WindowsServer活动目录设计PPT课件.pptx

WindowsServer2003活动目录设计 MVP许震xuz1215 主要内容 设计步骤 介绍和开始决定森林的数量森林设计域设计DNS设计组织单元设计站点拓扑设计容量规划 3 22 2020 2 管理Windows网络 方法的适用范围少于100 000个用户站点限制Windows2000 少于200个Windows2003 少于1000个超出该范围 聘请咨询顾问 多于100 000个用户 特别强调实验室和先期测试更多的站点数量 特殊的设计考虑 参见BranchOffice白皮书 3 22 2020 3 设计流程 确定森林的数量森林设计域设计DNS设计组织单元设计站点拓扑 3 22 2020 4 确定森林的数量 理解森林的概念森林负责人角色最佳实践设计模型设计流程 3 22 2020 5 什么是森林 活动目录的一个实例一组叫做域的分区集合共享集中控制的架构 schema 共享集中控制的配置 configuration 全局编录易于搜索完全信任安全和管理的边界考虑森林的几个主要因素 是否有应用程序需要独立的架构是否有完全独立的安全需求在森林中安装新的域或子域需要企业管理员的许可扩展架构需要企业管理员的许可DHCP授权需要企业管理员的许可 3 22 2020 6 森林模型的最佳实践 模型一 集中式 单一集中化的目录服务架构 分区1 分区3 分区2 3 22 2020 7 分区1 分区3 分区2 森林模型的最佳实践 模型二 预定式 对集中式架构的权衡 3 22 2020 8 分区1 分区3 分区2 森林模型的最佳实践 模型三 完全分布式 将目录服务架构分离到每个自治分区中 3 22 2020 9 单个森林的提议 从功能角度考虑这是个最理想的方案单个全局编录能达到的高度协作 在整个组织内易于找到用户和资源 通过架构整合节省费用没有专门技术的重复没有管理流程的重复尝试确定一个森林拥有者然后看是否其他组织同意加入森林 3 22 2020 10 提议单个森林 加入准则 对以下服务满意架构和配置变更控制策略灾难恢复根域失败后 子域工作可能不正常安全考虑在整个森林内信任所有服务管理员 满足操作准则限制对域控制器的物理访问没有对普通管理员需要隔离的敏感数据 3 22 2020 11 提出单个森林结构 建议 不要让森林穿越防火墙如果必须这样做 寻求专业指导微软有专门的KB讲述AD端口问题有清晰的森林负责制度分享森林管理的尝试可能给组织带来挑战不要将森林的管理授权给不同的服务提供者 3 22 2020 12 提出单个森林结构 隔离敏感数据 敏感数据可能存在于自己的森林里敏感数据的例子银行账户国防项目承包商机动车辆注册部门军方机密的科研成果 3 22 2020 13 提出单个森林结构 隔离敏感数据 如果客户有敏感数据 需要考虑一个额外的操作标标准认可不会有由被强制的管理员导致的额外风险如果一个服务管理员基于法律原因要访问敏感信息 该怎么办 业务损失是什么 失去许可证 对品牌不可挽回的影响 与风险共存 客户必须准备接受在同一个森林中保存敏感数据可能存在的风险如果当前标准不能满足需要 为敏感数据创建分离的森林 3 22 2020 14 信任服务管理员 一个恶意的服务管理员会做什么 恶意的活动目录服务管理员可以做任何事情 模仿任何域的任何用户阅读 更改或删除任何加入域的机器上的Windows安全资源或配置设置破坏系统的不变因素 或使其失效例如 访问控制列表审核单主机角色 FSMOs 只读分区 等等 使变更复制到其他域控制器 更多 3 22 2020 15 信任服务管理员 一个恶意的管理员是怎样攻击的 攻击方法在域控制器系统安全环境内注入代码 修改LSA进程中的代码在域控制器上将LSA进程运行于调试器中将域控制器启动到恢复模式下或离线对活动目录数据库进行编辑这些攻击困难吗 不在因特网上 攻击者发布了很多工具 任何恶意的服务管理员可以得到它们 3 22 2020 16 信任服务管理员 活动目录中的主要服务管理员 EnterpriseAdmins SchemaAdmins DomainAdmins Administrators ServerOperators BackupOperators AccountOperators PrintOperators活动目录的恢复模式 3 22 2020 17 选择 单个森林是理想的 但不是对每个客户都合适的组织可以作其他选择对服务水平不满意操作标准不能满足需求缺少资金 人力 权利 3 22 2020 18 选择 