这个章节主要讲Active Directory 域服务概述及相关概念,金沙国际网站靠谱吗登入:设计步骤及AD常见的规划设计TOP方案,每种架构TOP方案的特定及优缺点。

金沙国际网站靠谱吗登入:一 、Active Directory 域服务概述

本文地址:http://emb.ib911.com/cloumn/blog/1487
文章摘要:金沙国际网站靠谱吗登入,没什么不由眼睛一亮,申博太阳城国际娱乐网,肯定不止十个讶异于日本人精湛。

Active Directory是存储有关网络上对象的信息的层次结构。 目录服务(例如 Active Directory 域服务(AD DS))提供存储目录数据以及使此数据可供网络用户和管理员使用的方法。 例如,AD DS 存储有关用户帐户的信息,如名称、密码、电话号码等,并使同一网络上的其他授权用户可以访问此信息。

Active Directory 存储有关网络上对象的信息,并使管理员和用户可以轻松查找和使用此信息。 Active Directory 使用结构化数据存储作为目录信息的逻辑层次结构的基础。

此数据存储(也称为目录)包含 Active Directory 对象的相关信息。 这些对象通常包含共享资源,如服务器、卷、打印机、网络用户和计算机帐户。

通过登录身份验证和对目录中对象的访问控制,安全与 Active Directory 集成。 通过单一网络登录,管理员可以管理其整个网络中的目录数据和组织,授权网络用户可以访问网络上任何位置的资源。 基于策略的管理简化了复杂的网络的管理。

Active Directory 包括

一组规则,即架构,定义目录中包含的对象和属性的类别、这些对象的实例的约束和限制及其名称的格式。

包含有关目录中每个对象的信息的全局编录。 这允许用户和管理员查找目录信息,而不考虑目录中的哪个域实际包含数据。

一种查询和索引机制,以便对象及其属性可由网络用户或应用程序发布和查找。 有关查询目录的详细信息。

跨网络分发目录数据的复制服务。 域中的所有域控制器均参与复制,并包含其域的所有目录信息的完整副本。 对目录数据的任何更改均复制到域中的所有域控制器。

二 、AD设计步骤

设计不是越复杂越好,根据实际需要越简单越好,可以通过以下步骤进行设计:

1.确定林设计要求及所需的林数量

其实单林就能满足大部份集团公司的需求、目前我接触的500强公司分布各个国家都用不上多林架构。

2.创建域设计

确认域模型使用单区域模型、还是区域域模型。

3.确定所需的域数量

根据用户和计算机数量及未来增长来预计域数量。

4.规划全局编录

如果你有单域林,全局编录布局需要进行规划。 在单域林中,将所有域控制器配置为全局编录服务器。 由于每个域控制器都在林中存储唯一的域目录分区,因此将每个域控制器配置为全局编录服务器不需要任何额外的磁盘空间使用情况、CPU 使用率或复制流量。 在单域林中,所有域控制器都充当虚拟全局编录服务器;也就是说,它们都可以响应任何身份验证或服务请求。

5.规划站点拓扑

规划好站点并把相应AD规划在那个站点,提前收集各公司用的IP子网等。

6.规划OU

根据需求规划OU目的就是规划相应计算机和用户存放在哪个OU便于策略管理。

【以下官方公布单个域与带宽及承载用户数量的关系】

每个林都从单个域开始。 单个域林可包含的最大用户数取决于最慢的链接,该链接必须适应域控制器之间的复制,以及要分配给 Active Directory 域服务(AD DS)的可用带宽。 下表列出了域基于单个域林可包含的最大推荐用户数、最慢链接的速度,以及要为复制保留的带宽百分比。 此信息适用于最多包含100000个用户且连接数为 28.8 kb/秒(Kbps)或更高的林。 有关适用于包含100000多个用户或连接量小于 28.8 Kbps 的林的建议,请参阅经验丰富的 Active Directory 设计器。

下表中的值基于在具有以下特征的环境中生成的复制流量:

