如何實現(xiàn)AD和DNS架構穩(wěn)定呢?AD出現(xiàn)問題50%是DNS所致����,實現(xiàn)安全穩(wěn)固的AD和DNS架構�����,大家可以看一下小編整理的這篇網(wǎng)絡工程師安全穩(wěn)固的AD和DNS架構知識點詳解內(nèi)容�����,希望以下方法可以幫到大家�,更多網(wǎng)絡工程師知識點請點擊唯學網(wǎng)計算機培訓頻道。
AD出現(xiàn)問題50%是DNS所致���,如果實現(xiàn)安全穩(wěn)固的AD和DNS架構呢��。
1��、我們來回顧一下AD的安裝驗證
驗證AD的安裝
檢查如下創(chuàng)建:
(1)��、SYSVOL和共享
(2)���、目錄服務數(shù)據(jù)庫和相關日志
(3)、默認活動目錄結構
檢查相關的事件日志
使用Dcdiag和Netdiag命令
SRV(服務資源記錄)是服務和主機名之間做一個解析。
2���、刪除一臺失效的DC����,不能簡單的把服務拿走�,因為在其它的DC仍然保留著這臺DC的信息。那么其它DC在復制的時候還會償試著去找這臺DC����。
刪除一臺失效的DC
如果有兩個DC,DC1和DC2����,如果DC2壞掉了,如果不在DC1上刪除DC2的相關信息��,那么在數(shù)據(jù)復制時DC1還會償試去聯(lián)系DC2�����。那么就會出現(xiàn)復制錯誤����,這是我們不愿意看到的���。
如何在DC1上去刪除DC2
不需要進到目錄恢復模式���,直接進到命令行�。
使用ntdsutil這個工具
C:\>ntdsutil
ntdsutil:metadata cleanup(數(shù)據(jù)庫的清理)
metadata cleanup:connections(進入到連接工具)
metadata cleanup:connections(進入到一個特定域控制器)
server connections:connect to damain lab.com(首先我連接到我這個域上)
server connections:connect toserver lab-dc1.lab.com(再連接到我這臺服務器上)
server connections:quit(退到上一層目錄)
netadata cleanup:slesct operation target(要指定那臺DC無效了)
Slesct operation target:list current selections
Slesct operation target:list sites(要先看看當前計算機上都有那些站點)
Slesct operation target:select site 0(連接到其中的一個站點)
Slesct operation target:list servers in site(然后就可以看到有幾臺DC)
Slesct operation target:select server 1(1是代表壞掉的那臺服務器)
Slesct operation target:list current selections
Slesct operation target:quit
Netadata cleanup:remove
Dcdiag和Netdiag進行檢查���,是否刪除干凈�����。
3��、如果要實現(xiàn)安全穩(wěn)固的AD和DNS架構我們必須先了解客戶端是如何找到DC的?
當client想要登錄到域中,他不并是直接找到DC,因為他并不知道誰是DC,那它會首先去查看DNS服務器,通過DNS解析SRV資源記錄,他會向 SRV記錄去查詢,誰是當前網(wǎng)絡的DC,如果有SRV記錄,client就會得到一個DC的地址,然后去訪問DC.如果DNS里沒SRV記錄或SRV記錄不正確,那么我們的client是無法聯(lián)系到我們的DC的.
SRV叫服務資源記錄,這種格式記錄的意義在于,將我們計算機服務和主機名之間做一個解析.在DNS中的SRV記錄是當每臺DC在啟動時,他會去注冊自己的SRV記錄.就是說:當管理員打開每臺DC時,DC就會向他的DNS服務器去宣布我這臺計算機究竟會做什么.他就會把他會做的寫到DNS里去了.這樣一個過程了.
4�����、如果想實現(xiàn)兩臺DC的冗余,那么兩臺DC都必須安裝DNS服務,需要注意的是,DC1是AD的集成區(qū)域,那么在DC2上也建個AD的集成區(qū)域就可以了.
