Active Directory 站点和服务分步指南.doc

Active Directory 站点和服务分步指南本指南说明如何使用“Active Directory 站点和服务”管理单元来管理局域网 (LAN) 中单个站点内部和广域网 (WAN) 中多个站点之间的复制拓扑。本页内容简介概述使用“站点和服务”工具附录：复制拓扑概念其他资源简介逐步式指南Windows Server 2003 部署分步指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构：安装 Windows Server 2003；配置 Active Directory；安装 Windows XP Professional 工作站并最后将此工作站添加到域中。后续分步指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。通用网络结构要求完成以下指南。第一部分：将 Windows Server 2003 安装为域控制器第二部分：安装 Windows XP Professional 工作站并将其连接到域在配置通用网络结构后，可以使用任何其他的分步指南。注意，某些分步指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。任何额外的要求都将列在特定的分步指南中。Microsoft Virtual PC可 以在物理实验室环境中或通过虚拟化技术（如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005）来实施 Windows Server 2003 部署分步指南。借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。Windows Server 2003 部署分步指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。重要说明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，我们决无意影射，任何人也不应由此臆猜，任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。此通用基础结构是为在专用网络上使用而设计的。此通用基础结构中使用的虚拟公司名称和域名系统 (DNS) 名称并没有为在 Internet 上使用而进行注册。您不应在公共网络或 Internet 上使用此名称。此 通用基础结构的 Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与 Active Directory 配合使用。不能将其作为任何组织进行 Active Directory 配置时都可以使用的模型。 返回页首概述“Windows Server 2003 Active Directory 站点和服务”管理单元的主要用途是对 LAN 中单个站点内部以及 WAN 中多个站点之间的企业环境的复制拓扑进行管理。 注意：附录中提供了有关如何执行 Active Directory 服务复制的附加信息。如果您对复制不太熟悉，您可能需要先查阅一下附录中的内容，然后再继续。站点站 点是指网络中具有高带宽连接的区域；如果给它下个定义，它就是一个基于 Internet 协议 (IP) 子网且连接状况良好的计算机集合。由于站点控制着进行复制的方式，因此使用“站点和服务”管理单元所做的更改将影响域内相隔很远的域控制器 (DC) 之间的通讯效率。 站点在概念上不同于基于 Windows Server 2003 的域，因为一个站点可以跨越多个域，而一个域也可以跨越多个站点。站点并不属于域名称空间的一部分。站点控制域信息的复制，并可以帮助确定资源位置的远 近。例如，工作站在其站点内选择一个 DC 来进行验证。 为了确保 Active Directory 服务能够正确进行复制，将在所有 DC 中运行一种称为“知识一致性检查器 (KCC)”的服务，该服务自动在同一站点内的各个计算机之间建立连接。这些计算机被称为“Active Directory 连接对象”。管理员可以建立其他的连接对象，也可以删除连接对象。但是，在任意时刻，如果某一站点内的复制无法进行或出现单点故障，KCC 将会介入并新建所需数量的连接对象以继续进行 Active Directory 复制。 假定站点间复制是在较高成本或较低速度连接上进行的。这样，站点间复制的机制允许选择其他传输方式，并且此机制是通过创建站点链接和站点链接桥来建立的。Default-First-Site第一个站点是您在企业的第一个域控制器上安装 Windows Server 2003 时自动建立的。