第 4 章 Active Directory 網域.

Presentation on theme: "第 4 章 Active Directory 網域."— Presentation transcript:

1 第 4 章 Active Directory 網域

2 本章重點 4 - 1 AD 網域的定義與功用 4 - 2 網域控制站 4 - 3 多重網域的架構 4 - 4 站台與 GC 伺服器

3 Active Directory 網域 從 Windows 2000 Server 到 Windows Server 2008, 『AD 網域』（AD Domain）始終都是主角。 因此本章將說明網域的定義、功能、名稱及多重網域的架構, 讓讀者先紮穩馬步, 以利於後續各章的實作。

4 4 - 1 AD 網域的定義與功用 其實網域並非新概念, 早在 Windows NT 就已經有網域。
但是從 Windows 2000 Server 開始, 一方面改用與 DNS 網域相同的架構, 另一方面將 AD 目錄服務整合到網域中, 因此形成一種新的網域。 為了與 NT 網域區別, 一般稱之為 AD 網域。 由於微軟已經宣布淘汰 Windows NT, 因此本書不介紹 NT 網域。後文所指的網域, 若無特別註明為 NT 網域, 則一律代表 AD 網域！

5 何謂網域 簡言之, 共用同一份 AD 資料庫之電腦所組成的集合便是一個網域！
由於 AD 資料庫裡頭包含了使用者帳戶、使用者密碼、電腦帳戶、權限設定等等資訊, 所以同網域內的電腦和使用者, 都是由同一份 AD 資料來決定誰可以存取哪些資源、誰可以做哪些工作等等。

6 網域的功能 說實在的, 管理網路並非一定要有網域不可－－但是有網域可以省下很多工夫！
我們先來看沒有網域的情形, 再看有了網域之後的情形, 兩相對照便能明白其中的差別。

7 工作群組－各自為政的架構 在沒有網域的環境中, 假設有 10 部伺服器和 100 位使用者, 因為每部伺服器都有自己的帳戶資料庫（稱為『本機帳戶資料庫』）, 網路管理員等於要維護 10 × 100 ＝ 1000 筆資料。 而隨著伺服器和使用者數量遞增, 維護工作所佔用的時間也隨之暴增。 微軟將上述這種『各管各的帳戶資料庫』架構, 稱為『工作群組』（Workgroup）架構。

8 工作群組－各自為政的架構 無論是 Windows 9X、Windows XP、Windows 2000 / 2003、Windows Vista 或 Windows Server 2008, 都支援工作群組架構。

9 網域－中央集權的架構 要管理分散於各伺服器的帳戶資料庫, 是一件讓人頭痛的事, 不如選一部電腦專門負責管理帳戶資料, 讓其它的電腦都以它的帳戶資料庫為準。 如此一來, 無論使用者或伺服器的數量增加多少, 網路管理員都只要維護一個資料庫即可。 同樣以 10 部伺服器和 100 位使用者的環境為例, 假設我們將 10 部伺服器的帳戶資料庫整合成一個, 儲存在 A 伺服器。

10 網域－中央集權的架構 並且告訴所有的電腦『：凡是要查證使用者名稱與密碼是否正確時, 一律去問 A 伺服器, 它說了算！』
若用微軟的術語來說, A 伺服器所儲存的共用帳戶資料庫稱為 AD 資料庫；而 A 伺服器則稱為網域控制站（DC, Domain Controller）。

11 網域－中央集權的架構

12 網域名稱 在不同的應用場合, 我們會使用不同的格式來表示網域名稱, 其中較常用到的 2 種格式, 便是 DNS 網域名稱和 LDAP 網域名稱： DNS 網域名稱 AD 網域的命名方式與 DNS 相同, 例如： 其中 WWW、XXX、YYY 和 ZZZ 都稱為標籤（Tag）, 每個標籤不得超過 63 個字元, 並以『.』隔開。

13 網域名稱 全部的標籤加上全部的『.』總共不得超過 255 個字元。
每一個標籤代表階層式樹狀架構中的一個 AD 網域, 而且愈靠近右邊的標籤代表愈上層的網域, 愈靠近左邊的標籤代表愈下層的網域。 LDAP 網域名稱 DNS 網域名稱利用『.』來區隔網域, 但是 LDAP 則是以『DC』 (Domain Component, 網域元件) 來代表每一層網域。

14 網域名稱 因此用 LDAP 網域名稱將 FLAG.COM.TW 表示如下：
特別要注意的是：不要將 LDAP 名稱裡的 DC 當成 AD 網域的 Domain Controller。