什么是可以的选择 如果组织不能满足操作标准两个选择 改变业务实践 或选择创建自己的森林如果做第二个选择 需要确认管理多个森林的额外成本 3 22 2020 19 选择 关联因素 Windows2000在森林间没有自动的信任关系显式的信任是单向的 不可传递的没有Kerberos 没有双向验证WindowsServer2003森林间的双向信任是可能的森林间的Kerberos验证是可能的全局编录在森林范围内跨越森林的统一视图需要同步技术MMS MIIS 3 22 2020 20 森林设计 每个森林负责人进行独立的森林设计域设计DNS设计组织单元设计站点拓扑 3 22 2020 21 域设计 什么是域 域是森林的一个分区复制的边界管理的边界允许目录扩展到慢速和拥挤的网络上限制数据复制的目的地 3 22 2020 22 Division1 Division2 Division3 CentralIT 最佳实践域模型一 所有用户在单个域内单个IT团队控制所有服务管理功能新的模型 不在当前的最佳实践文档中 OU div1 OU div2 OU div3 GlobalITteam 3 22 2020 23 Division1 Division2 Division3 CentralIT 最佳实践域模型二 如果森林的管理从全局操作中分离 可以创建单独的森林根域单一的IT团队提供所有服务管理普通用户在全局域中 OU div1 OU div2 OU div3 GlobalITteam Forestmgmtteam Globalopsteam 3 22 2020 24 Division1 Division2 Division3 CentralIT 最佳实践域模型三 专门的森林根域 按地理分布的子域来控制复制单个IT团队控制所有服务管理功能 OU div1 OU div2 GlobalITteam Forestmgmtteam GlobalDSopsteam OU div3 OU div2 3 22 2020 25 最佳实践域模型 专用根域根域负责易于转换将森林管理员从普通管理员中分离一个级别的域单一树是最简单的 没有多个树或非连续名字空间的需求没有深层的嵌套结构地理分区与网络 广域网结构良好映射与全局IT组织良好映射稳定 地理位置相对稳定 或者仅使用单一域 3 22 2020 26 CentralIT Division1 Division2 Division3 这是一个最佳实践设计吗 组织型域 中心运行森林根域 拥有EA和SA组部门得到自己的域 有自己的DA组 CentralinfraITteam Div2infraITteam Div3infraITteam Div1infraITteam DA SA EA DA DA DA 3 22 2020 27 设计森林根域 给森林根域命名选择一个DNS后缀增加新的 以前没用过的前缀标准字符 A Z 0 9 不要超过15个字符例如 为活动目录准备的新的DNS分支 3 22 2020 28 选择域模型 从单一全局域开始最简单的管理模型任何DC可以处理来自域内的任何验证请求针对规模指导验证记住考虑到将来的规模扩充WindowsServer2003 尽管复制更有效 仍要坚持这些规模指导 3 22 2020 29 规模指导 将10 的有效带宽用于复制 只是近似值 不能替代实验室测试 单一全局域 3 22 2020 30 定义局部区域 定义对客户有意义的局部区域根据洲名根据管理区域根据网络分布为每个局部区域创建域减少域的数量对每个域而言会产生额外管理成本权衡 3 22 2020 31 规模指导 将10 的有效带宽用于复制 只是近似值 不能替代实验室测试 多个局部域 3 22 2020 32 域设计例子 MUD MUD MUD RD RD 3 22 2020 33 复制规模估计 将10 的有效带宽用于复制所有DCs为GCs新来用户的比例是每年20 调离用户的比例是每年15 复制的主要流量来源于成员组关系的变更用户和计算机的比例为1 1使用活动目录集成的DNS使用DNS老化记录清理 3 22 2020 34 创建域 决定每个域的起源创建一个全新的域 或就地升级一个存在的域就地升级可以节省对已由用户迁移的开销命名每个域 同以前一样的命名指导 3 22 2020 35 域设计例子 MUD MUD MUD RD RD 3 22 2020 36 DNS设计 DNS设计的主要内容 DNS服务器配置服务器的放置区域设置和类型查询方法设置DNS客户端配置计算机命名解析器配置 3 22 