錢春花

摘要：隨著系統(tǒng)信息化工作的不斷深入，人們對(duì)信息系統(tǒng)及應(yīng)用平臺(tái)的安全性、可管理性、可維護(hù)性具有更高的要求，在Windows平臺(tái)下。通過(guò)采用活動(dòng)目錄(Active Directory，簡(jiǎn)稱AD)來(lái)槊構(gòu)整個(gè)網(wǎng)絡(luò)來(lái)達(dá)到用戶所需，當(dāng)前中小型企業(yè)為了滿足公司未來(lái)的發(fā)展和企業(yè)運(yùn)營(yíng)的需求，迫切希望重新進(jìn)行集中化的企業(yè)網(wǎng)絡(luò)部署，提高辦公效率和安全。本文結(jié)合就對(duì)活動(dòng)目錄的功能，結(jié)構(gòu)包括邏輯結(jié)構(gòu)(OU，域，域樹，域森林)和物理結(jié)構(gòu)(域控制器和站點(diǎn))進(jìn)行了探討。

關(guān)鍵詞：活動(dòng)目錄企業(yè)網(wǎng)絡(luò)部署域控制器

0引言

在Windows平臺(tái)下，通過(guò)采用活動(dòng)目錄(Active Directory，簡(jiǎn)稱AD)來(lái)架構(gòu)整個(gè)網(wǎng)絡(luò)來(lái)達(dá)到用戶所需，比如人們通常使用活動(dòng)目錄來(lái)執(zhí)行的管理用戶帳戶，管理用戶權(quán)限，管理組，規(guī)劃域控制器，創(chuàng)建和管理域間信任關(guān)系，審核策略，管理Exchange郵件用戶，文件服務(wù)器等等。

本文基與活動(dòng)目錄如此強(qiáng)大的功能優(yōu)勢(shì)下主要分析企業(yè)活動(dòng)目錄設(shè)計(jì)方案，來(lái)更好的滿足企業(yè)管理的需求。

1活動(dòng)目錄的概念

目錄是存儲(chǔ)有關(guān)網(wǎng)絡(luò)上對(duì)象信息的層次結(jié)構(gòu)。目錄服務(wù)也即活動(dòng)目錄(Active Directory)簡(jiǎn)稱AD，是用于Windows 20030Server的目錄服務(wù)。它存儲(chǔ)著網(wǎng)絡(luò)上各種對(duì)象的有關(guān)信息，如用戶帳戶、組、打印機(jī)、共享文件夾等對(duì)像的數(shù)據(jù)庫(kù)，并且提供目錄數(shù)據(jù)庫(kù)的存儲(chǔ)、添加、刪除、修改、查詢等服務(wù)，并使該信息易于管理員和用戶查找及使用。Active Djrectory目錄服務(wù)使用結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)作為目錄信息的邏輯層次結(jié)構(gòu)的基礎(chǔ)。

通過(guò)登錄驗(yàn)證以及目錄中對(duì)象的訪問控制，將安全性集成到Active Directory中。通過(guò)一次網(wǎng)絡(luò)登錄，管理員可管理整個(gè)網(wǎng)絡(luò)中的且錄數(shù)據(jù)和單位，而且獲得授權(quán)的網(wǎng)絡(luò)用戶可訪問網(wǎng)絡(luò)上任何地方的資源?；诓呗缘墓芾頊p輕了即使是最復(fù)雜的網(wǎng)絡(luò)的管理。

2活動(dòng)目錄的特點(diǎn)

2.1數(shù)據(jù)存儲(chǔ)以層次化結(jié)構(gòu)存儲(chǔ)著與活動(dòng)目錄對(duì)象相關(guān)的信息，這些對(duì)象通常包括各種共享資源，如：打印機(jī)、用戶、計(jì)算機(jī)、組織單位(OU)等。

2.2通過(guò)網(wǎng)絡(luò)分發(fā)目錄數(shù)據(jù)的數(shù)據(jù)復(fù)制域中所有的域控制器(DC)都參與復(fù)制并包含他們所控制的域的所有目錄信息的完整副本。對(duì)目錄數(shù)據(jù)所做的任何更改都被復(fù)制到域中的所有域控制器。

2.3定義了一套規(guī)則定義了包含在目錄中的對(duì)象類和屬性、這些對(duì)象實(shí)例的約束和限制及其名稱的格式。

2.4包含目錄中每個(gè)對(duì)象信息的全局編錄允許用戶和管理員查找目錄信息，而與目錄中實(shí)際包含數(shù)據(jù)的域無(wú)關(guān)。

2.5與網(wǎng)絡(luò)安全登錄過(guò)程的安全子系統(tǒng)的集成，以及對(duì)目錄數(shù)據(jù)查詢和數(shù)據(jù)修改的訪問控制。

3活動(dòng)目錄的邏輯結(jié)構(gòu)

“邏輯”兩個(gè)字相信大家平時(shí)見的比較多，如我們常說(shuō)的“邏輯思維、邏輯分析”等，也許大家一講到“邏輯”兩個(gè)字就覺得十分抽象，難以理解。其實(shí)我們?cè)谶@里所講的“邏輯結(jié)構(gòu)”，我覺得還是很好理解的，“邏輯”一般與“物理”是對(duì)等的，我們知道“物理上的”是指實(shí)實(shí)在在的，那么“邏輯上的”不就是指非物理上的，非實(shí)體的東西，它是一種抽象的東西，比如講一種“關(guān)系”、一個(gè)“空間、范圍”等。網(wǎng)絡(luò)對(duì)象呈現(xiàn)給用戶和管理員的方法，活動(dòng)目錄有目錄樹、域、域樹、域林等，這些名字都不是實(shí)實(shí)在在的一種實(shí)體，只是代表了一種關(guān)系，一種范圍，如目錄樹就是由同一名字空間上的目錄組成，而域又是由不同的目錄樹組成，同理域樹是由不同的域組成，域林是由多個(gè)域樹組成。它們是一種完全的樹狀、層次結(jié)構(gòu)視圖，這種關(guān)系我們可以看成是一種動(dòng)態(tài)關(guān)系。

