《microsoftit活动目录概要》由会员分享,可在线阅读,更多相关《microsoftit活动目录概要(33页珍藏版)》请在金锄头文库上搜索。
1、MicrosoftIT活动目录管理概要Stillwatersrundeep.流静水深流静水深,人静心深人静心深Wherethereislife,thereishope。有生命必有希望。有生命必有希望主要议题主要议题如何处理重要变更如何处理重要变更?灾难恢复策略灾难恢复策略域控制器的部署域控制器的部署AD的配置和的配置和Exchange怎样使用怎样使用64-位位域控制器域控制器?域控制器的监视和管理域控制器的监视和管理怎样使用本演讲内容怎样使用本演讲内容微软的IT环境(或许)跟您的企业IT环境有很大不同并非所有推荐做法适用于您的环境并非所有推荐做法适用于您的环境Look for the “gol
2、den nuggets” that will help you未包括的内容: 策略, 委派, 安全TokyoTokyoDublinDublinSingaporeSingaporeRedmondRedmond每天每天每天每天3M+3M+内部往来内部往来内部往来内部往来e-maile-mail99.99%99.99%可用性可用性可用性可用性89,00089,000最终用户最终用户最终用户最终用户8383国家国家国家国家/ /地区地区地区地区300,000+300,000+PCPC和智能终端和智能终端和智能终端和智能终端10GBAD10GBAD数据库数据库数据库数据库MicrosoftIT环境一览环
3、境一览403403办公大楼办公大楼办公大楼办公大楼每月每月每月每月9.5M+9.5M+远程连接远程连接远程连接远程连接HowDoesMicrosoftITManageSignificantChanges?DoDisasterRecovery?DeployDomainControllers?ConfigureADforExchange?Use64-bitDomainControllers?MonitorandMaintainDCs?管理重要变更管理重要变更变更的例子变更的例子域森林功能模式的变化域森林功能模式的变化域森林功能模式的变化域森林功能模式的变化ForestprepForestprep或
4、或或或 DomainprepDomainprepSchemaSchema变更变更变更变更测试测试推荐作实验室测试推荐作实验室测试推荐作实验室测试推荐作实验室测试建立并记录测试过程建立并记录测试过程建立并记录测试过程建立并记录测试过程一次只处理一个重要变更一次只处理一个重要变更一次只处理一个重要变更一次只处理一个重要变更方法方法离线域控制器离线域控制器离线域控制器离线域控制器在私有网络上测试变更在私有网络上测试变更在私有网络上测试变更在私有网络上测试变更管理不确定性管理不确定性离线域控制器离线域控制器l l比用备份数据恢复比用备份数据恢复比用备份数据恢复比用备份数据恢复DCDC更为快速更为快速更
5、为快速更为快速l l把一个把一个把一个把一个 DCDC移出网络移出网络移出网络移出网络l l用它作为种子恢复森用它作为种子恢复森用它作为种子恢复森用它作为种子恢复森林域林域林域林域l l当变更生效后,继续当变更生效后,继续当变更生效后,继续当变更生效后,继续保持离线状态保持离线状态保持离线状态保持离线状态 48-7248-72小时小时小时小时l l应尽可能使用应尽可能使用应尽可能使用应尽可能使用DCDC而非而非而非而非 GCGCl l确保你可以正确登录确保你可以正确登录确保你可以正确登录确保你可以正确登录! !ProductionProductionForestForestX XX XX XS
6、outhSouthAmericaAmericaNorthNorthAmericaAmericaRedmondRedmondCorporateCorporateProductionProductionPrivateNetworkPrivateNetwork管理不确定性管理不确定性逐层剥离法逐层剥离法SouthSouthSouthAmericaAmericaAmericaNorthNorthNorthAmericaAmericaAmericaRedmondRedmondRedmondCorporateCorporateSouthSouthAmericaAmericaNorthNorthAmeric
7、aAmericaRedmondRedmondCorporateCorporateProductionProductionPrivateNetworkPrivateNetworkStep1Step1Step1Step1管理不确定性管理不确定性逐层剥离法逐层剥离法Step1Step1Step1Step1SouthSouthSouthAmericaAmericaAmericaNorthNorthNorthAmericaAmericaAmericaRedmondRedmondRedmondCorporateCorporateSouthSouthAmericaAmericaNorthNorthAmeri
