中型企业ActiveDirectory设计部署系列.doc

中型企业Active Directory 设计部署系列一 子网划分这篇系列文章我也是工作之余抽时间写的，我会尽快的写完，有的地方可能不会写得太详细。如果有纰漏或错误的地方，请及时指出。AD的理论知识和实际操作技巧大多数朋友想必都很熟悉了，不熟悉的朋友建议先把理论知识学好再来看这个系列的文章。公司概况公司简单介绍：OS公司是一家电子制作型企业，通过公司的运营和管理，发展迅速，现以拥有三家分公司，员工人数已经有10000人左右。为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业的网络。公司计划部署一个以AD为基础架构的信息系统用于完成企业的资源共享和数据通信。下面是OS电子公司的分布图：下面是OS电子公司IT部门的职能划分图根据OS公司管理模型和其它状况决定采用单域多站点的结构来进行AD部署；在设计部署AD之前首先要规划好IP地址的划分，子网的划分原则：，为每个分公司分配一个子网，子网数必须能满足今后的发展需求保证以后有足够可用的子网，每个子网有足够的可用Ip地址。根据公司的现状，以及考虑以后的发展规模决定用一个B类地址/16来划分子网。下面是子网划分图每个子网的掩码是:一共可以划分64个子网，每个子网有1022个可用IP，可以满足以后的发展需求。下面是每个公司网络的IP划分规则、每个网络前1-100为用于服务器规划，如珠海总公司-00/22保留，用于服务器IP地址的划分。、每个网络前101-150用于交换机和网络打印机地址规划，如珠海总公司01-50/22用于交换机和网络打印机地址规划。、每个网络最后一个254地址用于路由器，如珠海总公司54/22用于和分公司连接的路由器地址。、剩下的IP地址用于客户端，或分公司IT自己划分，如珠海总公司51-53/22用于客户端。以上的IP划分规则所有分公司IT必须严格执行。好了，第一篇IP的划分就先写到这吧。在设计站点之前先定义一下AD里对像的命名规则吧。简单的说就是要对AD里的对象制定一套命名规则，每个公司IT部门都要严格按这套命名规则来对自己创建的AD对象进行命名。下面写得不太详细但太概的意思就是这样。域的名字：os.ad域的功能级别：windows server 2003站点命名：地点前两个字母+公司简称，如：珠海总公司（ZHOS），广州分公司（GZOS），南昌分公司（NCOS）；服务器的命名：地点前两个字母+OS（公司简称）+服务器角色两个字母+IP地址（不足2位前面用0填充），让人通过名字就知道这台DC是那个分公司的，IP是多少。如珠海的DC（ZHOSDC02），重庆DC（CQOSDC02）客户端PC的命名：地点前两个字母+OS（公司简称）+W（Workstations的意思）+3位数字编号（不足前面用0填充），如珠海的客户端ZHOSW001,广州的客户端GZOSW001；用户登录帐号的命名：地点前两个字母+OS（公司简称）+U（Users的意思）+3位数字编号（不足前面用0填充）,如珠海用户ZHOSU001,广州用户GZOSU001；共享打印机的命名：地点前两个字母+OS（公司简称）+P（Printer的意思）+3位数字编号（不足前面用0填充）,如珠海的打印机ZHOSP001,广州的打印机GZOSP001；下面进入我们的主题站点的规划，不理解站点的朋友请详细阅读这篇文章相关概念：Active Directory中的站点代表网络的物理结构或拓扑。Active Directory 使用拓扑信息（在目录中存储为站点和站点链接对象）来建立最有效的复制拓扑。可使用“Active Directory 站点和服务”定义站点和站点链接。站点是一组有效连接的子网。站点和域不同，站点代表网络的物理结构，而域代表组织的逻辑结构。使用站点的好处简化管理：1.复制。通过在站点内更为频繁（与站点之间复制信息相比）地复制信息，Active Directory 平衡对最新目录信息的需求与对优化带宽的需求。您还可以配置站点间连接的相对开销，进一步优化复制。2.身份验证。站点信息有助于使身份验证更快更有效。当客户端登录到域时，它首先在其本地站点中搜索可用于身份验证的域控制器。通过建立多个站点，可确保客户端利用与它们最近的域控制器进行身份验证，从而减少了身份验证滞后时间，并使通讯保持在 WAN 连接以外。3.启用 Active Directory 的服务。启用 Active Directory 的服务可利用站点和子网信息，使客户端能够更方便地找到最近的服务器提供程序。