Active Directory(AD)是許多企業(yè)廣泛使用的管理工具����,在網(wǎng)域的樹系結(jié)構(gòu)之下,內(nèi)部網(wǎng)路各處的電腦�����、印表機(jī)���、共享資源�����,乃至於使用者等物件(Object)皆可透過AD統(tǒng)一管理���。然而,AD在建置上仍有一些需要注意的�����,例如為了因應(yīng)企業(yè)之間截然不同的應(yīng)用需求,有時(shí)負(fù)責(zé)管理網(wǎng)域運(yùn)作的網(wǎng)域主控站(Domain Controller���,DC)也必須經(jīng)過適當(dāng)?shù)恼{(diào)校�����,才能正常提供服務(wù)�����。
本身擅長(zhǎng)於AD、Exchange Server等領(lǐng)域的微軟最有價(jià)值專家廖康寧��,就他個(gè)人的實(shí)際經(jīng)驗(yàn)為例���,DC的調(diào)校��,可以從DNS伺服器����、LDAP查詢(LDAP Query)����、資料複寫(Replication)����,以及物件管理幾個(gè)方向著手進(jìn)行���,除此之外��,企業(yè)應(yīng)該避免針對(duì)單一組織單位(Organizational Unit��,OU)指派過多的群組原則�,或者套用一些錯(cuò)誤的設(shè)定���,導(dǎo)致一般個(gè)人端電腦開機(jī)時(shí)�����,花在登入網(wǎng)域的時(shí)間變得非常冗長(zhǎng)��。
如果是規(guī)模較小�,或者是據(jù)點(diǎn)位於臺(tái)灣本島內(nèi)部的企業(yè)�,即使不去特別進(jìn)行DC調(diào)校的工作,一般來說��,通常也不會(huì)有什麼問題發(fā)生,只要各項(xiàng)功能可以正常使用即可����,廖康寧表示,如果企業(yè)規(guī)模較大����,或者是需要穿過廣域網(wǎng)路連接DC,建置AD之前就必須經(jīng)過良好的規(guī)畫���,將任何可能遇到的問題考量進(jìn)來���,而且調(diào)校的工作最好能在DC架設(shè)完成後的當(dāng)下,就馬上進(jìn)行����。
自動(dòng)清除無效的設(shè)定����,避免相互複寫,造成效能浪費(fèi)
DNS是DC的運(yùn)作核心���,在一臺(tái)電腦的登入網(wǎng)域的流程��,它會(huì)去尋找DC要求驗(yàn)證����,透過DNS,電腦便能知道最近一臺(tái)的DC位於何處�����。而DNS則是依賴SRV記錄得知DC所在的IP位址�,再將這項(xiàng)資訊,發(fā)布給企業(yè)網(wǎng)域下的所有電腦���。
Windows的DNS伺服器有一項(xiàng)「自動(dòng)清除過時(shí)資料」(scavenging record)的功能(預(yù)設(shè)不啟用)�,可以讓DNS每隔一段時(shí)間就清除一次無效的資料��,預(yù)設(shè)的間隔是7天���,超過這段時(shí)間一直沒有被使用的DNS記錄��,就會(huì)視為多餘�,而且是無效的記錄�,為了不讓這些資料一直重複的被複製,造成效能上的浪費(fèi),同時(shí)也可以掌握DC上正常運(yùn)作的節(jié)點(diǎn)數(shù)量��。
調(diào)整架構(gòu)�����,加快LDAP查詢
LDAP的查詢速度的快慢也和AD設(shè)定有關(guān)�����。對(duì)於企業(yè)來說�����,常見的LDAP查詢主要是發(fā)生在應(yīng)用程式上���,例如Exchange Server與Outlook之間的互動(dòng)�����。
