如何實(shí)現(xiàn)AD和DNS架構(gòu)穩(wěn)定呢?AD出現(xiàn)問(wèn)題50%是DNS所致���,實(shí)現(xiàn)安全穩(wěn)固的AD和DNS架構(gòu)���,大家可以看一下小編整理的這篇網(wǎng)絡(luò)工程師安全穩(wěn)固的AD和DNS架構(gòu)知識(shí)點(diǎn)詳解內(nèi)容,希望以下方法可以幫到大家�����,更多網(wǎng)絡(luò)工程師知識(shí)點(diǎn)請(qǐng)點(diǎn)擊唯學(xué)網(wǎng)計(jì)算機(jī)培訓(xùn)頻道�����。
AD出現(xiàn)問(wèn)題50%是DNS所致���,如果實(shí)現(xiàn)安全穩(wěn)固的AD和DNS架構(gòu)呢��。
1�����、我們來(lái)回顧一下AD的安裝驗(yàn)證
驗(yàn)證AD的安裝
檢查如下創(chuàng)建:
(1)��、SYSVOL和共享
(2)���、目錄服務(wù)數(shù)據(jù)庫(kù)和相關(guān)日志
(3)、默認(rèn)活動(dòng)目錄結(jié)構(gòu)
檢查相關(guān)的事件日志
使用Dcdiag和Netdiag命令
SRV(服務(wù)資源記錄)是服務(wù)和主機(jī)名之間做一個(gè)解析�����。
2��、刪除一臺(tái)失效的DC�����,不能簡(jiǎn)單的把服務(wù)拿走���,因?yàn)樵谄渌腄C仍然保留著這臺(tái)DC的信息�。那么其它DC在復(fù)制的時(shí)候還會(huì)償試著去找這臺(tái)DC��。
刪除一臺(tái)失效的DC
如果有兩個(gè)DC�,DC1和DC2,如果DC2壞掉了��,如果不在DC1上刪除DC2的相關(guān)信息�����,那么在數(shù)據(jù)復(fù)制時(shí)DC1還會(huì)償試去聯(lián)系DC2。那么就會(huì)出現(xiàn)復(fù)制錯(cuò)誤���,這是我們不愿意看到的��。
如何在DC1上去刪除DC2
不需要進(jìn)到目錄恢復(fù)模式���,直接進(jìn)到命令行。
使用ntdsutil這個(gè)工具
C:\>ntdsutil
ntdsutil:metadata cleanup(數(shù)據(jù)庫(kù)的清理)
metadata cleanup:connections(進(jìn)入到連接工具)
metadata cleanup:connections(進(jìn)入到一個(gè)特定域控制器)
server connections:connect to damain lab.com(首先我連接到我這個(gè)域上)
server connections:connect toserver lab-dc1.lab.com(再連接到我這臺(tái)服務(wù)器上)
server connections:quit(退到上一層目錄)
netadata cleanup:slesct operation target(要指定那臺(tái)DC無(wú)效了)
Slesct operation target:list current selections
Slesct operation target:list sites(要先看看當(dāng)前計(jì)算機(jī)上都有那些站點(diǎn))
Slesct operation target:select site 0(連接到其中的一個(gè)站點(diǎn))
Slesct operation target:list servers in site(然后就可以看到有幾臺(tái)DC)
Slesct operation target:select server 1(1是代表壞掉的那臺(tái)服務(wù)器)
Slesct operation target:list current selections
Slesct operation target:quit
Netadata cleanup:remove
Dcdiag和Netdiag進(jìn)行檢查���,是否刪除干凈�����。
3�、如果要實(shí)現(xiàn)安全穩(wěn)固的AD和DNS架構(gòu)我們必須先了解客戶端是如何找到DC的?
