Windows域设计方案书.doc

Windows域设计方案书粤港科技应用方案中心2010年11月版权声明本方案书版权属于联想（深圳）电子有限公司。未经联想（深圳）电子有限公司事先书面授权，不得复制、转载、出版、泄露或用作原用途以外的其他目的。地址：深圳市南山区高新技术园（南区）高新南一道联想研发大厦邮编：518057网址：电话：800-810-8888 传真录第1章用户现状及需求分析5第2章活动目录域设计62.1概述62.2活动目录管理模式设计62.2.1基本概念62.2.2用户域设计目标82.2.3设计原则82.2.4用户登录场景102.2.5域设计112.2.6两种域模型的分析132.3组织单元结构132.3.1OU的概念132.3.2设计规则142.3.3OU设计142.4组策略152.5站点及复制设计162.5.1基本概念162.5.2Site设计目标172.5.3Site的划分172.5.4Site Link 的建立172.5.5Site Link 命名172.5.6Site Link 开销值182.5.7Site Link 复制日程安排182.5.8Site Link 副本复制频率192.6DNS设计192.6.1基本概念192.6.2DNS设计202.6.3DNS名字空间设计212.6.4安全性212.6.5DNS服务器的位置和复制做法212.6.6DNS服务器的容量考虑222.6.7域控制器上的IP配置中DNS配置222.7WINS设计222.7.1基本概念222.7.2WINS服务器的位置232.7.3WINS服务器的复制232.7.4WINS服务器的容量考虑242.7.5客户端WINS配置242.7.6域控制器WINS配置252.8用户及主机命名252.8.1用户命名规范252.8.2主机命名规范252.9域控制器物理设计262.9.1基本概念262.9.2域控制器设计目标272.9.3域控制器的位置和数目282.10服务器角色表28第3章微软SUS服务293.1SUS服务简介293.2SUS服务要求293.2.1服务器配置要求293.2.2客户端要求303.2.3SUS服务支持的更新303.3太平保险有限公司SUS系统架构313.3.1集中部署313.3.2分布部署313.4SUS服务器安装和配置323.5SUS服务实施方法323.5.1通过活动目录对域成员实施323.5.2对非活动目录成员实施33第1章 用户现状及需求分析太平保险有限公司目前在全国搭建有自己的广域网络，网络的中心设在深圳，通过2M的广域链路连接全国的近十多家分支机构。在深圳总部及各分支机构，每个分支机构约有500个左右用户客户端。太平目前的网络中，采用对等式结构，每个客户端自我管理。在这种结构下，系统管理员没有集中管理权限，每个工作站的安全大多依赖于使用者的IT技能及意识，在网络出现大规模的病毒爆发时，容易造成大面积的影响。因此，在一个健全的网络中，系统管理员需要具备强大的集中管理权限，对整个网络中用户的权限进行分类设置，严格管控整个网络的安全。同时还要对网络中的所有可利用资源进行集中管理，并让用户能以最方便的方式去访问这些资源。此外，太平所有的客户端运行的操作系统均为Windows 2000或Windows XP。对于这两种操作系统，需要经常安装操作系统补丁来弥补系统的设计漏洞，避免受到利用漏洞进行攻击的病毒、木马及黑客程序。通常安装操作系统补丁有两种方式：1.通过Microsoft的Windows Update网站进行升级；2.通过执行下载到本地的补丁程序进行修补。但这两种方法都依赖于使用者的安全意识。而根据我们的经验，大多数计算机用户是没有这样的安全意识。因此系统管理员需要一种能强制公司所有计算机用户修补系统漏洞的方法来帮助他进行安全管理。第2章 活动目录域设计2.1 概述活动目录域模型是太平保险有限公司用户和计算机管理的基础，它的设计与建立，包括用户、用户组的划分、建立与存储，用户的身份认证方式， 计算机命名与DNS/WINS域名解析，用户域服务器的物理设计与站点分布。活动目录域采用内置于Windows 2000/2003 Server的活动目录服务建立，活动目录存储着网络上各种对象的有关信息，包括用户、计算机、打印机、应用程序、其它网络的信息，这样易于管理员和用户查找及使用。活动目录服务采用结构化的数据存储作为目录信息的逻辑层次结构的基础。基于活动目录构建的太平保险有限公司目录服务系统可以作为企业基础目录服务提供给其它应用系统使用。2.2 活动目录管理模式设计2.2.1 基本概念Active Directory的逻辑结构提供了灵活的方法来设计目录层次结构，逻辑机构包含了三个组件：域（Domain）、组织单元（Organizational Unit）、树和森林（Tree and Forest）。