以下文章轉自http://desperado.blogdriver.com/desperado/68234.html
Microsoft 2003 AD技術擴展(一)- -
- 作者: Desperado 江小帥
以前的學生最近來電話,說對AD瞭解得不是很透徹,總感覺就是那麼點兒東西,我說:不是吧?大哥,看來是什麼都大拿了。於是隨便說了幾個有關AD的東東,我靠準知道他不會。我是提倡在理解完MCSE教程上面的每一個知識點之後再掌握這些使用和管理AD的特殊技巧。說來大家一起共勉吧!
1、出於某些原因,組中包含的成員一般不能超過5000個。如果組的最大容量爲5000,那麼域在建立時自動創建名爲“Domain Users"的組中會包還所在域的每個用戶帳戶,如果建立了一個大於5000名用戶的AD,那麼“Domain Users”也不會崩潰的,why?答案在於“Domain Users”並不是一個真正的組,而只是看上去像一個組。他的容量根據用戶的需要可以是任意大小的。
2、建立多域與使用OU的對比:
由於帶寬有限:複製成爲難題(這是使用多域結構最好的理由)。
不同的用戶帳戶策略:因爲包含用戶帳戶策略的策略只能應用在域上,如果應用到一個OU或SITE上,則被忽略,所以這也是建立多域的原因。
不信任分支辦公室:這個不用說了。
政治:父公司,子公司,這個也不用說了。
由於帶寬有限:複製成爲難題(這是使用多域結構最好的理由)。
不同的用戶帳戶策略:因爲包含用戶帳戶策略的策略只能應用在域上,如果應用到一個OU或SITE上,則被忽略,所以這也是建立多域的原因。
不信任分支辦公室:這個不用說了。
政治:父公司,子公司,這個也不用說了。
3、空根設計:
創建第一個域然後只在其中放入一兩個帳戶,別的什麼也不做的想法稱爲空根AD設計。有些企業即使建立的是隻有一個域的企業系統也創建了一個空根域,這是考慮到將來可能會收購其他公司時需要。缺點時你需要爲這個空根設置一臺DC,或者兩臺,並持續不斷地運行,什麼也不做,僅僅是爲了支持根域。
創建第一個域然後只在其中放入一兩個帳戶,別的什麼也不做的想法稱爲空根AD設計。有些企業即使建立的是隻有一個域的企業系統也創建了一個空根域,這是考慮到將來可能會收購其他公司時需要。缺點時你需要爲這個空根設置一臺DC,或者兩臺,並持續不斷地運行,什麼也不做,僅僅是爲了支持根域。
4、在命令行使用以下命令查找客戶計算機所在的站點名字。(域內的計算機就是根據這個位置來尋找距離自己最近的DC的,只有在2003的計算機上默認纔有reg.exe這個命令的,2000下需要安裝光盤上的support工具)
reg query hklm/System/CurrentControlSet/Services/Netlogon/Parameters /v dynamicsitename
reg query hklm/System/CurrentControlSet/Services/Netlogon/Parameters /v dynamicsitename
5、在域的成員計算機上打開一個命令提示符界面並輸入set命令,可以找出是哪臺DC讓自己登錄進的。LogonServer=開始的一行就是。
6、在用戶的登錄過程中,如果找不到GC,那麼用戶將無法登錄(如果在單域中,不需要GC也可以登錄進入),管理員可以告訴自己的本地DC即使找不到GC也仍然接受登錄(KB241789)。修改註冊表即可,位置如下:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa/中創建一個名爲IgnoreGCFailures的記錄項,類型是REG_DWORD,並且把它設置爲1就可以了。不過這麼做意味這你的工作站將在登錄過程中跳過一個安全步驟,避開隊你的通用組成員關係的檢查。
改天繼續:)
Microsoft 2003 AD技術擴展(二)- -
7、AD與非動態DNS
微軟的AD對DNS的要求可以總結爲以下3點:(有點兒絮叨)
a、在DNS名字空間中支持下劃線,因爲在AD中有些重要的子域需要在其名字中使用下劃線。這一點在教程中沒提。
b、支持SRV記錄,不用說爲什麼了。
c、動態DNS(也可以使用不支持動態DNS,後面就有講解)
有的時候我們也可以採用一些其他公司的DNS產品來代替2000/2003的動態DNS服務。如支持SRV記錄(RFC2782)和動態更新(RFC2136)的Linux系統上運行的BIND,或者Lucent公司的QIP DNS/DHCP系統。(後者沒用過,不知道是個什麼樣兒,只在其他書籍中提過)但有的時候動態的DNS在某中情況中會給我們帶來一些安全的隱患。AD與非動態DNS的結合實際上也是可行的。例如在以下文字中如果DNS支持SRV和下劃線,但不支持動態DNS,仍然可以使用一個名字爲Netlogon.dns的文件來實現AD。
