中國醫(yī)藥集團AD 域及廣域網DNS 結構規(guī)劃實現(xiàn)（內部資料 注意保密） ,目錄第一部分AD 及DNS 結構規(guī)劃 ..............................

中國醫(yī)藥集團

AD 域及廣域網DNS 結構規(guī)劃實現(xiàn)

（內部資料 注意保密）

目錄

第一部分AD 及DNS 結構規(guī)劃 ..................................................................................................... - 1 -

第1章 活動目錄域結構規(guī)劃實現(xiàn) . ............................................................................................ - 1 -

1.1.

1.2.

1.3.

1.4.

1.5.

1.6. 功能需求 ............................................................................................................................. - 1 - 設計思想 ............................................................................................................................. - 1 - 技術背景 ............................................................................................................................. - 1 - 難點解析 ............................................................................................................................. - 6 - 林結構拓撲 ......................................................................................................................... - 7 - 用戶林結構域名規(guī)劃 ......................................................................................................... - 8 -

第2章 站點結構規(guī)劃實現(xiàn) ........................................................................................................ - 9 -

2.1.

2.2.

2.3.

2.4.

2.5.

2.6. 功能需求 ............................................................................................................................. - 9 - 設計思想 ............................................................................................................................. - 9 - 技術背景 ............................................................................................................................. - 9 - 難點解析 ........................................................................................................................... - 12 - 站點結構拓撲 ................................................................................................................... - 13 - 站點內資源規(guī)劃 ............................................................................................................... - 14 -

2.6.1.

2.6.2.

2.6.3. 集團總部站點 ........................................................................................................... - 14 - 二級子公司站點 ....................................................................................................... - 14 - 集團總部與二級子公司站點關系 ........................................................................... - 15 -

第3章 資源林與用戶林關系 .................................................................................................. - 15 -

3.1.

3.2.

3.3.

3.4.

3.5. 功能需求 ........................................................................................................................... - 15 - 設計思想 ........................................................................................................................... - 15 - 技術背景 ........................................................................................................................... - 16 - 難點解析 ........................................................................................................................... - 18 - 二級子公司整合方法 ....................................................................................................... - 19 -

3.5.1.

3.5.2.

3.5.3.

第4章

4.1.

4.2.

4.3.

4.4.

4.5. 已經擁有域環(huán)境，需與集團域環(huán)境建立信任 ....................................................... - 19 - 正在規(guī)劃域環(huán)境，后期需與集團域環(huán)境建立信任 ............................................... - 19 - 暫無域環(huán)境，僅使用廣域網DNS 解析 .................................................................. - 20 - DNS 結構規(guī)劃實現(xiàn) .................................................................................................. - 21 - 功能需求 ........................................................................................................................... - 21 - 設計思想 ........................................................................................................................... - 21 - 技術背景 ........................................................................................................................... - 21 - 難點解析 ........................................................................................................................... - 23 - DNS 整體結構拓撲............................................................................................................ - 24 -

DNS 規(guī)劃實現(xiàn) ........................................................................................................... - 24 - DNS 條件轉發(fā)器使用 ............................................................................................... - 25 - 4.5.1. 4.5.2.

第5章 域部署軟硬件環(huán)境要求 .............................................................................................. - 27 - 第二部分AD 及DNS 部署實施 .................................................................................................. - 28 -

第1章 資源域環(huán)境部署 . ......................................................................................................... - 28 -

1.1子公司域環(huán)境拓撲 . ................................................................................................................. - 28 -

1.2部署域控制器 . ......................................................................................................................... - 28 -

1.2.1 域控制器操作系統(tǒng)初始化 . ............................................................................................. - 28 -

1.2.2 安裝配置AD DS服務和DNS 服務 ................................................................................. - 29 -

第2章 子公司資源域DNS 部署.............................................................................................. - 40 -

2.1子公司資源域DNS 拓撲 ......................................................................................................... - 40 -

2.2子公司資源域DNS 部署 ......................................................................................................... - 40 -

第3章 子公司資源域與現(xiàn)有AD 信任關系建立 . .................................................................... - 44 -

3.1子公司林信任拓撲 . ................................................................................................................. - 44 -

3.2子公司林信任部署 . ................................................................................................................. - 44 -

3.2.1 子公司用戶林林信任部署 . ............................................................................................. - 44 -

3.2.2 子公司資源林林信任部署 . ............................................................................................. - 51 - 第三部分 統(tǒng)一用戶的使用與管理 ............................................................................................. - 59 -

第1章 統(tǒng)一用戶信息維護 ...................................................................................................... - 59 -

第2章 連接AD 服務器相關信息 . ........................................................................................... - 59 -

2.1.