子网的作用，利用子网去定义站点。在 Active Directory 中，站点是通过高速网络 如局域网 (LAN) 有效连接的一组计算机。同一站点内的所有计算机通常放在同一建筑内，或在同一校园网络上。一个站点是由一个或多个 Internet 协议 (IP) 子网组成。了解站点和域在 Active Directory 中，站点反映了网络的物理结构，而域反映了组织的逻辑或管理结构。这种物理和逻辑结构的区分提供了下列好处： 可以单独设计和维护网络的逻辑和物理结构。 不必使域命名空间基于物理网络。 可以为相同站点中的多个域部署域控制器。也可以为多个站点中的相同域部署域控制器复制概述除了非常小的网络之外，目录数据必须驻留在网络上的多个位置，以便于所有用户均等地使用。通过复制，Active Directory目录服务在多个域控制器上保留目录数据的副本，从而确保所有用户的目录可用性和性能。Active Directory 使用一种多主机复制模型，允许在任何域控制器上（而不只是委派的主域控制器上）更改目录。Active Directory 依靠站点概念来保持复制的效率，并依靠知识一致性检查器 (KCC) 来自动确定网络的最佳复制拓扑。利用站点提高复制效率Active Directory 依靠站点使复制更加有效。站点定义为有效连接的计算机组，它决定了目录数据的复制方式。Active Directory 在一个站点内比在站点之间更频繁地复制目录信息。这样，在连接最好的域控制器中，最可能需要特定目录信息的域控制器首先接收复制的更新内容。其他站点中的域控制器也接收更改，但不频繁，以降低网络带宽的消耗。复制还分为站点内复制和站点间复制。站点内复制：网络连接既可靠同时具有足够的可用带宽复制流量不进行压缩更改通知进程启动站点内的复制。Active Directory 处理站点内的复制（或称站点间复制）与处理站点间复制所用方法不同，因为站点内的带宽更易使用。Active Directory 信息一致性检查器 (KCC) 使用双向环式设计建立站内复制拓扑结构。站内复制可实现速度优化，站点内的目录更新根据更改通知自动进行。与站点间的复制数据不同，在站点内复制的目录更新并不压缩。建立站内复制拓扑每个域控制器上的知识一致性检查器 (KCC) 使用双向环式设计自动建立站内复制的最有效复制拓扑。这种双向环式拓扑至少将为每个域控制器创建两个连接（用于容错），任意两个域控制器之间不多于三个跃点（以减少复制滞后时间）。为了避免出现多于三个跃点的连接，此拓扑可以包括跨环的快捷连接。KCC 定期更新复制拓扑。 KCC 实际上为每个目录分区（架构、配置、域、应用程序）创建了单独的复制拓扑。在单个站点内，对于同一组域控制器拥有的所有分区，这些拓扑通常是相同的。 确定何时发生站内复制在站点内进行的目录更新可能对本地客户端产生最直接的影响，因此站内复制可实现速度优化。站点内的复制根据更改通知而自动进行。当在某个域控制器上执行目录更新时，站内复制就开始了。默认情况下，源域控制器等待 15 秒钟，然后将更新通知发送给最近的复制伙伴。如果源域控制器有多个复制伙伴，在默认情况下将以 3 秒为间隔向每个伙伴相继发出通知。当接收到更改通知后，伙伴域控制器将向源域控制器发送目录更新请求。源域控制器以复制操作响应该请求。3 秒钟的通知间隔可避免来自复制伙伴的更新请求同时到达而使源域控制器应接不暇。 对于站点内的某些目录更新，并不使用 15 秒钟的等待时间，复制会立即发生。这种立即复制称为紧急复制，应用于重要的目录更新，包括帐户锁定的指派以及帐户锁定策略、域密码策略或域控制器帐户上密码的更改。站点间复制：可用带宽有限且可能不可靠所有站点间的复制流量都经过压缩更改的复制将按手动定义的计划进行Active Directory 处理站点之间的复制（或称站点间复制）与处理站点内的复制所用方法不同，因为站点之间的带宽通常是有限的。Active Directory 信息一致性检查器 (KCC) 使用开销最低的跨越树设计建立站点间复制拓扑。站点间复制被优化为最佳的带宽效率，并且站点之间的目录更新可根据可配置的日程安排自动进行。在站点之间复制的目录更新被压缩以节省带宽。建立站点间复制拓扑Active Directory 使用您（通过“Active Directory 站点和服务”）提供的关于站点连接的信息，自动建立最有效的站点间复制拓扑。该目录将此信息存储为站点链接对象。