tra-loi-cau-hoi-phat-trien-web.com

Dịch vụ miền Active Directory là gì và nó hoạt động như thế nào?

Đây là một Câu hỏi Canonical về Dịch vụ miền Active Directory (AD DS).

Active Directory là gì? Nó làm gì và hoạt động như thế nào?

Active Directory được tổ chức như thế nào: Rừng, Miền con, Cây, Trang web hoặc O


Tôi thấy mình giải thích một số điều tôi cho là kiến ​​thức phổ biến về nó gần như hàng ngày. Câu hỏi này, hy vọng, sẽ phục vụ như một câu hỏi và câu trả lời chính tắc cho hầu hết các câu hỏi Active Directory cơ bản. Nếu bạn cảm thấy rằng bạn có thể cải thiện câu trả lời cho câu hỏi này, vui lòng chỉnh sửa đi.

149
MDMarra

Active Directory là gì?

Dịch vụ miền Active Directory là Máy chủ thư mục của Microsoft. Nó cung cấp các cơ chế xác thực và ủy quyền cũng như một khung trong đó các dịch vụ liên quan khác có thể được triển khai (Dịch vụ chứng chỉ quảng cáo, Dịch vụ liên kết quảng cáo, v.v.). Đó là một cơ sở dữ liệu tuân thủ [~ # ~] ldap [~ # ~] có chứa các đối tượng. Các đối tượng thường được sử dụng là người dùng, máy tính và nhóm. Các đối tượng này có thể được tổ chức thành các đơn vị tổ chức (OU) theo bất kỳ số lượng nhu cầu logic hoặc kinh doanh nào. Đối tượng chính sách nhóm (GPO) sau đó có thể được liên kết với các OU để tập trung cài đặt cho nhiều người dùng hoặc máy tính khác nhau trong một tổ chức.

Khi mọi người nói "Active Directory", họ thường đề cập đến "Dịch vụ miền Active Directory". Điều quan trọng cần lưu ý là có các vai trò/sản phẩm Active Directory khác như Dịch vụ chứng chỉ, Dịch vụ liên kết, Dịch vụ thư mục nhẹ, Dịch vụ quản lý quyền, v.v. Câu trả lời này đề cập cụ thể đến Dịch vụ miền Active Directory.

Một miền là gì và một khu rừng là gì?

Một khu rừng là một ranh giới an ninh. Các đối tượng trong các khu rừng riêng biệt không thể tương tác với nhau, trừ khi các quản trị viên của từng khu rừng riêng biệt tạo ra một niềm tin giữa chúng. Ví dụ: tài khoản Quản trị viên doanh nghiệp cho domain1.com, Thường là tài khoản đặc quyền nhất của một khu rừng, sẽ không có quyền nào trong khu rừng thứ hai có tên domain2.com, Ngay cả khi những khu rừng đó tồn tại trong cùng một mạng LAN, trừ khi có một sự tin tưởng tại chỗ.

Nếu bạn có nhiều đơn vị kinh doanh rời rạc hoặc có nhu cầu về ranh giới bảo mật riêng biệt, bạn cần nhiều khu rừng.

Một miền là một ranh giới quản lý. Tên miền là một phần của một khu rừng. Miền đầu tiên trong một khu rừng được gọi là miền gốc rừng. Trong nhiều tổ chức vừa và nhỏ (và thậm chí một số tổ chức lớn), bạn sẽ chỉ tìm thấy một tên miền duy nhất trong một khu rừng. Miền gốc rừng xác định không gian tên mặc định cho rừng. Ví dụ: nếu tên miền đầu tiên trong một khu rừng mới được đặt tên domain1.com, Thì đó là tên miền gốc của khu rừng. Ví dụ: nếu bạn có nhu cầu kinh doanh cho một tên miền con - một văn phòng chi nhánh ở Chicago, bạn có thể đặt tên cho tên miền con chi. [~ # ~] fqdn [~ # ~] của tên miền con sẽ là chi.domain1.com. Bạn có thể thấy rằng tên miền con đã được đặt trước tên miền gốc rừng. Đây thường là cách nó hoạt động. Bạn có thể có các không gian tên khác nhau trong cùng một khu rừng, nhưng đó là một loại giun hoàn toàn riêng biệt trong một thời gian khác nhau.

