实现安全稳固的 AD 和 DNS 架构 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
(AD出现问题50%是DNS所致,如果实现安全稳固的AD和DNS架构呢,下面是我的关于DNS和AD方面的笔记,希望对大家有所帮助,整理的比较乱,请大家谅解)
1 、我们来回顾一下 AD 的安装验证
验证 AD 的安装
检查如下创建:
(1)、 SYSVOL 和共享
(2)、 目录服务数据库和相关日志
(3)、 默认活动目录结构
检查相关的事件日志
使用 Dcdiag 和 Netdiag 命令
SRV(服务资源记录)是服务和主机名之间做一个解析。
2 、删除一台失效的 DC ,不能简单的把服务拿走,因为在其它的 DC 仍然保留着这台 DC 的信息。那么其它 DC 在复制的时候还会偿试着去找这台 DC 。
删除一台失效的DC
如果有两个DC,DC1和DC2,如果DC2坏掉了,如果不在DC1上删除DC2的相关信息,那么在数据复制时DC1还会偿试去联系DC2。那么就会出现复制错误,这是我们不愿意看到的。
如何在DC1上去删除DC2
不需要进到目录恢复模式,直接进到命令行。
使用ntdsutil这个工具
C:\>ntdsutil
ntdsutil:metadata cleanup(数据库的清理)
metadata cleanup:connections(进入到连接工具)
metadata cleanup:connections(进入到一个特定域控制器)
server connections:connect to damain lab.com(首先我连接到我这个域上)
server connections:connect toserver lab-dc1.lab.com(再连接到我这台服务器上)
server connections:quit(退到上一层目录)
netadata cleanup:slesct operation target(要指定那台DC无效了)
Slesct operation target:list current selections
Slesct operation target:list sites(要先看看当前计算机上都有那些站点)
Slesct operation target:select site 0(连接到其中的一个站点)
Slesct operation target:list servers in site(然后就可以看到有几台DC)
Slesct operation target:select server 1(1是代表坏掉的那台服务器)
Slesct operation target:list current selections
Slesct operation target:quit
Netadata cleanup:remove
Dcdiag和Netdiag进行检查,是否删除干净。
3、如果要实现安全稳固的AD和DNS架构我们必须先了解客户端是如何找到DC的?
当client想要登录到域中,他不并是直接找到DC,因为他并不知道谁是DC,那它会首先去查看DNS服务器,通过DNS解析SRV资源记录,他会向SRV记录去查询,谁是当前网络的DC,如果有SRV记录,client就会得到一个DC的地址,然后去访问DC.如果DNS里没SRV记录或SRV记录不正确,那么我们的client是无法联系到我们的DC的.
SRV叫服务资源记录,这种格式记录的意义在于,将我们计算机服务和主机名之间做一个解析.在DNS中的SRV记录是当每台DC在启动时,他会去注册自己的SRV记录.就是说:当管理员打开每台DC时,DC就会向他的DNS服务器去宣布我这台计算机究竟会做什么.他就会把他会做的写到DNS里去了.这样一个过程了.
4、如果想实现两台DC的冗余,那么两台DC都必须安装DNS服务,需要注意的是,DC1是AD的集成区域,那么在DC2上也建个AD的集成区域就可以了.
DNS的几个区域
主要区域:可以读可以写
辅助区域:为了实现冗余都会建好多辅助区域,辅助区域所有的信息都是从主要区域里复制过来的,如果主要区域坏了,辅助区域仍然可以提供查询,但不能再向区域里写任何信息了.所以微软在AD的布置当中,DNS即不用主要区域也不用辅助区域,用AD的集成区域,好处就是两台DC以后都同时是DNS,并且如果有某一台DNS发生了修改,DNS会去互相同步,也就是说,DNS从原来的主从关系,变成了现在这种平行的关系.到现在才可以说,我们的DNS是带有冗余的,还可以说不管现在的DC任何一台关掉,不会影响我的一个DNS应用.
5、我们再了解一下活动目录的维护
(1)AD数据库的修改过程(读写过程)
例:我们到AD上去添加个用户,修改等事件
它首先会把这个事件做一个初始化,并且把它写到内存里的一个缓冲区里,然后呢它并不是直接来写数据库(Ntds.dit),而是内存写好后它会去写EDB.log(每天发生的事,所做的事都会被EDB.log记住),写完EDB.log才会把事件写到AD数据库(Ntds.dit)里面去,之后这个事件会被写到另外一个文件也就是最后一个文件Edb.chk,当Edb.chk写完后,就认为这此的修改过程就完成了.
EDB.log and Ntds.dit那个文件会更大一些?
