一、什么是活动目录
Workgroup VS NT4.0 Domain (很久很久以前)
NT4.0 Domain VS Win200X Domain
域与工作组的区别:
     域采用一个集中的SAM文件
     Workgroup采用的是一个单一的SAM文件
NT4.0的简介:
NT4.0做出的贡献:首次提出了网络中集中管理数据库的思想
NT4.0的DC有PDC、BDC(和NDS的主、辅区域关系相同)
PDC、BDC:一个域上只有一台PDC,可以有多台BDC,这叫做Sigle Master(单主控)
NT4.0安装与配置:PDC、BDC、Server(不提供管理成员服务器)Member or Stand-Alone
                     PDC、BDC可以相互转化,但是PDC、BDC和Server不能相互转化
使用Wins 帮助客户机定位DC(域控制器)
NT4.0的问题:
SAM小于等于70M,限制了NT域的规模
使用Single Master的模式提供简单的域控制器容灾机制
    例如:上海分部要加一个帐户,只能向北京总部打电话申请
使用Wins定位服务
物理结构和逻辑结构脱节(它会向最不繁忙的服务器请求,不管服务器在那)
   总之,它不适合大规模网络环境的部署和作为Internet服务器,而且BDC不能直接更新,它的
更新只能发生在PDC上,而BDC只能向PDC获得更新
NT4.0与Win200X的区别:
        NT4.0只集中了SAM文件,而200X可以管理任何想管理的东西。它有一个目录服务器(目
录服务器可以管理任何“感兴趣”的东西)
­
二、活动目录的逻辑结构
­
FOREST(森林)
One or more Domain 这些域共享相同的Schema(架构分区)、Configguration(配置分区)
TREE(树)
One or more domains 树是森林的一个子集
There domains share a common Schma、Configuation&GC
These domian share a continuous (连续的)namespace  
DOMAIN(域)
活动目录的逻辑分区,包括用户、计算机、组等
Domain有三个分区的特点:管理的边界
                          安全的边界
                          复制的边界
OU(组织单元)
配置安全实施组策略,同时也是组策略最小的实施对象。一般的把一个Domain看成一个公司,则
一个部门就是一OU,当然OU不一定非得是部门,建议根据不同部门规划OU
GC(全局目录)
GC是一台特殊的DC,存储了AD中的所有对象的部分属性,他的作用就是加速跨域资源和活动目录
的访问,默认森林中第一台DC是GC,其它DC也可以升级为GC,GC也可以有多台
建立域的标志是建立了一台域控制器,也就是建立了森林、树以及域,同时具有架构分区、配置
分区、域分区,若一个域有两台DC,三个分区分别存储其中。
­
三、AD与DNS的关系
­
DNS支持AD  AD基于DNS
DNS可以帮助客户端找到相应的域控制器
DC比DNS多提供两个服务 LDAP和Kerberos
_LDAP属性可以提供0-65535的数值,用于指定优先级
优先级:是用来指定服务器承担的负载,优先级相同的情况下,负载越大就承担越多的负载,例
如,一个是1000,一个是10000,那么10000的负载就是1000的十倍
_Kerberos属性制定了那个地方的那向服务由那一台计算机上边的那个服务提供
SRV记录:指定了那个地方的哪项服务由那一台计算机的那个应用程序提供,它的优先级和所承
担的负载是多少(SRV记录是DC开机的时候向DNS注册)
活动目录集成区域和标准区域由四点不同:
区域文件
自动更新
安全性、限制谁能使用DNS
复制
支持活动目录的DNS服务器必须满足以下条件:
必备条件:支持SRV记录
可选条件:支持DNS和增量文件传输(动态DNS)
安装和卸载活动目录
安装前的准备工作
硬件:CPU 硬盘 内存 网卡
软件:确保DNS和要安装的域控制器通讯正常
文档准备工做:活动目录逻辑环境设计犯案
               物理结构设计方案、组策略
               安全策略、管理员口令
安装AD的四种模型
、安装新域、新树、新森林的第一台域控制器(创建配置分区、架构分区、域分区)
安装一个域中的第二台DC(从第一台DC中复制相应的分区)
安装一个新树的根域的第一台DC(从根域复制架构分区、修改配置分区)
安装一个子域中的第一台DC(从父域DC上复制结构分区、修改配置分区、创建域分区)
标准安装过程
   选择相应安装模型
   选择域名
   设置活动目录数据库和日志文件存储区域