每个站点被指派一个域控制器（称为站点间拓扑生成程序）以建立该拓扑。使用最低开销跨越树算法以消除站点之间的冗余复制路径。站点间复制拓扑将定期更新，以响应网络中发生的任何更改。可以通过在创建站点链接时所提供的信息来控制站点间复制。详细信息，请参阅管理复制。确定何时发生站点间复制Active Directory 通过最小化复制的频率以及允许安排站点复制链接的可用性，来节省站点之间的带宽。在默认情况下，跨越每个站点链接的站点间复制每 180 分钟（3 小时）进行一次。可以调整此频率以满足您的具体需要。请注意，提高此频率将增加复制所用的带宽量。此外，还可以安排复制所用的站点链接的可用性。在默认情况下，站点链接在任何时间都可以传输复制通讯。可以将此安排限制在每周的特定日子和每天的具体时间。例如，可以安排站点间复制，使其仅发生在正常工作时间以后。实现站点以管理AD中的复制。目的：通过站点人为控制复制频率。拓朴： 本帖最后由 lianggj 于 2008-7-14 10:50 编辑 1.jpg (23.62 KB) 下载次数:182008-7-14 00:40简单步骤分析：单域环境，一台DC、DNS（如位于广州）， 一台BDC（位于深圳）。1.创建 IP 子网和站点对象2.关联站点和子网对象 3.在站点内移动服务器对象4.在站点间创建 IP 站点链接 5.配置复制成本、日程和链接间隔环境：图2： 根DC 图5:lab2 路由图3: BDC图4:lab3解释如图： 本帖最后由 lianggj 于 2008-7-14 01:41 编辑 2.JPG (25.86 KB) 下载次数:102008-7-14 01:365.JPG (31.37 KB) 下载次数:62008-7-14 01:363.JPG (28.84 KB) 下载次数:72008-7-14 01:364.JPG (20.37 KB) 下载次数:62008-7-14 01:391.创建站点对象(siteB,默认站点改名为siteA)和 IP 子网。新建站点siteB6.JPG (50.38 KB) 下载次数:52008-7-14 10:19默认站点改名为siteA7.JPG (27.81 KB) 下载次数:82008-7-14 10:212.新建子网，并关联站点。siteA:8.JPG (34.5 KB) 下载次数:52008-7-14 10:249.JPG (44.63 KB) 下载次数:52008-7-14 10:24siteB:10.JPG (42.81 KB) 下载次数:62008-7-14 10:263.在站点内移动服务器对象11.JPG (31.05 KB) 下载次数:52008-7-14 10:3112.JPG (32.99 KB) 下载次数:52008-7-14 10:3113.JPG (31.08 KB) 下载次数:62008-7-14 10:314.在站点间创建 IP 站点链接 (也可直接用默认的 ）远程过程调用（RPC）RPC 是默认协议。此协议是用于客户端/计算机通讯的工业标准协议； 简单邮件传输协议（SMTP）。SMTP 支持站点之间及域之间的架构、配置以及全局编录的复制。 5.配置复制成本、日程和链接间隔如图： 本帖最后由 lianggj 于 2008-7-14 10:54 编辑 15.JPG (24.97 KB) 下载次数:62008-7-14 10:5414.JPG (50.5 KB) 下载次数:72008-7-14 10:54完成后工作：管理站点拓扑需要了解的相关概念：1.桥头服务器： 是在每个站点中指派的一台域控制器，负责发送和接收复制数据。源站点的桥头服务器收集所有复制更改，然后将其发送到接收站点的桥头服务器，接收站点的桥头服务器然后将更改复制到站点中所有的域控制器上。 委派首选桥头服务器打开“Active Directory 站点和服务”。右键单击控制台树中要使其成为首选桥头服务器的域控制器，然后单击“属性”。Active Directory 站点和服务/Sites/包含要使其成为首选桥头服务器的域控制器的站点/Servers/要使其成为首选桥头服务器的域控制器在“常规”选项卡上，单击计算机将成为其首选桥头服务器的一个或多个站点间传输，然后单击“添加”。16.JPG (21.38 KB) 下载次数:102008-7-14 11:192.站点间拓扑生成器站点间拓扑生成器是一个定义网络上站点间复制的 Active Directory 进程；每个站点中的单台域控制器被自动指派为站点间拓扑生成器还有就是强制KCC，创建一个自动connection对象。