Active Directory 的操作和部署 热点话题

Click to edit Title Slide,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Title Slide,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,Active Directory 的操作和部署 热点话题,Active Directory,的大型部署,大型部署,大量用户：, 6,000,000,大量域控制器：,1,200,大量站台：,1,200,小型部署,( 100,000,用户, 墓碑生存周期,域控制器时钟被更改,如何处理孤立对象- 删除！,如果该账号在域控制器上,直接删除该对象,如果该账号在 GC 上,方案一：重建GC,方案二：安装 Q314282, 用LDP把他从GC中删除,是否可以防止 ？ - 是,如果有域控制器超过 60天没有复制,墓碑生存周期为 60天,墓碑生存周期大于 60天,60天 DC 离线时间 墓碑生存时间,如果你必须让域控制器离线,离线前进展目录复制,离线时间不要超过60天,强制 DC 不复制孤立对象 修改注册表,最正确推荐,对于现存的环境,默认设置：松散型复制,设置为 “限制型复制模式,观察事件日志,如果有很多错误，重新提升该效劳器,如果只有少数对象，删除他们,墓碑生存周期大于 60 天,观察,账号频繁被锁定,背景知识,如何寻找被锁定的账号,账号频繁被锁定的问题,解决方法,域账号锁定的背景知识,防止用户的密码被猜测,当错误密码次数到达一定限制，该账号被锁定,暂时锁定,永久锁定,BadPasswordCount,每台域控制器各自记录用户尝试密码的次数,PDC累积该次数,PDC 将第一个锁住该账号,PDC 把锁住信号复制到其他域控制器,该值不会在BDC中复制,当用户输入正确密码， BadPasswordCount设为0,账号锁定的过程,BDC1,PDC1,PDC FSMO,BDC2,1,st,client logon,BDC1: BadPWCount +1.,向,PDC,查询,PDC 发现密码不匹配,本地 “bad passwordcount 设为. 并把结果返回给 DC2,BadPasswordCount: 0,2nd client logon,BDC2:,增加本地,BadPWCount +1.,向,PDC,查询,BadPasswordCount: 0,PDC 本地 “bad passwordcount +1.,向BDC1返回结果,BDC1,向客户返回,PDC,的结果,BDC2,向客户返回,PDC,结果,3rd client logon,BadPasswordCount: 1,BadPasswordCount: 0,本地 “bad passwordcount 设为 3. PDC 触出发锁定事件，该账号锁定。发送锁定状态给 BDC2,PDC,向所有,BDC,发送该用户的锁定状态,BDC2 forwards lockout to client,BadPasswordCount: 1,BadPasswordCount: 1,BadPasswordCount: 2,BadPasswordCount: 3,BadPasswordCount: 2,如何寻找被锁定的账号,目标： 4 个 W,Who, Where, When and Why,环境设置,激活审计策略,Account Logon Events 失败,Account Management 成功,Logon Events 失败,平安日志大小：10K 事件,激活 netlogon 日志,激活 Kerberos 日志,常用工具,EVENTCOMB,EVENTCOMB,AL.EXE,为什么账号会被锁定,恶意攻击, 配置不当或问题,一般情况,账号类型: 用户, 计算机账号 或 效劳账号,登录，建立网络盘，更改密码,账号锁定的问题,客户端,建立网络盘,一个错误密码被记录三次,DS Client,解决方案: 安装 补丁程序,效劳器端,解锁的账号立即被锁,BadPasswordCounter 未设置为零,解决方案: 安装 Service Pack 3,账号被锁 最正确解决方案,安装补订程序,其他方法取代账号停用策略,使用复杂密码策略,(A-Z + a-z + 0-9 + 32 特殊符号) * 6 长度 = 68 亿,使用工具实时监视日志,设置审计日志,观察,PDC,工作负荷,Windows 2000,域管理更多的资源,客户端及传统应用程序只联系,PDC,应用程序向,PDC,申请枚举整个域的内容,usrmgr, srvmgr,结论,: PDC,比以往工作负荷更大,负载过重的病症,CPU,使用率长时间过高,大于,70%,磁盘队列长度过大,客户端请求超时,如何优化主域控制器,优化硬件及软件,从,DNS,客户端中隐藏,PDC,优化,WINS,防止客户端的大量查询,优化硬件及软件,Windows 2000 Advance Server 的 3gb 模式 (ESE 使用1.5GB),4 个 处理器,2 Gb 物理内存,硬盘,RAID 1 ：操作系统+叶文件,RAID 1 ：日志文件,RAID 0+1：数据库和sysvol,只运行和域效劳相关的效劳,从DNS中 “隐藏 PDC,降低,PDC SRV,记录的优先级,HKLMSystemCurrentControlSetServicesNetlogonParametersLdapSrvPriority=1000,禁用,PDC,的,AutoSite