Active Directory 域服务 AD DS
Directory-目录:用来查找人们所需要信息的目录
Active Directory用来存储域内的用户账户、计算机账户、打印机和涌向文件夹登对象,提供目录查找服务的组件就是AD DS,负责目录数据库的存储、新建、删除、修改和查询等工作。
- 命名空间
命名空间是一个界定好的一个区域,在此区域内可以利用某个名称找到于此名称相关的信息。也就是,通过名字,可以找到这个人的电话号码、邮箱、地址等相关信息。
AD DS里面通过DNS来解析主机名和IP地址,所以域命名空间采用DNS架构,比如命名为mia.com。 - 对象和属性(object & attribute)
AD DS 内的资源已对象从事存在,比如用户、计算机都是对象。
对象通过属性来描述其特征,对象本身是一些属性的集合。 - 容器(container)和组织单位(OU)
容器和对象类似,有自己的名称和属性,但是容器可以包含其他对象(用户、计算机等,也可以包含其他容器),OU是一个特殊的容器,出来可以包含其他对象和组织单元意外,还可以为OU添加组策略。
AD DS采用层次式架构(Hierarchical) - 域树(Dmian Tree)
- 信任 Trust
两个域之间必须拥有信任关系,这样才能访问对方域内的资源,但是任何一个新的AD DS域加入到域树之后,这个域就会自动信任上一层的父域,父域也会自动信任此新子域,这种信任关系式双向传递性的(two-way transitive),此信任工作式通过kerberos security protocol来完成的,因此也成为Kerberos trust。
假如:域B是根域,A子域和根域B双向信任,加入C子域后,C子域和B父域双向信任,这种情况下,A子域和C子域就会自当建立双向信任关系,所以当任何一个新域加入到域树之后,它会自动双向信任这个域树内的所有域,因此只有有适当的权限,新域内的用户便可以访问其他域内的资源,同理,其他域内的用户,也可以访问这个新域的资源。 - 林
林有一个或多个域树组成,每一个域树都有自己唯一的命名空间。
两个域名的根域,域名不一样,在自己域内,命名规则不一样。
第一个域名的根域,也就是整个林的根域,其域名也是林的林名称。
林建立时,每个域树的根域与林根域之间双向的、可传递的信任关系就会自动创建,因此每一个域树中的每一个域内用户,只要拥有权限,就可以访问其他任何一个玉树内的资源,也可以到其他域树内的成员计算机进行登录。 - 架构 Schema
AD DS对象类型和属性数据是定义在架构内的,例如架构定义了用户对象类型内包含哪些属性(姓、名、电话等等),每一个属性的数据类型等信息。
隶属于Schema Admin组的用户可以修改架构内的数据,应用程序也可以自行在架构内添加其所需的对象类型或属性,在一个林内的所有域树共享相同的架构。 - 域控制器 DC
AD DS的目录数据是存储在域控制器内的,一个域内可以有多台DC,每一台DC的地位几乎是平等的,每台DC都存储着一份相同的AD DS的数据库,当任何一台域控制器添加了一个用户账户之后,此账户默认呗建立在此域控制器的AD DS数据库中,之后会自动复制到其他DC中,这样以便让域内所有域控都有一样的数据进行同步。
有多台域控制器可以提供容错功能,也就是说一台机器故障了之后,其他机器还能正常提供符去;
其次,多台DC也提高用户的登录效率,多台DC可以分担用户登录的负担。 - 只读域控制器 RODC
RODC的AD DS数据库只可以被读取,不能进行修改,RODC里的数据库内容只能从其他可读写的域控制器复制过来,RODC主要是设计给远程分公司网络来使用的,因为一般远程分公司的网络规模比较小、用户也少,因此网络安全错是不如总公司王磊,也缺乏IT技术人员,因为RODC可以避免其AD DS的数据库被破坏,进而影响整个AD DS环境
RODC 不存储账户的密码,还存储AD DS域内的所有对象与属性。远程分公司内的应用程序要读取AD DS数据库内的对象时,可以通过RODC来快速获取,但是因为RODC不存储用户的密码,所以在进行验证用户名称和密码时,仍然需要回到总公司可读写域控来进行验证。