如下图所示：一至多个域可以组成树，一至多个树可以组成森林，一个域中包含组织单元。l 域规划域是Active Directory逻辑结构的核心单元，是一个计算机的集合，它们共享相同的目录数据库。在Windows 2000的网络里，域定义了安全界限。目录包含一个或多个域，每个域均有自己的安全策略以及与其它域的信任关系。域的管理员有权限执行域内的管理。域也是复制的单元，所有域的控制器在域里都分担了复制，包含了整个域的目录信息的一个复制。Active Directory采用了一个多主机的复制模式，特定域中的所有域控制器均可接收更改内容并将这些内容复制到域中的所有其它域控制器中。最容易管理的域结构就是单域。在企业里第一个产生的Windows 2000域称为根域（root domain），包含了整个森林的配置和结构信息。在作域规划时，应从单域开始，并且只有在单域模式不能满足要求时，才增加其它的域。一个域可跨越多个站点并且包含数百万个对象。站点结构和域结构互相独立而且非常灵活。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。如果只是反映公司的部门组织结构，则不必创建独立的域树。在一个域中，可以使用组织单元来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。在下面的原因可以考虑创建多个域：u 部门之间不同的安全要求 u 大量的对象 u 不同的 Internet 域名 u 对复制进行更多的控制 u 分散的网络管理l 树和森林设计树树是Windows 2000域的层次排列，共享相同的命名空间。当在树里增加一个域，那么新的域是存在父域的一个子域，子域的名称要结合父域的DNS的域名。例如公司当前域是，它新增的分支机构的域是。森林森林是一组不共享命名空间的树。在森林中所有的树都共享相同的配置、架构和全局分类。森林是域的集合，是一套目录系统的边界。森林有两种主要用途：简化用户与目录的交互过程和简化对多个域的管理。森林有这样一些特征：l 共享一套 Schema(定义AD中对象的类型和相应对象的属性)l 共享一套 Configuration (如Domain,Site,Site Link 信息)l 共享一套 Global Catalog (GC,全局编录)n 用户搜索 Global Catalogn 用户用UPN名登录 ()l 森林中的域之间互相信任开始规划森林模式时，从单一森林着手。在很多情况下，单一森林就足够了。建立多个森林的理由为：l 不能信任其它的管理员l 不能就Forest变化策略达成一致n Schema变化, Configuration变化,添加新域对整个Forest带来的影响。n 共同决定Schema administrators, enterprise administrators 的成员多个Forest带来的不好影响：l 增加管理费用n 域数目增多；各个森林分别管理森林级的服务n 手工管理和维护森林之间的信任关系l 有一些功能在多Forest的环境中失效n UPN logon (如)2.2.2 用户域设计目标l 建立太平保险有限公司的域结构，使整个体系结构简单，易扩展 l 满足对用户和资源中心管理与分布管理结合的要求l 在用户登录和目录同步时优化网络带宽的使用2.2.3 设计原则在Windows 2000设计原则中来自实际的经验是，尽量减少域的数目，保持域结构的简单化。有三种可能的原因增加新的域：l 保留已有的 Windows NT 域结构；l 管理任务的划分；l 物理划分；l 保留已有的Windows NT 域结构：这是太平保险有限公司设计目录域不必考虑的地方；l 管理任务的划分n 域是管理任务的边界。这意味着每个域有一个域管理员组，域管理员对域中的每一个对象都有完全的管理权力。这些管理权力只在本域拥有，不会跨越到其它域。通过将各个域的管理员帐号/口令收集到总部，也可以实现将不同域的管理任务集中到总部，这是一种变通的做法。n 在组织中，对安全策略的需求 。有一些安全策略是实施在域用户上，只能基于每个域来设定： 口令策略，如口令长度等 帐户锁定策略，用来定义对待猜测口令的入侵者，口令数次失败后将帐户锁定 Kerberos 票据策略. 定义Kerberos 票据的生命周期. 一张Kerberos 票据是在登录过程中获得的，用来进行网络认证。一张票据只在策略中规定的生命周期时间内存活。当票据过期后，系统自动去申请另一张新的票据. 如果组织中对这些策略不能达成一致，那么只能分为几个域。l 物理划分的需要物理划分是指将森林中的域划分为多个小域。多个小型域可以优化复制过程，只需将复制对象放在最相关的位置. 例如，在只有一个域的森林，森林中的每一个对象都需复制到森林中的每一个域控制器上。