新用户以每年 20% 的速率加入林。
用户以每年 15% 的速率保留林。
每个用户都是五台全局组和五个通用组的成员。
用户与计算机的比率为1:1。
使用 Active Directory 集成的域名系统(DNS)。
使用 DNS 清理。

备注:

下表中列出的数字大致为近似值。 复制流量的数量很大程度上取决于在给定时间内对目录所做的更改的数量。 在部署域之前,通过在实验室中测试你的设计更改的估计数量和速率,确认你的网络可以容纳你的复制流量。

【以下官方公布区域域模型与带宽及承载用户数量的关系】

如果无法容纳单个域中的所有用户,则必须选择 "区域域" 模型。 以对组织和现有网络有意义的方式将你的组织划分为各个区域。 例如,可以根据中国及日本公司创建区域。

请注意,由于需要为你建立的每个区域创建一个 Active Directory 域,因此建议你最大程度地减少为 AD DS 定义的区域数。 尽管可以在林中包含无限数量的域,但为了便于管理,我们建议林最多包含10个域。 在将你的组织划分为地区性域时,你必须在优化复制带宽与降低管理复杂性之间建立适当的平衡。

首先,确定林可以承载的用户的最大数量。 将其基于域控制器将复制到的林中最慢的链接,以及要分配到 Active Directory 复制的平均带宽量。 下表列出了林可包含的最大推荐用户数。 这取决于最慢链接的速度和要为复制保留的带宽百分比。 此信息适用于最多包含100000个用户且连接量为 28.8 Kbps 或更高的林。 下表中的值基于以下假设:

所有域控制器都是全局编录服务器。
新用户以每年 20% 的速率加入林。
用户以每年 15% 的速率保留林。
用户是五台全局组和五个通用组的成员。
用户与计算机的比率为1:1。
使用 Active Directory 集成的 DNS。
使用 DNS 清理。

备注:

下表中列出的数字大致为近似值。 复制流量的数量很大程度上取决于在给定时间内对目录所做的更改的数量。 在部署域之前,通过在实验室中测试你的设计更改的估计数量和速率,确认你的网络可以容纳你的复制流量。

三 、最常见的部署场景

(接下来主要是围绕这几种架构部署场景来讲)

1.A架构(分布式额外域部署场景)

这种AD部署架构是集团公司用得最多的方案,以下我的TOP只是模拟环境,其实与真实部署方法是一样的,比如日本500强集团常用的架构如下:

日本东京总部数据中心2台AD:负责本国AD所有业务,如果有工厂的地区会再各自机房部署1~2台AD。

中国区上海数据中心2台AD:负责中国区所有Office办公AD业务,如果深圳及其他城市有大工厂会再各自机房部署1~2台AD。

其他国家也是一样的部署方式。

描述:这种采用主域控与额外域的部署方式,所有域服务器都可以是GC,所有域服务器都有相同的权利,FSMO可以分布在任何一台域服务器上,这种架构都是总部IT专门负责管理,委派给其他地区分公司IT有部份AD的权限,建议最多部署不要超过10个AD服务器。

优点:

1.各据点公司用户访问各自据点域服务器进行登录及相关用户验证,起到行负载均衡的作用;

2.如果FSMO角色所在域服务器故障,可轻松转移或抢占FSMO到其他域服务器即可,可用性高;

3.用户登录及各系统通过AD验证非常快,都是通过各公司AD验证。

4.减少通过集团WAN链接的复制流量

5.支持较多的AD用户和计算机数量

缺点:

部署成本较高(有业务需的国家需要部署数据机房)

2.B架构(收购公司的AD接管方案)域信任实实战

这种架构其实也不算原始规划架构 ,是集团公司收购其它公司的情况下、被收购公司AD正常保留使用的方案,收购后原来PC管理方法基本是没变化的,PC还是加入以前的域,如果被收购公司域废除把PC切换到现有公司域,所有用户的PC用户环境需要重新设定非常繁琐,这显然没有必要,可能就邮件暂时需要变更而已。

