活动目录概述及设计课件

目录服务目录服务1什麽是活动目录？ActiveDirectory,AD活动目录是Windows2000Server提供的重要服务管理中心：网络元素(用户，应用，设备等)安全中心:身份认证授权中心桌面管理和控制开放的平台：应用的开发，与其他系统集成什麽是活动目录？ActiveDirectory,AD2目录服务综述目录服务综述3实施AD带来的收益实体管理的平台用户身份管理：每个员工访问办工网时出示唯一的一个ID标识管理任务：开户，销户，禁用账号安全的认证方式：Kerberos;事实上的业届标准集中的计算机桌面管理：Windows2000桌面版：通过组策略集中的安全控制中心：通过组策略对于W2KServer,W2KPro实施AD带来的收益实体管理的平台4实施AD带来的收益应用开发系统将用户身份认证交给AD企业内部一套用户数据库：用户信息准确降低管理成本更能关注本应用本身的业务逻辑减少工作量更安全用户使用的便利：只需记住一套用户名/口令应用策略应用发布实施AD带来的收益应用开发系统将用户身份认证交给AD5实施AD带来的收益辅助其它网络应用的分布式实现AD集成的DNSAD集成的DFS(分布式文件系统)打印服务的定位：搜索打印机的位置MSMQExchange2000CAService实施AD带来的收益辅助其它网络应用的分布式实现6实施AD带来的收益构建一个企业目录系统的基础从用户管理到各种其他实体的管理：计算机，网络设备，应用程序Ecommerce应用Extranet应用实施AD带来的收益构建一个企业目录系统的基础7AD项目过程现状分析-〉需求分析-〉设计-〉测试-〉试点-〉大规模实施-〉稳定阶段AD项目过程现状分析-〉8现状分析现状分析9需求分析需求分析10设计设计11设计原则简单是最好的投资您的业务和单位会不断变化理想设计的目标研究设计替代的方案设计原则简单是最好的投资12活动目录的逻辑元素活动目录的逻辑元素13活动目录的物理元素活动目录的物理元素14森林森林15森林森林是域的集合，是一套目录系统的边界。森林有两种主要用途：简化用户与目录的交互过程和简化对多个域的管理。森林有这样一些特征：共享一套Schema(定义AD中对象的类型和相应对象的属性)共享一套Configuration(如Domain,Site,SiteLink信息)共享一套GlobalCatalog(GC,全局编录)用户搜索GlobalCatalog用户用UPN名登录(a@)森林中的域之间互相信任森林森林是域的集合，是一套目录系统的边界。森林有两种主要用途16森林建立多个森林的理由为：不能信任其他的管理员不能就Forest变化策略达成一致Schema变化,Configuration变化,添加新域对整个Forest带来的影响。共同决定Schemaadministrators,enterpriseadministrators的成员多个Forest带来的不好影响：增加管理费用域数目增多；各个森林分别管理森林级的服务手工管理和维护森林之间的信任关系有一些功能在多Forest的环境中失效UPNlogon(如huangsy@)森林建立多个森林的理由为：17Forest设计选择单一Forest两个Forest主要优点：两个森林完全的管理边界，提供了完全的自治，双方拥有各自独立的Schemas，各自独立的全局编录,各自管理自己的森林级管理任务（Schema,Enterprise）应用开发的便利：独立控制自己森林中的Schema，有利于目录集成的应用开发，扩展本森林的Schema不必影响其他森林的Schema。目录集成应用项目的研究：作为一个独立的测试和试运行环境独立的全局编录：外来人员很多，人员流动大，经常会建立临时账号，将森林独立出来有一套独立的全局编录，可以不影响人员相对固定的其他森林主要缺点：额外的森林根硬件(2-3台)额外的森林级管理任务有资源共享需要时，手工维护信任关系现阶段不可以合并，域在森林之间不可以移动，用户可以在森林之间用工具移动Forest设计选择单一Forest18森林根域森林中的根域是在森林中创建的第一个域，森林的名字就是这个域的名字。有两个森林级的组enterpriseadministrators和schemaadministrators就存在这个域中，他们的成员由森林根域的DomainAdmin决定的。无法重新安装森林的根域。如果森林根域的所有域控制器在一次灾难性事故中丧失，而且一个或多个域控制器无法从备份恢复，将永久丧失enterpriseadministrators和schemaadministrators组，造成灾难性事故，整个森林将面临重建。森林根域森林中的根域是在森林中创建的第一个域，森林的名字就是19森林根域在森林根域中，有两个森林级的操作主机（FSMO）角色：SchemaMaster和DomainNamingMaster。SchemaMaster控制对于Schema的更新和修改,更改Schema必须在SchemaMaster上。任何时候，森林中只能有一台SchemaMasterDomainNamingMaster在森林中控制域的增、删。任何时候整个森林只能有一台Domainnamingmaster森林根域在森林根域中，有两个森林级的操作主机（FSMO）角色20森林根域建议建立一个专职，小的森林根，森林根不可以改名，改变或删除创建一个额外的专有的域作为森林中的根域可以有以下的一些好处：森林根域中的域管理员可以管理enterpriseadministrators和schemaadministratorsgroups的成员。这两个管理员组中的成员可以控制整个森林的结构，例如增减域都需要enterpriseadministrators组中的成员许可；以及整个森林中的Schema变化。因为这个域很小，它可以很容易复制，所以可以避免森林中心的大灾难。因为这个域的唯一职责是作为森林的根，这个域将来不会作废。将森林根域与工作域化开，可以在工作域将来不需要时，将它删除，而森林根域会一直保留，不会在工作域改变时受到影响。森林根域建议建立一个专职，小的森林根，森林根不可以改名，改变21森林根域根域设计选择建立一个由3台机器组成的森林根，只作森林级管理任务。此森林根域为本机模式。森林根域根域设计选择22域域23域的作用认证（Kerberos）策略管理账户的安全策略PasswordpolicyAccountlockoutpolicyKerberos

