中國(guó)醫(yī)藥集團(tuán)AD 域及廣域網(wǎng)DNS 結(jié)構(gòu)規(guī)劃實(shí)現(xiàn)（內(nèi)部資料 注意保密） ,目錄第一部分AD 及DNS 結(jié)構(gòu)規(guī)劃 ..............................

中國(guó)醫(yī)藥集團(tuán)

AD 域及廣域網(wǎng)DNS 結(jié)構(gòu)規(guī)劃實(shí)現(xiàn)

（內(nèi)部資料 注意保密）

目錄

第一部分AD 及DNS 結(jié)構(gòu)規(guī)劃 ..................................................................................................... - 1 -

第1章 活動(dòng)目錄域結(jié)構(gòu)規(guī)劃實(shí)現(xiàn) . ............................................................................................ - 1 -

1.1.

1.2.

1.3.

1.4.

1.5.

1.6. 功能需求 ............................................................................................................................. - 1 - 設(shè)計(jì)思想 ............................................................................................................................. - 1 - 技術(shù)背景 ............................................................................................................................. - 1 - 難點(diǎn)解析 ............................................................................................................................. - 6 - 林結(jié)構(gòu)拓?fù)?......................................................................................................................... - 7 - 用戶林結(jié)構(gòu)域名規(guī)劃 ......................................................................................................... - 8 -

第2章 站點(diǎn)結(jié)構(gòu)規(guī)劃實(shí)現(xiàn) ........................................................................................................ - 9 -

2.1.

2.2.

2.3.

2.4.

2.5.

2.6. 功能需求 ............................................................................................................................. - 9 - 設(shè)計(jì)思想 ............................................................................................................................. - 9 - 技術(shù)背景 ............................................................................................................................. - 9 - 難點(diǎn)解析 ........................................................................................................................... - 12 - 站點(diǎn)結(jié)構(gòu)拓?fù)?................................................................................................................... - 13 - 站點(diǎn)內(nèi)資源規(guī)劃 ............................................................................................................... - 14 -

2.6.1.

2.6.2.

2.6.3. 集團(tuán)總部站點(diǎn) ........................................................................................................... - 14 - 二級(jí)子公司站點(diǎn) ....................................................................................................... - 14 - 集團(tuán)總部與二級(jí)子公司站點(diǎn)關(guān)系 ........................................................................... - 15 -

第3章 資源林與用戶林關(guān)系 .................................................................................................. - 15 -

3.1.

3.2.

3.3.

3.4.

3.5. 功能需求 ........................................................................................................................... - 15 - 設(shè)計(jì)思想 ........................................................................................................................... - 15 - 技術(shù)背景 ........................................................................................................................... - 16 - 難點(diǎn)解析 ........................................................................................................................... - 18 - 二級(jí)子公司整合方法 ....................................................................................................... - 19 -

3.5.1.

3.5.2.

3.5.3.

第4章

4.1.

4.2.

4.3.

4.4.

4.5. 已經(jīng)擁有域環(huán)境，需與集團(tuán)域環(huán)境建立信任 ....................................................... - 19 - 正在規(guī)劃域環(huán)境，后期需與集團(tuán)域環(huán)境建立信任 ............................................... - 19 - 暫無域環(huán)境，僅使用廣域網(wǎng)DNS 解析 .................................................................. - 20 - DNS 結(jié)構(gòu)規(guī)劃實(shí)現(xiàn) .................................................................................................. - 21 - 功能需求 ........................................................................................................................... - 21 - 設(shè)計(jì)思想 ........................................................................................................................... - 21 - 技術(shù)背景 ........................................................................................................................... - 21 - 難點(diǎn)解析 ........................................................................................................................... - 23 - DNS 整體結(jié)構(gòu)拓?fù)?........................................................................................................... - 24 -

DNS 規(guī)劃實(shí)現(xiàn) ........................................................................................................... - 24 - DNS 條件轉(zhuǎn)發(fā)器使用 ............................................................................................... - 25 - 4.5.1. 4.5.2.

