活動目錄概述及設(shè)計課件

目錄服務(wù)目錄服務(wù)1什麼是活動目錄？ActiveDirectory,AD活動目錄是Windows2000Server提供的重要服務(wù)管理中心：網(wǎng)絡(luò)元素(用戶，應(yīng)用，設(shè)備等)安全中心:身份認證授權(quán)中心桌面管理和控制開放的平臺：應(yīng)用的開發(fā)，與其他系統(tǒng)集成什麼是活動目錄？ActiveDirectory,AD2目錄服務(wù)綜述目錄服務(wù)綜述3實施AD帶來的收益實體管理的平臺用戶身份管理：每個員工訪問辦工網(wǎng)時出示唯一的一個ID標識管理任務(wù)：開戶，銷戶，禁用賬號安全的認證方式：Kerberos;事實上的業(yè)屆標準集中的計算機桌面管理：Windows2000桌面版：通過組策略集中的安全控制中心：通過組策略對于W2KServer,W2KPro實施AD帶來的收益實體管理的平臺4實施AD帶來的收益應(yīng)用開發(fā)系統(tǒng)將用戶身份認證交給AD企業(yè)內(nèi)部一套用戶數(shù)據(jù)庫：用戶信息準確降低管理成本更能關(guān)注本應(yīng)用本身的業(yè)務(wù)邏輯減少工作量更安全用戶使用的便利：只需記住一套用戶名/口令應(yīng)用策略應(yīng)用發(fā)布實施AD帶來的收益應(yīng)用開發(fā)系統(tǒng)將用戶身份認證交給AD5實施AD帶來的收益輔助其它網(wǎng)絡(luò)應(yīng)用的分布式實現(xiàn)AD集成的DNSAD集成的DFS(分布式文件系統(tǒng))打印服務(wù)的定位：搜索打印機的位置MSMQExchange2000CAService實施AD帶來的收益輔助其它網(wǎng)絡(luò)應(yīng)用的分布式實現(xiàn)6實施AD帶來的收益構(gòu)建一個企業(yè)目錄系統(tǒng)的基礎(chǔ)從用戶管理到各種其他實體的管理：計算機，網(wǎng)絡(luò)設(shè)備，應(yīng)用程序Ecommerce應(yīng)用Extranet應(yīng)用實施AD帶來的收益構(gòu)建一個企業(yè)目錄系統(tǒng)的基礎(chǔ)7AD項目過程現(xiàn)狀分析-〉需求分析-〉設(shè)計-〉測試-〉試點-〉大規(guī)模實施-〉穩(wěn)定階段AD項目過程現(xiàn)狀分析-〉8現(xiàn)狀分析現(xiàn)狀分析9需求分析需求分析10設(shè)計設(shè)計11設(shè)計原則簡單是最好的投資您的業(yè)務(wù)和單位會不斷變化理想設(shè)計的目標研究設(shè)計替代的方案設(shè)計原則簡單是最好的投資12活動目錄的邏輯元素活動目錄的邏輯元素13活動目錄的物理元素活動目錄的物理元素14森林森林15森林森林是域的集合，是一套目錄系統(tǒng)的邊界。森林有兩種主要用途：簡化用戶與目錄的交互過程和簡化對多個域的管理。森林有這樣一些特征：共享一套Schema(定義AD中對象的類型和相應(yīng)對象的屬性)共享一套Configuration(如Domain,Site,SiteLink信息)共享一套GlobalCatalog(GC,全局編錄)用戶搜索GlobalCatalog用戶用UPN名登錄(a@)森林中的域之間互相信任森林森林是域的集合，是一套目錄系統(tǒng)的邊界。森林有兩種主要用途16森林建立多個森林的理由為：不能信任其他的管理員不能就Forest變化策略達成一致Schema變化,Configuration變化,添加新域?qū)φ麄€Forest帶來的影響。共同決定Schemaadministrators,enterpriseadministrators的成員多個Forest帶來的不好影響：增加管理費用域數(shù)目增多；各個森林分別管理森林級的服務(wù)手工管理和維護森林之間的信任關(guān)系有一些功能在多Forest的環(huán)境中失效UPNlogon(如huangsy@)森林建立多個森林的理由為：17Forest設(shè)計選擇單一Forest兩個Forest主要優(yōu)點：兩個森林完全的管理邊界，提供了完全的自治，雙方擁有各自獨立的Schemas，各自獨立的全局編錄,各自管理自己的森林級管理任務(wù)（Schema,Enterprise）應(yīng)用開發(fā)的便利：獨立控制自己森林中的Schema，有利于目錄集成的應(yīng)用開發(fā)，擴展本森林的Schema不必影響其他森林的Schema。目錄集成應(yīng)用項目的研究：作為一個獨立的測試和試運行環(huán)境獨立的全局編錄：外來人員很多，人員流動大，經(jīng)常會建立臨時賬號，將森林獨立出來有一套獨立的全局編錄，可以不影響人員相對固定的其他森林主要缺點：額外的森林根硬件(2-3臺)額外的森林級管理任務(wù)有資源共享需要時，手工維護信任關(guān)系現(xiàn)階段不可以合并，域在森林之間不可以移動，用戶可以在森林之間用工具移動Forest設(shè)計選擇單一Forest18森林根域森林中的根域是在森林中創(chuàng)建的第一個域，森林的名字就是這個域的名字。有兩個森林級的組enterpriseadministrators和schemaadministrators就存在這個域中，他們的成員由森林根域的DomainAdmin決定的。無法重新安裝森林的根域。如果森林根域的所有域控制器在一次災(zāi)難性事故中喪失，而且一個或多個域控制器無法從備份恢復，將永久喪失enterpriseadministrators和schemaadministrators組，造成災(zāi)難性事故，整個森林將面臨重建。森林根域森林中的根域是在森林中創(chuàng)建的第一個域，森林的名字就是19森林根域在森林根域中，有兩個森林級的操作主機（FSMO）角色：SchemaMaster和DomainNamingMaster。SchemaMaster控制對于Schema的更新和修改,更改Schema必須在SchemaMaster上。任何時候，森林中只能有一臺SchemaMasterDomainNamingMaster在森林中控制域的增、刪。任何時候整個森林只能有一臺Domainnamingmaster森林根域在森林根域中，有兩個森林級的操作主機（FSMO）角色20森林根域建議建立一個專職，小的森林根，森林根不可以改名，改變或刪除創(chuàng)建一個額外的專有的域作為森林中的根域可以有以下的一些好處：森林根域中的域管理員可以管理enterpriseadministrators和schemaadministratorsgroups的成員。這兩個管理員組中的成員可以控制整個森林的結(jié)構(gòu)，例如增減域都需要enterpriseadministrators組中的成員許可；以及整個森林中的Schema變化。因為這個域很小，它可以很容易復制，所以可以避免森林中心的大災(zāi)難。因為這個域的唯一職責是作為森林的根，這個域?qū)聿粫鲝U。將森林根域與工作域化開，可以在工作域?qū)聿恍枰獣r，將它刪除，而森林根域會一直保留，不會在工作域改變時受到影響。森林根域建議建立一個專職，小的森林根，森林根不可以改名，改變21森林根域根域設(shè)計選擇建立一個由3臺機器組成的森林根，只作森林級管理任務(wù)。此森林根域為本機模式。森林根域根域設(shè)計選擇22域域23域的作用認證（Kerberos）策略管理賬戶的安全策略PasswordpolicyAccountlockoutpolicyKerberos

