Dịch vụ miền Active Directory là gì và nó hoạt động như thế nào?


144

Đây là một câu hỏi Canonical về Dịch vụ miền Active Directory (AD DS).

Active Directory là gì? Nó làm gì và nó hoạt động như thế nào?

Active Directory được tổ chức như thế nào: Rừng, Miền con, Cây, Trang web hoặc OU


Tôi thấy mình giải thích một số điều tôi cho là kiến ​​thức phổ biến về nó gần như hàng ngày. Câu hỏi này, hy vọng, sẽ phục vụ như một câu hỏi và câu trả lời chính tắc cho hầu hết các câu hỏi Active Directory cơ bản. Nếu bạn cảm thấy rằng bạn có thể cải thiện câu trả lời cho câu hỏi này, vui lòng chỉnh sửa đi.


7
Tôi không muốn trông giống như tôi đang làm lại, nhưng tôi nghĩ rằng nó cũng đáng để liên kết với một mô tả phi kỹ thuật về AD, nếu bạn gặp phải một tình huống mà bạn cần mô tả nó ít chi tiết về kỹ thuật: serverfault .com / q / 18339/7200
Evan Anderson

Liên kết có thể cho câu hỏi này: serverfault.com/questions/568606/... - serverfault.com/questions/472562/... - serverfault.com/questions/21780/... - serverfault.com/questions/72878/... chỉ để tên một vài . Có thể một kinh điển theo thứ tự @MDMarra
TheCleaner

Câu trả lời:


153

Active Directory là gì?

Dịch vụ miền Active Directory là Máy chủ thư mục của Microsoft. Nó cung cấp các cơ chế xác thực và ủy quyền cũng như một khung trong đó các dịch vụ liên quan khác có thể được triển khai (Dịch vụ chứng chỉ quảng cáo, Dịch vụ liên kết quảng cáo, v.v.). Nó là một cơ sở dữ liệu tuân thủ LDAP có chứa các đối tượng. Các đối tượng thường được sử dụng là người dùng, máy tính và nhóm. Các đối tượng này có thể được tổ chức thành các đơn vị tổ chức (OU) theo bất kỳ số lượng nhu cầu logic hoặc kinh doanh nào. Đối tượng chính sách nhóm (GPO) sau đó có thể được liên kết với các OU để tập trung cài đặt cho nhiều người dùng hoặc máy tính khác nhau trong một tổ chức.

Khi mọi người nói "Active Directory", họ thường đề cập đến "Dịch vụ miền Active Directory". Điều quan trọng cần lưu ý là có các vai trò / sản phẩm Active Directory khác như Dịch vụ chứng chỉ, Dịch vụ liên kết, Dịch vụ thư mục nhẹ, Dịch vụ quản lý quyền, v.v. Câu trả lời này đề cập cụ thể đến Dịch vụ miền Active Directory.

Một miền là gì và một khu rừng là gì?

Một khu rừng là một ranh giới an ninh. Các đối tượng trong các khu rừng riêng biệt không thể tương tác với nhau, trừ khi các quản trị viên của từng khu rừng riêng biệt tạo ra một sự tin tưởng giữa chúng. Ví dụ: tài khoản Quản trị viên doanh nghiệp domain1.com, thường là tài khoản đặc quyền nhất của một khu rừng, sẽ không có quyền trong một khu rừng thứ hai có tên domain2.com, ngay cả khi những khu rừng đó tồn tại trong cùng một mạng LAN, trừ khi có sự tin tưởng .

Nếu bạn có nhiều đơn vị kinh doanh rời rạc hoặc có nhu cầu về ranh giới bảo mật riêng biệt, bạn cần nhiều khu rừng.