Trong hầu hết các trường hợp, bạn sẽ muốn thử và làm mọi thứ có thể để có một miền AD duy nhất. Nó đơn giản hóa việc quản lý và các phiên bản hiện đại của AD giúp cho việc ủy ​​quyền kiểm soát dựa trên OU rất dễ dàng, giúp giảm bớt nhu cầu đối với các miền con.

Tôi có thể đặt tên miền của mình bất cứ điều gì tôi muốn, phải không?

Không hẳn vậy. dcpromo.exe, Công cụ xử lý việc quảng cáo máy chủ thành DC không phải là bằng chứng ngu ngốc. Nó không cho phép bạn đưa ra quyết định xấu với việc đặt tên của bạn, vì vậy hãy chú ý đến phần này nếu bạn không chắc chắn. (Chỉnh sửa: dcpromo không dùng nữa trong Máy chủ 2012. Sử dụng lệnh ghép ngắn Install-ADDSForest PowerShell hoặc cài đặt AD DS từ Trình quản lý máy chủ.)

Trước hết, không sử dụng các TLD đã tạo thành như .local, .lan, .corp hoặc bất kỳ thứ tào lao nào khác. Những TLD đó được không dành riêng. ICANN hiện đang bán TLD, vì vậy mycompany.corp Mà bạn đang sử dụng hôm nay thực sự có thể thuộc về ai đó vào ngày mai. Nếu bạn sở hữu mycompany.com, Thì điều thông minh cần làm là sử dụng một cái gì đó như internal.mycompany.com Hoặc ad.mycompany.com Cho tên AD nội bộ của bạn. Nếu bạn sử dụng mycompany.com Làm trang web có thể phân giải bên ngoài, bạn cũng nên tránh sử dụng tên đó làm tên AD nội bộ của mình, vì bạn sẽ kết thúc bằng DNS tách rời.

Bộ kiểm soát miền và Danh mục toàn cầu

Một máy chủ đáp ứng các yêu cầu xác thực hoặc ủy quyền là Bộ điều khiển miền (DC). Trong hầu hết các trường hợp, Bộ điều khiển miền sẽ giữ một bản sao của Danh mục toàn cầu . Danh mục toàn cầu (GC) là một bộ các đối tượng trong tất cả tên miền trong một khu rừng. Nó có thể tìm kiếm trực tiếp, điều đó có nghĩa là các truy vấn tên miền chéo thường có thể được thực hiện trên một GC mà không cần giới thiệu đến DC trong miền đích. Nếu một DC được truy vấn trên cổng 3268 (3269 nếu sử dụng SSL), thì GC sẽ được truy vấn. Nếu cổng 389 (636 nếu sử dụng SSL) được truy vấn, thì truy vấn LDAP tiêu chuẩn đang được sử dụng và các đối tượng hiện có trong các miền khác có thể yêu cầu giới thiệu .

Khi người dùng cố gắng đăng nhập vào máy tính được kết nối với AD bằng thông tin đăng nhập AD của họ, kết hợp tên người dùng và mật khẩu được băm và băm được gửi đến DC cho cả tài khoản người dùng và tài khoản máy tính đăng nhập. Có, máy tính đăng nhập quá. Điều này rất quan trọng, bởi vì nếu điều gì đó xảy ra với tài khoản máy tính trong AD, như ai đó đặt lại tài khoản hoặc xóa nó, bạn có thể gặp lỗi nói rằng mối quan hệ tin cậy không tồn tại giữa máy tính và miền. Mặc dù thông tin mạng của bạn vẫn ổn, máy tính không còn đáng tin cậy để đăng nhập vào miền.

Mối quan tâm sẵn có của bộ điều khiển miền

Tôi nghe thấy "Tôi có Bộ điều khiển miền chính (PDC) và muốn cài đặt Bộ điều khiển miền sao lưu (BDC)" thường xuyên hơn mà tôi muốn tin. Khái niệm về PDC và BDC đã chết với Windows NT4. Pháo đài cuối cùng cho các PDC là trong chế độ hỗn hợp chuyển tiếp AD của Windows 2000 khi bạn vẫn còn các DC NT4 xung quanh. Về cơ bản, trừ khi bạn hỗ trợ cài đặt trên 15 năm chưa bao giờ được nâng cấp, bạn thực sự không có PDC hoặc BDC, bạn chỉ có hai bộ điều khiển miền.