ticketpolicy共享資源的發(fā)布文件共享打印機域的作用認證（Kerberos）24域設(shè)計在Windows2000設(shè)計原則中來自實際的經(jīng)驗是，盡量減少域的數(shù)目，保持域結(jié)構(gòu)的簡單化。有三種可能的原因增加新的域：保留已有的WindowsNT域結(jié)構(gòu)管理任務(wù)的劃分物理劃分整個森林中域數(shù)目建議不要超過10個域設(shè)計在Windows2000設(shè)計原則中來自實際的經(jīng)驗是，25管理的邊界域是管理任務(wù)的邊界。這意味著每個域有一個域管理員組，域管理員對域中的每一個對象都有完全的管理權(quán)力。這些管理權(quán)力只在本域擁有，不會跨越到其他域。通過將各個域的管理員賬號/口令收集到總部，也可以實現(xiàn)將不同域的管理任務(wù)集中到總部，這是一種變通的做法。在組織中，對安全策略的需求。有一些安全策略是實施在域用戶上，只能基于每個域來設(shè)定：口令策略，如口令長度等賬戶鎖定策略，用來定義對待猜測口令的入侵者，口令數(shù)次失敗后將賬戶鎖定Kerberos

票據(jù)策略.定義Kerberos票據(jù)的生命周期.一張Kerberos票據(jù)是在登錄過程中獲得的，用來進行網(wǎng)絡(luò)認證。一張票據(jù)只在策略中規(guī)定的生命周期時間內(nèi)存活。當票據(jù)過期后，系統(tǒng)自動去申請另一張新的票據(jù).如果組織中對這些策略不能達成一致，那末只能分為幾個域。管理的邊界域是管理任務(wù)的邊界。這意味著每個域有一個域管理員組26物理劃分物理劃分是指將森林中的域劃分為多個小域。多個小型域可以優(yōu)化復制過程，只需將復制對象放在最相關(guān)的位置.例如，在只有一個域的森林，森林中的每一個對象都需復制到森林中的每一個域控制器上。這樣有可能將一些很少用的對象復制到一些地方，而占用了寶貴的帶寬，例如，經(jīng)常登錄到總部的用戶不需將他們的賬戶復制到分支機構(gòu)。通過建立一個獨立的分支域可以避免一些復制流量。物理劃分物理劃分是指將森林中的域劃分為多個小域。多個小型域可27以單域為出發(fā)點用戶不必在域之間移動任何域控制器都可以處理用戶的認證請求不必在域之間建立GroupPolicy配置的再配置以單域為出發(fā)點用戶不必在域之間移動28單域的大小以下的表可以幫助設(shè)計一個單域環(huán)境能夠承受的最大用戶數(shù)：域控制器之間的最低有效帶寬(kbps)一個森林中不要超過的用戶數(shù)(users)創(chuàng)建子域不超過的用戶數(shù)(users)9.625,00015,00014.450,00015,00019.250,00025,00028.875,00040,00038.4100,00045,00056.0(andhigher)100,000100,000單域的大小以下的表可以幫助設(shè)計一個單域環(huán)境能夠承受的最大用戶29單域的大小以上的數(shù)字：以100,000用戶為邊界保守的估計10%的最小帶寬用來處理復制所有的DC都為GC新員工率為：20%離職員工率為：15%組中成員變化是復制中主要的流量用戶和計算機數(shù)目是1：1DNS是AD集成的DNS配置中有清除陳舊記錄單域的大小以上的數(shù)字：30單域的大小以上的數(shù)字：以100,000用戶為邊界保守的估計10%的最小帶寬用來處理復制所有的DC都為GC新員工率為：20%離職員工率為：15%組中成員變化是復制中主要的流量用戶和計算機數(shù)目是1：1DNS是AD集成的DNS配置中有清除陳舊記錄單域的大小以上的數(shù)字：31域模型設(shè)計：單域除森林根域之外，建立一個單域，所有用戶賬號在一個數(shù)據(jù)庫中。主要優(yōu)點：最簡單：簡化FSMO的管理、復制、備份、恢復、DNS等AD數(shù)據(jù)庫在各處都是用戶體驗的一致性，不管他在哪里辦公，登錄過程等都完全一致用戶很容易移動：在一個域內(nèi)的移動任務(wù)非常簡單減少硬件投資，為保持域的可靠性，每個域內(nèi)至少有兩臺域控制器，設(shè)計為單域，在各個分支機構(gòu)的域控制器數(shù)目可以只為一臺OU權(quán)限委派很容易：創(chuàng)建/修改/刪除的任務(wù)非常簡單硬件配置標準化，軟件配置標準化：在各處的域控制器配置完全一致精干的管理員組，對應(yīng)30*2個一般化的管理員應(yīng)用開發(fā)人員可以只和一個用戶庫綁定主要缺點：物理帶寬的保證：參照物理劃分的需要，50000用戶的最小帶寬是28.8K有效帶寬所有的數(shù)據(jù)在各處復制，小機構(gòu)可能不需要所有的數(shù)據(jù)。（從WAN復制的計算中可以看出這些復制量）共享的一些安全配置，如口令長度和復雜度每個分支機構(gòu)的實施過程，影響到網(wǎng)絡(luò)流量，每實施一個分支機構(gòu)，就增加了域控制器及AD中的數(shù)據(jù)對目錄單點的故障/有意破壞。減輕作法：對管理權(quán)力嚴格進行控制：包括域管理員的成員，各OU容器的管理員；和針對特定對象授權(quán)的恢復完成對域控制器物理上完全的權(quán)力減輕作法：由管理任務(wù)細化，不同任務(wù)交給不同管理員；每個服務(wù)單設(shè)管理員域模型設(shè)計：單域除森林根域之外，建立一個單域，所有用戶賬號在32域模型設(shè)計：雙域按南北兩個數(shù)據(jù)中心設(shè)定兩個域主要優(yōu)點：數(shù)據(jù)庫細化為兩個，減少了全網(wǎng)復制量符合網(wǎng)絡(luò)拓撲結(jié)構(gòu)總部集中管理模式下，只維護兩個域的管理任務(wù)精干的管理員組，對應(yīng)30*2個一般化的管理員用戶體驗在南方區(qū)和北方區(qū)的一致性人員變動時，用戶很容易在南方區(qū)、北方區(qū)內(nèi)部賬號遷移應(yīng)用開發(fā)人員可以只和兩個用戶庫綁定南方區(qū)和北方區(qū)各自的硬件配置標準化，軟件配置標準化缺點：每個分支機構(gòu)的實施過程，影響到網(wǎng)絡(luò)流量，每實施一個分支機構(gòu)，就增加了域控制器及AD中的數(shù)據(jù)影響DNS名字規(guī)劃所有的數(shù)據(jù)在各處復制，小機構(gòu)可能不需要所有的數(shù)據(jù)對目錄單點的故障/有意破壞。減輕作法：對管理權(quán)力嚴格進行控制：包括域管理員的成員，各OU容器的管理員；和針對特定對象授權(quán)的恢復完成對域控制器物理上完全的權(quán)力減輕作法：由管理任務(wù)細化，不同任務(wù)交給不同管理員；每個服務(wù)單設(shè)管理員域模型設(shè)計：雙域按南北兩個數(shù)據(jù)中心設(shè)定兩個域33總部域模型設(shè)計：大區(qū)域按地理位置的大區(qū)設(shè)置域主要優(yōu)點：數(shù)據(jù)庫一定程度細化主要缺點：網(wǎng)絡(luò)拓撲結(jié)構(gòu)并非按大區(qū)設(shè)定管理模式是否按大區(qū)設(shè)定管理模式可以收回總部域模型設(shè)計：大區(qū)域按地理位置的大區(qū)設(shè)置域34域模型設(shè)計：30+域總部和各個一級分支機構(gòu)，包括2個數(shù)據(jù)中心設(shè)置獨立的域（<35）二級分支機構(gòu)不設(shè)置域，需要檢查增加子域-帶寬考慮表，有所調(diào)整。主要優(yōu)點：數(shù)據(jù)庫細化每個分支機構(gòu)分布部署不會引起全網(wǎng)數(shù)據(jù)流量的突變支持未來管理模式變化為：各一級分支機構(gòu)獨立管理：服務(wù)和數(shù)據(jù)主要缺點：AD域數(shù)目過多：不符合推薦的域數(shù)目在10個以內(nèi)的模式域數(shù)目增多，重復的管理任務(wù)增多域級的安全策略域內(nèi)的組策略配置域內(nèi)第一級組織單元的建立硬件服務(wù)器數(shù)目增多，每個分支機構(gòu)的域中域控制器的數(shù)目不能少于2個，這要造成全網(wǎng)的硬件服務(wù)器數(shù)目大約為35*2在集中的管理模式下，總部服務(wù)管理要將所有域（<35）的權(quán)限收上來，做法需要維護一張管理員表，從已有AD客戶的使用來看，不方便和安全應(yīng)用開發(fā)人員可以只和一個用戶庫綁定，開發(fā)出目錄集成的應(yīng)用，而不用考慮利用GC全局編錄中的數(shù)據(jù)或從多個用戶庫搜索做成一系列重復串聯(lián)的工作域模型設(shè)計：30+域總部和各個一級分支機構(gòu)，包括2個數(shù)據(jù)中心35四種域模型的分析大區(qū)域模型是否符合當前管理模式和網(wǎng)絡(luò)結(jié)構(gòu)是一個主要考慮點。