舉例來說,我們開啟Outlook去連接一臺(tái)Exchange Server的動(dòng)作�,其實(shí)就是在執(zhí)行LDAP查詢,郵件伺服器會(huì)透過LDAP向後端擔(dān)任GC(Global Catalog)角色的DC����,詢問Outlook傳送過來的帳號(hào)��、密碼是否正確��、有效��,確認(rèn)沒有問題之後�����,才會(huì)允許使用者收取郵件�,下載到自己的電腦上閱讀��。
廖康寧認(rèn)為�����,GC是LDAP查詢過程中�,需要加以調(diào)校的一項(xiàng)重點(diǎn),許多人在設(shè)定時(shí)往往會(huì)忽略這一點(diǎn)�����,就他以前曾經(jīng)協(xié)助處理過的一個(gè)案例來說���,該企業(yè)在中國昆山����、上海皆擁有據(jù)點(diǎn),由於後者的使用者人數(shù)不多��,因此在郵件服務(wù)的規(guī)畫上�,就由上海的使用者透過廣域網(wǎng)路,連線到昆山的Exchange Server收取郵件���。
雖然上海本身擁有一臺(tái)自己專屬的GC���,然而由於郵件伺服器位於昆山,Exchange Server預(yù)設(shè)會(huì)和所在地的GC要求驗(yàn)證���,因此使用者必須連線到昆山的GC����,來驗(yàn)證帳號(hào)��、密碼��。
縱然兩地之間的連線頻寬沒有塞滿其他應(yīng)用程式的封包���,但資訊人員還是發(fā)現(xiàn)上海的使用者開啟Outlook之後�����,通常要經(jīng)過數(shù)分鐘���,到十幾分鐘不等,才能向昆山的GC完成驗(yàn)證���,收取郵件��,速度非常緩慢��。
他們後來針對(duì)兩地的GC同步進(jìn)行了一些調(diào)校��,讓上海當(dāng)?shù)氐氖褂谜吣軌蚓徒虍?dāng)?shù)氐腉C進(jìn)行驗(yàn)證��,於是解決這項(xiàng)問題�。
增加DC數(shù)量�,降低伺服器負(fù)荷
在Windows NT 3.5x、4.0的時(shí)代�,企業(yè)僅能在單一網(wǎng)域建立一臺(tái)主要網(wǎng)域主控站(Primary Domain Controller,PDC)���,以及多臺(tái)從事資料備份的備份網(wǎng)域控制站(Backup Domain Controller�,BDC),兩種網(wǎng)域控制站之間的資料複寫�,是以單向方式進(jìn)行。
Windows 2000取消了PDC�����、BDC的角色區(qū)別�����,所有位於同一網(wǎng)域下的DC皆具備相同的功能�����,不但可以提供驗(yàn)證服務(wù)���、派送群組原則進(jìn)行管理��,同時(shí)也融入BDC的功能�,DC之間可以使用雙向方式複寫對(duì)方的網(wǎng)域設(shè)定�����。
對(duì)於規(guī)模較大的企業(yè)來說,一般都會(huì)在內(nèi)部網(wǎng)路部署一臺(tái)以上的DC�,除了預(yù)防其中一臺(tái)機(jī)器因?yàn)楦鞣N可能的原因產(chǎn)品故障,導(dǎo)致企業(yè)內(nèi)部的網(wǎng)路服務(wù)癱瘓���,以及資料的流失之外,另外一項(xiàng)考量就是達(dá)到DC之間的負(fù)載平衡(Load Balance)����,透過整合DHCP服務(wù)的方式,我們可以讓網(wǎng)域下方的電腦各自連接不同的DC�����,以減輕單一DC的運(yùn)作負(fù)荷�����。
在規(guī)模龐大的企業(yè)環(huán)境下��,我們可以整合DNS����,將電腦分成數(shù)群,各自向不同的DC進(jìn)行驗(yàn)證���,以減輕DNS伺服器的負(fù)荷���。 |
