全球AD域部署项目

1、当前版本：V1.0最新更新日期：2017.09.07最新更新作者：李山山作者：李山山创建日期：2017.09.06控制文档修订历史1 / 10目录 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 引言2 HYPERLINK l bookmark20 o Current Document 应急策略 3 HYPERLINK l bookmark66 o Current Document 应急方案执行情况跟踪 101.引言编写目的海尔集团全球AD域部署项目已实施完成，考虑系统安全以及数据重要性，本文档着重介绍 AD&SCCM系统应急策略。

2、用于生产环境出现突发情况时，可以及时采取策略应对，以保护系统 数据以及生产环境稳定。角色及责任人应用系统的负责人：应急策略制定人：应急策略协调人（负责整个应急计划的资源协调）：备份检查负责人：服务范围：集团所有涉及AD域相关应用（包括DNS服务器，域认证等）。术语定义：AD : Active Directory 即活动目录SCCM： System Center Configuration Manager 系统中心配置管理DNS服务器：Domain Name Server域名服务器域认证：使用全局2.应急策略2.1.应急事件定义BMC Patrol AD Monitoring Parameter

3、s 定义指标类Patrol指标名BPPM指标名DNSAuthenti cationFSMODNS A Record StatusDNS Domain ControllerLDAP SRV RecordStatusDNS Global CatalogLDAP SRV RecordStatusRPC FailureKerberosAuthentication RateNT LAN ManagerAuthentication RateFSMO Role HolderConnectivity StatusDNS A RecordStatusDNS DomainControllerLDAP SRVRec

4、ord StatusDNS GlobalCatalog LDAP SRV Record StatusRPC FailureKerberos Authentication RateNT LAN Manager Authentication RateFSMO Role Holder Connectivity Status指标描述DNS A记录状态 （0=找到记录；1 = 未找到记录） DNS域控制器 LDAP SRV记录状 态（0=找到记录； 1=未找到记录） DNS全局目录 LDAP SRV记录状 态（0=找到记录； 1=未找到记录） 0=available1 = una vailableKer

5、beros身份验证 速率（每秒身份验证 次数）NT LAN Manager 身份验证速率（每秒 身份验证次数）FSMO角色拥有者 连接状态（0=可连 接；1=不可连接）K预PI警KPIKPILDAPFileReplicationServiceSAMServerFulfilling RoleServer Fulfilling RoleHas ChangedHas Changed (0 = Role(0=RoleUnchanged; 1 = RoleUnchanged;Changed; 2 = Role1 = RoleAcquired)Changed;2 = Role Acquired)LDAPC

6、onnectStatus履行角色的服务器 已更改KPILDAPConnectStatusLDAP连接状态 （0=能够连接，1 = 无法连接）KPILDAP Global CatalogConnect StatusLDAP Global Catalog Response TimeLDAP Response TimeFRS Database Space Availability (0=Available;1 = Unavailable)RPC Connection Error (0 = No; 1=Yes)Excessive Replication (0 = No; 1=Yes)Percentag

7、e of ADReads from SAM (%)Percentage of ADWrites from SAM (%)LDAP Global Catalog Connect StatusLDAP GlobalCatalog Response TimeLDAPResponseTimeFRS DatabaseSpace AvailabilityRPCConnectionErrorExcessive Replication Percentage of AD Reads from SAM (%) Percentage of AD WritesLDAP全局目录连 接状态（0=能够连 接，1=无法连接）

8、LDAP全局目录响 应时间（毫秒）LDAP响应时间（毫 秒）FRS数据库空间可 用性RPC连接错误过度复制来自SAM的AD读 取的百分比来自SAM的AD写 入的百分比KPIKPIKPIHaierAD&SCCM系统应急策略表号：360006F34生效期：2016.01.30密级：集团内部公开from SAM (%)Percentage of AD Searches from SAM (%)Percentage of AD Searches from SAM (%)来自SAM的AD搜 索的百分比RID Pool AllocationRID PoolAllocation0=OK，1=failed1R

9、eplicati on HealthDuplicate Object ErrorDuplicateObject Error0-No1-Yes1Failed Synchronization RequestsAdRpFailedSy ncRequestsReports the number of unsuccessful synchronization requests processed since the last collection cycle1Topology MismatchTopologyMismatch0=No1=Yes1Replication FailedAdRpFailedTh

