活动目录概述及设计

1、目录服务目录服务 什麽是活动目录？什麽是活动目录？ lactive directory, ad l活动目录 是 windows 2000 server 提供的重要服务 l管理中心：网络元素 (用户，应用，设备等) l安全中心: l身份认证 l授权中心 l桌面管理和控制 l开放的平台 ：应用的开发，与其他系统集成 目录服务综述 实施实施ad带来的收益带来的收益 l实体管理的平台 l用户身份管理： l每个员工访问办工网时出示唯一的一个id标识 l管理任务：开户，销户，禁用账号 l安全的认证方式：kerberos; 事实上的业届标准 l集中的计算机桌面管理： lwindows 2000 桌面版：通过

2、组策略 l集中的安全控制中心：通过组策略对于w2k server, w2k pro 实施实施ad带来的收益带来的收益 l应用开发系统将用户身份认证交给ad l企业内部一套用户数据库： l用户信息准确 l降低管理成本 l更能关注本应用本身的业务逻辑 l减少工作量 l更安全 l用户使用的便利：只需记住一套用户名/口令 l应用策略 l应用发布 实施实施ad带来的收益带来的收益 l辅助其它网络应用的分布式实现 lad 集成的dns lad集成的dfs(分布式文件系统) l打印服务的定位：搜索打印机的位置 lmsmq lexchange 2000 lca service 实施实施ad带来的收益带来的收益

3、 l构建一个企业目录系统的基础 l从用户管理到各种其他实体的管理：计算机，网络 设备，应用程序 lecommerce 应用 lextranet 应用 ad 项目过程项目过程 l现状分析- l需求分析- l设计- l测试- l试点- l大规模实施- l稳定阶段 现状分析现状分析 identify organizational structure identify future organizational growth identify geographical layout of organization identify network infrastructure identify dir

4、ectory services and nos infrastructure identify directory- enabled applications identify dns infrastrucuture identify dhcp infrastructure identify wins infrastructure identify messaging infrastructure identify other related infrastructures identify naming conventions identify administrative model ph

5、ase i - discovery active directory design to phase ii - requirements definition identify security model 需求分析需求分析 identify authentication, security, and access requirements identify organizational, administrative, and end-user requirements identify business critical applications, user populations, ac

6、cess requirements, and supported platforms identify server/ workstation management requirements identify integration/ co-existence requirements phase ii - requirements definition active directory design 设计设计 identify criteria for creation of active directory components define administrative model de

7、velop naming conventions define overall forest architecture define domain architecture define name resolution define organizational unit architecture define server topology define site architecture identify integration/ co-existence plan define support for directory-enabled applications define domai

8、n migration strategy define active directory backup/ restore plan generate final deliverables phase iii - solution design active directory design deliver to client 设计原则设计原则 l简单是最好的投资简单是最好的投资 l您的业务和单位会不断变化您的业务和单位会不断变化 l理想设计的目标理想设计的目标 l研究设计替代的方案研究设计替代的方案 活动目录的逻辑元素活动目录的逻辑元素 活动目录的物理元素活动目录的物理元素 森林森林 森林森林

9、 l森林是域的集合，是一套目录系统的边界。森林有两 种主要用途：简化用户与目录的交互过程和简化对多 个域的管理。 l森林有这样一些特征： l共享一套 schema(定义ad中对象的类型和相应对象的属性) l共享一套 configuration (如domain,site,site link 信息) l共享一套 global catalog (gc,全局编录) l用户搜索 global catalog l用户用upn名登录 () l森林中的域之间互相信任 森林森林 l建立多个森林的理由为： l不能信任其他的管理员 l不能就forest变化策略达成一致 lschema变化, configurati

10、on变化,添加新域对整个forest带来的影 响。 l共同决定schema administrators, enterprise administrators 的成 员 l多个forest带来的不好影响： l增加管理费用 l域数目增多；各个森林分别管理森林级的服务 l手工管理和维护森林之间的信任关系 l有一些功能在多forest的环境中失效 lupn logon (如) forest 设计选择设计选择 l单一forest l两个forest l主要优点： l两个森林完全的管理边界，提供了完全的自治，双方拥有各自独立的schemas， 各自独立的全局编录, 各自管理自己的森林级管理任务（sche

11、ma, enterprise ） l应用开发的便利：独立控制自己森林中的schema，有利于目录集成的应用开发， 扩展本森林的schema不必影响其他森林的schema。 l目录集成应用项目的研究：作为一个独立的测试和试运行环境 l独立的全局编录：外来人员很多，人员流动大，经常会建立临时账号，将森林 独立出来有一套独立的全局编录，可以不影响人员相对固定的其他森林 l主要缺点： l额外的森林根硬件(2-3台) l额外的森林级管理任务 l有资源共享需要时，手工维护信任关系 l现阶段不可以合并，域在森林之间不可以移动，用户可以在森林之间用工具移 动 森林根域森林根域 l森林中的根域是在森林中创建的第