15 4 - 2 網域控制站 先前曾介紹過, 存放 AD 資料庫、管理網域中的 AD 物件, 並提供身分驗證服務的電腦稱為網域控制站（DC, Domain Controller）。 網域中必須至少有一部電腦扮演 DC 的角色, 如果沒有 DC, 就沒有所謂的網域。

16 網域控制站 倘若不用『網域控制站』這個微軟發明的術語, 我們可以稱它為『身分驗證伺服器』（Authentication Server）－－因為它主要用來執行身分驗證工作。 又因為通常是在登入時執行驗證, 所以也可以稱為『登入伺服器』（Logon Server）。

17 建立多部 DC 的考量 我們在前文曾說過：『必須至少有一部電腦扮演 DC』－－也就是說, 可以有多部電腦都扮演 DC 的角色！
當網域中有多部 DC 時, 各 DC 的地位平等。網路管理員可用其中任一部 DC 來維護 AD 資料庫, 例如：新增帳號、設定權限等等；使用者也可透過任一部 DC 來登入網域。 但是, 為什麼需要多部 DC 呢？

18 建立多部 DC 的考量 因為單靠一部 DC 的話, 萬一它無法提供服務（關機、當機或斷線）, 會導致所有使用者都無法登入, 整個網域形同癱瘓。 如果有其它 DC, 便可以照常提供服務, 網域功能不會停擺, 等於提供了『容錯』（Fault Tolerance）機制。 此外, 由於網域可涵蓋多個區域網路, 而這些區域網路之間可能透過低頻寬的網際網路連線, 為了避免登入遲緩或失敗, 便可在各區域網路中架設 DC, 以提升效率。

19 DC 之間的複寫機制 當網域中有多部 DC 時, 為了使每個 AD 資料庫有相同的內容, 每部 DC 會將異動的資料複製給其它 DC, 這種機制稱為『複寫』 （Replication） 。 然而複寫並非只是單存地將整個資料庫複製（Copy）過去, 而是會遵循以下的基本原則來運作： 採用局部複寫減低資料量 當兩部 DC 進行 AD 資料的同步化時, 並不會複寫全部的 AD 資料庫, 而只是複寫變動的部份。

20 DC 之間的複寫機制 例如：網管人員在 A 網域控制站中新增一個使用者帳戶, 當 A 網域控制站與 B 網域控制站進行複寫時, 只會將新增的使用者帳戶資料複寫至 B。 這種複寫稱為局部複寫（Partial Replication）。 利用更新序號判斷複寫時機 DC 複寫時會自動協調出合適的方式, 其中直接相互複寫的對象稱為『複寫夥伴』（Replication Partner）, 以下圖為例, B 和 D 便是 A 的複寫夥伴。

21 DC 之間的複寫機制

22 DC 之間的複寫機制 每部 DC 各有自己的更新序號（USN, Update Sequence Number）, 當 AD 資料庫更新完畢後, 即自動將本身的更新序號加 1。 而每部 DC 也記錄複寫夥伴的更新序號。 因此, 當某部 DC 的更新序號變動時, 其複寫夥伴隨即就會知道, 然後開始執行複寫動作。 複寫動作會沿既定的順序執行, 直到所有的 AD 資料庫內容都同步為止。

23 DC 之間的複寫機制 發生衝突時以『更新戳記』決定優先順序
由於在網域的每部 DC 都可修改 AD 資料庫, 因此若兩位使用者分別在不同 DC 上修改同一物件的屬性, 在複寫過程即會造成衝突。 此時系統會以『更新戳記』（Stamp）判定以何者的資料為準。 更新戳記中包括版本、時刻和 GUID 等 3 項資訊, 系統首先比較版本, 版本數字愈高者愈優先。

24 DC 之間的複寫機制 若版本相同則比較時刻, 愈晚修改者愈優先；萬一連時刻都一樣（雖然這種機會微乎其微）, 就以 GUID 較大者為優先。 理論上, DC 的數目愈多, 複寫時的資料傳輸量也隨著增加。因此我們在新增 DC 時, 也必須考慮網路頻寬是否能負荷的問題。

25 4 - 3 多重網域的架構 雖然微軟建議企業儘量採用單一網域架構, 以提升效能、簡化管理, 如下圖：

26 多重網域的架構 可是基於以下的原因, 我們可能規劃為多個網域： DC 之間的頻寬太小
倘若兩部 DC 分別位於台北和高雄, 以 256 Kbps 線路相連, 複寫時往往造成網路壅塞, 此時該考慮區分為兩個網域, 以消除透過低頻寬線路的複寫動作。 降低資安風險