Một miền là một ranh giới quản lý. Tên miền là một phần của một khu rừng. Miền đầu tiên trong một khu rừng được gọi là miền gốc rừng. Trong nhiều tổ chức vừa và nhỏ (và thậm chí một số tổ chức lớn), bạn sẽ chỉ tìm thấy một tên miền duy nhất trong một khu rừng. Miền gốc rừng xác định không gian tên mặc định cho rừng. Ví dụ: nếu tên miền đầu tiên trong một khu rừng mới được đặt tên domain1.com, thì đó là miền gốc của khu rừng. Nếu bạn có nhu cầu kinh doanh cho một tên miền con, ví dụ - một văn phòng chi nhánh ở Chicago, bạn có thể đặt tên cho tên miền con chi. Các FQDN của miền con sẽ làchi.domain1.com. Bạn có thể thấy rằng tên miền con đã được đặt trước tên miền gốc rừng. Đây thường là cách nó hoạt động. Bạn có thể có các không gian tên khác nhau trong cùng một khu rừng, nhưng đó là một loại giun hoàn toàn riêng biệt trong một thời gian khác nhau.

Trong hầu hết các trường hợp, bạn sẽ muốn thử và làm mọi thứ có thể để có một miền AD duy nhất. Nó đơn giản hóa việc quản lý và các phiên bản hiện đại của AD giúp cho việc ủy ​​quyền kiểm soát dựa trên OU rất dễ dàng, giúp giảm bớt nhu cầu đối với các miền con.

Tôi có thể đặt tên miền của mình bất cứ điều gì tôi muốn, phải không?

Không hẳn vậy. dcpromo.exe, công cụ xử lý việc quảng cáo máy chủ lên DC không phải là bằng chứng ngu ngốc. Nó không cho phép bạn đưa ra quyết định tồi với việc đặt tên của bạn, vì vậy hãy chú ý đến phần này nếu bạn không chắc chắn. (Chỉnh sửa: dcpromo không dùng nữa trong Máy chủ 2012. Sử dụng Install-ADDSForestlệnh ghép ngắn PowerShell hoặc cài đặt AD DS từ Trình quản lý máy chủ.)

Trước hết, không sử dụng các TLD tạo thành như .local, .lan, .corp hoặc bất kỳ thứ tào lao nào khác. Những TLD đó không được bảo lưu. ICANN hiện đang bán TLD, do đó, mycompany.corpviệc bạn sử dụng hôm nay thực sự có thể thuộc về ai đó vào ngày mai. Nếu bạn sở hữu mycompany.com, thì điều thông minh cần làm là sử dụng một cái gì đó giống như internal.mycompany.comhoặc ad.mycompany.comcho tên AD nội bộ của bạn. Nếu bạn sử dụng mycompany.comnhư một trang web có thể phân giải bên ngoài, bạn cũng nên tránh sử dụng tên đó làm tên AD nội bộ của mình, vì bạn sẽ kết thúc với DNS tách rời.

Bộ kiểm soát miền và Danh mục toàn cầu

Máy chủ đáp ứng yêu cầu xác thực hoặc ủy quyền là Bộ điều khiển miền (DC). Trong hầu hết các trường hợp, Bộ kiểm soát miền sẽ giữ một bản sao của Danh mục toàn cầu . Danh mục toàn cầu (GC) là một bộ các đối tượng trong tất cả các miền trong một khu rừng. Nó có thể tìm kiếm trực tiếp, điều đó có nghĩa là các truy vấn tên miền chéo thường có thể được thực hiện trên một GC mà không cần giới thiệu đến một DC trong miền đích. Nếu một DC được truy vấn trên cổng 3268 (3269 nếu sử dụng SSL), thì GC sẽ được truy vấn. Nếu cổng 389 (636 nếu sử dụng SSL) được truy vấn, thì truy vấn LDAP tiêu chuẩn đang được sử dụng và các đối tượng hiện có trong các miền khác có thể yêu cầu giới thiệu .

Khi người dùng cố gắng đăng nhập vào máy tính được kết nối với AD bằng thông tin đăng nhập AD của họ, kết hợp tên người dùng và mật khẩu đã được băm và băm được gửi đến DC cho cả tài khoản người dùng và tài khoản máy tính đang đăng nhập. Nhật ký máy tính quá. Điều này rất quan trọng, bởi vì nếu có điều gì đó xảy ra với tài khoản máy tính trong AD, như ai đó đặt lại tài khoản hoặc xóa nó, bạn có thể gặp lỗi nói rằng mối quan hệ tin cậy không tồn tại giữa máy tính và miền. Mặc dù thông tin mạng của bạn vẫn ổn, máy tính không còn đáng tin cậy để đăng nhập vào miền.

