,可与多种windows应用服务(如Exchange,Sharepoint等)及第三方软件集成,实现单点登录,改善用户在多业务中切换中的操作体验。
总结:
第一个方面,协助IT管理人员,进行企业当中的计算机及用户的一些参数的统一的自动部署,通过域中的组策略等管理手段实现批量和自动的参数部署,减轻IT管理人的工作难度及强度。
利用权限管理的机制,有效对企业中资源进行访问控制(如文件共享服务器、打印机)供不同部门不同用户使用,对设备的权限进行控制。
通过域和活动目录,实现企业的统一的身份验证,现在企业部署的应用程序越来越多,如果每套应用程序都有一套登录的账户系统,那么对用户来说,使用体验是极差的,每一套业务系统都要用户名和密码,每一次使用都要重复登录,但是如果拥有域和活动目录的一个功能的话,就可以使得应用程序使用活动目录来实现统一的身份验证及单点登录,不仅支持windows,如(Exchange,Sharepoint原生产品能实现单点登录),及其它第三方产品也可以再二次开发,也可以支持域。
域中的角色
- 域控制器(Domain Controller,简称DC),每个企业可以有多台域控
- 域内的成员服务器,企业的服务器操作系统加入了域,如果域控是windows server 2012成员服务器3可以是win 2008,并没有强制要求版本相同,包括linux和mac都可以加入,但是非微软的计算机加入到域控可能再功能方面会受到一些局限性,可能需要应用第三方插件,才能够完成较复杂管理和监控任务。
- 域内的终端计算机,前面谈到微软的AD活动目录的数据库,它本质上是一个文件,文件是放在域控制器上的,默认保存于与控制器的C/windows/ntds目录当中,你打开AD数据库文件默认保存目录中
.dit活动目录的主数据库文件,文件容量不会很大,活动目录文件当中不会包含海量数据,哪怕上万PC,每个对象存储的数据 也是比较小,常见就是几百M。
辅助文件 (事务日志、检查点文件)
配合处理域控由于特殊原因(断电、系统故障)造成用户要往活动目录数据时,还未来得及写入,就造成了故障,重启后,上一次写入的数据产生了丢失?
怎么处理呢?借助事务日志的文件,事务日志文件不会很大,每个事务日志文件按照顺序进行编号,当有一个写入请求时,写入请求再内存当中未来得急写入到主数据中,会先往事务日志当中去写入,事务日志较小,会很快,在事务日志当中,哪怕计算机断电重启,由检查点文件去记录上一次哪个日志哪个数据没有写入主数据文件,可以利用检查点文件数据写入的恢复,就可以确保域控制器的工作环境因为域控特殊原因,造成数据的丢失。
预留文件主要作用防止域控制器某种原因硬盘被写满,一旦域控制器被写满,它无法进行正常工作,所以,在硬盘写满前,通过预留文件功能,把一些数据写到预留文件中。
AD数据库维护过程中必要时可进行服务启停、文件集重定向、脱机管理、备份及恢复等操作。
域控制器之间的AD数据库同步
AD数据库会定时或在发生改变时自动在DC之间相互同步复制,同步复制的频率和时间窗口可以配置和定义。
企业当中,如果有三台域控制器,活动目录也有三份,三份应该是一模一样,如果管理员登录了一台域控,修改了参数,那么其它两台也会进行同步。
域控之间的同步,可以实现高可用的实现,实现就是直接同步参数增量的变化。
特殊的域控制器
只读域控制器(Read Only Domain Controller)
- Rodc保存域控制器中AD数据库的只读副本
- 不允许在RODC本地对数据库做出更改操作
- RODC适合部署在没有本地管理需求的远程分支机构
应用场景(使用非常普遍)
企业规划了一个域,在一个偏远分支机构中,本地用户量不大,无IT管理员,但还是需要放置一个域控制器,可以改善用户的本地登录的体验,此时,使用其它城市域控制器活动目录同步到此分支的域控中,将其做成RODC,好处:如果域控被人非法登录,它是没有办法对相关数据进行改动,保证了安全,如果不是RODC,修改了域控的权限,那么就会反向的同步到其它活动目录,非常危险。
sqa
很多企业,特别是在各地有一些工厂的一些公司,在分支部署的一些域控制器都是RODC,只会单向进行数据同步,只有登录总部域控制器才能进行修改操作。
全局编录服务器(Global Category Server)
- GC是一种特殊的域控制器,一个域至少部署一台
- GC用于多域环境中和其它域进行数据同步(但并不是同步全部数据,通常需要同步的数据仅占AD数据库总量的5%~10%),以便优化Exchange server等应用的全局或跨域搜索的效率。
应用场景
企业中部署了两个域,存在一个问题:由于域是管理的边界,在一个域的计算机的信息,默认不需要传递到其它域,所有的数据的同步只是在同一个域当中。
GC的作用:可以在其它域数据同步时,筛选对象属性某一种进行选择,不需要同步全部数据。
域和活动目录的规划
需要结合企业的业务环境 和业务需求
什么适合需要多域
一个域可以包含100万个对象,绝大多数企业在技术上只需要有一个域。
出现以下需求情况时可能需要考虑多域的部署
- IT管理政策上需要有分离或独立的IT管控边界
- 公司重组或合并等原因影响域的变化
- 域的改造和迁徙需要同时新旧域的并存
多域的术语
域间的信任关系
信任关系可实现跨域的身份验证和资源访问,如果域之间没有信任关系,每个域的用户只能访问本域中的资源,根据场景的不同,部分信任关系时默认存在的,部分时需要另行手工配置的。
什么是站点?
站点(site)是指同一个域内包含特定IP子网并与特定域控制器关联的网络,部署多个站点的目的是优化站点间DC的复制同步,同时使克服端能够和就近的DC优先通信,优化登录验证的操作。
域的规划建议
域的规划没有统一的标准,但建议尽可能简化,尽量的使用单域,没有特殊要求尽量使用单域,工作量较小。
企业规模、网络带宽、IT管控界面、法律政治要求、公司并购计划是常见的考虑因素。
企业域规划的一般建议:
中小企业使用单域、总部下有分公司可使用父子域或单域多站点,集团下有多个独立的业务子公司使用单林多域。
维护域控,
1、手动停止域控的服务
2、