當(dāng)client想要登錄到域中,他不并是直接找到DC,因?yàn)樗⒉恢勒l(shuí)是DC,那它會(huì)首先去查看DNS服務(wù)器,通過(guò)DNS解析SRV資源記錄,他會(huì)向 SRV記錄去查詢,誰(shuí)是當(dāng)前網(wǎng)絡(luò)的DC,如果有SRV記錄,client就會(huì)得到一個(gè)DC的地址,然后去訪問(wèn)DC.如果DNS里沒(méi)SRV記錄或SRV記錄不正確,那么我們的client是無(wú)法聯(lián)系到我們的DC的.
SRV叫服務(wù)資源記錄,這種格式記錄的意義在于,將我們計(jì)算機(jī)服務(wù)和主機(jī)名之間做一個(gè)解析.在DNS中的SRV記錄是當(dāng)每臺(tái)DC在啟動(dòng)時(shí),他會(huì)去注冊(cè)自己的SRV記錄.就是說(shuō):當(dāng)管理員打開(kāi)每臺(tái)DC時(shí),DC就會(huì)向他的DNS服務(wù)器去宣布我這臺(tái)計(jì)算機(jī)究竟會(huì)做什么.他就會(huì)把他會(huì)做的寫(xiě)到DNS里去了.這樣一個(gè)過(guò)程了.
4�、如果想實(shí)現(xiàn)兩臺(tái)DC的冗余,那么兩臺(tái)DC都必須安裝DNS服務(wù),需要注意的是,DC1是AD的集成區(qū)域,那么在DC2上也建個(gè)AD的集成區(qū)域就可以了.
DNS的幾個(gè)區(qū)域
主要區(qū)域:可以讀可以寫(xiě)
輔助區(qū)域:為了實(shí)現(xiàn)冗余都會(huì)建好多輔助區(qū)域,輔助區(qū)域所有的信息都是從主要區(qū)域里復(fù)制過(guò)來(lái)的,如果主要區(qū)域壞了,輔助區(qū)域仍然可以提供查詢,但不能再向區(qū)域里寫(xiě)任何信息了.所以微軟在AD的布置當(dāng)中,DNS即不用主要區(qū)域也不用輔助區(qū)域,用AD的集成區(qū)域,好處就是兩臺(tái)DC以蠖紀(jì)筆荄NS,并且如果有某一臺(tái)DNS發(fā)生了修改,DNS會(huì)去互相同步,也就是說(shuō),DNS從原來(lái)的主從關(guān)系,變成了現(xiàn)在這種平行的關(guān)系.到現(xiàn)在才可以說(shuō),我們的DNS是帶有冗余的,還可以說(shuō)不管現(xiàn)在的DC任何一臺(tái)關(guān)掉,不會(huì)影響我的一個(gè)DNS應(yīng)用.
5、我們?cè)倭私庖幌禄顒?dòng)目錄的維護(hù)
(1)AD數(shù)據(jù)庫(kù)的修改過(guò)程(讀寫(xiě)過(guò)程)
例:我們到AD上去添加個(gè)用戶,修改等事件
它首先會(huì)把這個(gè)事件做一個(gè)初始化,并且把它寫(xiě)到內(nèi)存里的一個(gè)緩沖區(qū)里,然后呢它并不是直接來(lái)寫(xiě)數(shù)據(jù)庫(kù)(Ntds.dit),而是內(nèi)存寫(xiě)好后它會(huì)去寫(xiě) EDB.log(每天發(fā)生的事,所做的事都會(huì)被EDB.log記住),寫(xiě)完EDB.log才會(huì)把事件寫(xiě)到AD數(shù)據(jù)庫(kù)(Ntds.dit)里面去,之后這個(gè)事件會(huì)被寫(xiě)到另外一個(gè)文件也就是最后一個(gè)文件Edb.chk,當(dāng)Edb.chk寫(xiě)完后,就認(rèn)為這此的修改過(guò)程就完成了.
EDB.log and Ntds.dit那個(gè)文件會(huì)更大一些?
EDB.log會(huì)更大一些,例如,新添加一個(gè)用戶XY,它會(huì)寫(xiě)到EDB.log里面,也會(huì)寫(xiě)到Ntds.dit中,但如果刪除了XY這個(gè)用戶,那么 EDB.log里面還會(huì)寫(xiě)進(jìn)XY這個(gè)用戶被刪除了,是一直增加的,而Ntds.dit在XY刪除的時(shí)候,這條信息將被刪除,數(shù)據(jù)庫(kù)會(huì)減小.
