这个章节主要讲Active Directory 域服务概述及相关概念,设计步骤及AD常见的规划设计TOP方案,每种架构TOP方案的特定及优缺点。
Active Directory是存储有关网络上对象的信息的层次结构。 目录服务(例如 Active Directory 域服务(AD DS))提供存储目录数据以及使此数据可供网络用户和管理员使用的方法。 例如,AD DS 存储有关用户帐户的信息,如名称、密码、电话号码等,并使同一网络上的其他授权用户可以访问此信息。
Active Directory 存储有关网络上对象的信息,并使管理员和用户可以轻松查找和使用此信息。 Active Directory 使用结构化数据存储作为目录信息的逻辑层次结构的基础。
此数据存储(也称为目录)包含 Active Directory 对象的相关信息。 这些对象通常包含共享资源,如服务器、卷、打印机、网络用户和计算机帐户。
通过登录身份验证和对目录中对象的访问控制,安全与 Active Directory 集成。 通过单一网络登录,管理员可以管理其整个网络中的目录数据和组织,授权网络用户可以访问网络上任何位置的资源。 基于策略的管理简化了复杂的网络的管理。
一组规则,即架构,定义目录中包含的对象和属性的类别、这些对象的实例的约束和限制及其名称的格式。
包含有关目录中每个对象的信息的全局编录。 这允许用户和管理员查找目录信息,而不考虑目录中的哪个域实际包含数据。
一种查询和索引机制,以便对象及其属性可由网络用户或应用程序发布和查找。 有关查询目录的详细信息。
跨网络分发目录数据的复制服务。 域中的所有域控制器均参与复制,并包含其域的所有目录信息的完整副本。 对目录数据的任何更改均复制到域中的所有域控制器。
设计不是越复杂越好,根据实际需要越简单越好,可以通过以下步骤进行设计:
1.确定林设计要求及所需的林数量
其实单林就能满足大部份集团公司的需求、目前我接触的500强公司分布各个国家都用不上多林架构。
2.创建域设计
确认域模型使用单区域模型、还是区域域模型。
3.确定所需的域数量
根据用户和计算机数量及未来增长来预计域数量。
4.规划全局编录
如果你有单域林,全局编录布局需要进行规划。 在单域林中,将所有域控制器配置为全局编录服务器。 由于每个域控制器都在林中存储唯一的域目录分区,因此将每个域控制器配置为全局编录服务器不需要任何额外的磁盘空间使用情况、CPU 使用率或复制流量。 在单域林中,所有域控制器都充当虚拟全局编录服务器;也就是说,它们都可以响应任何身份验证或服务请求。
5.规划站点拓扑
规划好站点并把相应AD规划在那个站点,提前收集各公司用的IP子网等。
6.规划OU
根据需求规划OU目的就是规划相应计算机和用户存放在哪个OU便于策略管理。
【以下官方公布单个域与带宽及承载用户数量的关系】
每个林都从单个域开始。 单个域林可包含的最大用户数取决于最慢的链接,该链接必须适应域控制器之间的复制,以及要分配给 Active Directory 域服务(AD DS)的可用带宽。 下表列出了域基于单个域林可包含的最大推荐用户数、最慢链接的速度,以及要为复制保留的带宽百分比。 此信息适用于最多包含100000个用户且连接数为 28.8 kb/秒(Kbps)或更高的林。 有关适用于包含100000多个用户或连接量小于 28.8 Kbps 的林的建议,请参阅经验丰富的 Active Directory 设计器。
下表中的值基于在具有以下特征的环境中生成的复制流量:
新用户以每年 20% 的速率加入林。
用户以每年 15% 的速率保留林。
每个用户都是五台全局组和五个通用组的成员。
用户与计算机的比率为1:1。
使用 Active Directory 集成的域名系统(DNS)。
使用 DNS 清理。
备注:
下表中列出的数字大致为近似值。 复制流量的数量很大程度上取决于在给定时间内对目录所做的更改的数量。 在部署域之前,通过在实验室中测试你的设计更改的估计数量和速率,确认你的网络可以容纳你的复制流量。
【以下官方公布区域域模型与带宽及承载用户数量的关系】
如果无法容纳单个域中的所有用户,则必须选择 "区域域" 模型。 以对组织和现有网络有意义的方式将你的组织划分为各个区域。 例如,可以根据中国及日本公司创建区域。