27 多重網域的架構 通常分公司的設施不如總公司完善, 可能用一般的房間充當 DC 的機房, 因此被竊取或入侵的風險相對較高。
但是分公司的 DC 因為透過複寫, 擁有與總公司 DC 同樣的帳戶資料, 所以一旦出問題, 受影響的絕非只有分公司而已。 從資訊安全的角度來考量, 若不願花錢整建分公司的機房, 最好就劃分成兩個網域。

28 多重網域的架構 不過從 Windows Server 2008 開始, 對於這個問題有了新的解決方案－－使用唯讀網域控制站（RODC, Read Only Domain Controller）。 因應部門的要求 假設財務部門的使用者帳戶有特殊權限, 可以存取高敏感性的資料, 因此不願這些帳戶資訊存放到其它電腦。 然而我們無法限定 DC 之間不複寫哪些帳戶, 所以只能將該部門獨立為另一個網域。

29 多重網域的架構 存在多個網域時, 可形成網域樹狀目錄 (Domain Tree) 或樹系 (Domain Forest) 等兩種架構, 以下分別介紹這兩種架構。

30 網域樹狀目錄 網域樹狀目錄是由多個網域以階層式組織成樹狀, 如下圖：

31 網域樹狀目錄 網域樹狀目錄中最上層的網域稱為根網域（Root Domain）, 亦即上圖中的 FLAG.COM.TW。
而下層網域是上層網域的子網域（Child Domain）, 所以 DV.FLAG.COM.TW 是 FLAG.COM.TW 的子網域；FK.DV.FLAG.COM.TW 是 DV.FLAG.COM.TW 的子網域, 依此類推。

32 網域樹狀目錄 請特別注意, 網域樹狀目錄中的網域雖然有階層關係, 但這僅限於命名方式, 並不代表上層網域的成員對下層網域的成員具有管轄權。
原則上, 網域樹狀目錄中的各網域都是獨立的管理個體, 所以上層網域的網路管理員, 與下層網域的網路管理員是處於平等地位。

33 樹系 所謂樹系是將多個網域樹狀目錄的根網域, 透過信任關係（Trust Relationship）結合而成的集合, 也是 AD 目錄中最大的集合, 如下圖：

34 樹系 原本 FLAG.COM.TW 和 RUNPC.COM.TW 是彼此獨立、互不相干的兩個網域樹狀目錄, 一旦雙方的根網域建立信任關係, 便形成樹系, 在同一樹系中的網域都會彼此互相信任。

35 何謂網域的信任關係？ 假設 A 網域信任 B 網域, 代表 A 網域的資源開放給 B 網域的使用者來使用；同理, B 網域若要提供自己的資源給 A 網域的使用者, 就必須信任 A 網域。 這種信任機制從 Windows NT 時代就存在。 將 AD 網域加入網域樹狀目錄或樹系時, 各網域彼此會自動建立信任關係, 這種預設建立的信任關係具有以下的特色： 雙向性（Two-way）

36 何謂網域的信任關係？ 不但使 A 網域信任 B 網域, 同時也使 B 網域信任 A 網域。因此只要權限設定允許, A 網域的使用者可以存取 B 網域的資源；B 網域的使用者也可以存取 A 網域的資源。 可轉移性 (Transitive) 所謂可轉移的信任關係是指：若 B 網域信任 A 網域, 且 A 網域同時也信任 C 和 D 網域 , 則 B 網域也信任 C 和 D 網域。

37 何謂網域的信任關係？

38 樹系 在中小企業中, 考慮到效能與管理, 大多不會採用樹系架構。
一般比較常用到樹系的時機, 是在兩個或多個公司合併時, 將各公司原本的網域樹狀目錄整合起來。 假設 FLAG 公司併購 POLE 公司, 要以最短的時間、最少的變動來整合雙方的網路資源, 那麼將各自的網域樹狀目錄 POLE.COM.TW 與 FLAG.COM.TW 結合成樹系, 會是比較好的方式, 如下圖。

39 樹系

40 4 - 4 站台與 GC 伺服器 在 AD 目錄架構中, 除了網域和網域控制站之外, 還可能遇到的兩個名詞為站台（Site）和GC 伺服器（GC Server, Global Catalog Server）。 AD 站台 GC 伺服器