Nhiều DC có khả năng trả lời các yêu cầu xác thực từ những người dùng và máy tính khác nhau cùng một lúc. Nếu một lần thất bại, thì những người khác sẽ tiếp tục cung cấp dịch vụ xác thực mà không phải thực hiện một "chính" như bạn phải làm trong những ngày NT4. Cách tốt nhất là có ít nhất hai DC trên mỗi miền. Các DC này đều phải giữ một bản sao của GC và cả hai đều phải là máy chủ DNS giữ một bản sao của các vùng DNS tích hợp Active Directory cho miền của bạn.

Vai trò của FSMO

"Vì vậy, nếu không có PDC, tại sao lại có vai trò PDC mà chỉ một DC có thể có?"

Tôi nghe điều này rất nhiều. Có một Trình giả lập PDC vai trò. Nó khác với việc là một PDC. Trên thực tế, có 5 vai trò Hoạt động chính đơn linh hoạt (FSMO) . Đây cũng được gọi là vai trò Operations Master. Hai thuật ngữ có thể thay thế cho nhau. Họ là gì và họ làm gì? Câu hỏi hay! 5 vai trò và chức năng của chúng là:

Bậc thầy đặt tên miền - Chỉ có một Tên miền đặt tên chính cho mỗi khu rừng. Master Naming Domain đảm bảo rằng khi một tên miền mới được thêm vào một khu rừng thì nó là duy nhất. Nếu máy chủ giữ vai trò này ngoại tuyến, bạn sẽ không thể thay đổi không gian tên AD, bao gồm những thứ như thêm tên miền con mới.

Schema Master - Chỉ có một Schema Operations Master trong một khu rừng. Nó chịu trách nhiệm cập nhật Lược đồ Active Directory. Các tác vụ yêu cầu điều này, chẳng hạn như chuẩn bị AD cho phiên bản Windows Server mới hoạt động dưới dạng DC hoặc cài đặt Exchange, yêu cầu sửa đổi Schema. Những sửa đổi này phải được thực hiện từ Schema Master.

Cơ sở hạ tầng - Có một Cơ sở hạ tầng trên mỗi miền. Nếu bạn chỉ có một tên miền duy nhất trong khu rừng của mình, bạn không thực sự cần phải lo lắng về nó. Nếu bạn có nhiều rừng, thì bạn nên đảm bảo rằng vai trò này không được giữ bởi một máy chủ cũng là chủ sở hữu GC trừ khi mọi DC trong rừng là một GC . Bậc thầy cơ sở hạ tầng chịu trách nhiệm đảm bảo rằng các tham chiếu tên miền chéo được xử lý đúng cách. Nếu người dùng trong một tên miền được thêm vào một nhóm trong tên miền khác, chủ cơ sở hạ tầng cho các tên miền được đề cập đảm bảo rằng nó được xử lý đúng cách. Vai trò này sẽ không hoạt động chính xác nếu nó nằm trong một danh mục toàn cầu.

RID Master - Master ID tương đối (RID Master) chịu trách nhiệm cấp các nhóm RID cho các DC. Có một chủ RID cho mỗi tên miền. Bất kỳ đối tượng nào trong miền AD đều có Mã nhận dạng bảo mật duy nhất (SID) . Điều này được tạo thành từ sự kết hợp của mã định danh miền và mã định danh tương đối. Mỗi đối tượng trong một miền nhất định có cùng một định danh miền, do đó, định danh tương đối là những gì làm cho các đối tượng là duy nhất. Mỗi DC có một nhóm ID tương đối để sử dụng, do đó, khi DC tạo một đối tượng mới, nó sẽ thêm RID mà nó chưa được sử dụng. Vì các DC được cấp các nhóm không chồng lấp, mỗi RID sẽ duy nhất trong suốt vòng đời của miền. Khi một DC nhận được ~ 100 RID còn lại trong nhóm của nó, nó sẽ yêu cầu một nhóm mới từ chủ RID. Nếu chủ RID ngoại tuyến trong một khoảng thời gian dài, việc tạo đối tượng có thể thất bại.