请注意,由于需要为你建立的每个区域创建一个 Active Directory 域,因此建议你最大程度地减少为 AD DS 定义的区域数。 尽管可以在林中包含无限数量的域,但为了便于管理,我们建议林最多包含10个域。 在将你的组织划分为地区性域时,你必须在优化复制带宽与降低管理复杂性之间建立适当的平衡。
首先,确定林可以承载的用户的最大数量。 将其基于域控制器将复制到的林中最慢的链接,以及要分配到 Active Directory 复制的平均带宽量。 下表列出了林可包含的最大推荐用户数。 这取决于最慢链接的速度和要为复制保留的带宽百分比。 此信息适用于最多包含100000个用户且连接量为 28.8 Kbps 或更高的林。 下表中的值基于以下假设:
所有域控制器都是全局编录服务器。
新用户以每年 20% 的速率加入林。
用户以每年 15% 的速率保留林。
用户是五台全局组和五个通用组的成员。
用户与计算机的比率为1:1。
使用 Active Directory 集成的 DNS。
使用 DNS 清理。
备注:
下表中列出的数字大致为近似值。 复制流量的数量很大程度上取决于在给定时间内对目录所做的更改的数量。 在部署域之前,通过在实验室中测试你的设计更改的估计数量和速率,确认你的网络可以容纳你的复制流量。
(接下来主要是围绕这几种架构部署场景来讲)
这种AD部署架构是集团公司用得最多的方案,以下我的TOP只是模拟环境,其实与真实部署方法是一样的,比如日本500强集团常用的架构如下:
日本东京总部数据中心2台AD:负责本国AD所有业务,如果有工厂的地区会再各自机房部署1~2台AD。
中国区上海数据中心2台AD:负责中国区所有Office办公AD业务,如果深圳及其他城市有大工厂会再各自机房部署1~2台AD。
其他国家也是一样的部署方式。
描述:这种采用主域控与额外域的部署方式,所有域服务器都可以是GC,所有域服务器都有相同的权利,FSMO可以分布在任何一台域服务器上,这种架构都是总部IT专门负责管理,委派给其他地区分公司IT有部份AD的权限,建议最多部署不要超过10个AD服务器。
优点:
1.各据点公司用户访问各自据点域服务器进行登录及相关用户验证,起到行负载均衡的作用;
2.如果FSMO角色所在域服务器故障,可轻松转移或抢占FSMO到其他域服务器即可,可用性高;
3.用户登录及各系统通过AD验证非常快,都是通过各公司AD验证。
4.减少通过集团WAN链接的复制流量
5.支持较多的AD用户和计算机数量
缺点:
部署成本较高(有业务需的国家需要部署数据机房)
这种架构其实也不算原始规划架构 ,是集团公司收购其它公司的情况下、被收购公司AD正常保留使用的方案,收购后原来PC管理方法基本是没变化的,PC还是加入以前的域,如果被收购公司域废除把PC切换到现有公司域,所有用户的PC用户环境需要重新设定非常繁琐,这显然没有必要,可能就邮件暂时需要变更而已。
这种情况会导致资源互相访问时需要验证带来很大麻烦,被收购公司用户访问公司相关业务需要用户认证的问题,那么怎么解决这个问题呢,如题就是不同域设定信任即可解决这个问题。
优点:
1.设置信任后就解决了验证的问题,公司的资源可以授权给收购公司AD的用户访问,同时被收购公司的资源也可以授给公司相应的AD用户权限,即可轻松访问相应的资源;
2.不用大动干戈把被收购公司域废除,收购公司PC照常加入现公司域服务器即可,节省超多时间和麻烦事,如果切换域公司用户数成千上万用户,用户环境问题头都大了,因为有些用户环境很复杂、用了很多特殊软件改变用户环境就需要重新部署非常麻烦 ;
3.不用改变收购公司用户账号和密码,用户登录使用电脑的方式和习惯等不用改变,节少了很多培训时间。
缺点:
就是公司AD域名不统一而已,除了这个没有什么太多的缺点,还有就是多了一个域需要管理、IT工作量有所增加而已。
在物理安全性不足的位置上,建议使用部署只读域控制器(RODC)。 除帐户密码之外,RODC 保留可写域控制器包含的所有 Active Directory 对象和属性。 但是,不能对存储在 RODC 上的数据库进行更改。 必须在可写域控制器上进行更改,然后将其复制回 RODC。
设计 RODC 主要是为了在分支机构环境中部署。分支机构通常用户相对较少,物理安全性差,连接集团公司网络带宽也相对较低,分支机构人员不懂IT。
