1、目录服务目录服务什麽是活动目录?什麽是活动目录?lActive Directory,ADl活动目录 是 Windows 2000 Server 提供的重要服务 l管理中心:网络元素(用户,应用,设备等)l安全中心:l身份认证l授权中心l桌面管理和控制l开放的平台:应用的开发,与其他系统集成目录服务综述实施实施AD带来的收益带来的收益l实体管理的平台l用户身份管理:l每个员工访问办工网时出示唯一的一个ID标识l管理任务:开户,销户,禁用账号l安全的认证方式:Kerberos;事实上的业届标准l集中的计算机桌面管理:lWindows 2000 桌面版:通过组策略l集中的安全控制中心:通过组策略对于
2、W2K Server,W2K Pro实施实施AD带来的收益带来的收益l应用开发系统将用户身份认证交给ADl企业内部一套用户数据库:l用户信息准确l降低管理成本l更能关注本应用本身的业务逻辑l减少工作量l更安全l用户使用的便利:只需记住一套用户名/口令l应用策略l应用发布实施实施AD带来的收益带来的收益l辅助其它网络应用的分布式实现lAD 集成的DNSlAD集成的DFS(分布式文件系统)l打印服务的定位:搜索打印机的位置lMSMQlExchange 2000lCA Service实施实施AD带来的收益带来的收益l构建一个企业目录系统的基础l从用户管理到各种其他实体的管理:计算机,网络设备,应用程
3、序lEcommerce 应用lExtranet 应用AD 项目过程项目过程l现状分析-l需求分析-l设计-l测试-l试点-l大规模实施-l稳定阶段现状分析现状分析IdentifyOrganizationalStructureIdentify futureorganizationalgrowthIdentifygeographicallayout oforganizationIdentify networkinfrastructureIdentify directoryservices and NOSinfrastructureIdentify directory-enabledapplicat
4、ionsIdentify DNSinfrastrucutureIdentify DHCPinfrastructureIdentify WINSinfrastructureIdentify messaginginfrastructureIdentify otherrelatedinfrastructuresIdentify namingconventionsIdentifyadministrativemodelPhase I -DiscoveryActive Directory DesignTo Phase II-RequirementsDefinitionIdentify securitymo
5、del需求分析需求分析Identifyauthentication,security,andaccessrequirementsIdentifyorganizational,administrative,andend-userrequirementsIdentify business criticalapplications,userpopulations,accessrequirements,andsupported platformsIdentify server/workstationmanagementrequirementsIdentify integration/co-existe
6、ncerequirementsPhase II -Requirements DefinitionActive Directory Design设计设计Identify criteria forcreation of ActiveDirectoryComponentsDefineAdministrativeModelDevelop NamingConventionsDefine overallforest architectureDefine domainarchitectureDefine nameresolutiondefineorganizational unitarchitectured