Mối quan tâm sẵn có của bộ điều khiển miền

Tôi nghe thấy "Tôi có Bộ điều khiển miền chính (PDC) và muốn cài đặt Bộ điều khiển miền sao lưu (BDC)" thường xuyên hơn mà tôi muốn tin. Khái niệm về PDC và BDC đã chết với Windows NT4. Pháo đài cuối cùng cho các PDC là trong chế độ hỗn hợp chuyển tiếp AD của Windows 2000 khi bạn vẫn còn các NT4 DC xung quanh. Về cơ bản, trừ khi bạn hỗ trợ cài đặt hơn 15 năm chưa bao giờ được nâng cấp, bạn thực sự không có PDC hoặc BDC, bạn chỉ có hai bộ điều khiển miền.

Nhiều DC có khả năng trả lời các yêu cầu xác thực từ những người dùng và máy tính khác nhau cùng một lúc. Nếu một lần thất bại, thì những người khác sẽ tiếp tục cung cấp dịch vụ xác thực mà không phải thực hiện một "chính" như bạn sẽ phải làm trong những ngày NT4. Cách tốt nhất là có ít nhất hai DC trên mỗi miền. Các DC này đều phải giữ một bản sao của GC và cả hai đều phải là máy chủ DNS chứa bản sao các vùng DNS tích hợp Active Directory cho miền của bạn.

Vai trò của FSMO

"Vì vậy, nếu không có PDC, tại sao lại có vai trò PDC mà chỉ một DC duy nhất có thể có?"

Tôi nghe điều này rất nhiều. Có một vai trò giả lập PDC . Nó khác với việc là một PDC. Trên thực tế, có 5 vai trò Hoạt động chính đơn linh hoạt (FSMO) . Đây cũng được gọi là vai trò Operations Master. Hai thuật ngữ có thể thay thế cho nhau. Họ là gì và họ làm gì? Câu hỏi hay! 5 vai trò và chức năng của chúng là:

Tên miền chính chủ - Chỉ có một Tên miền đặt tên chính cho mỗi khu rừng. Master Naming Domain đảm bảo rằng khi một tên miền mới được thêm vào một khu rừng thì nó là duy nhất. Nếu máy chủ giữ vai trò này ngoại tuyến, bạn sẽ không thể thay đổi không gian tên AD, bao gồm những thứ như thêm tên miền con mới.

Schema Master - Chỉ có một Schema Operations Master trong một khu rừng. Nó chịu trách nhiệm cập nhật Lược đồ Active Directory. Các tác vụ yêu cầu điều này, chẳng hạn như chuẩn bị AD cho phiên bản Windows Server mới hoạt động như một DC hoặc cài đặt Exchange, yêu cầu sửa đổi Schema. Những sửa đổi này phải được thực hiện từ Schema Master.

Cơ sở hạ tầng - Có một Cơ sở hạ tầng trên mỗi miền. Nếu bạn chỉ có một tên miền duy nhất trong khu rừng của mình, bạn không thực sự cần phải lo lắng về nó. Nếu bạn có nhiều rừng, thì bạn nên đảm bảo rằng vai trò này không được giữ bởi một máy chủ cũng là chủ sở hữu GC trừ khi mọi DC trong rừng là một GC . Chủ cơ sở hạ tầng chịu trách nhiệm đảm bảo rằng các tham chiếu tên miền chéo được xử lý đúng cách. Nếu người dùng trong một tên miền được thêm vào một nhóm trong tên miền khác, chủ cơ sở hạ tầng cho các tên miền được đề cập đảm bảo rằng nó được xử lý đúng cách. Vai trò này sẽ không hoạt động chính xác nếu nó nằm trong một danh mục toàn cầu.

