MDM*_*rra 151 windows active-directory
这是一个关于 Active Directory 域服务 (AD DS)的规范问题。
Active Directory 的组织方式:林、子域、树、站点或 OU
我发现自己几乎每天都在解释一些我认为是常识的知识。希望这个问题可以作为大多数基本 Active Directory 问题的规范问答。如果你觉得你可以改进这个问题的答案,请编辑掉。
MDM*_*rra 163
Active Directory 域服务是 Microsoft 的目录服务器。它提供身份验证和授权机制以及可以部署其他相关服务(AD 证书服务、AD 联合服务等)的框架。它是一个包含对象的LDAP兼容数据库。最常用的对象是用户、计算机和组。这些对象可以根据任意数量的逻辑或业务需求组织到组织单元 (OU) 中。然后可以将组策略对象 (GPO)链接到 OU 以集中组织中各种用户或计算机的设置。
当人们说“Active Directory”时,他们通常指的是“Active Directory 域服务”。请务必注意,还有其他 Active Directory 角色/产品,例如证书服务、联合身份验证服务、轻型目录服务、权限管理服务等。此答案专门针对 Active Directory 域服务。
森林是安全边界。不同林中的对象无法相互交互,除非每个单独林的管理员在它们之间建立信任。例如, 的企业管理员帐户domain1.com(通常是林中最高特权的帐户)在名为 的第二个林中根本没有任何权限domain2.com,即使这些林存在于同一个 LAN 中,除非存在信任.
如果您有多个不相交的业务部门或需要单独的安全边界,则需要多个林。
域是管理边界。域是森林的一部分。林中的第一个域称为林根域。在许多中小型组织(甚至一些大型组织)中,您只会在一个林中找到一个域。林根域定义林的默认命名空间。例如,如果新林中的第一个域名为domain1.com,则它是林根域。如果您有对子域的业务需求,例如 - 芝加哥的分支机构,您可以将子域命名为chi。子域的FQDN将是chi.domain1.com. 您可以看到子域的名称被添加到林根域的名称之前。这通常是它的工作方式。您可以在同一林中拥有不相交的命名空间,但这是不同时间的完全独立的蠕虫罐。
在大多数情况下,您会想尽一切可能拥有一个单一的 AD 域。它简化了管理,现代版本的 AD 使得基于 OU 委派控制变得非常容易,从而减少了对子域的需求。
并不真地。dcpromo.exe,处理将服务器提升为 DC 的工具并非万无一失。它确实会让你在命名时做出错误的决定,所以如果你不确定,请注意这一部分。(编辑:dcpromo在 Server 2012 中已弃用。使用Install-ADDSForestPowerShell cmdlet 或从服务器管理器安装 AD DS。)
首先,不要使用编造的 TLD,如 .local、.lan、.corp 或任何其他垃圾。这些 TLD不是保留的。ICANN 现在正在销售 TLD,所以您mycompany.corp今天使用的您的域名明天实际上可能属于某个人。如果您拥有mycompany.com,那么明智的做法是使用类似internal.mycompany.com或 的内容ad.mycompany.com作为您的内部 AD 名称。如果您mycompany.com用作外部可解析网站,则应避免将其用作内部 AD 名称,因为最终会出现裂脑 DNS。
响应身份验证或授权请求的服务器是域控制器 (DC)。在大多数情况下,域控制器将保存全局目录的副本。全局编录 (GC) 是林中所有域中的部分对象集。它是可直接搜索的,这意味着跨域查询通常可以在 GC 上执行,而无需参考目标域中的 DC。如果在端口 3268 上查询 DC(如果使用 SSL,则为 3269),则正在查询 GC。如果查询端口 389(如果使用 SSL,则为 636),则正在使用标准 LDAP 查询,并且其他域中存在的对象可能需要引用。
当用户尝试使用他们的 AD 凭据登录到加入 AD 的计算机时,加盐和散列的用户名和密码组合将发送到正在登录的用户帐户和计算机帐户的 DC。电脑也登录。这很重要,因为如果 AD 中的计算机帐户出现问题,例如有人重置帐户或删除它,您可能会收到错误消息,指出计算机和域之间不存在信任关系。即使您的网络凭据没有问题,计算机也不再受信任可以登录域。
我更频繁地听到“我有一个主域控制器 (PDC) 并且想要安装一个备份域控制器 (BDC)”,这是我愿意相信的。PDC 和 BDC 的概念随着 Windows NT4 消失了。PDC 的最后一个堡垒是在 Windows 2000 过渡混合模式 AD 中,当时您仍然有 NT4 DC。基本上,除非您支持从未升级过的 15 年以上的旧安装,否则您真的没有 PDC 或 BDC,您只有两个域控制器。
多个 DC 能够同时响应来自不同用户和计算机的身份验证请求。如果一个失败,那么其他人将继续提供身份验证服务,而不必像在 NT4 时代那样做一个“主要”。最佳做法是每个域至少有两个 DC。这些 DC 应该都拥有 GC 的副本,并且都应该是 DNS 服务器,它们还拥有域的 Active Directory 集成 DNS 区域的副本。
“那么,如果没有 PDC,为什么会有一个只有一个 DC 可以拥有的 PDC 角色?”
