Microsoft 2003 AD技术扩展（转贴）

以下文章转自http://desperado.blogdriver.com/desperado/68234.html

Microsoft 2003 AD技术扩展（一）- -

- 作者： Desperado    江小帅

以前的学生最近来电话，说对AD了解得不是很透彻，总感觉就是那么点儿东西，我说：不是吧？大哥，看来是什么都大拿了。于是随便说了几个有关AD的东东，我靠准知道他不会。我是提倡在理解完MCSE教程上面的每一个知识点之后再掌握这些使用和管理AD的特殊技巧。说来大家一起共勉吧！

 

1、出于某些原因，组中包含的成员一般不能超过5000个。如果组的最大容量为5000，那么域在建立时自动创建名为“Domain Users"的组中会包还所在域的每个用户帐户，如果建立了一个大于5000名用户的AD，那么“Domain Users”也不会崩溃的，why？答案在于“Domain Users”并不是一个真正的组，而只是看上去像一个组。他的容量根据用户的需要可以是任意大小的。

 

2、建立多域与使用OU的对比：
由于带宽有限：复制成为难题（这是使用多域结构最好的理由）。
不同的用户帐户策略：因为包含用户帐户策略的策略只能应用在域上，如果应用到一个OU或SITE上，则被忽略，所以这也是建立多域的原因。
不信任分支办公室：这个不用说了。
政治：父公司，子公司，这个也不用说了。

 

3、空根设计：
创建第一个域然后只在其中放入一两个帐户，别的什么也不做的想法称为空根AD设计。有些企业即使建立的是只有一个域的企业系统也创建了一个空根域，这是考虑到将来可能会收购其他公司时需要。缺点时你需要为这个空根设置一台DC，或者两台，并持续不断地运行，什么也不做，仅仅是为了支持根域。

 

4、在命令行使用以下命令查找客户计算机所在的站点名字。（域内的计算机就是根据这个位置来寻找距离自己最近的DC的，只有在2003的计算机上默认才有reg.exe这个命令的，2000下需要安装光盘上的support工具）
reg query hklm/System/CurrentControlSet/Services/Netlogon/Parameters /v dynamicsitename

 

5、在域的成员计算机上打开一个命令提示符界面并输入set命令，可以找出是哪台DC让自己登录进的。LogonServer=开始的一行就是。

 

6、在用户的登录过程中，如果找不到GC，那么用户将无法登录（如果在单域中，不需要GC也可以登录进入），管理员可以告诉自己的本地DC即使找不到GC也仍然接受登录（KB241789）。修改注册表即可,位置如下：

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa/中创建一个名为IgnoreGCFailures的记录项，类型是REG_DWORD，并且把它设置为1就可以了。不过这么做意味这你的工作站将在登录过程中跳过一个安全步骤，避开队你的通用组成员关系的检查。

 

改天继续：）

Microsoft 2003 AD技术扩展（二）- -

                                      

7、AD与非动态DNS

微软的AD对DNS的要求可以总结为以下3点：（有点儿絮叨）

a、在DNS名字空间中支持下划线，因为在AD中有些重要的子域需要在其名字中使用下划线。这一点在教程中没提。

b、支持SRV记录，不用说为什么了。

c、动态DNS（也可以使用不支持动态DNS，后面就有讲解）

 

有的时候我们也可以采用一些其他公司的DNS产品来代替2000/2003的动态DNS服务。如支持SRV记录（RFC2782）和动态更新（RFC2136）的Linux系统上运行的BIND，或者Lucent公司的QIP DNS/DHCP系统。（后者没用过，不知道是个什么样儿，只在其他书籍中提过）但有的时候动态的DNS在某中情况中会给我们带来一些安全的隐患。AD与非动态DNS的结合实际上也是可行的。例如在以下文字中如果DNS支持SRV和下划线，但不支持动态DNS，仍然可以使用一个名字为Netlogon.dns的文件来实现AD。

 

每台支持DDNS功能的计算机都会在DDNS中亲自写入一条自己的A记录。但是AD实际上需要依靠所有这些SRV记录，并且他们是由Netlogon服务写入区域文件的。每当重新启动一台DC或者重新启动Netlogon服务、或者过了一段时间没有更新的时候，Netlogon服务会与主DNS服务器联系，并注册自己的SRV记录。但DC上的Netlogon服务还做了其他的事情，它可以把这些SRV记录写入一个名为Netlogon.dns的ASCII文本文件。该文件存储在/Windows/System32/Config/中———进入任何一台DC，使用记事本可以查看该文件中有大量的SRV记录。

 

利用以上的说明就可以利用一台不支持动态升级的DNS实现支持AD。

a、首先在DNS服务器上（不支持动态升级，如NT4.0）建立一个区域jzl.com作为主要区域。将这个区域文件命名为jzl.com.dns。

b、为jzl.com域中的每台DC输入A记录。

c、进入jzl.com域中的每台DC，然后启动它的Netlogon服务。

d、把该DC上的/Windows/Syytem32/Config/Netlogon.dns文件放到一张软盘或者网络上。

e、取得所有DC的Netlogon.dns文件后，在jzl.com的主DNS服务器上把它们合并成一个大ASCII文件。

f、在这台DNS服务器上，停止DNS服务。

g、在/%SystemFiles%/System32/DNS中，用notepad打开文件jzl.com.dns。、

h、在额外的行中添加你把所有的Netlogon.dsn记录项合并成jzl.com.dns这个文件时收集的SRV记录。

i、保存这个文件。

j、重新启动DNS服务。

 

这台不支持动态工薪的DNS服务器以及它的任何辅助服务器现在可以支持AD了：）

缺点：

a、收集所有DC的Netlogon.dns文件需要做大量的工作。

b、并不具有很好的动态性，如果删除DC或DC脱机都需要手工删除DNS上的的Netlogon.dns文件中的相应SRV记录。

 

Microsoft 2003 AD技术扩展（三）- -

                                      

8、RID FSMO池

 

任何“本机模式”的DC都可以做到的一件事是创建新帐户，并且不需要去查找其它什么“中央”或“主”域控制器。在NT/2000中，每个事物都有一个惟一的标识符SID。
SID样子如下：
S-1-5-21-D1-D2-D3-RID

在所有的SID中都有1-5-21。这里的D1，D2，D3实际上是三个随机生成的32位数字。当AD刚刚开始创建一个域的时候，它会生成惟一的32位数字，并且对该域中生成的任何SID它们会保持不变。
“注：D1-D2-D3可能是根据MAC地址建立的，所以每台DC都不一样。”
RID为最后的32位，因此被称为相对（relative）或者RID。一些RID是固定的。在每个域中都有一台DC，负责向外提供RID，因此每个DC就可以创建最多500个帐户，然后又需要回去找那台中央DC，再次要500个RID（实际上DC不会等到RID缓冲池用完才去要的，一般在还剩100-250的时候）。

 

9、基础结构 FSMO

 

在多域网络中，很难把对一个组或者用户帐户的更改迅速反映到其它的域中（例如重命名一个用户或把一个用户放入域中的一个组）。基础结构主控的机制可以加快这一过程。

 

10、在“任务管理器”中看不到KCC，因为它是lsass.exe的一部分。但观察lsass.exe则是一个指出是否需要另一个DC的好办法。通过“性能查看器”检查“进程”对象，并且查看其中lsass.exe所占CPU增长，或你发现当lsass.exe很繁忙的时候，就需要增加额外的DC了。

 

11、名称上下文：这个词来自LDAP，被Microsoft公司采纳，它的意思是“必须在一批计算机之间复制的数据库”。