Coverge,功能,HKLMSystemCurrentControlSetServicesNetlogonParametersAutoSiteCoverage=0,从 WINS 中“隐藏 PDC,WinNT,和,Win9X,从,1C,记录中查找域控制器,WINS,把,PDC,放在,1C,列表的首位,把,PDC,从表首中删除,HKLMSystemCCSServicesWINSParameters,名称,: Add1Bto1CQueries,0 = disabled, 1 = Enabled (default),乱序编排,1C,列表中的内容,HKLMSystemCCSServicesWINSParameters,名称：,Randomize1cList,0 = disabled, 1 = Enabled,防止客户端枚举,应用程序调用,SAM APIs,来枚举整个域的内容,非常难控制,阻止未经授权的用户在每次调用,SAM API,时查询超过,100,个对象,HKLMSystemCCSControlLsaSamDoExtendedEnumerationAccessCheck=1,安装DC和GC的本卷须知,域控制器的升降级,全局编录效劳器的升降级,DC,提升及降级,在升级之前配置适宜的站台,当升降级失败,手工去除数据,在再次提升效劳器前，对所有域控制器进展复制,直接降级,HKLMSystemCurrentControlSetControlProductOptionsProductType=ServerNT,GC,的提升,域控制器在声明成为一台GC之前需要复制该站台内的所有的内容,最正确方案,停顿Netlogon效劳,标志该域控制器为 GC,使用 repadmin 观察进程,启动 Netlogon 效劳,GC,的降级,降级时，需花费较长时间移除多余对象,KCC 每15分钟删除500个对象,最正确方案,观察日志 1069 事件来判断降级的进度,强制降级,森林的恢复,常见的灾难,所有域控制器无法启动,错误的数据被复制到所有域控制器,Schema,遭破坏,失去根域,您中了头彩,防范于未然,森林的恢复策略,时间,更新,灾难事件发生,备份,备份,备份,备份,备份,备份,备份,备份,备份,备份,确定问题原因,恢复丧失的更新,确定问题原因,恢复的一般步骤,关闭所有域控制器,对于每个域,从好的备份中恢复一台域控制器,重新安装其他域控制器,提升其他域控制器,从根域开场,详细步骤请参考 “AD灾难及回复白皮书,文件复制效劳 Service,文件复制效劳的根本概念,文件复制效劳的常见问题,Journal wraps 错误,Staging Files 积压,复制冲突及目录名变更,解决方案,根本概念,活动目录中的对象,Members, Subscribers, Conn. objects, filters,依赖于,AD,目录复制,NTFS USN,日志,用于,FRS,跟踪 该,NTFS,卷上文件的变更,Staging Files,和,Staging Folder,FRS,数据库,-,记录所有的变更以及文件信息,FRS 复制的根本过程,创立/更新文件,NTFS,分区,更新,Outbound,日志,更新,FRS ID Table,请求复制该更新,更新,Inbound,日志 以及,ID Table,过滤不需要的文件更新,建立,Staging,文件,复制,Staging,文件至,Staging,目录,更新,Outbound,日志,重整临时文件,把文件转移到最终目录,向复制伙伴发送更新消息,NTFS,分区,FRS,从,NTFS,日志,中得知文件以被更新,Journal wrap,错误,/ Staging File,积压,什么是 Journal Wrap 错误,NTFS USN 日志大小固定,FRS 效劳必须及时读取日值内容,FRS 数据库中的最新标志位必须存在于NTFS journal中,如果丧失，FRS无法得知所有更新,解决方案,尽量保持 FRS 效劳运行,增加 USN 日志大小,Staging File 积压,在复制伙伴得到文件之前，效劳器将永久保存 Staging文件,造成积压的常见原因:,复制伙伴长时间离线,应用程序造成完全复制-杀毒软件，磁盘碎片整理， 文件策略,共享冲突,复制冲突 和 目录名变更,文件冲突,最新更新的文件会被保存,其他更新将被删除,目录冲突:,最新更新会被保存,冲突的目录名会变更,产生原因,误用 BURFLAGS,在不同的效劳器上创立一样目录,FRS,在,SP3,中的增强特性,增加,NTFS USN Journal,大小,: 128 MB,支持动态更新,Staging,文件的路径,旧的,Staging,文件会自动删除,离线伙伴的,Staging,文件会被删除,重复更新不会被复制,FRS 最正确实现方案,安装,尽量保持效劳一直运行 防止 journal wraps,建立空的复制对象,把DFS的内容放在系统分区以外分区上,设置适宜的 Staging目录大小,不要删除 Staging目录中的文件,优化复制路径,删除不存在的复制伙伴,工具,Windows 2000,资源包,调试日志,: %systemroot%debugntfrs_*.log,概要,安装,Windows 2000 SP3,Q314282,解决了如下问题,孤立对象,账号异常被锁,主域控制器工作负荷偏重,监视活动目录的运行情况,如果您有任何问题，请参加微软中文新闻组继续讨论,参加微软中文新闻组, 2002 Microsoft Corporation. All rights reserved.,This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.,汇报结束,谢谢大家,!,请各位批评指正,