AD 域及广域网DNS 结构规划实现
中国医药集团AD 域及广域网DNS 结构规划实现(内部资料 注意保密) ,目录第一部分AD 及DNS 结构规划 ..............................
中国医药集团
AD 域及广域网DNS 结构规划实现
(内部资料 注意保密)
,目录
第一部分AD 及DNS 结构规划 ..................................................................................................... - 1 -
第1章 活动目录域结构规划实现 . ............................................................................................ - 1 -
1.1.
1.2.
1.3.
1.4.
1.5.
1.6. 功能需求 ............................................................................................................................. - 1 - 设计思想 ............................................................................................................................. - 1 - 技术背景 ............................................................................................................................. - 1 - 难点解析 ............................................................................................................................. - 6 - 林结构拓扑 ......................................................................................................................... - 7 - 用户林结构域名规划 ......................................................................................................... - 8 -
第2章 站点结构规划实现 ........................................................................................................ - 9 -
2.1.
2.2.
2.3.
2.4.
2.5.
2.6. 功能需求 ............................................................................................................................. - 9 - 设计思想 ............................................................................................................................. - 9 - 技术背景 ............................................................................................................................. - 9 - 难点解析 ........................................................................................................................... - 12 - 站点结构拓扑 ................................................................................................................... - 13 - 站点内资源规划 ............................................................................................................... - 14 -
2.6.1.
2.6.2.
2.6.3. 集团总部站点 ........................................................................................................... - 14 - 二级子公司站点 ....................................................................................................... - 14 - 集团总部与二级子公司站点关系 ........................................................................... - 15 -
第3章 资源林与用户林关系 .................................................................................................. - 15 -
3.1.
3.2.
3.3.
3.4.
3.5. 功能需求 ........................................................................................................................... - 15 - 设计思想 ........................................................................................................................... - 15 - 技术背景 ........................................................................................................................... - 16 - 难点解析 ........................................................................................................................... - 18 - 二级子公司整合方法 ....................................................................................................... - 19 -
3.5.1.
3.5.2.
3.5.3.
第4章
4.1.
4.2.
4.3.
4.4.
4.5. 已经拥有域环境,需与集团域环境建立信任 ....................................................... - 19 - 正在规划域环境,后期需与集团域环境建立信任 ............................................... - 19 - 暂无域环境,仅使用广域网DNS 解析 .................................................................. - 20 - DNS 结构规划实现 .................................................................................................. - 21 - 功能需求 ........................................................................................................................... - 21 - 设计思想 ........................................................................................................................... - 21 - 技术背景 ........................................................................................................................... - 21 - 难点解析 ........................................................................................................................... - 23 - DNS 整体结构拓扑............................................................................................................ - 24 -
DNS 规划实现 ........................................................................................................... - 24 - DNS 条件转发器使用 ............................................................................................... - 25 - 4.5.1. 4.5.2.
第5章 域部署软硬件环境要求 .............................................................................................. - 27 - 第二部分AD 及DNS 部署实施 .................................................................................................. - 28 -
,第1章 资源域环境部署 . ......................................................................................................... - 28 -
1.1子公司域环境拓扑 . ................................................................................................................. - 28 -
1.2部署域控制器 . ......................................................................................................................... - 28 -
1.2.1 域控制器操作系统初始化 . ............................................................................................. - 28 -
1.2.2 安装配置AD DS服务和DNS 服务 ................................................................................. - 29 -
第2章 子公司资源域DNS 部署.............................................................................................. - 40 -
2.1子公司资源域DNS 拓扑 ......................................................................................................... - 40 -
2.2子公司资源域DNS 部署 ......................................................................................................... - 40 -
第3章 子公司资源域与现有AD 信任关系建立 . .................................................................... - 44 -
3.1子公司林信任拓扑 . ................................................................................................................. - 44 -
3.2子公司林信任部署 . ................................................................................................................. - 44 -
3.2.1 子公司用户林林信任部署 . ............................................................................................. - 44 -
3.2.2 子公司资源林林信任部署 . ............................................................................................. - 51 - 第三部分 统一用户的使用与管理 ............................................................................................. - 59 -
第1章 统一用户信息维护 ...................................................................................................... - 59 -
第2章 连接AD 服务器相关信息 . ........................................................................................... - 59 -
2.1.