双击每个服务器对象，一个NTDS Settings对象将显示出来。 选择每个NTDS Settings对象，确信每个NTDS Settings对象都有一个从属的NTDS Connection对象。如果每个NTDS Settings对象下没有Connection对象，请选择（全部任务），再单击（检查复制布局）。这一操作强制KCC（知识一致性检查器）检查复制布局，从而在两个域控制器之间创建一个Connection对象。 强制两个域控制器之间的复制。鼠标右击从属于每个NTDS Settings对象的Connection对象，选择现在复制。 按下F5刷新显示，或者右击NTDS Settings对象并选择（刷新）。现在您应该看到一个Connection对象。17.JPG (55.64 KB) 下载次数:42008-7-14 11:41这时候，在默认情况下，跨越每个站点链接的站点间复制默认可以在180 分钟（3 小时）内，那么siteB要等这时候过后才会同步，产生新建的对象。手工同步,测试结果。 本帖最后由 lianggj 于 2008-7-15 19:47 编辑 18.JPG (49.23 KB) 下载次数:42008-7-14 11:44手工同步。 本帖最后由 lianggj 于 2008-7-15 19:48 编辑 19.JPG (43.02 KB) 下载次数:42008-7-14 11:47会有个提示信息。但同步成功，看结果。20.JPG (55.67 KB) 下载次数:62008-7-14 11:52到此告一段落了，再推荐个解决复制问题的工具。Replication Monitor (复制监视器)可看到详细复制信息Repadmin工具下图是公司整个站点及站点复制规划图AD的FSMO角色规划在珠海总公司，珠海总公司站点（ZHOS）用了3台DC，其中2台用于本地用户的身分验证，1台用于与其它站点间的AD数据复制；在OS分公司中每个站点都设计了2台DC用于冗余，定义了桥头服务器和至少一台GC。AD冗余的具体操作请参考这篇文章:“ AD/DNS/DHCP/WINS冗余部署实例”对于部署了AD架构的企业来说AD/DNS/DHCP/WINS都是我们必须用到的服务，一但这些服务中断会导致整个企业IT系统无法正常运作，如何保障这些基础服务的高可用性是我们每一位管理员需要考虑的。一般的中小企业最少都会用两台或多台服务器做冗余保证企业内基础服务的高可用性，当一台服务器坏了或需要维护另一台服务器照样能够提供相同的服务来保障企业IT系统的正常运作。下面是一张很经典的AD部署场景图，图里用了两台计算机做服务器，同时提供了/DNS/DHCP/WINS服务。对AD/DNS/DHCP/WINS服务不了解的朋友请先学习一下理论知识，要动手实验朋友请先把下面的图看懂了再动手，本帖子适合对入门的朋友，老鸟们就直接跳过吧_。下面是两台服务器的配置过程在配置前请先在两台计算机上安装好Windows 2003 操作系统，升级打好最新补订！一、inOSDC2服务器的配置过程1、的配置2、的配置3、的配置4、INS的配置二、inOSDC服务器的配置过程1、的配置2、的配置3、的配置4、INS的配置三、验证两台服务器是否能够提供冗余服务、一、inOSDC2服务器的配置过程1、的配置本帖最后由 zh_cxl 于 2009-1-11 14:36 编辑 本系列文章单独发于，供论坛朋友交流分享，希望能有更多的交流和分享，大家一起学习和提高，因近期有文章被作少许改动后在大型网站转载，并未注明原文作者以及来源为，为支持和保护论坛原创，如需转载或对原文进行修改、裁剪编辑等后再转载，请事先与我取得联系，故作声明，谢谢合作1、登录到WinOSDC2服务器，安装DNS/DHCP/WINS网络服务；、配置本机的网络，子网掩码，网关，；、在“开始菜单”“运行”输入AD配置命令dcpromo；、下一步、选择“新域的域控制器”“下一步”、选择“在新林中的域”“下一步”、输入要建立的或名 winos.ad;8、输入域的NETBIOS名；9、默认“下一步”10、默认“下一步”11、选择第二项“下一步”12、不考虑NT系统，选择第二项；13、输入目录还原的密码，在日后的还原AD数据时会用到，14、“下一步”AD在配置中15、完成16、重启计算机一、inOSDC2服务器的配置过程、的配置经过前面的操作我们的已经建立起来了，正向查找区域在配置的时候也自动建立起来了，我们需要手工的配置的反向查找区域，否则运行nslookup的时候会有错误提示。