企业AD架构规划设计详解

这个章节主要讲Active Directory 域服务概述及相关概念，设计步骤及AD常见的规划设计TOP方案，每种架构TOP方案的特定及优缺点。

一 、Active Directory 域服务概述

Active Directory是存储有关网络上对象的信息的层次结构。 目录服务（例如 Active Directory 域服务（AD DS））提供存储目录数据以及使此数据可供网络用户和管理员使用的方法。 例如，AD DS 存储有关用户账户的信息，如名称、密码、电话号码等，并使同一网络上的其余受权用户能够访问此信息。

Active Directory 存储有关网络上对象的信息，并使管理员和用户能够轻松查找和使用此信息。 Active Directory 使用结构化数据存储做为目录信息的逻辑层次结构的基础。

此数据存储（也称为目录）包含 Active Directory 对象的相关信息。 这些对象一般包含共享资源，如服务器、卷、打印机、网络用户和计算机账户。

经过登陆身份验证和对目录中对象的访问控制，安全与 Active Directory 集成。 经过单一网络登陆，管理员能够管理其整个网络中的目录数据和组织，受权网络用户能够访问网络上任何位置的资源。 基于策略的管理简化了复杂的网络的管理。

Active Directory 包括

一组规则，即架构，定义目录中包含的对象和属性的类别、这些对象的实例的约束和限制及其名称的格式。

包含有关目录中每一个对象的信息的全局编录。 这容许用户和管理员查找目录信息，而不考虑目录中的哪一个域实际包含数据。

一种查询和索引机制，以便对象及其属性可由网络用户或应用程序发布和查找。 有关查询目录的详细信息。

跨网络分发目录数据的复制服务。 域中的全部域控制器均参与复制，并包含其域的全部目录信息的完整副本。 对目录数据的任何更改均复制到域中的全部域控制器。

二 、AD设计步骤

设计不是越复杂越好，根据实际须要越简单越好，能够经过如下步骤进行设计：

1.肯定林设计要求及所需的林数量

其实单林就能知足大部份集团公司的需求、目前我接触的500强公司分布各个国家都用不上多林架构。

2.建立域设计

确认域模型使用单区域模型、仍是区域域模型。

3.肯定所需的域数量

根据用户和计算机数量及将来增加来预计域数量。

4.规划全局编录

若是你有单域林，全局编录布局须要进行规划。 在单域林中，将全部域控制器配置为全局编录服务器。 因为每一个域控制器都在林中存储惟一的域目录分区，所以将每一个域控制器配置为全局编录服务器不须要任何额外的磁盘空间使用状况、CPU 使用率或复制流量。 在单域林中，全部域控制器都充当虚拟全局编录服务器;也就是说，它们均可以响应任何身份验证或服务请求。

5.规划站点拓扑

规划好站点并把相应AD规划在那个站点，提早收集各公司用的IP子网等。

6.规划OU

根据需求规划OU目的就是规划相应计算机和用户存放在哪一个OU便于策略管理。

【如下官方公布单个域与带宽及承载用户数量的关系】

每一个林都从单个域开始。 单个域林可包含的最大用户数取决于最慢的连接，该连接必须适应域控制器之间的复制，以及要分配给 Active Directory 域服务（AD DS）的可用带宽。 下表列出了域基于单个域林可包含的最大推荐用户数、最慢连接的速度，以及要为复制保留的带宽百分比。 此信息适用于最多包含100000个用户且链接数为 28.8 kb/秒（Kbps）或更高的林。 有关适用于包含100000多个用户或链接量小于 28.8 Kbps 的林的建议，请参阅经验丰富的 Active Directory 设计器。

下表中的值基于在具备如下特征的环境中生成的复制流量：

新用户以每一年 20% 的速率加入林。
用户以每一年 15% 的速率保留林。
每一个用户都是五台全局组和五个通用组的成员。
用户与计算机的比率为1:1。
使用 Active Directory 集成的域名系统（DNS）。
使用 DNS 清理。

备注：

下表中列出的数字大体为近似值。 复制流量的数量很大程度上取决于在给定时间内对目录所作的更改的数量。 在部署域以前，经过在实验室中测试你的设计更改的估计数量和速率，确认你的网络能够容纳你的复制流量。

【如下官方公布区域域模型与带宽及承载用户数量的关系】

若是没法容纳单个域中的全部用户，则必须选择 "区域域" 模型。 以对组织和现有网络有意义的方式将你的组织划分为各个区域。 例如，能够根据中国及日本公司建立区域。

请注意，因为须要为你创建的每一个区域建立一个 Active Directory 域，所以建议你最大程度地减小为 AD DS 定义的区域数。 尽管能够在林中包含无限数量的域，但为了便于管理，咱们建议林最多包含10个域。 在将你的组织划分为地区性域时，你必须在优化复制带宽与下降管理复杂性之间创建适当的平衡。

