一活動目錄的功能
活動目錄是微軟為解決分布式windows網絡集中化管理應用的一項關鍵產品它的核心思想和協議源自於早期NOVELL的類似技術今天的活動目錄總結起來功能無外乎於以下三項
集中化的身份驗證
利用AD數據庫將分散在windows客戶機上的用戶管理體系集中到DC上實現一個用戶在任何節點的漫游能力同時微軟的其他產品也不同程度的可以與這個集中化的身份認證體系集成譬如ExchangeISASMS甚至Office等等除此以外由於開放的LDAP協議使得第三方產品也可以集成到這個統一的身份驗證體系中來
集中化的資源檢索
由於AD具有影射網絡共享資源集成DFS等能力再加上統一的身份認證使得將分散在網絡上的資源集中檢索和權限控制變得可能從理論上說管理員可以利用AD的這一特性建立一個完全分布式的文件存儲系統將專用的文件服務器網絡存儲系統客戶機上的分散存儲集中起來管理和應用
集中化的權限與策略控制
由於身份驗證的集中化用戶的權限管理自然也可以集中化同時更重要的是利用可分法的GPOAD實現了將分散在Windows客戶機上的組策略集中控管的能力眾所周知組策略是微軟提供的利用注冊表開關和腳本控制Windows特性的有效工具集中化的組策略實現了管理員對整個windows網絡中客戶機的批量操控
二活動目錄的優勢
活動目錄技術從早期的NT到如今的已經發展出一個相當龐大的技術構架從單一的水平域管理擴展到可以通過站點和森林擴展出龐大的域結構達到了微軟所希望的解決方案服務一個跨國機構的目標同時與其他廠商的類似產品相比活動目錄與微軟產品的深度集成也從側面延伸了活動目錄的功能譬如Exchange Server構建在AD之上得到一個集成的郵件解決方案ISA Server構建在AD之上得到一個集成的防火牆解決方案Office和Sharepoint構建在AD之上得到一個企業內部集中化辦公解決方案乃至SQLserver數據庫SMSRRASCARADIUSiisClusterWSUS甚至最簡單的DHCP Server都可以與AD集成實現集中化的管控不但如此他們其中的一些甚至是必須與AD集成才可以使用基於AD的微軟產品構架從理論上來說可以解決企業IT環境中絕大部分需求和問題
三中國企業為什麼部署活動目錄?
windows產品的廣泛使用使得幾乎每一個企業都擁有或大或小的Windows網絡環境同時市場的需要也培養出了一大批熟悉微軟產品的SA微軟還為他們頒發MCSE和MVP證書各種各樣的技術文章和培訓教材也充滿了網絡在各個社區中很容易找到關於活動目錄的討論和技術文章這使得很多企業的IT管理人員在面臨一些實際需求時首先想到的就是活動目錄大量的企業部署了活動目錄甚至於很多SE認為活動目錄就是一個完美的IT管理解決方案
那麼中國的企業究竟為什麼部署活動目錄呢?筆者在很多社區和討論群中與第一線的SA們進行過深入討論總結為以下幾種
為了EMAIL
企業需要一個郵件服務器於是SA想到了微軟的Exhange Server為了實現Exchange Server所以必須部署AD
為了集中化驗證和文件權限控制
企業需要員工能在任何一台計算機上工作希望他們有自己的網絡帳號同時企業的文件服務器也需要這樣的帳號來區分訪問者為不同部門和不同的員工部署不同的文件訪問權限所以SA部署了AD
為了集中化控制客戶機
SA發現工作中總要花很多時間去客戶機上做修改和控制跑來跑去工作量很大非常不方便於是部署AD通過集中化的組策略實現了從核心控制台上對不同部門客戶機的不同策略管理譬如限制用戶對系統某些功能的訪問和修改統一定位內部WSUS服務器的補丁更新位置批量分法軟件限制軟件和網絡的使用等等
以上三種需求占到了%左右的國內中小型企業的實際情況當然另有%會使用到AD的其他特性譬如企業需要群集於是必須部署ADSA希望集中控管需要部署SMS於是必須部署AD
四活動目錄的問題
活動目錄的問題就在於微軟希望他能面面俱到但實際上這是不可能的最後導致了活動目錄的臃腫不可靠性能低和管理復雜按照之前我們總結的中國中小企業需求可以說絕大部分活動目錄的部署可以形象比喻為為了聽收音機而購買了一台汽車然後為了維持這台汽車不斷的付出時間精力和金錢企業的需求就是一台收音機而活動目錄就是這台汽車
那麼活動目錄在作為一台收音機使用時存在哪些問題呢?
對DNS的高度依賴
眾所周知AD是構建在DNS名稱空間之上的一個強健可靠的DNS實例是AD的基石DNS讓AD可以管理無限龐大和復雜的網絡環境大家知道AD是只能部署在WINDOWS的DNS服務之上的他融入了很多非標准DNS的定義和記錄而Windows的DNS是一個可靠性和負載能力低下的DNS服務器看看Internet上有幾個ISP會使用Windows DNS?最後的結果是windows DNS一旦出現問題整個AD隨即故障例如DNS中的記錄更新失敗多DNS區域復制失敗或者DNS需要遷移等等事件都會導致AD面臨極大的風險這就是說一棟龐大的大廈建立在了一個不牢固的地基上
過於復雜的LDAP協議
AD的LDAP雖然號稱輕量實際上紛繁復雜微軟希望將這個協議封閉起來在整個AD的控管環境中用戶不要直接與協議打交道但是LDAP的復雜性導致一旦出現問題用戶連一個基本的錯誤反饋界調試接口和工具都沒有所以微軟又不得不提供LDAP調試工具放在光盤的額外安裝目錄中即便如此又有多少SA能精通這個怪胎協議的調試呢?