ticketpolicy共享资源的发布文件共享打印机域的作用认证（Kerberos）24域设计在Windows2000设计原则中来自实际的经验是，尽量减少域的数目，保持域结构的简单化。有三种可能的原因增加新的域：保留已有的WindowsNT域结构管理任务的划分物理划分整个森林中域数目建议不要超过10个域设计在Windows2000设计原则中来自实际的经验是，25管理的边界域是管理任务的边界。这意味着每个域有一个域管理员组，域管理员对域中的每一个对象都有完全的管理权力。这些管理权力只在本域拥有，不会跨越到其他域。通过将各个域的管理员账号/口令收集到总部，也可以实现将不同域的管理任务集中到总部，这是一种变通的做法。在组织中，对安全策略的需求。有一些安全策略是实施在域用户上，只能基于每个域来设定：口令策略，如口令长度等账户锁定策略，用来定义对待猜测口令的入侵者，口令数次失败后将账户锁定Kerberos

票据策略.定义Kerberos票据的生命周期.一张Kerberos票据是在登录过程中获得的，用来进行网络认证。一张票据只在策略中规定的生命周期时间内存活。当票据过期后，系统自动去申请另一张新的票据.如果组织中对这些策略不能达成一致，那末只能分为几个域。管理的边界域是管理任务的边界。这意味着每个域有一个域管理员组26物理划分物理划分是指将森林中的域划分为多个小域。多个小型域可以优化复制过程，只需将复制对象放在最相关的位置.例如，在只有一个域的森林，森林中的每一个对象都需复制到森林中的每一个域控制器上。这样有可能将一些很少用的对象复制到一些地方，而占用了宝贵的带宽，例如，经常登录到总部的用户不需将他们的账户复制到分支机构。通过建立一个独立的分支域可以避免一些复制流量。物理划分物理划分是指将森林中的域划分为多个小域。多个小型域可27以单域为出发点用户不必在域之间移动任何域控制器都可以处理用户的认证请求不必在域之间建立GroupPolicy配置的再配置以单域为出发点用户不必在域之间移动28单域的大小以下的表可以帮助设计一个单域环境能够承受的最大用户数：域控制器之间的最低有效带宽(kbps)一个森林中不要超过的用户数(users)创建子域不超过的用户数(users)9.625,00015,00014.450,00015,00019.250,00025,00028.875,00040,00038.4100,00045,00056.0(andhigher)100,000100,000单域的大小以下的表可以帮助设计一个单域环境能够承受的最大用户29单域的大小以上的数字：以100,000用户为边界保守的估计10%的最小带宽用来处理复制所有的DC都为GC新员工率为：20%离职员工率为：15%组中成员变化是复制中主要的流量用户和计算机数目是1：1DNS是AD集成的DNS配置中有清除陈旧记录单域的大小以上的数字：30单域的大小以上的数字：以100,000用户为边界保守的估计10%的最小带宽用来处理复制所有的DC都为GC新员工率为：20%离职员工率为：15%组中成员变化是复制中主要的流量用户和计算机数目是1：1DNS是AD集成的DNS配置中有清除陈旧记录单域的大小以上的数字：31域模型设计：单域除森林根域之外，建立一个单域，所有用户账号在一个数据库中。主要优点：最简单：简化FSMO的管理、复制、备份、恢复、DNS等AD数据库在各处都是用户体验的一致性，不管他在哪里办公，登录过程等都完全一致用户很容易移动：在一个域内的移动任务非常简单减少硬件投资，为保持域的可靠性，每个域内至少有两台域控制器，设计为单域，在各个分支机构的域控制器数目可以只为一台OU权限委派很容易：创建/修改/删除的任务非常简单硬件配置标准化，软件配置标准化：在各处的域控制器配置完全一致精干的管理员组，对应30*2个一般化的管理员应用开发人员可以只和一个用户库绑定主要缺点：物理带宽的保证：参照物理划分的需要，50000用户的最小带宽是28.8K有效带宽所有的数据在各处复制，小机构可能不需要所有的数据。（从WAN复制的计算中可以看出这些复制量）共享的一些安全配置，如口令长度和复杂度每个分支机构的实施过程，影响到网络流量，每实施一个分支机构，就增加了域控制器及AD中的数据对目录单点的故障/有意破坏。减轻作法：对管理权力严格进行控制：包括域管理员的成员，各OU容器的管理员；和针对特定对象授权的恢复完成对域控制器物理上完全的权力减轻作法：由管理任务细化，不同任务交给不同管理员；每个服务单设管理员域模型设计：单域除森林根域之外，建立一个单域，所有用户账号在32域模型设计：双域按南北两个数据中心设定两个域主要优点：数据库细化为两个，减少了全网复制量符合网络拓扑结构总部集中管理模式下，只维护两个域的管理任务精干的管理员组，对应30*2个一般化的管理员用户体验在南方区和北方区的一致性人员变动时，用户很容易在南方区、北方区内部账号迁移应用开发人员可以只和两个用户库绑定南方区和北方区各自的硬件配置标准化，软件配置标准化缺点：每个分支机构的实施过程，影响到网络流量，每实施一个分支机构，就增加了域控制器及AD中的数据影响DNS名字规划所有的数据在各处复制，小机构可能不需要所有的数据对目录单点的故障/有意破坏。减轻作法：对管理权力严格进行控制：包括域管理员的成员，各OU容器的管理员；和针对特定对象授权的恢复完成对域控制器物理上完全的权力减轻作法：由管理任务细化，不同任务交给不同管理员；每个服务单设管理员域模型设计：双域按南北两个数据中心设定两个域33总部域模型设计：大区域按地理位置的大区设置域主要优点：数据库一定程度细化主要缺点：网络拓扑结构并非按大区设定管理模式是否按大区设定管理模式可以收回总部域模型设计：大区域按地理位置的大区设置域34域模型设计：30+域总部和各个一级分支机构，包括2个数据中心设置独立的域（<35）二级分支机构不设置域，需要检查增加子域-带宽考虑表，有所调整。主要优点：数据库细化每个分支机构分布部署不会引起全网数据流量的突变支持未来管理模式变化为：各一级分支机构独立管理：服务和数据主要缺点：AD域数目过多：不符合推荐的域数目在10个以内的模式域数目增多，重复的管理任务增多域级的安全策略域内的组策略配置域内第一级组织单元的建立硬件服务器数目增多，每个分支机构的域中域控制器的数目不能少于2个，这要造成全网的硬件服务器数目大约为35*2在集中的管理模式下，总部服务管理要将所有域（<35）的权限收上来，做法需要维护一张管理员表，从已有AD客户的使用来看，不方便和安全应用开发人员可以只和一个用户库绑定，开发出目录集成的应用，而不用考虑利用GC全局编录中的数据或从多个用户库搜索做成一系列重复串联的工作域模型设计：30+域总部和各个一级分支机构，包括2个数据中心35四种域模型的分析大区域模型是否符合当前管理模式和网络结构是一个主要考虑点。