首先，肯定林能够承载的用户的最大数量。 将其基于域控制器将复制到的林中最慢的连接，以及要分配到 Active Directory 复制的平均带宽量。 下表列出了林可包含的最大推荐用户数。 这取决于最慢连接的速度和要为复制保留的带宽百分比。 此信息适用于最多包含100000个用户且链接量为 28.8 Kbps 或更高的林。 下表中的值基于如下假设：

全部域控制器都是全局编录服务器。
新用户以每一年 20% 的速率加入林。
用户以每一年 15% 的速率保留林。
用户是五台全局组和五个通用组的成员。
用户与计算机的比率为1:1。
使用 Active Directory 集成的 DNS。
使用 DNS 清理。

备注：

下表中列出的数字大体为近似值。 复制流量的数量很大程度上取决于在给定时间内对目录所作的更改的数量。 在部署域以前，经过在实验室中测试你的设计更改的估计数量和速率，确认你的网络能够容纳你的复制流量。

三 、最多见的部署场景

（接下来主要是围绕这几种架构部署场景来说）

1.A架构（分布式额外域部署场景）

这种AD部署架构是集团公司用得最多的方案，如下个人TOP只是模拟环境，其实与真实部署方法是同样的，好比日本500强集团经常使用的架构以下：

日本东京总部数据中心2台AD：负责本国AD全部业务，若是有工厂的地区会再各自机房部署1~2台AD。

中国区上海数据中心2台AD：负责中国区全部Office办公AD业务，若是深圳及其余城市有大工厂会再各自机房部署1~2台AD。

其余国家也是同样的部署方式。

描述：这种采用主域控与额外域的部署方式，全部域服务器均可以是GC，全部域服务器都有相同的权利，FSMO能够分布在任何一台域服务器上，这种架构都是总部IT专门负责管理，委派给其余地区分公司IT有部份AD的权限，建议最多部署不要超过10个AD服务器。

优势：

1.各据点公司用户访问各自据点域服务器进行登陆及相关用户验证，起到行负载均衡的做用；

2.若是FSMO角色所在域服务器故障，可轻松转移或抢占FSMO到其余域服务器便可，可用性高；

3.用户登陆及各系统经过AD验证很是快，都是经过各公司AD验证。

4.减小经过集团WAN连接的复制流量

5.支持较多的AD用户和计算机数量

缺点：

部署成本较高（有业务需的国家须要部署数据机房）

2.B架构（收购公司的AD接管方案）域信任实实战

这种架构其实也不算原始规划架构 ，是集团公司收购其它公司的状况下、被收购公司AD正常保留使用的方案，收购后原来PC管理方法基本是没变化的，PC仍是加入之前的域，若是被收购公司域废除把PC切换到现有公司域，全部用户的PC用户环境须要从新设定很是繁琐，这显然没有必要，可能就邮件暂时须要变动而已。

这种状况会致使资源互相访问时须要验证带来很大麻烦，被收购公司用户访问公司相关业务须要用户认证的问题，那么怎么解决这个问题呢，如题就是不一样域设定信任便可解决这个问题。

优势：

1.设置信任后就解决了验证的问题，公司的资源能够受权给收购公司AD的用户访问，同时被收购公司的资源也能够授给公司相应的AD用户权限，便可轻松访问相应的资源；

2.不用大动干戈把被收购公司域废除，收购公司PC照常加入现公司域服务器便可，节省超多时间和麻烦事，若是切换域公司用户数成千上万用户，用户环境问题头都大了，由于有些用户环境很复杂、用了不少特殊软件改变用户环境就须要从新部署很是麻烦 ；

3.不用改变收购公司用户帐号和密码，用户登陆使用电脑的方式和习惯等不用改变，节少了不少培训时间。

缺点：

就是公司AD域名不统一而已，除了这个没有什么太多的缺点，还有就是多了一个域须要管理、IT工做量有所增长而已。

3.C架构（RODC部署场景）实战

在物理安全性不足的位置上，建议使用部署只读域控制器（RODC）。 除账户密码以外，RODC 保留可写域控制器包含的全部 Active Directory 对象和属性。 可是，不能对存储在 RODC 上的数据库进行更改。 必须在可写域控制器上进行更改，而后将其复制回 RODC。
设计 RODC 主要是为了在分支机构环境中部署。分支机构一般用户相对较少，物理安全性差，链接集团公司网络带宽也相对较低，分支机构人员不懂IT。

