AD系列一 万事开头难

使用活动目录的几个优点

　　1、是系统管理的基石，我们可以通过活动目录的组策略对用户的桌面进行管理，以及对用户的计算机实行软件的安装部署

　　2、活动目录其实是一个很大的数据库，而我们平常使用的用户名和密码都存储在这个数据库中

　　3、在工作中，网络资源遍布环境的每个角落，用户可以通过活动目录的目录服务功能方便的查找资源

活动目录结构及术语简介

　　AD结构分为逻辑结构和物理结构。逻辑结构是用来管理和组织资源的，物理结构是用来优化用户登录网络和活动目录复制产生的网络流量。

一、逻辑结构：相信大家已经对AD有了一个基础性的了解，下面我们通过一幅图来更形象的了解AD逻辑结构，如下图

对象：逻辑结构中最基本的组件。对象类是你能够在活动目录中创建的各种模板和蓝图。对象包括计算机、用户、打印机等。每种对象都有一组属性定义，这些属性定义了你能为对象赋予的可能的值。每个对象是属性值的唯一组合。

组织单元：出于管理目的，你使用这些容器对象安排其他的对象。通过使用组织单元管理对象，你可以很容易的定位和管理对象。还可以委派其他用户管理组织单元。组织单元能够嵌套其他的管理单元，这将大大简化对象的管理。

域：域是活动目录中逻辑结构的核心单元。域是一个出于管理而定义的对象的集合，一个域包含多台计算机，它们由管理员设定，共用一个目录数据库、安全策略、和其他域的信任关系。一个域有一个唯一名字，给那些由域管理员的用户账户和组账户提供访问访问目录。域提供下列2个功能：

    1、对象的管理边界：安全边界的作用就是保证域的管理员只能在该域内有必要的管理权限，除非管理员得到其他域的明确授权。每个域都有自己的安全策略和与其他域的安全关系。

　　2、复制单元：域同时也是一个复制单元。在域中，作为域控制器的计算机包含活动目录的副本。在一个特定域中，所有域控制器都能够得到活动目录中的变化信息，并把这些变化复制给该域中的其它域控制器。

域树：以层次结构组织在一起的域被称为域树。当你添加第二个域到树，它将成为树根域的子域。子域连接父域。子域可以有自己的子域。子域的名称连接父域的名组成自己的唯一的DNS名称。例如a.itat.com，一个树有相同的名称空间

域林：林是活动目录的完全的实例。它包含一个或多个域树，目录林是一个或几个域目录树。目录林中的域目录树并不共用连续的名字空间。然而，目录林中的域目录树共用共同的架构和全局目录。一个不与其它域目录树相联系的单一目录树形成只有一个域目录树的目录林。这样，每个域目录树的根域与目录林根域之间存在着传递信任关系。目录林根域的名字用来指向一个给定义的目录林

二、物理结构

　　在一个域中添加多个域控制器，这样如果一台域控制器出现故障后，该域中的其他域控制器可以提供容错。要实现容错，域控制器间要活动目录需要复制。如果一个域跨了多个局域网，局域网之间用满速的广域网链路连接，控制活动目录的复制时间段，以避免和用户的数据流争用带宽。因为域中有多个域控制器，用户登录身份验证使用和自己在同一个局域网中的域控制器，登录速度将大大加快。

域控制器：运行活动目录的计算机。每个域控制器具备存储和复制功能。一个域控制器只支持一个域。确保活动目录的高可用性，每个域应该至少有两个域控制器

活动目录站点：站点是一组高速连接的计算机。当你建立站点，在同一站点的域控制器通信频繁。频繁的复制通信将最小化站点内的延迟，即在一个域控制器上做的改变将很快的复制到其他的域控制器。

活动目录的分区：

　　1、目录分区：目录分区存储域控制器所在域的所有对象副本，目录分区只在同一域的域控制器之间复制。

　　2、配置分区：配置分区包含目录林的拓扑。拓扑是目录林中所有的域控制器和它们之间的连接

　　3、架构分区：架构分区存储整个林的架构。一个目录林只有一个架构，所有同一个林中的所有域对不同对象的定义一致。架构分区在目录林中的所有域控制器之间复制。

　　4、应用程序分区：应用程序分区存储与安全无关的信息。一个或多个应用程序使用的对象，应用程序分区在林中指定的域控制器之间复制。应用程序目录分区的好处在于数据库可复制到林中不同的域控制器，提供冗余。

活动目录日常管理所使用的工具及组件介绍

　　1、活动目录安装向导：在命令提示符下运行dcpromo，用于安装和卸载活动目录

　　2、活动目录站点和服务：通过站点和服务在站点上定义组策略，还可以管理一些相应的域

　　3、活动目录用户和计算机：可以创建计算机、用户账号、打印机、组织单元

　　4、域和信任：是活动目录管理工具包的工具，用于域和域之间做信任用

　　5、ADMT：活动目录迁移工具，用于企业中的域发生变化时，如更改域名

　　6、ADSI EDIT：活动目录的超级管理工具，可以通过它设置一些特殊权限

　　7、BACKUP WIZARD：备份向导工具，用于AD的备份

　　8、DCdiag.exe：用于AD的故障排除

　　9、Dsastat.exe：用于某个域内域控制器复制所产生的问题

    10、事件查看器：用于查看活动目录中所产生的一些问题

　　11、MMC：控制台，可以添加一些工具实现对AD的管理，其本身并不具有管理能力，而是把管理工具挂载到该控制台上

　　12、NETDIAG.EXE：检查网络中端到端或点到点的故障

　　13、NETDOM.EXE：管理域间的信任关系

要想维护好活动目录，首先要知道平时的任务是什么

　　1、域和管理控制台能否进行交互式登录，如果企业中有安装MOM，要保证MOM和DC正常通讯

　　2、经常检查每台域控制器上出现的警报，及时解决问题

　　3、检查共享文件夹SYSVOL是否正常

　　4、检查DNS的SRV记录是否正常

　　5、检查林内DC时间是否同步

　　6、查看日志

　　7、检查DC间的复制

　　8、监视应用程序

　　9、检查DC数据库的磁盘空间

转载于:https://blog.51cto.com/jiangzhi2013/1254749