2.2.
2.3. 各二级公司服务账号 ....................................................................................................... - 59 - 服务器连接信息 ............................................................................................................... - 59 - AD 相关对象类属性 . ......................................................................................................... - 60 -
第3章 管理资源林AD 域用户详细信息 ................................................................................ - 60 -
,第一部分AD 及DNS 结构规划
第1章 活动目录域结构规划实现
1.1. 功能需求
匹配国药集团现有组织结构和管理特性,实现统一用户认证,一人一账号。具备每个二级单位的管理独立可操作性。
1.2. 设计思想
根据国药集团的组织结构和管理特性,统一用户的规划采用Windows Server AD 域功能进行部署,新AD 域的逻辑结构使用“中央资源林 外围用户林”的结构设计,满足二级公司的独立维护和集团统一规划集中管理的设计思想。 集团现有情况为总部和子公司存在多个隔离的域森林,但需要采取共用通用的资源(如:HR 系统下发的账户、全集团各公司统一使用的应用系统等)来进行IT 资源整合。
为有效整合多个子公司林结构,而提供共享基础结构的资源林,这种拓扑带来的好处是只需为单个林(资源林)扩展 Active Directory 架构。
1.3. 技术背景
活动目录
活动目录 是Windows Server完全实现的目录服务,也是Windows Server网络体系的基本结构模型。Microsoft 在Windows Server 中提供的活动目录是一个全面的目录服务管理方案,也是一个企业级的目录服务,具有很好的可伸缩性。 活动目录采用了Internet 的标准协议,它与操作系统紧密地集成在一起。活动目录不仅可以管理基本的网络资源,比如计算机对象、用户账户、打印机等,它也充分考虑了现代应用的业务需求,为这些应用提供了基本的管理对象模型,比如用户账户对象具有办公电话、手机、电子邮件等属性。几乎所有的应用可以
- 1 -
,直接利用系统提供的目录服务结构,而且活动目录也具有很好的扩充能力,允许应用程序定制目录中对象的属性或者添加新的对象类型。
域
域是一种管理单元,并且在一个域内部将共享某些功能和参数。首先,所有域控制器都需要复制域的数据存储中的分区,这些分区中将包含该域中用户、组和计算机的身份数据。因为所有DC 都维持了相同的身份存储,因此任何一台DC 都可对域中的任何身份进行验证。
任何一台域控制器还可对Active Directory数据库中任何一个对象进行改动,这些改动随后将复制给所有其他域控制器。因此如果网络无法支持在域控制器之间复制所有数据,就需要实施多个域,并分别管理身份子集的复制工作。
域树
域树是指连续的DNS 名称空间。如果一个域是另一个域的子域,那么这种组成连续空间的域就组成一个域树。
森林
森林是指一个或多个Windows Server AD域的集合。每个活动目录的实施将至少有一个森林,森林的数量取决于公司的组织架构。在很多情况下,单一森林就足够了。
林是活动目录的单一实例,也就是说,数据默认不会被复制到林边界范围外的Active Directory,因此林可被用于定义安全边界。
单一森林环境易于建立和维护,森林内的域自动建立双向可传递内部信任关系,不要求手动建立外部信任配置,在安装扩展域架构的应用程序时,只需应用一次架构更改即可影响所有域。
域和林的功能级别
域和林的功能级别分别代表了域和林的运作模式,功能级别决定了域控制器可使用的Windows 版本和Active Directory中可使用的功能。
创建新域或新林时,建议将域和林功能级别设置为当前环境可以支持的最高值,这样可以尽可能的充分发挥AD 的功能。如果肯定不会将运行Windows Server 2008(以后简称WIN08)或任何更早版本的操作系统的域控制器添加到域或林,可以选择WIN08R2功能级别。另外,如果可能会保留或添加运行WIN08或早版
