Active Directory系列

HP-UX、Linux、Tru64 UNIX、NonStop、OpenVMS、Windows Server等,数据中心、虚拟化方案等

版主: xyevolve

版面规则
1. 本版是定位于惠普软件系统及解决方案的技术讨论区。
2. 本版鼓励发帖共同讨论技术问题,不鼓励站内信件私下交流,独知知不如众知知。
3. 本版允许转贴或引用他人的作品,但必须声明原作者信息。
4. 本版禁止发表出售、求购、或其他非技术讨论等帖子。
5. 本版禁止灌水,包括但不限于任何与所讨论主题无关的回复,无意义字符,直接复制其他回复等。
6. 本站附件禁止用于商业目的,请在下载后24小时内删除,本站不对其造成的结果负任何责任。
admin
网站编辑
帖子: 767
注册时间: 2010年 12月 22日 04:06 星期三

Active Directory系列之十一 - 什么是站点

帖子 admin » 2015年 1月 23日 14:24 星期五

Active Directory系列之十一 - 什么是站点

谈到Active Directory中的站点,很多Active Directory的初学者都会深感头疼,为什么呢?搞不清楚这个站点究竟是起什么作用。有很多同学都问过这样的问题,站点和域有什么区别?到底是域大还是站点大?有了域为什么还要有站点?…..本文将尝试为大家介绍站点的概念及设计初衷,让大家能够更好地理解站点,运用站点。

域是共享用户账号,计算机账号及安全策略的一组计算机,这个定义是基于逻辑因素考虑的,只要用户和计算机在同一个Active Directory内,我们就认为他们都在域的安全边界之内。我们从域的定义中可以看到,域没有考虑网络速度等物理因素,无论计算机和域控制器之间是一个快速的物理连接还是一个慢速的物理连接,域都会一视同仁,完全把连接速度视若无物。但在实际的生产环境中我们就会发现如果不考虑网速这样的物理因素,我们会在管理域时遇到很多麻烦。我们通过一个例子加以说明,如下图所示,某域的域控制器分布在北京,上海两处,北京有A,B,C三台域控制器,上海有D,E,F三台域控制器。北京和上海的本地局域网都是千兆以太网,北京和上海之间是一条128K的专线。
200902261235582283094.jpg
现在我们要考虑这么一个问题,如果域控制器A更改了Active Directory,那么如果才能用最有效率的方法把这个AD的变化复制到其他五个域控制器上呢?显然域控制器A应该先把更改复制到同一高速局域网内的B和C,然后再利用慢速的广域网链接复制到上海的一个域控制器上,例如复制到D,最后再由D复制到E和F。域控制器如果使用我们规划的这种复制拓扑,那当然好,在这种复制拓扑中数据只经过两地间的慢速链路传递了一次。但问题是域如果不考虑速度因素,未必能作出这种拓扑,万一KCC决定使用的复制拓扑是先从A到D,再从D到B,然后B到E,再E到C,最后从C到F,那我们就要崩溃了。这样的话六个域控制器之间的AD复制要沿着两地间的慢速链路走五次,无论如何都让我们无法接受!从这个例子中我们已经看到了速度因素的重要性,再顺着这个例子引申一下,用户每天登录到域进行身份验证,显然北京的用户应该登录到北京的域控制器,上海的用户应该登录到上海的域控制器,这样效率才会比较高,如果北京的用户每天都到上海的域控制器进行身份验证,显然不是一件好事。

从上面的例子中我们发现,在日常的运维工作中是不能把速度因素透明处理的,我们必须考虑到计算机之间的连接速度!正是基于这种考虑,微软才引入了站点对计算机进行管理。站点的概念其实很简单,站点就是高速相连的一组计算机!从这个概念来看,站点强调了速度这个物理因素,域则是强调要共享Active Directory这个逻辑因素,把站点和域结合起来对计算机从物理和逻辑两个角度进行管理,是微软的一个很好的构思。值得一提的是,微软这种管理思路并非罕见,例如Exchange中也有管理组和路由组的概念,管理组和路由组其实类似于域和站点的关系,也是一个从逻辑角度进行管理,另一个从物理角度进行管理。

有了站点帮助管理,我们处理前面提到的那个例子就容易多了,从站点的定义来看,由于北京和上海之间存在一条慢速链路,因此我们应该把北京的计算机放到一个站点内,把上海的计算机放到另一个站点内。这样的话,北京和上海的用户在登录时会优先选择本站点内的域控制器登录,KCC在规划复制拓扑时也会自动地优先考虑在本站点内的域控制器之间进行AD复制。更好的是,如果AD需要垮站点复制,AD内容还可以经过压缩后再进行复制,显然站点在设计时已经充分考虑到了对带宽的充分利用。

从理论上证明了站点的必要性,我们在下篇博文中就要付诸实践了,我们将在下篇博文中通过实例为大家介绍如何进行站点的创建及管理,敬请关注!