12、一个域，森林的名 字就是这个域的名字。有两个森林级的组 enterprise administrators 和 schema administrators 就存在这个 域中，他们的成员由森林根域的 domain admin 决定 的。 l无法重新安装森林的根域。如果森林根域的所有域控 制器在一次灾难性事故中丧失，而且一个或多个域控 制器无法从备份恢复，将永久丧失enterprise administrators 和 schema administrators组，造成灾 难性事故，整个森林将面临重建。 森林根域森林根域 l在森林根域中，有两个森林级的操作主机 （fsmo）角色：schema ma

13、ster 和domain naming master 。 lschema master 控制对于schema的更新和修改,更 改schema必须在schema master上。任何时候， 森林中只能有一台schema master ldomain naming master在森林中控制域的增、删。 任何时候整个森林只能有一台domain naming master 森林根域森林根域 l建议建立一个专职，小的森林根，森林根不可以改名，改变或删 除 l创建一个额外的专有的域作为森林中的根域可以有以下的一些好 处： l森林根域中的域管理员可以管理enterprise administrators 和

14、 schema administrators groups的成员。 这两个管理员组中的成员 可以控制整个森林的结构，例如增减域都需要enterprise administrators组中的成员许可；以及整个森林中的schema 变化。 l因为这个域很小，它可以很容易复制，所以可以避免森林中心的 大灾难。 l因为这个域的唯一职责是作为森林的根，这个域将来不会作废。 将森林根域与工作域化开，可以在工作域将来不需要时，将它删 除，而森林根域会一直保留，不会在工作域改变时受到影响。 森林根域森林根域 l根域设计选择根域设计选择 l建立一个由3台机器组成的森林根，只作森林级管 理任务。 l此森林根域为本

15、机模式。 域域 域的作用域的作用 l认证（kerberos） l策略管理 l账户的安全策略 lpassword policy laccount lockout policy lkerberos ticket policy l共享资源的发布 l文件共享 l打印机 域设计域设计 l在windows 2000设计原则中来自实际的经验 是，尽量减少域的数目，保持域结构的简单化。 有三种可能的原因增加新的域： l保留已有的 windows nt 域结构 l管理任务的划分 l物理划分 l整个森林中域数目建议不要超过10个 管理的边界管理的边界 l域是管理任务的边界。这意味着每个域有一个域管理员组，域管 理

16、员对域中的每一个对象都有完全的管理权力。这些管理权力只 在本域拥有，不会跨越到其他域。通过将各个域的管理员账号/口 令收集到总部，也可以实现将不同域的管理任务集中到总部，这 是一种变通的做法。 l在组织中，对安全策略的需求 。有一些安全策略是实施在域用户 上，只能基于每个域来设定： l口令策略，如口令长度等 l账户锁定策略，用来定义对待猜测口令的入侵者，口令数次失败 后将账户锁定 lkerberos 票据策略. 定义kerberos 票据的生命周期. 一张kerberos 票据是在登录过程中获得的，用来进行网络认证。一张票据只在 策略中规定的生命周期时间内存活。当票据过期后，系统自动去 申请另

17、一张新的票据. l如果组织中对这些策略不能达成一致，那末只能分为几个域。 物理划分物理划分 l物理划分是指将森林中的域划分为多个小域。 多个小型域可以优化复制过程，只需将复制对 象放在最相关的位置. 例如，在只有一个域的 森林，森林中的每一个对象都需复制到森林中 的每一个域控制器上。这样有可能将一些很少 用的对象复制到一些地方，而占用了宝贵的带 宽，例如，经常登录到总部的用户不需将他们 的账户复制到分支机构。通过建立一个独立的 分支域可以避免一些复制流量。 以单域为出发点以单域为出发点 l用户不必在域之间移动 l任何域控制器都可以处理用户的认证请求 l不必在域之间建立group policy配

18、置的再配置 单域的大小单域的大小 以下的表可以帮助设计一个单域环境能够承受的最大用户数： 域控制器之间的最低有域控制器之间的最低有 效带宽效带宽 (kbps) 一个森林中不要超过的用户一个森林中不要超过的用户 数数 (users) 创建子域不超过的用户数创建子域不超过的用户数 (users) 9.69.625,00025,00015,00015,000 14.414.450,00050,00015,00015,000 19.219.250,00050,00025,00025,000 28.828.875,00075,00040,00040,000 38.438.4100,000100,0004

19、5,00045,000 56.0 (and higher)56.0 (and higher)100,000100,000100,000100,000 单域的大小单域的大小 l以上的数字： l以 100,000 用户为边界 l保守的估计 l10% 的最小带宽用来处理复制 l所有的dc都为gc l新员工率为：20% l离职员工率为：15% l组中成员变化是复制中主要的流量 l用户和计算机数目是1：1 ldns是ad集成的 ldns配置中有清除陈旧记录 单域的大小单域的大小 l以上的数字： l以 100,000 用户为边界 l保守的估计 l10% 的最小带宽用来处理复制 l所有的dc都为gc l新员