RID Master - Master ID tương đối (RID Master) chịu trách nhiệm cấp các nhóm RID cho các DC. Có một chủ RID cho mỗi tên miền. Bất kỳ đối tượng nào trong miền AD đều có Mã định danh bảo mật (SID) duy nhất. Điều này được tạo thành từ sự kết hợp của mã định danh miền và mã định danh tương đối. Mỗi đối tượng trong một miền nhất định có cùng một mã định danh miền, do đó, định danh tương đối là thứ làm cho các đối tượng trở nên duy nhất. Mỗi DC có một nhóm ID tương đối để sử dụng, vì vậy khi DC đó tạo một đối tượng mới, nó sẽ thêm RID mà nó chưa được sử dụng. Vì các DC được cấp các nhóm không chồng lấp, mỗi RID phải duy nhất trong suốt vòng đời của miền. Khi một DC nhận được ~ 100 RID còn lại trong nhóm của nó, nó sẽ yêu cầu một nhóm mới từ chủ RID. Nếu chủ RID ngoại tuyến trong một khoảng thời gian dài, việc tạo đối tượng có thể thất bại.

Trình giả lập PDC - Cuối cùng, chúng ta có được vai trò bị hiểu lầm rộng rãi nhất trong số tất cả, đó là vai trò Trình giả lập PDC. Có một Trình giả lập PDC cho mỗi miền. Nếu có một nỗ lực xác thực thất bại, nó được chuyển tiếp đến Trình giả lập PDC. Trình mô phỏng PDC hoạt động như "bộ ngắt kết nối" nếu mật khẩu được cập nhật trên một DC và chưa được sao chép sang các DC khác. Trình mô phỏng PDC cũng là máy chủ kiểm soát đồng bộ hóa thời gian trên toàn miền. Tất cả các DC khác đồng bộ hóa thời gian của họ từ Trình mô phỏng PDC. Tất cả khách hàng đồng bộ hóa thời gian của họ từ DC mà họ đã đăng nhập. Điều quan trọng là mọi thứ vẫn tồn tại trong vòng 5 phút với nhau, nếu không Kerberos sẽ phá vỡ và khi điều đó xảy ra, mọi người đều khóc.

Điều quan trọng cần nhớ là các máy chủ mà các vai trò này chạy không được đặt chính xác. Việc di chuyển các vai trò này thường không quan trọng, vì vậy trong khi một số DC làm hơi nhiều so với các vai trò khác, nếu họ đi xuống trong thời gian ngắn, mọi thứ thường sẽ hoạt động bình thường. Nếu họ thất bại trong một thời gian dài, thật dễ dàng để chuyển đổi vai trò một cách minh bạch. Nó đẹp hơn nhiều so với NT4 PDC / BDC ngày, vì vậy hãy ngừng gọi DC của bạn bằng những tên cũ đó. :)

Vậy, ừm ... làm thế nào để các DC chia sẻ thông tin nếu họ có thể hoạt động độc lập với nhau?

Nhân rộng, tất nhiên . Theo mặc định, các DC thuộc cùng một tên miền trong cùng một trang sẽ sao chép dữ liệu của chúng cho nhau trong khoảng thời gian 15 giây. Điều này đảm bảo rằng mọi thứ tương đối cập nhật.

Có một số sự kiện "khẩn cấp" kích hoạt sự nhân rộng ngay lập tức. Những sự kiện này là: Tài khoản bị khóa vì quá nhiều lần đăng nhập thất bại, thay đổi được thực hiện đối với mật khẩu tên miền hoặc chính sách khóa, bí mật LSA bị thay đổi, mật khẩu được thay đổi trên tài khoản máy tính của DC hoặc vai trò RID Master được chuyển đến một DC mới. Bất kỳ sự kiện nào trong số này sẽ kích hoạt một sự kiện sao chép ngay lập tức.

Thay đổi mật khẩu nằm ở đâu đó giữa khẩn cấp và không khẩn cấp và được xử lý duy nhất. Nếu mật khẩu của người dùng được thay đổi DC01và người dùng cố gắng đăng nhập vào máy tính đang xác thực DC02trước khi sao chép xảy ra, bạn có muốn điều này thất bại không? May thay điều đó không xảy ra. Giả sử rằng cũng có một DC thứ ba ở đây được gọi là DC03giữ vai trò Trình mô phỏng PDC. Khi DC01được cập nhật với mật khẩu mới của người dùng, thay đổi đó cũng được sao chép ngay lập tức DC03. Khi bạn xác thực cố gắng DC02không thành công, DC02sau đó chuyển tiếp xác thực DC03đó, để xác minh rằng nó thực sự tốt và đăng nhập được cho phép.