优势：

1.对分公司机房物理安全性差和用户少的环境部署，比较高的安全性，；
2.分公司用户更快的登陆速度 ；
3.更有效的访问网上的资源；

缺点：

若是分公司AD用户不少的状况不太适合。

4.D架构（父域与子域架构）

这种架构用在集团公司之间各自管理子域的方式管理，各分公司部署子域模式，PC加入各公司子域便可，父域和子域是可传递的，权限受权也很方便。

优势：

1.公司的资源受权也是很方便，父域和子域之间自动创建传递关系
2.父域和子域管理不互相干扰
3.支持管理AD用户及计算机数量比较大

缺点：

成本相对较高，管理相对复杂，显得没有必要。

5.E架构（集中式额外域部署场景）

这种AD部署架构也有不少公司在用这种方案，其实与A架的AD部署方法是同样，这种架构各分公司之间网络质量比较好，在总部构筑私有云、虚拟化数据中心的方式，各分公司能够不用建数据机房。

描述：这种架构主要是采用主域控与额外域的部署方式，全部域服务器均可以是GC，全部域服务器都有相同的权利，FSMO能够分布在任何一台域服务器上，这种架构都是总部IT专门负责管理，也能够委派给其余地区分公司IT有部份管理AD OU的权限。

优势：

1.各公司单独预算结算时，各分公司付费的方式申请AD用户用的最多的架构方式；
2.成本更低，不用在各公司机房部署AD服务器，由于在总部都是私有云或虚拟部署、服务器的RTO和RPO时间能>作到更低，这在分公司作到这种要求成本很高的。
3.各据点公司用户访问各自域服务器进行登陆验证相关AD业务，起到行负载均衡的做用；
4.若是FSMO角色所在域服务器故障，可轻松转移或抢占FSMO到其余域服务器便可；
5.下降了管理复杂性

缺点：

若是公司到AD服务器网络质量很差，PC首次加域或登域可能会比较慢，策略有可能会延时，这些都是能够解决的，集团网络带宽这些问题均可以很好解决。

以上是最多见5种AD架构设计方案，但集团公司其实用的最多的是A架构分布式额外域部署场景，除此以外B架构收购公司的AD接管方案，C架构RODC、E架构集中式额外域部署场景，主要是根据本身公司实际环境选择相对合适的方案便可，但D架构父域与子域架构其实用此架构的公司真的不多，缘由其实上面我已经说了，总知你们以本身需求为出发点设计符合本身的方案。

4、Active Directory 架构规划实战

笔者在IT运维行业多年，刚开始在乙方从事IT系统集成项目，后来一直在甲方从事IT运维至今。

在乙方工做时常常遇到客户挖的坑，如AD用户删除怎么恢复？我公司只有一台AD挂了怎么办？后面来了句AD没有任何备份。听到这话我也化无奈也只有凉拌啦！

笔者发现这些问题其实都是设计不合理形成的，说白了客户IT工程师AD知识不扎实，不知道怎么来规避这些问题，如今笔者在甲方工做更能体会到甲方工程师的难度，有些公司第一不肯在IT设备上投入，第二又不肯在IT人才培养方面投入，说白了就是不肯花钱，IT工程师们真难作，本专栏的知识点就帮助你们规避这些问题。

例如公司目前只有1台AD，当你的环境只有1台AD并且没有备份那固然就没辙了，这就体现本专栏知识点重要性的时候了。额外域部署设计，你就能够规划部署第2台AD做为额外域，这样就规避了AD的单点故障。公司不肯投入设备也能够用PC代替只不过FSMO角色放在性能好的服务器就行。固然你知道部署额外域还不至于在AD设计时能规避这个问题，这时咱们专栏也讲到了AD故障转移（FSMO角色转移及抢占）知识点，就这两个知识点就规避这个AD单点故障的问题，当问题发生时轻松解决。

例如我在乙方工做时常常遇到甲方的AD管理者，建立删除修改AD用户都是对着申请单一个一个用户建立删除，不累吗？咱们能够结合申请单命令批量建立删除修改域AD对象实现快速对应。

其实不少问题都是最初规划设计不合理，最终变成历史遗留问题，最后某些工程师接管烂摊子不幸出现故障没法恢复。这时公司只会责怪现任工程师，这也没办法，原来工程师已经离职了。因此经过专栏的学习咱们能够把别人给你挖的坑给填了，避免在你接管工做时不要出现大问题。从此在你管理下AD的规划部署更加完善。