30+域模型：不符合推薦的域數(shù)目在10個以內(nèi)的模式，造成了管理過于復雜，用戶體驗的復雜；另外在一級分支機構(gòu)的硬件投資數(shù)目大約比單域和雙域要多一倍。對比單域和雙域模式，它的缺點比較明顯。雙域和單域模型的對比。這兩個模型比較相似。四種域模型的分析大區(qū)域模型是否符合當前管理模式和網(wǎng)絡(luò)結(jié)構(gòu)是一36雙域和單域模型的對比用戶數(shù)據(jù)庫分為一個與兩個復制拓撲結(jié)構(gòu)只與網(wǎng)絡(luò)拓撲結(jié)構(gòu)有關(guān)，雙域在目前網(wǎng)絡(luò)結(jié)構(gòu)環(huán)境中，可以減少全網(wǎng)復制量，優(yōu)化網(wǎng)絡(luò)帶寬的使用減少對目錄單點的故障/有意破壞：破壞一個目錄數(shù)據(jù)庫，影響面減少一半帶寬的保證：50000用戶的最小帶寬是28.8K有效帶寬，25000用戶在兩個子域中帶寬要求是19.2K有效帶寬。兩個域的帶寬比較有保證。對于數(shù)據(jù)庫大小的壓力：50000用戶的預(yù)估數(shù)據(jù)庫為654M，25000用戶的預(yù)估數(shù)據(jù)庫為344M(以上數(shù)據(jù)庫估計是按50000用戶數(shù)，50000W2K計算機，5000個組，500個OU，3000個打印機；25000用戶的情況是減半)域控制器的備份和恢復時間減少一半，從網(wǎng)絡(luò)上通過復制來恢復域控制器的可能性提高。300M的數(shù)據(jù)庫，在256K帶寬條件下，提升或恢復所需的時間約為1小時管理模式可以在日后方便地調(diào)整為：南方區(qū)和北方區(qū)；應(yīng)用開發(fā)人員考慮和兩個用戶庫綁定：開發(fā)出目錄集成的應(yīng)用，考慮利用GC全局編錄中的數(shù)據(jù)或從兩個用戶庫搜索做成一個重復串聯(lián)的工作域的合并不能進行，但域中用戶的遷移可以用工具作到。雙域和單域模型的對比用戶數(shù)據(jù)庫分為一個與兩個37管理模式管理模式38總部管理模式設(shè)計管理任務(wù)定義服務(wù)管理：AD中所有有關(guān)結(jié)構(gòu)的配置AD中所有有關(guān)機器的配置AD中所有有關(guān)權(quán)限的配置數(shù)據(jù)管理：目錄中對象的操作增、刪、移動：用戶，計算機組織單元中的策略控制服務(wù)器管理：硬件監(jiān)控、維護AD服務(wù)器備份最終用戶支持用戶登錄和SSO支持用戶桌面的支持總部管理模式設(shè)計管理任務(wù)定義39管理模式定義層次結(jié)構(gòu)總部AD管理：總部AD服務(wù)管理、總部數(shù)據(jù)管理，總部服務(wù)器管理一級分支機構(gòu)：一級分支機構(gòu)和下屬二級分支機構(gòu)的數(shù)據(jù)管理、服務(wù)器管理二級分支機構(gòu)：服務(wù)器的管理管理模式定義層次結(jié)構(gòu)40DNS設(shè)計DNS設(shè)計41DNS名字空間設(shè)計內(nèi)部辦公網(wǎng)絡(luò)的DNS名字的選擇可以有幾種：與Internet上的DNS名字相同繼承Internet名字空間.ra目前仍是DraftRFC“DNSTopLevelDomainforPrivate”完全的內(nèi)部名稱注意事項：避免兩個字節(jié)的根后綴，.XX;注意事項：避免YY.XXDNS名字空間設(shè)計內(nèi)部辦公網(wǎng)絡(luò)的DNS名字的選擇可以有幾42安全性的考慮：低安全性:與Internet完全DNS通訊定義正常的DNS名字解析方法用roothints指向InternetRootServers防火墻對任何源和目的地址開放53端口適度安全性：:與Internet之間有限的DNS通訊用forwarders指向內(nèi)部有限的幾臺DNS服務(wù)器在防火墻上，將這幾臺DNS服務(wù)器與外部DNS服務(wù)器的通訊打開(允許端口53在有限的源和目的地址之間通訊)外部DNS可以連接到InternetRootServers最安全：與Internet之間沒有DNS通訊定義內(nèi)部的rootserver控制內(nèi)部的名字區(qū)域用代理服務(wù)器和網(wǎng)關(guān)來保證客戶端訪問InternetDNS通訊設(shè)計選擇：最安全的方式，即定義內(nèi)部的DNSroot,控制內(nèi)部的名字區(qū)域；客戶端訪問Internet采用代理服務(wù)器和網(wǎng)關(guān)的做法。安全性的考慮：低安全性:43DNS服務(wù)器的位置和復制作法設(shè)計選擇：DNS服務(wù)配置在域控制器上，有些域控制器并不需要安裝DNS服務(wù)，具體配置參見服務(wù)器設(shè)計。DNS區(qū)域都配置為AD集成的DNS區(qū)域，利用目錄服務(wù)的復制拓撲和復制周期實現(xiàn)DNS區(qū)域記錄的復制；利用動態(tài)更新的功能DNS服務(wù)器的位置和復制作法設(shè)計選擇：DNS服務(wù)配置在域控44OUOU45OU的作用劃分管理任務(wù)用來配置組策略用來隱藏一些對象OU的作用劃分管理任務(wù)46活動目錄概述及設(shè)計課件47SiteSite48Site概念在目錄服務(wù)的術(shù)語中，一個Site是指一些連接很好的網(wǎng)絡(luò)服務(wù)客戶請求.當客戶從域控制器請求服務(wù)時，例如用戶認證，目錄服務(wù)確定用戶所在的Site，直接將請求交給與用戶在同一個Site的域控制器。選擇離用戶群最近的域控制器可以有效地對用戶進行回應(yīng)。優(yōu)化復制.Sites控制目錄復制的信息流量。目錄復制在Site內(nèi)部比在Site之間更頻繁，而且Site之間的復制是壓縮的（壓縮比為5-10）一個設(shè)計很好的Site拓撲結(jié)構(gòu)可以保證網(wǎng)絡(luò)帶寬不至于因目錄復制信息而飽和，而且，目錄信息能夠保證更新，客戶端機器能夠訪問到最近的資源Site概念在目錄服務(wù)的術(shù)語中，一個Site是指一些連接很49Site概念SiteLink目錄服務(wù)復制可以通過配置Site之間連接器來進行控制，即配置SiteLinks：連接的成本和復制周期。目錄服務(wù)利用SiteLinks這些配置信息來確定在域控制器之間最有效的目錄復制連接連接對象連接對象定義了目錄復制的源、目的以及時間周期的安排。缺省情況下，由目錄系統(tǒng)中的KCC根據(jù)管理員配置的Site和SiteLink信息自動創(chuàng)建連接對象。管理員可以改動KCC創(chuàng)建的連接對象，也可以手工配置連接對象Site概念SiteLink50Site設(shè)計客戶端登錄的反應(yīng)時間目錄服務(wù)復制的冗余網(wǎng)絡(luò)帶寬的優(yōu)化Site設(shè)計客戶端登錄的反應(yīng)時間51Site的劃分不存在域控制器的地方，不必劃Site；域控制器的放置在目前的原則是一級分支機構(gòu)放置域控制器以用于用戶登錄二級分支機構(gòu)根據(jù)網(wǎng)絡(luò)有效帶寬是否能夠滿足用戶登錄需要來放置；如果不放置域控制器，用戶登錄需要通過廣域網(wǎng)，每個用戶登錄所需的時間由登錄流量和網(wǎng)絡(luò)帶寬來決定Site的劃分不存在域控制器的地方，不必劃Site；域控制器52Site設(shè)計Site設(shè)計53復制量計算復制量計算54目錄數(shù)據(jù)庫的大小目錄數(shù)據(jù)庫的大?。