网络基础架构设计方案实例.docx
《网络基础架构设计方案实例.docx》由会员分享,可在线阅读,更多相关《网络基础架构设计方案实例.docx(15页珍藏版)》请在冰豆网上搜索。
网络基础架构设计方案实例
网络基础架构
公司现用的网络结构如下
所有客户端都处于工作组状态
根据现有环境状况来看存在以下危害:
●不能对外提供Web、FTP之类的服务
●账号管理困难
●安全性差,易受攻击或入侵
●可管理、可维护性差
需求分析
域环境可以解决存在系统危害问题
1、权限管理比较集中,管理成本大大下降。
.域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理。
所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。
防止公司员工在客户端乱装软件,能够增强客户端安全性、减少客户端故障,降低维护成本。
2、安全性加强。
有利于企业的一些保密资料的管理,比如说某个盘某个人可以进,但另一个人就不可以进;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等,可以封掉客户端的USB端口,防止公司机密资料的外泄。
使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。
当客户机故障时,只需使用其他客户机安装相应软件以用户帐号登录即可,用户会发现自己的文件仍然在“原来的位置”(比如,我的文档),没有丢失,从而可以更快地进行故障修复。
卷影副本技术可以让用户自行找回文件以前的版本或者误删除的文件(限保存过的32个版本)。
在服务器离线时(故障或其他情况),“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作,并在注销或登录系统时与服务器上的文件同步,保证用户的工作不会被打断。
方便用户使用各种资源。
可由管理员指派登录脚本映射分布式文件系统根目录,统一管理。
用户登录后就可以像使用本地盘符一样,使用网络上的资源,且不需再次输入密码,用户也只需记住一对用户名/密码即可。
并且各种资源的访问、读取、修改权限均可设置,不同的账户可以有不同的访问权限。
即使资源位置改变,用户也不需任何操作,只需管理员修改链接指向并设置相关权限即可,用户甚至不会意识到资源位置的改变,不用像从前那样,必须记住哪些资源在哪台服务器上。
SMS(SystemManagementServer)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。
并能集中管理系统补丁(如WindowsUpdates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
●ActiveDirectory工作原理和优点
活动目录ActiveDirectory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。
ActiveDirectory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
ActiveDirectory使用目录形式的数据存储
目录包含了有关各种对象(用户、用户组、计算机、域、组织单位(OU)以及安全策略)的信息。
这些信息可以被发布出来,以供用户和管理员的使用。
目录存储在被称为域控制器的服务器上,并且可以被网络应用程序或者服务所访问。
一个域可能拥有一台以上的域控制器。
每一台域控制器都拥有它所在域的目录的一个可写副本。
对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。
由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。
-这样就可以解决了用户资源安全
有三种类型的目录数据会在各台域控制器之间进行复制:
●域数据
域数据包含了与域中的对象有关的信息。
一般来说,这些信息可以是诸如电子邮件联系人、用户和计算机帐户属性以及已发布资源这样的目录信息,管理员和用户可能都会对这些信息感兴趣。
例如,在向网络中添加了一个用户帐户的时候,用户帐户对象以及属性数据便被保存在域数据中。
如果您修改了组织的目录对象,例如创建、删除对象或者修改了某个对象的属性,相关的数据都会被保存在域数据中。
●配置数据
配置数据描述了目录的拓扑结构。
配置数据包括一个包含了所有域、域树和森林的列表,并且指出了域控制器和全局编录所处的位置。
●架构数据
架构是对目录中存储的所有对象和属性数据的正式定义。