7、efine servertopologydefine sitearchitectureIdentify integration/co-existence planDefine support fordirectory-enabledapplicationsDefine domainmigration strategyDefine ActiveDirectory Backup/Restore PlanGenerate finaldeliverablesPhase III-Solution DesignActive Directory DesignDeliver to client设计原则设计原则
8、l简单是最好的投资简单是最好的投资l您的业务和单位会不断变化您的业务和单位会不断变化l理想设计的目标理想设计的目标l研究设计替代的方案研究设计替代的方案活动目录的逻辑元素活动目录的逻辑元素活动目录的物理元素活动目录的物理元素森林森林森林森林l森林是域的集合,是一套目录系统的边界。森林有两种主要用途:简化用户与目录的交互过程和简化对多个域的管理。l森林有这样一些特征:l共享一套 Schema(定义AD中对象的类型和相应对象的属性)l共享一套 Configuration(如Domain,Site,Site Link 信息)l共享一套 Global Catalog(GC,全局编录)l用户搜索 Glo
9、bal Catalogl用户用UPN名登录()l森林中的域之间互相信任森林森林l建立多个森林的理由为:l不能信任其他的管理员l不能就Forest变化策略达成一致lSchema变化,Configuration变化,添加新域对整个Forest带来的影响。l共同决定Schema administrators,enterprise administrators 的成员l多个Forest带来的不好影响:l增加管理费用l域数目增多;各个森林分别管理森林级的服务l手工管理和维护森林之间的信任关系l有一些功能在多Forest的环境中失效lUPN logon(如)Forest 设计选择设计选择l单一Forest
10、l两个Forestl主要优点:l两个森林完全的管理边界,提供了完全的自治,双方拥有各自独立的Schemas,各自独立的全局编录,各自管理自己的森林级管理任务(Schema,Enterprise)l应用开发的便利:独立控制自己森林中的Schema,有利于目录集成的应用开发,扩展本森林的Schema不必影响其他森林的Schema。l目录集成应用项目的研究:作为一个独立的测试和试运行环境l独立的全局编录:外来人员很多,人员流动大,经常会建立临时账号,将森林独立出来有一套独立的全局编录,可以不影响人员相对固定的其他森林l主要缺点:l额外的森林根硬件(2-3台)l额外的森林级管理任务l有资源共享需要时,
11、手工维护信任关系 l现阶段不可以合并,域在森林之间不可以移动,用户可以在森林之间用工具移动森林根域森林根域l森林中的根域是在森林中创建的第一个域,森林的名字就是这个域的名字。有两个森林级的组 enterprise administrators 和 schema administrators 就存在这个域中,他们的成员由森林根域的 Domain Admin 决定的。l无法重新安装森林的根域。如果森林根域的所有域控制器在一次灾难性事故中丧失,而且一个或多个域控制器无法从备份恢复,将永久丧失enterprise administrators 和 schema administrators组,造成灾难
12、性事故,整个森林将面临重建。森林根域森林根域l在森林根域中,有两个森林级的操作主机(FSMO)角色:Schema Master 和Domain Naming Master。lSchema Master 控制对于Schema的更新和修改,更改Schema必须在Schema Master上。任何时候,森林中只能有一台Schema MasterlDomain Naming Master在森林中控制域的增、删。任何时候整个森林只能有一台Domain naming master森林根域森林根域l建议建立一个专职,小的森林根,森林根不可以改名,改变或删除l创建一个额外的专有的域作为森林中的根域可以有以下的
13、一些好处:l森林根域中的域管理员可以管理enterprise administrators 和 schema administrators groups的成员。这两个管理员组中的成员可以控制整个森林的结构,例如增减域都需要enterprise administrators组中的成员许可;以及整个森林中的Schema 变化。l因为这个域很小,它可以很容易复制,所以可以避免森林中心的大灾难。l因为这个域的唯一职责是作为森林的根,这个域将来不会作废。将森林根域与工作域化开,可以在工作域将来不需要时,将它删除,而森林根域会一直保留,不会在工作域改变时受到影响。森林根域森林根域l根域设计选择根域设计选择