EDB.log這個(gè)文件不會(huì)一直變大,只要寫(xiě)滿了10M就會(huì)自動(dòng)改名為EDB000001.log(正常的做法是�����,我們把這個(gè)文件永久保存�����,但也可以把這個(gè)文件刪掉)并釋放一個(gè)空文件.
跟EDB.log一起還有兩個(gè)文件res1.log和res2.log,是為了避免用戶磁盤(pán)空間不夠,倒至AD讀寫(xiě)不完整,如果磁盤(pán)空間不夠的話,AD首先會(huì)想到,把這兩個(gè)文件刪掉.刪掉后又有了20M空間,用這20M空間去讀寫(xiě).
6、如何移動(dòng)AD數(shù)據(jù)庫(kù)和日志(在進(jìn)行之間一定要把數(shù)據(jù)庫(kù)做備份)
為什么會(huì)移動(dòng):1�、磁盤(pán)空間不夠了2、出于安全的考慮��。
進(jìn)行到目錄回復(fù)模式
C:>ntdsutil
Ntdsutil:files(因?yàn)槭菍?duì)文件進(jìn)行操作���,所以要進(jìn)入files模式的維護(hù))
File maintenance:move db to d:\ad(把AD數(shù)據(jù)庫(kù)移動(dòng)到D盤(pán)下ad folder)
File maintenance:move logs to d:\ad(把AD日志文件移動(dòng)到D盤(pán)下ad folder)
為什么這兩個(gè)位置可以單獨(dú)進(jìn)行維護(hù),我們?cè)谝粋(gè)要求高可用性�,高可靠性的AD當(dāng)中,把AD中的DB和EDB .log分別存儲(chǔ)在兩個(gè)不同的磁盤(pán)上����,或者不同的邏輯驅(qū)動(dòng)器上,那么可以分別的對(duì)它們進(jìn)行安全性的實(shí)施�,另外一方面我們可以提高性能。
如何對(duì)AD數(shù)據(jù)庫(kù)進(jìn)行碎片整理. (在進(jìn)行之間一定要把數(shù)據(jù)庫(kù)做備份)
這個(gè)問(wèn)題是很多人在做一個(gè)AD穩(wěn)固過(guò)程當(dāng)中��,是一個(gè)比較容易忽視和忽略的一個(gè)問(wèn)題��,其實(shí)AD和磁盤(pán)一樣�����,AD也會(huì)因?yàn)轭l繁的讀寫(xiě)����,高度負(fù)荷����,產(chǎn)生一些碎片����,也需要碎片整理的。(在一個(gè)服務(wù)器上會(huì)否經(jīng)常的做磁盤(pán)的整理?不應(yīng)該經(jīng)常整理磁盤(pán)�����,如果你在服務(wù)器上經(jīng)常整理磁盤(pán)的話��,在整理的過(guò)程就會(huì)對(duì)你服務(wù)器的數(shù)據(jù)產(chǎn)生一個(gè)不好的影響�����,但是你對(duì)服務(wù)器的磁盤(pán)做了整理�,仍然不能解決AD數(shù)據(jù)庫(kù)碎片的問(wèn)題,因?yàn)檎5拇疟P(pán)整理���,AD的數(shù)據(jù)庫(kù)是不整理的)建議每年或每?jī)赡赀M(jìn)行整理����,但是必須做backup,因?yàn)檫@個(gè)整理是有風(fēng)險(xiǎn)的�。
AD的整理其實(shí)就是把數(shù)據(jù)庫(kù)全部copy出來(lái),再重新去寫(xiě)一個(gè)文件����。
進(jìn)行到目錄回復(fù)模式
C:>ntdsutil
Ntdsutil:files(因?yàn)槭菍?duì)文件進(jìn)行操作,所以要進(jìn)入files模式的維護(hù))
File maintenance:compact to d:\ad(把AD數(shù)據(jù)庫(kù)放到D盤(pán)的ad folder)