8、caAmericaRedmondRedmondCorporateCorporateProductionProductionPrivateNetworkPrivateNetworkStep1Step1Step2Step2ChangeChangeStep1Step1管理不确定性管理不确定性逐层剥离法逐层剥离法Step1Step1Step1Step1SouthSouthSouthAmericaAmericaAmericaNorthNorthNorthAmericaAmericaAmericaRedmondRedmondRedmondCorporateCorporateSouthSouthAmeric
9、aAmericaNorthNorthAmericaAmericaRedmondRedmondCorporateCorporateProductionProductionPrivateNetworkPrivateNetworkStep1Step1Step2Step2ChangeChangeStep1Step1ManagingUncertaintyPeelOffMethodStep1Step1Step1Step1SouthSouthSouthAmericaAmericaAmericaNorthNorthNorthAmericaAmericaAmericaRedmondRedmondRedmondC
10、orporateCorporateStep3Step3管理不确定性管理不确定性逐层剥离法逐层剥离法私有网络配置私有网络配置DNSDNS变化变化变化变化SeizeFSMOroles(ifnecessary)SeizeFSMOroles(ifnecessary)DontseizetheRIDMasterDontseizetheRIDMasterIPIP配置变化配置变化配置变化配置变化复制连接目标复制连接目标复制连接目标复制连接目标变更被复制变更被复制变更被复制变更被复制! !( (包括那些在私有网络上的变更包括那些在私有网络上的变更包括那些在私有网络上的变更包括那些在私有网络上的变更) )HowD
11、oesMicrosoftITManageSignificantChanges?DoDisasterRecovery?DeployDomainControllers?ConfigureADforExchange?Use64-bitDomainControllers?MonitorandMaintainDCs?活动目录的服务恢复活动目录的服务恢复目标目标:最小化服务器故障引发的影响最小化服务器故障引发的影响业务的不间断性构建于业务的不间断性构建于精确掌握场点分布的拓扑结构精确掌握场点分布的拓扑结构精确掌握场点分布的拓扑结构精确掌握场点分布的拓扑结构对核心场点使用对核心场点使用对核心场点使用对核心场
12、点使用 DNSAvoidRegisterRecordsDNSAvoidRegisterRecords 配置配置配置配置 DNSDNS记录记录记录记录 (Q306602)(Q306602)远程重构远程重构所有本地域控制器配备远程管理板卡所有本地域控制器配备远程管理板卡所有本地域控制器配备远程管理板卡所有本地域控制器配备远程管理板卡InstallFromMediapromotionsInstallFromMediapromotionsOndisksystemstatebackupviaATjobwithaOndisksystemstatebackupviaATjobwithabatchfileca
13、llingNTBackupbatchfilecallingNTBackup森林恢复森林恢复目标目标目标目标:在灾难发生时能用最短时间恢复到森林的正常在灾难发生时能用最短时间恢复到森林的正常在灾难发生时能用最短时间恢复到森林的正常在灾难发生时能用最短时间恢复到森林的正常工作状态工作状态工作状态工作状态Minimizetimeto“rollback”theforestinMinimizetimeto“rollback”theforestincaseofcatastrophicfailurecaseofcatastrophicfailure记录并演练森林域恢复记录并演练森林域恢复记录并演练森林域恢复
14、记录并演练森林域恢复至少要事前通读相关白皮书的内容至少要事前通读相关白皮书的内容至少要事前通读相关白皮书的内容至少要事前通读相关白皮书的内容应考虑到每个域中至少有一台应考虑到每个域中至少有一台应考虑到每个域中至少有一台应考虑到每个域中至少有一台DC(non-GC)DC(non-GC)需要需要需要需要恢复恢复恢复恢复 确保主要的应用软件维护人了解并测试森林域恢确保主要的应用软件维护人了解并测试森林域恢确保主要的应用软件维护人了解并测试森林域恢确保主要的应用软件维护人了解并测试森林域恢复动作。复动作。复动作。复动作。遵循先恢复根遵循先恢复根遵循先恢复根遵循先恢复根/ /父节点域父节点域父节点域父节