2.2.

2.3. 各二級公司服務賬號 ....................................................................................................... - 59 - 服務器連接信息 ............................................................................................................... - 59 - AD 相關對象類屬性 . ......................................................................................................... - 60 -

第3章 管理資源林AD 域用戶詳細信息 ................................................................................ - 60 -

第一部分AD 及DNS 結構規(guī)劃

第1章 活動目錄域結構規(guī)劃實現(xiàn)

1.1. 功能需求

匹配國藥集團現(xiàn)有組織結構和管理特性，實現(xiàn)統(tǒng)一用戶認證，一人一賬號。具備每個二級單位的管理獨立可操作性。

1.2. 設計思想

根據國藥集團的組織結構和管理特性，統(tǒng)一用戶的規(guī)劃采用Windows Server AD 域功能進行部署，新AD 域的邏輯結構使用“中央資源林 外圍用戶林”的結構設計，滿足二級公司的獨立維護和集團統(tǒng)一規(guī)劃集中管理的設計思想。 集團現(xiàn)有情況為總部和子公司存在多個隔離的域森林，但需要采取共用通用的資源（如：HR 系統(tǒng)下發(fā)的賬戶、全集團各公司統(tǒng)一使用的應用系統(tǒng)等）來進行IT 資源整合。

為有效整合多個子公司林結構，而提供共享基礎結構的資源林，這種拓撲帶來的好處是只需為單個林（資源林）擴展 Active Directory 架構。

1.3. 技術背景

活動目錄

活動目錄 是Windows Server完全實現(xiàn)的目錄服務，也是Windows Server網絡體系的基本結構模型。Microsoft 在Windows Server 中提供的活動目錄是一個全面的目錄服務管理方案，也是一個企業(yè)級的目錄服務，具有很好的可伸縮性。 活動目錄采用了Internet 的標準協(xié)議，它與操作系統(tǒng)緊密地集成在一起。活動目錄不僅可以管理基本的網絡資源，比如計算機對象、用戶賬戶、打印機等，它也充分考慮了現(xiàn)代應用的業(yè)務需求，為這些應用提供了基本的管理對象模型，比如用戶賬戶對象具有辦公電話、手機、電子郵件等屬性。幾乎所有的應用可以

- 1 -

直接利用系統(tǒng)提供的目錄服務結構，而且活動目錄也具有很好的擴充能力，允許應用程序定制目錄中對象的屬性或者添加新的對象類型。

域

域是一種管理單元，并且在一個域內部將共享某些功能和參數。首先，所有域控制器都需要復制域的數據存儲中的分區(qū)，這些分區(qū)中將包含該域中用戶、組和計算機的身份數據。因為所有DC 都維持了相同的身份存儲，因此任何一臺DC 都可對域中的任何身份進行驗證。

任何一臺域控制器還可對Active Directory數據庫中任何一個對象進行改動，這些改動隨后將復制給所有其他域控制器。因此如果網絡無法支持在域控制器之間復制所有數據，就需要實施多個域，并分別管理身份子集的復制工作。

域樹

域樹是指連續(xù)的DNS 名稱空間。如果一個域是另一個域的子域，那么這種組成連續(xù)空間的域就組成一個域樹。

森林

森林是指一個或多個Windows Server AD域的集合。每個活動目錄的實施將至少有一個森林，森林的數量取決于公司的組織架構。在很多情況下，單一森林就足夠了。

林是活動目錄的單一實例，也就是說，數據默認不會被復制到林邊界范圍外的Active Directory，因此林可被用于定義安全邊界。

單一森林環(huán)境易于建立和維護，森林內的域自動建立雙向可傳遞內部信任關系，不要求手動建立外部信任配置，在安裝擴展域架構的應用程序時，只需應用一次架構更改即可影響所有域。

域和林的功能級別

域和林的功能級別分別代表了域和林的運作模式，功能級別決定了域控制器可使用的Windows 版本和Active Directory中可使用的功能。

創(chuàng)建新域或新林時，建議將域和林功能級別設置為當前環(huán)境可以支持的最高值，這樣可以盡可能的充分發(fā)揮AD 的功能。如果肯定不會將運行Windows Server 2008（以后簡稱WIN08）或任何更早版本的操作系統(tǒng)的域控制器添加到域或林，可以選擇WIN08R2功能級別。另外，如果可能會保留或添加運行WIN08或早版

