本地 Active Directory系统学习-1

Active Directory 域服务 AD DS

Directory-目录：用来查找人们所需要信息的目录
Active Directory用来存储域内的用户账户、计算机账户、打印机和涌向文件夹登对象，提供目录查找服务的组件就是AD DS，负责目录数据库的存储、新建、删除、修改和查询等工作。

1. 命名空间
   命名空间是一个界定好的一个区域，在此区域内可以利用某个名称找到于此名称相关的信息。也就是，通过名字，可以找到这个人的电话号码、邮箱、地址等相关信息。
   AD DS里面通过DNS来解析主机名和IP地址，所以域命名空间采用DNS架构，比如命名为mia.com。
2. 对象和属性（object & attribute）
   AD DS 内的资源已对象从事存在，比如用户、计算机都是对象。
   对象通过属性来描述其特征，对象本身是一些属性的集合。
3. 容器（container）和组织单位（OU）
   容器和对象类似，有自己的名称和属性，但是容器可以包含其他对象（用户、计算机等，也可以包含其他容器），OU是一个特殊的容器，出来可以包含其他对象和组织单元意外，还可以为OU添加组策略。
   AD DS采用层次式架构（Hierarchical）
4. 域树（Dmian Tree）
   
5. 信任 Trust
   两个域之间必须拥有信任关系，这样才能访问对方域内的资源，但是任何一个新的AD DS域加入到域树之后，这个域就会自动信任上一层的父域，父域也会自动信任此新子域，这种信任关系式双向传递性的（two-way transitive），此信任工作式通过kerberos security protocol来完成的，因此也成为Kerberos trust。
   
   假如：域B是根域，A子域和根域B双向信任，加入C子域后，C子域和B父域双向信任，这种情况下，A子域和C子域就会自当建立双向信任关系，所以当任何一个新域加入到域树之后，它会自动双向信任这个域树内的所有域，因此只有有适当的权限，新域内的用户便可以访问其他域内的资源，同理，其他域内的用户，也可以访问这个新域的资源。
6. 林
   林有一个或多个域树组成，每一个域树都有自己唯一的命名空间。
   
   两个域名的根域，域名不一样，在自己域内，命名规则不一样。
   第一个域名的根域，也就是整个林的根域，其域名也是林的林名称。
   林建立时，每个域树的根域与林根域之间双向的、可传递的信任关系就会自动创建，因此每一个域树中的每一个域内用户，只要拥有权限，就可以访问其他任何一个玉树内的资源，也可以到其他域树内的成员计算机进行登录。
7. 架构 Schema
   AD DS对象类型和属性数据是定义在架构内的，例如架构定义了用户对象类型内包含哪些属性（姓、名、电话等等），每一个属性的数据类型等信息。
   隶属于Schema Admin组的用户可以修改架构内的数据，应用程序也可以自行在架构内添加其所需的对象类型或属性，在一个林内的所有域树共享相同的架构。
8. 域控制器 DC
   AD DS的目录数据是存储在域控制器内的，一个域内可以有多台DC，每一台DC的地位几乎是平等的，每台DC都存储着一份相同的AD DS的数据库，当任何一台域控制器添加了一个用户账户之后，此账户默认呗建立在此域控制器的AD DS数据库中，之后会自动复制到其他DC中，这样以便让域内所有域控都有一样的数据进行同步。
   有多台域控制器可以提供容错功能，也就是说一台机器故障了之后，其他机器还能正常提供符去；
   其次，多台DC也提高用户的登录效率，多台DC可以分担用户登录的负担。
9. 只读域控制器 RODC
   RODC的AD DS数据库只可以被读取，不能进行修改，RODC里的数据库内容只能从其他可读写的域控制器复制过来，RODC主要是设计给远程分公司网络来使用的，因为一般远程分公司的网络规模比较小、用户也少，因此网络安全错是不如总公司王磊，也缺乏IT技术人员，因为RODC可以避免其AD DS的数据库被破坏，进而影响整个AD DS环境

