活动目录AD解决方案

客户现状 现在客户在各地共有 4 个办公点 每个点采用的是独立的域环境 现在客户希 望将分散在各地的办公点连接起来 能够实现各地间的访问与共享 一 客户方案 通过 VPN 技术实现网络的互联 并通过林间的信任来实现各地间的互相信 任 以达到共享与访问 客户的方案如下 拓扑图如下 由于客户各地点域已经建立 现在需要做的如下 1 DNS 的转发 作用 处理本地没有应答的 DNS 查询 方法 每个域内的 DNS 服务器都需要做到其他域的 DNS 转发 以便于 DNS 的解析 2 信任关系的建立 作用 为了使不同域可以互相访问 方法 在每台 DC 的 Active Directory 域和信任关系 中建立到不同域的双向信任关 系 在这里建立 A B 的相互信任 B C 的相互信任 C D 的相互信任 A D 的相互信任 一 但前三个相互信任形成 则第四个 A D 的相互信任自动形成 3 WINS 服务器的安装 作用 信任域间可以通过主机名称进行访问 方法 每个域建立独立的 WINS 服务器 并与其他域内的 WINS 服务器建立 推 拉 伙伴关系 实现域间 WINS 服务器的同步 各域客户端 WINS 服务器指向本地服务器 说明 每个域内的 DC 可以承担包括 AD DNS WINS 在内的服务以节省资源 二 单域多站点结构 方案拓扑图 方案描述如下 所有站点处于同一个域 XX COM 下 每个站点的子网不相同 在 A 站点建立主 DC 服 务器 A XX COM 其他站点分别建立额外 DC 如 B XX COM C XX COM D XX COM 实现方法 1 子网划分 分配各个站点的子网 要求子网不能够相同 比如 A 站点 192 168 0 0 24 B 站点 192 168 1 0 24 C 站点 192 168 2 0 24 D 站点 192 168 3 0 24 2 主 DC 的建立 A 站点域控制器 A XX COM 集成 AD 与 DNS 服务 并且在 DNS 上做转发 实现对外网的访问 在 A 站点建立域内主 DC DNS 地址指向本地地 址 3 额外 DC 的建立 首先 DC 的 DNS 指向主 DC 的 DNS 地址 在新建 DC 的时候选 择创建 额外域控制器 建立完成后修改 DNS 地址为本机地址 并在 DNS 服务 器上做到主 DC 服务器地址的转发 4 站点的划分与配置 1 作用 1 优化客户端的登录 当域用户在上海或广东的客户端上登录时 DNS 会 替客户端找本站点内的 DC 这样就加快了身份验证过程 2 优化 AD 的复制 每个 DC 之间要同步 AD 数据库 如果不划分站点这 个同步无时无刻都在进行 而且数据是不压缩的 如果划分了站点这个 过程变的可控 特别是在多站点的情况下 优越性更加突出 2 站点的划分 1 创建新站点 打开 AD 站点与服务 管理工具 在 sites 上右击选 新站点 输入相对应的名字 并选择 defaultipsitelink 单击确定 以此方法分别建立 名 称为 B C D 的三个站点 并将默认站点名称修改为 A 2 新建子网 在 AD 站点与服务 管理工具中 右击 subnets 选择创建新的 新 建子网 创建四个子网并使其与相应的站点对应 3 移动 DC 在 AD 站点与服务 管理工具中 拖动 DC 至相应的站点的 Server 下 4 站点连接的创建与配置 选择 Inter Site transport 下 IP 右击选择新站点 连接 为站点连接起对应的名称 并将要连接的站点添加到站点连接中 这 里需要建立 A 到 B C D 的站点连接 B 到 C D 的连接 C 到 D 的连接即可 最后设置每条连接的属性 可以设置连接的开销值 物理链路带宽越高值越 小 优先级越高 与复制频率 并通过计划修改复制的时间 5 GC 全局编录 设置 A 点默认为 GC 为解决可能出现的域用户不能登陆 问题 将 BCD 同样启用 GC 方法是编辑每个站点的 NTDS setting 属性 启用 GC 5 DNS 设置 A 站点 DNS 建立主要区域 已经完成 BCD 建立 DNS 辅助区域 方法 在 BCD 上安装 DNS 服务 在 DNS 控制台选择 正向查找区域 创建新区域 选择创建辅助区域 输入已创建域名 XX COM 以及 A 点 DNS 地址 进行 DNS 信息的复制 注意 站点内客户端 DNS 指向本地 DNS 服务器 6 WINS 服务器设置 各站点建立 WINS 服务器 并且各站点建立复制伙伴关系 以 实现跨网段的网上邻居互访 根据实际情况决定服务器之间采用自动 复制还是手动复制 三 多域多站点结构 方案拓扑如下 分析 根据情况设计四个域 A 点为根域 BCD 分别为子域 这是逻辑结构 这样的好处是 分站点自己管理域和 DNS 子网设计 每个站点子网必须不同 比如 A 192 168 0 0 24 B 192 168 1 0 24 C 192 168 2 0 24 D 192 168 3 0 24 GC 全局编录 设计 解决用户跨越登录问题 这里采用每个站点都设计 GC 设计过程 1 根域的设计 A 站点 DC 安装 AD 建立新域 XX COM 并设计好 DNS 2 站点的创建 新建三个站点为 BCD 并创建新的子网与之相对应 默认站点该为 A 3 子域的设计 BCD 三个点建立为现有域的子域 比如 B XX COM C XX COM D XX COM 方法 BCD 三点 DC 的 DNS 指向 A 点 DNS 服务器 运行 AD 安装服务 选择建立现有域的子域 4 DNS 设计 采用 DNS 的区域委派 方法 1 根域上删除已建立的 BCD 三个子域的记录 2 在根域上建立子域的委派 并设置要委派的分站点 DNS 地址 3 在根域上启用到分站点的区域复制 4 分站点建立 DNS 服务器 IP 地址要同根域委派的地址对应 并 创建子域的 DNS 主要区域 5 子域的 DNS 指向自己 5 GC 的设计 为避免容易出现的跨域登陆缓慢 采用每个站点 DC 都启用 GC 6 WINS 服务器 每站点建立 WINS 服务器 各服务器间建立复制伙伴关系 根据实际环 境采用自动或手动复制方式 三种方案比较 架构单域多站点域树架构不同林架构 特点1 结构简单 所有站点属于 同一个域 2 通过站点间连接优化 AD 数据库同步 3 用户可以在任意站点登陆 并访问域内资源 1 每站点可独立为一 个子域 并由根域进 行委派管理 2 各子域相互信任 可以在任意点登陆 并访问同一林内资源 1 现有域独立管理 2 通过信任关系实现 访问 管理统一部署 统一管理分布管理各域独立管理 优点1 简便客户端登陆 2 每台 DC 都有权利对域进行 管理维护 3 与 EXCHANGE 集成较好 1 管理简便 子域可 以委派管理 2 子域 DC 没有太高 的权限 错误不至于 影响其他子域 3 与 EXCHANGE 集 成较好 1 网络不需要重新规 划 2 各域拥有完全独立 的权限 其他域有问 题不影响本