喊?5000用戶，w2k計算機25000個，打印機3000個，大組500個，中組2000個，小組2000個，500個OU考慮，每個數(shù)據(jù)庫是344MGC的大?。簽?20M目錄數(shù)據(jù)庫的大小目錄數(shù)據(jù)庫的大小：55SiteLink開銷值有效帶寬(kilobits/second) Cost9.6 104219.2 79838.4 64456 58664 567128 486256 425512 3781024 3402048 3094096 283SiteLink開銷值有效帶寬(kilobits/sec56SiteLink復制日程安排定義一個復制日程安排：定義復制窗口為全周、全天開放除上班的高峰時間：08：00–11：003小時和14：00–17：003小時SiteLink復制日程安排定義一個復制日程安排：57SiteLink副本復制頻率在復制窗口18個小時中：從橋頭堡到分支機構(gòu)的復制為2次，各6小時從分支機構(gòu)到橋頭堡的復制為2次，各3小時SiteLink副本復制頻率在復制窗口18個小時中：58確定復制時間表滿足的條件是：只能有4個二級分支機構(gòu)同時進行復制，即同時使用一級分支機構(gòu)的線路進行復制在Inbound階段：各分支機構(gòu)將本地的變化傳遞到橋頭堡服務(wù)器在Outbound階段：橋頭堡服務(wù)器將所有發(fā)生的變化傳遞到各分支機構(gòu)根據(jù)以上時間表：各分支機構(gòu)每天的目錄變化，第二天能夠總部復制確定復制時間表滿足的條件是：只能有4個二級分支機構(gòu)同時進行復59各個橋頭堡上的復制周期配置各個橋頭堡上的復制周期配置60冗余的考慮冗余的考慮61服務(wù)器服務(wù)器62概念域控制器域控制器是使用ActiveDirectory安裝向?qū)渲玫倪\行Windows2000Server的計算機。ActiveDirectory安裝向?qū)О惭b和配置為網(wǎng)絡(luò)用戶和計算機提供ActiveDirectory目錄服務(wù)的組件。域控制器存儲著目錄數(shù)據(jù)并管理用戶域的交互，其中包括用戶登錄過程、身份驗證和目錄搜索。橋頭堡數(shù)據(jù)中心的域控制器有一種角色是負責與大量的分支機構(gòu)域控制器進行，維持復制拓撲結(jié)構(gòu)，保證目錄信息的及時更新和準確度全局編錄：GC森林中的一臺或多臺域控制器可以作全局編錄GC。存儲著其所在域的目錄中所有對象的全部副本及森林中每個其他域的目錄所包含的所有對象的部分副本。因為副本存儲著森林中每個對象的部分而非全部的屬性值，所以這只是一部分。全局編錄發(fā)揮兩個重要目錄的作用：啟動登錄過程時，它通過將全局組成員信息提供給域控制器來啟用網(wǎng)絡(luò)登錄。它允許查找目錄信息，而不管樹林中的哪個域?qū)嶋H包含這些數(shù)據(jù)。客戶端登錄到網(wǎng)絡(luò)時，需要聯(lián)系全局編錄，所以在設(shè)計中需要考慮全局編錄的位置。概念域控制器63操作主機：FSMO在森林中DC是平等的多主復制關(guān)系，但在森林中還有一些特殊職責，只有一臺DC擔當，我們稱之為操作主機。在操作主機中分為森林級和域級，森林級指在整個森林中只有一臺DC擔當此職責，域級指在域中只有一臺DC擔當此職責。每個森林只能有一個schemamaster和一個domainnamingmaster：SchemaMaster控制對于Schema的更新和修改。更改Schema必須在SchemaMaster上。任何時候，森林中只能有一臺SchemaMasterDomainnamingmaster在森林中控制域的增、刪。任何時候整個森林只能有一臺Domainnamingmaster每個域都必須而且只能有一個以下角色：相對ID主機(RelativeIDmaster)：相對ID主機將系列相對ID分配給域中每個不同的域控制器PDC仿真程序(Primarydomaincontrolleremulator)：接收由域中其他域控制器執(zhí)行的密碼更改的優(yōu)先復制。如果密碼最近被更改，則需要花費一定時間將此次更改復制到域中的每個域控制器。如果登錄驗證由于密碼錯誤而在另一個域控制器中執(zhí)行失敗，則該域控制器將在拒絕登錄嘗試前將驗證請求轉(zhuǎn)發(fā)給PDC仿真程序基礎(chǔ)主機(Infrastructuremaster):基礎(chǔ)主機負責在重新命名或更改組成員時更新“組到用戶”的引用操作主機：FSMO在森林中DC是平等的多主復制關(guān)系，但在森林64放置原則域控制器的放置在目前的原則是：總部數(shù)據(jù)中心一級分支機構(gòu)放置域控制器以用于用戶登錄二級分支機構(gòu)根據(jù)網(wǎng)絡(luò)有效帶寬是否能夠滿足用戶登錄需要來放置；如果不放置域控制器，用戶登錄需要通過廣域網(wǎng)，每個用戶登錄所需的時間由登錄流量和網(wǎng)絡(luò)帶寬來決定；如果不放置域控制器，使用所屬一級分支機構(gòu)的域控制器。放置原則域控制器的放置在目前的原則是：65GC放置森林根域中有一臺GC數(shù)據(jù)中心：HUB機器為GC因為用戶登錄需要GC,所以設(shè)計離用戶近的域控制器作為GCGC會引起復制流量的增加，在正常運行過程中，采用增量增加的方法。在Site設(shè)計文檔中，會計算GC引起的流量GC放置森林根域中有一臺GC66FSMO角色的位置FSMO角色的位置：森林級角色在總部的森林根中：共有3臺機器數(shù)據(jù)中心：各有2臺機器FSMO角色的位置FSMO角色的位置：67服務(wù)器機器類型根據(jù)標準化硬件/軟件的原則，機器類型分為三類：A

：森林根域單PIII800xeonCPU512M內(nèi)存1megabytes(MB)ofL2cacheB：北方域和南方域的機器類型一致雙PIII800xeonCPU1GB內(nèi)存2megabytes(MB)ofL2cacheC

：橋頭堡服務(wù)器和PDCEmulator四PIII800xeonCPU2GB內(nèi)存2megabytes(MB)ofL2cache服務(wù)器機器類型根據(jù)標準化硬件/軟件的原則，機器類型分為三類：68服務(wù)器硬盤規(guī)則目錄服務(wù)數(shù)據(jù)庫存儲需要：25000*0.4G/1000=10GGC的存儲為：10G+10G/2=15G物理硬盤0–由兩塊30G硬盤配制成RAID1，劃分為兩個邏輯分區(qū)(C:和F：)，NTFS文件系統(tǒng) C:(系統(tǒng)服務(wù),DNSWINSservices)：10G 系統(tǒng)文件-C:\WINNT Pagefile F：(目錄服務(wù)的日志和DHCP的日志)：20G 目錄服務(wù)的日志-F:\NTDS.log物理硬盤1–由三塊30G的硬盤配置為RAID5，劃分為兩個邏輯分區(qū)(D:和P：)，NTFS文件系統(tǒng)P盤：目錄使用，20G 目錄服務(wù)的數(shù)據(jù)庫文件-P:\NTDS SystemVolume文件-P:\SYSVOLD盤：文件共享用，40G服務(wù)器硬盤規(guī)則目錄服務(wù)數(shù)據(jù)庫存儲需要：25000*0.4G/69服務(wù)器容量和數(shù)量森林根域：三臺A類型的服務(wù)器用戶數(shù)在1000以下的機構(gòu)：一臺B類型的服務(wù)器用戶數(shù)在1000以上的機構(gòu)：兩臺C類型的服務(wù)器PDCEmulator各自是一臺單任務(wù)的機器，它們的硬件配置為C類型的服務(wù)器橋頭堡服務(wù)器：一臺C類型的服務(wù)器服務(wù)器容量和數(shù)量森林根域：三臺A類型的服務(wù)器70服務(wù)器數(shù)目建議是否在本地放置域控制器，取決于廣域網(wǎng)是否支持用戶使用遠程服務(wù)器以及目錄服務(wù)本身承載并發(fā)的能力。