这样有可能将一些很少用的对象复制到一些地方，而占用了宝贵的带宽，例如，经常登录到总部的用户不需将他们的帐户复制到分支机构。通过建立一个独立的分支域可以避免一些复制流量。以下的表可以帮助设计一个单域环境能够承受的最大用户数：域控制器之间的最低有效物理带宽(kbps)创建一个单域不超过的用户数9.620,00014.430,00019.240,00028.850,00038.475,00056.0 (and higher)100,000以下的表可以帮助设计增加子域，子域能够承受的最大用户数：域控制器之间的最低有效带宽 (kbps)一个森林中不要超过的用户数 (users)创建子域不超过的用户数(users)9.625,00015,00014.450,00015,00019.250,00025,00028.875,00040,00038.4100,00045,00056.0 (and higher)100,000100,000上面的两个表的数字：n 以 100,000 用户为边界n 保守的估计 10% 的最小带宽用来处理复制 所有的DC都为GC 新员工率为：20% 离职员工率为：15% 组中成员变化是复制中主要的流量 用户和计算机数目是1：1 DNS是AD集成的 DNS配置中有清除陈旧记录2.2.4 用户登录场景用户登录到目录服务中，有两种做法：l 需要出示用户名/口令以及所属的域名l 用户采用UPN（）名登录域控制器提供用户登录的服务，目录服务设计为自动选择与用户离得最近的域控制器向用户提供登录服务。在太平保险有限公司用户管理系统中，采用用户名/口令以及所属的域名进行登录，在各个地区站点建立域控制器。 2.2.5 域设计有两种域模型可以考虑l 单域l 多域以下依次列出各种模型的优缺点：l 单域：太平保险有限公司建立一个单域，所有用户帐号在一个数据库中。n 主要优点： 最简单：简化 FSMO的管理、复制、 备份、 恢复、 DNS等 各个站点都有完整的AD数据库 用户体验的一致性，不管他在哪里办公，登录过程等都完全一致 用户很容易移动：在一个域内的移动任务非常简单 减少硬件投资，为保持域的可靠性，每个域内至少有两台域控制器，设计为单域，在各个地区的域控制器数目可以只设一台 OU 权限委派很容易：创建/修改/删除的任务非常简单 硬件配置标准化，软件配置标准化：在各处的域控制器配置完全一致 精干的管理员组，对应多个一般化的管理员 其它应用程序只需要与一套用户数据库集成n 主要缺点： 物理带宽的保证：根据物理划分的需要，100000用户的最小带宽是56K有效带宽 所有的数据在各处复制，小机构可能不需要所有的数据。（从WAN复制的计算中可以看出这些复制量） 共享的一些安全配置，如口令长度和复杂度 新增站点时，就增加了域控制器及AD中的数据 对目录单点的故障/有意破坏。但可以对管理权力严格进行控制：包括域管理员的成员，各OU容器的管理员；和针对特定对象授权的恢复完成目录的修复。 对域控制器物理上具有完全的权限。但可以由管理任务细化，不同任务交给不同管理员；通过对每个服务单设管理员的方式减少管理员权限。l 多域总部和各站点设置独立的域（10多个）n 主要优点： 数据库细化 每个地区分布部署不会引起全网数据流量的突变 支持未来管理模式变化为：各地区独立管理：服务和数据n 主要缺点： AD域数目过多 域数目增多，重复的管理任务增多。包括：域级的安全策略、域内的组策略配置、域内第一级组织单元的建立等。 硬件服务器数目增多，每个地区的域中域控制器的数目不能少于2个 在目前的管理模式下，总部服务管理要将所有域的权限收上来，做法需要维护一张管理员表，从已有AD客户的使用来看，不方便和安全 其它应用系统与目录集成时会增加工作量和难度。2.2.6 两种域模型的分析l 多域模型：管理复杂，用户使用复杂。l 设计选择结合太平保险有限公司的组织分布和管理模式选择单域。2.3 组织单元结构2.3.1 OU的概念一个组织单元是一个容器对象，用于管理域中的对象，例如：用户帐号、组、计算机、打印机和其它的组织单元。可以使用组织单元在一个逻辑层次中组织各种对象，这样能够体现企业基于部门的或基于地理分界的结构，网络管理模式是基于行政的管理架构。可以在域中创建组织单元的层次结构。组织单元可包含用户、组、计算机、打印机、共享文件夹以及其它组织单元。组织单元是目录容器对象。它们表现为“Active Directory 用户和计算机”中的文件夹。组织单元简化了域中目录对象的视图以及这些对象的管理。可将每个组织单元的管理控制权委派给特定的人。这样就可以在管理员中分配域的管理工作，以更接近指派的单位职责的方式来管理这些管理性职责工作。通常，应该创建能反映组织单元的职能或商务结构的单位。例如，可以创建顶级单位，例如总部、地区总部等单位。在总部中，可以创建其它的嵌套组织单元，例如人事、财务和科技信息等部门。