全球AD域部署項目

1、當(dāng)前版本：V1.0最新更新日期：2017.09.07最新更新作者：李山山作者：李山山創(chuàng)建日期：2017.09.06控制文檔修訂歷史1 / 10目錄 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 引言2 HYPERLINK l bookmark20 o Current Document 應(yīng)急策略 3 HYPERLINK l bookmark66 o Current Document 應(yīng)急方案執(zhí)行情況跟蹤 101.引言編寫目的海爾集團全球AD域部署項目已實施完成，考慮系統(tǒng)安全以及數(shù)據(jù)重要性，本文檔著重介紹 AD&SCCM系統(tǒng)應(yīng)急策略。

2、用于生產(chǎn)環(huán)境出現(xiàn)突發(fā)情況時，可以及時采取策略應(yīng)對，以保護系統(tǒng) 數(shù)據(jù)以及生產(chǎn)環(huán)境穩(wěn)定。角色及責(zé)任人應(yīng)用系統(tǒng)的負(fù)責(zé)人：應(yīng)急策略制定人：應(yīng)急策略協(xié)調(diào)人（負(fù)責(zé)整個應(yīng)急計劃的資源協(xié)調(diào)）：備份檢查負(fù)責(zé)人：服務(wù)范圍：集團所有涉及AD域相關(guān)應(yīng)用（包括DNS服務(wù)器，域認(rèn)證等）。術(shù)語定義：AD : Active Directory 即活動目錄SCCM： System Center Configuration Manager 系統(tǒng)中心配置管理DNS服務(wù)器：Domain Name Server域名服務(wù)器域認(rèn)證：使用全局2.應(yīng)急策略2.1.應(yīng)急事件定義BMC Patrol AD Monitoring Parameter

3、s 定義指標(biāo)類Patrol指標(biāo)名BPPM指標(biāo)名DNSAuthenti cationFSMODNS A Record StatusDNS Domain ControllerLDAP SRV RecordStatusDNS Global CatalogLDAP SRV RecordStatusRPC FailureKerberosAuthentication RateNT LAN ManagerAuthentication RateFSMO Role HolderConnectivity StatusDNS A RecordStatusDNS DomainControllerLDAP SRVRec

4、ord StatusDNS GlobalCatalog LDAP SRV Record StatusRPC FailureKerberos Authentication RateNT LAN Manager Authentication RateFSMO Role Holder Connectivity Status指標(biāo)描述DNS A記錄狀態(tài) （0=找到記錄；1 = 未找到記錄） DNS域控制器 LDAP SRV記錄狀 態(tài)（0=找到記錄； 1=未找到記錄） DNS全局目錄 LDAP SRV記錄狀 態(tài)（0=找到記錄； 1=未找到記錄） 0=available1 = una vailableKer

5、beros身份驗證 速率（每秒身份驗證 次數(shù)）NT LAN Manager 身份驗證速率（每秒 身份驗證次數(shù)）FSMO角色擁有者 連接狀態(tài)（0=可連 接；1=不可連接）K預(yù)PI警KPIKPILDAPFileReplicationServiceSAMServerFulfilling RoleServer Fulfilling RoleHas ChangedHas Changed (0 = Role(0=RoleUnchanged; 1 = RoleUnchanged;Changed; 2 = Role1 = RoleAcquired)Changed;2 = Role Acquired)LDAPC

6、onnectStatus履行角色的服務(wù)器 已更改KPILDAPConnectStatusLDAP連接狀態(tài) （0=能夠連接，1 = 無法連接）KPILDAP Global CatalogConnect StatusLDAP Global Catalog Response TimeLDAP Response TimeFRS Database Space Availability (0=Available;1 = Unavailable)RPC Connection Error (0 = No; 1=Yes)Excessive Replication (0 = No; 1=Yes)Percentag

7、e of ADReads from SAM (%)Percentage of ADWrites from SAM (%)LDAP Global Catalog Connect StatusLDAP GlobalCatalog Response TimeLDAPResponseTimeFRS DatabaseSpace AvailabilityRPCConnectionErrorExcessive Replication Percentage of AD Reads from SAM (%) Percentage of AD WritesLDAP全局目錄連 接狀態(tài)（0=能夠連 接，1=無法連接）

8、LDAP全局目錄響 應(yīng)時間（毫秒）LDAP響應(yīng)時間（毫 秒）FRS數(shù)據(jù)庫空間可 用性RPC連接錯誤過度復(fù)制來自SAM的AD讀 取的百分比來自SAM的AD寫 入的百分比KPIKPIKPIHaierAD&SCCM系統(tǒng)應(yīng)急策略表號：360006F34生效期：2016.01.30密級：集團內(nèi)部公開from SAM (%)Percentage of AD Searches from SAM (%)Percentage of AD Searches from SAM (%)來自SAM的AD搜 索的百分比RID Pool AllocationRID PoolAllocation0=OK，1=failed1R