30+域模型：不符合推荐的域数目在10个以内的模式，造成了管理过于复杂，用户体验的复杂；另外在一级分支机构的硬件投资数目大约比单域和双域要多一倍。对比单域和双域模式，它的缺点比较明显。双域和单域模型的对比。这两个模型比较相似。四种域模型的分析大区域模型是否符合当前管理模式和网络结构是一36双域和单域模型的对比用户数据库分为一个与两个复制拓扑结构只与网络拓扑结构有关，双域在目前网络结构环境中，可以减少全网复制量，优化网络带宽的使用减少对目录单点的故障/有意破坏：破坏一个目录数据库，影响面减少一半带宽的保证：50000用户的最小带宽是28.8K有效带宽，25000用户在两个子域中带宽要求是19.2K有效带宽。两个域的带宽比较有保证。对于数据库大小的压力：50000用户的预估数据库为654M，25000用户的预估数据库为344M(以上数据库估计是按50000用户数，50000W2K计算机，5000个组，500个OU，3000个打印机；25000用户的情况是减半)域控制器的备份和恢复时间减少一半，从网络上通过复制来恢复域控制器的可能性提高。300M的数据库，在256K带宽条件下，提升或恢复所需的时间约为1小时管理模式可以在日后方便地调整为：南方区和北方区；应用开发人员考虑和两个用户库绑定：开发出目录集成的应用，考虑利用GC全局编录中的数据或从两个用户库搜索做成一个重复串联的工作域的合并不能进行，但域中用户的迁移可以用工具作到。双域和单域模型的对比用户数据库分为一个与两个37管理模式管理模式38总部管理模式设计管理任务定义服务管理：AD中所有有关结构的配置AD中所有有关机器的配置AD中所有有关权限的配置数据管理：目录中对象的操作增、删、移动：用户，计算机组织单元中的策略控制服务器管理：硬件监控、维护AD服务器备份最终用户支持用户登录和SSO支持用户桌面的支持总部管理模式设计管理任务定义39管理模式定义层次结构总部AD管理：总部AD服务管理、总部数据管理，总部服务器管理一级分支机构：一级分支机构和下属二级分支机构的数据管理、服务器管理二级分支机构：服务器的管理管理模式定义层次结构40DNS设计DNS设计41DNS名字空间设计内部办公网络的DNS名字的选择可以有几种：与Internet上的DNS名字相同继承Internet名字空间.ra目前仍是DraftRFC“DNSTopLevelDomainforPrivate”完全的内部名称注意事项：避免两个字节的根后缀，.XX;注意事项：避免YY.XXDNS名字空间设计内部办公网络的DNS名字的选择可以有几42安全性的考虑：低安全性:与Internet完全DNS通讯定义正常的DNS名字解析方法用roothints指向InternetRootServers防火墙对任何源和目的地址开放53端口适度安全性：:与Internet之间有限的DNS通讯用forwarders指向内部有限的几台DNS服务器在防火墙上，将这几台DNS服务器与外部DNS服务器的通讯打开(允许端口53在有限的源和目的地址之间通讯)外部DNS可以连接到InternetRootServers最安全：与Internet之间没有DNS通讯定义内部的rootserver控制内部的名字区域用代理服务器和网关来保证客户端访问InternetDNS通讯设计选择：最安全的方式，即定义内部的DNSroot,控制内部的名字区域；客户端访问Internet采用代理服务器和网关的做法。安全性的考虑：低安全性:43DNS服务器的位置和复制作法设计选择：DNS服务配置在域控制器上，有些域控制器并不需要安装DNS服务，具体配置参见服务器设计。DNS区域都配置为AD集成的DNS区域，利用目录服务的复制拓扑和复制周期实现DNS区域记录的复制；利用动态更新的功能DNS服务器的位置和复制作法设计选择：DNS服务配置在域控44OUOU45OU的作用划分管理任务用来配置组策略用来隐藏一些对象OU的作用划分管理任务46活动目录概述及设计课件47SiteSite48Site概念在目录服务的术语中，一个Site是指一些连接很好的网络服务客户请求.当客户从域控制器请求服务时，例如用户认证，目录服务确定用户所在的Site，直接将请求交给与用户在同一个Site的域控制器。选择离用户群最近的域控制器可以有效地对用户进行回应。优化复制.Sites控制目录复制的信息流量。目录复制在Site内部比在Site之间更频繁，而且Site之间的复制是压缩的（压缩比为5-10）一个设计很好的Site拓扑结构可以保证网络带宽不至于因目录复制信息而饱和，而且，目录信息能够保证更新，客户端机器能够访问到最近的资源Site概念在目录服务的术语中，一个Site是指一些连接很49Site概念SiteLink目录服务复制可以通过配置Site之间连接器来进行控制，即配置SiteLinks：连接的成本和复制周期。目录服务利用SiteLinks这些配置信息来确定在域控制器之间最有效的目录复制连接连接对象连接对象定义了目录复制的源、目的以及时间周期的安排。缺省情况下，由目录系统中的KCC根据管理员配置的Site和SiteLink信息自动创建连接对象。管理员可以改动KCC创建的连接对象，也可以手工配置连接对象Site概念SiteLink50Site设计客户端登录的反应时间目录服务复制的冗余网络带宽的优化Site设计客户端登录的反应时间51Site的划分不存在域控制器的地方，不必划Site；域控制器的放置在目前的原则是一级分支机构放置域控制器以用于用户登录二级分支机构根据网络有效带宽是否能够满足用户登录需要来放置；如果不放置域控制器，用户登录需要通过广域网，每个用户登录所需的时间由登录流量和网络带宽来决定Site的划分不存在域控制器的地方，不必划Site；域控制器52Site设计Site设计53复制量计算复制量计算54目录数据库的大小目录数据库的大小：按25000用户，w2k计算机25000个，打印机3000个，大组500个，中组2000个，小组2000个，500个OU考虑，每个数据库是344MGC的大小：为520M目录数据库的大小目录数据库的大小：55SiteLink开销值有效带宽(kilobits/second) Cost9.6 104219.2 79838.4 64456 58664 567128 486256 425512 3781024 