搞懂 Active Directory:15年弱电老兵的域服务笔记
兄弟们,干弱电这行年头长了,总会碰上客户要求搞个域环境。什么“给公司装个域控啊”、“员工电脑统一管理啊”,一听就是Active Directory(AD)的活。今天我就用工地上的糙话,把这玩意儿掰扯明白。
先搞清楚几个容易蒙圈的名词
AD、AD DS、域控制器,这三个词儿经常把人绕晕。简单说:AD就是Active Directory的简称,像个大管家。AD DS是装在这个管家身上的“域服务”模块,好比管家手里的本子。域控制器呢?就是那台装了AD DS的服务器,也就是管家坐的那把椅子。你装AD的时候,其实就是在Windows服务器上把AD DS角色给装上,这台机器就成了域控制器。别搞混了,它们仨就是一码事。
【实际经验】 有次给个小公司装域控,老板非要在旧电脑上搞,说省成本。我劝他:“老机器硬盘慢,域控一崩,全公司电脑都歇菜。”结果他不听,三个月后硬盘挂了,域控废了,所有用户密码全丢,最后花双倍钱找数据恢复。记住,域控服务器硬盘必须用RAID1,别省那个钱。
核心组件:域、树、林
Active Directory的逻辑结构像个大树。最顶层是“林”,相当于整个公司。林里可以有好几个“域”,比如总公司域、分公司域。域和域之间默认互相信任,叫“双向传递信任”。你建第一个域的时候,林也就自动生成了。域的名字要用DNS域名,比如你们公司域名是abc.com,那域控名字可以设成ad.abc.com。这样员工电脑加入域后,登录名就是user@ad.abc.com,方便又好记。
子域就是大域下面再分小域,比如east.ad.abc.com。这些子域和父域连起来,就叫“域树”。同一棵树上的域都用同一个域名空间,管理起来不乱。
模式、全局目录、复制
“模式”就是AD的规则手册,定义能存什么对象、什么属性。比如用户对象要有姓名、电话,计算机对象要有IP、MAC,都写在这本手册里。
“全局目录”相当于AD的电话黄页,存着所有对象的摘要信息。你搜个用户,不管他在哪个域,都能查到。建议每个站点至少配一台全局目录服务器,不然跨站点查人慢得像蜗牛。
“复制”是AD的保命技能。你在一台域控上建了账号,它自动复制到其他域控上。万一主域控挂了,备机直接顶上去,员工照常登录。复制分两种:同站点内复制快,像邻居串门;跨站点复制慢,得控制频率,不然占带宽。
【省钱技巧】 小公司只有一两个站点,没必要买多台服务器当域控。搞两台差不多的机器,主备各一台,复制配成“每15分钟一次”,够用了。别听厂家忽悠买什么专用硬件,普通服务器加个千兆网卡就行。
站点和服务
“站点”是跟物理位置对应的逻辑分组。比如北京总部一个站点,上海分部一个站点。每个站点里放几台域控,同站点内复制快,跨站点复制慢。配好了,上海员工登录时只连上海的域控,不用绕到北京去,登录速度飞起。
Kerberos认证
Kerberos是AD的认证协议,听着玄乎,其实就跟进小区刷卡一样。员工电脑先跟域控要个“临时通行证”(TGT),然后拿着这个证去申请“门禁卡”(服务票),最后用门禁卡开门。整个过程电脑和域控之间来回几趟,但用户感觉不到,几秒就搞定。
FSMO角色
FSMO是五个特殊角色,分散在不同的域控上,避免单点故障。简单记:
- 架构主机:管模式,只能改不能删。
- 域命名主机:管域的名字,防止重名。
- RID主机:管对象的唯一ID,避免重复。
- PDC模拟器:管密码和组策略,最重要,挂了这个域就瘫了。
- 基础结构主机:管跨域引用,比如A域的用户访问B域的资源。
【踩过的坑】 有次PDC模拟器坏了,我没及时转移角色,结果全公司改不了密码,新员工加不了域。后来才知道,PDC模拟器得放在性能最好的服务器上,而且至少留一台备机随时接手。别图省事把五个角色全放一台机器上,那叫“单点作死”。
域里的常见对象
用户账户、安全组、计算机对象、组织单位(OU),这些是AD里的“砖头”。用户账户给员工用,安全组方便批量授权,计算机对象是加了域的电脑,OU用来分类管理。建议把用户和电脑分开放在不同的OU里,比如“销售部用户”和“销售部电脑”,这样组策略好分配。
其他可选服务
AD证书服务(AD CS)用来发证书,加密邮件或网站用。AD联合服务(AD FS)实现单点登录,比如员工用公司账号直接登Office 365。AD轻量级目录服务(AD LDS)给应用程序用,不搞域控那么复杂。这些不是必须装的,看需求再说。
最后说句掏心窝子的话:搞AD别贪大求全,先从小域开始,慢慢加功能。域控稳定比啥都强,备份一定要做,出事了能救命。