   设置AD Sysvol 文件夹存储区域
   设置权限分配方法
   设置AD目录恢复模式口令
   安装AD
Sysvol系统共享卷保存的是DC的共享内容,必须放在NTFS5.0卷上
   设置AD数据库和日志文件位置
考虑日后数据库、日志的大小,千万不要和操作系统放在一个分区,最好找一个硬盘,放在和操
作系统不同的硬盘上,这样能够分担负载。
什么操作系统的计算机能够用活动目录:
微软的企业版本的操作系统可以加入域:
家用:Win95、Win98、WinXP HOME
企业:Win2000、Win2003
目录恢复模式、普通模式的区别
在Windows 2000、2003启动时按F8,可进入目录恢复模式,只有运行目录服务才能修改数据库。
活动目录不仅运行了目录服务,还运行了其他服务,在恢复模式中,只运行目录服务,停掉了其它服务,
其它安全模式连目录服务也停掉了,不适合维护
­
四、判断AD安装是否成功:
­
在DNS上看有没有主机记录
看有没有SRV记录
PING别名记录的SID
AD安装时创建了两个文件夹 NTDS 、SYSVOL
Sysvol是否共享了
将计算机加入域时,会查看SID是否有相同的计算机已经隔不久在域中,如果有相同的SID的计算
机已经在域中,则此计算机将不能再加入到域中(例:平时我们做虚机,做系统用的是同一个镜像文件,
它将会是同一个SID,因此我们需要用SURRORT中所带的工具解决SIN一样的问题,这样该计算机就能加入
到域中了《DEPLY.CAB》解压SYSPREP.EXE)
­
五、御载活动目录
­
     (1)、卸载活动目录应注意的问题
确保GC的角色被迁移到了另一台DC,运行DCPROMO,选择是否为域中最后一台DC,输入管理员口
令,御载活动目录
  注意GC的迁移,必需要保证域中至少有一台GC,所以GC的迁移很重要,在御载的时候要避免御
载掉域中最后一台GC
迁移GC
AD站点和服务,找到相应在Sever NTDS Setting属性,在全局编录的前面会有一个方框,点上勾
的,说明此域控制器是GC,没勾的就不是GC,迁移GC只需要在前面把勾去掉,在另一台上把勾打上就可了
(2)、关于安装AD卸载活动目录的深入理解
首先做检测是否能和域联系
在“系统”“属性”加入域,如果弹出密码提示,则可以联系域,如果不弹出,则表明联系不上
添加额外的DC,登陆要做DC的机器
检测能不能和域DC通信
向导
安装子域
检测是否能和现有的父域通信,能不能和森林根域通信
向导
要企业管理员权限
添加树
一般不要新森林,较难管理
确认AD安装
确认“AD站点和服务”管理工具已经出现服务器对象
验证DC已经分配到正确的站点
根据需求调整DNS
检查是否存在Sysvol共享
验证是否向DNS注册了所用的SRV记录
在“活动目录和信任关系”管理工具中确认新域已经出现,并且拥有信任关系
验证DC能否参与正常复制
验证FSMO的存在
验证是否向DNS注册了SRV记录
的“服务”中看Kerberos KDC的服务是否运行
看C盘的数据库是否已经出来了
验证FSMO的存在
Netdom query fsmo /domain:域名
规划活动目录的卸载
DC将为成员服务器(要域管理员)
删除AD的一个Domain(要企业管理员)
卸载
检查带降级服务器是否有操作主控
Netdom query fsmo /domian:域名
如果有操作主控要转给其他机器
检查带降级服务器是否是GC
“AD站点和服务”站点下要求有其他GC,如果没有先把机器升为GC
检查带降级服务器能不能与其他DC通信
检查带降级服务器能不能于DNS通信
检查是否能访问操作主控
删除活动目录
在“AD站点和服务”工具中删除服务器对象
根据情况,规划域是否脱离域,其实没有这样的麻烦,记得、要考虑好了在卸载
GC的作用
存储林中所有的对象信息,方便最终用户与进行搜索
存储通用组成员身份信息,帮组用户构建访问令牌
如果使用UPN名称登录时,决定用户属于林中的那个域
但你的活动目录林里包含有Exchange Server时
   (1)、提供全局地址列表
   (2)、展开邮件列表、协助邮件投递
   (3)、Exchange Ds Access 组建访问GC获得目录信息
如果GC不能正常工作
修改DC名称
Windows 2000
记录待改名DC的当前配置情况,包括是否拥有操作主控,是不是GC,是不是站点首选桥头堡服务
将待改名服务器降级为域成员服务器
修改计算机名
将计算机提升为域额外控制器
重新对计算机进行配置,恢复原有配置信息
­
六、设置UPN
­
管理活动目录的资源
管理用户账号
UPN用户登录主名,在其它域登录时用GC来认证,形如 X@Y.Z之类的名称。UPN也可以用Email地址
,例如:163.com、sian.com等,当然也可以用自己公司的各个域的后缀
为什么使用UPN呢?