3402048 3094096 283SiteLink开销值有效带宽(kilobits/sec56SiteLink复制日程安排定义一个复制日程安排：定义复制窗口为全周、全天开放除上班的高峰时间：08：00–11：003小时和14：00–17：003小时SiteLink复制日程安排定义一个复制日程安排：57SiteLink副本复制频率在复制窗口18个小时中：从桥头堡到分支机构的复制为2次，各6小时从分支机构到桥头堡的复制为2次，各3小时SiteLink副本复制频率在复制窗口18个小时中：58确定复制时间表满足的条件是：只能有4个二级分支机构同时进行复制，即同时使用一级分支机构的线路进行复制在Inbound阶段：各分支机构将本地的变化传递到桥头堡服务器在Outbound阶段：桥头堡服务器将所有发生的变化传递到各分支机构根据以上时间表：各分支机构每天的目录变化，第二天能够总部复制确定复制时间表满足的条件是：只能有4个二级分支机构同时进行复59各个桥头堡上的复制周期配置各个桥头堡上的复制周期配置60冗余的考虑冗余的考虑61服务器服务器62概念域控制器域控制器是使用ActiveDirectory安装向导配置的运行Windows2000Server的计算机。ActiveDirectory安装向导安装和配置为网络用户和计算机提供ActiveDirectory目录服务的组件。域控制器存储着目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。桥头堡数据中心的域控制器有一种角色是负责与大量的分支机构域控制器进行，维持复制拓扑结构，保证目录信息的及时更新和准确度全局编录：GC森林中的一台或多台域控制器可以作全局编录GC。存储着其所在域的目录中所有对象的全部副本及森林中每个其他域的目录所包含的所有对象的部分副本。因为副本存储着森林中每个对象的部分而非全部的属性值，所以这只是一部分。全局编录发挥两个重要目录的作用：启动登录过程时，它通过将全局组成员信息提供给域控制器来启用网络登录。它允许查找目录信息，而不管树林中的哪个域实际包含这些数据。客户端登录到网络时，需要联系全局编录，所以在设计中需要考虑全局编录的位置。概念域控制器63操作主机：FSMO在森林中DC是平等的多主复制关系，但在森林中还有一些特殊职责，只有一台DC担当，我们称之为操作主机。在操作主机中分为森林级和域级，森林级指在整个森林中只有一台DC担当此职责，域级指在域中只有一台DC担当此职责。每个森林只能有一个schemamaster和一个domainnamingmaster：SchemaMaster控制对于Schema的更新和修改。更改Schema必须在SchemaMaster上。任何时候，森林中只能有一台SchemaMasterDomainnamingmaster在森林中控制域的增、删。任何时候整个森林只能有一台Domainnamingmaster每个域都必须而且只能有一个以下角色：相对ID主机(RelativeIDmaster)：相对ID主机将系列相对ID分配给域中每个不同的域控制器PDC仿真程序(Primarydomaincontrolleremulator)：接收由域中其他域控制器执行的密码更改的优先复制。如果密码最近被更改，则需要花费一定时间将此次更改复制到域中的每个域控制器。如果登录验证由于密码错误而在另一个域控制器中执行失败，则该域控制器将在拒绝登录尝试前将验证请求转发给PDC仿真程序基础主机(Infrastructuremaster):基础主机负责在重新命名或更改组成员时更新“组到用户”的引用操作主机：FSMO在森林中DC是平等的多主复制关系，但在森林64放置原则域控制器的放置在目前的原则是：总部数据中心一级分支机构放置域控制器以用于用户登录二级分支机构根据网络有效带宽是否能够满足用户登录需要来放置；如果不放置域控制器，用户登录需要通过广域网，每个用户登录所需的时间由登录流量和网络带宽来决定；如果不放置域控制器，使用所属一级分支机构的域控制器。放置原则域控制器的放置在目前的原则是：65GC放置森林根域中有一台GC数据中心：HUB机器为GC因为用户登录需要GC,所以设计离用户近的域控制器作为GCGC会引起复制流量的增加，在正常运行过程中，采用增量增加的方法。在Site设计文档中，会计算GC引起的流量GC放置森林根域中有一台GC66FSMO角色的位置FSMO角色的位置：森林级角色在总部的森林根中：共有3台机器数据中心：各有2台机器FSMO角色的位置FSMO角色的位置：67服务器机器类型根据标准化硬件/软件的原则，机器类型分为三类：A

：森林根域单PIII800xeonCPU512M内存1megabytes(MB)ofL2cacheB：北方域和南方域的机器类型一致双PIII800xeonCPU1GB内存2megabytes(MB)ofL2cacheC

：桥头堡服务器和PDCEmulator四PIII800xeonCPU2GB内存2megabytes(MB)ofL2cache服务器机器类型根据标准化硬件/软件的原则，机器类型分为三类：68服务器硬盘规则目录服务数据库存储需要：25000*0.4G/1000=10GGC的存储为：10G+10G/2=15G物理硬盘0–由两块30G硬盘配制成RAID1，划分为两个逻辑分区(C:和F：)，NTFS文件系统 C:(系统服务,DNSWINSservices)：10G 系统文件-C:\WINNT Pagefile F：(目录服务的日志和DHCP的日志)：20G 目录服务的日志-F:\NTDS.log物理硬盘1–由三块30G的硬盘配置为RAID5，划分为两个逻辑分区(D:和P：)，NTFS文件系统P盘：目录使用，20G 目录服务的数据库文件-P:\NTDS SystemVolume文件-P:\SYSVOLD盘：文件共享用，40G服务器硬盘规则目录服务数据库存储需要：25000*0.4G/69服务器容量和数量森林根域：三台A类型的服务器用户数在1000以下的机构：一台B类型的服务器用户数在1000以上的机构：两台C类型的服务器PDCEmulator各自是一台单任务的机器，它们的硬件配置为C类型的服务器桥头堡服务器：一台C类型的服务器服务器容量和数量森林根域：三台A类型的服务器70服务器数目建议是否在本地放置域控制器，取决于广域网是否支持用户使用远程服务器以及目录服务本身承载并发的能力。