微软AD,Exchange 和DNS

1.AD概念

FSMO

FSMO是Flexible single master operation的缩写,意思就是灵活单主机操作。营运主机(Operation Masters,又称为Flexible Single Master Operation,即FSMO)是被设置为担任提供特定角色信息的网域控制站,在每一个活动目录网域中,至少会存在三种营运主机的角色。但对于大型的网络,整个域森林中,存在5种重要的FSMO角色.而且这些角色都是唯一的。

1、 森林级别(一个森林只存在一台DC有这个角色):

(1)、Schema Master(也叫Schema Owner):架构主控

(2)、Domain Naming Master:域命名主控

2、 域级别(一个域里面只存一台DC有这个角色):

(1)、PDC Emulator :PDC仿真器

(2)、RID Master :RID主控

(3)、Infrastructure Master :基础架构主控

对于查询FSMO主机的方式有很多,本人一般在命令行下,用netdom query fsmo命令查询.要注意的是本命令需要安装windows 的Support Tools.

五种角色空间有什么作用

1、 Schema Master

作用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像,比如用户、计算机、打印机等,这些对像有一系列的属性,活动目录本身就是一个数据库,对象和属性之间就好像表格一样存在着对应关系,那么这些对像和属性之间的关系是由谁来定义的,就是Schema Master,如果大家部署过Exchange的话,就会知道Schema是可以被扩展的,但需要大家注意的是,扩展Schema一定是在Schema Master进行扩展的,在其它域控制器上或成员服务器上执行扩展程序,实际上是通过网络把数据传送到Schema上然后再在Schema Master上进行扩展的,要扩展Schema就必须具有Schema Admins组的权限才可以。

建议:在占有Schema Master的域控制器上不需要高性能,因为我们不是经常对Schema进行操作的,除非是经常会对Schema进行扩展,不过这种情况非常的少,但我们必须保证可用性,否则在安装Exchange或LCS之类的软件时会出错。

2、 Domain Naming Master

这也是一个森林级别的角色,它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话,那么就必须要和Domain Naming Master进行联系,如果Domain Naming Master处于Down机状态的话,你的添加和删除操作那是肯定会失败的。

建议:对占有Domain Naming Master的域控制器同样不需要高性能,我想没有一个网络管理员会经常在森林里添加或者删除域吧?当然高可用性是有必要的,否则就没有办法添加删除林里的域了。

3、 PDC Emulator

在前面已经提过了,Windows 2000域开始,不再区分PDC还是BDC,但实际上有些操作则必须要由PDC来完成,那么这些操作在Windows 2000域里面怎么办呢?那就由PDC Emulator来完成,主要是以下操作:

⑴、处理密码验证要求;

在默认情况下,Windows 2000域里的所有DC会每5分钟复制一次,但有一些情况是例外的,比如密码的修改,一般情况下,一旦密码被修改,会先被复制到PDC Emulator,然后由PDC Emulator触发一个即时更新,以保证密码的实时性,当然,实际上由于网络复制也是需要时间的,所以还是会存在一定的时间差,至于这个时间差是多少,则取决于你的网络规模和线路情况。

⑵、统一域内的时间;

微软活动目录是用Kerberos协议来进行身份认证的,在默认情况下,验证方与被验证方之间的时间差不能超过5分钟,否则会被拒绝通过,微软这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的,这个统一时间的工作就是由PDC Emulator来完成的。

⑶、向域内的NT4 BDC提供复制数据源;

对于一些新建的网络,不大会存在Windows 2000域里包含NT4的BDC的现象,但是对于一些从NT4升级而来的Windows 2000域却很可能存有这种情况,这种情况下要向NT4 BDC复制,就需要PDC Emulator。

⑷、统一修改组策略的模板;

⑸、对Windows 2000以前的操作系统,如WIN98之类的计算机提供支持;

对于Windows 2000之前的操作系统,它们会认为自己加入的是NT4域,所以当这些机器加入到Windows 2000域时,它们会尝试联系PDC,而实际上PDC已经不存在了,所以PDC Emulator就会成为它们的联系对象!

建议:从上面的介绍里大家应该看出来了,PDC Emulator是FSMO五种角色里任务最重的,所以对于占用PDC Emulator的域控制器要保证高性能和高可用性。

4、RID Master

在Windows 2000的安全子系统中,用户的标识不取决于用户名,虽然我们在一些权限设置时用的是用户名,但实际上取决于安全主体SID,所以当两个用户的SID一样的时候,尽管他们的用户名可能不一样,但Windows的安全子系统中会把他们认为是同一个用户,这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID,那么如何避免这种情况?这就需要用到RID Master,RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。

建议:对于占有RID Master的域控制器,其实也没有必要一定要求高性能,因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。这个请大家视实际情况而定了,当然高可用性是必不可少的,否则就没有办法添加用户了。

5、 Infrastructure Master

FSMO的五种角色中最无关紧要的可能就是这个角色了,它的主要作用就是用来更新组的成员列表,因为在活动目录中很有可能有一些用户从一个域(Domain)转移到另外一个域(Domain),那么用户的DN(DomainName)名就发生变化,这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。

建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下,Infrastructure Master根本不起作用,所以一般情况下对于占有Infrastructure Master的域控制器往忽略性能和可能性。

在FSMO的规划时,请大家按以下原则进行:

1、占有Domain Naming Master角色的域控制器必须同时也是GC;

2、不能把Infrastructure Master和GC放在同一台DC上;