DNS的幾個區(qū)域
主要區(qū)域:可以讀可以寫
輔助區(qū)域:為了實現(xiàn)冗余都會建好多輔助區(qū)域,輔助區(qū)域所有的信息都是從主要區(qū)域里復制過來的,如果主要區(qū)域壞了,輔助區(qū)域仍然可以提供查詢,但不能再向區(qū)域里寫任何信息了.所以微軟在AD的布置當中,DNS即不用主要區(qū)域也不用輔助區(qū)域,用AD的集成區(qū)域,好處就是兩臺DC以蠖紀筆荄NS,并且如果有某一臺DNS發(fā)生了修改,DNS會去互相同步,也就是說,DNS從原來的主從關系,變成了現(xiàn)在這種平行的關系.到現(xiàn)在才可以說,我們的DNS是帶有冗余的,還可以說不管現(xiàn)在的DC任何一臺關掉,不會影響我的一個DNS應用.
5���、我們再了解一下活動目錄的維護
(1)AD數(shù)據(jù)庫的修改過程(讀寫過程)
例:我們到AD上去添加個用戶,修改等事件
它首先會把這個事件做一個初始化,并且把它寫到內(nèi)存里的一個緩沖區(qū)里,然后呢它并不是直接來寫數(shù)據(jù)庫(Ntds.dit),而是內(nèi)存寫好后它會去寫 EDB.log(每天發(fā)生的事,所做的事都會被EDB.log記住),寫完EDB.log才會把事件寫到AD數(shù)據(jù)庫(Ntds.dit)里面去,之后這個事件會被寫到另外一個文件也就是最后一個文件Edb.chk,當Edb.chk寫完后,就認為這此的修改過程就完成了.
EDB.log and Ntds.dit那個文件會更大一些?
EDB.log會更大一些,例如,新添加一個用戶XY,它會寫到EDB.log里面,也會寫到Ntds.dit中,但如果刪除了XY這個用戶,那么 EDB.log里面還會寫進XY這個用戶被刪除了,是一直增加的,而Ntds.dit在XY刪除的時候,這條信息將被刪除,數(shù)據(jù)庫會減小.
EDB.log這個文件不會一直變大,只要寫滿了10M就會自動改名為EDB000001.log(正常的做法是,我們把這個文件永久保存�,但也可以把這個文件刪掉)并釋放一個空文件.
跟EDB.log一起還有兩個文件res1.log和res2.log,是為了避免用戶磁盤空間不夠,倒至AD讀寫不完整,如果磁盤空間不夠的話,AD首先會想到,把這兩個文件刪掉.刪掉后又有了20M空間,用這20M空間去讀寫.
6、如何移動AD數(shù)據(jù)庫和日志(在進行之間一定要把數(shù)據(jù)庫做備份)
為什么會移動:1���、磁盤空間不夠了2����、出于安全的考慮。
進行到目錄回復模式
C:>ntdsutil
Ntdsutil:files(因為是對文件進行操作��,所以要進入files模式的維護)
File maintenance:move db to d:\ad(把AD數(shù)據(jù)庫移動到D盤下ad folder)
File maintenance:move logs to d:\ad(把AD日志文件移動到D盤下ad folder)
為什么這兩個位置可以單獨進行維護�����,我們在一個要求高可用性�����,高可靠性的AD當中�,把AD中的DB和EDB .log分別存儲在兩個不同的磁盤上,或者不同的邏輯驅動器上��,那么可以分別的對它們進行安全性的實施���,另外一方面我們可以提高性能�。
如何對AD數(shù)據(jù)庫進行碎片整理. (在進行之間一定要把數(shù)據(jù)庫做備份)