15、点域, ,然后恢复子节点域的原然后恢复子节点域的原然后恢复子节点域的原然后恢复子节点域的原则,以确保完整的信任关系不被破坏则,以确保完整的信任关系不被破坏则,以确保完整的信任关系不被破坏则,以确保完整的信任关系不被破坏数据恢复数据恢复把关键业务数据置放于把关键业务数据置放于AD之外之外一旦森林需要恢复,这些关键数据可以重新发一旦森林需要恢复,这些关键数据可以重新发一旦森林需要恢复,这些关键数据可以重新发一旦森林需要恢复,这些关键数据可以重新发布布布布可以确保数据在多森林域环境中的一致性可以确保数据在多森林域环境中的一致性可以确保数据在多森林域环境中的一致性可以确保数据在多森林域环境中的一致性M
16、IISMIIS支持与多个管理工具的同步支持与多个管理工具的同步支持与多个管理工具的同步支持与多个管理工具的同步 (e.g.,Via(e.g.,ViaSQL,etc.)SQL,etc.)附加的业务好处附加的业务好处附加的业务好处附加的业务好处审计审计审计审计, ,跟踪跟踪跟踪跟踪, ,识别变更识别变更识别变更识别变更业务规则业务规则业务规则业务规则/ /逻辑逻辑逻辑逻辑 强化执行强化执行强化执行强化执行通过角色委派通过角色委派通过角色委派通过角色委派/ /分离提高了安全保障分离提高了安全保障分离提高了安全保障分离提高了安全保障HowDoesMicrosoftITManageSignificant
17、Changes?DoDisasterRecovery?DeployDomainControllers?ConfigureADforExchange?Use64-bitDomainControllers?MonitorandMaintainDCs? DC部署安排部署安排接受每年两次审核接受每年两次审核考略业务应用软件的需求考略业务应用软件的需求网络考略因素网络考略因素大于大于大于大于 99.5%99.5%的可用性的可用性的可用性的可用性小于小于小于小于 90%90%的平均使用率的平均使用率的平均使用率的平均使用率小于小于小于小于 750ms750ms的往返包延迟的往返包延迟的往返包延迟的往返包延
18、迟带宽大于带宽大于带宽大于带宽大于 512Kbps512Kbps场点分类场点分类员工数员工数员工数员工数用户类型用户类型用户类型用户类型把域控制器集中到数据中心把域控制器集中到数据中心把域控制器集中到数据中心把域控制器集中到数据中心 DC集中管理集中管理区域集中计划区域集中计划区域性数据中心整合集中区域性数据中心整合集中区域性数据中心整合集中区域性数据中心整合集中应用软件的整合集中应用软件的整合集中应用软件的整合集中应用软件的整合集中考略与区域用户的服务级别和性能级别协议规考略与区域用户的服务级别和性能级别协议规考略与区域用户的服务级别和性能级别协议规考略与区域用户的服务级别和性能级别协议规定
19、定定定主工作森林主工作森林整合前整合前整合前整合前218218域控制器域控制器域控制器域控制器133133场点场点场点场点整合后整合后整合后整合后138138域控制器域控制器域控制器域控制器 ( (减少了减少了减少了减少了37%)37%)6464场点场点场点场点HowDoesMicrosoftITManageSignificantChanges?DoDisasterRecovery?DeployDomainControllers?ConfigureADforExchange?Use64-bitDomainControllers?MonitorandMaintainDCs?针对针对Exchang
20、e配置活动目录配置活动目录纯粹纯粹Exchange2003和和Office2003环境环境Outlook2003Outlook2003缓存模式缓存模式缓存模式缓存模式 全球全球4个个Exchange中心中心为总部为总部为总部为总部 RedmondRedmond的的的的ExchangeExchange服务器专门设计服务器专门设计服务器专门设计服务器专门设计了一个场点了一个场点了一个场点了一个场点其他其他其他其他33个地点个地点个地点个地点 DCDC同时承担认证职能同时承担认证职能同时承担认证职能同时承担认证职能什么时间需要专门的场点什么时间需要专门的场点(Sites)从无开始从无开始服务器数量增
21、加服务器数量增加服务器数量增加服务器数量增加IncreasessecurityfootprintIncreasessecurityfootprint附加的管理负荷附加的管理负荷附加的管理负荷附加的管理负荷应用软件需求应用软件需求应用软件的性能要求专用的硬件支持应用软件的性能要求专用的硬件支持网络需求网络需求业务需求业务需求出错恢复出错恢复出错恢复出错恢复, ,容错容错容错容错, ,冗余备份冗余备份冗余备份冗余备份, ,可用性可用性可用性可用性HowDoesMicrosoftITManageSignificantChanges?DoDisasterRecovery?DeployDomainCon