41 AD 站台 何謂站台 站台的功能 站台的規劃

42 何謂站台 所謂 AD 站台（以下簡稱為『站台』）是指透過『高速連線』所連接的一群電腦, 而且這群電腦位於相同的 IP 子網路。
所謂的高速連線, 微軟預設是以 500 Kbps 為界線, 低於此頻寬便視為低速連線。 因此常見的區域網路連線都算是高速連線, 而透過傳統數據機所建立的撥接連線則是低速連線。

43 站台的功能 站台的主要兩項功能如下： 控制登入時的速度
因為用戶端登入網域時, 會優先與相同站台內的 DC 建立連線, 所以若將距離最近的 DC 劃分到不同的站台；將距離最遠或最忙碌的 DC 劃分到相同的站台, 便會將降低登入的速度。

44 站台的功能 控制複寫的方式 DC 之間的複寫動作, 若是發生在相同站台內, 會自動協調出一套方式, 毋須人為干預；若是不同站台間的複寫, 則必須人工設定各種參數, 系統才能判斷出最好的方式。

45 站台的規劃 由於站台的範圍經常是配合區域網路的範圍, 加上區域網路通常以地理位置來劃分, 因此會有人以為站台必定以地理位置劃分, 其實這是一種誤解。 有些企業利用 T1 (1.544 Mbps) 或 T3 (45 Mbps) 的高速專線來連結不同地區或國家的區域網路, 此時便可將這些遠距區域網路規劃為同一站台。

46 站台的規劃 由於站台之間的低速連線會成為網路效能的瓶頸, 因此網路管理員在規劃時應考慮以下的原則, 以減少低速連線所造成的負面影響：
站台內最好至少有一部 DC

47 站台的規劃 如果用戶端每次登入網域時, 都必須經過低速連線去找位於另一個站台的 DC, 勢必造成效能低落。
因此最好在各站台內至少架設一部 DC, 讓用戶端能快速連線到 DC。 降低站台間的資料複寫量 由於 DC 之間必須複寫 AD 資料, 若 DC 位於不同站台, 則複寫資料必須透過站台間的低速連線來傳輸, 因此必須同時考量 DC 的擺放位置和站台的規劃, 儘量減少站台間複寫的資料量。

48 站台的規劃 不過, 因為規劃站台時與規劃網域時所考慮的因素不同, 所以一個站台可能包含多個網域；一個網域也可能包含多個站台。
究竟該如何規劃, 要看組織的規模、特性與需求而定。

49 GC 伺服器 GC（Global Catalog, 通用類別目錄）是一份清單, 記載了樹系（Forest）內所有物件的資訊, 而儲存這份清單的電腦便是 GC 伺服器。 事實上, GC 也是儲存在 AD 資料庫內, 亦即 NTDS.DIT 檔案中, 所以 GC 伺服器這個角色一定依附在 DC（網域控制站）。 換言之, GC 伺服器一定是 DC, 但是 DC 未必是 GC 伺服器。

50 GC 的內容 更進一步地看, GC 伺服器所儲存的物件資訊區分為以下兩種： 自己網域中, 所有物件的完整資訊。
同樹系的其他網域中, 所有物件的部份資訊。 所謂的部分資訊, 代表『經常被查詢』或『執行特定功能時必要』的資訊。 以使用者物件為例, 『使用者名稱』就是經常被查詢的資訊；但是對於印表機物件, 我們很少查詢其『列印速度』, 因此該資訊（屬性）便不在 GC 內。

51 GC 伺服器的功能 GC 伺服器的主要功能為『加速查詢』和『提供登入時所需的資訊』兩種, 由於後者牽涉較多的系統運作細節, 不適合在此處說明, 所以後文僅介紹前者。 在多重網域的架構中, 使用者要查詢的物件資訊可能位於不同的網域, 必須透過 DC 的轉介功能, 詢問其它網域的 DC, 往往降低查詢的效率。

52 GC 伺服器的功能 有了 GC 伺服器之後, 搜尋物件資訊時會先查詢 GC 的內容, 若找到了當然就可以直接使用, 縮短了查詢的時間。

53 GC 伺服器的建立 樹系內的第一部 DC 預設就兼任 GC 伺服器, 這是唯一會自動建立的 GC 伺服器。
根據微軟的建議, 各站台至少應有一部 GC 伺服器, 讓使用者的查詢先送到就近的 GC 伺服器, 通常 GC 伺服器即可滿足大多數的查詢需求, 如此便能避免透過低速連線做跨站台查詢。