- 2 -

本的域控制器，則在安裝期間應選擇 Windows Server 2008 功能級別。若確定不會添加這類域控制器或這類域控制器不再使用，則安裝后可以提升功能級別。

需要注意的是不能將域功能級別設置為低于林功能級別的值。例如將林功能級別設置為WIN08，則只能將域功能級別設置為WIN08或WIN08R2。Windows 2000（以后簡稱WIN2K ）和Windows Server 2003（以后簡稱WIN03）域功能級別值在“設置域功能級別”向導頁中將不可選擇。因此，若選擇林功能級別為WIN08R2，那么，向導將不會出現(xiàn)“設置域功能級別”步驟，默認情況下向林添加的所有域都將為WIN08R2域功能級別。

特別需要注意：

將域功能級別設置為某個特定值后，將無法回滾或降低域功能級別，但以下情況例外：將域功能級別提升至WIN08R2，并且林功能級別為WIN08或更低時，可以將域功能級別回滾到WIN08，且只能將其從WIN08R2降到WIN08，而不能將其回直接滾到WIN03。

下表列出每種域功能級別啟用的功能和支持的域控制器操作系統(tǒng) 域功能級別 啟用的功能

所有默認的 Active Directory 功能及

以下功能：

?為分發(fā)組和安全組啟用的通用組。

?組嵌套。

?已啟用組轉換，可在安全組和分發(fā)組之

間進行轉換。

?安全標識符 (SID) 歷史記錄。

所有默認的 Active Directory 功能、

所有來自 Windows 2000 純模式域功能

級別的功能，以及以下功能：

?準備要用于域控制器重命名的域管理

工具 Netdom.exe 的可用性。

?更新登錄時間戳。將使用用戶或計算機

的上次登錄時間來更新

lastLogonTimestamp 屬性?？梢栽谟騼?/p>

復制該屬性。

?在 inetOrgPerson 和用戶對象上將

userPassword 屬性設置為有效密碼的

功能。

?重定向用戶和計算機容器的功能。默認

情況下，已提供兩個已知的容器用于容

納計算機和用戶/組帳戶：即，

- 3 -

支持的域控制器操作系統(tǒng) Windows Server 2008 R2 Windows Server 2008 Windows Server 2003 Windows 2000 Windows 2000 純模式 Windows Server 2003 Windows Server 2008 R2 Windows Server 2008 Windows Server 2003

cn=Computers,<域根> 和 cn=Users,<域根>。該功能可用于定義這些帳戶新的已知位置。

?授權管理器能夠將其授權策略存儲在 Active Directory 域服務 (AD DS) 中。 ?包含受限制的委派，以便使應用程序可通過 Kerberos 身份驗證協(xié)議充分利用用戶憑據的安全委派?？梢詫⑽膳渲脼閮H允許特定的目標服務。

?支持選擇性的身份驗證，通過它可以從受信任林指定允許對信任林中資源服務進行身份驗證的用戶和組。

所有默認的 Active Directory 功能、所有來自 Windows Server 2003 域功能級別的功能，以及下列功能：

?SYSVOL 的分布式文件系統(tǒng) (DFS) 復制支持，可提供 SYSVOL 內容的更穩(wěn)健更詳細的復制。

?Kerberos 身份驗證協(xié)議的高級加密服務（AES 128 和 256）支持。

?來自運行 Windows Server 2008 或 Windows Vista 或更高版本的工作站的上次交互式登錄信息，將顯示上次登錄成功和失敗的時間以及自上次成功登錄之后失敗的登錄嘗試次數。

?嚴格的密碼策略 (FGPP)，這可以為域中的用戶和全局安全組指定密碼和帳戶鎖定策略。 Windows Server 2008 Windows Server 2008 R2 Windows Server 2008

所有默認的 Active Directory 功能、所有來自 Windows 2000 純模式、Windows Server 2003 和 Windows Server 2008 功能級別的功能，以及以下功能：

?身份驗證機制保證，將對域用戶進行身份驗證所用的登錄方法類型（智能卡或

相關信息封裝在每個用戶Windows Server 用戶名/密碼）Windows Server 2008 R2 的 Kerberos 令牌中。如果在已部署聯(lián)2008 R2