RODC 不存储账户的密码，还存储AD DS域内的所有对象与属性。远程分公司内的应用程序要读取AD DS数据库内的对象时，可以通过RODC来快速获取，但是因为RODC不存储用户的密码，所以在进行验证用户名称和密码时，仍然需要回到总公司可读写域控来进行验证。
RODC 是只读数据库， 因此只要远程分公司的应用程序修改了AD DS数据库的对象或用户要修改密码，这些变更请求都会转发到总公司可读写的域控来处理，总公司更改可读写的域控，再通过AD DS数据库的复制程序将这些变动数据复制到RODC。
单项复制总公司的可写域控数据库有变动时，此变动数据会被复制到RODC，然而因为用户或应用程序无法直接修改RODC的AD DS数据库，所以总公司的可写域控制器不会向RODC索取变动数据，因而可以降低网络负担。
除此之外，可写域控制器可以通过DFS分布式文件系统，将SYSVOL文件夹（用来存储与组策略相关的设置）复制到RODC，此复制也是单向复制。
认证缓存 RODC在进行用户密码验证时，仍然需要将其发送到总公司可读写的域控制器来进行验证，如果需要提高验证速度，就可以选择将用户的密码存储在RODC的认证缓存区，你需要通过密码复制策略来选择可以被RODC缓存的账户，建议不要缓存太多账户，因为分公司的安全措施可能比较差，若RODC被入侵，则存储在缓存区内的认证信息可能会外泄。
系统管理员角色隔离 可以通过系统管理员角色隔离功能来将任何一位域用户指定为RODC的本机系统管理员，它可以在RODC这台域控制器上登录并执行管理工作，例如更新驱动程序等，但他无法登录其他域控制器，也无法执行其他域管理工作。此功能将RODC的一般管理工作分配给用户，但却不会危害到其他域安全。
只读域名系统可以在RODC上架设DNS服务器，RODC会复制DNS服务器的所有应用程序目录分区，音系客户端可以向此台RODC角色的DNS服务器提出查询DNS需求。但是不支持客户端动态更新。

10. 可重起的AD DS服务：比如旧版的域控制器，如果需要维护AD DS数据库维护工作，就需要重启计算机，进入目录服务器还原模式，但是如果这台域控还提供其他网络服务，比如DHCP服务器，就会有中断。
    除了进入目录服务还原模式之外，windows server 2012域控提供可重新启动AD DS服务功能，也就是说不需要重启计算机就可以进入目录服务还原模式，这样不但可以让AD DS数据库的维护更容易、更快速，而且其他服务不会被中断。完成维护工作后再重新启动AD DS服务即可。
11. AD DS的复制模式，两种：
    多主机复制模式：AD DS数据库内的大部分数据是利用此模式进行复制的，在此模式下，更新任何一台DC，其他DC也会自动进行复制
    单主机复制模式：AD DS数据库内部少数数据采用单主机复制模式，在此模式下，修改的对象数据请求时，会由其中一台域控制器（操作主机）负责接收与处理此请求，也就是说该对象是先在此操作主机中被更新，再由操作主机赋值给其他域控制器，例如添加或删除一个域时，此变动数据会先被写入到扮演域命名操作主机角色的域控制器内，再由它复制到其他域控制器。
12. 域中的其他成员计算机
    计算机要加入域，才能用域内的用户名和密码进行验证登录。
    加入域的服务器，称为成员服务器，不存储AD DS数据库，也不负责验证AD DS用户名和密码，而是将其转发给域控制器来进行验证。为加入域的服务器被成为独立服务器或工作组服务器，不论是独立或者成员服务器都有 本地安全账户数据库 SAM（ security account manager），用来验证本地用户（工作组模式计算机）。
13. DNS服务器
    域控制器需要将自己登记到DNS服务器内，以便让其他计算机通过DNS服务器来找到这台域控制器，因此域环境需要有可支持AD DS的DNS服务器，此服务器最好支持动态更新功能，一般域控制器的角色发生变化或域成员计算机的ip地址发生变化时，可以自动更新DNS服务器记录
14. LDAP 轻型目录访问协议
    LDAP是一种用来查询域更新AD DS的目录服务通信协议，AD DS利用LDAP名称路径 naming path来描述对象在AD DS内的位置，以便用LDAP来访问AD DS对象。LDAP naming path 名称路径如下：
    Distinguished Name(DN)，是对象在AD DS内的完整路径。
    
