您當前位置: 唯學網 » 網絡工程師 » 綜合專題

網絡工程師安全穩固的AD和DNS架構知識點詳解

來源:唯學網•教育培訓(www.ddart-bg.com)  【唯學網 • 中國教育電子商務平臺】 加入收藏

如何實現AD和DNS架構穩定呢?AD出現問題50%是DNS所致,實現安全穩固的AD和DNS架構,大家可以看一下小編整理的這篇網絡工程師安全穩固的AD和DNS架構知識點詳解內容,希望以下方法可以幫到大家,更多網絡工程師知識點請點擊唯學網計算機培訓頻道。

AD出現問題50%是DNS所致,如果實現安全穩固的AD和DNS架構呢。

1、我們來回顧一下AD的安裝驗證

驗證AD的安裝

檢查如下創建:

(1)、SYSVOL和共享

(2)、目錄服務數據庫和相關日志

(3)、默認活動目錄結構

檢查相關的事件日志

使用Dcdiag和Netdiag命令

SRV(服務資源記錄)是服務和主機名之間做一個解析。

2、刪除一臺失效的DC,不能簡單的把服務拿走,因為在其它的DC仍然保留著這臺DC的信息。那么其它DC在復制的時候還會償試著去找這臺DC。

刪除一臺失效的DC

如果有兩個DC,DC1和DC2,如果DC2壞掉了,如果不在DC1上刪除DC2的相關信息,那么在數據復制時DC1還會償試去聯系DC2。那么就會出現復制錯誤,這是我們不愿意看到的。

如何在DC1上去刪除DC2

不需要進到目錄恢復模式,直接進到命令行。

使用ntdsutil這個工具

C:\>ntdsutil

ntdsutil:metadata cleanup(數據庫的清理)

metadata cleanup:connections(進入到連接工具)

metadata cleanup:connections(進入到一個特定域控制器)

server connections:connect to damain lab.com(首先我連接到我這個域上)

server connections:connect toserver lab-dc1.lab.com(再連接到我這臺服務器上)

server connections:quit(退到上一層目錄)

netadata cleanup:slesct operation target(要指定那臺DC無效了)

Slesct operation target:list current selections

Slesct operation target:list sites(要先看看當前計算機上都有那些站點)

Slesct operation target:select site 0(連接到其中的一個站點)

Slesct operation target:list servers in site(然后就可以看到有幾臺DC)

Slesct operation target:select server 1(1是代表壞掉的那臺服務器)

Slesct operation target:list current selections

Slesct operation target:quit

Netadata cleanup:remove

Dcdiag和Netdiag進行檢查,是否刪除干凈。

3、如果要實現安全穩固的AD和DNS架構我們必須先了解客戶端是如何找到DC的?

當client想要登錄到域中,他不并是直接找到DC,因為他并不知道誰是DC,那它會首先去查看DNS服務器,通過DNS解析SRV資源記錄,他會向 SRV記錄去查詢,誰是當前網絡的DC,如果有SRV記錄,client就會得到一個DC的地址,然后去訪問DC.如果DNS里沒SRV記錄或SRV記錄不正確,那么我們的client是無法聯系到我們的DC的.

SRV叫服務資源記錄,這種格式記錄的意義在于,將我們計算機服務和主機名之間做一個解析.在DNS中的SRV記錄是當每臺DC在啟動時,他會去注冊自己的SRV記錄.就是說:當管理員打開每臺DC時,DC就會向他的DNS服務器去宣布我這臺計算機究竟會做什么.他就會把他會做的寫到DNS里去了.這樣一個過程了.

4、如果想實現兩臺DC的冗余,那么兩臺DC都必須安裝DNS服務,需要注意的是,DC1是AD的集成區域,那么在DC2上也建個AD的集成區域就可以了.

DNS的幾個區域

主要區域:可以讀可以寫

輔助區域:為了實現冗余都會建好多輔助區域,輔助區域所有的信息都是從主要區域里復制過來的,如果主要區域壞了,輔助區域仍然可以提供查詢,但不能再向區域里寫任何信息了.所以微軟在AD的布置當中,DNS即不用主要區域也不用輔助區域,用AD的集成區域,好處就是兩臺DC以蠖紀筆荄NS,并且如果有某一臺DNS發生了修改,DNS會去互相同步,也就是說,DNS從原來的主從關系,變成了現在這種平行的關系.到現在才可以說,我們的DNS是帶有冗余的,還可以說不管現在的DC任何一臺關掉,不會影響我的一個DNS應用.

5、我們再了解一下活動目錄的維護

(1)AD數據庫的修改過程(讀寫過程)

例:我們到AD上去添加個用戶,修改等事件

它首先會把這個事件做一個初始化,并且把它寫到內存里的一個緩沖區里,然后呢它并不是直接來寫數據庫(Ntds.dit),而是內存寫好后它會去寫 EDB.log(每天發生的事,所做的事都會被EDB.log記住),寫完EDB.log才會把事件寫到AD數據庫(Ntds.dit)里面去,之后這個事件會被寫到另外一個文件也就是最后一個文件Edb.chk,當Edb.chk寫完后,就認為這此的修改過程就完成了.