Hãy nói về DNS

DNS rất quan trọng đối với một AD hoạt động đúng. Dòng chính thức của Microsoft là bất kỳ máy chủ DNS nào cũng có thể được sử dụng nếu được thiết lập đúng. Nếu bạn thử và sử dụng BIND để lưu trữ các vùng AD của mình, bạn sẽ cao. Nghiêm túc. Gắn bó với việc sử dụng các vùng DNS tích hợp AD và sử dụng các chuyển tiếp có điều kiện hoặc toàn cầu cho các vùng khác nếu bạn phải. Tất cả các máy khách của bạn phải được cấu hình để sử dụng các máy chủ AD DNS của bạn, vì vậy điều quan trọng là phải có dự phòng ở đây. Nếu bạn có hai DC, hãy để cả hai chạy DNS và định cấu hình ứng dụng khách của bạn để sử dụng cả hai để phân giải tên.

Ngoài ra, bạn sẽ muốn đảm bảo rằng nếu bạn có nhiều hơn một DC, thì trước tiên họ không liệt kê độ phân giải DNS. Điều này có thể dẫn đến tình huống chúng ở trên "đảo nhân rộng" nơi chúng bị ngắt kết nối với phần còn lại của cấu trúc liên kết sao chép AD và không thể phục hồi. Nếu bạn có hai máy chủ DC01 - 10.1.1.1DC02 - 10.1.1.2, sau đó danh sách máy chủ DNS của họ nên được cấu hình như thế này:

Máy chủ: DC01 (10.1.1.1)
DNS chính - 10.1.1.2
DNS thứ cấp - 127.0.0.1

Máy chủ: DC02 (10.1.1.2)
DNS chính - 10.1.1.1
DNS phụ - 127.0.0.1

OK, điều này có vẻ phức tạp. Tại sao tôi muốn sử dụng AD cả?

Bởi vì một khi bạn biết những gì bạn đang làm, cuộc sống của bạn trở nên tốt hơn vô cùng. AD cho phép tập trung quản lý người dùng và máy tính, cũng như tập trung truy cập và sử dụng tài nguyên. Hãy tưởng tượng một tình huống mà bạn có 50 người dùng trong một văn phòng. Nếu bạn muốn mỗi người dùng có thông tin đăng nhập riêng cho mỗi máy tính, bạn phải định cấu hình 50 tài khoản người dùng cục bộ trên mỗi PC. Với AD, bạn chỉ phải tạo tài khoản người dùng một lần và nó có thể đăng nhập vào bất kỳ PC nào trên miền theo mặc định. Nếu bạn muốn tăng cường bảo mật, bạn phải thực hiện 50 lần. Sắp xếp một cơn ác mộng, phải không? Cũng hãy tưởng tượng rằng bạn có một chia sẻ tệp mà bạn chỉ muốn một nửa số người đó nhận được. Nếu bạn không sử dụng AD, bạn cần phải sao chép tên người dùng và mật khẩu của họ bằng tay trên máy chủ để cấp quyền truy cập dường như hoặc bạn ' d phải tạo một tài khoản dùng chung và cung cấp cho mỗi người dùng tên người dùng và mật khẩu. Một cách có nghĩa là bạn biết (và phải liên tục cập nhật) mật khẩu của người dùng. Cách khác có nghĩa là bạn không có dấu vết kiểm toán. Không tốt, phải không?