第5章 域部署軟硬件環(huán)境要求 .............................................................................................. - 27 - 第二部分AD 及DNS 部署實(shí)施 .................................................................................................. - 28 -

第1章 資源域環(huán)境部署 . ......................................................................................................... - 28 -

1.1子公司域環(huán)境拓?fù)?. ................................................................................................................. - 28 -

1.2部署域控制器 . ......................................................................................................................... - 28 -

1.2.1 域控制器操作系統(tǒng)初始化 . ............................................................................................. - 28 -

1.2.2 安裝配置AD DS服務(wù)和DNS 服務(wù) ................................................................................. - 29 -

第2章 子公司資源域DNS 部署.............................................................................................. - 40 -

2.1子公司資源域DNS 拓?fù)?......................................................................................................... - 40 -

2.2子公司資源域DNS 部署 ......................................................................................................... - 40 -

第3章 子公司資源域與現(xiàn)有AD 信任關(guān)系建立 . .................................................................... - 44 -

3.1子公司林信任拓?fù)?. ................................................................................................................. - 44 -

3.2子公司林信任部署 . ................................................................................................................. - 44 -

3.2.1 子公司用戶林林信任部署 . ............................................................................................. - 44 -

3.2.2 子公司資源林林信任部署 . ............................................................................................. - 51 - 第三部分 統(tǒng)一用戶的使用與管理 ............................................................................................. - 59 -

第1章 統(tǒng)一用戶信息維護(hù) ...................................................................................................... - 59 -

第2章 連接AD 服務(wù)器相關(guān)信息 . ........................................................................................... - 59 -

2.1.

2.2.

2.3. 各二級(jí)公司服務(wù)賬號(hào) ....................................................................................................... - 59 - 服務(wù)器連接信息 ............................................................................................................... - 59 - AD 相關(guān)對(duì)象類屬性 . ......................................................................................................... - 60 -

第3章 管理資源林AD 域用戶詳細(xì)信息 ................................................................................ - 60 -

第一部分AD 及DNS 結(jié)構(gòu)規(guī)劃

第1章 活動(dòng)目錄域結(jié)構(gòu)規(guī)劃實(shí)現(xiàn)

1.1. 功能需求

匹配國(guó)藥集團(tuán)現(xiàn)有組織結(jié)構(gòu)和管理特性，實(shí)現(xiàn)統(tǒng)一用戶認(rèn)證，一人一賬號(hào)。具備每個(gè)二級(jí)單位的管理獨(dú)立可操作性。

1.2. 設(shè)計(jì)思想

根據(jù)國(guó)藥集團(tuán)的組織結(jié)構(gòu)和管理特性，統(tǒng)一用戶的規(guī)劃采用Windows Server AD 域功能進(jìn)行部署，新AD 域的邏輯結(jié)構(gòu)使用“中央資源林 外圍用戶林”的結(jié)構(gòu)設(shè)計(jì)，滿足二級(jí)公司的獨(dú)立維護(hù)和集團(tuán)統(tǒng)一規(guī)劃集中管理的設(shè)計(jì)思想。 集團(tuán)現(xiàn)有情況為總部和子公司存在多個(gè)隔離的域森林，但需要采取共用通用的資源（如：HR 系統(tǒng)下發(fā)的賬戶、全集團(tuán)各公司統(tǒng)一使用的應(yīng)用系統(tǒng)等）來進(jìn)行IT 資源整合。

為有效整合多個(gè)子公司林結(jié)構(gòu)，而提供共享基礎(chǔ)結(jié)構(gòu)的資源林，這種拓?fù)鋷淼暮锰幨侵恍铻閱蝹€(gè)林（資源林）擴(kuò)展 Active Directory 架構(gòu)。

1.3. 技術(shù)背景

活動(dòng)目錄

活動(dòng)目錄 是Windows Server完全實(shí)現(xiàn)的目錄服務(wù)，也是Windows Server網(wǎng)絡(luò)體系的基本結(jié)構(gòu)模型。Microsoft 在Windows Server 中提供的活動(dòng)目錄是一個(gè)全面的目錄服務(wù)管理方案，也是一個(gè)企業(yè)級(jí)的目錄服務(wù)，具有很好的可伸縮性。 活動(dòng)目錄采用了Internet 的標(biāo)準(zhǔn)協(xié)議，它與操作系統(tǒng)緊密地集成在一起?；顒?dòng)目錄不僅可以管理基本的網(wǎng)絡(luò)資源，比如計(jì)算機(jī)對(duì)象、用戶賬戶、打印機(jī)等，它也充分考慮了現(xiàn)代應(yīng)用的業(yè)務(wù)需求，為這些應(yīng)用提供了基本的管理對(duì)象模型，比如用戶賬戶對(duì)象具有辦公電話、手機(jī)、電子郵件等屬性。幾乎所有的應(yīng)用可以

- 1 -

直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動(dòng)目錄也具有很好的擴(kuò)充能力，允許應(yīng)用程序定制目錄中對(duì)象的屬性或者添加新的對(duì)象類型。

