企業AD架構規劃設計詳解

時間 2020-04-09

原文原文鏈接

這個章節主要講Active Directory 域服務概述及相關概念，設計步驟及AD常見的規劃設計TOP方案，每種架構TOP方案的特定及優缺點。數據庫

一、Active Directory 域服務概述

Active Directory是存儲有關網絡上對象的信息的層次結構。目錄服務（例如 Active Directory 域服務（AD DS））提供存儲目錄數據以及使此數據可供網絡用戶和管理員使用的方法。例如，AD DS 存儲有關用戶賬戶的信息，如名稱、密碼、電話號碼等，並使同一網絡上的其餘受權用戶能夠訪問此信息。安全

Active Directory 存儲有關網絡上對象的信息，並使管理員和用戶能夠輕鬆查找和使用此信息。 Active Directory 使用結構化數據存儲做爲目錄信息的邏輯層次結構的基礎。服務器

此數據存儲（也稱爲目錄）包含 Active Directory 對象的相關信息。這些對象一般包含共享資源，如服務器、卷、打印機、網絡用戶和計算機賬戶。網絡

經過登陸身份驗證和對目錄中對象的訪問控制，安全與 Active Directory 集成。經過單一網絡登陸，管理員能夠管理其整個網絡中的目錄數據和組織，受權網絡用戶能夠訪問網絡上任何位置的資源。基於策略的管理簡化了複雜的網絡的管理。架構

Active Directory 包括

一組規則，即架構，定義目錄中包含的對象和屬性的類別、這些對象的實例的約束和限制及其名稱的格式。負載均衡

包含有關目錄中每一個對象的信息的全局編錄。這容許用戶和管理員查找目錄信息，而不考慮目錄中的哪一個域實際包含數據。運維

一種查詢和索引機制，以便對象及其屬性可由網絡用戶或應用程序發佈和查找。有關查詢目錄的詳細信息。分佈式

跨網絡分發目錄數據的複製服務。域中的全部域控制器均參與複製，幷包含其域的全部目錄信息的完整副本。對目錄數據的任何更改均複製到域中的全部域控制器。ide

二、AD設計步驟

設計不是越複雜越好，根據實際須要越簡單越好，能夠經過如下步驟進行設計：工具

1.肯定林設計要求及所需的林數量

其實單林就能知足大部份集團公司的需求、目前我接觸的500強公司分佈各個國家都用不上多林架構。

2.建立域設計

確認域模型使用單區域模型、仍是區域域模型。

3.肯定所需的域數量

根據用戶和計算機數量及將來增加來預計域數量。

4.規劃全局編錄

若是你有單域林，全局編錄佈局須要進行規劃。在單域林中，將全部域控制器配置爲全局編錄服務器。因爲每一個域控制器都在林中存儲惟一的域目錄分區，所以將每一個域控制器配置爲全局編錄服務器不須要任何額外的磁盤空間使用狀況、CPU 使用率或複製流量。在單域林中，全部域控制器都充當虛擬全局編錄服務器;也就是說，它們均可以響應任何身份驗證或服務請求。

5.規劃站點拓撲

規劃好站點並把相應AD規劃在那個站點，提早收集各公司用的IP子網等。

6.規劃OU

根據需求規劃OU目的就是規劃相應計算機和用戶存放在哪一個OU便於策略管理。

【如下官方公佈單個域與帶寬及承載用戶數量的關係】

每一個林都從單個域開始。單個域林可包含的最大用戶數取決於最慢的連接，該連接必須適應域控制器之間的複製，以及要分配給 Active Directory 域服務（AD DS）的可用帶寬。下表列出了域基於單個域林可包含的最大推薦用戶數、最慢連接的速度，以及要爲複製保留的帶寬百分比。此信息適用於最多包含100000個用戶且鏈接數爲 28.8 kb/秒（Kbps）或更高的林。有關適用於包含100000多個用戶或鏈接量小於 28.8 Kbps 的林的建議，請參閱經驗豐富的 Active Directory 設計器。

下表中的值基於在具備如下特徵的環境中生成的複製流量：

新用戶以每一年 20% 的速率加入林。
用戶以每一年 15% 的速率保留林。
每一個用戶都是五臺全局組和五個通用組的成員。
用戶與計算機的比率爲1:1。
使用 Active Directory 集成的域名系統（DNS）。
使用 DNS 清理。

備註：

下表中列出的數字大體爲近似值。複製流量的數量很大程度上取決於在給定時間內對目錄所作的更改的數量。在部署域以前，經過在實驗室中測試你的設計更改的估計數量和速率，確認你的網絡能夠容納你的複製流量。