2020 37 最佳实践的DNS模型 服务器端的配置 noam corp noam msdcs msdcs 森林的根域设置 msdcs 区域 通过递增式区域传递在子域设置 msdcs 区域的次要区域 3 22 2020 38 最佳实践的DNS模型 计算机命名 主要DNS后缀与TCP IP配置无关默认情况下 使用计算机所加入域的DNS名字主要名字 计算机可能已经有了DNS名字在DNS服务器中静态输入的名字 或由DNS DHCP集成系统注册的名字主要后缀可以被改变 但最好使用默认的主要后缀 3 22 2020 39 组织单元的设计 理解组织单元组织单元拥有者角色组织单元模型的最佳实践设计流程 3 22 2020 40 组织单元设计 什么是组织单元 一个域的层次型结构将对象组织起来 易于管理代理管理组策略的范围 3 22 2020 41 组织单元设计 常见缺陷 组织单元层次不一定要和部门层次相同可以不用画出组织结构图每个组织单元的建立要有明确的目的否则 花费时间来维护不合理的结构将不得好报没有对组织单元嵌套的实际限制最佳实践 嵌套深度 10来限制复杂度 3 22 2020 42 最佳实践组织单元模型 概览 3 22 2020 43 最佳实践组织单元模型 概览 默认容器 组织单元著名和内置的用户与组账号组织单元用来管理身份和策略类似于主要用户域资源组织单元用来管理对资源的访问类似于资源域 3 22 2020 44 最佳实践组织单元模型 资源组织单元代理管理 资源组织单元拥有者默认不是成员计算机上的本地管理员为了使资源组织单元拥有者成为本地管理员 可以使用RestrictedGroups组策略 OU admingrouplocatedhere 3 22 2020 45 站点拓扑设计 理解站点站点拓扑拥有者站点拓扑设计的最佳实践设计流程 3 22 2020 46 站点拓扑设计 什么是一个站点 站点是一个网络良好连接的区域用一组IP子网来定义客户端选择本站点的服务器站点内复制优化了更新延迟站点间复制优化了带宽使用站点通过站点链接连接起来 3 22 2020 47 站点设计流程 创建位置地图将域控制器放到相应位置将位置映射为站点用站点链接连接站点 3 22 2020 48 创建位置地图 Hub Hub Hub Hub 3 22 2020 49 放置域控制器 放置森林根域的域控制器放到每个中心位置放到来源多于一个域的位置放置局部域控制器DCs放到相应的中心位置放到需要自治登录的站点放到有一定登录性能需求的站点放置每个域的PDC放到网络连接良好的区域放到有大量域用户存在的区域记住物理安全需求 3 22 2020 50 将位置映射为站点 域控制器所在的位置成为站点至少10Mbps带宽包含一个域的PDC的站点叫做域的主要站点Windows2000如果多余200个站点 咨询BranchOffice白皮书WindowsServer2003 森林级别 如果多余1000个站点 咨询BranchOffice白皮书 3 22 2020 51 将位置映射为站点 root root root 3 22 2020 52 容量规划 容量规划的目标每个站点域控制器的数量处理器和内存规模指导磁盘大小和分布指导 3 22 2020 53 什么是容量规划 部署足够的域控制器 在合理成本的情况下满足用户需求太少 差的服务太多 高的部署和维护成本参数处理器的数量和速度内存大小磁盘大小和配置 3 22 2020 54 最佳实践 首先按比例增加 然后按规模增加比例增加 少数量性能高的域控制器规模增加 添加更多的域控制器来分布负载少量域控制器的长期管理成本会使购买性能高的域控制器的短期成本得到回报平均处理器利用率目标 60 3 22 2020 55 域控制器的数量 对站点内的每个域使用容量规划表 下一张幻灯片 决定所需域控制器的最少数量如果在站点中有Exchange服务器 参考AD Exchange相关的白皮书获得更多建议 不要只为今天计划 为明天作计划 3 22 2020 56 最少处理器和内存需求 3 22 2020 57 处理器和内存 例外 Windows2000对于100 200个站点的森林 在整个森林里的所有域控制器上使用多处理器对于连接超过10以上站点的站点 在该站点的所有域控制器上使用多处理器单一全局域 使所有域控制器成为全局编录对多余50 000个用户的域 使用专用的PDC配置降低该域控制器的定位优先级使用与多余10 000用户的站点相同的硬件配置 3 22 2020 58 磁盘指导 域控制器 0 4GB每1 000us