在科技信息部中，也可以创建另一级的嵌套单位。例如，信息处和科技处。总之，组织单元可使您以一种更有意义且易于管理的方式来模拟公司实际工作的情况，而且在任何一级指派一个适当的本地权利机构作为管理员。2.3.2 设计规则确定如何建立OU，可以从以下的一个考虑思路来确定是否需要建立OU, 建立什么样的OU：l 划分管理任务l 用来配置组策略l 用来隐藏一些对象2.3.3 OU设计在太平保险有限公司，OU相关的管理模式可以采取如下方式：l 总部AD服务管理n 总部OU结构的建立l 各站点的管理员实现n 各站点组织单元内用户和计算机的增、删、改；包括口令管理n 各站点组织单元的策略控制可以看出，OU的主要作用是管理任务的划分和配置组织单元的策略。在OU中存放的资源包括：l 用户n 所有用户n 总部管理员组n 各站点管理员组l 客户端机器n Windows客户端l 服务器n 域控制器，邮件服务器、数据库服务器l 打印机l 文件共享第一层组织单元为站点名：站点组织单元名称太平保险有限公司总部公司总部地区1北京办事处地区2上海办事处第二层组织单元，根据各地区部门的名字建立2.4 组策略组策略是Windows 2000操作系统的配置管理特性的核心组件。组策略指定组里的用户和计算机，包括基于注册表的策略设置、安全性设置、软件安装、脚本（计算机启动和关闭，登录和退出），以及文件夹的重定向。在Windows 2000中，管理者使用组策略来增强和控制用户的桌面。为简化这一过程，管理员可以为某组中的用户和计算机创建特定的桌面设置。Windows 2000活动目录服务可启动组策略。策略信息存储在组策略对象中（GPOs）中，它可跟选定的活动目录容器建立连接：计算机、域和组织单位（OUs）。 组策略插件包括多个MMC插件扩展，构成组策略插件的主体。它们包括以下扩展： 管理模板：这些包括基于注册表的组策略，它可以被用来管理注册表的设置，进而改变桌面的状态和外观，这包括系统组件和应用程序。 安全设置：使用安全设置扩展来为组策略对象的范围内的计算机和用户设置安全性选项。这样就可以定义本地计算机、域和网络的安全性设置。 软件安装：可使用软件安装插件，集中管理用户机构中的软件。你可以为用户指定和发布软件，并可分配软件到计算机。 脚本：可使用脚本使计算机的启动和关闭以及用户的登录和注销实现自动化。还可使用Windows Scripting Host支持的任意语言。它们包括：Microsoft Visual Basic开发系统，Scripting Edition (VBScript)，JavaScript，PERL，和MS-DOS风格的批处理文件(.bat和.cmd)。 远程安装服务：使用远程安装服务（RIS）可控制远程操作系统安装特性的状态，就如同在客户机上操作一样。 网络浏览器的维护：使用Internet Explorer Maintenance来管理和定制基于Windows 2000的计算机上的网络浏览器。 文件夹重定向：使用文件夹重定向可将Windows 2000的特定文件夹从他们的缺省用户配置的位置重定向到网络上的侯选位置上。这些特定的文件夹包括：我的文档， 应用程序数据，桌面，和开始菜单。 利用组策略可以看到原来复杂网络维护问题都在策略的实施中变得简单和轻松起来。2.5 站点及复制设计2.5.1 基本概念l Site在目录服务的术语中， 一个Site是指一些连接很好的网络。Sites 是逻辑上一组服务器，他们可以在相对快速，高效的网络上通讯。可以根据计算机是否在同一个子网上或一组完好连接的子网上这种简单的方法来表现Site的结构。Windows 2000 目录服务可以将Site 信息存储。 目录服务利用这个信息来确定最可用的网络资源。Site可提高以下操作的效率：n 服务客户请求. 当客户从域控制器请求服务时，例如用户认证，目录服务确定用户所在的Site，直接将请求交给与用户在同一个Site的域控制器。选择离用户群最近的域控制器可以有效地对用户进行回应。n 优化复制. Sites 控制目录复制的信息流量。目录复制在Site内部比在Site之间更频繁，而且Site之间的复制是压缩的（压缩比为5-10）一个设计很好的Site拓扑结构可以保证网络带宽不至于因目录复制信息而饱和，而且，目录信息能够保证更新，客户端机器能够访问到最近的资源。l Site Link目录服务复制可以通过配置Site之间连接器来进行控制，即配置Site Links：连接的成本和复制周期 。目录服务利用Site Links这些配置信息来确定在域控制器之间最有效的目录复制连接。l 连接对象连接对象定义了目录复制的源、目的以及时间周期的安排。缺省情况下，由目录系统中的KCC根据管理员配置的Site和Site Link信息自动创建连接对象。