Trình giả lập PDC - Cuối cùng, chúng ta có vai trò bị hiểu lầm rộng rãi nhất trong số tất cả, đó là vai trò giả lập PDC. Có một PDC Trình giả lập cho mỗi tên miền. Nếu có một nỗ lực xác thực thất bại, nó được chuyển tiếp đến Trình giả lập PDC. PDC Trình mô phỏng hoạt động như "bộ ngắt kết nối" nếu mật khẩu được cập nhật trên một DC và chưa được sao chép sang các bộ khác. Trình giả lập PDC cũng là máy chủ kiểm soát đồng bộ hóa thời gian trên toàn miền. Tất cả các DC khác đồng bộ hóa thời gian của họ từ Trình giả lập PDC. Tất cả khách hàng đồng bộ hóa thời gian của họ từ DC mà họ đã đăng nhập. Điều quan trọng là mọi thứ vẫn tồn tại trong vòng 5 phút với nhau, nếu không Kerberos sẽ phá vỡ và khi điều đó xảy ra, mọi người đều khóc.

Điều quan trọng cần nhớ là các máy chủ mà các vai trò này chạy không được đặt chính xác. Việc di chuyển các vai trò này thường không quan trọng, vì vậy trong khi một số DC làm hơi nhiều so với các vai trò khác, nếu họ đi xuống trong thời gian ngắn, mọi thứ thường sẽ hoạt động bình thường. Nếu họ thất bại trong một thời gian dài, thật dễ dàng để chuyển đổi vai trò một cách minh bạch. Nó đẹp hơn nhiều so với những ngày PD4/BDC NT4, vì vậy hãy ngừng gọi DC của bạn bằng những tên cũ đó. :)

Vậy, ừm ... làm thế nào để các DC chia sẻ thông tin nếu họ có thể hoạt động độc lập với nhau?

Sao chép, tất nhiên . Theo mặc định, các DC thuộc cùng một tên miền trong cùng một trang sẽ sao chép dữ liệu của chúng cho nhau trong khoảng thời gian 15 giây. Điều này đảm bảo rằng mọi thứ tương đối cập nhật.

Có một số sự kiện "khẩn cấp" kích hoạt sự nhân rộng ngay lập tức. Những sự kiện này là: Tài khoản bị khóa vì quá nhiều lần đăng nhập thất bại, thay đổi được thực hiện đối với mật khẩu tên miền hoặc chính sách khóa, bí mật LSA bị thay đổi, mật khẩu được thay đổi trên tài khoản máy tính của DC hoặc vai trò RID Master được chuyển đến một DC mới. Bất kỳ sự kiện nào trong số này sẽ kích hoạt một sự kiện sao chép ngay lập tức.

Thay đổi mật khẩu nằm ở đâu đó giữa khẩn cấp và không khẩn cấp và được xử lý duy nhất. Nếu mật khẩu của người dùng bị thay đổi trên DC01 Và người dùng cố gắng đăng nhập vào máy tính đang xác thực với DC02 Trước khi sao chép xảy ra, bạn có muốn thất bại không? May thay điều đó không xảy ra. Giả sử rằng cũng có một DC thứ ba ở đây được gọi là DC03 Giữ vai trò giả lập PDC. Khi DC01 Được cập nhật với mật khẩu mới của người dùng, thay đổi đó ngay lập tức được sao chép thành DC03. Khi thử xác thực trên DC02 Không thành công, DC02 Sau đó chuyển tiếp xác thực đó thành DC03, Xác thực rằng nó thực sự tốt và đăng nhập được cho phép.

Hãy nói về DNS

DNS rất quan trọng đối với một AD hoạt động đúng. Dòng bên chính thức của Microsoft là bất kỳ máy chủ DNS nào cũng có thể được sử dụng nếu được thiết lập đúng. Nếu bạn thử và sử dụng BIND để lưu trữ vùng AD của mình, bạn sẽ cao. Nghiêm túc. Gắn bó với việc sử dụng các vùng DNS tích hợp AD và sử dụng các chuyển tiếp có điều kiện hoặc toàn cầu cho các vùng khác nếu bạn phải. Tất cả các máy khách của bạn phải được cấu hình để sử dụng các máy chủ AD DNS của bạn, vì vậy điều quan trọng là phải có dự phòng ở đây. Nếu bạn có hai DC, hãy để cả hai chạy DNS và định cấu hình ứng dụng khách của bạn để sử dụng cả hai để phân giải tên.