14、l建立一个由3台机器组成的森林根,只作森林级管理任务。l此森林根域为本机模式。域域域的作用域的作用l认证(Kerberos)l策略管理l账户的安全策略lPassword policylAccount lockout policylKerberos ticket policyl共享资源的发布l文件共享l打印机 域设计域设计l在Windows 2000设计原则中来自实际的经验是,尽量减少域的数目,保持域结构的简单化。有三种可能的原因增加新的域:l保留已有的 Windows NT 域结构l管理任务的划分l物理划分l整个森林中域数目建议不要超过10个管理的边界管理的边界l域是管理任务的边界。这意味着每
15、个域有一个域管理员组,域管理员对域中的每一个对象都有完全的管理权力。这些管理权力只在本域拥有,不会跨越到其他域。通过将各个域的管理员账号/口令收集到总部,也可以实现将不同域的管理任务集中到总部,这是一种变通的做法。l在组织中,对安全策略的需求。有一些安全策略是实施在域用户上,只能基于每个域来设定:l口令策略,如口令长度等l账户锁定策略,用来定义对待猜测口令的入侵者,口令数次失败后将账户锁定lKerberos 票据策略.定义Kerberos 票据的生命周期.一张Kerberos 票据是在登录过程中获得的,用来进行网络认证。一张票据只在策略中规定的生命周期时间内存活。当票据过期后,系统自动去申请另
16、一张新的票据.l如果组织中对这些策略不能达成一致,那末只能分为几个域。物理划分物理划分l物理划分是指将森林中的域划分为多个小域。多个小型域可以优化复制过程,只需将复制对象放在最相关的位置.例如,在只有一个域的森林,森林中的每一个对象都需复制到森林中的每一个域控制器上。这样有可能将一些很少用的对象复制到一些地方,而占用了宝贵的带宽,例如,经常登录到总部的用户不需将他们的账户复制到分支机构。通过建立一个独立的分支域可以避免一些复制流量。以单域为出发点以单域为出发点l用户不必在域之间移动l任何域控制器都可以处理用户的认证请求l不必在域之间建立Group Policy配置的再配置单域的大小单域的大小以
17、下的表可以帮助设计一个单域环境能够承受的最大用户数:域控制器之间的最低有域控制器之间的最低有效带宽效带宽(kbps)一个森林中不要超过的用户一个森林中不要超过的用户数数(users)创建子域不超过的用户数创建子域不超过的用户数(users)9.69.625,00025,00015,00015,00014.414.450,00050,00015,00015,00019.219.250,00050,00025,00025,00028.828.875,00075,00040,00040,00038.438.4100,000100,00045,00045,00056.0(and higher)56.0
18、(and higher)100,000100,000100,000100,000单域的大小单域的大小l以上的数字:l以 100,000 用户为边界l保守的估计l10%的最小带宽用来处理复制l所有的DC都为GCl新员工率为:20%l离职员工率为:15%l组中成员变化是复制中主要的流量l用户和计算机数目是1:1lDNS是AD集成的lDNS配置中有清除陈旧记录单域的大小单域的大小l以上的数字:l以 100,000 用户为边界l保守的估计l10%的最小带宽用来处理复制l所有的DC都为GCl新员工率为:20%l离职员工率为:15%l组中成员变化是复制中主要的流量l用户和计算机数目是1:1lDNS是AD集
19、成的lDNS配置中有清除陈旧记录域模型设计:单域域模型设计:单域l除森林根域之外,建立一个单域,所有用户账号在一个数据库中。l主要优点:l最简单:简化 FSMO的管理、复制、备份、恢复、DNS等lAD数据库在各处都是l用户体验的一致性,不管他在哪里办公,登录过程等都完全一致l用户很容易移动:在一个域内的移动任务非常简单l减少硬件投资,为保持域的可靠性,每个域内至少有两台域控制器,设计为单域,在各个分支机构的域控制器数目可以只为一台lOU 权限委派很容易:创建/修改/删除的任务非常简单l硬件配置标准化,软件配置标准化:在各处的域控制器配置完全一致l精干的管理员组,对应30*2个一般化的管理员l应