本文出自 “岳雷的微软网络课堂” 博客,
出处http://yuelei.blog.51cto.com/202879/133130
您没有权限查看这个主题的附件。

admin
网站编辑
帖子: 767
注册时间: 2010年 12月 22日 04:06 星期三

Active Directory系列之十二 - 实战Active Directory站点部署与管理

帖子 admin » 2015年 1月 23日 14:27 星期五

Active Directory系列之十二 - 实战Active Directory站点部署与管理

上篇博文中我们家介绍了站点的设计目的及大致原理,今天我们通过实战为大家介绍如何进行站点的部署以及管理。实验拓扑如下图所所示,adtest.com域中有四个域控制器,分别是Florence,Berlin,Firenze和Perth。其中Florence和Berlin在北京,隶属于192.168.11网段;Firenze和Perth在上海,隶属于192.168.12网段。由于北京和上海之间使用了一条64K的DDN慢速链路,因此我们有必要使用站点对域内的计算机进行合理规划,以便能够让域内的计算机在现有的带宽条件下能以最有效率的方式通讯。
202879_1236583015agFm.png

目前四台域控制器都在一个站点中,如下图所示,就是默认的Default-First-Site-Name。根据我们本次实验的具体情况,我们需要把北京和上海的域控制器分为两个站点,为完成这个任务,我们需要进行下列操作:

一 创建站点
二 定义站点子网
三 定位服务器
四 配置站点链接器
202879_1236583018Z8aw.png
一 创建站点

默认情况下所有的域控制器都在一个站点内,但目前我们需要两个站点,一个用于管理北京的计算机,一个用于管理上海的计算机。因此我们需要创建一个新站点,同时把原先的默认站点改名即可。首先我们先把原来的默认站点Default-First-Site-Name改名为Beijing,我们在域控制器Florence上打开Active Directory站点和服务,,如下图所示,右键点击原来的默认站点,选择“重命名”。
202879_1236583022JxzR.png
重命名后的结果如下图所示,默认站点已经改名为Beijing。
202879_1236583025ZO4s.png
接下来我们来创建一个新站点Shanghai,如下图所示,右键点击“Sites”,选择新站点。
202879_1236583027VPj1.png
如下图所示,新站点取名为Shanghai,我们为Shanghai站点选择了一个默认的站点链接器,关于这个站点链接器的作用我们将在后面的内容中予以介绍。
202879_1236583035p1Jx.png
Shanghai站点创建完毕后,系统提示我们要进行如下图所示的后续操作,我们接下来将按照提示实现对站点的配置。
202879_1236583037Dglx.png
二 定义站点子网

现在我们有了Beijing和Shanghai两个站点,接下来要考虑如何定义站点内的IP子网。如果不同的站点管辖了不同的IP子网,那么对域内的计算机来说是非常有利的,域控制器只要根据自己的IP地址就可以判断出自己应该隶属于哪个站点,域内的客户机登录到域时也会根据自己的IP地址来查询同一站点内的域控制器进行登录。
创建站点所属的子网并不难,如下图所示,右键单击Subnets,选择“新建子网”。
202879_12365830414zBh.png
如下图所示,我们创建了一个子网192.168.11,然后把这个子网分配给了Beijing站点。
202879_1236583044j7Gc.png

如法炮制,我们为Shanghai 站点创建了192.168.12子网。这样以后如果有新的域控制器加进来,域控制器根据IP地址就可以自动加入相应的站点。
202879_1236583049rlQR.png


三 定位服务器


定义了站点子网后,我们接下来就要根据每个域控制器的IP地址来把它们加入不同的站点了。我们准备把Florence和Berlin放在Beijing站点,Firenze和Perth放在Shanghai站点。如下图所示,右键单击Firenze,选择“移动”。
202879_1236583052AXzM.png

然后我们选择把Firenze移动到Shanghai站点。
202879_1236583054g9yD.png
用同样的方法我们把Perth也移动到Shanghai站点,移动后的域控制器分布如下图所示,Beijing和Shanghai站点各有两个。
202879_1236583057uVbA.png