WindowsServer2003提供了一个默认架构,该架构定义了众多的对象类型(用户和计算机帐户、组、域、组织单位以及安全策略)。
管理员和程序开发人员可以通过定义新的对象类型和属性,或者为现有对象添加新的属性,从而对该架构进行扩展。
架构对象受访问控制列表(ACL)的保护,这确保了只有经过授权的用户才能够改变架构。
ActiveDirectory和安全性
安全性通过登录身份验证以及目录对象的访问控制集成在ActiveDirectory之中。
通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单位,经过授权的网络用户可以访问网络任意位置的资源。
基于策略的管理则简化了网络的管理,即便是那些最复杂的网络也是如此。
ActiveDirectory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。
因为ActiveDirectory不但可以保存用户凭据,而且可以保存访问控制信息,所以登录到网络上的用户既能够获得身份验证,也可以获得访问系统资源所需的权限。
例如,在用户登录到网络上的时候,安全系统首先利用存储在ActiveDirectory中的信息验证用户的身份。
然后,在用户试图访问网络服务的时候,系统会检查在服务的自由访问控制列表(DCAL)中所定义的属性。
因为ActiveDirectory允许管理员创建组帐户,管理员得以更加有效地管理系统的安全性。
ActiveDirectory的架构
ActiveDirectory的架构(Schema)是一组定义,它对能够存储在ActiveDirectory中的各种对象——以及有关这些对象的各种信息——进行了定义。
因为这些定义本身也作为对象进行存储,ActiveDirectory可以像管理目录中的其它对象一样对架构对象加以管理。
架构中包括了两种类型的定义:
属性和分类
架构的扩展
网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构。
架构的内容由充当架构操作主控角色的域控制器进行控制。
架构的副本被复制到森林中的所有域控制器上。
这种共用架构的使用方式确保了森林范围内的数据完整性和一致性。
此外,您还可以使用“ActiveDirectory架构”管理单元对架构加以扩展。
为了修改架构,您必须满足以下三个要求:
成为“SchemaAdministrators”(架构管理员)组的成员,在充当架构操作主控角色的计算机上安装“ActiveDirectory架构”管理单元,拥有修改主控架构所需的管理员权限,在考虑对架构进行修改时,必须注意以下三个要点:
●架构扩展是全局性的
在您对架构进行扩展的时候,您实际上扩展了整个森林的架构,因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。
●与系统有关的架构分类不能被修改
您不能修改ActiveDirectory架构中的默认系统分类;但是,用来修改架构的应用程序可能会添加可选的系统分类,您可以对这些分类进行修改。
●对架构的扩展不可撤销
某些属性或者分类的属性可以在创建后修改。
在新的分类或者属性被添加到架构中之后,您可以将它置于非激活状态,但是不能删除它。
但是,您可以废除相关定义并且重新使用对象标识符(OID)或者显示名称,您可以通过这种方式撤销一个架构定义。
ActiveDirectory不支持架构对象的删除;但是,对象可以被标记为“非激活”,以便实现与删除同等的诸多益处。
五种角色的作用
1、森林级别(即一个森林只存在一台DC有这个角色):
(1)、SchemaMaster中文翻译成:
架构主控
作用:
修改活动目录的源数据。
(2)、DomainNamingMaster中文翻译成:
域命名主控
作用:
这也是一个森林级别的角色,它的主要作用是管理森林中域的添加或者删除
2、域级别(即一个域里面只存一台DC有这个角色):
(1)、PDCEmulator中文翻译成:
PDC仿真器
作用:
处理密码验证要求,统一域内的时间,向域内的NT4BDC提供复制数据源,统一修改组策略的模板,对Winodws2000以前的操作系统,如WIN98之类的计算机提供支持
(2)、RIDMaster中文翻译成:
RID主控
作用:
分配可用RID池给域内的DC和防止安全主体的SID重复
(3)、InfrastructureMaster中文翻译成:
基础架构主控
作用:
用来更新组的成员列表
全局编录的角色
全局编录是一台存储了森林中所有ActiveDirectory对象的一个副本的域控制器。
