Concepto de dominio y directorio activo
El dominio es un conjunto de equipos y usuarios definido artificialmente por el reloj de la red empresarial. El propósito es realizar una gestión unificada y centralizada de varios objetos de recursos del reloj colectivo.
Active Directory (Active Directory) es una pequeña base de datos que define los atributos de varios objetos en el dominio y forma lógicamente una estructura jerárquica para una visualización y administración más efectivas.
El controlador de dominio (controlador de dominio) almacena el servidor de la base de datos de Active Directory y ejecuta el servicio ADDS (servicio de dominio de Active Directory).
Descripción general: El
dominio proporciona un entorno de colección. En la colección, se incluyen varios objetos (computadoras, usuarios). Los objetos se almacenan en una base de datos basada en colecciones de archivos. El nombre se llama Active Directory. El Active Directory se almacena en el control de dominio. En el servidor, una empresa puede tener varios controladores de dominio para lograr una alta disponibilidad y equilibrio de carga.
- Políticas de seguridad obligatorias y entornos de escritorio / aplicaciones para equipos terminales y usuarios, y pueden realizar implementaciones automáticas y por lotes, lo que reduce la dificultad de la administración diaria y la intensidad del trabajo del personal de TI.
- El control de acceso de varios servicios y recursos (intercambio de archivos e impresiones, etc.) en el dominio se puede combinar de manera flexible con la estructura organizativa jerárquica de la empresa para satisfacer las necesidades de gestión de la compleja asignación de autoridad.
- El método de verificación de identidad unificada se puede integrar con una variedad de servicios de aplicaciones de Windows (como Exchange, Sharepoint, etc.) y software de terceros para lograr un inicio de sesión único y mejorar la experiencia del usuario al cambiar entre múltiples servicios.
Resumen: El
primer aspecto es ayudar a los administradores de TI en la implementación automática unificada de algunos parámetros de computadoras y usuarios en la empresa, y realizar la implementación automática y por lotes de parámetros a través de métodos de gestión como políticas de grupo en el dominio, reduciendo Dificultad e intensidad del trabajo.
Utilice el mecanismo de administración de autoridad para controlar de manera efectiva el acceso a los recursos de la empresa (como servidores de intercambio de archivos, impresoras) para diferentes usuarios en diferentes departamentos para controlar la autoridad del dispositivo.
A través de dominios y Active Directory, se realiza la verificación de identidad unificada de la empresa. Ahora las empresas implementan cada vez más aplicaciones. Si cada aplicación tiene un conjunto de sistema de cuenta de inicio de sesión, la experiencia del usuario es extremadamente mala. , Cada sistema empresarial requiere un nombre de usuario y contraseña, y debe iniciar sesión repetidamente para cada uso, pero si tiene una función de dominio y directorio activo, puede hacer que la aplicación use Active Directory para lograr una autenticación unificada y un inicio de sesión único. , No solo es compatible con Windows, como (Exchange, los productos nativos de Sharepoint pueden lograr un inicio de sesión único), sino que también se pueden volver a desarrollar otros productos de terceros y también pueden admitir dominios.
Rol en el dominio
- Controlador de dominio (DC), cada empresa puede tener varios controladores de dominio
- El servidor miembro en el dominio, el sistema operativo del servidor empresarial se ha unido al dominio, si el controlador de dominio es Windows Server 2012, el servidor miembro 3 puede ser win 2008 y no existe un requisito obligatorio de que la versión sea la misma. Se pueden agregar Linux y Mac, pero las computadoras que no son de Microsoft pueden unirse El control de dominio puede estar sujeto a algunas limitaciones en términos de funciones y puede requerir la aplicación de complementos de terceros para completar tareas de administración y monitoreo más complejas.
- La computadora terminal en el dominio. Mencioné la base de datos de Microsoft AD Active Directory. Es esencialmente un archivo. El archivo se coloca en el controlador de dominio. Por defecto, se guarda en el directorio C / windows / ntds del controlador. El archivo de base de datos de AD guarda
el archivo de base de datos principal de .dit Active Directory en el directorio de forma predeterminada . La capacidad del archivo no será muy grande. El archivo de Active Directory no contendrá cantidades masivas de datos. Incluso si hay decenas de miles de PC, los datos almacenados en cada objeto son relativamente pequeños. Varios cientos de M.
Los archivos auxiliares (registro de transacciones, archivo de punto de control)
cooperan con el procesamiento del control de dominio. Cuando el usuario desea escribir datos en el Active Directory debido a razones especiales (falla de energía, falla del sistema), el usuario no ha tenido tiempo de escribir datos en el futuro, lo que causó una falla. Después de reiniciar, la última escritura ¿Se pierden los datos importados?
¿Cómo lidiar con ello? Con la ayuda del archivo de registro de transacciones, el archivo de registro de transacciones no será muy grande. Cada archivo de registro de transacciones se numera en secuencia. Cuando hay una solicitud de escritura, la solicitud de escritura se escribirá en los datos principales en la memoria en el futuro. Escriba en el registro de transacciones. El registro de transacciones es pequeño y será muy rápido. En el registro de transacciones, incluso si la computadora está apagada y reiniciada, el archivo de punto de control se usa para registrar el último registro y qué datos no se escribieron en el archivo de datos principal. Puede usar el cheque La recuperación de escritura de datos de archivos puntuales puede garantizar que el entorno de trabajo del controlador de dominio provoque la pérdida de datos debido a razones especiales del controlador de dominio.