四 配置站点链接器

现在我们已经配置好了站点子网,然后把域控制器放到了相应的站点中,现在我们要考虑如何配置站点链接器了。站点链接器是一个逻辑控制单元,它并不负责域控制器之间的物理连接,那应该是电信部门负责的事情,即使没有站点链接器,域内的这些处于不同城市的计算机也是可以在网络层实现联通的。链接器的作用是对不同站点间的数据传递进行控制,以便最大限度地利用好站点间的窄带链路。

有了站点之后,显然域控制器之间的AD复制应该优先在本站点内进行,然后站点会选出一个“桥头服务器”代表所在的站点和其他站点的“桥头服务器”进行通讯,这样AD的更改就可以通过两个站点间的“桥头服务器”进行跨越站点的传递。AD复制在站点内的域控制器进行时是不压缩的,而AD复制如果跨站点进行则需要压缩。跨站点的AD复制拓扑是由ISTG(站点间拓扑生成器)来设计的。ISTG和KCC不同,KCC负责站点内的拓扑设计,ISTG负责站点间的拓扑设计。

我们接下来看看如何利用站点链接器来控制站点间的数据传输,目前Beijing和Shanghai两个站点间使用的是一个默认的站点间链接。如下图所示,我们打开“Active Directory站点和服务”,我们可以看到Inter-Site-Transports下面有IP和SMTP两个子项,这是告诉我们站点间数据复制可以使用IP协议或SMTP协议。一般我们都选择使用IP,如果使用IP,站点间的数据传输将使用RPC协议,这种协议可以传输AD的全部内容而SMTP则只能传输AD的部分内容。现在Beijing站点和Shanghai站点之间使用的就是基于IP的站点链接器。
202879_1236583062NIAE.png
我们打开默认的站点链接器,查看属性,如下图所示,我们在常规属性中可以看到这个站点链接器连接了Beijing和Shanghai两个站点。然后我们可以看到站点链接器的开销是100,开销反映了站点间连接速度的快慢,开销值越小,速度越快。站点间的开销是个相对值,并不具体对应实际的连接速度,因此目前两个站点间的开销值并没有太多的讨论价值,因为没法和其他站点的开销值进行比较。如果有更多的站点,那站点开销的意义就凸显出来了。例如我们现在有北京,上海和广州三个站点,其中北京和上海之间是用2M的专线连接,北京和广州之间是用64K的专线连接,上海和广州之间则用的是10M的专线。那么北京的域控制器更改了AD,如何传递给广州站点内的域控制器呢?从拓扑看,显然从北京直接传到广州就不如先从北京传到上海,再经过上海传到广州合算。我们怎么才能让KCC知道这个情况呢?通过站点开销就很容易做到,例如我们可以设置北京站点到广州站点的开销值是100,而北京到上海的开销值是20,上海到广州的开销值是10。这样一来KCC在计算站点间链接时就可以通过开销值的量化指标判断出100>10+5,因此KCC在安排北京站点和广州站点间的AD复制时会优先让AD数据先从北京站点复制到上海站点,再从上海站点复制到广州站点。值得注意的是,站点开销值是一个宏观上的相对值,并不具体对应传输速率。

站点间的默认复制频率是180分钟,也就是默认情况下三个小时才跨站点复制一次,这个频率比站点内的AD复制低了很多,显然是为了适应广域网上的低速链路。
202879_1236583069C8dc.png
点击站点常规属性中的“更改计划”,我们可以设置站点间数据传输的时间段,这个设置显然有利于避开窄带利用的高峰期,在适当的时机用适当的节奏进行站点间的数据传递。
202879_123658307204o3.png
站点配置完毕后,我们检查DNS服务器,发现DNS中已经有了相关的SRV记录。如下图所示,我们发现Beijing和Shanghai两个站点的SRV记录已经出现在区域中了,这样的话有利于客户机通过查找DNS来定位出和自己所属站点内的域控制器。
202879_1236583083ovRl.png
我们举个例子来说明DNS中和站点有关的SRV记录的作用,有一台客户机Istanbul,IP地址是192.168.12.107。如下图所示,我们准备把它加入域,看看Istanbul加入域的过程。
202879_1236583084tkYY.png
我们用抓包器追踪Istanbul加入域的过程,如下图所示,我们可以看到Istanbul向DNS服务器发起查询,要求查询shanghai站点内的域控制器。显然Istanbul已经知道了自己属于shanghai站点,优先联系shanghai站点内的域控制器,这样我们设置站点的目的也就达到了。
200903091236595453268.jpg
================
本文出自 “岳雷的微软网络课堂” 博客
原文地址,http://yuelei.blog.51cto.com/202879/137004
您没有权限查看这个主题的附件。