此外,全局编录还存储了每个对象最常用的一些可搜索的属性。
全局编录存储了它所在域的所有目录对象的完整副本,以及森林中其它域中所有目录对象的部分副本,所以您不必咨询域控制器即可实施有效的搜索操作。
全局编录在森林中最初的一台域控制器上自动创建。
您可以为任何一台域控制器添加全局编录功能,或者将全局编录的默认位置修改到另一台域控制器上。
全局编录担当了以下目录角色:
查找对象全局编录允许用户搜索森林所有域的目录信息,而不管数据存储在何处。
森林内部的搜索可以利用最快的速度和最小的网络流量得以执行。
在您从“开始”菜单搜索人员或打印机,或者在某个查询的内部选择了“整个目录”选项的时候,您就是在对全局编录进行搜索。
在您输入搜索请求之后,请求便会被路由到默认的全局编录端口3268,以便发送到一个全局编录进行解析。
提供了根据用户主名的身份验证。
在进行身份验证的域控制器不知道某个账户是否合法时,全局编录便可以对用户的主名进行解析。
在多域环境下提供通用组的成员身份信息。
和存储在每个域的全局组成员身份不同,通用组成员身份仅仅保存在全局编录之中(在属于一个通用组的用户登录到一个被设置为Windows2000本机域功能级别或者更高功能级别的域的时候,全局组将为用户账户提供通用组的成员身份信息)。
如果在用户登录到运行在Windows2000本机或者更高级别中的域的时候,某个全局编录不可用并且用户先前曾经登录到该域,计算机将使用缓存下来的凭据让用户登录。
如果用户以前没有在该域登录过,用户将仅仅能够登录到本地计算机。
查找目录信息
ActiveDirectory的主要益处就在于它能够存储有关网络对象的丰富信息。
在ActiveDirectory中发布的有关的用户、计算机、文件和打印机的信息可以被网络用户所使用。
这种可用性能够通过查看信息所需的安全权限加以控制。
网络上的日常工作涉及用户彼此之间的通信,以及对已发布资源的连接和访问。
这些工作需要查找名称和地址,以便发送邮件或者连接到共享资源。
在这方面,ActiveDirectory就像是一个在企业中共享的地址簿(您可以按照姓、名、电子邮件地址、办公室位置或者其它用户账户属性查找用户)。
信息的查找过程由于使用了全局编录而得到了优化。
高效的搜索工具
管理员可以使用“ActiveDirectory用户和计算机”管理单元中的高级“查找”对话框高效率地执行管理工作,并且轻松定制和筛选从目录取得的数据。
此外,管理员还可以向组中快速添加对象,并且通过无需浏览的查询帮助查找可能的成员,从而将对网络的影响降低到最小限度。
ActiveDirectory的复制
复制为目录信息提供了可用性、容错能力、负载平衡以及性能优势。
ActiveDirectory使用多主控复制,您可以在任何一台域控制器上更新目录,而不是只能在一台特定的主域控制器上进行更新。
多主控模式具有更出色的容错能力,因为使用了多台域控制器,即使在某一台域控制器停止工作的情况下,复制依然能够继续。
站点在复制过程中的角色
站点提高了目录信息的复制效率。
目录架构和配置信息在整个森林范围内进行复制,而域数据则在域的所有域控制器之间进行复制,并且会被部分地复制到全局编录上。
通过有策略地减少复制流量,网络的通信压力也会得到相应的减轻。
域控制器使用站点和复制变化控制从以下方面对复制实施优化:
1.通过对所使用的连接不时进行重新评估,ActiveDirectory可以始终使用最有效的网络连接。
2.ActiveDirectory使用多条路由复制发生变化的目录数据,从而提供了容错能力。
3.由于仅仅需要复制发生了变化的信息,复制开销降到了最小。
如果某个部署没有按照站点加以组织,域控制器以及客户机之间的信息交换将是混乱和无序的。
站点可以改善网络的利用效率。
ActiveDirectory在站点内部复制目录信息的频度比在站点间的复制频度要更高。
这样,拥有最佳连接条件的域控制器——它们很可能需要特殊的目录信息——可以首先得到复制。
其它站点中的域控制器则可以获得所有发生了变化的目录信息,但是它们进行复制的频率要低一些,以便节省网络带宽。
另外,由于数据在站点间进行复制时经过了压缩处理,所以复制操作所占用的带宽进一步得到了降低。
为了实现高效复制,只有在添加或修改了目录信息之后才进行目录的更新。
如果目录更新始终被分发到域中的所有其它域控制器上,它们将占用大量的网络资源。
虽然您可以手动添加或配置连接,或者强迫通过某条特定的连接进行复制,复制仍然可以根据您在“ActiveDirectorySitesandServices”管理工具中提供的信息,通过ActiveDirectory知识一致性检查程序(KnowledgeConsistencyChecker,KCC)得到自动优化。
