ADDesignProposalTemplate.docx
《ADDesignProposalTemplate.docx》由会员分享,可在线阅读,更多相关《ADDesignProposalTemplate.docx(33页珍藏版)》请在冰豆网上搜索。
ADDesignProposalTemplate
活动目录和功能设计
(DetailDesign)
微软中国公司
1介绍
1.1设计目标
1.2本文内容
包括重要概念解释,整体设计方案,以及一些具体的参数。
2术语和概念
2.1目录服务(directoryservice)
目录服务是一种存储网络信息的层次结构。
目录是用来存储有用对象的信息源,例如电话目录存储关于电话用户的信息。
在文件系统中,目录存储关于文件的信息。
在分布式计算机系统或者象Internet这样的公用计算机网络中,有许多有用的对象,例如打印机、传真机、应用软件、数据库和其它用户。
用户希望寻找并使用这些对象。
而管理员则希望管理这些对象的使用。
这份文档中,术语directory(目录)和directoryservice(目录服务)指在公用和专用网络中的目录。
“目录服务”不同于“目录”在于它既是目录信息源,也是使用户可以使用这些信息的服务者。
2.2活动目录(activedirectory)
活动目录是包含了Windows 2000Server的目录服务。
它扩展了以前基于Windows的目录服务的功能,并增加了一些全新的功能。
活动目录是安全的、分布式、可分区和可复制的。
它的设计保证能在任何规模的安装中正常工作,从只有几百个对象,一台服务器的小系统到拥有数百万对象,上千台服务器的庞大系统它都支持。
活动目录增加了许多新功能,这些功能使浏览并管理大量信息变得更容易,为管理员和终端用户都节约了时间。
2.3域(domain)
基于WindowsNT的计算机网络的安全边界。
活动目录由一个或多个域组成。
在一个独立的工作站上,域就是计算机自身。
域可以跨越多个物理区域。
每一个域都有自己的安全策略和与其他域的安全关系。
当多个域通过信任关系连接起来,并且共享一个模式、配置和全局目录的时候,它们组成一个域树。
多个域树可以组成一个森林。
参见"域控制器,局部域小组"。
域控制器(domaincontroller)--一个基于WindowsNT的服务器拥有一个活动目录分区。
2.4树(tree)
通过可传递、双向信任关系连接在一起的WindowsNT域的集合,它们共享相同的模式、配置和全局目录。
域必须组成层次式的名字空间,例如,是树根,是的孩子,是的孩子等等。
活动目录是一个或多棵域树的组合。
2.5森林(forest)
相互信任的一个或多个活动目录树形成的小组。
森林中的所有树共享一个模式、配置和全局目录。
当一个森林包括多个树的时候,所有的树不是形成连续的名字空间。
给定森林中的所有树通过信任关系的双向传递相互彼此信任。
与树不同的是,森林不需要一个可分辨的名称(DN)。
森林作为一组交叉引用的对象和成员树之间的信任关系而存在。
森林中的树形成一层次信任关系。
2.6组织单元(organizationalunit,简称OU)
一个容器对象,它是活动目录可管理的划分。
OU可以包含用户、小组、资源和其他OU。
组织单元可以管理权限委托给目录中的子树。
组织单元的结构限制在一个域内。
2.7站点(site)
站点是网络中一个包含活动目录服务器的位置。
站点定义为一个或多个连接良好的TCP/IP子网。
“连接良好”指网络连接非常可靠和快速(例如10兆比特每秒或更高速的LAN)。
定义站点为一组子网则允许管理员快速轻松地配置活动目录访问和复制拓扑,以便充分利用物理网络。
当用户登录上网时,活动目录客户机将以用户的身份在同一个站点找到活动目录服务器。
由于网络中同一个站点的机器彼此邻近,所以它们之间的通讯可靠、快速并且高效。
由于用户的工作站已经知道位于哪一个TCP/IP子网上并且能将子网直接转变为活动目录站点,所以在登录时确定本地站点就变得很容易。
2.8域名系统(DomainNameSystem,简称DNS)
一种层次分布式数据库,用来进行域名/地址转换。
域名系统是Internet上使用的名字空间,用来将计算机和服务名称转换成为TCP/IP地址。
活动目录在它的定位服务中使用DNS,以便客户端可以通过DNS查询找到域控制器。
2.9可传递信任关系(transitivetrust)
Windows2000域树或森林中的域、森林中的树、森林之间固有的存在信任关系。