当公司存在多个域时,用户如何选择正确的域?此时UPN省去了用户的麻烦,UPN最大的特点就是
:用GC验证,不用DC验证,所以不必跨越广域网,但UPN必须在全森林里唯一。在多域环境中方便用户登
录和企业中的信息系统整合。
在域和信任关系(属性)可以创建UPN
UPN的验证依懒于GC
在单域中间意义不大(多域中应用比较有价值)
用户账号的基本管理任务
对一个用户禁用账号,重设密码、删除、移动、属性(账号锁定)、重命名
重设密码:可以提示用户下次登录时必须更改密码
属性“账户”用户登录名(2000以前版本)使用SAM账号中用户名,新建用户账号时,FULLNAME
是“显示名”,用户登录名是用户登录用的,在活动目录中用到的名字必须在AD中唯一,也就是登录名在
域中必须是唯一的。
Global Catalog
GC上存储什么可以自己定义,定义的话要修改架构分区,GC用3268端口相应查询,用SSL后,用
3269端口相应查询,当一个属性在架构分区被设置为“将此属性复制到全局编录上”时,活动目录中这一
类的对象的这个属性会存在GC上,不想在GC中存放某个属性,就在属性中“将此属性复制到全局编录上”
前边对号去掉就可以了,GC就会将这个属性的记录删除 。
­
七、GROUP的使用:
­
组的类型和组的作用范围
类型:
安全组:用来分配权限并且可以创建Email的分发列表
分发组:不能分发权限,仅仅用来做Email的分发列表,分发组可以说是安全组的功能的子集,
那要分发组干什么?Excharge Server专门调用AD中的分发组,用分发组因为权限比较少,所以比较安全
作用组的好处:
方便管理
降低ACL的条目,加快访问控制列表
  ACL:访问控制列表
  ACT:访问控制台
AGDLP(把用户加入组分配权限是一条亘古不变的定律,也是衡量管理员是否入门的法宝,把账
号加入全局组放入本地组,把权限分配给本地组。分配权限一定先建组,再建用户或把用户放入组,这样
方便以后管理,如果只是建用户给用户分配权限,对日后的管理会带来不便,一个组中的用户不要超过
5000个(复制及管理限制)
组和组的嵌套不要起家过70次,这是因为用户经DC验证以后,给用户一个ACT访问控制令牌,里
面含有用户的SID及用户所在组的SID,如果嵌套太厉害ACT就太大了,所以最好不要超过70次,但建议不
要超过10次。
组是基于A-G-U-DI-P策略使用安全组,这个策略提供最大的灵活性同时也降低了指派对 网络访
问权限的复杂性,这样可以实现基于职责的授权
  用户账号(A)添加到全局组
  全局且添加到能用组(G)
  能用组添加到域本地组(U)
  通用组添加到域本地组(DL)
  资源的权限(P)指派给域本地组
UG问题
UG放在GC上维护,UPN是要联系GC,如果UG也访问,GC的负担就会很大,当用户联系不到GC的时
候,有可能导致用户登录失败,不存在多个域的情况下,尽量不要使用UG
­
八、活动目录的多域管理
­
在同一个森林的不同域之间实现资源的互访,称为多域管理,森林根域创建第一个域
默认情况下,森林根域存储着Schema分区和Configarotin分区
有一台GC默认是森林的第一台DC
有两个特殊的组Enterprise Adion和Schema Admin
同森林多域间信任关系
自动创建可传递、双向、快捷信任、单向、手工创建
如何更改信任关系“AD域和信任关系”
为什么需要森林的管理
管理自治,收购兼并,出售业务等
在2003纯模式下,手工创建单向、可传递
管理活动目录特殊角色服务器
在Window 2000以前,域环境是单主控(Single Master)模式,Windows2000以后的域是多主控
模式
单纯的Single Master模式有很多麻烦,比如说,主控DC死机了,要其他的DC来顶替