KCC负责构建和维护ActiveDirectory的复制拓扑。
特别地,KCC可以决定何时进行复制,以及每台服务器必须同哪些服务器开展复制。
拓扑图:
ActiveDirectory客户端
利用ActiveDirectory客户端,Windows2000Professional或者WindowsXPProfessional所拥有的众多ActiveDirectory特性可以被运行Windows95、Windows98以及WindowsNT®4.0操作系统的计算机所使用:
站点感知。
您可以登录到网络中距离客户端最近的一台域控制器上。
ActiveDirectory的集成和生产力
作为管理企业标识、对象和关系的主要手段,ActiveDirectory中的接口(包括编程接口和用户界面)已经得到了改进,以提高管理工作的效率和系统的集成能力。
让ActiveDirectory更加易于使用和管理
ActiveDirectory包含了众多增强特性
●MMC管理单元的改进以及对象选择工具组件等,它们让ActiveDirectory变得更加易于使用。
MMC插件方便了多个对象的管理。
管理员可以:
编辑多个用户对象。
一次选择并编辑多个对象属性。
●保存查询
将针对ActiveDirectory服务的查询保存下载以便今后使用。
结果可以用XML格式导出。
使用经过改进的对象选择工具组件快速选择对象。
该组件经过重新设计并且得到了加强,能够改善工作流和提高在大目录中查找对象的效率,同时还提供了一种更灵活的查询功能。
各种用户界面均可以使用该组件,并且可以为第三方开发人员所使用。
更多的集成和生产力特性和改进
其他特性描述
●ACL列表用户界面的修改
ACL用户界面已经得到了增强,以改善其易用性以及继承和特定的对象权限。
●扩展性增强
那些拥有某个独立软件开发商(ISV)或者原始设备制造商(OEM)所开发的能够利用ActiveDirectory的软件或设备的管理员拥有了更加出色的管理能力,并且可以添加任何对象分类作为组的成员。
●复制和信任监视WMI提供者
Windows管理规范(WMI)类可以监视域控制器之间是否成功地对ActiveDirectory信息进行了复制。
因为众多的Windows2000组件,都需要依赖于域间的相互信任,本特性还为监视信任关系是否能够正常工作提供了一种手段。
管理员或者运营队伍可以通过WMI在发生复制问题时轻松获得报警。
ActiveDirectory性能和伸缩性
主要的修改体现在WindowsServer2003对ActiveDirectory信息的复制和同步操作的管理方面。
此外,还围绕安装、迁移和维护添加了新的功能,以便让ActiveDirectory更加灵活、健壮和高效。
改善分支办公室的性能
分支办公室部署通常由众多的远程办公室组成,而且每个远程办公室均拥有自己的域控制器——但是一般使用慢速连接与公司连接中心或数据中心保持相连。
在用户登录时,WindowsServer2003不再要求访问中央的全局编录服务器,从而加快了分支办公室的登录过程。
现在,组织无需在拥有不可靠网络的地方为分支办公室部署一台全局编录服务器。
与在用户每次登录到域控制器时要求联系全局编录不同,当网络可用时,域控制器会将先前从该站点或者从离线全局编录服务器登录的用户的通用组成员关系缓存下来。
然后,在登录时,用户无需让域控制器联系全局编录服务器,便可登录到网络上,从而减少了对慢速或者不可靠网络的需求。
如果全局编录发生故障,无法处理用户的登录请求,这项改进还可以提供更多的可靠性。
ActiveDirectory的组策略特性
Microsoft组策略管理控制台(GPMC)是针对组策略管理的最新解决方案,它能够帮助您更具成本效益地管理企业。
该控制台由一个新的Microsoft管理控制台(MMC)管理单元和一组编写脚本的组策略管理接口组成。
在WindowsServer2003发布之前,GPMC将作为一个单独的组件提供给用户。
利用森林信任管理安全性
森林信任是一种新的Windows信任类型,可以对两个森林之间的安全关系加以管理。
该特性极大地简化了跨森林的安全管理,并且允许信任森林在它信任的其它森林的安全主体名称上应用约束,以执行身份验证。
本特性包括:
森林信任,通过在两个森林的根域之间建立一条信任链接,新的信任类型允许一个森林中的所有域(可传递)地信任另一个森林中的所有域。
森林信任在森林级别不能跨越三个或者更多的森林进行传递。
如果森林A信任森林B,而且森林B信任森林C,那么这并不表明森林A和森林C之间能够建立任何信任关系,森林信任可以是单向的,也可以是双向的。