網(wǎng)絡(luò)流量是關(guān)鍵瓶頸，其他資源如CPU/內(nèi)存/硬盤等情況忽略不討論服務(wù)器數(shù)目建議是否在本地放置域控制器，取決于廣域網(wǎng)是否支持用71其他信息其他信息72市場份額Source:Gigatel2000市場份額Source:Gigatel200073國際客戶國際客戶74國際客戶最大的實施目前是：AnthemBlueCrossBlueShield8,000,000GeneralElectricSun/iPlanetplansscrapped,GEtorolloutMSActiveDirectoryandExchange2000to400Kusers國際客戶最大的實施目前是：75成功案例(1)公司名稱客戶端數(shù)目GE400,000USAirForce300,000Citibank250,000+USArmy200,000SIEMENS360,000BoeingCompany150,000Compaq105,000LockheedMartinCorp.100,000USNavy198,000EDS100,000EricssonInc.105,000FordMotorCompany180,000BritishTelecom76,000MerrillLynchCo.70,000VolkswagenAG70,000成功案例(1)公司名稱客戶端數(shù)目GE400,000USAi76成功案例(2)公司名稱客戶端數(shù)目Nortel85,000GermanTelekom150,000LucentTechnologies105,800Motorola77,000DowChemicals50,000Xerox70,000Cisco40,000KPMG80,000WellsFargoBank70,000RoyalBank40,000TimeWarnerInc.40,000BankofAmerica50,000Intel71,000AT&T98,800成功案例(2)公司名稱客戶端數(shù)目Nortel85,000G77國內(nèi)客戶國內(nèi)客戶78部分客戶鐵道部中國海關(guān)中國石油工商銀行工商管理局中國聯(lián)通部分客戶鐵道部79國內(nèi)客戶中國網(wǎng)通快速部署和實施5.1期間從NT40平臺升級到Windows2000目錄系統(tǒng)服務(wù)器集中模式Windows2000桌面靈活控制安全控制制度角度打印定位功能國內(nèi)客戶中國網(wǎng)通80國內(nèi)客戶中國工商銀行Intranet建設(shè)-目錄服務(wù)的目標為：辦公網(wǎng)域名解析體系靈活管理的目錄架構(gòu)目錄服務(wù)建設(shè)為用戶管理和桌面管理實現(xiàn)了中心管理和分布管理的平臺。辦公應(yīng)用SingleSignOn的目錄平臺桌面標準化標準化辦工網(wǎng)用戶桌面環(huán)境.國內(nèi)客戶中國工商銀行81中國海關(guān)3套目錄體系目錄設(shè)計過程授權(quán)中心企業(yè)應(yīng)用系統(tǒng)的門戶站點企業(yè)應(yīng)用系統(tǒng)的授權(quán)管理中國海關(guān)3套目錄體系82目錄服務(wù)目錄服務(wù)83什麼是活動目錄？ActiveDirectory,AD活動目錄是Windows2000Server提供的重要服務(wù)管理中心：網(wǎng)絡(luò)元素(用戶，應(yīng)用，設(shè)備等)安全中心:身份認證授權(quán)中心桌面管理和控制開放的平臺：應(yīng)用的開發(fā)，與其他系統(tǒng)集成什麼是活動目錄？ActiveDirectory,AD84目錄服務(wù)綜述目錄服務(wù)綜述85實施AD帶來的收益實體管理的平臺用戶身份管理：每個員工訪問辦工網(wǎng)時出示唯一的一個ID標識管理任務(wù)：開戶，銷戶，禁用賬號安全的認證方式：Kerberos;事實上的業(yè)屆標準集中的計算機桌面管理：Windows2000桌面版：通過組策略集中的安全控制中心：通過組策略對于W2KServer,W2KPro實施AD帶來的收益實體管理的平臺86實施AD帶來的收益應(yīng)用開發(fā)系統(tǒng)將用戶身份認證交給AD企業(yè)內(nèi)部一套用戶數(shù)據(jù)庫：用戶信息準確降低管理成本更能關(guān)注本應(yīng)用本身的業(yè)務(wù)邏輯減少工作量更安全用戶使用的便利：只需記住一套用戶名/口令應(yīng)用策略應(yīng)用發(fā)布實施AD帶來的收益應(yīng)用開發(fā)系統(tǒng)將用戶身份認證交給AD87實施AD帶來的收益輔助其它網(wǎng)絡(luò)應(yīng)用的分布式實現(xiàn)AD集成的DNSAD集成的DFS(分布式文件系統(tǒng))打印服務(wù)的定位：搜索打印機的位置MSMQExchange2000CAService實施AD帶來的收益輔助其它網(wǎng)絡(luò)應(yīng)用的分布式實現(xiàn)88實施AD帶來的收益構(gòu)建一個企業(yè)目錄系統(tǒng)的基礎(chǔ)從用戶管理到各種其他實體的管理：計算機，網(wǎng)絡(luò)設(shè)備，應(yīng)用程序Ecommerce應(yīng)用Extranet應(yīng)用實施AD帶來的收益構(gòu)建一個企業(yè)目錄系統(tǒng)的基礎(chǔ)89AD項目過程現(xiàn)狀分析-〉需求分析-〉設(shè)計-〉測試-〉試點-〉大規(guī)模實施-〉穩(wěn)定階段AD項目過程現(xiàn)狀分析-〉90現(xiàn)狀分析現(xiàn)狀分析91需求分析需求分析92設(shè)計設(shè)計93設(shè)計原則簡單是最好的投資您的業(yè)務(wù)和單位會不斷變化理想設(shè)計的目標研究設(shè)計替代的方案設(shè)計原則簡單是最好的投資94活動目錄的邏輯元素活動目錄的邏輯元素95活動目錄的物理元素活動目錄的物理元素96森林森林97森林森林是域的集合，是一套目錄系統(tǒng)的邊界。森林有兩種主要用途：簡化用戶與目錄的交互過程和簡化對多個域的管理。森林有這樣一些特征：共享一套Schema(定義AD中對象的類型和相應(yīng)對象的屬性)共享一套Configuration(如Domain,Site,SiteLink信息)共享一套GlobalCatalog(GC,全局編錄)用戶搜索GlobalCatalog用戶用UPN名登錄(a@)森林中的域之間互相信任森林森林是域的集合，是一套目錄系統(tǒng)的邊界。森林有兩種主要用途98森林建立多個森林的理由為：不能信任其他的管理員不能就Forest變化策略達成一致Schema變化,Configuration變化,添加新域?qū)φ麄€Forest帶來的影響。共同決定Schemaadministrators,enterpriseadministrators的成員多個Forest帶來的不好影響：增加管理費用域數(shù)目增多；各個森林分別管理森林級的服務(wù)手工管理和維護森林之間的信任關(guān)系有一些功能在多Forest的環(huán)境中失效UPNlogon(如huangsy@)森林建立多個森林的理由為：99Forest設(shè)計選擇單一Forest兩個Forest主要優(yōu)點：兩個森林完全的管理邊界，提供了完全的自治，雙方擁有各自獨立的Schemas，各自獨立的全局編錄,各自管理自己的森林級管理任務(wù)（Schema,Enterprise）應(yīng)用開發(fā)的便利：獨立控制自己森林中的Schema，有利于目錄集成的應(yīng)用開發(fā)，擴展本森林的Schema不必影響其他森林的Schema。