Window 2000以后不会单纯的Singe Master,而是带有柔韧的,这样所有DC都可以存储数据。
如果每个人都可以对架构修改,那么就会造成混乱,这些域上的架构信息应该一样,一旦混乱了
就不好管理了
FSMO:带有柔韧性的单主控角色
架构主控:Schema Master
域命名主控:Domain Nameing Master
PDC仿真器:PDC Emuator
RID主控:RID Master
基础架构主控:Infra Strcture Master
这五个应用程序可以放在同一台DC上运行,也可以不再同一台,也就是说一台DC可以承担五个主
控的角色,这五个角色也可以由五台分别承担
    架构主控作用:控制所有架构分区的更新,复制更新到林中搜易域控制器,仅仅允许架构管理员管理
架构分区。林中唯一默认是林中第一台DC,架构分区配置必须在架构主控上修改,修改完以后可以复制到
其他DC上。
更改架构主控:右键“AD架构”工具“操作主机”“更改架构主机”“当前焦点”指登录DC
查看主控拥有者须安装SUPPORT TOOLS(支持工具)
Netdom query fsmo /domain:域名
域命名主控
当添加、删除Domain时此主控必须在线,整个林唯一,必须和GC在一台机器上
更改操作主控:“AD域和信任关系”连接单要迁移的计算机“操作主机”“更改操作主机”
PDC模拟器
支持NT的BDC和它复制,支持2000以前操作系统,当他们找PDC时让这一台DC扮演PDC角色,如果
域工作在2003过度级别时,要检查PDC模拟器是否正常,NT BDC一旦得到一个用户密修改信息,首先赋值
给PDC模拟器,然后由PDC模拟器上有密码最新复本
管理时间同步,由于时Kerberos验证,所以时间的同步很重要Window Server2003中用“外部时
间源” “瀑布”同步法,一般同步的方法,例如:UNIX用“加权时间同步法”
由服务器收集其他服务器时间,然后按照权重新分配时间
外部时间源,同步的时候和外部时间进行同步,在Internet有提供服务的在森林根域上设置
同步的过程:
根域的PDC模拟器和外部时间源同步时间
根域中所有DC会和根域的PDC模拟器同步
子域其他DC和子域PDC模拟器同步
子域其他DC和子域PDC模拟器同步
子域客户端同步
从上到下他们形似瀑布,故称为瀑布同步法又称外部时间源同步法,所以是外部时间源 瀑布
根域中在“事件管理器”系统有W32Time 代号为12的警告那是因为没有指定外部时间源在根域
PDC模拟器上运行net time /setsntp 时间服务器地址指定时间源,可以把地址指向自己,以后就不会出
现如此警告,警告不会影响运行,只是警告。在2003中已经少见这样的警告,因为2003默认已经配置了外
部时间源
PDC模拟器的管理
“AD用户和计算机”“右键相应的域:先连接到另一台DC”然后“操作主机”PDC选项卡
PID主控
每一个对象都有一个SID,这个号在整个域中是唯一的,在注册表中可以看到SID号码
HKEY _USER 下边就是SID
Windows 2000 Windows2003每个DC都能分发SID
怎样确保SID唯一
Object SID=Domain RID 对象自己的SID
每个森林里都有一个RID,RID开始协商每个域的SID
基础结构主控
跨域情况下实现ADUGLP规则,不能和Gc在同一台机上
迁移
传送、传输、迁移服务器和目标服务器,同时在线
抢夺,不要求原服务器在线,一般用在原服务器无法提供服务的时候,抢夺不会从原服务器复制
最新数据,所以可能造成数据的不完整
服务器都是有韧性的也就是可迁移的
传输、有图形界面、有命令行界面