优点:
1.对分公司机房物理安全性差和用户少的环境部署,比较高的安全性,;
2.分公司用户更快的登录速度 ;
3.更有效的访问网上的资源;
缺点:
如果分公司AD用户很多的情况不太适合。
这种架构用在集团公司之间各自管理子域的方式管理,各分公司部署子域模式,PC加入各公司子域即可,父域和子域是可传递的,权限授权也很方便。
优点:
1.公司的资源授权也是很方便,父域和子域之间自动建立传递关系
2.父域和子域管理不互相干扰
3.支持管理AD用户及计算机数量比较大
缺点:
成本相对较高,管理相对复杂,显得没有必要。
这种AD部署架构也有很多公司在用这种方案,其实与A架的AD部署方法是一样,这种架构各分公司之间网络质量比较好,在总部构筑私有云、虚拟化数据中心的方式,各分公司可以不用建数据机房。
描述:这种架构主要是采用主域控与额外域的部署方式,所有域服务器都可以是GC,所有域服务器都有相同的权利,FSMO可以分布在任何一台域服务器上,这种架构都是总部IT专门负责管理,也可以委派给其他地区分公司IT有部份管理AD OU的权限。
优点:
1.各公司单独预算结算时,各分公司付费的方式申请AD用户用的最多的架构方式;
2.成本更低,不用在各公司机房部署AD服务器,因为在总部都是私有云或虚拟部署、服务器的RTO和RPO时间能>做到更低,这在分公司做到这种要求成本很高的。
3.各据点公司用户访问各自域服务器进行登录验证相关AD业务,起到行负载均衡的作用;
4.如果FSMO角色所在域服务器故障,可轻松转移或抢占FSMO到其他域服务器即可;
5.降低了管理复杂性
缺点:
如果公司到AD服务器网络质量不好,PC首次加域或登域可能会比较慢,策略有可能会延时,这些都是可以解决的,集团网络带宽这些问题都可以很好解决。
以上是最常见5种AD架构设计方案,但集团公司其实用的最多的是A架构分布式额外域部署场景,除此之外B架构收购公司的AD接管方案,C架构RODC、E架构集中式额外域部署场景,主要是根据自己公司实际环境选择相对合适的方案即可,但D架构父域与子域架构其实用此架构的公司真的很少,原因其实上面我已经说了,总知大家以自己需求为出发点设计符合自己的方案。
笔者在IT运维行业多年,刚开始在乙方从事IT系统集成项目,后来一直在甲方从事IT运维至今。
在乙方工作时经常遇到客户挖的坑,如AD用户删除怎么恢复?我公司只有一台AD挂了怎么办?后面来了句AD没有任何备份。听到这话我也化无奈也只有凉拌啦!
笔者发现这些问题其实都是设计不合理造成的,说白了客户IT工程师AD知识不扎实,不知道怎么来规避这些问题,现在笔者在甲方工作更能体会到甲方工程师的难度,有些公司第一不愿在IT设备上投入,第二又不愿在IT人才培养方面投入,说白了就是不愿花钱,IT工程师们真难做,本专栏的知识点就帮助大家规避这些问题。
例如公司目前只有1台AD,当你的环境只有1台AD而且没有备份那当然就没辙了,这就体现本专栏知识点重要性的时候了。额外域部署设计,你就可以规划部署第2台AD作为额外域,这样就规避了AD的单点故障。公司不愿投入设备也可以用PC代替只不过FSMO角色放在性能好的服务器就行。当然你知道部署额外域还不至于在AD设计时能规避这个问题,这时我们专栏也讲到了AD故障转移(FSMO角色转移及抢占)知识点,就这两个知识点就规避这个AD单点故障的问题,当问题发生时轻松解决。
例如我在乙方工作时经常遇到甲方的AD管理者,创建删除修改AD用户都是对着申请单一个一个用户创建删除,不累吗?我们可以结合申请单命令批量创建删除修改域AD对象实现快速对应。
其实很多问题都是最初规划设计不合理,最终变成历史遗留问题,最后某些工程师接管烂摊子不幸出现故障无法恢复。这时公司只会责怪现任工程师,这也没办法,原来工程师已经离职了。所以通过专栏的学习我们可以把别人给你挖的坑给填了,避免在你接管工作时不要出现大问题。今后在你管理下AD的规划部署更加完善。
本专栏文章,主要包括15篇内容。AD常用的架构TOP设计,各架构的部署实战、A架构环境下AD检查验证方法,AD架环境下站点和服务规划实战及OU策略实战等。以下介绍各章节的内容要概述。
本篇以甲方和乙方AD管理者的角色看待AD架构规划重要性,并简单例举因AD设计不合理导致的问题点,这只是笔者以前遇到情况,你是否也曾遇到过呢?
