◎本校Windows Active Domain Service實錄

為了要向板土區組長們分享學校的AD Service所以寫了這篇文章,因為不是實作,只是介紹性質,所以標題有點難下,就取名為XXX實錄好了。本校的AD架構是建置在三部伺服器上,上線正式運作的第一台是新北市府配發的ASUS TS300-E5 直立式伺服器,另兩台是學校自購的IBM X3655以及ASUS TS500-E6,儲存體有一台DAS(DELL MD3200)與乙台NAS(Coventive NAS 7500 SATA-S),當然,UPS也是不可或缺的一環

Active Domain OS為MicroSoft Server2008 R2 Enterprise 64位元版本,主要的服務有DNS、DHCP、DFS、WSUS、FSRM、Printer Server、Radius Server…等,後續簡單介紹一下這些名稱與用途

一、DNS網域名稱解析服務

三台AD伺服器都扮演DC的角色,所以DNS自然就是網域環境中最重要也最關鍵的服務之一,而本校AD是新北市改制前建置的,NetBios名稱為sips,所以改制為NTPC後,為了不影響用戶端,且又要沿用sips為AD的NetBios Name,所以仍得保留TPC的網域。另外,新北市公文管理系統必須額外在Client端設定市府端的DNS Server IP Address,這部分就交給條件轉寄站來處理

二、DHCP(Dynamic Host Configuration Protocol)

目前DHCP服務提供班級與無線網路兩個網段的IP分配工作,個人認為DHCP最好還是能夠自己管理,對於替老師們除錯與防弊都可收事半功倍之效

三、DFS(Distributed File System)分散式檔案系統

建置分散式檔案系統的目的是為了替行政業務資料建立預防單點失誤的機制,早先學校還沒有買Storage,所以行政業務資料都是放在DC Server的D磁碟,雖然Server本身已做磁碟陣列,但決定要扛起全校行政業務資料保管責任的壓力是很大的,DFS做起來之後除可預防單點失誤之外,同時也做到了異機備援,將來即使遇到某台機器故障維護需停機,也不會影響到行政團隊的正常作業

個人是非常青睞DFS的網域型命名空間,經過實測,在網域型命名空間指定的磁碟即使遭遇因故停機,用戶端地連線會自動導向下個目標磁碟以確保服務不停擺

根據TechNet資料所言,複寫成員數量在十個以內時,建議採用完整網狀複寫拓撲的效果最好。至於複寫群組,可說是進行資料大量搬移時的好幫手

四、WSUS(Windows Server Update Services)

WSUS就是微軟的線上更新服務,在學校環境的使用者通常不會定期去做線上更新,所以可以藉由WSUS搭配群組原則的指派,強制用戶端在背景進行更新,管理者就能輕易掌握所有電腦的更新完成率,基本上,更新完成率越高的電腦,中毒的風險相對就會越低,而且,每天在凌晨由校內WSUS乙台機器向微軟要更新檔回來較不會遇到網路塞車,即使對內部指派時也不會佔用校內對外的頻寬

本校是每天凌晨1:00開始由Server1向微軟Update Server索取釋放出的更新檔,並在每天用戶端開機後進行偵測,並排程於中午12:00進行更新派送

WSUS也提供多種表格了解更新狀態

選項可自訂更新的產品與分類、更新核准的方式、自訂更新排程…更新狀態還可以mail通知管理者

下圖就是自訂產品更新的類別清單,自訂才不會全部下載回來,不然很佔空間的,另外應注意的是公文管理系統不建議使用太新的IE版本,所以IE的部分我是沒更新

自訂更新的類別,這部分我是選擇全部更新

五、FSRM(File Server Resource Manager)檔案伺服器資源管理員

FSRM可以管理用戶端的磁碟配額與進行檔案檢測,管理員可以視用戶端的使用量進行配額調整

進行配額設定前先製作配額範本

當使用量(閾ㄩˋ值)達範本一定額度(%)時,可設定系統發送電子郵件通知管理員,管理員再手動調整用戶端的新配額即可

至於檔案檢測目前本校是沒有採用,因為老師的教學檔案類型五花八門,限制太多會影響老師使用的意願,但從下圖可看出能夠設定的類型還挺多的

每個類型中的細項也可個別設限

六、Printer Server列印管理伺服器

列印管理也是幫我分擔很多工作的好幫手,以往電腦要跟印表機連線都必須一台台設定與安裝驅動程式,有了列印管理服務後,就只有當初第一次在Printer Server上需安裝驅動程式,爾後用戶端只要一登入網域,就會自動依據群組原則的權限,分配到隸屬的印表機使用權

印表機的狀態也一目瞭然,有助於管理者判斷合宜的處理方向

也能檢視驅動程式的版本資訊

透過群組原則將印表機使用權進行佈署到每個使用者或每台電腦

七、Radius網路原則伺服器

網路原則伺服器的用途與LDAP相似,但相對來說簡單許多,管理者不須寫入DN值,僅需一組具備管理權的帳戶資訊,就可以針對一些網路服務的硬體設備,例如無線網路基地台、虛擬私人網路、網路硬碟…將用戶端的連線方式統一導向AD集中管理,優點當然就是用戶端不再需要記太多組帳號密碼

發表留言