每臺支持DDNS功能的計算機都會在DDNS中親自寫入一條自己的A記錄。但是AD實際上需要依靠所有這些SRV記錄,並且他們是由Netlogon服務寫入區域文件的。每當重新啓動一臺DC或者重新啓動Netlogon服務、或者過了一段時間沒有更新的時候,Netlogon服務會與主DNS服務器聯繫,並註冊自己的SRV記錄。但DC上的Netlogon服務還做了其他的事情,它可以把這些SRV記錄寫入一個名爲Netlogon.dns的ASCII文本文件。該文件存儲在/Windows/System32/Config/中———進入任何一臺DC,使用記事本可以查看該文件中有大量的SRV記錄。
利用以上的說明就可以利用一臺不支持動態升級的DNS實現支持AD。
a、首先在DNS服務器上(不支持動態升級,如NT4.0)建立一個區域jzl.com作爲主要區域。將這個區域文件命名爲jzl.com.dns。
b、爲jzl.com域中的每臺DC輸入A記錄。
c、進入jzl.com域中的每臺DC,然後啓動它的Netlogon服務。
d、把該DC上的/Windows/Syytem32/Config/Netlogon.dns文件放到一張軟盤或者網絡上。
e、取得所有DC的Netlogon.dns文件後,在jzl.com的主DNS服務器上把它們合併成一個大ASCII文件。
f、在這臺DNS服務器上,停止DNS服務。
g、在/%SystemFiles%/System32/DNS中,用notepad打開文件jzl.com.dns。、
h、在額外的行中添加你把所有的Netlogon.dsn記錄項合併成jzl.com.dns這個文件時收集的SRV記錄。
i、保存這個文件。
j、重新啓動DNS服務。
這臺不支持動態工薪的DNS服務器以及它的任何輔助服務器現在可以支持AD了:)
缺點:
a、收集所有DC的Netlogon.dns文件需要做大量的工作。
b、並不具有很好的動態性,如果刪除DC或DC脫機都需要手工刪除DNS上的的Netlogon.dns文件中的相應SRV記錄。
Microsoft 2003 AD技術擴展(三)- -
8、RID FSMO池
任何“本機模式”的DC都可以做到的一件事是創建新帳戶,並且不需要去查找其它什麼“中央”或“主”域控制器。在NT/2000中,每個事物都有一個惟一的標識符SID。
SID樣子如下:
S-1-5-21-D1-D2-D3-RID
SID樣子如下:
S-1-5-21-D1-D2-D3-RID
在所有的SID中都有1-5-21。這裏的D1,D2,D3實際上是三個隨機生成的32位數字。當AD剛剛開始創建一個域的時候,它會生成惟一的32位數字,並且對該域中生成的任何SID它們會保持不變。
“注:D1-D2-D3可能是根據MAC地址建立的,所以每臺DC都不一樣。”
RID爲最後的32位,因此被稱爲相對(relative)或者RID。一些RID是固定的。在每個域中都有一臺DC,負責向外提供RID,因此每個DC就可以創建最多500個帳戶,然後又需要回去找那臺中央DC,再次要500個RID(實際上DC不會等到RID緩衝池用完纔去要的,一般在還剩100-250的時候)。
“注:D1-D2-D3可能是根據MAC地址建立的,所以每臺DC都不一樣。”
RID爲最後的32位,因此被稱爲相對(relative)或者RID。一些RID是固定的。在每個域中都有一臺DC,負責向外提供RID,因此每個DC就可以創建最多500個帳戶,然後又需要回去找那臺中央DC,再次要500個RID(實際上DC不會等到RID緩衝池用完纔去要的,一般在還剩100-250的時候)。
9、基礎結構 FSMO
在多域網絡中,很難把對一個組或者用戶帳戶的更改迅速反映到其它的域中(例如重命名一個用戶或把一個用戶放入域中的一個組)。基礎結構主控的機制可以加快這一過程。
10、在“任務管理器”中看不到KCC,因爲它是lsass.exe的一部分。但觀察lsass.exe則是一個指出是否需要另一個DC的好辦法。通過“性能查看器”檢查“進程”對象,並且查看其中lsass.exe所佔CPU增長,或你發現當lsass.exe很繁忙的時候,就需要增加額外的DC了。
11、名稱上下文:這個詞來自LDAP,被Microsoft公司採納,它的意思是“必須在一批計算機之間複製的數據庫”。