管理员可以改动KCC创建的连接对象，也可以手工配置连接对象。从界面表现来看，有三种连接对象：n (由KCC自动创建的连接对象)n GUID 号 (由KCC自动创建，但由管理员改动过的连接对象)n 任何其它名字的连接对象是由管理员创建的2.5.2 Site设计目标设计考虑：n 客户端登录的反应时间n 目录服务复制的冗余n 网络带宽的优化2.5.3 Site的划分不存在域控制器的地方，不必划Site；目前域控制器放置在：站点地理位置Site名Site子网号Site子网掩码总部深圳HQ地区1北京BJ地区2上海SH2.5.4 Site Link 的建立Site Link 连接两个或多个Site。Site Link的建立根据实际的网络连接情况。目前的网络连接为以总部为中心点，各站点以2M专线连接到总部，所以Site Link 的建立以总部为中心点，连接各站点。2.5.5 Site Link 命名Site Link 命名为：XX to YYXX：为hq (总部)YY：为各站点名称。2.5.6 Site Link 开销值开销值指Cost值。Site Link上需要配置Cost值，这个成本值可以向KCC提供信息以供计算复制拓扑结构，另外在这个Site Link失效后，复制的转移由这个Cost值控制。.计算Cost值，可以根据有效的带宽用以下的算法进行：有效带宽(kilobits/second)Cost9.6104219.279838.46445658664567128486256425512378102434020483094096283这些Cost值没有反映网络连接的可靠性。如果线路有可靠性的区别，上表的Cost值需要有调整。太平保险有限公司活动目录系统中，建议开销值都为300。2.5.7 Site Link 复制日程安排复制日程安排定义了可用的复制窗口。在复制窗口开放的时间内，如果一个复制过程开始后，复制窗口关闭的时间到了，这个复制过程仍然继续完成复制。l 设计选择：定义一个复制日程安排为全周、全天开放。除上班的高峰时间：08：00 11：00 3小时和14：00 17：00 3小时2.5.8 Site Link 副本复制频率在复制窗口内，副本复制频率定义域控制器发起复制的频率。考虑复制频率从以下几点进行：n 复制频率过高，可以减少变化更新的延时，但增加了广域网上的流量n 为保持域目录信息的更新，建议减少更新延时。.l 设计选择：在复制窗口18个小时中：每3个小时复制一次2.6 DNS设计2.6.1 基本概念l DNSDNS 是域名系统 (Domain Name System) 的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。DNS 服务器回应客户端查询请求：n 如果缓存中记录存在，直接从缓存中提取记录回应客户端n 如果DNS服务器上的区域中存在记录，从区域提取记录回应客户端 n 如果DNS服务器从缓存和区域中都不能回答请求，它会根据配置请求其它DNS服务器l Windows 2000 DNS服务n 目录服务集成 以 Active Directory 能力为基础的多主机更新和增强的安全性 通过将 DNS 区域数据库的存储集成到 Active Directory 中，可以简化针为网络规划的数据库复制过程 与标准 DNS 复制相比，目录复制更快捷、更有效n Windows 2000 DNS 服务器支持老化和清除功能n WINS 搜索的集成 对使用 Windows Internet 命名服务 (WINS) 的支持可用于搜索不能通过查询 DNS 域名称空间来解析的 DNS 名称。要完成 WINS 搜索 该功能对未使用 DNS 注册的客户机的名称解析非常有用，如 Windows 95 或 Windows98 计算机不会在与Windows 2000集成的DNS服务中自动注册，此时查找这些计算机就需要WINS服务。n Unicode 字符支持： Windows 2000 DNS Server 提供了超出 RFC 1035 规范之上的扩展 DNS 字符支持能力。对于这个版本，DNS 服务现在已为 UTF-8（Unicode 转换格式）提供了增强的默认支持，l 目录服务与DNS在 Windows 2000 中，用 DNS 名称命名目录服务。选择遵照DNS命名规则是因为DNS结构扩展性很好，而且已经在Internet 使用中得到证明。每一个Windows 2000目录服务域由它的DNS名称标识，以及一个相应的向下兼容的NT 域名（Netbios 名）目录服务对DNS Server 的要求：n 必须支持Service Location resource 记录。DNS server 一定要支持Service Location (SRV) resource record type. (RFC 2052)n 应当支持DNS 动态更新协议。