RODC 是只读数据库, 因此只要远程分公司的应用程序修改了AD DS数据库的对象或用户要修改密码,这些变更请求都会转发到总公司可读写的域控来处理,总公司更改可读写的域控,再通过AD DS数据库的复制程序将这些变动数据复制到RODC。
单项复制总公司的可写域控数据库有变动时,此变动数据会被复制到RODC,然而因为用户或应用程序无法直接修改RODC的AD DS数据库,所以总公司的可写域控制器不会向RODC索取变动数据,因而可以降低网络负担。
除此之外,可写域控制器可以通过DFS分布式文件系统,将SYSVOL文件夹(用来存储与组策略相关的设置)复制到RODC,此复制也是单向复制。
认证缓存 RODC在进行用户密码验证时,仍然需要将其发送到总公司可读写的域控制器来进行验证,如果需要提高验证速度,就可以选择将用户的密码存储在RODC的认证缓存区,你需要通过密码复制策略来选择可以被RODC缓存的账户,建议不要缓存太多账户,因为分公司的安全措施可能比较差,若RODC被入侵,则存储在缓存区内的认证信息可能会外泄。
系统管理员角色隔离 可以通过系统管理员角色隔离功能来将任何一位域用户指定为RODC的本机系统管理员,它可以在RODC这台域控制器上登录并执行管理工作,例如更新驱动程序等,但他无法登录其他域控制器,也无法执行其他域管理工作。此功能将RODC的一般管理工作分配给用户,但却不会危害到其他域安全。
只读域名系统可以在RODC上架设DNS服务器,RODC会复制DNS服务器的所有应用程序目录分区,音系客户端可以向此台RODC角色的DNS服务器提出查询DNS需求。但是不支持客户端动态更新。
- 可重起的AD DS服务:比如旧版的域控制器,如果需要维护AD DS数据库维护工作,就需要重启计算机,进入目录服务器还原模式,但是如果这台域控还提供其他网络服务,比如DHCP服务器,就会有中断。
除了进入目录服务还原模式之外,windows server 2012域控提供可重新启动AD DS服务功能,也就是说不需要重启计算机就可以进入目录服务还原模式,这样不但可以让AD DS数据库的维护更容易、更快速,而且其他服务不会被中断。完成维护工作后再重新启动AD DS服务即可。 - AD DS的复制模式,两种:
多主机复制模式:AD DS数据库内的大部分数据是利用此模式进行复制的,在此模式下,更新任何一台DC,其他DC也会自动进行复制
单主机复制模式:AD DS数据库内部少数数据采用单主机复制模式,在此模式下,修改的对象数据请求时,会由其中一台域控制器(操作主机)负责接收与处理此请求,也就是说该对象是先在此操作主机中被更新,再由操作主机赋值给其他域控制器,例如添加或删除一个域时,此变动数据会先被写入到扮演域命名操作主机角色的域控制器内,再由它复制到其他域控制器。 - 域中的其他成员计算机
计算机要加入域,才能用域内的用户名和密码进行验证登录。
加入域的服务器,称为成员服务器,不存储AD DS数据库,也不负责验证AD DS用户名和密码,而是将其转发给域控制器来进行验证。为加入域的服务器被成为独立服务器或工作组服务器,不论是独立或者成员服务器都有 本地安全账户数据库 SAM( security account manager),用来验证本地用户(工作组模式计算机)。 - DNS服务器
域控制器需要将自己登记到DNS服务器内,以便让其他计算机通过DNS服务器来找到这台域控制器,因此域环境需要有可支持AD DS的DNS服务器,此服务器最好支持动态更新功能,一般域控制器的角色发生变化或域成员计算机的ip地址发生变化时,可以自动更新DNS服务器记录 - LDAP 轻型目录访问协议
LDAP是一种用来查询域更新AD DS的目录服务通信协议,AD DS利用LDAP名称路径 naming path来描述对象在AD DS内的位置,以便用LDAP来访问AD DS对象。LDAP naming path 名称路径如下:
Distinguished Name(DN),是对象在AD DS内的完整路径。
RDN:Relative Distingushed Name:用来代表DN完整路径中的部分路径。
除了DN和RDN这两个对象名称之外,还有GUID UPN SPN
GUID: global unique identifier,系统会自动为每一个对象指定一个唯一的,128位数值的GUID,虽然可以改变对象的名称,但是其GUID永远不会改变。