当一个域加入到一个已有的森林或域树时,自动的建立可传递关系。
可传递信任一般时双向的关系。
在域树中的父子域、森林中域树的根域这一系列信任关系允许森林中的所有域相互之间彼此信任,这样的目的是授权。
例如,如果域A信任域B,域B信任域C,那么域A可以信任域C。
2.10局部域小组(domainlocalgroup)
可以包含森林、通用小组和本域中的其他局部小组中的用户和全局小组。
一个局部域小组只能在本域的ACL中使用。
2.11通用小组(universalgroup)
组的最简单的形式。
通用组可以出现在森林ACL的任何地方。
小型安装可以专有的使用通用小组而不要去关心全局和局部小组
2.12模式(schema)
整个数据库的定义;可以存储在数据库中的全局对象定义在模式中。
对于每一个对象类而言,模式定义了类实例必须具有的属性、可能有的附加属性和当前对象的父亲是基于什么类的。
2.13复制(replication)
在数据库管理系统中,通过例行公事的将整个数据库或数据库的子集拷贝到网络中的其他服务器上而使分布式数据库同步的功能。
有几种拷贝的方法,包括主站点复制、共享或传输所有权的复制、对称复制(也称为随时更新或对等复制)和失败恢复复制。
参见不同复制方法的完整定义"百科全书"。
2.14轻型目录访问协议(LDAP)
用来访问目录服务的一种协议。
目前的Web浏览器和电子邮件程序中都实现了LDAP,这样就可以查询一个LDAP目录。
LDAP是目录访问协议(DirectoryAccessProcotol,简称DAP)的一个简化版本,可以用来访问X.500目录。
编写LDAP查询代码比DAP简单,但是LDAP的功能不是十分完善。
例如,如果没有找到地址,DAP可以在其他的服务器上进行初始化寻找,但是LDAP就不具备这个功能。
LDAP是活动目录的主要的访问协议
2.15Kerberos
一种用来授权用户的安全系统。
对于服务或数据库,Kerberos不提供授权;它在登录时授权用户身份,这在整个会话中都是要使用的。
Kerberos协议是Windows2000操作系统中的主要授权机制。
2.16组策略(GroupPolicy)
指将策略应用到活动目录容器中的计算机组和/或用户。
所包括的策略类型不仅是出现在WindowsNT服务器4.0中的基于注册的策略,还可以是目录服务所允许的用来存储策略数据的多种类型,例如:
文件配置、应用程序配置、登录和注销脚本、启动和关机脚本、域安全、Internet协议安全(InternetProtocolsecurity,简称IPSec)等等。
策略的集合称为组策略对象(GroupPolicyobject,简称GPO)。
2.17组策略对象(GroupPolicyobject,简称GPO)
策略的虚拟集合。
它有一个唯一的名称,例如一个全局唯一标识符(globallyuniqueidentifier,简称GUID)。
GPO在两个位置存储组策略设置:
组策略容器(GroupPolicycontainer,简称GPC)(首选的)和组策略模板(GroupPolicytemplet,简称GPT)。
GPC是一个活动目录对象,存储版本信息、状态信息和其他策略信息(例如应用程序对象)。
GPT用于基于文件的数据并且存储软件策略、脚本和配置信息。
GPT位于域控制器的系统卷文件夹上。
一个GPO可以于一个或多个活动目录容器相关,例如站点、域或组织单元。
多个容器可以与相同的GPO相关联同时一个容器可以与一个或多个GPO相互关联。
此外,缺省的,每一个计算机接受一个只包含指定安全策略的局部组策略对象(localGroupPolicyobject,简称LGPO)。
管理员也可以在单个计算机上设置和应用不同的局部组策略。
这对于那些不是域的成员或那些管理员希望删除从域中继承组策略的计算机的情况是有力的。
参见"组策略"。
2.18组策略管理控制台(GroupPolicyManagementConsole,简称GPMC)
Microsoft组策略管理控制台(GPMC)是一种用以帮助您通过更具成本效益的方式对企业进行管理的新型组策略管理解决方案。
它由一个Microsoft管理控制台(MMC)嵌入式单元以及一套支持脚本编程方式的组策略管理接口所构成。
GPMC将作为一种独立的WindowsServer2003组件予以提供。
GPMC的设计意图在于通过提供对组策略核心领域进行管理的统一场所来简化组策略管理方式。
您可以将GPMC视为一种管理组策略所需的一站式资源。