【如下官方公佈區域域模型與帶寬及承載用戶數量的關係】

若是沒法容納單個域中的全部用戶，則必須選擇 "區域域" 模型。以對組織和現有網絡有意義的方式將你的組織劃分爲各個區域。例如，能夠根據中國及日本公司建立區域。

請注意，因爲須要爲你創建的每一個區域建立一個 Active Directory 域，所以建議你最大程度地減小爲 AD DS 定義的區域數。儘管能夠在林中包含無限數量的域，但爲了便於管理，咱們建議林最多包含10個域。在將你的組織劃分爲地區性域時，你必須在優化複製帶寬與下降管理複雜性之間創建適當的平衡。

首先，肯定林能夠承載的用戶的最大數量。將其基於域控制器將複製到的林中最慢的連接，以及要分配到 Active Directory 複製的平均帶寬量。下表列出了林可包含的最大推薦用戶數。這取決於最慢連接的速度和要爲複製保留的帶寬百分比。此信息適用於最多包含100000個用戶且鏈接量爲 28.8 Kbps 或更高的林。下表中的值基於如下假設：

全部域控制器都是全局編錄服務器。
新用戶以每一年 20% 的速率加入林。
用戶以每一年 15% 的速率保留林。
用戶是五臺全局組和五個通用組的成員。
用戶與計算機的比率爲1:1。
使用 Active Directory 集成的 DNS。
使用 DNS 清理。

備註：

三、最多見的部署場景

（接下來主要是圍繞這幾種架構部署場景來說）

1.A架構（分佈式額外域部署場景）

這種AD部署架構是集團公司用得最多的方案，如下個人TOP只是模擬環境，其實與真實部署方法是同樣的，好比日本500強集團經常使用的架構以下：

日本東京總部數據中心2臺AD：負責本國AD全部業務，若是有工廠的地區會再各自機房部署1~2臺AD。

中國區上海數據中心2臺AD：負責中國區全部Office辦公AD業務，若是深圳及其餘城市有大工廠會再各自機房部署1~2臺AD。

其餘國家也是同樣的部署方式。

描述：這種採用主域控與額外域的部署方式，全部域服務器均可以是GC，全部域服務器都有相同的權利，FSMO能夠分佈在任何一臺域服務器上，這種架構都是總部IT專門負責管理，委派給其餘地區分公司IT有部份AD的權限，建議最多部署不要超過10個AD服務器。

優勢：

1.各據點公司用戶訪問各自據點域服務器進行登陸及相關用戶驗證，起到行負載均衡的做用；

2.若是FSMO角色所在域服務器故障，可輕鬆轉移或搶佔FSMO到其餘域服務器便可，可用性高；

3.用戶登陸及各系統經過AD驗證很是快，都是經過各公司AD驗證。

4.減小經過集團WAN連接的複製流量

5.支持較多的AD用戶和計算機數量

缺點：

部署成本較高（有業務需的國家須要部署數據機房）

2.B架構（收購公司的AD接管方案）域信任實實戰

這種架構其實也不算原始規劃架構，是集團公司收購其它公司的狀況下、被收購公司AD正常保留使用的方案，收購後原來PC管理方法基本是沒變化的，PC仍是加入之前的域，若是被收購公司域廢除把PC切換到現有公司域，全部用戶的PC用戶環境須要從新設定很是繁瑣，這顯然沒有必要，可能就郵件暫時須要變動而已。

這種狀況會致使資源互相訪問時須要驗證帶來很大麻煩，被收購公司用戶訪問公司相關業務須要用戶認證的問題，那麼怎麼解決這個問題呢，如題就是不一樣域設定信任便可解決這個問題。

優勢：

1.設置信任後就解決了驗證的問題，公司的資源能夠受權給收購公司AD的用戶訪問，同時被收購公司的資源也能夠授給公司相應的AD用戶權限，便可輕鬆訪問相應的資源；

2.不用大動干戈把被收購公司域廢除，收購公司PC照常加入現公司域服務器便可，節省超多時間和麻煩事，若是切換域公司用戶數成千上萬用戶，用戶環境問題頭都大了，由於有些用戶環境很複雜、用了不少特殊軟件改變用戶環境就須要從新部署很是麻煩；

3.不用改變收購公司用戶帳號和密碼，用戶登陸使用電腦的方式和習慣等不用改變，節少了不少培訓時間。

缺點：

就是公司AD域名不統一而已，除了這個沒有什麼太多的缺點，還有就是多了一個域須要管理、IT工做量有所增長而已。

3.C架構（RODC部署場景）實戰

在物理安全性不足的位置上，建議使用部署只讀域控制器（RODC）。除賬戶密碼以外，RODC 保留可寫域控制器包含的全部 Active Directory 對象和屬性。可是，不能對存儲在 RODC 上的數據庫進行更改。必須在可寫域控制器上進行更改，而後將其複製回 RODC。
設計 RODC 主要是爲了在分支機構環境中部署。分支機構一般用戶相對較少，物理安全性差，鏈接集團公司網絡帶寬也相對較低，分支機構人員不懂IT。