今年剛發(fā)表的Windows Server 2008在網(wǎng)域功能上��,提供了一項(xiàng)「唯讀網(wǎng)域控制站」(Read Only Domain Controller����,RODC)的新功能�,廖康寧指出,RODC並不是用來從事負(fù)載平衡�����,而是方便一些沒有資訊人員常駐的分公司能夠就近找尋DC要求驗(yàn)證�,進(jìn)而更快速地登入企業(yè)網(wǎng)域,擔(dān)任RODC角色的伺服器如果出了問題����,這時(shí)候分公司的電腦仍可透過廣域網(wǎng)路連回總公司的DC實(shí)施驗(yàn)證,或者更新群組原則����,不會(huì)因此產(chǎn)生太大的影響,頂多就是受限於頻寬�,使得資料的傳輸變慢一些而己��。
有效管理DC元件
就廖康寧近期從事微軟System Center Configuration Management(SCCM)導(dǎo)入的工作來說��,他認(rèn)為DC的物件管理也是一項(xiàng)很重要的調(diào)校工作��,如同剛才所提到的DNS�����,無效的資料的伺服器之間複寫,除了會(huì)造成效能的浪費(fèi)����,另外,也有可能造成軟體無法透過DC進(jìn)行自動(dòng)部署����。
代理程式的安裝率,是SCCM部署工作中�,非常重要的一點(diǎn)。安裝率愈低����,即代表產(chǎn)品目前可能沒有辦法有效管理企業(yè)內(nèi)部的電腦,以他們公司為例����,代理程式安裝率須達(dá)到95%以上����,才算合格�。
SCCM的代理程式安裝率無法提高有一些原因,例如��,當(dāng)企業(yè)內(nèi)部的電腦超過30天沒有登入網(wǎng)域�����,就會(huì)被DC視為一個(gè)無效物件���,當(dāng)電腦在DC上成為無效物件之後���,就無法登入網(wǎng)域,派送群組原則�����,同時(shí)這個(gè)物件會(huì)一直在於DC���,無法像DNS記錄一樣可以自動(dòng)清除�����,然而透過DC部署軟體時(shí)����,並不會(huì)去判別物件的有效性,只要物件存在��,SCCM就會(huì)認(rèn)為這臺(tái)電腦需要被安裝代理程式����。
這臺(tái)電腦可能是一臺(tái)筆電����,被員工帶到國外出差長(zhǎng)達(dá)半年,或者是一臺(tái)離職員工所屬的電腦�,考量到這臺(tái)電腦還是有可能在DC上進(jìn)行一些有效的活動(dòng),因此他們並沒有針對(duì)DC上的無效電腦物件進(jìn)行清除的動(dòng)作����。
如何找出無效的電腦物件?廖康寧表示����,無效物件並沒有辦法從DC的主控臺(tái)上分辨出來��,他們的做法是在SCCM的SQL資料庫進(jìn)行查詢�����,從電腦最後一次登入網(wǎng)域的時(shí)間來判斷是否為無效物件���。
取而代之的做法是,他們以DNS存在的有效記錄筆數(shù)�����,當(dāng)做需要安裝SCCM代理程式的電腦總數(shù)����,因?yàn)楦鞣N原因久未登入網(wǎng)域的電腦,自然就不會(huì)在DNS伺服器上出現(xiàn)任何記錄�����,因此才使得SCCM代理程式的安裝率得以提高�����。
做好群組原則管理
企業(yè)內(nèi)部的員工電腦、使用者等物件���,通常會(huì)根據(jù)部門的不同而區(qū)分成多個(gè)組織單位����,以便於各自指派不同的群組原則加以管理�����。因此����,群組原則也是企業(yè)在調(diào)校DC時(shí),需要加以考量的要項(xiàng)���。