通过提供以下特性,GPMC能够满足XX公司目前所提出的组策略部署需求:
∙能够简化组策略使用方式的用户界面(UI)。
∙组策略对象(GPO)的备份与恢复。
∙组策略对象的导入/导出与复制/粘贴以及Windows管理规范(WMI)过滤器。
∙得以简化的组策略相关安全性管理方式。
∙针对GPO设置与策略结果集(RSoP)数据的HTML报表生成功能。
∙由这种工具所提供的GPO操作脚本编程方式——但不支持针对GPO设置的脚本编程方式。
在GPMC出现之前,系统管理员必须同时使用几种不同的Microsoft工具来管理组策略。
GPMC将这些工具所包含的现有组策略管理功能集成到一种统一控制台中,并且提供了以上所列出的新增功能特性。
2.19软件更新服务
软件更新服务(SoftwareUpdateService,简称SUS)是为企业提供的基于WindowsUpdate技术的管理和分发重要软件更新的服务,它由以下两部分组成:
软件更新服务器(SUS服务器):
存放更新文件并提供软件更新服务
自动更新客户端(AutomaticUpdate,简称AU):
在客户端自动侦测和安装更新
2.20同步(Synchronize)
将系统更新文件和更新文件列表下载到软件更新服务器
2.21核准(Approve)
企业可能需要在分发更新以前对更新进行测试(例如测试与现有应用程序是否兼容),在测试完毕以后在软件更新服务器上将已经下载的更新核准,以便分发到客户端。
不核准的更新不会被分发到客户端
2.22智能后台传输服务(BackgroundIntelligentTransferService,简称BITS)
智能后台传输服务是软件更新客户端所采用的一种下载技术。
BITS会根据当前的网络状况,自动判断网络是否繁忙并利用网络带宽闲置的时候以类似断点续传的方式进行更新下载
3详细设计方案
3.1网络基础服务
3.1.1背景简介
Windows2003操作系统集成了的网络服务,让公司来建立和管理网络、连接远程雇员、连接分支公司并且建立合作伙伴的外部网。
Windows2003Server在开放的平台上遵循标准的协议,这样就可以在开发它们时利用新的技术优势。
它提供了增强的安全性和策略控制,同时提高性能并且简化了系统的安装、管理和使用。
Windows2003的基础的网络服务包括以下两方面:
地址分配
∙地址分配即IP地址的分配和管理。
∙目前XX公司的IP地址分配采用静态方式,其添加和维护工作由IT人员在现场手工完成。
如果某个用户想要访问Internet,需事先让网络管理员在防火墙上开启对某个IP地址的路由,然后告知用户该IP地址。
∙我们将在此次项目中使用DHCP,实现动态地址分配,动态主机配置协议(DHCP)是用于管理TCP/IP网络的工业标准,可以通过服务器对工作站进行动态的IP地址分配。
使用DHCP可以大大减轻系统管理员的工作负担,使其方便地网络工作站的地址进行配置和管理。
名称解析
∙名称解析是指在访问网络资源(包括文件服务器和打印机)时,如何将资源的名称转换成对应的IP地址的服务。
∙目前XX公司的内部用户在访问网络资源时通过直接的IP地址来定位资源,这样带来的问题时每个用户必须记住要访问资源的IP地址,使用效率不高而且管理成本较高。
∙通过DNS和WINS的服务,相关的服务器会自动将某个名称转换成实际的IP地址,用户只需记住容易辨识的资源名称即可进行相应的访问。
这样网络资源的共享和使用效率将得到很大程度的提高。
下文将对相关的部分进行详细的介绍。
3.1.2地址分配
对XX公司的DHCP的规划如下
∙我们将在以下8个区域设置DHCP服务器:
XX公司总部,黄岛,重庆路,宁夏路,平度,大连,合肥,武汉
∙其中,XX公司总部将有两台服务器来保证冗余,其余地区各设一台服务器。
XX公司总部内两台服务器的DHCPServer配置将完全相同。
但是,只有一台服务器的DHCP服务将在平时工作。
另一台服务器只是作为灾难发生时的备份。
两台服务器上关于DHCP的配置将完全一样。
∙在其他物理区域,我们将在DHCP服务器上配置80%的地址。
余下的20%将设在XX公司总部的两台服务器上以保证冗余性。
∙地址的租约期将为8天(缺省设置)。
∙在每一个物理区域,所有的客户端都在交换机上被划分到不同的VLAN上以实现不同的IP子网划分。
为了使在同一网段(同一VLAN)的客户端能够获得相同子网的IP地址,需要在交换机上启用DHCP中继(DHCPRelay)功能。
∙具体子网的规划如下:
园区名称
计算机数量
XX公司总部