3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上;

4、建议将Schema Master和Domain Naming Master放在同一台域控制器上;

5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上;

6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;































一、Exchange 2016简介

现在,CPU计算能力的成本显著降低,不再成为约束因素。随着此约束因素的消失,Exchange2016的主要设计目标是简化扩展、提高硬件利用率和实现故障隔离;

在Exchange2016中,服务器角色数量减少到了两个:邮箱服务器角色和边缘传输服务器角色;

Exchange2016中的邮箱服务器包括Exchange2013邮箱和客户端访问服务器角色中的所有服务器组件:

客户端访问服务提供身份验证、有限重定向和代理服务。客户端访问服务不执行任何数据呈现,也不提供任何常见的客户端访问协议:HTTP、POP和IMAP和SMTP;

邮箱服务包括Exchange2013邮箱服务器角色中的所有传统服务器组件:后端客户端访问协议、传输服务、邮箱数据库和统一消息。邮箱服务器处理此服务器上活动邮箱的所有活动;

Exchange 2016 的体系结构

Exchange Server 2016 使用一个构建基块体系结构,提供电子邮件服务,以便在各种规模的组织(从小型组织到最大规模的跨国企业)进行部署。这种体系结构如下图所示。

服务器通信体系结构

Exchange2016服务器与过去和将来的Exchange版本之间的通信发生在协议层。不允许跨层通信。这种通信体系结构可概括为“每个服务器都是一座‘岛屿’”。这种体系结构具有以下优势:

减少服务器间通信。

提供版本感知通信。

隔离故障。

在每个服务器内集成设计。

Exchange2016服务器之间的协议层通信如下图所示。

Exchange2016使用邮箱服务器和边缘传输服务器。

邮箱服务器

邮箱服务器包含用于路由邮件的传输服务;

邮箱服务器包含处理、呈现和存储数据的邮箱数据库;

邮箱服务器包含接受所有协议的客户端连接的客户端访问服务。这些前端服务负责将连接路由或代理到邮箱服务器上的相应后端服务。客户端不直接连接到后端服务;

邮箱服务器包含向邮箱提供语音邮件和其他电话服务功能的统一消息(UM)服务;

Exchange管理中心(EAC)和Exchange命令行管理程序

边缘传输服务器

边缘传输服务器处理Exchange组织的所有外部邮件流;

边缘传输服务器通常安装在外围网络中,并订阅到内部Exchange组织。当Exchange组织接收和发送邮件时,EdgeSync同步进程会向边缘传输服务器提供收件人信息和其他配置信息;

当Exchange组织接收和发送邮件时,边缘传输服务器会提供反垃圾邮件规则和邮件流规则;

Exchange命令行管理程序;

高可用性体系结构

邮箱高可用性

数据库可用性组(DAG)是内置于Exchange2016的高可用性站点复原框架的基本元素。DAG是一组邮箱服务器,不仅托管一组数据库,还提供数据库、网络和服务器故障的数据库级自动恢复功能。

传输高可用性

传输服务会为传输中的所有邮件创建冗余副本。此功能称为卷影冗余。

传输服务会为所有已传递的邮件创建冗余副本。此功能称为安全网络。

在Exchange2016中,DAG表示传输高可用性边界。您可以跨多个ActiveDirectory站点部署DAG,从而实现站点复原。

在Exchange2016中,要实现传输高可用性,不只是需要尽可能确保邮件冗余而已,因为冗余并不取决于发送邮件服务器所支持的功能。因此,便可以说,Exchange2016尝试在邮件传递期间和之后保留邮件的多个副本,以确保邮件冗余。

客户端访问协议体系结构

Exchange 2016 邮箱服务器上的客户端访问服务负责接受所有形式的客户端连接。客户端访问(前端)服务将这些连接代理到目标邮箱服务器(保留用户邮箱的主动副本的本地服务器或远程邮箱服务器)上的后端服务。客户端不直接连接到后端服务。

这种通信体系结构如下图所示。


Windows DNS 部署

当我们在上网的时候,通常输入的是网址,其实这就是一个域名,而我们计算机网络上的计算机彼此之间只能用I P地址才能相互识别。域名(网址)只是相当与门牌号,只是为了方便记忆而增加的。

(图片来自网络)

DNS服务器是(Domain Name System)域名系统或者域名服务,域名系统为Internet上的主机分配域名地址和IP地址。用户使用域名地址,该系统就会自动把域名地址转为IP地址。域名服务是运行域名系统的Internet工具。执行域名服务的服务器称之为DNS服务器,通过DNS服务器来应答域名服务的查询。

服务器系统:Windows Server 2016

客户机系统:Windows 10

IP配置:服务器:192.168.4.44

客户机:192.168.4.10

1. 在服务器上安装DNS服务

单击“开始”-“服务器管理器”

等候几分钟等待安装完成

2.新建正向查找区域

在“DNS管理器”中选择“正向查找区域”,右键选择“新建正向查找区域”

新建一个名为“com”的区域

新建主机域名

确认客户端的DNS为服务器的IP

在客户端打开CMD,更新DNS解析缓存“ipconfig -flushdns“。

Ping abc.com

此时域名“abc.com”对应的ip地址为“192.168.4.44”

DNS使用范围广泛,也可以搭建ftp站点,可访问我另一篇文章查看https://blog.51cto.com/9075724/2149058

你可能感兴趣的:(微软AD,Exchange 和DNS)