此篇主要讲AD的常用架构设计TOP,每种架构的运用场景及每种架构的优缺点,如何根据自己公司合理规划AD的架构,TOP设计如下:
A架构AD设计TOP
B架构AD设计TOP
C架构AD设计TOP
D架构AD设计TOP
E架构AD设计TOP
本篇根据最常用最有代表性的AD架构TOP进行部署实战,手把手教你部署及注意事项,让没有AD部署经验的同仁知道如何构筑自己的域环境。
本篇也是根据最常用的AD架构TOP进行BJ公司AD部署实战,手把手教你部署及部署中应该注意的事项,让没有AD部署经验的同仁掌握AD部署方法,同时把自己的实验环境一步一步构筑完成,方便今后内容的学习,后面很多实战根据A架构环境来讲解的。
本篇也是根据A架构的AD设计TOP 进行SH公司AD部署实战,其实部署方法和第3篇的内容相似,但为了实验的完整性这些内容没有省略,同时此篇讲述了AD检查及验证实战方法。
在A架构的实验环境实战举例讲解如何规划站点,如何规划子网,讲述站点内和站点间复制原理,举例讲述AD的复制时间是多少,如何优化AD复制时间,如何命令执行站点间AD的复制等等。
在A架构环境讲解OU规划及域策略实战,本篇会例举大家遇到的策略问题对应方法,同时也会讲到策略模板导入,AD权限规划举例,其实原理都是相通的,大家应根据自己实际情况合理规划。
此篇知识点是AD用户的管理,适应所有AD架构场景,无论你是什么架构都离不开AD对象吧!你要创建计算机和AD用户,但此篇也在A架构实验环境讲解,讲述知识点有如结合申请单命令批量管理AD用户和计算机,用户导出举例等。
本篇也是在A架构环境来实战举例,这章节也是AD运维经常遇到的问题,在这个行业多年经常遇到AD用户被误删除的情况,此篇会例举多种AD用户恢复方法,以及恢复AD用户的前提条件。
本篇主要讲述FSMO角色的作用,实战讲述AD故障在那种情况下适用转移,那种情况更适合用抢占。此知识点也在A架构环境来讲。
其实这种不叫原始的架构,最初的设计很少会是这样设计的,除非公司有特殊网络隔离环境有可能出现这种AD设计,这种一般在集国公司收购外部公司的情况,不同域信任关系实现公司之间资源的访问授权。
此篇讲述RODC的使用场景,及部署实战,这种RODC适合小型据点的部署。
此篇讲述父域与子域架构部署实战。
本篇讲述AD备份和恢复方法,例举Windows自带备份工具备份恢复实战 ,BESR备份恢复实战,还有虚拟化环境下备份和恢复方法。
此篇讲述什么是Windows BitLocker,BitLocker有什么作用,如何结合AD管理BitLocker密码来部署BitLocker方案
本篇讲述什么是Wannacry勒索病毒,传染方式,如何阻断传染,AD没有备份的情况下感染Wannacry勒索病毒的恢复思路(2017年真实案列)
以上是各篇的概述,希望对你有帮助(如下附专栏大纲)
【专栏】《Active Directory 架构规划实战》
【作者】曾爱明·百强外企IT主管
【收获】①企业级AD实战②4类AD架构规划③服务器规划实战
【福利】150个早鸟福利,只要39¥>>> https://blog.51cto.com/cloumn/detail/79