192.168.41.0/24-192.168.66.0/24
黄岛
192.168.11.0/24-192.168.26.0/24
宁夏路
192.168.33.0/24&192.168.38.0/24
重庆路
192.168.30.0/24-192.168.31.0/24
平度
192.168.27.0/24
大连
192.168.170.0/24-192.168.172.0/24
武汉
192.168.173.0/24
合肥
192.168.174.0/24-192.168.180.0/24
∙每一个服务器上的Scope设定:
对于每一个子网(192.168.x.0/24),在DHCP服务器上设有一个对应的区域,包含的地址如下:
XX公司总部(的服务器)
子网192.168.41.0/24-192.168.66.0/24:
192.168.x.31–192.168.x.240
其余子网:
192.168.x.181–192.168.x.240
其余地区(的服务器)
192.168.x.31–192.168.x.180
预期效果
∙XX公司总部
所有的客户端都将通过DC2获得IP地址,在DC2出现问题的时候,如果解决问题的所需时间较短(6天以内),将不做任何改动,客户端在8天以仍可以使用原地址进行正常的工作。
如果解决问题的所需时间较长(例如需要更换硬件),则可以激活DC1上对应的scopes来保证在相当长的一段时间内客户端仍可以得到IP地址,虽然个别客户端有可能和先前使用的有些不同。
∙其他工业园区
所有的客户端都将通过本地的服务器得到IP地址,万一本地服务器出现问题的时候,如果解决问题的所需时间较短(6天以内),将不做任何改动,客户端在8天以仍可以使用原地址进行正常的工作。
如果解决问题的所需时间较长(例如需要更换硬件),可以启用广域网路由器上的DCHP中继功能并修改交换机上的相关设置,使当地的客户端可以从XX公司总部的DC1上获得属于自己子网的IP地址。
∙Internet访问控制:
短期方案:
在每个子网中:
在192.168.x.21–192.168.x.30之间的IP地址可以访问Internet(在防火墙/路由器)上做设置。
如果某一台客户端需要访问Internet,可以通过管理员,修改本地的IP地址来访问Internet。
长期方案:
通过架设额外的MicrosoftISAServer2000,可以做到基于用户身份的访问控制。
3.1.3名称解析
DNS
内部名称解析
∙我们将在每一个物理区域都设一台DNS服务器。
该服务器同时也是域控制器。
换而言之,所有的域控制器同时也都将是DNS服务器。
∙XX公司内部网络的域名为:
∙所有的DNS服务器包含三个区域,以下是它们的技术参数:
Name:
_.
Type:
ActiveDirectory-Integrated
Replication:
ToAllDNSserversintheActiveDirectoryforest
Dynamicupdates:
Nonsecureandsecure
Name:
.
Type:
ActiveDirectory-Integrated
Replication:
ToAllDNSserversintheActiveDirectorydomain
Dynamicupdates:
Nonsecureandsecure
Name:
192.168.0.0
Type:
ActiveDirectory-Integrated
Replication:
ToAllDNSserversintheActiveDirectorydomain
Dynamicupdates:
Nonsecureandsecure
注:
最后一个区域是反向搜索区域
∙DNS服务器都将DNS数据放在本地的AD数据库中,但是作为独立的ApplicationPartition来参与域控制器之间的目录复制(DirectoryReplication)从而同步DNS数据库。
∙所有域控制器都将自己设为首选的DNS服务器,将XX公司总部的一台域控制器DC1设为次选的DNS服务器。
每个物理区域的客户端将通过DHCP,将本地的DNS设为首选,将XX公司总部的一台域控制器(DC1)设为次选。
∙服务器地址和域控制器地址相同,将在随后给出。
外部(Internet)名称解析
∙每台DNS服务器将XX公司总部的一台域控制器DC1设为转发器(forwarder)。
所有的非内部网的域名解析请求将被转发至DC1。
∙在DC1上,将本地ISP的DNS服务器设为转发器。