admin
网站编辑
帖子: 767
注册时间: 2010年 12月 22日 04:06 星期三

Active Directory系列之十三 - 域控制器的常规卸载

帖子 admin » 2015年 1月 23日 14:28 星期五

Active Directory系列之十三 - 域控制器的常规卸载

我们现在已经有一些Active Directory的部署及管理经验了,今天我们要考虑一个问题,如果一个域控制器我们不需要了,那应该如何处理呢?直接把它砸了是不对的,这未免太暴力了,和当前的和谐环境有些格格不入哦。关键是,如果我们让这台域控制器直接消失,那么其他的域控制器就无法得知这个消息,每隔一段时间其他的域控制器还会试图和这个域控制器进行AD复制,客户机也有可能会把用户名和口令送到这个不存在的域控制器上进行验证。如果这个被暴力卸载的域控制器还承担着一些操作主机角色,我们就更麻烦了。因此,我们进行域控制器卸载时,一定要把工作做到位,优先使用常规卸载,争取不留后患。

有些朋友可能会说,我也希望用常规卸载,但有时就是不能正常卸载,没办法,只好…..我们要分析一下,为什么域控制器无法正常卸载呢?当域控制器进行常规卸载时,AD的内容发生了变化,域控制器会把这个变化通知自己的复制伙伴,再由自己的复制伙伴通知其他域控制器。如果所有的域控制器都通知到了,那就肯定可以正常卸载,而且DNS记录,操作主机角色,AD复制拓扑等问题都可以迎刃而解。因此,域控制器卸载和域控制器之间的AD复制其实是一个硬币的两面,域控制器卸载时也要进行AD复制。想知道一个域控制器是否可以正常卸载,我们只要在Active Directory站点和服务中查看这个域控制器和它的复制伙伴是否可以AD复制就可以了,只要能进行AD复制,基本卸载域控制器时就没有问题。

我们举一个域控制器正常卸载的例子,拓扑如下图所示,我们准备卸载shanghai站点内的域控制器perth。从拓扑可以看出,perth的复制伙伴应该是Firenze,只要perth和Firenze之间可以进行AD复制,perth应该就可以进行域控制器卸载。
200903191237396477203.jpg
在perth上运行Dcpromo,如下图所示,出现Active Directory安装向导,向导判断我们准备把Active Directory删除,点击“下一步”继续。
200903191237396454265.jpg

由于perth并不是域内的最后一个域控制器,因此我们不能勾选“这个服务器是域中的最后一个域控制器”。
200903191237396485421.jpg

Perth删除Active Directory后,需要我们设置本地管理员口令。
200903191237396494171.jpg

当perth上的Active Directory被删除后,perth将成为一个成员服务器。
200903191237396501906.jpg

Perth开始了卸载域控制器的操作,注意下图,perth把AD的变化复制给了Firenze,这和我们事先的分析是吻合的。
200903191237396510375.jpg

OK,perth成功地完成了域控制器的卸载,删除了Active Directory。
200903191237396517843.jpg

Perth进行域控制器的卸载后,我们观察一下DNS服务器,如下图所示,我们发现DNS已经把shanghai站点的SRV记录自动更新了,
200903191237396525875.jpg

如下图所示,shanghai站点内的Firenze也把自己的复制伙伴从Perth改成了Berlin。
200903191237396532812.jpg

域控制器的数量也发生了变化,Perth已经不再是域控制器的一员。
200903191237396542937.jpg

这样我们就在Perth上完成了域控制器的常规卸载,这种卸载方式是我们的首选方法。当然,如果实在无法正常卸载,我们也要想想其他办法,下篇博文中我们将介绍如何进行域控制器的强制卸载。

---

本文出自 “岳雷的微软网络课堂” 博客
原文地址,http://yuelei.blog.51cto.com/202879/140121
您没有权限查看这个主题的附件。

admin
网站编辑
帖子: 767
注册时间: 2010年 12月 22日 04:06 星期三

Active Directory系列之十四 - 域控制器的强制卸载

帖子 admin » 2015年 1月 23日 14:29 星期五

Active Directory系列之十四 - 域控制器的强制卸载

上篇博文中我们介绍了如何对域控制器进行常规卸载,本文中我们将介绍如何对域控制器进行强制卸载。为什么需要对域控制器进行强制卸载呢?如果域控制器不能和复制伙伴正常通讯,而且更正无望,那我们就要考虑进行强制卸载了。例如我曾见过一个单位有10个域控制器,居然有7个不能相互复制,主要是管理员误以为域控制器越多越好….类似这样的情况,我们就可以果断出手,把域控制器强行卸载掉。域控制器强行卸载的原理也很简单,那就是卸载时不再通知复制伙伴,直接把AD删除就好。这样的卸载方式是要相对简单一些,但其实后续的操作很麻烦,例如我们需要在Active Directory中手工清除被强制卸载的域控制器,手工清除DNS中的SRV记录等。因此,如果不是万不得已,还是用常规卸载比较好。