抢夺、只有命令界面
管理活动目录的复制
为什么要管理复制,是因为要避免单节点故障,保证DC数据一致
对于一个数据库有多个主控比较以下四个方面
是否适合大规模的发布式部署
容错性能
数据一致性
复制关系
总结,研究活动目录的复制优化是在研究两个问题
如何复制(优化)关系
如何保证数据库一致性(解决冲突)问题
活动目录复制的特点:带有松散的收敛性的多主控复制
松散的:在各DC上修改要过一定时间才会同步
收敛:什么时候各DC数据库一致就收敛了
复制过程:
        站点内的复制
        站点间的复制
­
九、站点
­
站点:一个域多个子网的集合
特点:高速、高可靠性、低费用、站点信息属于活动目录分区中的配置分区,也可以说WAN是划
分站点的一个标准
站点的复制
站点内的复制过程
数据不压缩,没有改变的时候,不能做计划
用Notification通知复制伙伴
有了源更新,A会根据相应的复制关系发出一个Notification的消息,B、C受到会把A上的数据拉
过来,NOtification每隔5分钟发送
连接对象和KCC
Conneetion Object:表明物理连接可用于复制的逻辑连接(单向,指向复制)
连接对象的建立:自动或手工
            立即复制复
                 成对建入、入站点
复制关系用连接对象建立,没有连接对象不能复制
“AD站点和服务”(有复制关系时可查看)站点、Server、打开NTDS Seting
KCC:自动重新建立一次复制关系
管理员可以手动加你复制关系
运行一次KCC自动重新建立一次复制关系
通过连接对象可以复制
例如:在Server NTDS Seting上右键一个连接对象“立即复制副本”KCC每次创建连接对象会花5
分钟,每隔15分钟重新计算复制关系,3跳原则自动复制拓扑的产生
Windows Support Tools中,AD复制监视器可以监视复制      
站点内的复制,假设1是更新源(更新通知2、7,2、7更新通知3、6……)最后收敛,监视复制
AD监视器,打开的时候是空的,然后添加相应要监视的站点
站点间的复制
Feature
Site Link(自动连接)
Bridge Head Server
Site LInk Bridge
SMTP VS IP
站点间的复制的发生
站点内的复制(ISTG进行公选一个桥头堡)
站点内复制:
      过程:站点内先复制,在站点间复制,最后是站点内
站点内:高速 成本低 高可靠性
站点间:低速 成本高 地可靠性
Feature 站点间复制
默认不发送Notification的信息
因为站点间的连接是低速、高成本、地可靠性
站点间的复制是按计划时间、时间到了就复制
复制数据压缩,可以被计划(什么时候可以复制,什么时候不可以复制)
Site Link
站点内的复制关系:Connection Object
站点间的复制关系:Site Link 站点连接(这样说是不很准确,但为了和站点内复制对比记忆)
Bridge Head Server(桥头堡服务器)
桥头堡服务器由ISTG自动选举产生
ISTG每隔一个小时发动一次选举,也可以为单独指定一个桥头堡服务器
Site Link Bridge(站点连接桥)
SMTP和IP
SMTP:只要用于站点ian的复制,不能做同域内的复制(要CA,不能被计划)
IP:复制流量比SMTP少,既可做站点间又可以做站点内(不要CA,可以被计划)
只有和邮件系统通用,拨号用SMTP、一般用IP
注意:禁止有Exchange Server的DC上做上述操作,在Windows 2003下可以直接重命名,一般情
况下,还没有卸载再重装快!
组策略
学习Windows底层的东西(技术)不难,难再用的好不好