网络流量是关键瓶颈，其他资源如CPU/内存/硬盘等情况忽略不讨论服务器数目建议是否在本地放置域控制器，取决于广域网是否支持用71其他信息其他信息72市场份额Source:Gigatel2000市场份额Source:Gigatel200073国际客户国际客户74国际客户最大的实施目前是：AnthemBlueCrossBlueShield8,000,000GeneralElectricSun/iPlanetplansscrapped,GEtorolloutMSActiveDirectoryandExchange2000to400Kusers国际客户最大的实施目前是：75成功案例(1)公司名称客户端数目GE400,000USAirForce300,000Citibank250,000+USArmy200,000SIEMENS360,000BoeingCompany150,000Compaq105,000LockheedMartinCorp.100,000USNavy198,000EDS100,000EricssonInc.105,000FordMotorCompany180,000BritishTelecom76,000MerrillLynchCo.70,000VolkswagenAG70,000成功案例(1)公司名称客户端数目GE400,000USAi76成功案例(2)公司名称客户端数目Nortel85,000GermanTelekom150,000LucentTechnologies105,800Motorola77,000DowChemicals50,000Xerox70,000Cisco40,000KPMG80,000WellsFargoBank70,000RoyalBank40,000TimeWarnerInc.40,000BankofAmerica50,000Intel71,000AT&T98,800成功案例(2)公司名称客户端数目Nortel85,000G77国内客户国内客户78部分客户铁道部中国海关中国石油工商银行工商管理局中国联通部分客户铁道部79国内客户中国网通快速部署和实施5.1期间从NT40平台升级到Windows2000目录系统服务器集中模式Windows2000桌面灵活控制安全控制制度角度打印定位功能国内客户中国网通80国内客户中国工商银行Intranet建设-目录服务的目标为：办公网域名解析体系灵活管理的目录架构目录服务建设为用户管理和桌面管理实现了中心管理和分布管理的平台。办公应用SingleSignOn的目录平台桌面标准化标准化办工网用户桌面环境.国内客户中国工商银行81中国海关3套目录体系目录设计过程授权中心企业应用系统的门户站点企业应用系统的授权管理中国海关3套目录体系82目录服务目录服务83什麽是活动目录？ActiveDirectory,AD活动目录是Windows2000Server提供的重要服务管理中心：网络元素(用户，应用，设备等)安全中心:身份认证授权中心桌面管理和控制开放的平台：应用的开发，与其他系统集成什麽是活动目录？ActiveDirectory,AD84目录服务综述目录服务综述85实施AD带来的收益实体管理的平台用户身份管理：每个员工访问办工网时出示唯一的一个ID标识管理任务：开户，销户，禁用账号安全的认证方式：Kerberos;事实上的业届标准集中的计算机桌面管理：Windows2000桌面版：通过组策略集中的安全控制中心：通过组策略对于W2KServer,W2KPro实施AD带来的收益实体管理的平台86实施AD带来的收益应用开发系统将用户身份认证交给AD企业内部一套用户数据库：用户信息准确降低管理成本更能关注本应用本身的业务逻辑减少工作量更安全用户使用的便利：只需记住一套用户名/口令应用策略应用发布实施AD带来的收益应用开发系统将用户身份认证交给AD87实施AD带来的收益辅助其它网络应用的分布式实现AD集成的DNSAD集成的DFS(分布式文件系统)打印服务的定位：搜索打印机的位置MSMQExchange2000CAService实施AD带来的收益辅助其它网络应用的分布式实现88实施AD带来的收益构建一个企业目录系统的基础从用户管理到各种其他实体的管理：计算机，网络设备，应用程序Ecommerce应用Extranet应用实施AD带来的收益构建一个企业目录系统的基础89AD项目过程现状分析-〉需求分析-〉设计-〉测试-〉试点-〉大规模实施-〉稳定阶段AD项目过程现状分析-〉90现状分析现状分析91需求分析需求分析92设计设计93设计原则简单是最好的投资您的业务和单位会不断变化理想设计的目标研究设计替代的方案设计原则简单是最好的投资94活动目录的逻辑元素活动目录的逻辑元素95活动目录的物理元素活动目录的物理元素96森林森林97森林森林是域的集合，是一套目录系统的边界。森林有两种主要用途：简化用户与目录的交互过程和简化对多个域的管理。森林有这样一些特征：共享一套Schema(定义AD中对象的类型和相应对象的属性)共享一套Configuration(如Domain,Site,SiteLink信息)共享一套GlobalCatalog(GC,全局编录)用户搜索GlobalCatalog用户用UPN名登录(a@)森林中的域之间互相信任森林森林是域的集合，是一套目录系统的边界。森林有两种主要用途98森林建立多个森林的理由为：不能信任其他的管理员不能就Forest变化策略达成一致Schema变化,Configuration变化,添加新域对整个Forest带来的影响。共同决定Schemaadministrators,enterpriseadministrators的成员多个Forest带来的不好影响：增加管理费用域数目增多；各个森林分别管理森林级的服务手工管理和维护森林之间的信任关系有一些功能在多Forest的环境中失效UPNlogon(如huangsy@)森林建立多个森林的理由为：99Forest设计选择单一Forest两个Forest主要优点：两个森林完全的管理边界，提供了完全的自治，双方拥有各自独立的Schemas，各自独立的全局编录,各自管理自己的森林级管理任务（Schema,Enterprise）应用开发的便利：独立控制自己森林中的Schema，有利于目录集成的应用开发，扩展本森林的Schema不必影响其他森林的Schema。