El archivo reservado se utiliza principalmente para evitar que el disco duro del controlador de dominio esté lleno por alguna razón. Una vez que el controlador de dominio está lleno, no puede funcionar normalmente. Por lo tanto, antes de que el disco duro esté lleno, escriba algunos datos en En el archivo reservado.
Durante el mantenimiento de la base de datos de AD, se pueden realizar operaciones como el inicio y la detención del servicio, la redirección de conjuntos de archivos, la administración fuera de línea, la copia de seguridad y la recuperación cuando sea necesario.
Sincronización de bases de datos AD entre controladores de dominio
La base de datos de AD se sincronizará y replicará entre los DC de forma regular o automática cuando se produzcan cambios. La frecuencia y la ventana de tiempo de la replicación de sincronización se pueden configurar y definir.
En una empresa, si hay tres controladores de dominio, también hay tres copias de Active Directory. Las tres copias deben ser exactamente iguales. Si el administrador inicia sesión en un controlador de dominio y modifica los parámetros, los otros dos también se sincronizarán.
La sincronización entre controladores de dominio puede lograr una alta disponibilidad, la realización es sincronizar directamente los cambios de incrementos de parámetros.
Controlador de dominio especial
Controlador de dominio de solo lectura
- Rodc guarda una copia de solo lectura de la base de datos de AD en el controlador de dominio
- No está permitido realizar cambios en la base de datos localmente en el RODC.
- RODC es adecuado para la implementación en sucursales remotas sin requisitos de administración local
Escenarios de aplicación (uso muy común) La
empresa ha planificado un dominio. En una sucursal remota, no hay muchos usuarios locales ni administradores de TI, pero aún se necesita un controlador de dominio para mejorar la experiencia de inicio de sesión local del usuario. Cuando se usa el controlador de dominio de otra ciudad Active Directory para sincronizar con el controlador de dominio de esta sucursal y convertirlo en un RODC, la ventaja: si el controlador de dominio ha iniciado sesión ilegalmente, no tiene forma de cambiar los datos relevantes para garantizar la seguridad. No es un RODC, si se modifica la autoridad del controlador de dominio, se sincronizará a la inversa con otros directorios activos, lo cual es muy peligroso.
En
muchas empresas de sqa , especialmente algunas empresas con fábricas en varios lugares, algunos de los controladores de dominio implementados en las sucursales son RODC, y solo se puede realizar una sincronización de datos unidireccional, y las operaciones de modificación solo se pueden realizar iniciando sesión en el controlador de dominio de la sede.
Servidor de categoría global
- GC es un controlador de dominio especial. Al menos uno está implementado en un dominio
- GC se utiliza para sincronizar datos con otros dominios en un entorno de múltiples dominios (pero no todos los datos están sincronizados, generalmente solo del 5% al 10% de la base de datos de AD total), para optimizar la aplicación global o transfronteriza del servidor Exchange. La eficacia de la búsqueda de dominios.
Escenario de aplicación
Se implementan dos dominios en la empresa. Existe un problema: debido a que el dominio es el límite de la administración, la información de la computadora en un dominio no necesita ser transmitida a otros dominios de manera predeterminada, y toda la sincronización de datos está solo en el mismo dominio.
La función de GC: al sincronizar datos en otros dominios, puede filtrar uno de los atributos del objeto para la selección y no es necesario sincronizar todos los datos.
Planificación de dominios y Active Directory
Necesidad de combinar el entorno empresarial y las necesidades comerciales de la empresa.
¿Qué es adecuado para varios dominios?
Un dominio puede contener 1 millón de objetos y la mayoría de las empresas solo necesitan tener un dominio técnicamente.
Es posible que deba considerarse la implementación de varios dominios cuando se produzcan las siguientes situaciones de demanda
- Las políticas de gestión de TI deben tener límites de control de TI separados o independientes
- Cambios en el dominio de influencia debido a la reorganización o fusión de la empresa
- La transformación y migración de dominios requiere la coexistencia de dominios nuevos y antiguos
Término multidominio
Relación de confianza entre dominios
La relación de confianza puede realizar la autenticación entre dominios y el acceso a los recursos. Si no existe una relación de confianza entre los dominios, los usuarios de cada dominio solo pueden acceder a los recursos del dominio. Dependiendo del escenario, existen algunas relaciones de confianza de forma predeterminada y otras Debe configurarse manualmente.
¿Qué es un sitio?
Sitio se refiere a una red que contiene una subred IP específica y está asociada con un controlador de dominio específico en el mismo dominio. El propósito de implementar varios sitios es optimizar la replicación y sincronización de los controladores de dominio entre los sitios y, al mismo tiempo, permitir que el extremo superado se comunique primero con el controlador de dominio más cercano. , Optimice la operación de verificación de inicio de sesión.
Recomendaciones de planificación
No existe un estándar unificado para la planificación de dominios, pero se recomienda simplificarlo tanto como sea posible y usar un solo dominio tanto como sea posible. Si no hay un requisito especial, use un solo dominio tanto como sea posible, y la carga de trabajo es pequeña.
El tamaño de la empresa, el ancho de banda de la red, la interfaz de control de TI, los requisitos legales y políticos y los planes de fusión de la empresa son consideraciones comunes.
Recomendaciones generales para la planificación de dominios empresariales: las
pymes utilizan un único dominio, las sucursales de la sede pueden utilizar dominios de padres e hijos o dominios múltiples de un solo dominio, y varias filiales comerciales independientes del grupo utilizan un solo bosque y varios dominios.
Mantener el control de dominio,
1. Detenga manualmente el servicio de control de dominio
2.