- 2 -
,本的域控制器,则在安装期间应选择 Windows Server 2008 功能级别。若确定不会添加这类域控制器或这类域控制器不再使用,则安装后可以提升功能级别。
需要注意的是不能将域功能级别设置为低于林功能级别的值。例如将林功能级别设置为WIN08,则只能将域功能级别设置为WIN08或WIN08R2。Windows 2000(以后简称WIN2K )和Windows Server 2003(以后简称WIN03)域功能级别值在“设置域功能级别”向导页中将不可选择。因此,若选择林功能级别为WIN08R2,那么,向导将不会出现“设置域功能级别”步骤,默认情况下向林添加的所有域都将为WIN08R2域功能级别。
特别需要注意:
将域功能级别设置为某个特定值后,将无法回滚或降低域功能级别,但以下情况例外:将域功能级别提升至WIN08R2,并且林功能级别为WIN08或更低时,可以将域功能级别回滚到WIN08,且只能将其从WIN08R2降到WIN08,而不能将其回直接滚到WIN03。
下表列出每种域功能级别启用的功能和支持的域控制器操作系统 域功能级别 启用的功能
所有默认的 Active Directory 功能及
以下功能:
•为分发组和安全组启用的通用组。
•组嵌套。
•已启用组转换,可在安全组和分发组之
间进行转换。
•安全标识符 (SID) 历史记录。
所有默认的 Active Directory 功能、
所有来自 Windows 2000 纯模式域功能
级别的功能,以及以下功能:
•准备要用于域控制器重命名的域管理
工具 Netdom.exe 的可用性。
•更新登录时间戳。将使用用户或计算机
的上次登录时间来更新
lastLogonTimestamp 属性。可以在域内
复制该属性。
•在 inetOrgPerson 和用户对象上将
userPassword 属性设置为有效密码的
功能。
•重定向用户和计算机容器的功能。默认
情况下,已提供两个已知的容器用于容
纳计算机和用户/组帐户:即,
- 3 -
支持的域控制器操作系统 Windows Server 2008 R2 Windows Server 2008 Windows Server 2003 Windows 2000 Windows 2000 纯模式 Windows Server 2003 Windows Server 2008 R2 Windows Server 2008 Windows Server 2003
,cn=Computers,<域根> 和 cn=Users,<域根>。该功能可用于定义这些帐户新的已知位置。
•授权管理器能够将其授权策略存储在 Active Directory 域服务 (AD DS) 中。 •包含受限制的委派,以便使应用程序可通过 Kerberos 身份验证协议充分利用用户凭据的安全委派。可以将委派配置为仅允许特定的目标服务。
•支持选择性的身份验证,通过它可以从受信任林指定允许对信任林中资源服务进行身份验证的用户和组。
所有默认的 Active Directory 功能、所有来自 Windows Server 2003 域功能级别的功能,以及下列功能:
•SYSVOL 的分布式文件系统 (DFS) 复制支持,可提供 SYSVOL 内容的更稳健更详细的复制。
•Kerberos 身份验证协议的高级加密服务(AES 128 和 256)支持。
•来自运行 Windows Server 2008 或 Windows Vista 或更高版本的工作站的上次交互式登录信息,将显示上次登录成功和失败的时间以及自上次成功登录之后失败的登录尝试次数。
•严格的密码策略 (FGPP),这可以为域中的用户和全局安全组指定密码和帐户锁定策略。 Windows Server 2008 Windows Server 2008 R2 Windows Server 2008
所有默认的 Active Directory 功能、所有来自 Windows 2000 纯模式、Windows Server 2003 和 Windows Server 2008 功能级别的功能,以及以下功能:
•身份验证机制保证,将对域用户进行身份验证所用的登录方法类型(智能卡或
相关信息封装在每个用户Windows Server 用户名/密码)Windows Server 2008 R2 的 Kerberos 令牌中。如果在已部署联2008 R2