過於復雜的身份和權限機制
AD的集中化身份驗證體系無疑是AD最受歡迎的功能之一但是為了讓它能面面俱到微軟把它搞得過於復雜了首先在計算機帳戶和用戶帳戶被同等看待的前提下OU和Group卻又可以交叉容納用戶對象實際上AD中的Group太過復雜為了實現森林的擴展AD中的Group有基本的種類型組合有數十個內置組更不用說組和組之間允許權限交聯允許交叉繼承允許權限並集和交集再加上AD與NTFS的集成文件夾權限和OU權限的並行邏輯容器和物理容器的互不關聯活動目錄的帳戶與本地客戶機帳戶並存這真的是我見過最復雜的一套機制了雖然這樣復雜的機制讓AD足夠靈活但是事實上絕大部分的用戶不需要這麼復雜的機制敢問有多少百分比的SA完全搞清了AD中這套機制?絕大部分的人也僅僅是從MCSE的簡單教材中了解了初步的概念而已
雞肋般的組策略
組策略集中管理也是AD最受歡迎的功能之一利用組策略微軟希望用戶能集中控管龐大的客戶機群但是組策略的工作機制決定了他在復雜多變的生產環境中注定成為一塊雞肋首先組策略%的功能是通過修改客戶機注冊表來實現的還有少部分是通過運行腳本來實現的這樣的工作機制導致了組策略的實時性很糟糕抗干擾能力也很糟糕很容易被客戶機上的一些安全軟件干擾更糟糕的是策略部署後是完全無反饋的管理員不知道一個策略是不是真的在每個計算機上生效了一旦出現問題只能用類似於GPRESULT一類的簡陋工具去客戶機上實地分析除此以外組策略中的很多功能也有嚴重的設計缺陷軟件分發可能用來分發微軟的某個小工具尚可莫非你想用它真正去分發應用軟件?筆者映像最深的一個客戶為了用組策略阻止客戶運行QQexe他設定了條哈希規則因為他找到了個EXE版本不同的QQ他們的哈希值都是不一樣的更不用說那些他還沒找到的版本
全封閉的數據庫
在MCSE的官方資料中經常會提到活動目錄數據庫經常提到SYSVOLSA們多少都知道他們是AD的數據中心各種信息都存在裡面但是糟糕的是這個數據庫是專用的你沒有辦法看到裡面存儲的東西也沒有辦法像管理關系型數據庫那樣使用SQL語句去操作它最後的結果就是如果你想備份和還原AD那根本就是噩夢你想備份AD嗎?對不起微軟是沒有專用工具的你只能用NTBACKUP去搞定你想只備份AD數據庫嗎?想定期增量同步數據嗎?對不起NTBACKUP不支持你只能把它和Windows的其他系統信息一起備份不管這些東西是好的還是壞的你想提高AD的可靠性嗎?MY GOD 你必須要兩台DC!
動則需要其他產品
AD作為一個微軟IT管理解決方案的平台始終只是一個平台稍微專業一點的業務就需要與其他微軟產品集成譬如想對用戶的網絡訪問進行管理對網絡數據進行篩選和審計就必須要吧另一個大家伙ISA請出來要想為客戶機批量分發補丁修復漏洞又得請出另一個大家伙WSUS如果想集中防范網絡中的病毒惡意軟件危險行為更糟糕了因為微軟尚無可用產品咱必須請出賽門鐵克或者麥卡菲了殊不知企業中的服務器就是這樣被一台一台的占據的這倒是便宜了靠賣IT設施吃飯的集成商更糟糕的是SA們不得不維護越來越多的系統不斷的讀一本一本的專業書籍在論壇上發一個又一個求助的帖子然而這還僅僅是IT環境的基礎運營而已企業的生產系統還沒計算在內
五找出更傻瓜和簡單的解決方案
AD是強大的但是你真的需要他嗎?
人的能動性是無限的您也許已經在微軟的技術世界裡摸爬滾打多年但是您考察過自己企業的真實需求嗎?
您是不是買汽車的那個人?
文章到這裡您也許想問筆者有什麼樣的代替方案?
事實上微軟的AD做到今天能在功能上完全覆蓋它和代替的解決方案幾乎沒有但是如果我們縮小需求考察中國絕大部分企業的實際需要可能我們能找到一些更好的代替方案
我們無外乎需要以下幾個東西
一個集中化身份驗證的平台
代替AD中的身份和用戶數據庫
一個可分權管理的網絡存儲系統
代替共享和NTFSDFS
一個能進行集中控管的軟件
代替ISA代替WSUSSMS等微軟產品
一個可編程的網絡任務執行工具
代替組策略
這樣一個產品市場上已經有比較接近的現有系統可以購買也可以自己開發筆者也在努力開發中
另外如果您僅僅是想實現郵件服務不妨放棄Exchange嘗試其他郵件服務器?
From:http://tw.wingwit.com/Article/os/xtgl/201311/8636.html