这种情况会导致资源互相访问时需要验证带来很大麻烦,被收购公司用户访问公司相关业务需要用户认证的问题,那么怎么解决这个问题呢,如题就是不同域设定信任即可解决这个问题。

优点:

1.设置信任后就解决了验证的问题,公司的资源可以授权给收购公司AD的用户访问,同时被收购公司的资源也可以授给公司相应的AD用户权限,即可轻松访问相应的资源;

2.不用大动干戈把被收购公司域废除,收购公司PC照常加入现公司域服务器即可,节省超多时间和麻烦事,如果切换域公司用户数成千上万用户,用户环境问题头都大了,因为有些用户环境很复杂、用了很多特殊软件改变用户环境就需要重新部署非常麻烦 ;

3.不用改变收购公司用户账号和密码,用户登录使用电脑的方式和习惯等不用改变,节少了很多培训时间。

缺点:

就是公司AD域名不统一而已,除了这个没有什么太多的缺点,还有就是多了一个域需要管理、IT工作量有所增加而已。

3.C架构(RODC部署场景)实战

在物理安全性不足的位置上,建议使用部署只读域控制器(RODC)。 除帐户密码之外,RODC 保留可写域控制器包含的所有 Active Directory 对象和属性。 但是,不能对存储在 RODC 上的数据库进行更改。 必须在可写域控制器上进行更改,然后将其复制回 RODC。
设计 RODC 主要是为了在分支机构环境中部署。分支机构通常用户相对较少,物理安全性差,连接集团公司网络带宽也相对较低,分支机构人员不懂IT。

优点:

1.对分公司机房物理安全性差和用户少的环境部署,比较高的安全性,;
2.分公司用户更快的登录速度 ;
3.更有效的访问网上的资源;

缺点:

如果分公司AD用户很多的情况不太适合。

4.D架构(父域与子域架构)

这种架构用在集团公司之间各自管理子域的方式管理,各分公司部署子域模式,PC加入各公司子域即可,父域和子域是可传递的,权限授权也很方便。

优点:

1.公司的资源授权也是很方便,父域和子域之间自动建立传递关系
2.父域和子域管理不互相干扰
3.支持管理AD用户及计算机数量比较大

缺点:

成本相对较高,管理相对复杂,显得没有必要。

5.E架构(集中式额外域部署场景)

这种AD部署架构也有很多公司在用这种方案,其实与A架的AD部署方法是一样,这种架构各分公司之间网络质量比较好,在总部构筑私有云、虚拟化数据中心的方式,各分公司可以不用建数据机房。

描述:这种架构主要是采用主域控与额外域的部署方式,所有域服务器都可以是GC,所有域服务器都有相同的权利,FSMO可以分布在任何一台域服务器上,这种架构都是总部IT专门负责管理,也可以委派给其他地区分公司IT有部份管理AD OU的权限。

优点:

1.各公司单独预算结算时,各分公司付费的方式申请AD用户用的最多的架构方式;
2.成本更低,不用在各公司机房部署AD服务器,因为在总部都是私有云或虚拟部署、服务器的RTO和RPO时间能>做到更低,这在分公司做到这种要求成本很高的。
3.各据点公司用户访问各自域服务器进行登录验证相关AD业务,起到行负载均衡的作用;
4.如果FSMO角色所在域服务器故障,可轻松转移或抢占FSMO到其他域服务器即可;
5.降低了管理复杂性

缺点:

如果公司到AD服务器网络质量不好,PC首次加域或登域可能会比较慢,策略有可能会延时,这些都是可以解决的,集团网络带宽这些问题都可以很好解决。

以上是最常见5种AD架构设计方案,但集团公司其实用的最多的是A架构分布式额外域部署场景,除此之外B架构收购公司的AD接管方案,C架构RODC、E架构集中式额外域部署场景,主要是根据自己公司实际环境选择相对合适的方案即可,但D架构父域与子域架构其实用此架构的公司真的很少,原因其实上面我已经说了,总之大家以自己需求为出发点设计符合自己的方案。