我经常听到这个。有一个PDC 模拟器角色。这与成为 PDC 不同。实际上,有5 个灵活的单主操作角色 (FSMO)。这些也称为操作主机角色。这两个术语可以互换。他们是什么,他们做什么?好问题!这 5 个角色及其功能是:
域名大师- 每个森林只有一个域名大师。域命名大师确保将新域添加到林中时它是唯一的。如果担任此角色的服务器处于离线状态,您将无法对 AD 命名空间进行更改,其中包括添加新子域等内容。
Schema Master - 森林中只有一个 Schema Operations Master。它负责更新 Active Directory 架构。需要此操作的任务(例如为用作 DC 的 Windows Server 的新版本准备 AD 或安装 Exchange)需要架构修改。这些修改必须从 Schema Master 完成。
Infrastructure Master - 每个域有一个 Infrastructure Master。如果您的林中只有一个域,您就不必担心。如果你有多个林,那么你应该确保这个角色不是由同时也是 GC 持有者的服务器担任,除非林中的每个 DC 都是 GC。基础架构主机负责确保正确处理跨域引用。如果将一个域中的用户添加到另一个域中的组,则相关域的基础架构主机会确保正确处理该用户。如果此角色位于全局编录上,则该角色将无法正常工作。
RID 主- 相对 ID 主(RID 主)负责向 DC 发布 RID 池。每个域有一个 RID 主机。AD 域中的任何对象都有唯一的安全标识符 (SID). 这由域标识符和相对标识符的组合组成。给定域中的每个对象都具有相同的域标识符,因此相对标识符使对象具有唯一性。每个 DC 都有一个要使用的相对 ID 池,因此当该 DC 创建一个新对象时,它会附加一个尚未使用的 RID。由于 DC 是颁发非重叠池,因此每个 RID 应在域的生命周期内保持唯一。当 DC 在其池中剩余约 100 个 RID 时,它会从 RID 主控器请求一个新池。如果 RID 主机长时间脱机,对象创建可能会失败。
PDC 模拟器- 最后,我们了解了其中最容易被误解的角色,即 PDC 模拟器角色。每个域有一个 PDC 模拟器。如果身份验证尝试失败,则会将其转发到 PDC 仿真器。如果密码已在一个 DC 上更新并且尚未复制到其他 DC,则 PDC 模拟器将充当“决胜局”。PDC 模拟器也是控制跨域时间同步的服务器。所有其他 DC 从 PDC 模拟器同步它们的时间。所有客户端从他们登录的 DC 同步他们的时间。重要的是一切都保持在 5 分钟之内,否则 Kerberos 会中断,当发生这种情况时,每个人都会哭。
要记住的重要一点是,运行这些角色的服务器并不是一成不变的。移动这些角色通常是微不足道的,所以虽然一些 DC 的作用比其他 DC 稍多,但如果它们短时间停机,一切通常都会正常运行。如果他们长时间停机,很容易透明地转移角色。它比 NT4 PDC/BDC 时代要好得多,所以请不要再用那些老名字来称呼你的 DC。:)
当然是复制。默认情况下,同一个站点中属于同一个域的 DC 会以 15 秒的时间间隔相互复制它们的数据。这可以确保一切都是相对最新的。
有一些“紧急”事件会触发立即复制。这些事件是: 帐户因登录失败次数过多而被锁定、更改域密码或锁定策略、更改 LSA 机密、更改 DC 计算机帐户上的密码或转移 RID 主机角色到一个新的 DC。这些事件中的任何一个都会触发立即复制事件。
密码更改介于紧急和非紧急之间,并且是唯一处理的。如果用户的密码被更改DC01并且用户尝试登录到DC02在复制发生之前进行身份验证的计算机,您会认为这会失败,对吗?幸运的是,这不会发生。假设这里还有第三个 DC,称为DC03扮演 PDC 模拟器角色。当DC01使用用户的新密码更新时,该更改也会立即复制到DC03。如果您的身份验证尝试DC02失败,DC02则将该身份验证尝试转发到DC03,这将验证它确实是好的,并且允许登录。
DNS 对于正常运行的 AD 至关重要。微软官方的说法是,如果设置正确,任何 DNS 服务器都可以使用。如果您尝试使用 BIND 来托管您的 AD 区域,那么您就很高兴了。严重地。坚持使用 AD 集成 DNS 区域,并在必要时为其他区域使用条件或全局转发器。您的客户端应该全部配置为使用您的 AD DNS 服务器,因此在此处具有冗余非常重要。如果您有两个 DC,让它们都运行 DNS 并配置您的客户端以使用它们进行名称解析。
此外,您需要确保如果您有多个 DC,他们不会首先将自己列出来进行 DNS 解析。这可能导致它们处于“复制孤岛”的情况,在这种情况下它们与 AD 复制拓扑的其余部分断开连接并且无法恢复。如果您有两台服务器DC01 - 10.1.1.1和DC02 - 10.1.1.2,则它们的 DNS 服务器列表应配置如下:
服务器:DC01 (10.1.1.1)
主 DNS - 10.1.1.2
辅助 DNS - 127.0.0.1服务器:DC02 (10.1.1.2)
主 DNS - 10.1.1.1
辅助 DNS - 127.0.0.1
因为一旦你知道自己在做什么,你的生活就会变得无限美好。AD 允许集中用户和计算机管理,以及集中资源访问和使用。想象一下您的办公室有 50 个用户的情况。如果您希望每个用户在每台计算机上都有自己的登录名,则必须在每台 PC 上配置 50 个本地用户帐户。使用 AD,您只需创建一次用户帐户,默认情况下它可以登录域中的任何 PC。如果您想加强安全性,则必须执行 50 次。有点像噩梦,对吧?还假设您有一个文件共享,而您只希望其中一半的人访问。如果您不使用 AD,您要么需要在服务器上手动复制他们的用户名和密码以提供无缝访问,要么您 d 必须创建一个共享帐户并为每个用户提供用户名和密码。一种方式意味着您知道(并且必须不断更新)用户的密码。另一种方式意味着您没有审计跟踪。不好,对吧?