對(duì)於一個(gè)組織單位來說���,群組原則數(shù)量如果設(shè)得太多���,會(huì)造成電腦登入得很慢�,群組原則依據(jù)性質(zhì)又可向下區(qū)分為「電腦組態(tài)」�����,以及「使用者組態(tài)」兩類,如果企業(yè)管理內(nèi)部電腦不需要用到其中一類的話�,就應(yīng)該使用群組原則物件編輯器(gpedit.msc)手動(dòng)關(guān)閉,這樣一來����,登入速度會(huì)變快一些。
避免不必要的錯(cuò)誤設(shè)定
設(shè)定錯(cuò)誤也是導(dǎo)致網(wǎng)域服務(wù)運(yùn)作緩慢的常見原因����。廖康寧表示,過去他自己曾經(jīng)遇過一種狀況:資訊部門的其他同事�,將一支含有錯(cuò)誤內(nèi)容的Logon Script批次檔放到DC上執(zhí)行,而使得公司網(wǎng)域下的電腦���,因?yàn)槌淌絻?nèi)容始終無法執(zhí)行完畢�����,而必須花費(fèi)比平常更久的時(shí)間才能登入網(wǎng)域�����,這雖然和上面提到的DC調(diào)校沒有直接關(guān)係�,但是在企業(yè)日常管理DC的工作中,的確是相當(dāng)值得注意的一個(gè)例子�����。
近期在微軟技術(shù)社群的討論區(qū)上�,也出現(xiàn)過一則案例。
某企業(yè)位在臺(tái)北的總公司及汐止的分公司���,原本各自有一臺(tái)DC����,且同時(shí)為GC���。但是後來由於變更網(wǎng)域架構(gòu)關(guān)係 �,他們決定拆除了分公司的DC��,讓所有電腦改經(jīng)由專線連回總公司向DC要求驗(yàn)證�����。
完成變更之後����,使用者發(fā)現(xiàn)電腦登入網(wǎng)域的速度明顯變慢,甚至發(fā)生連接不到總公司DC的情況����,經(jīng)過了解,原來是因?yàn)樵居脕硌}寫兩臺(tái)DC資料的子網(wǎng)路設(shè)定�,沒有隨著網(wǎng)路的變動(dòng)而隨之移除,造成分公司的電腦登入網(wǎng)域時(shí)��,出現(xiàn)了不正常的錯(cuò)誤訊息�。
除了單純的調(diào)校之外,企業(yè)也應(yīng)該避免在DC上從事一些錯(cuò)誤設(shè)定�,造成電腦登入網(wǎng)域的速度遲緩。 |
重整資料庫內(nèi)容����,可維持DC效能
除了廖康寧剛才所提到的幾項(xiàng)重點(diǎn)之外,網(wǎng)域資料庫的重整�����,對(duì)於DC的效能表現(xiàn)也會(huì)有很大影響����,當(dāng)AD建立之後,DC會(huì)將網(wǎng)域樹系的所有設(shè)定儲(chǔ)存在C:\WINDOWS\NTDS下的ntds.dit�����,這個(gè)檔案就是所謂的網(wǎng)域資料庫。網(wǎng)域資料庫可分為Schema(建立和管理網(wǎng)域物件的屬性與定義)��、Configuration(儲(chǔ)存和網(wǎng)域架構(gòu)有關(guān)的資料)�����、Domain(儲(chǔ)存網(wǎng)域物件)���,以及Application(儲(chǔ)存應(yīng)用程式資料)四個(gè)分割區(qū)����。
網(wǎng)域資料庫與電腦硬碟的管理工作其實(shí)大同小異��,同樣需要進(jìn)行重組才能維持效能����,Windows Server 2003的網(wǎng)域資料庫重組是在離線模式下進(jìn)行,重新開機(jī)之後����,按下F8,進(jìn)入AD還原模式,輸入ntdsutil指令進(jìn)行重組作業(yè)�,而在Windows Server 2008的環(huán)境下���,網(wǎng)域資料庫的重整就不需要重新啟動(dòng)DC���,在網(wǎng)域功能正常運(yùn)作的當(dāng)下,就可以同時(shí)進(jìn)行線上重組���。 | 
