钱春花
摘要:随着系统信息化工作的不断深入,人们对信息系统及应用平台的安全性、可管理性、可维护性具有更高的要求,在Windows平台下。通过采用活动目录(Active Directory,简称AD)来槊构整个网络来达到用户所需,当前中小型企业为了满足公司未来的发展和企业运营的需求,迫切希望重新进行集中化的企业网络部署,提高办公效率和安全。本文结合就对活动目录的功能,结构包括逻辑结构(OU,域,域树,域森林)和物理结构(域控制器和站点)进行了探讨。
关键词:活动目录企业网络部署域控制器
0引言
在Windows平台下,通过采用活动目录(Active Directory,简称AD)来架构整个网络来达到用户所需,比如人们通常使用活动目录来执行的管理用户帐户,管理用户权限,管理组,规划域控制器,创建和管理域间信任关系,审核策略,管理Exchange邮件用户,文件服务器等等。
本文基与活动目录如此强大的功能优势下主要分析企业活动目录设计方案,来更好的满足企业管理的需求。
1活动目录的概念
目录是存储有关网络上对象信息的层次结构。目录服务也即活动目录(Active Directory)简称AD,是用于Windows 20030Server的目录服务。它存储着网络上各种对象的有关信息,如用户帐户、组、打印机、共享文件夹等对像的数据库,并且提供目录数据库的存储、添加、删除、修改、查询等服务,并使该信息易于管理员和用户查找及使用。Active Djrectory目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
通过登录验证以及目录中对象的访问控制,将安全性集成到Active Directory中。通过一次网络登录,管理员可管理整个网络中的且录数据和单位,而且获得授权的网络用户可访问网络上任何地方的资源。基于策略的管理减轻了即使是最复杂的网络的管理。
2活动目录的特点
2.1数据存储以层次化结构存储着与活动目录对象相关的信息,这些对象通常包括各种共享资源,如:打印机、用户、计算机、组织单位(OU)等。
2.2通过网络分发目录数据的数据复制域中所有的域控制器(DC)都参与复制并包含他们所控制的域的所有目录信息的完整副本。对目录数据所做的任何更改都被复制到域中的所有域控制器。
2.3定义了一套规则定义了包含在目录中的对象类和属性、这些对象实例的约束和限制及其名称的格式。
2.4包含目录中每个对象信息的全局编录允许用户和管理员查找目录信息,而与目录中实际包含数据的域无关。
2.5与网络安全登录过程的安全子系统的集成,以及对目录数据查询和数据修改的访问控制。
3活动目录的逻辑结构
“逻辑”两个字相信大家平时见的比较多,如我们常说的“逻辑思维、逻辑分析”等,也许大家一讲到“逻辑”两个字就觉得十分抽象,难以理解。其实我们在这里所讲的“逻辑结构”,我觉得还是很好理解的,“逻辑”一般与“物理”是对等的,我们知道“物理上的”是指实实在在的,那么“逻辑上的”不就是指非物理上的,非实体的东西,它是一种抽象的东西,比如讲一种“关系”、一个“空间、范围”等。网络对象呈现给用户和管理员的方法,活动目录有目录树、域、域树、域林等,这些名字都不是实实在在的一种实体,只是代表了一种关系,一种范围,如目录树就是由同一名字空间上的目录组成,而域又是由不同的目录树组成,同理域树是由不同的域组成,域林是由多个域树组成。它们是一种完全的树状、层次结构视图,这种关系我们可以看成是一种动态关系。
4活动目录的物理结构
活动目录中,物理结构与逻辑结构有很大的不同,它们是彼此独立的两个概念。逻辑结构侧重于网络资源的管理,而物理结构则侧重于网络的配置和优化。活动目录的物理结构主要着眼于活动目录信息的复制和用户登录网络时的性能优化。物理结构的两个重要概念是站点和域控制器,它们是针对LAN和WAN中服务器的工作方式而言的。
4.1站点站点是由一个或多个IP子网组成,这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定,可以依据站点结构配置活动目录的访问和复制拓扑关系,这样能使得网络更有效地连接,并且可使复制策略更合理,用户登录更快速,活动目录中的站点与域是两个完全独立的概念,一个站点中可以有多个域,多个站点也可以位于同一域中。
4.2域控制器域控制器(DC,Domain ControIler)是实际存储活动目录的地方,用来管理用户登录进程,验证和目录搜索的任务。它是指运行Windows 2003 Server版本的服务器,它保存了活动目录信息的副本。域控制器管理目录信息的变化,并把这些变化复制到同一个域中的其他域控制器上,使各域控制器上的目录信息处于同步。
5中小型企业AD活动目录设计实例
公司简单介绍:
XX公司是北京一家网络项目集成企业。通过公司合理的运营和管理。发展迅速,员工人数已经有200人左右,且在苏州有家分公司。为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业的网络。公司计划部署一个由约100台计算机组成的局域网。由于计算机较多,管理上缺乏层次。公司希望利用windows域环境管理所有的网络资源,提高办公效率。
本方案中逻辑结构采用单域,域名为××,COM,CN,与多域结构相比,实现网络资源集中管理,并保障管理上的简单性和低成本,在域内按照部门名称划分组织单位(OU),如财务部,技术部,销售部,研发部等等。
本方案中物理结构设计成单站点,原因有两点:①优化客户端的登录。当域用户在两个不同物理位置的客户端上登录时,DNS会替客户端找本站点内的DC,这样就加快了身份验证过程:②优化AD的复制。每个DC之间要同步AD数据库,如果不划分站点,这个同步无时无刻都在进行,而且数据是不压缩的。如果划分了站点这个过程变的可控,特别是在多站点的情况下,优越性更加突出。
为保证可靠性,需要安装2台域控制器,主DC在北京,而附加DC在上海,企业管理人员不可能在上海直接安装,因为这样复制流量会很大,WAN线路不可能轻松实现,那该如何?首先在北京的父域上做AD的备份(利用ntbackup来备份系统状态),把备份还原到上海一台服务器上(位置选择备用位置),再在这台服务器上搭建第二台DC。
例如:北京的DC:ntbackup——备份“system State”文件名:bakup-bkf,到上海的一台服务器:恢复备份到一个文件夹,然后开始运行dcpromo,adv找恢复目录,即可安装成功。