目录集成应用项目的研究：作为一个独立的测试和试运行环境独立的全局编录：外来人员很多，人员流动大，经常会建立临时账号，将森林独立出来有一套独立的全局编录，可以不影响人员相对固定的其他森林主要缺点：额外的森林根硬件(2-3台)额外的森林级管理任务有资源共享需要时，手工维护信任关系现阶段不可以合并，域在森林之间不可以移动，用户可以在森林之间用工具移动Forest设计选择单一Forest100森林根域森林中的根域是在森林中创建的第一个域，森林的名字就是这个域的名字。有两个森林级的组enterpriseadministrators和schemaadministrators就存在这个域中，他们的成员由森林根域的DomainAdmin决定的。无法重新安装森林的根域。如果森林根域的所有域控制器在一次灾难性事故中丧失，而且一个或多个域控制器无法从备份恢复，将永久丧失enterpriseadministrators和schemaadministrators组，造成灾难性事故，整个森林将面临重建。森林根域森林中的根域是在森林中创建的第一个域，森林的名字就是101森林根域在森林根域中，有两个森林级的操作主机（FSMO）角色：SchemaMaster和DomainNamingMaster。SchemaMaster控制对于Schema的更新和修改,更改Schema必须在SchemaMaster上。任何时候，森林中只能有一台SchemaMasterDomainNamingMaster在森林中控制域的增、删。任何时候整个森林只能有一台Domainnamingmaster森林根域在森林根域中，有两个森林级的操作主机（FSMO）角色102森林根域建议建立一个专职，小的森林根，森林根不可以改名，改变或删除创建一个额外的专有的域作为森林中的根域可以有以下的一些好处：森林根域中的域管理员可以管理enterpriseadministrators和schemaadministratorsgroups的成员。这两个管理员组中的成员可以控制整个森林的结构，例如增减域都需要enterpriseadministrators组中的成员许可；以及整个森林中的Schema变化。因为这个域很小，它可以很容易复制，所以可以避免森林中心的大灾难。因为这个域的唯一职责是作为森林的根，这个域将来不会作废。将森林根域与工作域化开，可以在工作域将来不需要时，将它删除，而森林根域会一直保留，不会在工作域改变时受到影响。森林根域建议建立一个专职，小的森林根，森林根不可以改名，改变103森林根域根域设计选择建立一个由3台机器组成的森林根，只作森林级管理任务。此森林根域为本机模式。森林根域根域设计选择104域域105域的作用认证（Kerberos）策略管理账户的安全策略PasswordpolicyAccountlockoutpolicyKerberos

ticketpolicy共享资源的发布文件共享打印机域的作用认证（Kerberos）106域设计在Windows2000设计原则中来自实际的经验是，尽量减少域的数目，保持域结构的简单化。有三种可能的原因增加新的域：保留已有的WindowsNT域结构管理任务的划分物理划分整个森林中域数目建议不要超过10个域设计在Windows2000设计原则中来自实际的经验是，107管理的边界域是管理任务的边界。这意味着每个域有一个域管理员组，域管理员对域中的每一个对象都有完全的管理权力。这些管理权力只在本域拥有，不会跨越到其他域。通过将各个域的管理员账号/口令收集到总部，也可以实现将不同域的管理任务集中到总部，这是一种变通的做法。在组织中，对安全策略的需求。有一些安全策略是实施在域用户上，只能基于每个域来设定：口令策略，如口令长度等账户锁定策略，用来定义对待猜测口令的入侵者，口令数次失败后将账户锁定Kerberos

票据策略.定义Kerberos票据的生命周期.一张Kerberos票据是在登录过程中获得的，用来进行网络认证。一张票据只在策略中规定的生命周期时间内存活。当票据过期后，系统自动去申请另一张新的票据.如果组织中对这些策略不能达成一致，那末只能分为几个域。管理的边界域是管理任务的边界。这意味着每个域有一个域管理员组108物理划分物理划分是指将森林中的域划分为多个小域。多个小型域可以优化复制过程，只需将复制对象放在最相关的位置.例如，在只有一个域的森林，森林中的每一个对象都需复制到森林中的每一个域控制器上。这样有可能将一些很少用的对象复制到一些地方，而占用了宝贵的带宽，例如，经常登录到总部的用户不需将他们的账户复制到分支机构。通过建立一个独立的分支域可以避免一些复制流量。物理划分物理划分是指将森林中的域划分为多个小域。多个小型域可109以单域为出发点用户不必在域之间移动任何域控制器都可以处理用户的认证请求不必在域之间建立GroupPolicy配置的再配置以单域为出发点用户不必在域之间移动110单域的大小以下的表可以帮助设计一个单域环境能够承受的最大用户数：域控制器之间的最低有效带宽(kbps)一个森林中不要超过的用户数(users)创建子域不超过的用户数(users)9.625,00015,00014.450,00015,00019.250,00025,00028.875,00040,00038.4100,00045,00056.0(andhigher)100,000100,000单域的大小以下的表可以帮助设计一个单域环境能够承受的最大用户111单域的大小以上的数字：以100,000用户为边界保守的估计10%的最小带宽用来处理复制所有的DC都为GC新员工率为：20%离职员工率为：15%组中成员变化是复制中主要的流量用户和计算机数目是1：1DNS是AD集成的DNS配置中有清除陈旧记录单域的大小以上的数字：112单域的大小以上的数字：以100,000用户为边界保守的估计10%的最小带宽用来处理复制所有的DC都为GC新员工率为：20%离职员工率为：15%组中成员变化是复制中主要的流量用户和计算机数目是1：1DNS是AD集成的DNS配置中有清除陈旧记录单域的大小以上的数字：113域模型设计：单域除森林根域之外，建立一个单域，所有用户账号在一个数据库中。主要优点：最简单：简化FSMO的管理、复制、备份、恢复、DNS等AD数据库在各处都是用户体验的一致性，不管他在哪里办公，登录过程等都完全一致用户很容易移动：在一个域内的移动任务非常简单减少硬件投资，为保持域的可靠性，每个域内至少有两台域控制器，设计为单域，在各个分支机构的域控制器数目可以只为一台OU权限委派很容易：创建/修改/删除的任务非常简单硬件配置标准化，软件配置标准化：在各处的域控制器配置完全一致精干的管理员组，对应30*2个一般化的管理员应用开发人员可以只和一个用户库绑定主要缺点：物理带宽的保证：参照物理划分的需要，50000用户的最小带宽是28.8K有效带宽所有的数据在各处复制，小机构可能不需要所有的数据。