4活動(dòng)目錄的物理結(jié)構(gòu)

活動(dòng)目錄中，物理結(jié)構(gòu)與邏輯結(jié)構(gòu)有很大的不同，它們是彼此獨(dú)立的兩個(gè)概念。邏輯結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)資源的管理，而物理結(jié)構(gòu)則側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化?；顒?dòng)目錄的物理結(jié)構(gòu)主要著眼于活動(dòng)目錄信息的復(fù)制和用戶登錄網(wǎng)絡(luò)時(shí)的性能優(yōu)化。物理結(jié)構(gòu)的兩個(gè)重要概念是站點(diǎn)和域控制器，它們是針對(duì)LAN和WAN中服務(wù)器的工作方式而言的。

4.1站點(diǎn)站點(diǎn)是由一個(gè)或多個(gè)IP子網(wǎng)組成，這些子網(wǎng)通過(guò)高速網(wǎng)絡(luò)設(shè)備連接在一起。站點(diǎn)往往由企業(yè)的物理位置分布情況決定，可以依據(jù)站點(diǎn)結(jié)構(gòu)配置活動(dòng)目錄的訪問和復(fù)制拓?fù)潢P(guān)系，這樣能使得網(wǎng)絡(luò)更有效地連接，并且可使復(fù)制策略更合理，用戶登錄更快速，活動(dòng)目錄中的站點(diǎn)與域是兩個(gè)完全獨(dú)立的概念，一個(gè)站點(diǎn)中可以有多個(gè)域，多個(gè)站點(diǎn)也可以位于同一域中。

4.2域控制器域控制器(DC，Domain ControIler)是實(shí)際存儲(chǔ)活動(dòng)目錄的地方，用來(lái)管理用戶登錄進(jìn)程，驗(yàn)證和目錄搜索的任務(wù)。它是指運(yùn)行Windows 2003 Server版本的服務(wù)器，它保存了活動(dòng)目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個(gè)域中的其他域控制器上，使各域控制器上的目錄信息處于同步。

5中小型企業(yè)AD活動(dòng)目錄設(shè)計(jì)實(shí)例

公司簡(jiǎn)單介紹：

XX公司是北京一家網(wǎng)絡(luò)項(xiàng)目集成企業(yè)。通過(guò)公司合理的運(yùn)營(yíng)和管理。發(fā)展迅速，員工人數(shù)已經(jīng)有200人左右，且在蘇州有家分公司。為了滿足公司未來(lái)的發(fā)展和企業(yè)運(yùn)營(yíng)的需求，公司決定重新部署企業(yè)的網(wǎng)絡(luò)。公司計(jì)劃部署一個(gè)由約100臺(tái)計(jì)算機(jī)組成的局域網(wǎng)。由于計(jì)算機(jī)較多，管理上缺乏層次。公司希望利用windows域環(huán)境管理所有的網(wǎng)絡(luò)資源，提高辦公效率。

本方案中邏輯結(jié)構(gòu)采用單域，域名為××，COM，CN，與多域結(jié)構(gòu)相比，實(shí)現(xiàn)網(wǎng)絡(luò)資源集中管理，并保障管理上的簡(jiǎn)單性和低成本，在域內(nèi)按照部門名稱劃分組織單位(OU)，如財(cái)務(wù)部，技術(shù)部，銷售部，研發(fā)部等等。

本方案中物理結(jié)構(gòu)設(shè)計(jì)成單站點(diǎn)，原因有兩點(diǎn)：①優(yōu)化客戶端的登錄。當(dāng)域用戶在兩個(gè)不同物理位置的客戶端上登錄時(shí)，DNS會(huì)替客戶端找本站點(diǎn)內(nèi)的DC，這樣就加快了身份驗(yàn)證過(guò)程：②優(yōu)化AD的復(fù)制。每個(gè)DC之間要同步AD數(shù)據(jù)庫(kù)，如果不劃分站點(diǎn)，這個(gè)同步無(wú)時(shí)無(wú)刻都在進(jìn)行，而且數(shù)據(jù)是不壓縮的。如果劃分了站點(diǎn)這個(gè)過(guò)程變的可控，特別是在多站點(diǎn)的情況下，優(yōu)越性更加突出。

為保證可靠性，需要安裝2臺(tái)域控制器，主DC在北京，而附加DC在上海，企業(yè)管理人員不可能在上海直接安裝，因?yàn)檫@樣復(fù)制流量會(huì)很大，WAN線路不可能輕松實(shí)現(xiàn)，那該如何?首先在北京的父域上做AD的備份(利用ntbackup來(lái)備份系統(tǒng)狀態(tài))，把備份還原到上海一臺(tái)服務(wù)器上(位置選擇備用位置)，再在這臺(tái)服務(wù)器上搭建第二臺(tái)DC。

例如：北京的DC：ntbackup——備份“system State”文件名：bakup-bkf，到上海的一臺(tái)服務(wù)器：恢復(fù)備份到一個(gè)文件夾，然后開始運(yùn)行dcpromo，adv找恢復(fù)目錄，即可安裝成功。