活动目录的设计及部署

 
目录服务:结构化的网路资源信息库、检索对象（如：计算机、用户、打印机...）
AD能做什么？ 逻辑组织网络资源、集中控制网络资源、集中，分散资源管理
AD是系统管理,安全管理和互操作性的基石
 
分散管理：基于OU委派控制、基于任务委派控制
设计:
活动目录使用规划:
1.评估IT环境,创建基准(网络规范\服务器规范\逻辑物理架构图\定义所支持的应用程序\用户的需求\软硬件性能的参数\用户可接受的性能,可忍耐的停机时间)
2.确认活动目录团队的任务(持续监视和报告\审核\备份和恢复\管理活动目录组件\管理信任\管理站点)
3.定义工作行为(工作自动化才做,手动操作)
DC:(Domain Controller)存储活动目录数据库,域中搭建的第一台服务器
单域模型最少2台DC,多主机制,互做Backup,数据必须是一样的
域:按地理位置划分     搭建子域,异地分支机构
域;安全的边界,复制的单元(组策略只在域中复制,父域和子域只复制部分的数据)
(树)连续的名称空间 多棵树组成森林
搭建另外一棵树:企业兼并
 
OU:组织单元(一种资源的组织方式),根据企业管理模型划分,管理层次概念的体现
组:权利权限的集合.      域\OU\森林:容器,是一个逻辑概念
森林中所有的域关系:双向可传递(1-2,2-1,2-3,1-3)

GC:(Global Catalog)全局编录服务器,默认第一台DC就是GC.存储所有域对象的副本,只存储子域对象所有属性的子集(4%),可以通过GC查询整个森林的对象.通用组成员的身份存储在GC

站点(Sites):一组高度可靠的物理链路划分为一个站点.基于IP地址划分
Site之间通过Site Link进行链接
Cost多个站点进行复制链接的配置
一个站点之内的DC采用的是通知机制,站点之间是复制机制(压缩15%)
Schema and Configuration在所有的域中进行复制
森林中子域复制Topology由DC上运行的KCC(知识一致性检查)自动生成.

部署:
环境:服务器操作系统\最少250M\NTFS分区\管理员权限\TCP/IP\DNS
DNS进企业内部域名称的解析
安装新域:1.分区为NTFS  2.IP配置,DNS为本机 3.确定计算机名称 4.dcpromo 5.新域控制器 6.新林中的域 7.DNS全名 8.首选DNS服务 9.还原模式密码
安装辅助域控:1.DNS为主域的IP 2.用户名(加入域的管理员账号) 密码 域名
安装子域:1.DNS为主域的IP 2.用户名(加入域的管理员账号) 密码 域名
dcpromo /adv 从备份的媒体中搭建AD(主域控运行ntbackup,System State系统状态数据)2003

AD站点和服务,划分服务器的物理位置,  创建站点,选择所在的Subnets子网
站点链接,开销Cost:值越小,链路利用率越高(有多条链路时,走开销值低的链路)
ReplMon(Active Directory Replication Monitor)DC复制监视器(添加监视服务器,Show Replication Topologies)(CD\SUPPORT\TOOLS\SUPTOOLS.MSI)
dsa.msc
Servers_NTDS Settings_链路_立即复制副本

C:\WINDOWS\NTDS\ntds.dat 活动目录数据库
C:\WINDOWS\SYSVOL\sysvol 组策略的同步