、打开“控制面板”“管理工具”“”；、选择“反向查找区域”点击右键“新建区域”；、下一步;、选择“主要区域”如下图，下一步；、选择第三项，下一步；、输入我们的网络地址；、选择第一项，下一步；、点击完成；如果企业需要上Internet的话，还必须配置DNS外部转发1、选择WINOSDC，右键选择“属性”；2、选择“转发器”，添加Internet上的外部DNS，这个地址可以问你的Internet接入提供商得到；一、inOSDC2服务器的配置过程、的配置动态主机配置协议（DHCP）是一种使网络管理员能够集中管理和自动分配 IP 网络地址的通信协议。为了实现冗余我们采用两台服务器来实现，每台服务器的IP地址池各占50%，具体分配如下:WinosDC2 可分配IP范围0-50WinosDC3可分配IP范围51-53下面是WinosDC2 的操作；、打开“控制面板”“管理工具”DHCP;2、选择inOSDC2服务器，点击鼠标右键选择“授权”；、点击鼠标右键，选择“新建作用域”；、输入“名称”和“描述”自己随便输入；、输入分配IP地址的范围050；6、默认“下一步“、选择第项，”下一步“、输入要给客户端分配的路由器网关，”下一步“；、输入要给客户端配置DNS，注意DNS顺序，我们这里首选的DNS地址就是inosDC2，备用DNS是WinosDC3，在配置inOSDC3的时间顺序正好与之相反，”下一步“。10、输入要给客户端配置WINS，注意WINS顺序，我们这里首选的WINS地址就是inosDC2，备用WINS是WinosDC3，在配置inOSDC3的时间顺序正好与之相反，”下一步“。11、选择第项，激活作用域，”下一步“；12、点击“完成”，到此WinosDC2服务器的DHCP配置完成；一、inOSDC2服务器的配置过程、的配置WINS用来登记NetBIOS计算机名，并在需要时将它解析成为IP地址，WINS数据库是动态更新的。 的服务配置起来简单多了，在服务器上安装了组件，在服务器上配置客户端的服务器指向WinOSDC2和inOSDC3即可，在这个实例中我们有两台服务器我们需把它们配置为复制伙伴。、打开“控制面板”“管理工具”“服务组件，选择复制伙伴，点击鼠标右键“新建复制伙伴”；、输入我们另外一台WinOSDC3的服务器的地址，点击“确定”即可； 本帖最后由 zh_cxl 于 2008-12-26 09:26 编辑 二、inOSDC服务器的配置过程1、的配置1、用本地Administrator登录到WinOSDC3服务器，配置本机的网络，子网掩码，网关，；2、把WinOSDC3服务器加入到winos.ad域；、输入winos.ad域的管理帐号及密码；、点击确定；、“确定”重新启动计算机；、选择“是”、计算机重启后，用winos.ad域管理员Administrator登录，添加、网络服务组件；、把WinosDC3提为额外域控制器，在“开始“菜单输入 dcpromo命令；、点击“下一步”、点击“下一步”11、选择“现有域的额外域控制器”，”下一步“、输入inos.AD域管理员帐号和密码，“下一步”；、默认不用输入，“下一步”、默认不用输入，“下一步”、默认不用输入，“下一步”、输入目录还原的密码，在日后的还原AD数据时会用到；“下一步”、出现下面的图可以知道，inosDC3正在和inosDC2同步数据；、点击”完成“、重新启动计算机；21、这一步很关键，重启计算机以后你需要改变WinosDc3的,把DNS的IP地址指向自己这样WinosDc3的才会去和WinosDc的同步，这是实现和冗余的关键；经过这样的配置以后两台服务器的和AD数据会相互复制，自动同步。、等几分钟或更长一点的时间打开inosDC3的管理控制台你会发现已经把WinosDC2的数据同步过来了。23、把WinOSDC3配置为，打开“控制面板”“管理工具”Active Directory站点和服务“，找到WinOSDC3,找到“NTDS Settings点击鼠标右键选择“属性”、出现下图，在“全局编录”打上钩，点击“确定”即可。到此/DNS已经实现了冗余,当其中某台own掉以后，另一台照样可以为客户端提供身份验证解析服务。注意:、FSMO主机在inosDC2，也就是说如果inosDC2own掉在确定不能修复的情况下需要到inosDC把FSMO的个角色抢夺过来，删除里对inosDC2的残留数据。