20、用开发人员可以只和一个用户库绑定l主要缺点:l物理带宽的保证:参照物理划分的需要,50000用户的最小带宽是28.8K有效带宽l所有的数据在各处复制,小机构可能不需要所有的数据。(从WAN复制的计算中可以看出这些复制量)l共享的一些安全配置,如口令长度和复杂度l每个分支机构的实施过程,影响到网络流量,每实施一个分支机构,就增加了域控制器及AD中的数据l对目录单点的故障/有意破坏。l减轻作法:对管理权力严格进行控制:包括域管理员的成员,各OU容器的管理员;和针对特定对象授权的恢复完成l对域控制器物理上完全的权力l减轻作法:由管理任务细化,不同任务交给不同管理员;每个服务单设管理员域模型设计:域模
21、型设计:双域l按南北两个数据中心设定两个域l主要优点:l数据库细化为两个,减少了全网复制量l符合网络拓扑结构l总部集中管理模式下,只维护两个域的管理任务l精干的管理员组,对应30*2个一般化的管理员l用户体验在南方区和北方区的一致性l人员变动时,用户很容易在南方区、北方区内部账号迁移l应用开发人员可以只和两个用户库绑定l南方区和北方区各自的硬件配置标准化,软件配置标准化l缺点:l每个分支机构的实施过程,影响到网络流量,每实施一个分支机构,就增加了域控制器及AD中的数据l影响DNS名字规划l所有的数据在各处复制,小机构可能不需要所有的数据l对目录单点的故障/有意破坏。l减轻作法:对管理权力严格进
22、行控制:包括域管理员的成员,各OU容器的管理员;和针对特定对象授权的恢复完成l对域控制器物理上完全的权力l减轻作法:由管理任务细化,不同任务交给不同管理员;每个服务单设管理员总部域模型设计:总部域模型设计:大区域l按地理位置的大区设置域l主要优点:l数据库一定程度细化l主要缺点:l网络拓扑结构并非按大区设定l管理模式是否按大区设定l管理模式可以收回域模型设计:域模型设计:30+域l总部和各个一级分支机构,包括2个数据中心设置独立的域(35)l二级分支机构不设置域,需要检查增加子域-带宽考虑表,有所调整。l主要优点:l数据库细化l每个分支机构分布部署不会引起全网数据流量的突变l支持未来管理模式变
23、化为:各一级分支机构独立管理:服务和数据l主要缺点:lAD域数目过多:不符合推荐的域数目在10个以内的模式l域数目增多,重复的管理任务增多l域级的安全策略l域内的组策略配置l域内第一级组织单元的建立l硬件服务器数目增多,每个分支机构的域中域控制器的数目不能少于2个,这要造成全网的硬件服务器数目大约为35*2 l在集中的管理模式下,总部服务管理要将所有域(35)的权限收上来,做法需要维护一张管理员表,从已有AD客户的使用来看,不方便和安全l应用开发人员可以只和一个用户库绑定,开发出目录集成的应用,而不用考虑利用GC全局编录中的数据或从多个用户库搜索做成一系列重复串联的工作四种域模型的分析l大区域
24、模型是否符合当前管理模式和网络结构是一个主要考虑点。l30+域模型:不符合推荐的域数目在10个以内的模式,造成了管理过于复杂,用户体验的复杂;另外在一级分支机构的硬件投资数目大约比单域和双域要多一倍。对比单域和双域模式,它的缺点比较明显。l双域和单域模型的对比。这两个模型比较相似。双域和单域模型的对比双域和单域模型的对比 l用户数据库分为一个与两个l复制拓扑结构只与网络拓扑结构有关,双域在目前网络结构环境中,可以减少全网复制量,优化网络带宽的使用l减少对目录单点的故障/有意破坏:破坏一个目录数据库,影响面减少一半l带宽的保证:50000用户的最小带宽是28.8K有效带宽,25000用户在两个子
25、域中带宽要求是19.2K有效带宽。两个域的带宽比较有保证。l对于数据库大小的压力:50000用户的预估数据库为654M,25000用户的预估数据库为344M(以上数据库估计是按50000用户数,50000W2K计算机,5000个组,500个OU,3000个打印机;25000用户的情况是减半)l域控制器的备份和恢复时间减少一半,从网络上通过复制来恢复域控制器的可能性提高。300M的数据库,在256K带宽条件下,提升或恢复所需的时间约为1小时l管理模式可以在日后方便地调整为:南方区和北方区;l应用开发人员考虑和两个用户库绑定:开发出目录集成的应用,考虑利用GC全局编录中的数据或从两个用户库搜索做成