EDB.log and Ntds.dit那個文件會更大一些?

EDB.log會更大一些,例如,新添加一個用戶XY,它會寫到EDB.log里面,也會寫到Ntds.dit中,但如果刪除了XY這個用戶,那么 EDB.log里面還會寫進XY這個用戶被刪除了,是一直增加的,而Ntds.dit在XY刪除的時候,這條信息將被刪除,數據庫會減小.

EDB.log這個文件不會一直變大,只要寫滿了10M就會自動改名為EDB000001.log(正常的做法是,我們把這個文件永久保存,但也可以把這個文件刪掉)并釋放一個空文件.

跟EDB.log一起還有兩個文件res1.log和res2.log,是為了避免用戶磁盤空間不夠,倒至AD讀寫不完整,如果磁盤空間不夠的話,AD首先會想到,把這兩個文件刪掉.刪掉后又有了20M空間,用這20M空間去讀寫.

6、如何移動AD數據庫和日志(在進行之間一定要把數據庫做備份)

為什么會移動:1、磁盤空間不夠了2、出于安全的考慮。

進行到目錄回復模式

C:>ntdsutil

Ntdsutil:files(因為是對文件進行操作,所以要進入files模式的維護)

File maintenance:move db to d:\ad(把AD數據庫移動到D盤下ad folder)

File maintenance:move logs to d:\ad(把AD日志文件移動到D盤下ad folder)

為什么這兩個位置可以單獨進行維護,我們在一個要求高可用性,高可靠性的AD當中,把AD中的DB和EDB .log分別存儲在兩個不同的磁盤上,或者不同的邏輯驅動器上,那么可以分別的對它們進行安全性的實施,另外一方面我們可以提高性能。

如何對AD數據庫進行碎片整理. (在進行之間一定要把數據庫做備份)

這個問題是很多人在做一個AD穩固過程當中,是一個比較容易忽視和忽略的一個問題,其實AD和磁盤一樣,AD也會因為頻繁的讀寫,高度負荷,產生一些碎片,也需要碎片整理的。(在一個服務器上會否經常的做磁盤的整理?不應該經常整理磁盤,如果你在服務器上經常整理磁盤的話,在整理的過程就會對你服務器的數據產生一個不好的影響,但是你對服務器的磁盤做了整理,仍然不能解決AD數據庫碎片的問題,因為正常的磁盤整理,AD的數據庫是不整理的)建議每年或每兩年進行整理,但是必須做backup,因為這個整理是有風險的。

AD的整理其實就是把數據庫全部copy出來,再重新去寫一個文件。

進行到目錄回復模式

C:>ntdsutil

Ntdsutil:files(因為是對文件進行操作,所以要進入files模式的維護)

File maintenance:compact to d:\ad(把AD數據庫放到D盤的ad folder)

在D盤AD folder會產生一個新的整理后的數據庫,然后把這個新數據庫copy到原來數據庫的位置,替換原來的文件。數據庫會變小的,查詢性能會變高的。

建議:在真實的環境中,不要同時做多個跟AD相關的管理工作,如果太多的話,會倒至AD出來故障。

7、AD數據庫的備份

System state data

系統狀態的備份是個非常重要的備份,我們的建議是我們每個服務器的管理員,都應該定期的每周去備份系統狀態信息。大小在700M左右。

Ntbackup(不用進入到目錄還原模式)

操作主控的介紹

雖然有多臺DC,但不是真的關掉那一臺都可以。

為了避免兩臺都做主,某些工作必須由某一臺來完成。

Schema Master(森林中的第一臺DC)

AD最核心的就是schema master,如果不在了,就不能擴展schema master,就沒法去裝Exchange等了。

Domain naming master(森林中的第一臺DC)

當我想住我的森林中添加一個域樹或者添加一個子域的時候,那么Domain naming master負責去檢查,你想要加進來這個域的名稱和原來域的名稱是不是有沖突的。如果有沖突,Domain naming master將拒絕新域的加入,如果它不在了,將倒至不能添加子域和域樹的。

PDC Emulator(每個域的第一臺DC)

1、域內的時間差不能超過5分鐘,默認所有的 其它的DC還有client都會聯系到PDC上去同步時間。

2、組策略為了避免沖突,必須在有PDC的時候才可以打開。

RID master每個域的第一臺DC)

沒有RID master我們的域是沒辦法去建用戶的。

Infrastructure master每個域的第一臺DC)

什么是權限委派?

1、 權限的分級管理

2、 通過委派實現

(1) 管理自治

(2) 服務的獨立

用MMC為網管設計一個管理工具。

在建第二臺DC的時候,就建一個跟AD一樣的區域,然后打開AD集成動態更新,在DC同步的時候,他們就會自己同步了。

手動DC同步,在站點和服務上就可以讓兩臺DC或多臺DC進行同步。

更多網絡工程師知識點及資訊,如網絡工程師考試內容、網絡工程師考試試題等,請隨時關注唯學網計算機培訓欄目網絡工程師培訓頻道,小編會第一時間為大家更新跟進最新內容。如有任何疑問也可在線留言,小編會為您在第一時間解答!

0% (0)
0% (10)
已有條評論
新聞瀏覽排行