域

域是一種管理單元，并且在一個(gè)域內(nèi)部將共享某些功能和參數(shù)。首先，所有域控制器都需要復(fù)制域的數(shù)據(jù)存儲(chǔ)中的分區(qū)，這些分區(qū)中將包含該域中用戶、組和計(jì)算機(jī)的身份數(shù)據(jù)。因?yàn)樗蠨C 都維持了相同的身份存儲(chǔ)，因此任何一臺(tái)DC 都可對(duì)域中的任何身份進(jìn)行驗(yàn)證。

任何一臺(tái)域控制器還可對(duì)Active Directory數(shù)據(jù)庫中任何一個(gè)對(duì)象進(jìn)行改動(dòng)，這些改動(dòng)隨后將復(fù)制給所有其他域控制器。因此如果網(wǎng)絡(luò)無法支持在域控制器之間復(fù)制所有數(shù)據(jù)，就需要實(shí)施多個(gè)域，并分別管理身份子集的復(fù)制工作。

域樹

域樹是指連續(xù)的DNS 名稱空間。如果一個(gè)域是另一個(gè)域的子域，那么這種組成連續(xù)空間的域就組成一個(gè)域樹。

森林

森林是指一個(gè)或多個(gè)Windows Server AD域的集合。每個(gè)活動(dòng)目錄的實(shí)施將至少有一個(gè)森林，森林的數(shù)量取決于公司的組織架構(gòu)。在很多情況下，單一森林就足夠了。

林是活動(dòng)目錄的單一實(shí)例，也就是說，數(shù)據(jù)默認(rèn)不會(huì)被復(fù)制到林邊界范圍外的Active Directory，因此林可被用于定義安全邊界。

單一森林環(huán)境易于建立和維護(hù)，森林內(nèi)的域自動(dòng)建立雙向可傳遞內(nèi)部信任關(guān)系，不要求手動(dòng)建立外部信任配置，在安裝擴(kuò)展域架構(gòu)的應(yīng)用程序時(shí)，只需應(yīng)用一次架構(gòu)更改即可影響所有域。

域和林的功能級(jí)別

域和林的功能級(jí)別分別代表了域和林的運(yùn)作模式，功能級(jí)別決定了域控制器可使用的Windows 版本和Active Directory中可使用的功能。

創(chuàng)建新域或新林時(shí)，建議將域和林功能級(jí)別設(shè)置為當(dāng)前環(huán)境可以支持的最高值，這樣可以盡可能的充分發(fā)揮AD 的功能。如果肯定不會(huì)將運(yùn)行Windows Server 2008（以后簡(jiǎn)稱WIN08）或任何更早版本的操作系統(tǒng)的域控制器添加到域或林，可以選擇WIN08R2功能級(jí)別。另外，如果可能會(huì)保留或添加運(yùn)行WIN08或早版

- 2 -

本的域控制器，則在安裝期間應(yīng)選擇 Windows Server 2008 功能級(jí)別。若確定不會(huì)添加這類域控制器或這類域控制器不再使用，則安裝后可以提升功能級(jí)別。

需要注意的是不能將域功能級(jí)別設(shè)置為低于林功能級(jí)別的值。例如將林功能級(jí)別設(shè)置為WIN08，則只能將域功能級(jí)別設(shè)置為WIN08或WIN08R2。Windows 2000（以后簡(jiǎn)稱WIN2K ）和Windows Server 2003（以后簡(jiǎn)稱WIN03）域功能級(jí)別值在“設(shè)置域功能級(jí)別”向?qū)ы撝袑⒉豢蛇x擇。因此，若選擇林功能級(jí)別為WIN08R2，那么，向?qū)⒉粫?huì)出現(xiàn)“設(shè)置域功能級(jí)別”步驟，默認(rèn)情況下向林添加的所有域都將為WIN08R2域功能級(jí)別。

特別需要注意：

將域功能級(jí)別設(shè)置為某個(gè)特定值后，將無法回滾或降低域功能級(jí)別，但以下情況例外：將域功能級(jí)別提升至WIN08R2，并且林功能級(jí)別為WIN08或更低時(shí)，可以將域功能級(jí)別回滾到WIN08，且只能將其從WIN08R2降到WIN08，而不能將其回直接滾到WIN03。