建立的第一个站点被称为“Default-First-Site”。您可以在以后重命名此站点，也可以保留该名称。 网络上站点的复制拓扑可以控制以下两方面：进行复制的位置，如哪些 DC 直接与同一站点内的哪些其他 DC 通讯。此外，此拓扑还控制站点间的通讯方式。进行复制的时间。可以完全由管理员来安排站点间复制。同一站点内 DC 间的复制以通知为基础，在对域内某个对象进行更改后，5 分钟内就会将通知发送出去。 所 有新提升的 DC 将放置在“站点”容器中，该容器会在安装时应用到这些 DC。例如，运往加利福尼亚的服务器可能早在夏威夷毛伊岛数据中心就已建立并配置完毕；因此，“配置您的服务器向导”将该服务器放在毛伊岛站点中。当它到 达加利福尼亚后，可使用“站点和服务”管理单元将该服务器对象移到新站点中。您可以使用“站点和服务”管理单元的站点部分完成以下操作：显示企业内的有效站点。例如，Default-First-Site 可能是“Headquarters”等站点的名称。您可以创建、删除或重命名站点。显示参与某站点的服务器。您可以删除服务器或在站点间移动服务器。（注意：尽管也可以手动添加服务器，但是添加服务器的任务通常是在域控制器安装过程中自动完成的。）显 示使用站点知识的应用程序。Active Directory 拓扑位于 SitesDefault-First-SiteServers。它只包含那些参与特定站点的服务器，而与域无关。要查看任何给定服务器的连接，请显 示 SitesDefault-First-SiteServersserverNTDS Settings。每台服务器都有连接和计划，它们共同控制对该站点中其他服务器进行的复制。连接。对于要进行双向复制的两台计算机，必须有一个从第一台计算机到第二台计算机的连接，还必须有一个从第二台计算机到第一台计算机的辅助连接。计 划。在站点内，新目录增量的拉动式复制大约每 5 分钟在服务器间进行一次。计划在站点内是非常重要的，在某伙伴的连接对象损坏后，它强制定期向入站伙伴发送通知。此类通知通常每 6 小时进行一次。此外，计划对于控制站点间的拉动式复制也是非常重要的。（站点间没有 5 分钟进行一次的自动复制。）显示站点间的传输和链接。传输表示在所选站点间进行通讯所使用的协议（例如 IP 等）。显示子网。管理员可以利用子网，将 IP 地址范围与站点关联在一起。先决条件第一部分：将 Windows Server 2003 安装为域控制器安装其他域控制器的分步指南建立站点到站点虚拟专用网络连接的分步指南返回页首使用“站点和服务”工具启动“Active Directory 站点和服务”工具1.在“HQ-CON-DC-01”上，单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 站点和服务”。此时将出现一个控制台（如图 1 所示）。图 1. “Active Directory 站点和服务”管理单元更改站点属性更改 Default-First-Site-Name1.单击“+”号展开“Sites”树。2.在控制台左窗格中，右键单击“Default-First-Site-Name”，然后单击“重命名”。3.键入“Seattle-WA”，然后按“Enter”键。创建新站点在 Active Directory 中，站点表示网络的物理结构或拓扑。Active Directory 使用拓扑信息（作为站点和站点链接对象存储在目录中）来建立最有效的复制拓扑。可使用“Active Directory 站点和服务”来定义站点和站点链接。站点是一组连接状况良好的子网。站点与域不同；站点表示网络的物理结构；而域表示组织的逻辑结构。要添加新站点，请按照以下步骤操作：1.在控制台左窗格中，右键单击“Sites”，然后单击“新站点”。2.在“新建对象 站点”对话框中，键入“Vancouver-BC”作为新站点的名称。3.单击以突出显示“DEFAULTIPSITELINK”，然后单击“确定”。（注意：站点链接将在下文中进行介绍。）4.查看 Active Directory 消息框信息，然后单击“确定”。在站点内移动计算机现在，您可以从各站点的“Servers”容器内将计算机从其他站点移到此站点中。 注意：向 站点中分配计算机是根据计算机的 IP 地址和子网掩码进行的。客户端和成员服务器所采取的站点分配处理方式不同于域控制器的分配方式。对客户端而言，站点分配是在登录过程中根据其 IP 地址和子网掩码动态确定的。对于域控制器而言，站点成员身份是根据 Active Directory 中其关联服务器对象的位置来确定的。要将计算机移到某一站点，请按照以下步骤操作：1.在“Active Directory 站点和服务”管理单元中，单击“Seattle-WA”旁边的“+”号，然后单击“Servers”。 2.