Bạn cũng có thể sử dụng Chính sách nhóm khi bạn đã thiết lập AD. Chính sách nhóm là một tập hợp các đối tượng được liên kết với các OU xác định cài đặt cho người dùng và / hoặc máy tính trong các OU đó. Ví dụ: nếu bạn muốn làm cho nó "Tắt máy" không có trong menu bắt đầu cho 500 PC trong phòng thí nghiệm, bạn có thể làm điều đó trong một cài đặt trong Chính sách nhóm. Thay vì dành hàng giờ hoặc hàng ngày để cấu hình các mục đăng ký thích hợp bằng tay, bạn hãy tạo Đối tượng chính sách nhóm một lần, liên kết nó với OU hoặc OU chính xác và không bao giờ phải suy nghĩ lại. Có hàng trăm GPO có thể được cấu hình và tính linh hoạt của Chính sách nhóm là một trong những lý do chính khiến Microsoft chiếm ưu thế trong thị trường doanh nghiệp.


20
Làm tốt lắm, Mark. QA tuyệt vời.
EEAA

12
@TheCleaner Đồng ý, nhưng một phần trong nhiệm vụ của Stack Exchange là trở thành kho lưu trữ trung tâm cho tất cả các thông tin hữu ích về một chủ đề cụ thể. Vì vậy, mặc dù thông tin trên Wikipedia thường rất chính xác và phù hợp, nhưng nó không thúc đẩy mọi người ở đây và "ở đây" sẽ là cửa hàng duy nhất cho mọi thứ liên quan đến quản trị hệ thống.
MDMarra

6
@RyanBolger Điều này hoàn toàn đúng, nhưng Q & A này hướng đến một người mới. Khả năng hỗ trợ là một mối quan tâm lớn và Microsoft hoàn toàn sẽ không giúp bạn giải quyết vấn đề về AD có thể liên quan đến DNS nếu bạn đang chạy BIND (hoặc bất cứ điều gì khác). Đó là một cấu hình nâng cao không được khuyến nghị cho người cần đặt câu hỏi "AD là gì và nó hoạt động như thế nào". Trên hết, DNS là một vai trò tải thấp. Nếu bạn đã có DC, thật khó để tạo ra trường hợp không chạy DNS trên chúng và có một công cụ chuyển tiếp toàn cầu cho phần còn lại của cơ sở hạ tầng DNS của bạn.
MDMarra

8
@RyanBolger - đã đồng ý với MDMarra. Nếu Fred đã có một cơ sở hạ tầng DNS nội bộ phức tạp và hoạt động tốt, thì Fred sẽ không đăng lên SF hỏi "Vì vậy, tôi sẽ cài đặt điều này Active Directory - vui lòng cho tôi biết tất cả về nó?"
mfinni

2
Câu trả lời của bạn chỉ nhắc tôi kiểm tra thứ tự tìm kiếm máy chủ DNS trên bộ điều khiển miền của mạng mà tôi đã kế thừa ... Vâng, họ đang đề cập đến chính họ!
myron-semack

20

Lưu ý: Câu trả lời này đã được hợp nhất vào câu hỏi này từ một câu hỏi khác hỏi về sự khác biệt giữa rừng, miền con, cây cối, địa điểm và OU. Điều này ban đầu không được viết như một câu trả lời cho câu hỏi cụ thể này.


rừng

Bạn muốn tạo một khu rừng mới khi bạn cần một ranh giới bảo mật. Ví dụ: bạn có thể có một mạng vành đai (DMZ) mà bạn muốn quản lý bằng AD, nhưng bạn không muốn AD nội bộ của mình có sẵn trong mạng vành đai vì lý do bảo mật. Trong trường hợp này, bạn sẽ muốn tạo một khu rừng mới cho vùng an ninh đó. Bạn cũng có thể muốn tách biệt này nếu bạn có nhiều thực thể không tin tưởng lẫn nhau - ví dụ: một tập đoàn vỏ bao gồm các doanh nghiệp riêng lẻ hoạt động độc lập. Trong trường hợp này, bạn muốn mỗi thực thể có một khu rừng riêng.