EDB.log会更大一些,例如,新添加一个用户XY,它会写到EDB.log里面,也会写到Ntds.dit中,但如果删除了XY这个用户,那么EDB.log里面还会写进XY这个用户被删除了,是一直增加的,而Ntds.dit在XY删除的时候,这条信息将被删除,数据库会减小.
EDB.log这个文件不会一直变大,只要写满了<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10M就会自动改名为EDB000001.log(正常的做法是,我们把这个文件永久保存,但也可以把这个文件删掉)并释放一个空文件.
跟EDB.log一起还有两个文件res1.log和res2.log,是为了避免用户磁盘空间不够,倒至AD读写不完整,如果磁盘空间不够的话,AD首先会想到,把这两个文件删掉.删掉后又有了20M空间,用这20M空间去读写.
6、如何移动AD数据库和日志(在进行之间一定要把数据库做备份)
为什么会移动:1、磁盘空间不够了2、出于安全的考虑。
进行到目录回复模式
C:>ntdsutil
Ntdsutil:files(因为是对文件进行操作,所以要进入files模式的维护)
File maintenance:move db to d:\ad(把AD数据库移动到D盘下ad folder)
File maintenance:move logs to d:\ad(把AD日志文件移动到D盘下ad folder)
为什么这两个位置可以单独进行维护,我们在一个要求高可用性,高可靠性的AD当中,把AD中的DB和EDB .log分别存储在两个不同的磁盘上,或者不同的逻辑驱动器上,那么可以分别的对它们进行安全性的实施,另外一方面我们可以提高性能。
如何对AD数据库进行碎片整理. (在进行之间一定要把数据库做备份)
这个问题是很多人在做一个AD稳固过程当中,是一个比较容易忽视和忽略的一个问题,其实AD和磁盘一样,AD也会因为频繁的读写,高度负荷,产生一些碎片,也需要碎片整理的。(在一个服务器上会否经常的做磁盘的整理?不应该经常整理磁盘,如果你在服务器上经常整理磁盘的话,在整理的过程就会对你服务器的数据产生一个不好的影响,但是你对服务器的磁盘做了整理,仍然不能解决AD数据库碎片的问题,因为正常的磁盘整理,AD的数据库是不整理的)建议每年或每两年进行整理,但是必须做backup,因为这个整理是有风险的。
AD的整理其实就是把数据库全部copy出来,再重新去写一个文件。
进行到目录回复模式
C:>ntdsutil
Ntdsutil:files(因为是对文件进行操作,所以要进入files模式的维护)
File maintenance:compact to d:\ad(把AD数据库放到D盘的ad folder)
在D盘AD folder会产生一个新的整理后的数据库,然后把这个新数据库copy到原来数据库的位置,替换原来的文件。数据库会变小的,查询性能会变高的。
建议:在真实的环境中,不要同时做多个跟AD相关的管理工作,如果太多的话,会倒至AD出来故障。
7、AD数据库的备份
System state data
系统状态的备份是个非常重要的备份,我们的建议是我们每个服务器的管理员,都应该定期的每周去备份系统状态信息。大小在700M左右。
Ntbackup(不用进入到目录还原模式)
操作主控的介绍
虽然有多台DC,但不是真的关掉那一台都可以。
为了避免两台都做主,某些工作必须由某一台来完成。
Schema Master(森林中的第一台DC)
AD最核心的就是schema master,如果不在了,就不能扩展schema master,就没法去装Exchange等了。
Domain naming master(森林中的第一台DC)
当我想住我的森林中添加一个域树或者添加一个子域的时候,那么Domain naming master负责去检查,你想要加进来这个域的名称和原来域的名称是不是有冲突的。如果有冲突,Domain naming master将拒绝新域的加入,如果它不在了,将倒至不能添加子域和域树的。
PDC Emulator(每个域的第一台DC)
1、域内的时间差不能超过5分钟,默认所有的 其它的DC还有client都会联系到PDC上去同步时间。
2、组策略为了避免冲突,必须在有PDC的时候才可以打开。
RID master每个域的第一台DC)
没有RID master我们的域是没办法去建用户的。
Infrastructure master每个域的第一台DC)
什么是权限委派?
1、 权限的分级管理
2、 通过委派实现
(1) 管理自治
(2) 服务的独立
用MMC为网管设计一个管理工具。
在建第二台DC的时候,就建一个跟AD一样的区域,然后打开AD集成动态更新,在DC同步的时候,他们就会自己同步了。
手动DC同步,在站点和服务上就可以让两台DC或多台DC进行同步。
转载于:https://blog.51cto.com/technet/32618