维持目录服务区域记录的主服务器应当支持 DNS动态更新协议，由RFC 2136定义.虽然不是一个必备要求，但强烈建议支持这个协议。Windows 2000 域控制器注册和使用的一系列DNS记录，配置的改变可以不必由管理员手工进行。Windows 2000提供的DNS服务满足以上的两个条件。以下是一些定义域名的规则n 为只使用标准的Internet字符 (AZ, az, 09 and -). n 保持名字短而有意义. n 尽量使用一般意义的名字，而不是特定的公司名字. 2.6.2 DNS设计Windows 2000提供的DNS服务是与活动目录集成的动态DNS服务，在域中注册的服务器自动注册DNS配置。2.6.3 DNS名字空间设计建立内部DNS名称，并与Internet上的DNS名字相同，即，采用活动目录集成的动态更新方式，正常工作时不需要管理员手工干预。2.6.4 安全性l 低安全性:与Internet完全DNS通讯n 定义正常的DNS名字解析方法n 用 root hints 指向Internet Root Serversn 防火墙对任何源和目的地址开放53端口l 适度安全性：与Internet之间有限的DNS通讯n 用forwarders指向内部有限的几台DNS服务器n 在防火墙上，将这几台DNS服务器与外部DNS服务器的通讯打开(允许端口53在有限的源和目的地址之间通讯)n 外部DNS 可以连接到Internet Root Serversl 最安全：与Internet之间没有DNS通讯n 定义内部的DNS根n 控制内部的名字区域n 用代理服务器和网关来保证客户端访问Internet DNS通讯l 设计选择：最安全的方式，即定义内部的DNS 根, 控制内部的名字区域；客户端访问Internet采用代理服务器的做法。2.6.5 DNS服务器的位置和复制做法所有目录服务Windows 2000 Server和Windows 2000 客户端都需要通过DNS服务完成目录服务任务和定位资源的任务。l 设计选择DNS服务配置在域控制器上，所有域控制器均安装DNS服务。DNS区域都配置为AD集成的DNS区域，利用目录服务的复制拓扑和复制周期实现DNS区域记录的复制；利用动态更新的功能。2.6.6 DNS服务器的容量考虑DNS 在完全使用物理内存的情况下工作得最好：l DNS不是对CPU资源依赖的l 10,000 A 记录大约需要3 MB 内存l 100,000 A 记录大约需要10MB内存l 2 百万NS, A 记录大约需要90 MB 内存l 快速总线和网卡是很重要的2.6.7 域控制器上的IP配置中DNS配置由于域控制器同时也是DNS服务器，因此配置如下：l 首选DNS服务器指向本机l 备用DNS服务器指向总部的DNS服务器注意：l 在实施过程中，首选DNS服务器指向总部的第一台DNS服务器，当一切配置完毕，目录同步进行后，将DNS配置改为首选DNS服务器指向本机，备用DNS指向总部的DNS服务器。l 在日后服务器的IP地址有改动时，需要将首选DNS服务器再指向总部的第一台DNS服务器，当一切配置完毕，目录同步进行后，将DNS配置改为首选DNS服务器指向本机，备用DNS指向总部的DNS服务器。2.7 WINS设计2.7.1 基本概念l WINSWINS 是Windows Internet Name Service的缩写，提供一种动态可复制的数据库服务，可以注册和解析NetBIOS名称（计算机名）到IP地址。Windows 98 名字解析的做法是：n 检查 NetBIOS 缓存n 查询配置的 WINS 服务器n 广播n 查询LMHOSTS文件n 查询HOSTS文件n 查询DNS，附加上提供的DNS后缀如果有路由器的隔断，必须采用WINS服务器的定位。2.7.2 WINS服务器的位置因为Windows 98名字解析依赖WINS服务，WINS服务一定要离客户端近。l 设计选择WINS服务配置在域控制器上。2.7.3 WINS服务器的复制Windows 98名字解析需要的地方：l 登录，找寻本地域控制器，并在本地域控制器失效后，找寻总部域控制器l 访问本地Windows 2000服务器和客户端Windows 98机器l 访问远程Windows 2000服务器l 访问远程Windows 98机器对以上访问需求进行分析：l 登录，找寻本地域控制器，并支持失效后，找寻总部域控制器n 可以通过客户端配置多个WINS服务器（包括总部的WINS服务器）实现n 可以通过所有WINS服务器全网复制完成n 可以通过在WINS中添加静态数据完成l 访问本地的Windows 2000服务器和客户端Windows 98机器，可以由本地WINS解决l 访问远程Windows 2000服务器可以由:n 使用DNS名称n 在Windows 98上安装DS clientn 因为只有部署了Windows 2000 DHCP服务，Windows 98机器的名字可以通过DHCP服务动态注册在DNS中，但这次目录服务项目没有部署DHCP, 所以在DNS数据库中没有Windows 98的机器名n 解决做法：通过WINS复制每个WINS服务器服务本地的Windows 98名字解析，如果全网复制WINS记录，会出现通过复杂的配置，只实现了Windows 98客户端访问远程Windows 98的一种情况，没有必要作这样的工作。