目錄集成應(yīng)用項目的研究：作為一個獨立的測試和試運行環(huán)境獨立的全局編錄：外來人員很多，人員流動大，經(jīng)常會建立臨時賬號，將森林獨立出來有一套獨立的全局編錄，可以不影響人員相對固定的其他森林主要缺點：額外的森林根硬件(2-3臺)額外的森林級管理任務(wù)有資源共享需要時，手工維護信任關(guān)系現(xiàn)階段不可以合并，域在森林之間不可以移動，用戶可以在森林之間用工具移動Forest設(shè)計選擇單一Forest100森林根域森林中的根域是在森林中創(chuàng)建的第一個域，森林的名字就是這個域的名字。有兩個森林級的組enterpriseadministrators和schemaadministrators就存在這個域中，他們的成員由森林根域的DomainAdmin決定的。無法重新安裝森林的根域。如果森林根域的所有域控制器在一次災(zāi)難性事故中喪失，而且一個或多個域控制器無法從備份恢復，將永久喪失enterpriseadministrators和schemaadministrators組，造成災(zāi)難性事故，整個森林將面臨重建。森林根域森林中的根域是在森林中創(chuàng)建的第一個域，森林的名字就是101森林根域在森林根域中，有兩個森林級的操作主機（FSMO）角色：SchemaMaster和DomainNamingMaster。SchemaMaster控制對于Schema的更新和修改,更改Schema必須在SchemaMaster上。任何時候，森林中只能有一臺SchemaMasterDomainNamingMaster在森林中控制域的增、刪。任何時候整個森林只能有一臺Domainnamingmaster森林根域在森林根域中，有兩個森林級的操作主機（FSMO）角色102森林根域建議建立一個專職，小的森林根，森林根不可以改名，改變或刪除創(chuàng)建一個額外的專有的域作為森林中的根域可以有以下的一些好處：森林根域中的域管理員可以管理enterpriseadministrators和schemaadministratorsgroups的成員。這兩個管理員組中的成員可以控制整個森林的結(jié)構(gòu)，例如增減域都需要enterpriseadministrators組中的成員許可；以及整個森林中的Schema變化。因為這個域很小，它可以很容易復制，所以可以避免森林中心的大災(zāi)難。因為這個域的唯一職責是作為森林的根，這個域?qū)聿粫鲝U。將森林根域與工作域化開，可以在工作域?qū)聿恍枰獣r，將它刪除，而森林根域會一直保留，不會在工作域改變時受到影響。森林根域建議建立一個專職，小的森林根，森林根不可以改名，改變103森林根域根域設(shè)計選擇建立一個由3臺機器組成的森林根，只作森林級管理任務(wù)。此森林根域為本機模式。森林根域根域設(shè)計選擇104域域105域的作用認證（Kerberos）策略管理賬戶的安全策略PasswordpolicyAccountlockoutpolicyKerberos

ticketpolicy共享資源的發(fā)布文件共享打印機域的作用認證（Kerberos）106域設(shè)計在Windows2000設(shè)計原則中來自實際的經(jīng)驗是，盡量減少域的數(shù)目，保持域結(jié)構(gòu)的簡單化。有三種可能的原因增加新的域：保留已有的WindowsNT域結(jié)構(gòu)管理任務(wù)的劃分物理劃分整個森林中域數(shù)目建議不要超過10個域設(shè)計在Windows2000設(shè)計原則中來自實際的經(jīng)驗是，107管理的邊界域是管理任務(wù)的邊界。這意味著每個域有一個域管理員組，域管理員對域中的每一個對象都有完全的管理權(quán)力。這些管理權(quán)力只在本域擁有，不會跨越到其他域。通過將各個域的管理員賬號/口令收集到總部，也可以實現(xiàn)將不同域的管理任務(wù)集中到總部，這是一種變通的做法。在組織中，對安全策略的需求。有一些安全策略是實施在域用戶上，只能基于每個域來設(shè)定：口令策略，如口令長度等賬戶鎖定策略，用來定義對待猜測口令的入侵者，口令數(shù)次失敗后將賬戶鎖定Kerberos

票據(jù)策略.定義Kerberos票據(jù)的生命周期.一張Kerberos票據(jù)是在登錄過程中獲得的，用來進行網(wǎng)絡(luò)認證。一張票據(jù)只在策略中規(guī)定的生命周期時間內(nèi)存活。當票據(jù)過期后，系統(tǒng)自動去申請另一張新的票據(jù).如果組織中對這些策略不能達成一致，那末只能分為幾個域。管理的邊界域是管理任務(wù)的邊界。這意味著每個域有一個域管理員組108物理劃分物理劃分是指將森林中的域劃分為多個小域。多個小型域可以優(yōu)化復制過程，只需將復制對象放在最相關(guān)的位置.例如，在只有一個域的森林，森林中的每一個對象都需復制到森林中的每一個域控制器上。這樣有可能將一些很少用的對象復制到一些地方，而占用了寶貴的帶寬，例如，經(jīng)常登錄到總部的用戶不需將他們的賬戶復制到分支機構(gòu)。通過建立一個獨立的分支域可以避免一些復制流量。物理劃分物理劃分是指將森林中的域劃分為多個小域。多個小型域可109以單域為出發(fā)點用戶不必在域之間移動任何域控制器都可以處理用戶的認證請求不必在域之間建立GroupPolicy配置的再配置以單域為出發(fā)點用戶不必在域之間移動110單域的大小以下的表可以幫助設(shè)計一個單域環(huán)境能夠承受的最大用戶數(shù)：域控制器之間的最低有效帶寬(kbps)一個森林中不要超過的用戶數(shù)(users)創(chuàng)建子域不超過的用戶數(shù)(users)9.625,00015,00014.450,00015,00019.250,00025,00028.875,00040,00038.4100,00045,00056.0(andhigher)100,000100,000單域的大小以下的表可以幫助設(shè)計一個單域環(huán)境能夠承受的最大用戶111單域的大小以上的數(shù)字：以100,000用戶為邊界保守的估計10%的最小帶寬用來處理復制所有的DC都為GC新員工率為：20%離職員工率為：15%組中成員變化是復制中主要的流量用戶和計算機數(shù)目是1：1DNS是AD集成的DNS配置中有清除陳舊記錄單域的大小以上的數(shù)字：112單域的大小以上的數(shù)字：以100,000用戶為邊界保守的估計10%的最小帶寬用來處理復制所有的DC都為GC新員工率為：20%離職員工率為：15%組中成員變化是復制中主要的流量用戶和計算機數(shù)目是1：1DNS是AD集成的DNS配置中有清除陳舊記錄單域的大小以上的數(shù)字：113域模型設(shè)計：單域除森林根域之外，建立一個單域，所有用戶賬號在一個數(shù)據(jù)庫中。主要優(yōu)點：最簡單：簡化FSMO的管理、復制、備份、恢復、DNS等AD數(shù)據(jù)庫在各處都是用戶體驗的一致性，不管他在哪里辦公，登錄過程等都完全一致用戶很容易移動：在一個域內(nèi)的移動任務(wù)非常簡單減少硬件投資，為保持域的可靠性，每個域內(nèi)至少有兩臺域控制器，設(shè)計為單域，在各個分支機構(gòu)的域控制器數(shù)目可以只為一臺OU權(quán)限委派很容易：創(chuàng)建/修改/刪除的任務(wù)非常簡單硬件配置標準化，軟件配置標準化：在各處的域控制器配置完全一致精干的管理員組，對應(yīng)30*2個一般化的管理員應(yīng)用開發(fā)人員可以只和一個用戶庫綁定主要缺點：物理帶寬的保證：參照物理劃分的需要，50000用戶的最小帶寬是28.8K有效帶寬所有的數(shù)據(jù)在各處復制，小機構(gòu)可能不需要所有的數(shù)據(jù)。（從WAN復制的計算中可以看出這些復制量）共享的一些安全配置，如口令長度和復雜度每個分支機構(gòu)的實施過程，影響到網(wǎng)絡(luò)流量，每實施一個分支機構(gòu)，就增加了域控制器及AD中的數(shù)據(jù)對目錄單點的故障/有意破壞。