活动目录的逻辑结构

 
1. — 对于微软环境描述的统称的概念
 域的高可用:创建多个DC
 
2.子域
 在什么情况下需要创建子域? 一般在“管理独立”的分支机构
 子域的命名:.父域的命名
创建子域的前提条件:一定需要父域给你提供企业管理员组的权限!
 A: 要做子域控的服务器需要加入到父域
 B: 使用“Enterprise Admins" 组的权限完成域的向导!
 
3.分支机构到底建立备份域控,还是建立子域?
 总部和分支机构部署域控场景
 场景01:两个独立的林 — 两套独立的架构 — 非常捞
 场景02: 分支机构是总部的备份DC — 多数
 场景03:分支机构是总部的子域 — 少量
 
到底选用备份域控还是子域,和下列因素有关:
 A:分支机构是否需要独立管理 — 非常重要
 适用于无论行政,还是信息管理上,分支机构都是独立管理
 如果需要独立管理 — 推荐使用子域;如果需要统一化管理,就使用备份域控
 B:分支机构是否有专门的域管理团队
 如果分支机构只有Helpdesk,没有服务器运维,建议创建备份域控!
 
4.父域的DC和子域的DC有数据同步吗?
 ADSIEDIT — ADSI编辑器 — 用来编辑活动目录数据库底层的数据
 活动目录数据库主要有四个存储分区:架构目录分区,配置分区,域目录分区,应用程序目录分区
 A:域分区 — 存储着当前这个域中的所有的对象
 B:配置分区—存储着针对当前林的配置信息
 C:构架分区— 存储着当前林的对象的构架
 D:应用程序目录分区 — 应用程序目录分区是由应用程序所建立的, 其内储存着与该应用程 序有关 的数据, 如DNS服务器. 应用程序分区会被复制到林中的特定域控制器,而不是所有 的域控制器,应用 程序目录分区比较, 一般用不到
 
 重要:如果两个DC在同一个域中,三个分区都相互同步;
 如果两个DC在同一个林中,但不在一个域中,只有配置分区和构架分区同步
 
5.域树
 新数域创建好后,必须要做一个配置,否则新树域无法工作
 必须要在根域(林中的第一个域)上配置到新树域的DNS转发!!!
 
6.林
 两个林之间如果希望能传递身份验证,必须需要手工建立信任
 建立信任的条件:
 A:两个林能相互转发DNS解析
 B:必须要林功能级别在Windows Server 2003 以上
 
7.全局编录服务器或者叫全局目录服务器 — 简称 GC
 微软默认推荐:所有的DC都是全局编录服务器
 在搜索活动目录对象的时候,不是在某一个域,而是在林中所有的域上完成搜索—GC
 DC — 包含当前域中所有的对象
 GC — 包含整个林的所有的对象
 当在搜索时,选择“整个目录”,就是在GC上搜索
 
怎么找到GC呢? DNS的SRV记录里。 如下图:
 
活动目录的逻辑结构
 
 
 GC — 包含了林中所有的域对象 (假设林中有20个域,每个域的数据库 10GB),
 那么:GC 的DB — 200GB。那么搜索的速度…可想而知
 SO,微软对此进行了优化:GC包含林中所有的对象,但只包含部分的属性,主要使用的属性!!!
 
例如当一个跨国性企业,想要搜索企业里有多少中国人的时候。因为GC里默认没有包含国家的属性
需要添加国家的属性到GC ,那怎样查看国家的属性?
打开ADDS找到你填写过国家值的用户,根据填写的值,反推出对应的属性。如下图:**
 
活动目录的逻辑结构
 
 
那怎样把相应的属性添加到GC的搜索中? 在运行里输入下图命令:
 
活动目录的逻辑结构
 
 
然后运行,输入mmc,添加管理单元Active Directory 构架,点击属性,在属性里找到刚才反推出的属性
然后右键点击,选择属性,勾上将此属性复制到全局编录,点击确定。如下图:
活动目录的逻辑结构
 
一段时间后,GC里就可以按国家搜索了

原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/183732.html

(0)
上一篇 2021年11月2日
下一篇 2021年11月2日

相关推荐

发表回复

登录后才能评论