（从WAN复制的计算中可以看出这些复制量）共享的一些安全配置，如口令长度和复杂度每个分支机构的实施过程，影响到网络流量，每实施一个分支机构，就增加了域控制器及AD中的数据对目录单点的故障/有意破坏。减轻作法：对管理权力严格进行控制：包括域管理员的成员，各OU容器的管理员；和针对特定对象授权的恢复完成对域控制器物理上完全的权力减轻作法：由管理任务细化，不同任务交给不同管理员；每个服务单设管理员域模型设计：单域除森林根域之外，建立一个单域，所有用户账号在114域模型设计：双域按南北两个数据中心设定两个域主要优点：数据库细化为两个，减少了全网复制量符合网络拓扑结构总部集中管理模式下，只维护两个域的管理任务精干的管理员组，对应30*2个一般化的管理员用户体验在南方区和北方区的一致性人员变动时，用户很容易在南方区、北方区内部账号迁移应用开发人员可以只和两个用户库绑定南方区和北方区各自的硬件配置标准化，软件配置标准化缺点：每个分支机构的实施过程，影响到网络流量，每实施一个分支机构，就增加了域控制器及AD中的数据影响DNS名字规划所有的数据在各处复制，小机构可能不需要所有的数据对目录单点的故障/有意破坏。减轻作法：对管理权力严格进行控制：包括域管理员的成员，各OU容器的管理员；和针对特定对象授权的恢复完成对域控制器物理上完全的权力减轻作法：由管理任务细化，不同任务交给不同管理员；每个服务单设管理员域模型设计：双域按南北两个数据中心设定两个域115总部域模型设计：大区域按地理位置的大区设置域主要优点：数据库一定程度细化主要缺点：网络拓扑结构并非按大区设定管理模式是否按大区设定管理模式可以收回总部域模型设计：大区域按地理位置的大区设置域116域模型设计：30+域总部和各个一级分支机构，包括2个数据中心设置独立的域（<35）二级分支机构不设置域，需要检查增加子域-带宽考虑表，有所调整。主要优点：数据库细化每个分支机构分布部署不会引起全网数据流量的突变支持未来管理模式变化为：各一级分支机构独立管理：服务和数据主要缺点：AD域数目过多：不符合推荐的域数目在10个以内的模式域数目增多，重复的管理任务增多域级的安全策略域内的组策略配置域内第一级组织单元的建立硬件服务器数目增多，每个分支机构的域中域控制器的数目不能少于2个，这要造成全网的硬件服务器数目大约为35*2在集中的管理模式下，总部服务管理要将所有域（<35）的权限收上来，做法需要维护一张管理员表，从已有AD客户的使用来看，不方便和安全应用开发人员可以只和一个用户库绑定，开发出目录集成的应用，而不用考虑利用GC全局编录中的数据或从多个用户库搜索做成一系列重复串联的工作域模型设计：30+域总部和各个一级分支机构，包括2个数据中心117四种域模型的分析大区域模型是否符合当前管理模式和网络结构是一个主要考虑点。30+域模型：不符合推荐的域数目在10个以内的模式，造成了管理过于复杂，用户体验的复杂；另外在一级分支机构的硬件投资数目大约比单域和双域要多一倍。对比单域和双域模式，它的缺点比较明显。双域和单域模型的对比。这两个模型比较相似。四种域模型的分析大区域模型是否符合当前管理模式和网络结构是一118双域和单域模型的对比用户数据库分为一个与两个复制拓扑结构只与网络拓扑结构有关，双域在目前网络结构环境中，可以减少全网复制量，优化网络带宽的使用减少对目录单点的故障/有意破坏：破坏一个目录数据库，影响面减少一半带宽的保证：50000用户的最小带宽是28.8K有效带宽，25000用户在两个子域中带宽要求是19.2K有效带宽。两个域的带宽比较有保证。对于数据库大小的压力：50000用户的预估数据库为654M，25000用户的预估数据库为344M(以上数据库估计是按50000用户数，50000W2K计算机，5000个组，500个OU，3000个打印机；25000用户的情况是减半)域控制器的备份和恢复时间减少一半，从网络上通过复制来恢复域控制器的可能性提高。300M的数据库，在256K带宽条件下，提升或恢复所需的时间约为1小时管理模式可以在日后方便地调整为：南方区和北方区；应用开发人员考虑和两个用户库绑定：开发出目录集成的应用，考虑利用GC全局编录中的数据或从两个用户库搜索做成一个重复串联的工作域的合并不能进行，但域中用户的迁移可以用工具作到。双域和单域模型的对比用户数据库分为一个与两个119管理模式管理模式120总部管理模式设计管理任务定义服务管理：AD中所有有关结构的配置AD中所有有关机器的配置AD中所有有关权限的配置数据管理：目录中对象的操作增、删、移动：用户，计算机组织单元中的策略控制服务器管理：硬件监控、维护AD服务器备份最终用户支持用户登录和SSO支持用户桌面的支持总部管理模式设计管理任务定义121管理模式定义层次结构总部AD管理：总部AD服务管理、总部数据管理，总部服务器管理一级分支机构：一级分支机构和下属二级分支机构的数据管理、服务器管理二级分支机构：服务器的管理管理模式定义层次结构122DNS设计DNS设计123DNS名字空间设计内部办公网络的DNS名字的选择可以有几种：与Internet上的DNS名字相同继承Internet名字空间.ra目前仍是DraftRFC“DNSTopLevelDomainforPrivate”完全的内部名称注意事项：避免两个字节的根后缀，.XX;注意事项：避免YY.XXDNS名字空间设计内部办公网络的DNS名字的选择可以有几124安全性的考虑：低安全性:与Internet完全DNS通讯定义正常的DNS名字解析方法用roothints指向InternetRootServers防火墙对任何源和目的地址开放53端口适度安全性：:与Internet之间有限的DNS通讯用forwarders指向内部有限的几台DNS服务器在防火墙上，将这几台DNS服务器与外部DNS服务器的通讯打开(允许端口53在有限的源和目的地址之间通讯)外部DNS可以连接到InternetRootServers最安全：与Internet之间没有DNS通讯定义内部的rootserver控制内部的名字区域用代理服务器和网关来保证客户端访问InternetDNS通讯设计选择：最安全的方式，即定义内部的DNSroot,控制内部的名字区域；客户端访问Internet采用代理服务器和网关的做法。安全性的考虑：低安全性:125DNS服务器的位置和复制作法设计选择：DNS服务配置在域控制器上，有些域控制器并不需要安装DNS服务，具体配置参见服务器设计。