例,可以在域B和域D或域A和域1等等之间建立快捷信任。
信任管理
新的向导简化了所有类型的信任链接的创建过程,特别是森林信任。
新的属性页允许您管理与森林信任关联的被信任名称空间。
受信任的名称空间用来路由针对特定安全主体的身份验证和授权请求,这些主体的帐户在被信任森林中进行维护。
一个森林所发布的域、用户主体名称(UPN)、服务主体名称(SPN)以及安全标识符(SID)的名称空间在森林信任创建之时会被自动收集,并且可以通过“ActiveDirectory域和信任”用户界面得到刷新。
森林在受到信任后,在“先到先服务”的基础上,它便对它所发布的名称空间拥有了权威性,只要它们与现有森林信任关系的被信任名称空间不发生冲突。
被信任名称空间的相互重叠现象会自动得到预防。
管理员也可以手动禁用某个被信任的名称空间。
其它安全特性和改进
●跨森林身份验证
当用户帐户属于一个森林,而计算机帐户属于另一个森林时,跨森林的身份验证能够实现对资源的安全访问。
本特性允许用户使用Kerberos或NTLM验证,安全地访问其它森林中的资源,而不必牺牲由于只需在用户的主森林中维护一个用户ID和口令所带来的单点登录和其它管理方面的好处。
跨森林身份验证包括:
●名称解析
当Kerberos和NTLM不能在本地域控制器上解析一个主体名称时,它们会调用全局编录。
当全局编录无法解析该名称时,它将调用一个新的跨森林名称匹配功能。
该名称匹配功能将安全主体名称与来自所有被信任森林的被信任名称空间进行比较。
如果找到匹配的名称空间,它便将被信任森林的名称作为一个路由提示返回。
●请求的路由
Kerberos和NTLM使用路由提示将身份验证请求沿着信任路径从源域发送给可能的目标域。
对于Kerberos,密钥颁发中心(KeyDistributionCenters,KDC)会生成沿着信任路径的引用,客户机以标准的Kerberos方式跟踪这些引用。
对于NTLM,域控制器使用pass-through身份验证,沿着信任路径穿过安全通道传递该请求。
●受支持的身份验证
Kerberos和NTLM网络登录,用来远程访问另一个森林中的服务器。
Kerberos和NTLM交互式登录,用来进行用户主森林之外的物理登录。
到另一个森林中的N层应用的Kerberos委派。
●完全支持用户主体名称(UPN)凭据
●跨森林授权
跨森林授权让管理员能够轻松地从被信任森林中选择用户和组,以便将他们包括在本地组或者ACL之中。
本特性维护了森林安全边界的完整性,同时允许在森林之间建立信任关系。
在来自被信任森林的用户试图访问受保护的资源时,它能让信任森林在它将要接受的安全标识符(SID)上施加某些约束和限制。
●组成员关系和ACL管理
对象选取程序已经得到了增强,以便从被信任森林中选择用户或组。
名称必须完整输入。
不支持枚举和通配符搜索。
●名称-SID转换
对象选取程序和ACL编辑器使用系统API存储组成员和ACL项目的SID,并且将其转换回友好名称以便于显示。
名称-SID转换API得到了增强,可以使用跨森林的路由提示,并且能够沿着信任路径充分利用域控制器之间的NTLM安全通道,以解析来自被信任森林的安全主体名称或SID。
●SID过滤
在授权数据从受信任森林的根域传递到信任森林的根域时,SID将受到过滤。
信任森林仅仅接受和它信任的域有关并且接受其它森林管理的SID。
其它任何SID都回被自动丢弃。
SID过滤自动应用在Kerberos和NTLM身份验证以及名称-SID转换上。
●交叉证书增强
WindowsServer2003客户端的交叉证书特性已经得到了加强,它现在拥有了部门级和全局级的交叉证书能力。
例如,WinLogon现在可以执行对交叉证书的查询,并且将它们下载到“企业信任/企业存储”中。
随着链条的建立,所有的交叉证书都将被下载。
●IAS和跨森林身份验证如果ActiveDirectory森林处于“跨森林”模式,并且建立了双向信任,那么Internet身份验证服务/远程身份验证拨入用户服务器(IAS/RADIUS)便可以通过本特性对另一个森林中的用户进行身份验证。
这使得管理员可以轻松地将新的森林与森林中现有的IAS/RADIUS服务集成在一起。
●凭据管理器凭据管理特性为用户凭据(包括口令和X.509证书)的存储提供了一个安全的场所。
它还为包括漫游用户在内的用户提供了连续一致的单点登录体验。
例如,在用户访问公司网络内部的某个业务应用的时候,对该应用的首次尝试需要身份验证,用户需要提供一个凭据。
在用户提供了该凭据之后,凭据便与被请求的应用程序建立了关联。
在用户对该应用的后续访问中,可以重复使用保存下来的凭据,而不会再次提示用户提供凭据。
推荐
升级会员 