1. 域的基礎概念和安裝
2. 域的邏輯結構
3. 域的物理結構
4. 域;活動目錄;域控制器的概念
5. 域如何保證高可用性
6. 如何在企業中構建域
7. 加域的時候解析域名,而不是機器名(通過ladp的srv記錄)
域總結
域架構的重要性
活動目錄的邏輯結構
活動目錄的物理結構
比較三個概念:
◆ 域(domain):主要用來描述公司的系統架構。是由多臺計算機所構成,並且有統一管理特性的系統架構。域的概念和工作組相對應。
◆ 活動目錄(Active Directory) 簡稱AD:是微軟的所提供的目錄服務(比如包含了查詢、身份驗證),它的核心包含了活動目錄數據庫。活動目錄數據庫中存放了所有的活動目錄對象:用戶、組、計算機、OU、打印機等等
◆ 域控制器 (Domain Controller)簡稱DC:是微軟域架構中用來管理其他客戶機的服務器、是整個域的核心。每個域控制器都包含了活動目錄數據庫。
單點管理:在域架構中,所有的客戶端可以由DC這一臺計算機進行管理
一次登錄:讓用戶登錄域後,訪問域中所有的計算機都不需要進行身份驗證。
域架構如何創建出來?
在域架構中,最核心就是DC(域控制器),所以域架構的形成最先要創建域控制器。DC創建完成後,把工作組加入DC中,這樣就形成了域環境。
在升級DC前不需要安裝dns服務。
SysVOL: 用來存放所有組策略模板。 默認位於C:\windows\SysVOL
如果此文件夾有問題,所有的組策略對於客戶端都不會生效。
如何保證公司內部域架構的穩定和高可用性?
在公司內部創建多個DC
定期對公司的域架構做備份
不要在域控制器上運行大型服務
不要讓外網直接訪問域控制器
在默認情況下,普通用戶是可以吧計算機加入域的,一個用戶只能加入10次
如何設置管理員才 能把計算機加入域?
權限的委派控制
創建備份DC主要做了兩件事情
◆ 在本地安裝好域服務
◆ 把當前DC中的所有數據複製到備份DC的活動目錄數據庫
域的兩個特性:
域是有邊界的;
域是一個複製單元。
關於活動目錄數據庫的複製:
◆活動目錄數據庫的複製就是多個DC數據庫同步的過程。
◆ 活動目錄庫在底層有主要有三個分區:域分區,配置分區,架構分區,
◆ 如果兩個DC在同一個域中,這三個分區都會複製;
◆ 如果兩個DC在同一個林中,而不再同一個域中,只有配置分區和架構分區參與複製
◆ 在Windows域中,默認情況下,複製是實時的,每個15秒校驗一次複製的結果,在實際生產環境中,複製的快慢和網絡的帶寬和服務運行的速度有很大的影響
在活動目錄中,複製的類型有兩種:多主複製和單主複製
多主複製:每一個DC都可以把修改同步給其他DC,域分區的複製就是多主複製
單主複製:只有固定的DC才能把數據同步給其他DC,比如配置分區和架構分區。
OU(組織單元)好處
在公司域的應用中,一個OU一般表示一個部門
1. 使活動目錄中的對象組織更加有條理
2. 在OU上可以做一些權限的委派,這樣是管理更加高效
3. 在域中可以實現統一管理,統一管理是通過組策略來完成,在OU可以應用組策略。
使組策略的應用更加細化(可以針對部門單獨寫組策略)!!!!
GC: 全局編錄服務器,全局目錄服務器
1. GC是一種特殊的DC,GC的數據庫中除了包含本域中所有的對象外,還包含了全林中所有域中所有對象的部分信息。
2. 所有的GC肯定是DC,DC不一定是GC
3. 在一個林中,至少有一個GC,一般在現實的應用中,一個物理區域放一個GC
域控制器
站點