DNS区域都配置为AD集成的DNS区域，利用目录服务的复制拓扑和复制周期实现DNS区域记录的复制；利用动态更新的功能DNS服务器的位置和复制作法设计选择：DNS服务配置在域控126OUOU127OU的作用划分管理任务用来配置组策略用来隐藏一些对象OU的作用划分管理任务128活动目录概述及设计课件129SiteSite130Site概念在目录服务的术语中，一个Site是指一些连接很好的网络服务客户请求.当客户从域控制器请求服务时，例如用户认证，目录服务确定用户所在的Site，直接将请求交给与用户在同一个Site的域控制器。选择离用户群最近的域控制器可以有效地对用户进行回应。优化复制.Sites控制目录复制的信息流量。目录复制在Site内部比在Site之间更频繁，而且Site之间的复制是压缩的（压缩比为5-10）一个设计很好的Site拓扑结构可以保证网络带宽不至于因目录复制信息而饱和，而且，目录信息能够保证更新，客户端机器能够访问到最近的资源Site概念在目录服务的术语中，一个Site是指一些连接很131Site概念SiteLink目录服务复制可以通过配置Site之间连接器来进行控制，即配置SiteLinks：连接的成本和复制周期。目录服务利用SiteLinks这些配置信息来确定在域控制器之间最有效的目录复制连接连接对象连接对象定义了目录复制的源、目的以及时间周期的安排。缺省情况下，由目录系统中的KCC根据管理员配置的Site和SiteLink信息自动创建连接对象。管理员可以改动KCC创建的连接对象，也可以手工配置连接对象Site概念SiteLink132Site设计客户端登录的反应时间目录服务复制的冗余网络带宽的优化Site设计客户端登录的反应时间133Site的划分不存在域控制器的地方，不必划Site；域控制器的放置在目前的原则是一级分支机构放置域控制器以用于用户登录二级分支机构根据网络有效带宽是否能够满足用户登录需要来放置；如果不放置域控制器，用户登录需要通过广域网，每个用户登录所需的时间由登录流量和网络带宽来决定Site的划分不存在域控制器的地方，不必划Site；域控制器134Site设计Site设计135复制量计算复制量计算136目录数据库的大小目录数据库的大小：按25000用户，w2k计算机25000个，打印机3000个，大组500个，中组2000个，小组2000个，500个OU考虑，每个数据库是344MGC的大小：为520M目录数据库的大小目录数据库的大小：137SiteLink开销值有效带宽(kilobits/second) Cost9.6 104219.2 79838.4 64456 58664 567128 486256 425512 3781024 3402048 3094096 283SiteLink开销值有效带宽(kilobits/sec138SiteLink复制日程安排定义一个复制日程安排：定义复制窗口为全周、全天开放除上班的高峰时间：08：00–11：003小时和14：00–17：003小时SiteLink复制日程安排定义一个复制日程安排：139SiteLink副本复制频率在复制窗口18个小时中：从桥头堡到分支机构的复制为2次，各6小时从分支机构到桥头堡的复制为2次，各3小时SiteLink副本复制频率在复制窗口18个小时中：140确定复制时间表满足的条件是：只能有4个二级分支机构同时进行复制，即同时使用一级分支机构的线路进行复制在Inbound阶段：各分支机构将本地的变化传递到桥头堡服务器在Outbound阶段：桥头堡服务器将所有发生的变化传递到各分支机构根据以上时间表：各分支机构每天的目录变化，第二天能够总部复制确定复制时间表满足的条件是：只能有4个二级分支机构同时进行复141各个桥头堡上的复制周期配置各个桥头堡上的复制周期配置142冗余的考虑冗余的考虑143服务器服务器144概念域控制器域控制器是使用ActiveDirectory安装向导配置的运行Windows2000Server的计算机。ActiveDirectory安装向导安装和配置为网络用户和计算机提供ActiveDirectory目录服务的组件。域控制器存储着目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。桥头堡数据中心的域控制器有一种角色是负责与大量的分支机构域控制器进行，维持复制拓扑结构，保证目录信息的及时更新和准确度全局编录：GC森林中的一台或多台域控制器可以作全局编录GC。存储着其所在域的目录中所有对象的全部副本及森林中每个其他域的目录所包含的所有对象的部分副本。因为副本存储着森林中每个对象的部分而非全部的属性值，所以这只是一部分。全局编录发挥两个重要目录的作用：启动登录过程时，它通过将全局组成员信息提供给域控制器来启用网络登录。它允许查找目录信息，而不管树林中的哪个域实际包含这些数据。客户端登录到网络时，需要联系全局编录，所以在设计中需要考虑全局编录的位置。概念域控制器145操作主机：FSMO在森林中DC是平等的多主复制关系，但在森林中还有一些特殊职责，只有一台DC担当，我们称之为操作主机。在操作主机中分为森林级和域级，森林级指在整个森林中只有一台DC担当此职责，域级指在域中只有一台DC担当此职责。每个森林只能有一个schemamaster和一个domainnamingmaster：SchemaMaster控制对于Schema的更新和修改。更改Schema必须在SchemaMaster上。任何时候，森林中只能有一台SchemaMasterDomainnamingmaster在森林中控制域的增、删。任何时候整个森林只能有一台Domainnamingmaster每个域都必须而且只能有一个以下角色：相对ID主机(RelativeIDmaster)：相对ID主机将系列相对ID分配给域中每个不同的域控制器PDC仿真程序(Primarydomaincontrolleremulator)：接收由域中其他域控制器执行的密码更改的优先复制。如果密码最近被更改，则需要花费一定时间将此次更改复制到域中的每个域控制器。如果登录验证由于密码错误而在另一个域控制器中执行失败，则该域控制器将在拒绝登录尝试前将验证请求转发给PDC仿真程序基础主机(Infrastructuremaster):基础主机负责在重新命名或更改组成员时更新“组到用户”的引用操作主机：FSMO在森林中DC是平等的多主复制关系，但在森林146放置原则域控制器的放置在目前的原则是：总部数