对不了解的朋友请参考这篇帖子：/viewthread.php?tid=1527&highlight=fsmo关于主机抢夺请参考这篇帖子：/viewthread.php?tid=7195&highlight=fsmo、如果inosDC把FSMO的个角色抢夺过来以后，inosDC2又修复好了千万不要再加接入网络否则会发生角色冲突对你的会造成不可预知的破坏，切记！ 本帖最后由 zh_cxl 于 2008-12-27 08:40 编辑 二、inOSDC服务器的配置过程、的配置inOSDC的基本不需要再去怎么配置了，如果企业需要上Internet的话，还必须配置DNS外部转发1、选择WINOSDC，右键选择“属性”；2、选择“转发器”，添加Internet上的外部DNS，这个地址可以问你的Internet接入提供商得到； 本帖最后由 zh_cxl 于 2008-12-26 10:15 编辑 二、inOSDC服务器的配置过程、的配置WinosDC3服务的配置大体和WinosDC的配置是一样的，WinosDC3可分配IP范围51-53，注意配置客户端的和WINS的首选服务器正好和WinosDC相反。下面是WinosDC 的操作；、打开“控制面板”“管理工具”DHCP，选择inOSDC服务器，点击鼠标右键选择“授权”；2、点击鼠标右键，选择“新建作用域”；、”下一下“、输入“名称”和“描述”自己随便输入；、输入分配IP地址的范围5153；6、默认“下一步“、选择“下一步“8、选择第项，”下一步“9、输入要给客户端分配的路由器网关，”下一步“；10、输入要给客户端配置DNS，注意DNS顺序，我们这里首选的DNS地址就是inosDC3自己，备用DNS是WinosDC2，”下一步“。11、输入要给客户端配置WINS，注意WINS顺序，我们这里首选的WINS地址就是inosDC3自己，备用WINS是WinosDC2，”下一步“。12、选择第项，激活作用域，”下一步“；13、点击“完成”，到此WinosDC3服务器的DHCP配置完成；到此两台服务器的DHCP具有冗余的功能，当某台服务器Down掉以后，另一台服务器照样能够为客户端配置网络信息 本帖最后由 zh_cxl 于 2008-12-26 10:39 编辑 二、inOSDC服务器的配置过程、的配置inOSDC3 的服务配置也很简单，在服务器上安装了组件，在服务器上配置客户端的服务器指向WinOSDC2和inOSDC3即可，在这个实例中我们有两台服务器我们需把它们配置为复制伙伴。、打开“控制面板”“管理工具”“服务组件，选择复制伙伴，点击鼠标右键“新建复制伙伴”；、输入我们另外一台WinOSDC2的服务器的地址，点击“确定”即可；到此两台WINS服务器已经实现了相互复制，当其中某一台Down掉,另一台服务器照样能够为客户端提供NETBIOS计算机名解析服务。 本帖最后由 zh_cxl 于 2008-12-26 10:41 编辑 、验证两台服务器是否能够提供冗余服务本帖最后由 zh_cxl 于 2009-1-11 14:37 编辑 所有配置都完成了，检查结果的时候到了。下面我们要来测试一下配置是否成功，能否提供冗余。用两台客户端PC测试，PC1、PC2，完成测试。、到PC1客户端用D帐号登录测试，检查PC1登录的是那台服务器，检查从那台DHCP服务器获取的。在客户端登录以后，在“开始”菜单“运行”输入cmd 打开命令提示符界面输入set命令查看登录的服务器，如下图，登录的服务器是WinoSDC22、打开“开始”菜单，“设置”“网络连接”双击“本地连接”“支持”“详细信息”如下图是从WinOSDC2获得的IP地址。、下面模拟服务器故障，把WinOSDC2关机；、到PC1客户端把刚才登录的帐号注销，用另一个帐号登录会发现登录的域服务器已经变成了WinosDC3,如下图；、现在开启PC2客户端计算机，分别检查它获取IP的服务器和登录的服务器，会发现给它提供服务的是WinosDC3服务器；、把WinosDC2服务器开启，inosDC3服务器关闭断续测试；如果上面的测试通过没有什么问题，说明AD/DNS/DHCP/WINS冗余服务部署成功。完毕本文章单独发于，供论坛朋友交流分享，希望能有更多的交流和分享，大家一起学习和提高，因近期有文章被作少许改动后在大型网站转载，并未注明原文作者以及来源为，为支持和保护论坛原创，如需转载或对原文进行修改、裁剪编辑等后再转载，请事先与我取得联系，故作声明，谢谢合作 本帖最后由 zh_cxl 于 2008-12-26 12:16 编辑 为么要划分站点？