将所有非内部网的域名解析请求转发至Internet上。
WINS
∙在整个网络内将只设有两台WINS服务器提供NetBIOS的名称解析。
这两台服务器同时也是XX公司总部区内的域控制器(DC1和DC2)。
服务器之间将通过双向的复制来保证数据的统一性。
∙客户端将通过DHCP自动获得服务器的IP地址。
说明:
由于WINS服务器之间的复制较为复杂,只设两台服务器有助于降低管理的成本并达到一定的冗余性。
这个方案带来的唯一缺陷是会有一部分的名称解析的流量是通过广域网的,特别是Windows9x客户端较多的区域。
预期效果
所有工业园内的客户端都将通过DNS来进行名称解析。
包括登入域和访问文件服务器或其他客户端。
每一个加入域的客户端都通过动态注册在DNS服务器上注册自己的主机纪录(A)和指针纪录(PTR)。
管理员在服务器上可以轻松的了解所有客户端的注册情况。
此外,在本地服务器的DNS服务出现暂时不可用的情况时,可以依靠XX公司总部的服务器来进行必要的名称解析。
3.1.4小结
XX公司的DHCP/DNS/WINS服务器的配置如下图
图表1XX公司的DNS/WINS/DHCP示意图
3.2活动目录服务
3.2.1背景简介
Windows2003的活动目录(ActiveDirectory)服务是Windows2003网络结构的一个必要和不可分离的部分,该服务是特别为分布式的网络环境而设计的。
活动目录可以让公司有效地共享和管理网络资源和用户的信息。
此外,活动目录扮演着网络安全性的主要权威的角色,它让操作系统准备好验证用户的身份并且控制他或她对网络资源的访问。
同等重要的是,活动目录起到了把系统集成到一起的结合点并且巩固管理任务的作用。
新版Windows2003的活动目录服务在Windows2000版本的基础上,保留了大部分体系结构,但在安全性,稳定性和扩展性上又有很大的进步。
目前,在XX公司的网络环境中,绝大部分的服务器和客户机都工作于工作组模式,没有统一的安全管理机制,也没有唯一标识每一个用户,没有建立“域”,WindowsNT和Win2000服务器都是作为MemberServer使用的。
在此次项目后,XX公司将建立起一个基于Windows2003活动目录的统一的,安全的平台,并唯一标示每一个网络用户。
部署Windows2003活动目录服务主要包括以下几方面:
∙域结构
∙组织单元结构
∙账号和口令管理
∙站点结构
∙FSMO角色
3.2.2域结构
域结构设计是活动目录中最重要,也是最基础的工作,是多种因素权衡的结果,它既要尽可能贴近用户的管理模式和组织结构,也要考虑网络情况及今后的各种变化。
目前XX公司超过80%的微机和超过70%的管理人员集中于青岛总部地区,这意味着外地机构分布较广而各地的人员和微机数量都比较少,并且各地区也有固定的线路连入总部。
此外,XX公司IT部门的最终目标是能够实现完全集中管理。
因此此次在XX公司环境内采用单域结构。
以下是单域结构相对于其他结构的优缺点:
优点
∙集中管理整个集团的安全策略。
∙集中管理整个集团的组策略。
∙完全利用组织单元反映集团的管理结构。
∙当公司机构重组时可以非常灵活的进行调整。
∙当资源和用户需要在组织机构内迁移时可以非常灵活的调整。
∙不需要GC服务器–因为所有的DC都拥有AD的全备份。
∙相对其它方案,可以使用较少的域控制器。
∙简单的名字空间设计–只需要1个DNS名字后缀.
∙用户在查找AD内的信息时相对简单。
∙单一的组策略更容易实施。
.
缺点
∙在IT系统管理权限相对分散的组织结构中,难以区分“管理权”。
∙整个XX公司集团只能实行一种安全策略,例如统一的口令策略。
.
∙所有的域控制器(DC)都拥有整个AD的数据的备份,AD的任何更改也要反映到域内的所有DC上,这对每台DC的硬件配置要提出更高的要求,同时对那些广域网带宽有限的区域会带来效率上的问题。
对于DC服务器本身的安全也提出更高的要求。
3.2.3组织单元结构
组织单元的设计将遵循两点原则:
∙反映企业内部的组织结构
∙有利于通过组策略进行细化的终端管理
目前XX公司的组织结构简图如下:
由于用户帐号(在这里包括用户组账号)和计算机账号分数两种不同的资源类型,所以也需要分开管理。
因此,我们将组织单元设计成以下结构:
∙第一级:
资源类型
∙第二级:
地理位置
∙第三级:
事业部名称
∙第四级:
部门名称
请参考下图以了解这个结构的模型:
图表2XX公司的组织单元结构
3.2.4账号和口令管理
账号管
升级会员 