User Principle Name:每一个使用者还可以有一个比DN更短,更容易记忆的UPN,比如,mia@microsoft.com,用户登陆时所输入的账户名称最好使用UPN,因为无论此用户的账户被移动到哪一个域,其UPN都不会变化,因此用户可以一直用同一个名称来登录。
Service Principle Name,SPN是一个包含多重设定值的名称,它根据DNS主机名来创建,SPN用来代表某台计算机所支持的服务,它让其他计算机可以通过SPN来与这台计算机的服务进行交互。 - 全局目录(Global Catalog)
虽然在域树内的所有域共享一个AD DS数据库,但是其数据却分散在各个域内,而每个域只存储该域本身的数据,为了让用户、应用程序能够快速找到位于其他域内的资源,音系在AD DS内设计了全局编录,一个林内的所有域树,共享相同的全局编录。
全局编录的数据存在域控中。这台域控可被称为全局编录服务器,存储着林内所有域的AD DS数据库内的每一个对象,但是只存储对象的部分属性,这些属性都是常用的,用来对对象进行搜索的属性,例如用户的电话号码、登录账户名称等。全局编录让用户即使不知道对象属于哪一个域,仍然可以很快低找到所需的对象。
用户登录时,全局编录服务器还负责提供该用户所隶属的通用组信息,用户利用UPN登陆时,也提供该用户隶属于哪一个域的信息。 - 站点
站点由一个或多个IP子网所组成,这些子网之间通过高速且可靠的链路连接在一起,也就是说这些子网之间的连接说得要够快且稳定,否则就应该将这些慢速连接的IP子网划分为不同站点。
一般来说,局域网LAN内部的各个子网之间的连接都符合快速且可靠的要求,因此可以将一个LAN划分位一个站点,而WAN广域网内的各个LAN之间的连接速度一般不快,因此,WAN之中的各个LAN应分为规划位不同的站点。
域时一个逻辑分组,站点时一个物理分组,AD DS内每一个站点可能包含多个域,而一个域内的各个计算机也可以分布在不同的站点
若一个域的域控制器分布在不同站点内,而站点之间时低速连接,由于不同站点的域控制器之间会相互复制AD DS数据库,所以续谨慎规划执行复制的时段,尽量子啊非高峰时期才能执行复制工作,同事复制频率不要太高,以避免复制时占用站点之间连接的贷款,影响站点其他数据的传输效率。
同一个站点的DC之间是通过快速连接在一起的,因此在复制AD DS数据时,可以快速复制,AD DS的默认设置会让同一个站点内、隶属于同一个域的域控之间自动执行复制工作。不同站点之间的复制,会压缩数据再进行传输,但是同一个站点内的域控不会进行压缩。
- 目录分区
AD DS数据库被逻辑地分为一下:
架构目录分区,Schema Directory Partition,存储着整个林中所有对象与属性的定义数据,也存储着如何建立新对象和属性的规则,整个林内所有域共享一份相同的架构目录分区,它会被复制到林中所有域控制器。
配置目录分区:configuration directory partition其中存储着整个AD DS的结构,比如由哪些域、哪些站点、哪些域控制器等数据,整个林共享一份相同的配置目录分区,它只会复制到域的所有域控。
域目录分区:domain directory partition 每一个域各有一个域目录分区,其内存储着与该域有关的对象,例如用户、组、计算机等对象,每一个域各自拥有一份域目录分区,它只会被复制到该域内的所有域控制器,但不会复制到其他域的域控制器。
应用程序目录分区 application directory partition:应用程序目录分区是由应用程序所建立的,其存储着域该应用程序相关的数据,比如,由DNS服务的AD DS,若所建立的DNS区域为Active Directory集成区域的话,则它会在AD DS数据库内建立应用程序目录分区,以便存储该区域的数据。应用程序目录分区会被复制到林中特定的域控,而不是所有的域控。
域功能级别和林功能级别
- AD DS的域功能级别设置只会影响到该域,不会影响到其他的域。域功能级别,是域内最低版本的DC服务器的版本。
- 林功能级别
林功能级别设置会影响到该林的所有域,林功能级别
扫一扫
3415
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
