单域环境的实现(多站点)--基本配置.doc

活动目录系列之四：单域环境的实现（多站点）--基本配置 ???2009年01月06日 ???社区交流 收藏本文 关键字： 多域控制器 域控制器安装 ADFS Windows Server 2003 活动目录服务 本文详细介绍活动目录系列之四：单域环境的实现（多站点）--基本配置 　　在上期我们学习了活动目录系列之二：单域环境的实现（单站点） ，当时我们实现的是在一个站点的情况下。下面我们来看这样一个场景： 　　**一个企业总部在北京，在上海和广东各有其办公区域，要求实现活动目录域环境。** 　　一、分析： 　　对于此企业的现状，在逻辑结构上可以采用多域和单域，比如我们先采用单域（这要取决于你是准备集中管理还是分散管理，在这里我采用集中管理，下个专题我来讲多域多站点的情况）。 　　如果不采用站点，上海和广东的域用户在客户端登录到域的过程会比较慢（不管你在上海和广东是否放置了DC，都一样），原因是客户端会通过DNS查询本域内的DC，而查到的DC也可能就是北京的（如果是多DC会动态定位），这样就通过WAN连到北京的DC上进行身份验证。此外如果你在每个地区都有DC的话，DC之间的复制也是不可控的，会产生很大流量（关于复制问题，我会在后面的专题来讲解）。兼于此，我们必须划分站点。 　　划分站点的好处： 　　1.优化客户端的登录。当域用户在上海或广东的客户端上登录时，DNS会替客户端找本站点内的DC，这样就加快了身份验证过程。 　　2.优化AD的复制。每个DC之间要同步AD数据库，如果不划分站点，这个同步无时无刻都在进行，而且数据是不压缩的。如果划分了站点这个过程变的可控，特别是在多站点的情况下，优越性更加突出，我会在后面的专题中详细讨论。 　　附：关于何为站点，实际上就是从物理位置上来区分的，一组高速可靠的一个子网或多个子网。即两点：首先物理位置不同（在一个区域内且高速相连），其次不同站点必须采用相对应的不同子网，即北京是一个子网，上海是另一个子网，广东是第三个子网，当然也可以在北京有多个子网。具体AD的概念请阅读活动目录系列之一：基本概念 。 1234 二、搭建过程： 　　事先规划好各个子网，比如北京子网/24，上海子网/24，广东子网：/24. 　 　　（一）首先在北京把单域创建好，这个过程请参考活动目录系列之二：单域环境的实现（单站点）。 　　（二）在上海和广东利用dcpromo /adv 完成第二/三台DC的搭建，（关于此参数的使用，请参考活动目录系列之二：单域环境的实现（单站点））。注意此时在默认站点下完成安装。 　　（三）完成站点的划分和设置： 　　打开“AD站点和服务”管理工具（或利用命令dssite.msc)，如下图所示展开：在default-first-site-name（默认站点）下有三台服务器，当前都在同一个站点。（N1--北京，N2--上海，N3--广东） 　　利用如下四个操作完成配置过程： 　　1.新建站点： 　　新建两个站点shanghai和guangzhou（北京站点用那个默认的，过后改一下名字就可以了），注意在新建站点时必须选中一个叫“站点连接”的东西，先选择，后面再说其作用。 　　如下图所示，在sites上右击选“新站点”，输入名字，并选择defaultipsitelink，单击确定。如下面两图： 建完上海和广东两个站点后，把default-first-site-name改名为beijing. 　　2.新建子网：　 　　新建对应的子网，注意选择相对应的站点。一定不要搞错！！！！ 　　具体操作需要在subnets上右击先“新建子网”，如下图所示： 　　最后完成如下图所示：有三个子网，分别对应相应的站点。 　　3.移动DC： 　　把相应的DC移动到相应的站点。一定不要搞错！！！！ 　　这个操作就不用做了吧，直接拖动对应的服务器（DC），拽到相应的站点下的servers下就可以了。最后如图所示： 　　说明：在上图的最右侧，大家看见了标注为自动生成的两个“连接对象”，这个东西就实现了DC之间的相互复制，它是由每个DC上叫KCC的进程自动产生的。 　　4.作相应的其它配置或检查。 　　新建“站点连接”，即根据你的区域之间的实际物理链路来完成，默认有一个defaultipsitelink（好像记得是这个名字）。目前这个站点链接包含了三个站点，你可以自定义。 下面说一下有关站点连接的含义。 　　站点链接：启用站点之间的复制传输，反映了站点之间的物理连接。 　　如果没有站点链接，则两个站点之间不会复制，故两边里面的所有DC只会在站点内相互复制。 　　**一个站点链接是两个站点或多个站点之间的一种物理连接。有了站点连接，在站点内才会由KCC自动生成“连接对象”，完成站点内DC之间的复制。 　　如下图所示： 　　然后在