這個問題是很多人在做一個AD穩(wěn)固過程當中����,是一個比較容易忽視和忽略的一個問題���,其實AD和磁盤一樣���,AD也會因為頻繁的讀寫���,高度負荷,產(chǎn)生一些碎片���,也需要碎片整理的���。(在一個服務器上會否經(jīng)常的做磁盤的整理?不應該經(jīng)常整理磁盤,如果你在服務器上經(jīng)常整理磁盤的話�����,在整理的過程就會對你服務器的數(shù)據(jù)產(chǎn)生一個不好的影響���,但是你對服務器的磁盤做了整理��,仍然不能解決AD數(shù)據(jù)庫碎片的問題�����,因為正常的磁盤整理����,AD的數(shù)據(jù)庫是不整理的)建議每年或每兩年進行整理,但是必須做backup���,因為這個整理是有風險的�����。
AD的整理其實就是把數(shù)據(jù)庫全部copy出來���,再重新去寫一個文件。
進行到目錄回復模式
C:>ntdsutil
Ntdsutil:files(因為是對文件進行操作���,所以要進入files模式的維護)
File maintenance:compact to d:\ad(把AD數(shù)據(jù)庫放到D盤的ad folder)
在D盤AD folder會產(chǎn)生一個新的整理后的數(shù)據(jù)庫���,然后把這個新數(shù)據(jù)庫copy到原來數(shù)據(jù)庫的位置,替換原來的文件�����。數(shù)據(jù)庫會變小的��,查詢性能會變高的。
建議:在真實的環(huán)境中���,不要同時做多個跟AD相關的管理工作�����,如果太多的話,會倒至AD出來故障�。
7、AD數(shù)據(jù)庫的備份
System state data
系統(tǒng)狀態(tài)的備份是個非常重要的備份����,我們的建議是我們每個服務器的管理員,都應該定期的每周去備份系統(tǒng)狀態(tài)信息�����。大小在700M左右����。
Ntbackup(不用進入到目錄還原模式)
操作主控的介紹
雖然有多臺DC,但不是真的關掉那一臺都可以��。
為了避免兩臺都做主���,某些工作必須由某一臺來完成�。
Schema Master(森林中的第一臺DC)
AD最核心的就是schema master,如果不在了,就不能擴展schema master���,就沒法去裝Exchange等了��。
Domain naming master(森林中的第一臺DC)
當我想住我的森林中添加一個域樹或者添加一個子域的時候����,那么Domain naming master負責去檢查���,你想要加進來這個域的名稱和原來域的名稱是不是有沖突的�。如果有沖突��,Domain naming master將拒絕新域的加入��,如果它不在了��,將倒至不能添加子域和域樹的�。
PDC Emulator(每個域的第一臺DC)
1、域內(nèi)的時間差不能超過5分鐘��,默認所有的 其它的DC還有client都會聯(lián)系到PDC上去同步時間����。
2����、組策略為了避免沖突�,必須在有PDC的時候才可以打開。
RID master每個域的第一臺DC)
沒有RID master我們的域是沒辦法去建用戶的�����。
Infrastructure master每個域的第一臺DC)
什么是權限委派?
1�����、 權限的分級管理
2���、 通過委派實現(xiàn)
(1) 管理自治
(2) 服務的獨立
用MMC為網(wǎng)管設計一個管理工具。
在建第二臺DC的時候����,就建一個跟AD一樣的區(qū)域,然后打開AD集成動態(tài)更新�,在DC同步的時候,他們就會自己同步了�。
手動DC同步��,在站點和服務上就可以讓兩臺DC或多臺DC進行同步���。
更多網(wǎng)絡工程師知識點及資訊,如網(wǎng)絡工程師考試內(nèi)容�、網(wǎng)絡工程師考試試題等,請隨時關注唯學網(wǎng)計算機培訓欄目網(wǎng)絡工程師培訓頻道����,小編會第一時間為大家更新跟進最新內(nèi)容。如有任何疑問也可在線留言��,小編會為您在第一時間解答!
絡工程師.png)