減輕作法：對管理權(quán)力嚴格進行控制：包括域管理員的成員，各OU容器的管理員；和針對特定對象授權(quán)的恢復完成對域控制器物理上完全的權(quán)力減輕作法：由管理任務(wù)細化，不同任務(wù)交給不同管理員；每個服務(wù)單設(shè)管理員域模型設(shè)計：單域除森林根域之外，建立一個單域，所有用戶賬號在114域模型設(shè)計：雙域按南北兩個數(shù)據(jù)中心設(shè)定兩個域主要優(yōu)點：數(shù)據(jù)庫細化為兩個，減少了全網(wǎng)復制量符合網(wǎng)絡(luò)拓撲結(jié)構(gòu)總部集中管理模式下，只維護兩個域的管理任務(wù)精干的管理員組，對應(yīng)30*2個一般化的管理員用戶體驗在南方區(qū)和北方區(qū)的一致性人員變動時，用戶很容易在南方區(qū)、北方區(qū)內(nèi)部賬號遷移應(yīng)用開發(fā)人員可以只和兩個用戶庫綁定南方區(qū)和北方區(qū)各自的硬件配置標準化，軟件配置標準化缺點：每個分支機構(gòu)的實施過程，影響到網(wǎng)絡(luò)流量，每實施一個分支機構(gòu)，就增加了域控制器及AD中的數(shù)據(jù)影響DNS名字規(guī)劃所有的數(shù)據(jù)在各處復制，小機構(gòu)可能不需要所有的數(shù)據(jù)對目錄單點的故障/有意破壞。減輕作法：對管理權(quán)力嚴格進行控制：包括域管理員的成員，各OU容器的管理員；和針對特定對象授權(quán)的恢復完成對域控制器物理上完全的權(quán)力減輕作法：由管理任務(wù)細化，不同任務(wù)交給不同管理員；每個服務(wù)單設(shè)管理員域模型設(shè)計：雙域按南北兩個數(shù)據(jù)中心設(shè)定兩個域115總部域模型設(shè)計：大區(qū)域按地理位置的大區(qū)設(shè)置域主要優(yōu)點：數(shù)據(jù)庫一定程度細化主要缺點：網(wǎng)絡(luò)拓撲結(jié)構(gòu)并非按大區(qū)設(shè)定管理模式是否按大區(qū)設(shè)定管理模式可以收回總部域模型設(shè)計：大區(qū)域按地理位置的大區(qū)設(shè)置域116域模型設(shè)計：30+域總部和各個一級分支機構(gòu)，包括2個數(shù)據(jù)中心設(shè)置獨立的域（<35）二級分支機構(gòu)不設(shè)置域，需要檢查增加子域-帶寬考慮表，有所調(diào)整。主要優(yōu)點：數(shù)據(jù)庫細化每個分支機構(gòu)分布部署不會引起全網(wǎng)數(shù)據(jù)流量的突變支持未來管理模式變化為：各一級分支機構(gòu)獨立管理：服務(wù)和數(shù)據(jù)主要缺點：AD域數(shù)目過多：不符合推薦的域數(shù)目在10個以內(nèi)的模式域數(shù)目增多，重復的管理任務(wù)增多域級的安全策略域內(nèi)的組策略配置域內(nèi)第一級組織單元的建立硬件服務(wù)器數(shù)目增多，每個分支機構(gòu)的域中域控制器的數(shù)目不能少于2個，這要造成全網(wǎng)的硬件服務(wù)器數(shù)目大約為35*2在集中的管理模式下，總部服務(wù)管理要將所有域（<35）的權(quán)限收上來，做法需要維護一張管理員表，從已有AD客戶的使用來看，不方便和安全應(yīng)用開發(fā)人員可以只和一個用戶庫綁定，開發(fā)出目錄集成的應(yīng)用，而不用考慮利用GC全局編錄中的數(shù)據(jù)或從多個用戶庫搜索做成一系列重復串聯(lián)的工作域模型設(shè)計：30+域總部和各個一級分支機構(gòu)，包括2個數(shù)據(jù)中心117四種域模型的分析大區(qū)域模型是否符合當前管理模式和網(wǎng)絡(luò)結(jié)構(gòu)是一個主要考慮點。30+域模型：不符合推薦的域數(shù)目在10個以內(nèi)的模式，造成了管理過于復雜，用戶體驗的復雜；另外在一級分支機構(gòu)的硬件投資數(shù)目大約比單域和雙域要多一倍。對比單域和雙域模式，它的缺點比較明顯。雙域和單域模型的對比。這兩個模型比較相似。四種域模型的分析大區(qū)域模型是否符合當前管理模式和網(wǎng)絡(luò)結(jié)構(gòu)是一118雙域和單域模型的對比用戶數(shù)據(jù)庫分為一個與兩個復制拓撲結(jié)構(gòu)只與網(wǎng)絡(luò)拓撲結(jié)構(gòu)有關(guān)，雙域在目前網(wǎng)絡(luò)結(jié)構(gòu)環(huán)境中，可以減少全網(wǎng)復制量，優(yōu)化網(wǎng)絡(luò)帶寬的使用減少對目錄單點的故障/有意破壞：破壞一個目錄數(shù)據(jù)庫，影響面減少一半帶寬的保證：50000用戶的最小帶寬是28.8K有效帶寬，25000用戶在兩個子域中帶寬要求是19.2K有效帶寬。兩個域的帶寬比較有保證。對于數(shù)據(jù)庫大小的壓力：50000用戶的預(yù)估數(shù)據(jù)庫為654M，25000用戶的預(yù)估數(shù)據(jù)庫為344M(以上數(shù)據(jù)庫估計是按50000用戶數(shù)，50000W2K計算機，5000個組，500個OU，3000個打印機；25000用戶的情況是減半)域控制器的備份和恢復時間減少一半，從網(wǎng)絡(luò)上通過復制來恢復域控制器的可能性提高。300M的數(shù)據(jù)庫，在256K帶寬條件下，提升或恢復所需的時間約為1小時管理模式可以在日后方便地調(diào)整為：南方區(qū)和北方區(qū)；應(yīng)用開發(fā)人員考慮和兩個用戶庫綁定：開發(fā)出目錄集成的應(yīng)用，考慮利用GC全局編錄中的數(shù)據(jù)或從兩個用戶庫搜索做成一個重復串聯(lián)的工作域的合并不能進行，但域中用戶的遷移可以用工具作到。雙域和單域模型的對比用戶數(shù)據(jù)庫分為一個與兩個119管理模式管理模式120總部管理模式設(shè)計管理任務(wù)定義服務(wù)管理：AD中所有有關(guān)結(jié)構(gòu)的配置AD中所有有關(guān)機器的配置AD中所有有關(guān)權(quán)限的配置數(shù)據(jù)管理：目錄中對象的操作增、刪、移動：用戶，計算機組織單元中的策略控制服務(wù)器管理：硬件監(jiān)控、維護AD服務(wù)器備份最終用戶支持用戶登錄和SSO支持用戶桌面的支持總部管理模式設(shè)計管理任務(wù)定義121管理模式定義層次結(jié)構(gòu)總部AD管理：總部AD服務(wù)管理、總部數(shù)據(jù)管理，總部服務(wù)器管理一級分支機構(gòu)：一級分支機構(gòu)和下屬二級分支機構(gòu)的數(shù)據(jù)管理、服務(wù)器管理二級分支機構(gòu)：服務(wù)器的管理管理模式定義層次結(jié)構(gòu)122DNS設(shè)計DNS設(shè)計123DNS名字空間設(shè)計內(nèi)部辦公網(wǎng)絡(luò)的DNS名字的選擇可以有幾種：與Internet上的DNS名字相同繼承Internet名字空間.ra目前仍是DraftRFC“DNSTopLevelDomainforPrivate”完全的內(nèi)部名稱注意事項：避免兩個字節(jié)的根后綴，.XX;注意事項：避免YY.XXDNS名字空間設(shè)計內(nèi)部辦公網(wǎng)絡(luò)的DNS名字的選擇可以有幾124安全性的考慮：低安全性:與Internet完全DNS通訊定義正常的DNS名字解析方法用roothints指向InternetRootServers防火墻對任何源和目的地址開放53端口適度安全性：:與Internet之間有限的DNS通訊用forwarders指向內(nèi)部有限的幾臺DNS服務(wù)器在防火墻上，將這幾臺DNS服務(wù)器與外部DNS服務(wù)器的通訊打開(允許端口53在有限的源和目的地址之間通訊)外部DNS可以連接到InternetRootServers最安全：與Internet之間沒有DNS通訊定義內(nèi)部的rootserver控制內(nèi)部的名字區(qū)域用代理服務(wù)器和網(wǎng)關(guān)來保證客戶端訪問InternetDNS通訊設(shè)計選擇：最安全的方式，即定義內(nèi)部的DNSroot,控制內(nèi)部的名字區(qū)域；客戶端訪問Internet采用代理服務(wù)器和網(wǎng)關(guān)的做法。