微软windows域控课件

一.AD的基本原理和架构活动目录的基本概念活动目录的结构及复制管理操作主机DNS与活动目录二.日常管理操作FRS、组策略管理用户和组日常管理行为和常用管理工具三.AD的备份和恢复备份活动目录恢复活动目录恢复操作角色(OperationMaster)四.常见故障恢复活动目录相关的一些常见错误处理常用排错工具5活动目录的基本概念活动目录的结构管理操作主机DNS与活动目录活动目录架构最佳实践的讨论什么是活动目录活动目录的对象活动目录的架构（Schema）活动目录与LDAPPrinter1用户?目录服务器名称:Server1OS:Windows2000Type:FileServerLocation:1stFloor名称:Server2OS:NovellNetware4.0Type:FileServerLocation:2ndFloor打印机名称:Printer1Type:HP4SiColor:NoDuplex:YesLocation:3rdFloorServer1Server2活动目录服务基于X.500数据库结构，用于在一个层次结构中组织网络资源目录服务器名称:Server1OS:Windows2000Type:FileServerLocation:1stFloor名称:Server2OS:NovellNetware4.0Type:FileServerLocation:2ndFloor打印机名称:Printer1Type:HP4SiColor:NoDuplex:YesLocation:3rdFloor对象代表网络资源属性存储对象的信息属性姓名登录名属性打印机名称打印机位置活动目录打印机Printer1Printer2SuzanFine用户DonHall属性值对象打印机用户Printer3X.5001988年由ISO和ITU提出包含的概念：DSAs,DIB,DITSchema中定义对象类和属性LDAP访问目录的协议提供目录应用开发的API信息以树状层次结构组织Schema提供目录的模板对象由classes和attributes定义Classes是对象的类别arecategoriesofobjectsAttributes是对象的特征Distinguishednamecn=KimAkers,ou=department,dc=corp,dc=contoso,dc=comRelativedistinguishednamecn=KimAkersNamingAttributesCommonname=cnOrganizationalunit=ouDomaincomponent=dcObjectIdentityGlobalUniqueIdentifier(GUID)DNS-to-LDAPDistinguishedNameMappingDNS:microsoft.comLDAP:DC=Microsoft,DC=COMLDAP提供通过制定唯一名字路径来访问活动目录的每一个对象LDAP名字路径包括:DistinguishednamesLDAP例子LDAP://DC=Microsoft,DC=COMCN=SuzanFine,OU=Sales,DC=contoso,DC=msftSuzanFine活动目录逻辑结构活动目录物理结构Sites及活动目录的复制•域和森林•DNS支持AD•Schema•数据存贮对象类实例打印机计算机用户用户属性可能包含:accountExpiresdepartmentdistinguishedNamemiddleName属性列表accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName…属性实例活动目录Schema:随时可用的可动态更新的被DACLs保护DataStoreComponentsNTDS.DITActiveDirectory存贮文件维护3张表:DataTable,LinkTable,SecurityDescriptorTableEDB.LOGCurrentTransactionLogAllTransactionscreatedherebeforebeingcommittedtoNTDS.DITEDB****.LOGLogsthatarecompleteandcommittedtoNTDS.DITEDB.CHKCheckpointfile(JET)usedtoidentifycommittedvs.uncommittedtransactionsRES1.LOGandRES2.LOGReservedspaceforEDB.LOGEachfileis10MBPartition=NamingContext森林范围内vs.域范围内Partitions域范围指定域的信息每个域的DC上包含本域的所有信息森林范围存贮2个Partitions–Schema和Configuration森林中每台DC上都具有完全信息除了具有SchemaMaster角色的DC外，Schema在其他所有DC上是只读的GlobalCatalogApplicationPartitions应用程序所需的相应数据WindowsServer2003存贮DNS数据域Domains组织单元OrganizationalUnits树和森林TreesandForests全局编录GlobalCatalog域是一个管理边界域管理员只能在本域中执行管理操作，除非他被明确地赋予其他域管理员身份一个域是一个复制单元域控制器包含域中信息的完整集合，并且参与域信息的复制Windows2000/2003/2008Domain复制能力复制单元大小命名管理委派NT4.0对象40,000对象NetBIOS建立新域Windows2000/2003属性1,000,000+对象DNS在域内建立管理委派到OU..OrgcomeducnMicrosoftCompaqDigitalHPEMEAFareastGtec“Fareast.Microsoft.COM”“MICROSOFT.COM”“Gtec.Fareast.Microsoft.COM”用OU来个对象进行分组管理委派到OU组织结构SalesVancouverRepairUsersSalesComputers网络管理型模型用于结构化活动目录公司的组织结构公司的管理构架DomainParisSalesRepairUser1User2User3User4基于部门OUs基于项目OUs基于业务功能OUs基于管理OUs基于对象OUs地理位置OUs包含用户、组、打印机、计算机、联系人可应用组策略嵌套灵活–容易建立、删除、改变contoso.msftau.contoso.msftasia.contoso.msft树双向传递性信任au.nwtraders.msftasia.nwtraders.msftnwtraders.msft森林树双向传递性信任GlobalCatalogServer全局编录所有对象的属性子集域域域域域域查询用户登陆时的组成员域控制器站点活动目录的复制域控制器域控制器域复制=活动目录数据库的可写拷贝域控制器:参与活动目录复制在域中作为单操作主机角色Sites:优化复制通信量是用户可以通过可信赖的、高速的连接登录域控制器SiteIP子网IP子网LosAngelesSeattleChicagoNewYork网络速度应用服务器要求Exchange32SiteASiteBSiteCConnectionsSiteLinks(Schedule&Cost)BridgeheadServerSite-一个或多个子网-一个或多个域SiteLinkBridgesISTG多主机复制所有域控制器参预复制，对等的任何变化将从一台域控制器复制到所有域控制器任何变化可从不同的域控制器上产生Sites允许预定的复制ScheduleIntervalDomainZDomainYDomainXConfigurationSchemaGlobalCatalogServerFullReplicaPartialReplicaForestDomainSchemaConfigurationDomainDomainControllerNTDS.DITDomainConfigurationSchemaDomainConfigurationSchemaDomainZDomainYDomainXConfigurationSchemaReplicaDCDCGCDirectoryPartition也称为命名上下文NamingContextorNC用户DCDCDCDC2311被改变的信息送到DC2DC将变化复制到其他DC3其他DC将变化复制到更多地DCmicrosoft.comSchema/ConfigurationNCTopologymicrosoft.comdomainNCTopologyConnectionObjectDC1DC2DC3DC4DC1DC2DC3DC4Transport拓扑结构复制模型压缩RPCoverIPRingNotify/PullNoneRPCorSMTP*SpanningTreeRequest/PullFullIntra-Site复制Inter-Site复制SMTPoverIPisonlysupportedforDCofdifferentdomains(i.e.Schema,ConfigurationandGCreplication)讨论企业组织架构IT管理架构安全策略原则环境状况物理位置演示1：升级域控制器森林范围内：SchemaMasterDomainNamingMaster域范围内：PDCEmulatorRIDMasterInfrastructureMaster只有作为操作主机的域控制器才能对活动目录信息作相应改变在操作主机上作的改变将会复制到其他的域控制器任何域控制器可以作为操作主机操作主机角色可以转移复制单主机操作操作主机森林中的第一台域控制器森林范围你的角色：SchemamasterDomainnamingmaster域范围内角色：RIDmasterPDCemulatorInfrastructuremaster控制所有的Schema更新复制Schema更新到森林中所有的域控制器只有在SchemaAdmin组中的成员才能更该SchemaSchemaMaster复制控制在森林中添加和删除域NewDomainDomainNamingMasterGlobalCatalogServer在NTBDC和基于Windows2000之前的客户端存在时作为PDC用于基于Windows2000之前的客户端更新密码对于基于Windows2000的客户端，最小化复制密码更改的延迟管理时间同步ClientComputerRunningPre-Windows2000VersionofWindowsPDCEmulatorWindowsNTBDCMove给域中其他的域控制器分配RIDs块ObjectSID=DomainSID+RIDRIDMasterBlockofRIDsMoveRIDAllocationUpdatesReferencestoObjectsandGroupMembershipsfromOtherDomainsInfrastructureMasterGlobalGroup嵌套到DomainLocalGroupMoveGUIDSIDNewDN组成员列表确认当前操作主机的位置用“ActiveDirectory用户和计算机”查找RIDmasterPDCemulatorInfrastructuremaster用“ActiveDirectory域和信任”查找Domainnamingmaster用“ActiveDirectorySchema”查找Schemamasterregsvr32schmmgm