在D盤(pán)AD folder會(huì)產(chǎn)生一個(gè)新的整理后的數(shù)據(jù)庫(kù)����,然后把這個(gè)新數(shù)據(jù)庫(kù)copy到原來(lái)數(shù)據(jù)庫(kù)的位置�,替換原來(lái)的文件。數(shù)據(jù)庫(kù)會(huì)變小的��,查詢性能會(huì)變高的��。
建議:在真實(shí)的環(huán)境中���,不要同時(shí)做多個(gè)跟AD相關(guān)的管理工作�,如果太多的話���,會(huì)倒至AD出來(lái)故障��。
7�、AD數(shù)據(jù)庫(kù)的備份
System state data
系統(tǒng)狀態(tài)的備份是個(gè)非常重要的備份,我們的建議是我們每個(gè)服務(wù)器的管理員��,都應(yīng)該定期的每周去備份系統(tǒng)狀態(tài)信息����。大小在700M左右。
Ntbackup(不用進(jìn)入到目錄還原模式)
操作主控的介紹
雖然有多臺(tái)DC����,但不是真的關(guān)掉那一臺(tái)都可以。
為了避免兩臺(tái)都做主���,某些工作必須由某一臺(tái)來(lái)完成�。
Schema Master(森林中的第一臺(tái)DC)
AD最核心的就是schema master,如果不在了���,就不能擴(kuò)展schema master�,就沒(méi)法去裝Exchange等了��。
Domain naming master(森林中的第一臺(tái)DC)
當(dāng)我想住我的森林中添加一個(gè)域樹(shù)或者添加一個(gè)子域的時(shí)候����,那么Domain naming master負(fù)責(zé)去檢查,你想要加進(jìn)來(lái)這個(gè)域的名稱和原來(lái)域的名稱是不是有沖突的�����。如果有沖突,Domain naming master將拒絕新域的加入�,如果它不在了,將倒至不能添加子域和域樹(shù)的���。
PDC Emulator(每個(gè)域的第一臺(tái)DC)
1����、域內(nèi)的時(shí)間差不能超過(guò)5分鐘��,默認(rèn)所有的 其它的DC還有client都會(huì)聯(lián)系到PDC上去同步時(shí)間�。
2���、組策略為了避免沖突���,必須在有PDC的時(shí)候才可以打開(kāi)。
RID master每個(gè)域的第一臺(tái)DC)
沒(méi)有RID master我們的域是沒(méi)辦法去建用戶的���。
Infrastructure master每個(gè)域的第一臺(tái)DC)
什么是權(quán)限委派?
1�����、 權(quán)限的分級(jí)管理
2�����、 通過(guò)委派實(shí)現(xiàn)
(1) 管理自治
(2) 服務(wù)的獨(dú)立
用MMC為網(wǎng)管設(shè)計(jì)一個(gè)管理工具���。
在建第二臺(tái)DC的時(shí)候����,就建一個(gè)跟AD一樣的區(qū)域����,然后打開(kāi)AD集成動(dòng)態(tài)更新,在DC同步的時(shí)候����,他們就會(huì)自己同步了。
手動(dòng)DC同步����,在站點(diǎn)和服務(wù)上就可以讓兩臺(tái)DC或多臺(tái)DC進(jìn)行同步。
更多網(wǎng)絡(luò)工程師知識(shí)點(diǎn)及資訊�,如網(wǎng)絡(luò)工程師考試內(nèi)容、網(wǎng)絡(luò)工程師考試試題等,請(qǐng)隨時(shí)關(guān)注唯學(xué)網(wǎng)計(jì)算機(jī)培訓(xùn)欄目網(wǎng)絡(luò)工程師培訓(xùn)頻道���,小編會(huì)第一時(shí)間為大家更新跟進(jìn)最新內(nèi)容��。如有任何疑問(wèn)也可在線留言���,小編會(huì)為您在第一時(shí)間解答!
絡(luò)工程師.png)