26、一个重复串联的工作l域的合并不能进行,但域中用户的迁移可以用工具作到。管理模式管理模式总部管理模式设计总部管理模式设计l管理任务定义管理任务定义l服务管理服务管理:lAD中所有有关结构的配置lAD中所有有关机器的配置lAD中所有有关权限的配置l数据管理数据管理:l目录中对象的操作增、删、移动:用户,计算机组织单元中的策略控制l服务器管理:服务器管理:l硬件监控、维护lAD服务器备份l最终用户支持最终用户支持l用户登录和SSO支持l用户桌面的支持管理模式定义l层次结构l总部AD管理:总部AD服务管理、总部数据管理,总部服务器管理l一级分支机构:一级分支机构和下属二级分支机构的数据管理、服务器管理
27、l二级分支机构:服务器的管理DNS设计设计DNS 名名字空间设计字空间设计 l内部办公网络的DNS名字的选择可以有几种:l与Internet上的DNS名字相同l继承Internet 名字空间l.local .intral目前仍是Draft RFC“DNS Top Level Domain for Private”l完全的内部名称l注意事项:避免两个字节的根后缀,.XX;l注意事项:避免YY.XX安全性的考虑:l低安全性低安全性:l与Internet完全DNS通讯l定义正常的DNS名字解析方法l用 root hints 指向Internet Root Serversl防火墙对任何源和目的地址开放
28、53端口l适度安全性:适度安全性::l与与Internet之间有限的之间有限的DNS通讯通讯l用forwarders指向内部有限的几台DNS服务器l在防火墙上,将这几台DNS服务器与外部DNS服务器的通讯打开(允许端口53在有限的源和目的地址之间通讯)l外部DNS 可以连接到Internet Root Serversl 最安全:最安全:l与与Internet之间没有之间没有DNS通讯通讯l定义内部的root serverl控制内部的名字区域l用代理服务器和网关来保证客户端访问Internet DNS通讯l设计选择:设计选择:最安全的方式,即定义内部的DNS root,控制内部的名字区域;客户端
29、访问Internet采用代理服务器和网关的做法。DNS服务器的位置和复制作法服务器的位置和复制作法 l设计选择:设计选择:DNS服务配置在域控制器上,有些域控制器并不需要安装DNS服务,具体配置参见服务器设计。DNS区域都配置为AD集成的DNS区域,利用目录服务的复制拓扑和复制周期实现DNS区域记录的复制;利用动态更新的功能 OUOU的作用的作用l划分管理任务l用来配置组策略l用来隐藏一些对象SiteSite概念概念l在目录服务的术语中,一个Site是指一些连接很好的网络 l服务客户请求服务客户请求.当客户从域控制器请求服务时,例如用户认证,目录服务确定用户所在的Site,直接将请求交给与用户
30、在同一个Site的域控制器。选择离用户群最近的域控制器可以有效地对用户进行回应。l优化复制优化复制.Sites 控制目录复制的信息流量。目录复制在Site内部比在Site之间更频繁,而且Site之间的复制是压缩的(压缩比为5-10)l一个设计很好的Site拓扑结构可以保证网络带宽不至于因目录复制信息而饱和,而且,目录信息能够保证更新,客户端机器能够访问到最近的资源 Site 概念概念lSite Linkl目录服务复制可以通过配置Site之间连接器来进行控制,即配置Site Links:连接的成本和复制周期。目录服务利用Site Links这些配置信息来确定在域控制器之间最有效的目录复制连接l连
31、接对象连接对象l连接对象定义了目录复制的源、目的以及时间周期的安排。l缺省情况下,由目录系统中的KCC根据管理员配置的Site和Site Link信息自动创建连接对象。l管理员可以改动KCC创建的连接对象,也可以手工配置连接对象 Site设计l客户端登录的反应时间l目录服务复制的冗余l网络带宽的优化Site的划分l不存在域控制器的地方,不必划Site;域控制器的放置在目前的原则是 l一级分支机构放置域控制器以用于用户登录l二级分支机构根据网络有效带宽是否能够满足用户登录需要来放置;如果不放置域控制器,用户登录需要通过广域网,每个用户登录所需的时间由登录流量和网络带宽来决定Site 设计设计复制
32、量计算复制量计算目录数据库的大小目录数据库的大小l目录数据库的大小:l按25000用户,w2k 计算机25000个,打印机3000个,大组500个,中组2000个,小组2000个,500个OU考虑,每个数据库是344MlGC的大小:l为520M Site Link 开销值l有效带宽(kilobits/second)Costl9.61042l19.2798l38.4644l56586l64567l128486l256425l512378l1024340l2048309l4096283Site Link 复制日程安排复制日程安排 l定义一个复制日程安排:l定义复制窗口为全周、全天开放l除上班的高峰