10、is parameter monitors the warning Event ID 1265 in the directory service event log. The event source is NTDS Knowledge Consistency Checker (KCC).1ActiveDirectoryServerAD Database Required Free Space Status0 = Required free space met1 = Required free space not met1Domain ControllerAdvertisement Statu

11、s0=Advertised1 = N ot advertised1Sysvol Share Status0=Shared1 = Not1SharedTime Difference FromPDCDFSReplicati onDFSR DCCommunication0 - Successful1 - Unsuccessful1DFSR Replication Status0 - Ok1 - Replication stoppedDFSR Staging Area Full0 - Not full1 - FullDHCPScopeScope Count1Status of DHCP Service

12、1 = available0 = unavailable2.2.应急策略涉及的平台名称版本域控集成方式用途负责人SharePoint2016扩展域控架构，原厂产品门户等刘新闻Exchange2013扩展域控架构，原厂产品邮箱韦韬Commvault安装在域控上海飞的备份软件NAC思科设备独立配置验证域控 服务器实现用户验证上网准入封其军Portal门户域账户密码重置Webservice 接口密码重置、密码修 改陈安云密码修改同步 程序安装在每台域控上截获AD用户修改 密码的信息陈安云IDM同步AD程 序调用AD接口ID同步陈安云网康上网管理LDAP 指定 192.168.100.1上网行为管理R

13、DS服务器管理员反馈没有与域控集 成，域控升级对此没有影响物流塞门铁克DLPLDAP 指定 192.168.100.1数据丢失保护微软CRMIAS无线上网 验证系统没有安装在AD服务器上堡垒机登录Citrix Xenap 6.5版 本仅调用域用户组进行权限管 理，访问没有与AD集成， 使用DNS功能ERM加密系统C/S架构，没有与AD集成XenDesktop没有与AD集成SSL-VPN与IDM集成，没有与AD集 成TMS系统巳下线2.3 .应急策略涉及的关键资源服务器名称,硬件规划编号功能机器描述Windows 角色机器最低 配置要求存储需求服务器名 称软件版本甲地址备注1域 控( 替 代ta

14、o- dc-01 )服务器AD(Schema;Name)DNSWINSDHCPCPU : 16 核 内存： 16GB100GB100GBWind ows Serv er 2012 R2IP :192.168.100.12域 控( 替 代tao- dc-02 )服务器AD(InFr;PDC;RID)DNSWINSCPU : 16 核 内存： 16GB100GB100GBWind ows Serv er 2012 R2IP :192.168.100.23辅 助 域 控 01 (替服务器ADDNSCPU : 16 核 内存： 16GB100GB100GBWind ows Serv er 2012 R

15、2IP :10.135.12.117务艮客nnn、G m - c Dp J 、-M U.XT- 、G 3 - c 4 代tao d - o辅助域控o替代tao d - )030405ADDNSCPU : 16 核 内存： 16GB100GB100GBWindowsServer2012R2Wind服务服务服务辅服务助器ADDNSDHCPADDNSWINSDHCPADDNSADDNSIP :192.168.100.232CPU : 8 核 内存： 16GBCPU : 8 核 内存： 16GBCPU : 8 核 内存： 16GBCPU : 8核100GB100GBcntaoswad005owsSer

16、ver2012R2WindIP :10.138.40.210100GB cntaosw100ad006GBGB100GBcntaoswad007100cntaoswGBad008100owsServer2012R2WindowsServer2012R2IP :10.138.40.211IP :10.138.40.212Wind IP :ows 10.138.4域 控06俄 罗 斯 站 点 域 控服务器ADDNS2.4.应急方案及操作步骤Start内存:16GBCPU : 4 核 内存： 8GB100GB150GBruchlswad001Serv 0.213er2012R2WindowsServer2012R2IP :10.9.193.100N o.Does the networking work?Use these t ool s fortroubleshooting:Event ViewerPINGIP ConfigNLTestNetDiagNetMonNoUse these tool 5 for troubleshooting: Does name resolution work? Event ViewerPINGNSLOOKUPNETST ATDNSCP1DUse these tool s for troublesho