Tên miền con

Thực sự, bạn không cần những thứ này nữa. Có một vài ví dụ điển hình khi bạn muốn có một miền con. Một lý do cũ là do các yêu cầu chính sách mật khẩu khác nhau, nhưng điều này không còn hiệu lực, vì có Chính sách mật khẩu hạt mịn có sẵn kể từ Server 2008. Bạn thực sự chỉ cần một miền con nếu bạn có các khu vực có kết nối mạng kém đáng kinh ngạc và bạn muốn để giảm đáng kể lưu lượng truy cập sao chép - một tàu du lịch có kết nối WAN vệ tinh là một ví dụ điển hình. Trong trường hợp này, mỗi tàu du lịch có thể là miền con riêng của họ, do đó, tương đối khép kín trong khi vẫn có thể tận dụng lợi ích của việc ở trong cùng một khu rừng như các tên miền khác từ cùng một công ty.


Cây

Đây là một quả bóng lẻ. Cây mới được sử dụng khi bạn muốn duy trì lợi ích quản lý của một khu rừng duy nhất nhưng có một miền trong không gian tên DNS mới. Ví dụ corp.example.comcó thể là gốc rừng, nhưng bạn có thể có ad.mdmarra.comtrong cùng một khu rừng bằng cách sử dụng một cây mới. Các quy tắc và đề xuất tương tự cho các miền con áp dụng ở đây - sử dụng chúng một cách tiết kiệm. Chúng thường không cần thiết trong các AD hiện đại.


Địa điểm

Một trang web phải thể hiện ranh giới vật lý hoặc logic trong mạng của bạn. Ví dụ, văn phòng chi nhánh. Các trang web được sử dụng để lựa chọn thông minh các đối tác sao chép cho bộ điều khiển miền ở các khu vực khác nhau. Nếu không xác định vị trí, tất cả các DC sẽ được xử lý như thể chúng ở cùng một vị trí vật lý và sao chép trong cấu trúc liên kết lưới. Trong thực tế, hầu hết các tổ chức được cấu hình theo kiểu trung tâm và nói, vì vậy các trang web và dịch vụ nên được định cấu hình để phản ánh điều này.

Các ứng dụng khác cũng sử dụng Trang web và Dịch vụ. DFS sử dụng nó để giới thiệu không gian tên và lựa chọn đối tác sao chép. Exchange và Outlook sử dụng nó để tìm danh mục toàn cầu "gần nhất" để truy vấn. Các máy tính gia nhập miền của bạn sử dụng nó để định vị (các) DC "gần nhất" để xác thực. Không có điều này, lưu lượng truy cập sao chép và xác thực của bạn giống như miền Tây hoang dã.


Đơn vị tổ chức

Chúng nên được tạo theo cách phản ánh nhu cầu ủy quyền của tổ chức bạn và ủy quyền chính sách nhóm. Nhiều tổ chức có một OU cho mỗi trang web, bởi vì họ áp dụng GPO theo cách đó - điều này thật ngớ ngẩn, bởi vì bạn cũng có thể áp dụng GPO cho một trang web từ Trang web và Dịch vụ. Các tổ chức khác tách OU theo bộ phận hoặc chức năng. Điều này có ý nghĩa đối với nhiều người, nhưng thực sự thiết kế OU phải đáp ứng nhu cầu của bạn và khá linh hoạt. Không có "một cách" để làm điều đó.

Một công ty đa quốc gia có thể có cấp cao nhất OU của North America, Europe, Asia, South America, Africađể họ có thể ủy quyền quản trị dựa trên lục địa. Các tổ chức khác có thể có cấp cao nhất OU của Human Resources, Accounting, Sales, vv nếu điều đó có ý nghĩa hơn đối với họ. Các tổ chức khác có nhu cầu chính sách tối thiểu và sử dụng bố cục "phẳng" chỉ Employee UsersEmployee Computers. Thực sự không có câu trả lời đúng ở đây, đó là bất cứ điều gì đáp ứng nhu cầu của công ty bạn.


1
Ai đó biết AD của anh ấy khá kỹ lưỡng .. +1
NickW

3
@NickW Câu hỏi về AD là nơi 72k của đại diện 72,9k của tôi có thể đến từ: D
MDMarra

2
Và vẫn là một bài viết tuyệt vời về Technet để đọc sau thời gian này: technet.microsoft.com/en-us/l Library / bb727030.aspx - một số phần đã được thay thế nhưng chắc chắn đáng đọc.
TheCleaner
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.