在结果窗格中，右键单击“HQ-CON-DC-02”，然后单击“移动”。3.在“移动服务器”对话框中，单击“Vancouver-BC”（如图 2 所示），然后单击“确定”。图 2. 在站点之间移动计算机4.重复步骤 2 和 3，将“HQ-CON-DC-03”移到“Vancouver-BC”站点中。5.在左窗格中，单击“Vancouver-BC”旁边的“+”号，然后单击“Servers”，检查两台服务器现在是否均已分配给该站点。使用子网正 如前面所述，站点就是通过高速网络（如 LAN）连接好的一组计算机。同一站点内的所有计算机通常都位于同一建筑物内，或位于同一校园网中。单一站点由一个或多个 IP 子网组成。子网是 IP 网络的分网，每个子网都拥有其自己的唯一网络地址。子网地址对相邻计算机进行分组的方法与邮政编码对相邻邮寄地址进行分组的方法非常相似。每个站点都关联 着一个或多个子网。要为特定站点添加子网，请按照以下步骤操作：1.在控制台左窗格中，单击“Subnets”，右键单击“Subnets”，然后单击“新建子网”。2.在“新建对象 子网”框中，键入“地址”和“掩码”数字（如图 3 所示），单击以突出显示“Vancouver-BC”，然后单击“确定”。图 3. 添加子网在正确创建子网后，它将出现在“Subnets”文件夹下。尽管在创建期间子网与 Vancouver-BC 站点相关联，但可以将其修改为指向其他站点。要将子网与特定站点相关联，请按照以下步骤操作：1.在“Subnets”文件夹下，右键单击“30.0.10.0/24”子网，然后单击“属性”。2.在“30.0.10.0/24 属性”对话框中，从列表框中选择与此子网相关联的站点（如图 4 所示），然后单击“确定”。图 4.将子网与站点相关联3.单击“位置”选项卡，然后提供此站点位置的描述。对于此示例，键入“Vancouver”，然后单击“确定”。站点链接在两个或多个站点之间创建站点链接是一种影响复制拓扑的方式。通过创建站点链接，您可以为 Active Directory 提供有关可用连接、首选连接以及可用带宽等信息。Active Directory 将使用此信息来选择可提供最佳复制性能的时间和连接。对于计划在多个站点之间进行的复制，每两个进行复制操作站点之间都必须协商一种通讯传输协议。通常，站点链接基于 IP 协议。要建立站点链接，请按照以下步骤操作：1.单击“Inter-Site Transports”旁边的“+”号，右键单击“IP”，然后单击“新站点链接”。 2.在“新建对象 站点链接”对话框中，键入“PNW-Slow Connection”作为“名称”（如图 5 所示），然后单击“确定”。图 5. 创建站点链接3.在“IP”站点链接的右侧结果窗格中，双击新创建的“PNW-Slow Connection”链接。4.在“PNW-Slow Connection 属性”对话框中，键入“每 24 小时复制一次”作为“描述”，将“复制频率”设置更改为“1440”，然后单击“确定”。注意：如果删除 DEFAULTIPSITELINK，则 Seattle 和 Vancouver 之间的复制每 24 小时使用 IP 协议通过“PNW-Slow Connection”站点链接执行一次。站点链接桥默认情况下，所有站点链接都是桥接的，或是可传递的。这样，未通过显式站点链接相连的任意两个站点都可以通过中间站点链接和站点链直接进行通讯。桥接所有站点链接的一个优点是更易于维护网络，因为您不需要创建站点链接来描述站点对之间的每种可能路径。通常，您可以将自动站点链接桥接保持为启用状态。但是在下列情况下，对于特定的站点链接，您可能需要禁用自动站点链接桥接，然后手动创建站点链接桥。网络未完全路由（并非每个域控制器都可以直接与其他域控制器进行通讯）。 制订的网络路由或安全策略禁止各域控制器直接与其他各域控制器进行通讯。 Active Directory 设计中包括大量站点。返回页首附录：复制拓扑概念复制概述除 了规模很小的网络以外，必须将目录数据放在网络中的多个位置，以使所有用户都有均等机会使用它们。通过复制，Active Directory 可以将目录数据副本保存在多个域控制器中，确保所有用户都可以使用目录并获得较好的性能。Active Directory 使用一种多主复制模型，这使得您可以在任意域控制器中对目录进行更改，而不仅仅是在指定的主域控制器中。Active Directory 依赖站点概念来帮助保持较高的复制效率，并依赖 KCC 来自动确定网络中的最佳复制拓扑。为复制组织数据数据存储在目 录存储中的各个域控制器内；在逻辑上，该目录存储又划分为特定的目录分区。每个分区存储不同类型的目录数据：域数据、林架构数据、林配置数据或应用程序数 据等。林内的所有域控制器都保存该林架构和配置分区的副本，而特定域内的所有域控制器都保存该域