合身份管理基础结构(如 Active Directory 联合身份验证服务 (AD FS) )的网络环境中启用此功能,则每当用户尝试访问用于根据用户登录和失败的登录尝试总数确定是否授权的声明感知应用程序时,都会提取令牌中的信息。 •服务的自动 SPN 管理,适用于计算机
- 4 -
,帐户的名称或 DNS 主机名发生更改时,
运行于特定计算机上托管服务帐户上下
文下的服务。
下表列出每种林功能级别启用的功能和支持的域控制器操作系统 林功能级别 启用的功能 支持的域控制器操作系统
Windows Server 2008 R2
所有默认的 Active Directory Windows Server 2008
Windows Server 2003 功能。
Windows 2000
所有默认的 Active Directory
功能及以下功能:
•林信任。
•域重命名。
•链接值复制(组成员身份中的
更改为各个成员存储并复制值,
而不是作为单个单位复制整个
成员身份)。在不同域控制器中
同时添加或删除不同成员时,这
种更改可在复制期间占用更少
的网络带宽并降低处理器使用
率,同时消除丢失更新可能性。•部署运行 Windows Server
2008 的只读域控制器 (RODC)
Windows Server 2008 R2 的功能。
•改进的知识一致性检查器
(KCC) 的算法和可伸缩性。站点Windows Server 2008
间拓扑生成器 (ISTG) 使用改
进的算法,可缩放以支持具有远Windows Server 2003
远大于在 Windows 2000 林功
能级别上所支持站点的数量的
林。改进的 ISTG 选择算法是一
种在 Windows 2000 林功能级
别选择 ISTG 的入侵性较小的
机制。
•改进的 ISTG 算法(更好的缩
放 ISTG 用于连接林中所有站
点的算法)。
•在域目录分区中创建动态辅助
类(称为 dynamicObject)的实
例的功能。
•将 inetOrgPerson 对象实例
转换为 User 对象实例的功能,
- 5 -
Windows 2000 Windows Server 2003
,反之亦然。
•创建新组(称为应用程序基本
组和轻型目录访问协议 (LDAP)
查询组)类型的实例以支持基于
角色的身份验证的功能。
•在架构中停用并重新定义属性
和类别。
Windows Server 2008 Windows Server 2003 林功能级别上可用的所有功能,但不包括Windows Server 2008 R2 任何其他功能。但在默认情况 下,随后添加到林的所有域,将Windows Server 2008 在 Windows Server 2008 域功
能级别进行操作。
Windows Server 2003 林功能级
别上可用的所有功能,以及下列
功能:
•Active Directory 回收站,提
供在运行 Active Directory
域服务 (AD DS) 时还原整个已
删除对象的功能。
随后添加到林的Windows Server 2008 R2 Windows Server 2008 R2 在默认情况下,
所有域都将以 Windows Server
2008 R2 域功能级别运行。
如果计划仅包括在整个林中运
行 Windows Server 2008 R2 的
域控制器,则为便于进行管理可
以选择此林功能级别。如果这样
做,您将永远不必为在林中创建
的每个域提升域功能级别。
1.4. 难点解析
1、资源林用作用户对象所在的其他林的共享服务环境。用户林与资源林之间存在林级信任关系。
微软要求Active Directory 林之间建立信任关系,NetBIOS 名称必须不同。 这就意味着新规划资源林NetBIOS 名称不能和现有域林名称一样。
- 6 -
,域的NetBIOS 名称默认为域控制器的域名,(例如:sinopharm.com NetBIOS默认名称为 sinopharm ,sinopharm.local NetBIOS默认名称也为 sinopharm ),本方案中定义sinopharm.local 为资源林域名,SPLocal 为NetBIOS 名称。
2、资源林结构要与现有总部、子公司域结构采用林信任关系进行逻辑连接,建立林信任关系的双方林功能级别必须为Windows Server 2003以上。
1.5. 林结构拓扑
- 7 -