合身份管理基礎結構（如 Active Directory 聯(lián)合身份驗證服務 (AD FS) ）的網絡環(huán)境中啟用此功能，則每當用戶嘗試訪問用于根據用戶登錄和失敗的登錄嘗試總數確定是否授權的聲明感知應用程序時，都會提取令牌中的信息。 ?服務的自動 SPN 管理，適用于計算機

- 4 -

帳戶的名稱或 DNS 主機名發(fā)生更改時，

運行于特定計算機上托管服務帳戶上下

文下的服務。

下表列出每種林功能級別啟用的功能和支持的域控制器操作系統(tǒng) 林功能級別 啟用的功能 支持的域控制器操作系統(tǒng)

Windows Server 2008 R2

所有默認的 Active Directory Windows Server 2008

Windows Server 2003 功能。

Windows 2000

所有默認的 Active Directory

功能及以下功能：

?林信任。

?域重命名。

?鏈接值復制（組成員身份中的

更改為各個成員存儲并復制值，

而不是作為單個單位復制整個

成員身份）。在不同域控制器中

同時添加或刪除不同成員時，這

種更改可在復制期間占用更少

的網絡帶寬并降低處理器使用

率，同時消除丟失更新可能性。?部署運行 Windows Server

2008 的只讀域控制器 (RODC)

Windows Server 2008 R2 的功能。

?改進的知識一致性檢查器

(KCC) 的算法和可伸縮性。站點Windows Server 2008

間拓撲生成器 (ISTG) 使用改

進的算法，可縮放以支持具有遠Windows Server 2003

遠大于在 Windows 2000 林功

能級別上所支持站點的數量的

林。改進的 ISTG 選擇算法是一

種在 Windows 2000 林功能級

別選擇 ISTG 的入侵性較小的

機制。

?改進的 ISTG 算法（更好的縮

放 ISTG 用于連接林中所有站

點的算法）。

?在域目錄分區(qū)中創(chuàng)建動態(tài)輔助

類（稱為 dynamicObject）的實

例的功能。

?將 inetOrgPerson 對象實例

轉換為 User 對象實例的功能，

- 5 -

Windows 2000 Windows Server 2003

反之亦然。

?創(chuàng)建新組（稱為應用程序基本

組和輕型目錄訪問協(xié)議 (LDAP)

查詢組）類型的實例以支持基于

角色的身份驗證的功能。

?在架構中停用并重新定義屬性

和類別。

Windows Server 2008 Windows Server 2003 林功能級別上可用的所有功能，但不包括Windows Server 2008 R2 任何其他功能。但在默認情況 下，隨后添加到林的所有域，將Windows Server 2008 在 Windows Server 2008 域功

能級別進行操作。

Windows Server 2003 林功能級

別上可用的所有功能，以及下列

功能：

?Active Directory 回收站，提

供在運行 Active Directory

域服務 (AD DS) 時還原整個已

刪除對象的功能。

隨后添加到林的Windows Server 2008 R2 Windows Server 2008 R2 在默認情況下，

所有域都將以 Windows Server

2008 R2 域功能級別運行。

如果計劃僅包括在整個林中運

行 Windows Server 2008 R2 的

域控制器，則為便于進行管理可

以選擇此林功能級別。如果這樣

做，您將永遠不必為在林中創(chuàng)建

的每個域提升域功能級別。

1.4. 難點解析

1、資源林用作用戶對象所在的其他林的共享服務環(huán)境。用戶林與資源林之間存在林級信任關系。

微軟要求Active Directory 林之間建立信任關系，NetBIOS 名稱必須不同。 這就意味著新規(guī)劃資源林NetBIOS 名稱不能和現(xiàn)有域林名稱一樣。

- 6 -

域的NetBIOS 名稱默認為域控制器的域名，（例如：sinopharm.com NetBIOS默認名稱為 sinopharm ，sinopharm.local NetBIOS默認名稱也為 sinopharm ），本方案中定義sinopharm.local 為資源林域名，SPLocal 為NetBIOS 名稱。

2、資源林結構要與現(xiàn)有總部、子公司域結構采用林信任關系進行邏輯連接，建立林信任關系的雙方林功能級別必須為Windows Server 2003以上。

1.5. 林結構拓撲

- 7 -