很简单两个原因：1、优化AD的复制；DC之间要同步AD数据，假如不划分站点，这个同步每时每刻都在进行，而且数据是不压缩的。如果划分了站点就可以控制站点到站点间的AD复制。2、优化客户端的登录，当划分了站点以后，DNS会替客户端找本站点内的DC，这样就加快了身份验证过程。经过上面的规划和配置后OS公司用户的身份验证都会点本地站点内的DC完成，比如说，广州分公司的用户会去GZOS站点内的DC去做身份验证，南昌分公司的用户会去NCOS站点内的DC去做身份验证。现在大家明白之前为什么要去划分IP子网了吧？其实AD站点的划分就是通过IP子网来实现的，在划分AD站点之前首先要规划好你的网络地址。什么是站点内？什么是站点间？大至可以这么去理解，站点内是由一组高速带宽连接的网络，站点间是由一组低速带宽连接的网络。1、站点内的复制在站点内进行的目录更新可能对本地客户端产生最直接的影响，因此站内复制可实现速度优化。站点内的复制根据更改通知而自动进行。当在某个域控制器上执行目录更新时，站内复制就开始了。默认情况下，源域控制器等待 15 秒钟，然后将更新通知发送给最近的复制伙伴。如果源域控制器有多个复制伙伴，在默认情况下将以 3 秒为间隔向每个伙伴相继发出通知。当接收到更改通知后，伙伴域控制器将向源域控制器发送目录更新请求。源域控制器以复制操作响应该请求。3 秒钟的通知间隔可避免来自复制伙伴的更新请求同时到达而使源域控制器应接不暇。 对于站点内的某些目录更新，并不使用 15 秒钟的等待时间，复制会立即发生。这种立即复制称为紧急复制，应用于重要的目录更新，包括帐户锁定的指派以及帐户锁定策略、域密码策略或域控制器帐户上密码的更改。2、站点间复制：可用带宽有限且可能不可靠所有站点间的复制流量都经过压缩更改的复制将按手动定义的计划进行Active Directory 处理站点之间的复制（或称站点间复制）与处理站点内的复制所用方法不同，因为站点之间的带宽通常是有限的。Active Directory 信息一致性检查器 (KCC) 使用开销最低的跨越树设计建立站点间复制拓扑。站点间复制被优化为最佳的带宽效率，并且站点之间的目录更新可根据可配置的日程安排自动进行。在站点之间复制的目录更新被压缩以节省带宽。下面出个题目考考大家，假如你是珠海总公司员工，带着你的笔记本电脑去南昌分公司出差，到了分公司以后，接入分公司网络这个时候你的身分验证是在那里完成的？接上一篇：中型企业Active Directory 设计部署系列二 站点的设计回答上一篇的问题，答案是：在南昌的其中一台DC完成身份验证。分析：珠海员工到南昌分公司出差办公当笔记本接入南昌分公司的网络后南昌分公司的DHCP服务器会为它分配一个属于南昌网段的IP地址，并配置南昌分公司的DNS及网关地址，然后DNS会去查询本地的DC，最后在本地DC上对用户进行身份验证。下面进行OS公司的AD的架构设计图从图里我们可以看出Administrator用户对域有最高的权限，是整个AD的管理员，在大中型企业里如果AD靠管理员一个人去管理维护肯定是不可能的特别是有分支机构的企业，因此需要把部分权限委派出去。委派的权限不能过高，因为AD是公司的基础架构，很多应用都是基于AD的，如果AD发生崩溃在大中型企业里后果是不可想象，为了减少AD的崩溃和出错在权限设计方面一定要设计严格的管理权限，制定出在AD里对象的操作规则。AD的结构主要是根据自己企业的实际情况和管理方便来划分下面只是一个实例仅供参考。第一级划分考虑到OS公司在未来的几年发展只限于国内发展，国外暂不考虑，结合中国地理位置第一级OU按省份来划分。OS公司在3个省内有公司第一级划分三个OU分别是GD(广东）、JX（江西)、SC(四川）未来在别的省份发展分公司还可以断续增加省份OU。在第一级OU中设计了一个Groups的OU这个OU主要用于存放OS公司的一些公共组,这个设计主要是为了便于管理。举个例子：总部有一份报表需要给珠海总公司、广东分公司、南昌分公司等各分公司的财务人员查看和修改，如果你是IT管理者该如何做？最佳的解决方法： 1、要求各公司IT管理员创建一个本地的财务组，如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept，南昌NCOS-Finance-Dept等，自己本公司的所有财务人员加入到本地创建的财务组； 2、总部管理员在Groups创建一个OS-Finance-Dept财务公共组，把各公司的财务组如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept等加入到OS-Finance-Dept财务组； 3、创建一个文件夹，把查看和修改权限赋予OS-Finance-Dept。 