设置 AD 后,您还可以使用组策略。组策略是一组链接到 OU 的对象,这些 OU 定义了这些 OU 中的用户和/或计算机的设置。例如,如果您想让“关机”不在 500 台实验室 PC 的开始菜单上,您可以在组策略中的一个设置中执行此操作。您无需花费数小时或数天的时间手动配置正确的注册表项,只需创建一次组策略对象,将其链接到正确的 OU 或 OU,就不必再考虑了。有数百个 GPO 可以配置,而组策略的灵活性是 Microsoft 在企业市场上如此占主导地位的主要原因之一。
MDM*_*rra 24
注意:这个答案是从一个不同的问题合并到这个问题中的,这个问题询问了林、子域、树、站点和 OU 之间的差异。这最初并不是为了回答这个特定问题而写的。
当您需要安全边界时,您希望创建一个新林。例如,您可能有一个希望使用 AD 管理的外围网络 (DMZ),但出于安全原因,您不希望您的内部 AD 在外围网络中可用。在这种情况下,您可能希望为该安全区域创建一个新林。如果您有多个互不信任的实体,您可能还需要这种分离 - 例如,一个空壳公司包含独立运营的各个企业。在这种情况下,您希望每个实体都有自己的森林。
真的,你不再需要这些了。关于何时需要子域的好例子很少。一个遗留原因是因为不同的密码策略要求,但这不再有效,因为自 Server 2008 以来有细粒度的密码策略可用。如果您的区域网络连接性极差,并且您想要,您真的只需要一个子域大幅减少复制流量——带有卫星广域网连接的游轮就是一个很好的例子。在这种情况下,每艘游轮可能是它自己的子域,以便相对独立,同时仍然能够利用与来自同一公司的其他域在同一林中的好处。
这是一个奇怪的球。当您想要保持单个林的管理优势但在新的 DNS 命名空间中拥有域时,将使用新树。例如,corp.example.com可能是林根,但您可以ad.mdmarra.com在同一林中使用一棵新树。此处适用于子域的相同规则和建议 - 谨慎使用它们。现代广告通常不需要它们。
站点应代表网络中的物理或逻辑边界。例如,分支机构。站点用于为不同区域的域控制器智能选择复制伙伴。如果不定义站点,所有 DC 将被视为位于同一物理位置并在网状拓扑中复制。实际上,大多数组织在逻辑上都配置为中心辐射型,因此应配置站点和服务以反映这一点。
其他应用程序也使用站点和服务。DFS 将其用于命名空间引用和复制伙伴选择。Exchange 和 Outlook 使用它来查找要查询的“最近”全局编录。加入域的计算机使用它来定位“最近的”DC 以进行身份验证。没有这个,您的复制和身份验证流量就像狂野的西部。
这些应以反映您的组织对权限委派和组策略应用需求的方式创建。许多组织的每个站点都有一个 OU,因为他们以这种方式应用 GPO - 这很愚蠢,因为您也可以从站点和服务将 GPO 应用到站点。其他组织按部门或职能分隔 OU。这对很多人来说都有意义,但真正的 OU 设计应该满足您的需求并且相当灵活。没有“一种方法”可以做到这一点。
跨国公司可能拥有North America、Europe、Asia、 的顶级 OU South America,Africa以便它们可以基于大洲委派管理权限。其他组织可能拥有的顶级组织单位Human Resources,Accounting,Sales,等如果让他们更有意义。其他组织的策略需求最少,并使用仅包含Employee Users和的“扁平”布局Employee Computers。这里真的没有正确的答案,它是满足您公司需求的任何东西。
| 归档时间: |
|
| 查看次数: |
323065 次 |
| 最近记录: |