本专栏文章，主要包括15篇内容。AD经常使用的架构TOP设计，各架构的部署实战、A架构环境下AD检查验证方法，AD架环境下站点和服务规划实战及OU策略实战等。如下介绍各章节的内容要概述。

序：Active Directory架构规划重要吗？（试读）

本篇以甲方和乙方AD管理者的角色看待AD架构规划重要性，并简单例举因AD设计不合理致使的问题点，这只是笔者之前遇到状况，你是否也曾遇到过呢？

1.企业AD架构规划设计详解（试读）

此篇主要讲AD的经常使用架构设计TOP，每种架构的运用场景及每种架构的优缺点，如何根据本身公司合理规划AD的架构，TOP设计以下：

A架构AD设计TOP

B架构AD设计TOP

C架构AD设计TOP

D架构AD设计TOP

E架构AD设计TOP

2.A架构：SZ据点AD部署

本篇根据最经常使用最有表明性的AD架构TOP进行部署实战，手把手教你部署及注意事项，让没有AD部署经验的同仁知道如何构筑本身的域环境。

3.A架构：BJ据点AD部署

本篇也是根据最经常使用的AD架构TOP进行BJ公司AD部署实战，手把手教你部署及部署中应该注意的事项，让没有AD部署经验的同仁掌握AD部署方法，同时把本身的实验环境一步一步构筑完成，方便从此内容的学习，后面不少实战根据A架构环境来说解的。

4.A架构：SH据点AD部署及AD检查及验证方法

本篇也是根据A架构的AD设计TOP 进行SH公司AD部署实战，其实部署方法和第3篇的内容类似，但为了实验的完整性这些内容没有省略，同时此篇讲述了AD检查及验证明战方法。

5.A架构：站点和服务规划实战

在A架构的实验环境实战举例讲解如何规划站点，如何规划子网，讲述站点内和站点间复制原理，举例讲述AD的复制时间是多少，如何优化AD复制时间，如何命令执行站点间AD的复制等等。

6.A架构：OU规划及域策略实战讲解

在A架构环境讲解OU规划及域策略实战，本篇会例举你们遇到的策略问题对应方法，同时也会讲到策略模板导入，AD权限规划举例，其实原理都是相通的，你们应根据本身实际状况合理规划。

7.AD用户管理实战

此篇知识点是AD用户的管理，适应全部AD架构场景，不管你是什么架构都离不开AD对象吧！你要建立计算机和AD用户，但此篇也在A架构实验环境讲解，讲述知识点有如结合申请单命令批量管理AD用户和计算机，用户导出举例等。

8.AD用户删除与恢复

本篇也是在A架构环境来实战举例，这章节也是AD运维常常遇到的问题，在这个行业多年常常遇到AD用户被误删除的状况，此篇会例举多种AD用户恢复方法，以及恢复AD用户的前提条件。

9.AD故障转移（FSMO角色转移及抢占）

本篇主要讲述FSMO角色的做用，实战讲述AD故障在那种状况下适用转移，那种状况更适合用抢占。此知识点也在A架构环境来说。

10.B架构：域信任部署实战

其实这种不叫原始的架构，最初的设计不多会是这样设计的，除非公司有特殊网络隔离环境有可能出现这种AD设计，这种通常在集国公司收购外部公司的状况，不一样域信任关系实现公司之间资源的访问受权。

11.C架构：RODC部署场景部署实战

此篇讲述RODC的使用场景，及部署实战，这种RODC适合小型据点的部署。

12.D架构：父域与子域架构部署实战

此篇讲述父域与子域架构部署实战。

13.AD备份和恢复实战

本篇讲述AD备份和恢复方法，例举Windows自带备份工具有份恢复实战 ，BESR备份恢复实战，还有虚拟化环境下备份和恢复方法。

14.AD管理BitLocker恢复密码实战

此篇讲述什么是Windows BitLocker，BitLocker有什么做用，如何结合AD管理BitLocker密码来部署BitLocker方案

15.AD感染Wannacry勒索病毒恢复思路

本篇讲述什么是Wannacry勒索病毒，传染方式，如何阻断传染，AD没有备份的状况下感染Wannacry勒索病毒的恢复思路（2017年真实案列）

以上是各篇的概述，但愿对你有帮助（以下附专栏大纲）

彩蛋

【专栏】《Active Directory 架构规划实战》
【做者】曾爱明·百强外企IT主管
【收获】①企业级AD实战②4类AD架构规划③服务器规划实战
【福利】150个早鸟福利，只要39￥>>>https://blog.51cto.com/cloumn/detail/79