    RDN：Relative Distingushed Name：用来代表DN完整路径中的部分路径。
    除了DN和RDN这两个对象名称之外，还有GUID UPN SPN
    GUID： global unique identifier，系统会自动为每一个对象指定一个唯一的，128位数值的GUID，虽然可以改变对象的名称，但是其GUID永远不会改变。
    User Principle Name：每一个使用者还可以有一个比DN更短，更容易记忆的UPN，比如，mia@microsoft.com，用户登陆时所输入的账户名称最好使用UPN，因为无论此用户的账户被移动到哪一个域，其UPN都不会变化，因此用户可以一直用同一个名称来登录。
    Service Principle Name，SPN是一个包含多重设定值的名称，它根据DNS主机名来创建，SPN用来代表某台计算机所支持的服务，它让其他计算机可以通过SPN来与这台计算机的服务进行交互。
15. 全局目录（Global Catalog）
    虽然在域树内的所有域共享一个AD DS数据库，但是其数据却分散在各个域内，而每个域只存储该域本身的数据，为了让用户、应用程序能够快速找到位于其他域内的资源，音系在AD DS内设计了全局编录，一个林内的所有域树，共享相同的全局编录。
    全局编录的数据存在域控中。这台域控可被称为全局编录服务器，存储着林内所有域的AD DS数据库内的每一个对象，但是只存储对象的部分属性，这些属性都是常用的，用来对对象进行搜索的属性，例如用户的电话号码、登录账户名称等。全局编录让用户即使不知道对象属于哪一个域，仍然可以很快低找到所需的对象。
    用户登录时，全局编录服务器还负责提供该用户所隶属的通用组信息，用户利用UPN登陆时，也提供该用户隶属于哪一个域的信息。
16. 站点
    站点由一个或多个IP子网所组成，这些子网之间通过高速且可靠的链路连接在一起，也就是说这些子网之间的连接说得要够快且稳定，否则就应该将这些慢速连接的IP子网划分为不同站点。
    一般来说，局域网LAN内部的各个子网之间的连接都符合快速且可靠的要求，因此可以将一个LAN划分位一个站点，而WAN广域网内的各个LAN之间的连接速度一般不快，因此，WAN之中的各个LAN应分为规划位不同的站点。

域时一个逻辑分组，站点时一个物理分组，AD DS内每一个站点可能包含多个域，而一个域内的各个计算机也可以分布在不同的站点

若一个域的域控制器分布在不同站点内，而站点之间时低速连接，由于不同站点的域控制器之间会相互复制AD DS数据库，所以续谨慎规划执行复制的时段，尽量子啊非高峰时期才能执行复制工作，同事复制频率不要太高，以避免复制时占用站点之间连接的贷款，影响站点其他数据的传输效率。
同一个站点的DC之间是通过快速连接在一起的，因此在复制AD DS数据时，可以快速复制，AD DS的默认设置会让同一个站点内、隶属于同一个域的域控之间自动执行复制工作。不同站点之间的复制，会压缩数据再进行传输，但是同一个站点内的域控不会进行压缩。

17. 目录分区
    AD DS数据库被逻辑地分为一下：
    架构目录分区，Schema Directory Partition，存储着整个林中所有对象与属性的定义数据，也存储着如何建立新对象和属性的规则，整个林内所有域共享一份相同的架构目录分区，它会被复制到林中所有域控制器。
    配置目录分区：configuration directory partition其中存储着整个AD DS的结构，比如由哪些域、哪些站点、哪些域控制器等数据，整个林共享一份相同的配置目录分区，它只会复制到域的所有域控。
    域目录分区：domain directory partition 每一个域各有一个域目录分区，其内存储着与该域有关的对象，例如用户、组、计算机等对象，每一个域各自拥有一份域目录分区，它只会被复制到该域内的所有域控制器，但不会复制到其他域的域控制器。
    应用程序目录分区 application directory partition：应用程序目录分区是由应用程序所建立的，其存储着域该应用程序相关的数据，比如，由DNS服务的AD DS，若所建立的DNS区域为Active Directory集成区域的话，则它会在AD DS数据库内建立应用程序目录分区，以便存储该区域的数据。应用程序目录分区会被复制到林中特定的域控，而不是所有的域控。

域功能级别和林功能级别

1. AD DS的域功能级别设置只会影响到该域，不会影响到其他的域。域功能级别，是域内最低版本的DC服务器的版本。
   
2. 林功能级别
   林功能级别设置会影响到该林的所有域，林功能级别