因为每个站点都配有两台域控制器，可以通过在其上建立两台WINS服务器，相互推/拉复制，实现WINS服务的冗余。l 设计选择：WINS在各站点的域控制器上配置，只服务本地的Windows 98计算机名字解析，两台WINS服务器之间作推/拉复制配置2.7.4 WINS服务器的容量考虑平均每秒注册数300平均每秒查询数350上表是根据以下硬件条件：一台Intel Pentium II 350 MHz 处理器, 128 MB 内存, 和标准 IDE 硬盘来存储WINS数据库，单任务作为WINS服务器。平均一个WINS记录只有40字节建议每10,000计算机配置一台WINS服务器和一台冗余WINS服务器（即配置为复制伙伴）有两个因素可以增强WINS性能： l 用2个CPU，提高性能25%l 对于WINS复制，采用与系统盘不同的高性能硬盘2.7.5 客户端WINS配置第一WINS服务器为：本地的WINS服务器第二WINS服务器为：总部的WINS服务器当本地的域控制器（即WINS服务）失效后，客户端通过第二WINS服务器的配置找到总部的WINS服务，在这个WINS服务器上动态配置有总部的域控制器的纪录，这个域控制器可以提供登录服务。2.7.6 域控制器WINS配置WINS服务器为：本地的WINS服务器以保证域控制器的记录只在本地的WINS服务器上。2.8 用户及主机命名2.8.1 用户命名规范用户名以本人中文名字的汉语拼音简称为标准，命名的规则为：1. 用户名的姓氏使用汉语拼音全称，名字部分使用汉语拼音的第一个字母；2. 如按以上规则出现重复的用户名，则用户名的前两个中文字使用汉语拼音全称，依此类推，直至用户的简称不出现重名；3. 如按以上规则出现重复的用户名，则姓氏使用汉语拼音的第一个字母，第二个字母使用汉语拼音全称依此类推。4. 如果使用以上1-3规则后仍出现重名，则使用加下划线或加数字的方式解决，直至用户的简称不再出现重名为止。5. 对于声母是两字符的音节（如：ch、sh、zh）以第一个字符为准（c、s、z）。2.8.2 主机命名规范1. 用户计算机命名与用户名相同，以避免出现冲突；2. 服务器名由英文字母组成，除了“-”（半角减号）外不使用任何其他符号和中文；3. 服务器名的左半部分代表该主机所在地理位置：如北京办事处的主机，其主机名以“BJ-”开头。其他各分支机构服务器以分支机构汉语拼音简写加“-”开头；4. 服务器名的右半部分代表该服务器的应用性质：如域控制器用“DC”表示、邮件服务器用“MAIL” 表示、数据服务器用“DBASE” 表示；5. 如果总部或某分支机构有2个以上相同用途的服务器（如域控制器），则在后面顺序添加字母A或B来区分（如HQ-DCA、HQ-DCB、BJ-MAILA、BJ-MAILB）。2.9 域控制器物理设计2.9.1 基本概念l 域控制器域控制器是使用 Active Directory 安装向导配置的运行 Windows 2000 Server 的计算机。Active Directory 安装向导安装和配置为网络用户和计算机提供 Active Directory 目录服务的组件。域控制器存储着目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。l 桥头堡总部域控制器有一种角色是负责与各站点域控制器进行，维持复制拓扑结构，保证目录信息的及时更新和准确度。l 全局编录：GC森林中的一台或多台域控制器可以作全局编录GC。存储着其所在域的目录中所有对象的全部副本及森林中每个其它域的目录所包含的所有对象的部分副本。因为副本存储着森林中每个对象的部分而非全部的属性值，所以这只是一部分。全局编录发挥两个重要目录的作用：n 启动登录过程时，它通过将全局组成员信息提供给域控制器来启用网络登录。 n 它允许查找目录信息，而不管森林中的哪个域实际包含这些数据。客户端登录到网络时，需要联系全局编录，所以在设计中需要考虑全局编录的位置。l 操作主机：FSMO在森林中DC之间是平等的多主机复制关系，但在森林中还有一些特殊职责，只有一台DC担当， 我们称之为操作主机。 在操作主机中分为森林级和域级，森林级指在整个森林中只有一台DC担当此职责，域级指在域中只有一台DC担当此职责。