Ngoài ra, bạn sẽ muốn đảm bảo rằng nếu bạn có nhiều hơn một DC, thì trước tiên họ không liệt kê độ phân giải DNS. Điều này có thể dẫn đến tình huống chúng nằm trên "đảo nhân rộng" khi chúng bị ngắt kết nối với phần còn lại của cấu trúc liên kết sao chép AD và không thể phục hồi. Nếu bạn có hai máy chủ DC01 - 10.1.1.1DC02 - 10.1.1.2, Thì danh sách máy chủ DNS của họ sẽ được định cấu hình như sau:

Máy chủ: DC01 (10.1.1.1)
[.__.] DNS chính - 10.1.1.2
[.__.] DNS thứ cấp - 127.0.0.1

Máy chủ: DC02 (10.1.1.2)
[.__.] DNS chính - 10.1.1.1
[.__.] DNS thứ cấp - 127.0.0.1

OK, điều này có vẻ phức tạp. Tại sao tôi muốn sử dụng AD cả?

Bởi vì một khi bạn biết những gì bạn đang làm, cuộc sống của bạn trở nên tốt hơn vô cùng. AD cho phép tập trung quản lý người dùng và máy tính, cũng như tập trung truy cập và sử dụng tài nguyên. Hãy tưởng tượng một tình huống mà bạn có 50 người dùng trong một văn phòng. Nếu bạn muốn mỗi người dùng có thông tin đăng nhập riêng cho mỗi máy tính, bạn phải định cấu hình 50 tài khoản người dùng cục bộ trên mỗi PC. Với AD, bạn chỉ phải tạo tài khoản người dùng một lần và nó có thể đăng nhập vào bất kỳ PC nào trên miền theo mặc định. Nếu bạn muốn tăng cường bảo mật, bạn phải thực hiện 50 lần. Sắp xếp một cơn ác mộng, phải không? Cũng hãy tưởng tượng rằng bạn có một chia sẻ tệp mà bạn chỉ muốn một nửa số người đó nhận được. Nếu bạn không sử dụng AD, bạn cần phải sao chép tên người dùng và mật khẩu của họ bằng tay trên máy chủ để cấp quyền truy cập dường như hoặc bạn phải tạo một tài khoản dùng chung và cung cấp cho mỗi người dùng tên người dùng và mật khẩu. Một cách có nghĩa là bạn biết (và phải liên tục cập nhật) mật khẩu của người dùng. Cách khác có nghĩa là bạn không có dấu vết kiểm toán. Không tốt, phải không?

Bạn cũng có thể sử dụng Chính sách nhóm khi bạn đã thiết lập AD. Chính sách nhóm là một tập hợp các đối tượng được liên kết với các OU xác định cài đặt cho người dùng và/hoặc máy tính trong các OU đó. Ví dụ: nếu bạn muốn làm cho nó "Tắt máy" không có trong menu bắt đầu cho 500 PC trong phòng thí nghiệm, bạn có thể làm điều đó trong một cài đặt trong Chính sách nhóm. Thay vì dành hàng giờ hoặc hàng ngày để cấu hình các mục đăng ký thích hợp bằng tay, bạn hãy tạo Đối tượng chính sách nhóm một lần, liên kết nó với OU hoặc OU chính xác và không bao giờ phải suy nghĩ lại. Có hàng trăm GPO có thể được cấu hình và tính linh hoạt của Chính sách nhóm là một trong những lý do chính khiến Microsoft chiếm ưu thế trong thị trường doanh nghiệp.

158
MDMarra

Lưu ý : Câu trả lời này đã được hợp nhất vào câu hỏi này từ một câu hỏi khác hỏi về sự khác biệt giữa rừng, miền con, cây, trang web và OU. Điều này ban đầu không được viết như một câu trả lời cho câu hỏi cụ thể này.


Rừng

Bạn muốn tạo một khu rừng mới khi bạn cần một ranh giới bảo mật. Ví dụ: bạn có thể có một mạng vành đai (DMZ) mà bạn muốn quản lý bằng AD, nhưng bạn không muốn AD nội bộ của mình có sẵn trong mạng vành đai vì lý do bảo mật. Trong trường hợp này, bạn sẽ muốn tạo một khu rừng mới cho vùng an ninh đó. Bạn cũng có thể muốn tách biệt này nếu bạn có nhiều thực thể không tin tưởng lẫn nhau - ví dụ: một công ty Shell bao gồm các doanh nghiệp riêng lẻ hoạt động độc lập. Trong trường hợp này, bạn muốn mỗi thực thể có một khu rừng riêng.