如下图所示,我们将利用如下图所示的拓扑为大家演示如何进行域控制器的强制卸载,我们进行强制卸载的目标是shanghai站点的Firenze。
200903261238036063075.jpg
一 强制卸载域控制器

首先我们在被卸载的域控制器Firenze上打开cmd命令提示符,执行dcpromo/forceremoval,forceremoval参数的作用就是执行强制卸载,如下图所示,卸载向导提示我们这种卸载方式将不对其他域控制器的Active Directory数据进行更新。
200903261238036076418.jpg

接下来我们需要设置Firenze本地管理员的口令。
200903261238036084508.jpg

强制卸载域控制器后,Firenze将不再成为域内的成员服务器,而是会从域中脱离出去成为工作组中的独立服务器。
200903261238036091751.jpg

如下图所示,点击完成结束了域控制器的强制卸载。
200903261238036099098.jpg

二 手工清除Active Directory数据


Firenze被强制卸载后,域内的其他域控制器并不知道这件事情,它们仍然认为Firenze
是域控制器的一员,因此我们必须手工将Firenze从Active Directory中清除出去。我们准备在Berlin上对Active Directory进行手工清理,然后Berlin再把清理后的Active Directory复制到其他域控制器就可以了。
在Berlin上运行NTDSUTIL,如下图所示,选择“Metadata Cleanup”,准备清除不使用的服务器对象。
200903261238036106259.jpg

然后使用“connections”准备连接到指定的域控制器执行删除操作,输入“connect to server berlin”连接到Berlin,然后输入“quit”返回上级菜单。
200903261238036114508.jpg

接下来我们需要使用“Select operation target”来选择被删除的服务器对象,选择服务器时,我们需要指定服务器所在的域和站点。我们可以先用list指令列出站点和域,然后再进行选择。Firenze隶属于shanghai站点,Firenze所在的域是adtest.com。
200903261238036122372.jpg

如下图所示,我们首先用“list sites”列出了当前站点,然后用“select site 1”选定了shanghai站点,我们可以看到对站点的描述用的是数字而不是字符。选择了站点之后,我们接下来使用“list domains in site”列出了站点中的域,当前只有一个域adtest.com,编号是0,因此我们接下来使用“select domain 0”就可以把域也选定了。域和站点都选定了,我们就可以进行服务器的选择了,使用“list servers for domain in site”可以列出所有的服务器,当前shanghai站点只有Firenze一个域控制器,因此我们使用“select server 0”选定服务器Firenze。至此,被手工清理的目标已被我们锁定了。
200903261238036136138.jpg

用“quit”命令退出选择操作对象的环境,返回到上级菜单,然后我们使用“Remove selected Server”删除被选定的服务器对象Firenze。
200903261238036144507.jpg

NTDSUTIL提示我们对删除Firenze服务器的行为进行确认,我们选择“Y”确定操作。
200903261238036151752.jpg

这样Firenze被我们从Berlin的Active Directory中清除了,然后我们在Berlin上打开Active Directory用户和计算机,如下图所示,删除域控制器Firenze。
200903261238036159340.jpg

我们需要对删除Firenze的原因进行描述,如下图所示,Firenze是被我们强制卸载的。
200903261238036166782.jpg

确定要进行删除Firenze的操作,选择“Y“。
200903261238036173381.jpg

至此,我们在Berlin上基本完成了对Firenze的手工清除,完成操作后还需要注意以下几点:

1 手工清除DNS中Firenze的SRV记录
2 如果Firenze承担了操作主机角色,把操作主机角色转移到其他域控制器
3 如果Firenze是全局编录服务器,选择其他的域控制器负责全局编录
4 把Berlin的Active Directory复制到其他域控制器上


综上所述,我们发现其实对域控制器进行强制卸载是很麻烦的事,我们不应该把它当成一种常态行为,只有当域控制器确实没有希望进行常规卸载时,我们才考虑使用强制卸载,而且使用强制卸载后一定要注意后续对Active Directory的手工清理!

---
本文出自 “岳雷的微软网络课堂” 博客
原文地址,http://yuelei.blog.51cto.com/202879/142553
您没有权限查看这个主题的附件。

回复