什么是Active Directory?
Active Directory域服务是Microsoft的目录服务器。它提供了身份验证和授权机制,以及可以在其中部署其他相关服务(AD证书服务,AD联合服务等)的框架。它是包含对象的LDAP兼容数据库。最常用的对象是用户,计算机和组。可以根据任何逻辑或业务需求将这些对象组织为组织单位(OU)。然后,可以将组策略对象(GPO)链接到OU,以集中组织中各个用户或计算机的设置。
人们说“ Active Directory”时,通常指的是“ Active Directory域服务”。重要的是要注意,还有其他Active Directory角色/产品,例如证书服务,联合身份验证服务,轻型目录服务,权限管理服务等。此答案专门针对Active Directory域服务。
什么是域,什么是森林?
森林是安全边界。除非每个单独的林的管理员在它们之间建立信任,否则单独的林中的对象无法彼此交互。例如,一个的企业管理员帐户domain1.com(通常是林中最特权的帐户)在名为的第二个林中根本没有任何权限domain2.com,即使这些林存在于同一LAN中,除非存在信任关系, 。
如果您有多个不相交的业务部门或需要单独的安全边界,则需要多个目录林。
域是管理边界。域是森林的一部分。林中的第一个域称为林根域。在许多中小型组织(甚至一些大型组织)中,您只会在单个林中找到单个域。林根域定义了林的默认名称空间。例如,如果新林中的第一个域名为domain1.com,那么这就是林根域。如果您对子域有业务需求,例如-在芝加哥的分支机构,则可以命名子域chi。子域的FQDN为chi.domain1.com。您可以看到子域的名称是林根域名称的前缀。通常是这样的。您可以在同一林中拥有不相交的名称空间,但这是蠕虫在不同时间的完全独立的罐头。
在大多数情况下,您将想尽一切可能拥有单个AD域。它简化了管理,现代版本的AD使得基于OU的委派控制变得非常容易,从而减少了对子域的需求。
我可以为自己的域名命名,对吗?
并不是的。dcpromo.exe,用于将服务器升级为DC的工具不是傻瓜式的。它的确会使您在命名时做出错误的决定,因此,如果不确定,请注意本节。(编辑:dcpromo在Server 2012中已弃用。使用Install-ADDSForestPowerShell cmdlet或从服务器管理器安装AD DS。)
首先,不要使用诸如.local,.lan,.corp或任何其他废话之类的虚构TLD。这些TLD 不保留。ICANN现在正在出售TLD,因此您mycompany.corp今天使用的您实际上可能属于明天的某人。如果您拥有mycompany.com,那么明智的选择是使用类似于internal.mycompany.com或ad.mycompany.com作为内部AD名称的方式。如果您将其mycompany.com用作外部可解析的网站,则也应避免将其用作内部AD名称,因为最终将使用裂脑DNS。
域控制器和全局目录
响应身份验证或授权请求的服务器是域控制器(DC)。在大多数情况下,域控制器将保存全局编录的副本。全局目录(GC)是林中所有域中的部分对象集。它是直接可搜索的,这意味着通常可以在GC上执行跨域查询,而无需引用目标域中的DC。如果在端口3268上查询了DC(如果使用SSL,则查询为3269),则查询了GC。如果查询端口389(如果使用SSL,则为636),则使用标准LDAP查询,并且其他域中存在的对象可能需要引用。
当用户尝试使用其AD凭据登录到加入AD的计算机时,盐析和散列的用户名和密码组合将同时发送给正在登录的用户帐户和计算机帐户的DC。是的,电脑也登录。这很重要,因为如果AD中的计算机帐户发生某些事情,例如有人重置或删除了该帐户,您可能会收到一条错误消息,指出计算机与域之间不存在信任关系。即使您的网络凭据很好,也不再信任计算机登录域。
域控制器可用性问题
我听到“我有一个主域控制器(PDC),并且想安装一个备份域控制器(BDC)”的声音,这是我想相信的。PDC和BDC的概念在Windows NT4中消失了。当您仍然有NT4 DC时,PDC的最后一个堡垒是在Windows 2000过渡混合模式AD中。基本上,除非您支持从未升级的15年以上的安装,否则您实际上没有PDC或BDC,只有两个域控制器。
多个DC能够同时回答来自不同用户和计算机的身份验证请求。如果其中一个失败,那么其他人将继续提供身份验证服务,而不必像您在NT4天内所做的那样进行一个“主要”认证。最佳做法是每个域至少有两个DC。这些DC都应该保存GC的副本,并且都应该是DNS服务器,同时也保存您所在域的Active Directory集成DNS区域的副本。
FSMO角色
“因此,如果没有PDC,为什么只有一个DC可以具有PDC角色?”