9、eplicati on HealthDuplicate Object ErrorDuplicateObject Error0-No1-Yes1Failed Synchronization RequestsAdRpFailedSy ncRequestsReports the number of unsuccessful synchronization requests processed since the last collection cycle1Topology MismatchTopologyMismatch0=No1=Yes1Replication FailedAdRpFailedTh

10、is parameter monitors the warning Event ID 1265 in the directory service event log. The event source is NTDS Knowledge Consistency Checker (KCC).1ActiveDirectoryServerAD Database Required Free Space Status0 = Required free space met1 = Required free space not met1Domain ControllerAdvertisement Statu

11、s0=Advertised1 = N ot advertised1Sysvol Share Status0=Shared1 = Not1SharedTime Difference FromPDCDFSReplicati onDFSR DCCommunication0 - Successful1 - Unsuccessful1DFSR Replication Status0 - Ok1 - Replication stoppedDFSR Staging Area Full0 - Not full1 - FullDHCPScopeScope Count1Status of DHCP Service

12、1 = available0 = unavailable2.2.應(yīng)急策略涉及的平臺名稱版本域控集成方式用途負(fù)責(zé)人SharePoint2016擴展域控架構(gòu)，原廠產(chǎn)品門戶等劉新聞Exchange2013擴展域控架構(gòu)，原廠產(chǎn)品郵箱韋韜Commvault安裝在域控上海飛的備份軟件NAC思科設(shè)備獨立配置驗證域控 服務(wù)器實現(xiàn)用戶驗證上網(wǎng)準(zhǔn)入封其軍Portal門戶域賬戶密碼重置Webservice 接口密碼重置、密碼修 改陳安云密碼修改同步 程序安裝在每臺域控上截獲AD用戶修改 密碼的信息陳安云IDM同步AD程 序調(diào)用AD接口ID同步陳安云網(wǎng)康上網(wǎng)管理LDAP 指定 192.168.100.1上網(wǎng)行為管理R

13、DS服務(wù)器管理員反饋沒有與域控集 成，域控升級對此沒有影響物流塞門鐵克DLPLDAP 指定 192.168.100.1數(shù)據(jù)丟失保護微軟CRMIAS無線上網(wǎng) 驗證系統(tǒng)沒有安裝在AD服務(wù)器上堡壘機登錄Citrix Xenap 6.5版 本僅調(diào)用域用戶組進行權(quán)限管 理，訪問沒有與AD集成， 使用DNS功能ERM加密系統(tǒng)C/S架構(gòu)，沒有與AD集成XenDesktop沒有與AD集成SSL-VPN與IDM集成，沒有與AD集 成TMS系統(tǒng)巳下線2.3 .應(yīng)急策略涉及的關(guān)鍵資源服務(wù)器名稱,硬件規(guī)劃編號功能機器描述Windows 角色機器最低 配置要求存儲需求服務(wù)器名 稱軟件版本甲地址備注1域 控( 替 代ta

14、o- dc-01 )服務(wù)器AD(Schema;Name)DNSWINSDHCPCPU : 16 核 內(nèi)存： 16GB100GB100GBWind ows Serv er 2012 R2IP :192.168.100.12域 控( 替 代tao- dc-02 )服務(wù)器AD(InFr;PDC;RID)DNSWINSCPU : 16 核 內(nèi)存： 16GB100GB100GBWind ows Serv er 2012 R2IP :192.168.100.23輔 助 域 控 01 (替服務(wù)器ADDNSCPU : 16 核 內(nèi)存： 16GB100GB100GBWind ows Serv er 2012 R

15、2IP :10.135.12.117務(wù)艮客nnn、G m - c Dp J 、-M U.XT- 、G 3 - c 4 代tao d - o輔助域控o替代tao d - )030405ADDNSCPU : 16 核 內(nèi)存： 16GB100GB100GBWindowsServer2012R2Wind服務(wù)服務(wù)服務(wù)輔服務(wù)助器ADDNSDHCPADDNSWINSDHCPADDNSADDNSIP :192.168.100.232CPU : 8 核 內(nèi)存： 16GBCPU : 8 核 內(nèi)存： 16GBCPU : 8 核 內(nèi)存： 16GBCPU : 8核100GB100GBcntaoswad005owsSer

16、ver2012R2WindIP :10.138.40.210100GB cntaosw100ad006GBGB100GBcntaoswad007100cntaoswGBad008100owsServer2012R2WindowsServer2012R2IP :10.138.40.211IP :10.138.40.212Wind IP :ows 10.138.4域 控06俄 羅 斯 站 點 域 控服務(wù)器ADDNS2.4.應(yīng)急方案及操作步驟Start內(nèi)存:16GBCPU : 4 核 內(nèi)存： 8GB100GB150GBruchlswad001Serv 0.213er2012R2WindowsServer2012R2IP :10.9.193.100N o.Does the networking work?Use these t ool s fortroubleshooting:Event ViewerPINGIP ConfigNLTestNetDiagNetMonNoUse these tool 5 for troubleshooting: Does name resolution work? Event ViewerPINGNSLOOKUPNETST ATDNSCP1DUse these tool s for troublesho