每个森林只能有一个schema master 和一个 domain naming master：Schema Master 控制对于Schema的更新和修改。更改Schema必须在Schema Master上。任何时候，森林中只能有一台Schema MasterDomain naming master 在森林中控制域的增、删。任何时候整个森林只能有一台Domain naming master每个域都必须而且只能有一个以下角色：n 相对 ID 主机(Relative ID master) ：相对 ID 主机将一段相对 ID 分配给域中每个不同的域控制器n PDC 仿真程序(Primary domain controller emulator) ：接收由域中其它域控制器执行的密码更改的优先复制。如果密码最近被更改，则需要花费一定时间将此次更改复制到域中的每个域控制器。如果登录验证由于密码错误而在另一个域控制器中执行失败，则该域控制器将在拒绝登录尝试前将验证请求转发给PDC 仿真程序n 基础主机(Infrastructure master ): 基础主机负责在重新命名或更改组成员时更新“组到用户”的引用2.9.2 域控制器设计目标设计考虑：l 客户端登录的反应时间l 目录服务的冗余l 网络带宽的优化2.9.3 域控制器的位置和数目根据目前的服务器配备原则， 以下单位需要部署域控制器：站点地理位置Site名域控制器数目HQ深圳hq2台BJ北京bj1到2台SH上海sh1到2台l GC的位置在单域模式下，每一台DC都配置为GC。l FSMO角色的位置森林级FSMO角色在中心的域控制器上。域级FSMO角色在中心的域控制器上。2.10 服务器角色表l SM:架构主机l DNM:域命名主机l RID:相对ID主机l PDC:主域控制器仿真程序l IM:基础主机l GC:全局编录l DNS:域名服务l WINS:Windows Internet命名服务服务器森林角色 域角色DC 服务器的功能WINSSMDNMRIDPDC IMGCDNSXXXXXXXXXXXXXXXX第3章 微软SUS服务3.1 SUS服务简介SUS（Microsoft Software Update Service）是微软公司发布的免费补丁管理工具，即微软操作系统安全补丁自动分发服务程序。SUS服务包括服务器端和客户端两个方面。服务器端自动连接微软公司的安全补丁发布服务器，并下载微软的安全补丁程序。客户端可以从企业内部网络中的SUS服务器上下载安全补丁程序并自动安装。在企业内部实施SUS服务的优点是工程规模较小，投资非常小、实施速度快、见效快，缺点是SUS补丁分发能力有限，对于整体系统安全、病毒防范能力的提高作用有限。同时SUS对客户机配置要求较高，需要进行一定的资金和工作量投入进行客户机改造。3.2 SUS服务要求3.2.1 服务器配置要求目标配置SUS服务器最低硬件配置处理器：至少Pentium III 733MHz内存：至少512M硬盘：6GB可用空间操作系统Windows 2000或者Windows 2003其它必要组件IIS服务基于上述配置部署SUS，可以在企业内部为15000个客户端更新安全补丁程序。3.2.2 客户端要求l SUS是设计用来更新基于windows操作系统的计算机终端的系统补丁程序的。它可以高效的更新Widows2000，Windows XP或Windows Server 2003服务器所需的系统补丁程序，但对客户端更新则要求客户端的操作系统必须为Windows 2000或是windows XP。l 目前SUS支持的客户端有Windows 2000、Windows XP和Windows 2003系列，但是Windows 2000必须安装Service Pack 3、Windows XP必须安装Service Pack 1之后才能从SUS服务器端下载更新安全补丁程序。SUS尚不支持SQL Server、Office、Exchange等应用的更新，在下一个版本WUS（Windows Update Service）中,微软将增加对上述应用的支持。l 如果Windows 2000没有安装Service Pack 3以上补丁，Windows XP没有安装Service Pack1，也可以通过安装“WUAU22CHS.msi”模板文件，使其成为SUS客户端。3.2.3 SUS服务支持的更新 l Windows Critical Updates重要更新为特定问题广泛发布的修补程序，针对的是重要的、与安全无关的系统缺陷。l Windows Security Patches (Critical, Important, Moderate, and Low) 安全修补程序为特定产品广泛发布的修补程序，针