安全性的考慮：低安全性:125DNS服務(wù)器的位置和復制作法設(shè)計選擇：DNS服務(wù)配置在域控制器上，有些域控制器并不需要安裝DNS服務(wù)，具體配置參見服務(wù)器設(shè)計。DNS區(qū)域都配置為AD集成的DNS區(qū)域，利用目錄服務(wù)的復制拓撲和復制周期實現(xiàn)DNS區(qū)域記錄的復制；利用動態(tài)更新的功能DNS服務(wù)器的位置和復制作法設(shè)計選擇：DNS服務(wù)配置在域控126OUOU127OU的作用劃分管理任務(wù)用來配置組策略用來隱藏一些對象OU的作用劃分管理任務(wù)128活動目錄概述及設(shè)計課件129SiteSite130Site概念在目錄服務(wù)的術(shù)語中，一個Site是指一些連接很好的網(wǎng)絡(luò)服務(wù)客戶請求.當客戶從域控制器請求服務(wù)時，例如用戶認證，目錄服務(wù)確定用戶所在的Site，直接將請求交給與用戶在同一個Site的域控制器。選擇離用戶群最近的域控制器可以有效地對用戶進行回應(yīng)。優(yōu)化復制.Sites控制目錄復制的信息流量。目錄復制在Site內(nèi)部比在Site之間更頻繁，而且Site之間的復制是壓縮的（壓縮比為5-10）一個設(shè)計很好的Site拓撲結(jié)構(gòu)可以保證網(wǎng)絡(luò)帶寬不至于因目錄復制信息而飽和，而且，目錄信息能夠保證更新，客戶端機器能夠訪問到最近的資源Site概念在目錄服務(wù)的術(shù)語中，一個Site是指一些連接很131Site概念SiteLink目錄服務(wù)復制可以通過配置Site之間連接器來進行控制，即配置SiteLinks：連接的成本和復制周期。目錄服務(wù)利用SiteLinks這些配置信息來確定在域控制器之間最有效的目錄復制連接連接對象連接對象定義了目錄復制的源、目的以及時間周期的安排。缺省情況下，由目錄系統(tǒng)中的KCC根據(jù)管理員配置的Site和SiteLink信息自動創(chuàng)建連接對象。管理員可以改動KCC創(chuàng)建的連接對象，也可以手工配置連接對象Site概念SiteLink132Site設(shè)計客戶端登錄的反應(yīng)時間目錄服務(wù)復制的冗余網(wǎng)絡(luò)帶寬的優(yōu)化Site設(shè)計客戶端登錄的反應(yīng)時間133Site的劃分不存在域控制器的地方，不必劃Site；域控制器的放置在目前的原則是一級分支機構(gòu)放置域控制器以用于用戶登錄二級分支機構(gòu)根據(jù)網(wǎng)絡(luò)有效帶寬是否能夠滿足用戶登錄需要來放置；如果不放置域控制器，用戶登錄需要通過廣域網(wǎng)，每個用戶登錄所需的時間由登錄流量和網(wǎng)絡(luò)帶寬來決定Site的劃分不存在域控制器的地方，不必劃Site；域控制器134Site設(shè)計Site設(shè)計135復制量計算復制量計算136目錄數(shù)據(jù)庫的大小目錄數(shù)據(jù)庫的大?。喊?5000用戶，w2k計算機25000個，打印機3000個，大組500個，中組2000個，小組2000個，500個OU考慮，每個數(shù)據(jù)庫是344MGC的大?。簽?20M目錄數(shù)據(jù)庫的大小目錄數(shù)據(jù)庫的大小：137SiteLink開銷值有效帶寬(kilobits/second) Cost9.6 104219.2 79838.4 64456 58664 567128 486256 425512 3781024 3402048 3094096 283SiteLink開銷值有效帶寬(kilobits/sec138SiteLink復制日程安排定義一個復制日程安排：定義復制窗口為全周、全天開放除上班的高峰時間：08：00–11：003小時和14：00–17：003小時SiteLink復制日程安排定義一個復制日程安排：139SiteLink副本復制頻率在復制窗口18個小時中：從橋頭堡到分支機構(gòu)的復制為2次，各6小時從分支機構(gòu)到橋頭堡的復制為2次，各3小時SiteLink副本復制頻率在復制窗口18個小時中：140確定復制時間表滿足的條件是：只能有4個二級分支機構(gòu)同時進行復制，即同時使用一級分支機構(gòu)的線路進行復制在Inbound階段：各分支機構(gòu)將本地的變化傳遞到橋頭堡服務(wù)器在Outbound階段：橋頭堡服務(wù)器將所有發(fā)生的變化傳遞到各分支機構(gòu)根據(jù)以上時間表：各分支機構(gòu)每天的目錄變化，第二天能夠總部復制確定復制時間表滿足的條件是：只能有4個二級分支機構(gòu)同時進行復141各個橋頭堡上的復制周期配置各個橋頭堡上的復制周期配置142冗余的考慮冗余的考慮143服務(wù)器服務(wù)器144概念域控制器域控制器是使用ActiveDirectory安裝向?qū)渲玫倪\行Windows2000Server的計算機。ActiveDirectory安裝向?qū)О惭b和配置為網(wǎng)絡(luò)用戶和計算機提供ActiveDirectory目錄服務(wù)的組件。域控制器存儲著目錄數(shù)據(jù)并管理用戶域的交互，其中包括用戶登錄過程、身份驗證和目錄搜索。橋頭堡數(shù)據(jù)中心的域控制器有一種角色是負責與大量的分支機構(gòu)域控制器進行，維持復制拓撲結(jié)構(gòu)，保證目錄信息的及時更新和準確度全局編錄：GC森林中的一臺或多臺域控制器可以作全局編錄GC。存儲著其所在域的目錄中所有對象的全部副本及森林中每個其他域的目錄所包含的所有對象的部分副本。因為副本存儲著森林中每個對象的部分而非全部的屬性值，所以這只是一部分。全局編錄發(fā)揮兩個重要目錄的作用：啟動登錄過程時，它通過將全局組成員信息提供給域控制器來啟用網(wǎng)絡(luò)登錄。它允許查找目錄信息，而不管樹林中的哪個域?qū)嶋H包含這些數(shù)據(jù)?？蛻舳说卿浀骄W(wǎng)絡(luò)時，需要聯(lián)系全局編錄，所以在設(shè)計中需要考慮全局編錄的位置。概念域控制器145操作主機：FSMO在森林中DC是平等的多主復制關(guān)系，但在森林中還有一些特殊職責，只有一臺DC擔當，我們稱之為操作主機。在操作主機中分為森林級和域級，森林級指在整個森林中只有一臺DC擔當此職責，域級指在域中只有一臺DC擔當此職責。每個森林只能有一個schemamaster和一個domainnamingmaster：SchemaMaster控制對于Schema的更新和修改。更改Schema必須在SchemaMaster上。任何時候，森林中只能有一臺SchemaMasterDomainnamingmaster在森林中控制域的增、刪。任何時候整個森林只能有一臺Domainnamingmaster每個域都必須而且只能有一個以下角色：相對ID主機(RelativeIDmaster)：相對ID主機將系列相對ID分配給域中每個不同的域控制器PDC仿真程序(Primarydomaincontrolleremulator)：接收由域中其他域控制器執(zhí)行的密碼更改的優(yōu)先復制。如果密碼最近被更改，則需要花費一定時間將此次更改復制到域中的每個域控制器。如果登錄驗證由于密碼錯誤而在另一個域控制器中執(zhí)行失敗，則該域控制器將在拒絕登錄嘗試前將驗證請求轉(zhuǎn)發(fā)給PDC仿真程序基礎(chǔ)主機(Infrastructuremaster):基礎(chǔ)主機負責在重新命名或更改組成員時更新“組到用戶”的引用操作主機：FSMO在森林中DC是平等的多主復制關(guān)系，但在森林146放置原則域控制器的放置在目前的原則是：總部數(shù)