第二级划分第二级划分主要根据OS公司的结构来划分，根据所在的省份在一级OU下为每个公司划分一个OU，每个OU委派给各公司IT主管进行管理。从图里可以看出，每个公司的OU下都有一个组，这个组的用户对这个OU下面的对象负责管理，AD管理员把各公司的IT主管分别加入到相应的组里面。对每个公司的OU委派下面几个权限：1、创建、删除以及管理用户帐户2、创建、删除以及管理计算机帐户3、重设用户密码并强制在下次登录时更改密码4、读取所有用户信息5、创建、删除和管理组6、修改组成员身份7、生成策略的结果集(计划)8、生成策略的结果集(记录)好了先写到这里吧，累了休息休息。问题：假如我是南昌的IT管理员可以在一级OU上创建AD对象吗？可以对重庆的进行管理吗？下一篇：中型企业Active Directory 设计部署系列三 AD架构的设计（下）接上篇：中型企业Active Directory 设计部署系列三 AD架构的设计（上）解答上篇的问题：假如我是南昌的IT管理员可以在一级OU上创建AD对象吗？可以对重庆的进行管理吗？答：1、不能在一级OU上创建AD对象，因为没有被授权； 2、不能对重庆OU进行管理，因为没有被授权；前面我们根据地点和公司划分了二级OU，下面我们再针对每个公司继续划分OU。每个公司的OU架构共设计了两个方案，下面我们先看看二个方案的架构图。方案一：方案二：公司OU划分没有一定结构，原则是根据公司的实际情况来划分，怎么样管理方便就怎么样划分。第一个方案简单明了，把相应的对象放入相应的OU再进行策略管理；第二个方案也不错，在管理上划分得很细，但相应的也增加了管理的复杂度；根据公司的实际情况，为了简化管理决定采用第一个方案，强化总公司的IT管理，减少AD的维护量，保障公司OU架构的统一性和可靠性所有公司都统一采用这一架构，并为公司里的每一个OU委派权限给分公司的IT管理员。具体的OU委派权限如下：IT:作用：此OU委派给总公司IT管理员创建和存放分公司的IT用户和组委派权限：1、创建、删除以及管理用户帐户2、重设用户密码并强制在下次登录时更改密码3、读取所有用户信息4、创建、删除和管理组5、修改组成员身份6、生成策略的结果集(计划)7、生成策略的结果集(记录)Groups:作用：委派给分公司IT管理员创建和存放本地分公司的用户组委派权限：1、创建、删除和管理组2、修改组成员身份Users:作用：委派给分公司IT管理员创建和存放本地用户帐号委派权限：1、创建、删除和管理组2、重设用户密码并强制在下次登录时更改密码3、读取所有用户信息4、修改组成员身份5、生成策略的结果集(计划)6、生成策略的结果集(记录)Servers:作用：委派给分公司IT管理员创建和存放本地服务器计算机帐号；委派权限：1、创建、删除以及管理计算机帐户2、生成策略的结果集(计划)3、生成策略的结果集(记录)Mobiles:作用：委派给分公司IT管理员创建和存放本地笔记本计算机帐号；委派权限：1、创建、删除以及管理计算机帐户2、生成策略的结果集(计划)3、生成策略的结果集(记录)Workstations:作用：委派给分公司IT管理员创建和存放本地普通计算机帐号；委派权限：1、创建、删除以及管理计算机帐户2、生成策略的结果集(计划)3、生成策略的结果集(记录)接上篇：中型企业Active Directory 设计部署系列三 AD架构的设计（下）经过前面的工作OS公司的AD架构已经设计好了，下面进行组策略的设计。设计组策略的目的是管理用户和计算机，通过组策略可以配置管理一群用户和一群计算机的使用环境，因此需要根据公司的实际情况和管理环境来进行设计。先看下面的两张设计图吧设计图一设计图二1、组策略分为计算机策略和用户策略，在设计组策略时最好把这两样分开；2、合理的优化组策略，有助于加快客户端处理组策略的速度和排错，比如说你有一条策略是针对计算机的那完全可以把用户策略这一块禁用掉，如果是用户策略则可以把计算机策略这块禁掉。3、尽量减少组策略的使用数量，组策略是一样好东西，但不要乱用，刚学习组策略的朋友很喜欢在自己的AD里使用大量的组策略，这是不好的。为什么？（1、）用的策略越多对客户端的性能影响就越大，因为客户端需要花资源花时间去处理这些策略；（2、）增加客户端的复杂度，一旦出问题增加了排错的困难。在那里优化呢？