下表列出每種域功能級(jí)別啟用的功能和支持的域控制器操作系統(tǒng) 域功能級(jí)別 啟用的功能

所有默認(rèn)的 Active Directory 功能及

以下功能：

?為分發(fā)組和安全組啟用的通用組。

?組嵌套。

?已啟用組轉(zhuǎn)換，可在安全組和分發(fā)組之

間進(jìn)行轉(zhuǎn)換。

?安全標(biāo)識(shí)符 (SID) 歷史記錄。

所有默認(rèn)的 Active Directory 功能、

所有來自 Windows 2000 純模式域功能

級(jí)別的功能，以及以下功能：

?準(zhǔn)備要用于域控制器重命名的域管理

工具 Netdom.exe 的可用性。

?更新登錄時(shí)間戳。將使用用戶或計(jì)算機(jī)

的上次登錄時(shí)間來更新

lastLogonTimestamp 屬性?？梢栽谟騼?nèi)

復(fù)制該屬性。

?在 inetOrgPerson 和用戶對(duì)象上將

userPassword 屬性設(shè)置為有效密碼的

功能。

?重定向用戶和計(jì)算機(jī)容器的功能。默認(rèn)

情況下，已提供兩個(gè)已知的容器用于容

納計(jì)算機(jī)和用戶/組帳戶：即，

- 3 -

支持的域控制器操作系統(tǒng) Windows Server 2008 R2 Windows Server 2008 Windows Server 2003 Windows 2000 Windows 2000 純模式 Windows Server 2003 Windows Server 2008 R2 Windows Server 2008 Windows Server 2003

cn=Computers,<域根> 和 cn=Users,<域根>。該功能可用于定義這些帳戶新的已知位置。

?授權(quán)管理器能夠?qū)⑵涫跈?quán)策略存儲(chǔ)在 Active Directory 域服務(wù) (AD DS) 中。 ?包含受限制的委派，以便使應(yīng)用程序可通過 Kerberos 身份驗(yàn)證協(xié)議充分利用用戶憑據(jù)的安全委派?？梢詫⑽膳渲脼閮H允許特定的目標(biāo)服務(wù)。

?支持選擇性的身份驗(yàn)證，通過它可以從受信任林指定允許對(duì)信任林中資源服務(wù)進(jìn)行身份驗(yàn)證的用戶和組。

所有默認(rèn)的 Active Directory 功能、所有來自 Windows Server 2003 域功能級(jí)別的功能，以及下列功能：

?SYSVOL 的分布式文件系統(tǒng) (DFS) 復(fù)制支持，可提供 SYSVOL 內(nèi)容的更穩(wěn)健更詳細(xì)的復(fù)制。

?Kerberos 身份驗(yàn)證協(xié)議的高級(jí)加密服務(wù)（AES 128 和 256）支持。

?來自運(yùn)行 Windows Server 2008 或 Windows Vista 或更高版本的工作站的上次交互式登錄信息，將顯示上次登錄成功和失敗的時(shí)間以及自上次成功登錄之后失敗的登錄嘗試次數(shù)。

?嚴(yán)格的密碼策略 (FGPP)，這可以為域中的用戶和全局安全組指定密碼和帳戶鎖定策略。 Windows Server 2008 Windows Server 2008 R2 Windows Server 2008

所有默認(rèn)的 Active Directory 功能、所有來自 Windows 2000 純模式、Windows Server 2003 和 Windows Server 2008 功能級(jí)別的功能，以及以下功能：

?身份驗(yàn)證機(jī)制保證，將對(duì)域用戶進(jìn)行身份驗(yàn)證所用的登錄方法類型（智能卡或

相關(guān)信息封裝在每個(gè)用戶Windows Server 用戶名/密碼）Windows Server 2008 R2 的 Kerberos 令牌中。如果在已部署聯(lián)2008 R2

合身份管理基礎(chǔ)結(jié)構(gòu)（如 Active Directory 聯(lián)合身份驗(yàn)證服務(wù) (AD FS) ）的網(wǎng)絡(luò)環(huán)境中啟用此功能，則每當(dāng)用戶嘗試訪問用于根據(jù)用戶登錄和失敗的登錄嘗試總數(shù)確定是否授權(quán)的聲明感知應(yīng)用程序時(shí)，都會(huì)提取令牌中的信息。 ?服務(wù)的自動(dòng) SPN 管理，適用于計(jì)算機(jī)

- 4 -

帳戶的名稱或 DNS 主機(jī)名發(fā)生更改時(shí)，

運(yùn)行于特定計(jì)算機(jī)上托管服務(wù)帳戶上下

文下的服務(wù)。

下表列出每種林功能級(jí)別啟用的功能和支持的域控制器操作系統(tǒng) 林功能級(jí)別 啟用的功能 支持的域控制器操作系統(tǒng)