22、trollers?ConfigureADforExchange?Use64-bitDomainControllers?MonitorandMaintainDCs?64-位域控制器部署概要位域控制器部署概要2002.10上线上线3台台IA64服务器服务器2004.12上线上线12台台AMD64服务器服务器2005.6部署另外部署另外12台台AMD64服务器和服务器和24台台EM64T服务器服务器显著改进了查询为主的应用软件性能显著改进了查询为主的应用软件性能(如如Exchange)对认证业务的性能改进不大对认证业务的性能改进不大此类业务的性能提高更多取决于增加新服务器,此类业务的性能提高更多取决
23、于增加新服务器,此类业务的性能提高更多取决于增加新服务器,此类业务的性能提高更多取决于增加新服务器,升级更快速的升级更快速的升级更快速的升级更快速的CPUCPU。内存增加对此影响不大。内存增加对此影响不大。内存增加对此影响不大。内存增加对此影响不大。只在出现只在出现3GBDIT文件的域中部署文件的域中部署64位域位域控制器控制器服务器服务器所有域控制器遵从标准化的软硬件配置所有域控制器遵从标准化的软硬件配置新的服务器全部为新的服务器全部为新的服务器全部为新的服务器全部为6464位位位位t t尽可能减少可能的服务器功能分类尽可能减少可能的服务器功能分类MinimumnumberofSKUspos
24、sible个可能的服务器分类个可能的服务器分类个可能的服务器分类个可能的服务器分类区域性区域性区域性区域性, ,非非非非ExchangeExchange服务服务服务服务 (EM64T)(EM64T)数据中心数据中心数据中心数据中心, ,支持支持支持支持ExchangeExchange服务服务服务服务 (AMD64)(AMD64)4年硬件更新周期年硬件更新周期同样的基础配置同样的基础配置,当技术发生变化时按照需当技术发生变化时按照需求进行更新求进行更新HowDoesMicrosoftITManageSignificantChanges?DoDisasterRecovery?DeployDomai
25、nControllers?ConfigureADforExchange?Use64-bitDomainControllers?MonitorandMaintainDCs?服务器配置服务器配置LDAPPolicies(Q315071)LDAPPolicies(Q315071)MaxQueryDurationsetto45(default=120)MaxQueryDurationsetto45(default=120)MaxActiveQueriessetto32(default=20)MaxActiveQueriessetto32(default=20)NTDSDiagnosticsregist
26、rykeyNTDSDiagnosticsregistrykey“15FieldEngineering”setto“5”“15FieldEngineering”setto“5”Logseventsforexpensive/inefficientqueriesLogseventsforexpensive/inefficientqueries“6GarbageCollection”setto“1”“6GarbageCollection”setto“1”LogseventsfordatabasesizeandwhitespaceLogseventsfordatabasesizeandwhitespac
27、eNetlogonParametersregistrykeyNetlogonParametersregistrykeyLdapSrvPriorityandLdapSrvWeightLdapSrvPriorityandLdapSrvWeightIsolatingorloadbalancinghardwareIsolatingorloadbalancinghardware 监视性能监视性能收集历史性能数据收集历史性能数据收集历史性能数据收集历史性能数据诊断问题诊断问题诊断问题诊断问题规划容量规划容量规划容量规划容量整合域控制器整合域控制器整合域控制器整合域控制器新的部署新的部署新的部署新的部署周期
28、性运行服务器性能顾问软件周期性运行服务器性能顾问软件周期性运行服务器性能顾问软件周期性运行服务器性能顾问软件RunServerRunServerPerformanceAdvisorperiodicallyPerformanceAdvisorperiodically配置统一的编辑配置统一的编辑配置统一的编辑配置统一的编辑/ /报告服务器作为中心存储设施报告服务器作为中心存储设施报告服务器作为中心存储设施报告服务器作为中心存储设施每天在业务繁忙时段收集性能快照数据并保留他们作基准性能参每天在业务繁忙时段收集性能快照数据并保留他们作基准性能参每天在业务繁忙时段收集性能快照数据并保留他们作基准性能参每