優勢：

1.對分公司機房物理安全性差和用戶少的環境部署，比較高的安全性，；
2.分公司用戶更快的登陸速度；
3.更有效的訪問網上的資源；

缺點：

若是分公司AD用戶不少的狀況不太適合。

4.D架構（父域與子域架構）

這種架構用在集團公司之間各自管理子域的方式管理，各分公司部署子域模式，PC加入各公司子域便可，父域和子域是可傳遞的，權限受權也很方便。

優勢：

1.公司的資源受權也是很方便，父域和子域之間自動創建傳遞關係
2.父域和子域管理不互相干擾
3.支持管理AD用戶及計算機數量比較大

缺點：

成本相對較高，管理相對複雜，顯得沒有必要。

5.E架構（集中式額外域部署場景）

這種AD部署架構也有不少公司在用這種方案，其實與A架的AD部署方法是同樣，這種架構各分公司之間網絡質量比較好，在總部構築私有云、虛擬化數據中心的方式，各分公司能夠不用建數據機房。

描述：這種架構主要是採用主域控與額外域的部署方式，全部域服務器均可以是GC，全部域服務器都有相同的權利，FSMO能夠分佈在任何一臺域服務器上，這種架構都是總部IT專門負責管理，也能夠委派給其餘地區分公司IT有部份管理AD OU的權限。

優勢：

1.各公司單獨預算結算時，各分公司付費的方式申請AD用戶用的最多的架構方式；
2.成本更低，不用在各公司機房部署AD服務器，由於在總部都是私有云或虛擬部署、服務器的RTO和RPO時間能>作到更低，這在分公司作到這種要求成本很高的。
3.各據點公司用戶訪問各自域服務器進行登陸驗證相關AD業務，起到行負載均衡的做用；
4.若是FSMO角色所在域服務器故障，可輕鬆轉移或搶佔FSMO到其餘域服務器便可；
5.下降了管理複雜性

缺點：

若是公司到AD服務器網絡質量很差，PC首次加域或登域可能會比較慢，策略有可能會延時，這些都是能夠解決的，集團網絡帶寬這些問題均可以很好解決。

以上是最多見5種AD架構設計方案，但集團公司其實用的最多的是A架構分佈式額外域部署場景，除此以外B架構收購公司的AD接管方案，C架構RODC、E架構集中式額外域部署場景，主要是根據本身公司實際環境選擇相對合適的方案便可，但D架構父域與子域架構其實用此架構的公司真的不多，緣由其實上面我已經說了，總知你們以本身需求爲出發點設計符合本身的方案。

4、Active Directory 架構規劃實戰

筆者在IT運維行業多年，剛開始在乙方從事IT系統集成項目，後來一直在甲方從事IT運維至今。

在乙方工做時常常遇到客戶挖的坑，如AD用戶刪除怎麼恢復？我公司只有一臺AD掛了怎麼辦？後面來了句AD沒有任何備份。聽到這話我也化無奈也只有涼拌啦！

筆者發現這些問題其實都是設計不合理形成的，說白了客戶IT工程師AD知識不紮實，不知道怎麼來規避這些問題，如今筆者在甲方工做更能體會到甲方工程師的難度，有些公司第一不肯在IT設備上投入，第二又不肯在IT人才培養方面投入，說白了就是不肯花錢，IT工程師們真難作，本專欄的知識點就幫助你們規避這些問題。

例如公司目前只有1臺AD，當你的環境只有1臺AD並且沒有備份那固然就沒轍了，這就體現本專欄知識點重要性的時候了。額外域部署設計，你就能夠規劃部署第2臺AD做爲額外域，這樣就規避了AD的單點故障。公司不肯投入設備也能夠用PC代替只不過FSMO角色放在性能好的服務器就行。固然你知道部署額外域還不至於在AD設計時能規避這個問題，這時咱們專欄也講到了AD故障轉移（FSMO角色轉移及搶佔）知識點，就這兩個知識點就規避這個AD單點故障的問題，當問題發生時輕鬆解決。

例如我在乙方工做時常常遇到甲方的AD管理者，建立刪除修改AD用戶都是對着申請單一個一個用戶建立刪除，不累嗎？咱們能夠結合申請單命令批量建立刪除修改域AD對象實現快速對應。

其實不少問題都是最初規劃設計不合理，最終變成歷史遺留問題，最後某些工程師接管爛攤子不幸出現故障沒法恢復。這時公司只會責怪現任工程師，這也沒辦法，原來工程師已經離職了。因此經過專欄的學習咱們能夠把別人給你挖的坑給填了，避免在你接管工做時不要出現大問題。從此在你管理下AD的規劃部署更加完善。

本專欄文章，主要包括15篇內容。AD經常使用的架構TOP設計，各架構的部署實戰、A架構環境下AD檢查驗證方法，AD架環境下站點和服務規劃實戰及OU策略實戰等。如下介紹各章節的內容要概述。