33、时间:08:00 11:00 3小时和14:00 17:00 3小时 Site Link 副本复制频率副本复制频率 l在复制窗口18个小时中:l从桥头堡到分支机构的复制为2次,各6小时l从分支机构到桥头堡的复制为2次,各3小时确定复制时间表l满足的条件是:只能有4个二级分支机构同时进行复制,即同时使用一级分支机构的线路进行复制l在Inbound阶段:各分支机构将本地的变化传递到桥头堡服务器l在Outbound阶段:桥头堡服务器将所有发生的变化传递到各分支机构l根据以上时间表:l各分支机构每天的目录变化,第二天能够总部复制时时间间窗窗口口 11:00-14:00/3小时 17:00-23:00/
34、6小时 23:00-2:00/3小时 2:00 8:00/6小时 复复制制频频率率 每一小时 每一小时 每一小时 每一小时 复复制制类类型型(对对于于桥桥头头堡堡服服务务器器)Inbound Outbound Inbound Outbound 各个桥头堡上的复制周期配置冗余的考虑服务器服务器概念概念l域控制器域控制器l域控制器是使用 Active Directory 安装向导配置的运行 Windows 2000 Server 的计算机。Active Directory 安装向导安装和配置为网络用户和计算机提供 Active Directory 目录服务的组件。域控制器存储着目录数据并管理用户域
35、的交互,其中包括用户登录过程、身份验证和目录搜索。l桥头堡桥头堡l数据中心的域控制器有一种角色是负责与大量的分支机构域控制器进行,维持复制拓扑结构,保证目录信息的及时更新和准确度l全局编录:全局编录:GCl森林中的一台或多台域控制器可以作全局编录GC。存储着其所在域的目录中所有对象的全部副本及森林中每个其他域的目录所包含的所有对象的部分副本。因为副本存储着森林中每个对象的部分而非全部的属性值,所以这只是一部分。全局编录发挥两个重要目录的作用:l启动登录过程时,它通过将全局组成员信息提供给域控制器来启用网络登录。l它允许查找目录信息,而不管树林中的哪个域实际包含这些数据。l客户端登录到网络时,需
36、要联系全局编录,所以在设计中需要考虑全局编录的位置。操作主机:FSMOl在森林中DC是平等的多主复制关系,但在森林中还有一些特殊职责,只有一台DC担当,我们称之为操作主机。l在操作主机中分为森林级和域级,森林级指在整个森林中只有一台DC担当此职责,域级指在域中只有一台DC担当此职责。l每个森林只能有一个schema master 和一个 domain naming master:lSchema Master 控制对于Schema的更新和修改。更改Schema必须在Schema Master上。任何时候,森林中只能有一台Schema MasterlDomain naming master 在森林
37、中控制域的增、删。任何时候整个森林只能有一台Domain naming masterl每个域都必须而且只能有一个以下角色:l相对 ID 主机(Relative ID master):相对 ID 主机将系列相对 ID 分配给域中每个不同的域控制器lPDC 仿真程序(Primary domain controller emulator):接收由域中其他域控制器执行的密码更改的优先复制。如果密码最近被更改,则需要花费一定时间将此次更改复制到域中的每个域控制器。如果登录验证由于密码错误而在另一个域控制器中执行失败,则该域控制器将在拒绝登录尝试前将验证请求转发给PDC 仿真程序l基础主机(Infrast
38、ructure master):基础主机负责在重新命名或更改组成员时更新“组到用户”的引用放置原则放置原则l域控制器的放置在目前的原则是:域控制器的放置在目前的原则是:l总部l数据中心l一级分支机构放置域控制器以用于用户登录l二级分支机构根据网络有效带宽是否能够满足用户登录需要来放置;如果不放置域控制器,用户登录需要通过广域网,每个用户登录所需的时间由登录流量和网络带宽来决定;如果不放置域控制器,使用所属一级分支机构的域控制器。GC放置放置l森林根域中有一台GC l数据中心:HUB机器为GC l因为用户登录需要GC,所以设计离用户近的域控制器作为GC lGC会引起复制流量的增加,在正常运行过程