29、天在业务繁忙时段收集性能快照数据并保留他们作基准性能参考考考考当服务器正常运行时生成基准报告当服务器正常运行时生成基准报告当服务器正常运行时生成基准报告当服务器正常运行时生成基准报告不要让不要让不要让不要让DCDC持续在超过持续在超过持续在超过持续在超过60%CPU60%CPU利用率状态下运行利用率状态下运行利用率状态下运行利用率状态下运行平均平均平均平均30-40%30-40%的的的的CPUCPU利用率是我们的目标利用率是我们的目标利用率是我们的目标利用率是我们的目标“ “正常正常正常正常” ”状态状态状态状态平均平均平均平均 50%50%的的的的CPUCPU利用率或不断增长的趋势利用率或不
30、断增长的趋势利用率或不断增长的趋势利用率或不断增长的趋势 需要审核服务器容需要审核服务器容需要审核服务器容需要审核服务器容量量量量复制复制让让让让 KCCKCC帮你管理复制环境帮你管理复制环境帮你管理复制环境帮你管理复制环境WindowsServer2003WindowsServer2003的改进算法使你根本无需利用手工连接的改进算法使你根本无需利用手工连接的改进算法使你根本无需利用手工连接的改进算法使你根本无需利用手工连接借助场点和子网的划分及作用力精细控制复制借助场点和子网的划分及作用力精细控制复制借助场点和子网的划分及作用力精细控制复制借助场点和子网的划分及作用力精细控制复制Levera
31、geLeveragethepowerofsites&subnetsforgranularcontrolofthepowerofsites&subnetsforgranularcontrolofreplicationreplicationFaithfultotheLAN=sitedefinitionsFaithfultotheLAN=sitedefinitions让你的复制拓扑与网络拓扑保持一致让你的复制拓扑与网络拓扑保持一致让你的复制拓扑与网络拓扑保持一致让你的复制拓扑与网络拓扑保持一致KeepyourreplicationKeepyourreplicationtopologytruetoyo
32、urnetworktopology.topologytruetoyournetworktopology.越来越多的应用软件在参考这一原则越来越多的应用软件在参考这一原则越来越多的应用软件在参考这一原则越来越多的应用软件在参考这一原则 (SMS,DFS,etc)(SMS,DFS,etc)Repadmin.exeRepadmin.exe学习他学习他学习他学习他, ,喜欢他喜欢他喜欢他喜欢他, ,利用它利用它利用它利用它repadmin/replsum/bysrc/bydest/sort:deltahealthcheckrepadmin/replsum/bysrc/bydest/sort:delta
33、healthcheckrepadmin/showrepl*/csvImportintoExcelrepadmin/showrepl*/csvImportintoExcelrepadmin/options*+disable_inbound_replrepadmin/options*+disable_inbound_repl监视监视FRSDeployUltrasoundtomonitorFRSWatchoutforSharingViolations.TheyareWatchoutforSharingViolations.Theyarethemostcommonproblemthemostcommo
34、nproblemUsuallycausedbyincorrectpermissionsinUsuallycausedbyincorrectpermissionsinSYSVOLorApplicationsopeningSYSVOLwithSYSVOLorApplicationsopeningSYSVOLwithincorrectpermissionsincorrectpermissionsWatchformanglednamedfilesfoldersWatchformanglednamedfilesfolders“ntfrs_xxxxx”,“scripts_xxxxx”“ntfrs_xxxx
35、x”,“scripts_xxxxx”UsetheUltrasoundmanagementpackforMicrosoftOperationsManager(MOM)easemonitoringHowDoesMicrosoftITManageSignificantChanges?DoDisasterRecovery?DeployDomainControllers?ConfigureADforExchange?Use64-bitDomainControllers?MonitorandMaintainDCs?ResourcesMicrosoftITShowcase:http:/ ADForestRecoveryWhitePaper:http:/