我听到很多。有一个PDC模拟器角色。它不同于PDC。实际上,有5个灵活的单主机操作角色(FSMO)。这些也称为操作主机角色。这两个术语可以互换。它们是什么,它们做什么?好问题!这五个角色及其功能是:
域命名主机 -每个目录林只有一个域命名主机。域命名主机确保将新域添加到林中时该域是唯一的。如果担任此角色的服务器处于脱机状态,则您将无法更改AD名称空间,其中包括添加新的子域之类的内容。
架构主机 -森林中只有一个架构操作主机。它负责更新Active Directory架构。需要执行此任务的任务(例如,为新版本的充当DC的Windows Server准备AD或安装Exchange)需要对架构进行修改。这些修改必须从Schema Master中完成。
基础结构主机 -每个域只有一个基础结构主机。如果您的林中只有一个域,那么您实际上就不必担心它。如果您有多个目录林,则除非该目录林中的每个DC都是GC,否则请确保该角色不由同时也是GC持有者的服务器担任。基础结构主机负责确保正确处理跨域引用。如果将一个域中的用户添加到另一个域中的组,则所涉及域的基础结构主机应确保正确处理了该域。如果该角色在全局目录中,则将无法正常运行。
RID主机 -相对ID主机(RID主机)负责向DC发布RID池。每个域有一个RID主服务器。AD域中的任何对象都具有唯一的安全标识符(SID)。它由域标识符和相对标识符的组合组成。给定域中的每个对象都具有相同的域标识符,因此相对标识符是使对象唯一的原因。每个DC都有一个要使用的相对ID池,因此,当DC创建一个新对象时,它会附加一个尚未使用的RID。由于DC是由不重叠的池发出的,因此每个RID在域的生存期内应保持唯一。当DC的池中剩下约100个RID时,它将向RID主服务器请求一个新池。如果RID主设备长时间处于脱机状态,则对象创建可能会失败。
PDC仿真器 -最后,我们来探讨其中最广为人知的角色,即PDC仿真器角色。每个域有一个PDC模拟器。如果身份验证尝试失败,则将其转发到PDC仿真器。如果一个DC上的密码已更新但尚未复制到其他DC上,则PDC仿真器将充当“抢劫犯”的角色。PDC仿真器还是控制整个域中时间同步的服务器。所有其他DC从PDC仿真器同步其时间。所有客户端都从登录的DC同步时间。重要的是,所有内容之间的间隔必须保持在5分钟之内,否则Kerberos就会中断,并且当这种情况发生时,所有人都在哭泣。
要记住的重要一点是,运行这些角色的服务器并不是一成不变的。转移这些角色通常是微不足道的,因此,虽然某些DC的作用要比其他DC稍大,但如果它们在短时间内掉线,则通常一切正常。如果他们长时间不在家,很容易透明地转移角色。它比NT4 PDC / BDC日子好得多,所以请不要再使用这些旧名字来呼叫您的DC。:)
那么,嗯...如果DC彼此独立运行,如何共享信息?
复制当然。默认情况下,属于同一站点中相同域的DC将以15秒的间隔相互复制其数据。这样可以确保所有内容都是相对最新的。
有一些“紧急”事件会触发立即复制。这些事件是:帐户因过多的失败登录而被锁定,对域密码或锁定策略进行了更改,LSA机密已更改,DC的计算机帐户上的密码已更改或RID主角色已转移到新的DC。这些事件中的任何一个都会触发立即复制事件。
密码更改介于紧急和非紧急之间,并且可以唯一处理。如果更改了用户的密码,DC01并且用户尝试DC02在进行复制之前登录到要进行身份验证的计算机,您会希望此操作失败,对吗?幸运的是,这没有发生。假定这里还有第三个DC DC03担当PDC仿真器角色。当DC01使用用户的新密码更新时,该更改将立即复制到DC03。如果您的身份验证尝试DC02失败,DC02则将该身份验证尝试转发到DC03,以验证它的确正确,并且允许登录。
让我们谈谈DNS
DNS对于正常运行的AD至关重要。Microsoft的官方说法是,如果设置正确,则可以使用任何DNS服务器。如果您尝试使用BIND来托管广告区域,那就太高了。说真的 坚持使用AD Integrated DNS区域,如有必要,请对其他区域使用条件转发器或全局转发器。应该将所有客户端都配置为使用AD DNS服务器,因此在此处具有冗余性很重要。如果您有两个DC,请让它们都运行DNS并将客户端配置为将它们都用于名称解析。
另外,您将要确保,如果您有多个DC,则不要将它们首先列出来进行DNS解析。这可能导致它们位于“复制岛”上的情况,在该岛上,它们与其余的AD复制拓扑断开了连接,无法恢复。如果您有两台服务器DC01 - 10.1.1.1和DC02 - 10.1.1.2,则它们的DNS服务器列表应配置如下:
服务器:DC01(10.1.1.1)
主DNS-10.1.1.2
次DNS-127.0.0.1
服务器:DC02(10.1.1.2)
主DNS-10.1.1.1
次DNS-127.0.0.1
好的,这似乎很复杂。为什么我要完全使用AD?
因为一旦您知道自己在做什么,您的生活就会变得无限美好。AD允许集中用户和计算机管理,以及集中资源访问和使用。想象一下一个办公室有50个用户的情况。如果希望每个用户都有自己的登录名到每台计算机,则必须在每台PC上配置50个本地用户帐户。使用AD,您只需创建一次用户帐户,默认情况下就可以登录域中的任何PC。如果要加强安全性,则必须执行50次。有点恶梦吧?还要想象您有一个文件共享,而您只希望其中一半人可以访问。如果您不使用AD,则需要手动在服务器上复制其用户名和密码以提供隐秘的访问权限,或者 d必须创建一个共享帐户,并为每个用户提供用户名和密码。一种方式意味着您知道(并且必须不断更新)用户的密码。另一种方式意味着您没有审核记录。不好吧?
设置广告后,您还可以使用组策略。组策略是一组链接到OU的对象,这些OU定义了这些OU中用户和/或计算机的设置。例如,如果要使500台实验室PC的“关闭”菜单上没有“关机”,则可以在组策略中的一个设置中执行此操作。只需创建一次组策略对象,然后将其链接到正确的一个或多个OU,而不用花费数小时或数天的时间手动配置正确的注册表项,而无需再考虑它。可以配置数百个GPO,组策略的灵活性是Microsoft在企业市场中如此占主导地位的主要原因之一。