active directory 的操作和部署 热点话题.pptVIP

TechEd 2002 Active Directory 的操作和部署 : 热点话题 Active Directory 的大型部署 大型部署 大量用户： 6,000,000 大量域控制器：1,200 大量站台： 1,200 小型部署 ( 100,000 用户, 200 站台) AD 部署的热点话题 安全漏洞: 孤立对象 账号频繁被锁定 主域控制器的负荷过重 DC 和 GC 的升降级 森林的恢复 文件复制服务 FRS 活动目录中的孤立对象 账号是如何被删除的 删除的账号成为墓碑（Tombstone） 墓碑在 60 天过后从数据库中自动删除 什么是孤立对象 孤立账号对AD的影响 删除的账号自动从域控制器中恢复 删除的账号没有从Exchange GAL 消失 无法创建新账号 - 名字冲突 产生原因及处理方法 产生孤立对象的原因 目录复制出错 服务器离线时间 墓碑生存周期 域控制器时钟被更改 如何处理孤立对象--- 删除！ 如果该账号在域控制器上 直接删除该对象 如果该账号在 GC 上 方案一：重建GC 方案二：安装 Q314282, 用LDP把他从GC中删除 是否可以避免 ？ -- 是 如果有域控制器超过 60天没有复制 墓碑生存周期为 60天 墓碑生存周期大于 60天 60天 DC 离线时间 墓碑生存时间 DC 离线时间 墓碑生存时间 如果你必须让域控制器离线 离线前进行目录复制 离线时间不要超过60天 强制 DC 不复制孤立对象 （修改注册表） 最佳推荐 对于现存的环境 默认设置：松散型复制 设置为 “限制型”复制模式 观察事件日志 如果有很多错误，重新提升该服务器 如果只有少数对象，删除他们 墓碑生存周期大于 60 天 观察 账号频繁被锁定 背景知识 如何寻找被锁定的账号 账号频繁被锁定的已知问题 解决方法 域账号锁定的背景知识 防止用户的密码被猜测 当错误密码次数达到一定限制，该账号被锁定 暂时锁定 永久锁定 BadPasswordCount 每台域控制器各自记录用户尝试密码的次数 PDC累积该次数 PDC 将第一个锁住该账号 PDC 把锁住信号复制到其他域控制器 该值不会在BDC中复制 当用户输入正确密码， BadPasswordCount设为0 账号锁定的过程 如何寻找被锁定的账号 目标： 4 个 W Who, Where, When and Why 环境设置 激活审计策略 Account Logon Events – 失败 Account Management – 成功 Logon Events – 失败 安全日志大小：10K 事件 激活 netlogon 日志 激活 Kerberos 日志 常用工具 EVENTCOMB AL.EXE NETMON.EXE EVENTCOMB  AL.EXE 为什么账号会被锁定 恶意攻击, 配置不当或已知问题 一般情况 账号类型: 用户, 计算机账号 或 服务账号 登录，建立网络盘，更改密码 账号锁定的已知问题 客户端 建立网络盘 一个错误密码被记录三次 DS Client 解决方案: 安装 补丁程序 服务器端 解锁的账号立即被锁 BadPasswordCounter 未设置为零 解决方案: 安装 Service Pack 3 账号被锁 – 最佳解决方案 安装补订程序 其他方法取代账号停用策略 使用复杂密码策略 (A-Z + a-z + 0-9 + 32 特殊符号) * 6 （长度） = 68 亿 使用工具实时监视日志 设置审计日志 观察 PDC 工作负荷 Windows 2000 域管理更多的资源 客户端及传统应用程序只联系 PDC 应用程序向PDC申请枚举整个域的内容 usrmgr, srvmgr 结论: PDC 比以往工作负荷更大 负载过重的症状 CPU 使用率长时间过高 大于 70% 磁盘队列长度过大 客户端请求超时 如何优化主域控制器 优化硬件及软件 从 DNS 客户端中隐藏 PDC 优化 WINS 防止客户端的大量查询 优化硬件及软件 Windows 2000 Advance Server 的 3gb 模式 (ESE 使用1.5GB) 4 个 处理器 2 Gb 物理内存 硬盘 RAID 1 ：操作系统+叶文件 RAID 1 ：日志文件 RAID 0+1：数据库和sysvol 只运行和域服务相关的服务 从DNS中 “隐藏” PDC 降低 PDC SRV 记录的优先级 HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\LdapSrvPriority=1000 禁用 PDC 的AutoSite Coverge 功能 HKLM\System\CurrentControlSet\