39、中,采用增量增加的方法。在Site设计文档中,会计算GC引起的流量 FSMO角色的位置lFSMO角色的位置:角色的位置:l森林级角色在总部的森林根中:共有3台机器l数据中心:各有2台机器服务器机器类型l根据标准化硬件/软件的原则,机器类型分为三类:lA:森林根域l单 PIII 800 xeon CPUl512M内存l1 megabytes(MB)of L2 cachelB:北方域和南方域的机器类型一致l双 PIII 800 xeon CPUl1GB内存l2 megabytes(MB)of L2 cachelC:桥头堡服务器和PDC Emulatorl四 PIII 800 xeon CPUl2G
40、B内存l2 megabytes(MB)of L2 cache服务器硬盘规则服务器硬盘规则l目录服务数据库存储需要:25000*0.4G/1000=10GlGC的存储为:10G+10G/2=15Gl物理硬盘 0 由两块30G硬盘配制成RAID1,划分为两个逻辑分区(C:和 F:),NTFS文件系统lC:(系统服务,DNS WINS services):10Gl系统文件-C:WINNTlPagefilelF:(目录服务的日志和DHCP的日志):20Gl目录服务的日志-F:NTDS.logl物理硬盘 1 由三块30G的硬盘配置为RAID5,划分为两个逻辑分区(D:和 P:),NTFS文件系统lP盘:
41、目录使用,20Gl目录服务的数据库文件-P:NTDS lSystem Volume 文件-P:SYSVOLlD盘:文件共享用,40G服务器容量和数量服务器容量和数量l森林根域:三台A类型的服务器 l用户数在1000以下的机构:一台B类型的服务器l用户数在1000以上的机构:两台C类型的服务器lPDC Emulator各自是一台单任务的机器,它们的硬件配置为C类型的服务器 l桥头堡服务器:一台C类型的服务器服务器数目建议服务器数目建议l是否在本地放置域控制器,取决于广域网是否支持用户使用远程服务器以及目录服务本身承载并发的能力。l网络流量是关键瓶颈,其他资源如CPU/内存/硬盘等情况忽略不讨论
42、其他信息其他信息市场份额市场份额Source:Gigatel 2000 国际客户国际客户国际客户国际客户l最大的实施目前是:lAnthem Blue Cross Blue Shieldl8,000,000lGeneral ElectriclSun/iPlanet plans scrapped,GE to roll out MS Active Directory and Exchange 2000 to 400K users成功案例成功案例(1)公司名称客户端数目GE400,000US Air Force300,000Citibank250,000+US Army200,000SIEMENS36
43、0,000Boeing Company150,000Compaq105,000Lockheed Martin Corp.100,000US Navy198,000EDS100,000Ericsson Inc.105,000Ford Motor Company180,000British Telecom76,000Merrill Lynch Co.70,000Volkswagen AG70,000成功案例成功案例(2)公司名称客户端数目Nortel85,000German Telekom150,000Lucent Technologies105,800Motorola77,000Dow Chem
44、icals50,000Xerox70,000Cisco40,000KPMG80,000Wells Fargo Bank70,000Royal Bank40,000Time Warner Inc.40,000Bank of America50,000Intel71,000AT&T98,800国内客户国内客户部分客户部分客户l铁道部l中国海关l中国石油l工商银行l工商管理局l中国联通国内客户国内客户l中国网通l快速部署和实施l5.1期间从NT40平台升级到Windows2000目录系统l服务器集中模式lWindows2000 桌面灵活控制l安全控制l制度角度l打印定位功能国内客户国内客户l中国工商银行lIntranet 建设-目录服务的目标为:l办公网域名解析体系l灵活管理的目录架构 目录服务建设为用户管理和桌面管理实现了中心管理和分布管理的平台。l办公应用Single Sign On的目录平台l桌面标准化 标准化办工网用户桌面环境.中国海关中国海关l3套目录体系l目录设计过程l授权中心l企业应用系统的门户站点l企业应用系统的授权管理