Tên miền con

Thực sự, bạn không cần những thứ này nữa. Có một vài ví dụ hay khi bạn muốn có một miền con. Một lý do cũ là do các yêu cầu chính sách mật khẩu khác nhau, nhưng điều này không còn hiệu lực, vì có Chính sách mật khẩu hạt mịn có sẵn kể từ Server 2008. Bạn thực sự chỉ cần một miền con nếu bạn có các khu vực có kết nối mạng kém đáng kinh ngạc và bạn muốn để giảm đáng kể lưu lượng sao chép - một tàu du lịch có vệ tinh WAN là một ví dụ tốt. Trong trường hợp này, mỗi tàu du lịch có thể là miền con riêng của nó, do đó tương đối khép kín trong khi vẫn có thể tận dụng những lợi ích của việc ở trong cùng một khu rừng như các lĩnh vực khác từ cùng một công ty.


Cây

Đây là một quả bóng lẻ. Cây mới được sử dụng khi bạn muốn duy trì các lợi ích quản lý của một khu rừng duy nhất nhưng có một miền trong không gian tên DNS mới. Ví dụ corp.example.com có thể là gốc rừng, nhưng bạn có thể có ad.mdmarra.com trong cùng một khu rừng sử dụng một cây mới. Các quy tắc và đề xuất tương tự cho các miền con áp dụng ở đây - sử dụng chúng một cách tiết kiệm. Chúng thường không cần thiết trong các AD hiện đại.


Địa điểm

Một trang web phải thể hiện ranh giới vật lý hoặc logic trong mạng của bạn. Ví dụ, văn phòng chi nhánh. Các trang web được sử dụng để lựa chọn thông minh các đối tác sao chép cho bộ điều khiển miền ở các khu vực khác nhau. Nếu không xác định vị trí, tất cả các DC sẽ được xử lý như thể chúng ở cùng một vị trí vật lý và sao chép trong cấu trúc liên kết lưới. Trong thực tế, hầu hết các tổ chức được cấu hình theo kiểu trung tâm và nói, vì vậy các trang web và dịch vụ nên được định cấu hình để phản ánh điều này.

Các ứng dụng khác cũng sử dụng Trang web và Dịch vụ. DFS sử dụng nó để giới thiệu không gian tên và lựa chọn đối tác sao chép. Exchange và Outlook sử dụng nó để tìm danh mục toàn cầu "gần nhất" để truy vấn. Các máy tính gia nhập miền của bạn sử dụng nó để định vị (các) DC "gần nhất" để xác thực. Không có điều này, lưu lượng truy cập sao chép và xác thực của bạn giống như miền Tây hoang dã.


Đơn vị tổ chức

Chúng nên được tạo theo cách phản ánh nhu cầu ủy quyền của tổ chức bạn và ủy quyền chính sách nhóm. Nhiều tổ chức có một OU cho mỗi trang web, vì họ áp dụng GPO theo cách đó - điều này thật ngớ ngẩn, bởi vì bạn có thể áp dụng GPO cho một trang web từ Trang web và Dịch vụ như tốt. Các tổ chức khác tách các OU theo bộ phận hoặc chức năng. Điều này hợp lý với nhiều người, nhưng thiết kế OU thực sự sẽ đáp ứng nhu cầu của bạn và khá linh hoạt. Không có "một cách" để làm điều đó.

Một công ty đa quốc gia có thể có các OU cấp cao nhất là North America, Europe, Asia, South America, Africa để họ có thể ủy quyền đặc quyền quản trị dựa trên lục địa. Các tổ chức khác có thể có các OU cấp cao nhất là Human Resources, Accounting, Sales, v.v nếu điều đó có ý nghĩa hơn đối với họ. Các tổ chức khác có nhu cầu chính sách tối thiểu và sử dụng bố cục "phẳng" chỉ với Employee UsersEmployee Computers. Thực sự không có câu trả lời đúng ở đây, đó là bất cứ điều gì đáp ứng nhu cầu của công ty bạn.

20
MDMarra