Windows Server 2008 R2

所有默認(rèn)的 Active Directory Windows Server 2008

Windows Server 2003 功能。

Windows 2000

所有默認(rèn)的 Active Directory

功能及以下功能：

?林信任。

?域重命名。

?鏈接值復(fù)制（組成員身份中的

更改為各個(gè)成員存儲(chǔ)并復(fù)制值，

而不是作為單個(gè)單位復(fù)制整個(gè)

成員身份）。在不同域控制器中

同時(shí)添加或刪除不同成員時(shí)，這

種更改可在復(fù)制期間占用更少

的網(wǎng)絡(luò)帶寬并降低處理器使用

率，同時(shí)消除丟失更新可能性。?部署運(yùn)行 Windows Server

2008 的只讀域控制器 (RODC)

Windows Server 2008 R2 的功能。

?改進(jìn)的知識(shí)一致性檢查器

(KCC) 的算法和可伸縮性。站點(diǎn)Windows Server 2008

間拓?fù)渖善?(ISTG) 使用改

進(jìn)的算法，可縮放以支持具有遠(yuǎn)Windows Server 2003

遠(yuǎn)大于在 Windows 2000 林功

能級(jí)別上所支持站點(diǎn)的數(shù)量的

林。改進(jìn)的 ISTG 選擇算法是一

種在 Windows 2000 林功能級(jí)

別選擇 ISTG 的入侵性較小的

機(jī)制。

?改進(jìn)的 ISTG 算法（更好的縮

放 ISTG 用于連接林中所有站

點(diǎn)的算法）。

?在域目錄分區(qū)中創(chuàng)建動(dòng)態(tài)輔助

類（稱為 dynamicObject）的實(shí)

例的功能。

?將 inetOrgPerson 對(duì)象實(shí)例

轉(zhuǎn)換為 User 對(duì)象實(shí)例的功能，

- 5 -

Windows 2000 Windows Server 2003

反之亦然。

?創(chuàng)建新組（稱為應(yīng)用程序基本

組和輕型目錄訪問協(xié)議 (LDAP)

查詢組）類型的實(shí)例以支持基于

角色的身份驗(yàn)證的功能。

?在架構(gòu)中停用并重新定義屬性

和類別。

Windows Server 2008 Windows Server 2003 林功能級(jí)別上可用的所有功能，但不包括Windows Server 2008 R2 任何其他功能。但在默認(rèn)情況 下，隨后添加到林的所有域，將Windows Server 2008 在 Windows Server 2008 域功

能級(jí)別進(jìn)行操作。

Windows Server 2003 林功能級(jí)

別上可用的所有功能，以及下列

功能：

?Active Directory 回收站，提

供在運(yùn)行 Active Directory

域服務(wù) (AD DS) 時(shí)還原整個(gè)已

刪除對(duì)象的功能。

隨后添加到林的Windows Server 2008 R2 Windows Server 2008 R2 在默認(rèn)情況下，

所有域都將以 Windows Server

2008 R2 域功能級(jí)別運(yùn)行。

如果計(jì)劃僅包括在整個(gè)林中運(yùn)

行 Windows Server 2008 R2 的

域控制器，則為便于進(jìn)行管理可

以選擇此林功能級(jí)別。如果這樣

做，您將永遠(yuǎn)不必為在林中創(chuàng)建

的每個(gè)域提升域功能級(jí)別。

1.4. 難點(diǎn)解析

1、資源林用作用戶對(duì)象所在的其他林的共享服務(wù)環(huán)境。用戶林與資源林之間存在林級(jí)信任關(guān)系。

微軟要求Active Directory 林之間建立信任關(guān)系，NetBIOS 名稱必須不同。 這就意味著新規(guī)劃資源林NetBIOS 名稱不能和現(xiàn)有域林名稱一樣。

- 6 -

域的NetBIOS 名稱默認(rèn)為域控制器的域名，（例如：sinopharm.com NetBIOS默認(rèn)名稱為 sinopharm ，sinopharm.local NetBIOS默認(rèn)名稱也為 sinopharm ），本方案中定義sinopharm.local 為資源林域名，SPLocal 為NetBIOS 名稱。

2、資源林結(jié)構(gòu)要與現(xiàn)有總部、子公司域結(jié)構(gòu)采用林信任關(guān)系進(jìn)行邏輯連接，建立林信任關(guān)系的雙方林功能級(jí)別必須為Windows Server 2003以上。

1.5. 林結(jié)構(gòu)拓?fù)?/p>

- 7 -