20、工率为：20% l离职员工率为：15% l组中成员变化是复制中主要的流量 l用户和计算机数目是1：1 ldns是ad集成的 ldns配置中有清除陈旧记录 域模型设计：单域域模型设计：单域 l除森林根域之外，建立一个单域，所有用户账号在一个数据库中。 l主要优点： l最简单：简化 fsmo的管理、复制、 备份、 恢复、 dns等 lad数据库在各处都是 l用户体验的一致性，不管他在哪里办公，登录过程等都完全一致 l用户很容易移动：在一个域内的移动任务非常简单 l减少硬件投资，为保持域的可靠性，每个域内至少有两台域控制器，设计为单域，在各个分支机构的 域控制器数目可以只为一台 lou 权限委派很容

21、易：创建/修改/删除的任务非常简单 l硬件配置标准化，软件配置标准化：在各处的域控制器配置完全一致 l精干的管理员组，对应30*2个一般化的管理员 l应用开发人员可以只和一个用户库绑定 l主要缺点： l物理带宽的保证：参照物理划分的需要，50000用户的最小带宽是28.8k有效带宽 l所有的数据在各处复制，小机构可能不需要所有的数据。（从wan复制的计算中可以看出这些复制量） l共享的一些安全配置，如口令长度和复杂度 l每个分支机构的实施过程，影响到网络流量，每实施一个分支机构，就增加了域控制器及ad中的数据 l对目录单点的故障/有意破坏。 l减轻作法：对管理权力严格进行控制：包括域管理员的成

22、员，各ou容器的管理员；和针对 特定对象授权的恢复完成 l对域控制器物理上完全的权力 l减轻作法：由管理任务细化，不同任务交给不同管理员；每个服务单设管理员 域模型设计：域模型设计：双域 l按南北两个数据中心设定两个域 l主要优点： l数据库细化为两个，减少了全网复制量 l符合网络拓扑结构 l总部集中管理模式下，只维护两个域的管理任务 l精干的管理员组，对应30*2个一般化的管理员 l用户体验在南方区和北方区的一致性 l人员变动时，用户很容易在南方区、北方区内部账号迁移 l应用开发人员可以只和两个用户库绑定 l南方区和北方区各自的硬件配置标准化，软件配置标准化 l缺点： l每个分支机构的实施过

23、程，影响到网络流量，每实施一个分支机构，就增加了域控制器及ad中的数据 l影响dns名字规划 l所有的数据在各处复制，小机构可能不需要所有的数据 l对目录单点的故障/有意破坏。 l减轻作法：对管理权力严格进行控制：包括域管理员的成员，各ou容器的管理员；和针对特定对象授权 的恢复完成 l对域控制器物理上完全的权力 l减轻作法：由管理任务细化，不同任务交给不同管理员；每个服务单设管理员 总部域模型设计：总部域模型设计：大区域 l按地理位置的大区设置域 l主要优点： l数据库一定程度细化 l主要缺点： l网络拓扑结构并非按大区设定 l管理模式是否按大区设定 l管理模式可以收回 域模型设计：域模型设

24、计：30+域 l总部和各个一级分支机构，包括2个数据中心设置独立的域（35） l二级分支机构不设置域，需要检查增加子域-带宽考虑表，有所调整。 l主要优点： l数据库细化 l每个分支机构分布部署不会引起全网数据流量的突变 l支持未来管理模式变化为：各一级分支机构独立管理：服务和数据 l主要缺点： lad域数目过多：不符合推荐的域数目在10个以内的模式 l域数目增多，重复的管理任务增多 l域级的安全策略 l域内的组策略配置 l域内第一级组织单元的建立 l硬件服务器数目增多，每个分支机构的域中域控制器的数目不能少于2个，这要造成全网 的硬件服务器数目大约为35*2 l在集中的管理模式下，总部服务管

25、理要将所有域（35）的权限收上来，做法需要维护 一张管理员表，从已有ad客户的使用来看，不方便和安全 l应用开发人员可以只和一个用户库绑定，开发出目录集成的应用，而不用考虑利用gc全 局编录中的数据或从多个用户库搜索做成一系列重复串联的工作 四种域模型的分析 l大区域模型是否符合当前管理模式和网络结构 是一个主要考虑点。 l30+域模型：不符合推荐的域数目在10个以内 的模式，造成了管理过于复杂，用户体验的复 杂；另外在一级分支机构的硬件投资数目大约 比单域和双域要多一倍。对比单域和双域模式， 它的缺点比较明显。 l双域和单域模型的对比。这两个模型比较相似。 双域和单域模型的对比双域和单域模型

26、的对比 l用户数据库分为一个与两个 l复制拓扑结构只与网络拓扑结构有关，双域在目前网络结构环 境中，可以减少全网复制量，优化网络带宽的使用 l减少对目录单点的故障/有意破坏：破坏一个目录数据库，影响 面减少一半 l带宽的保证：50000用户的最小带宽是28.8k有效带宽，25000 用户在两个子域中带宽要求是19.2k有效带宽。两个域的带宽比 较有保证。 l对于数据库大小的压力：50000用户的预估数据库为654m， 25000用户的预估数据库为344m (以上数据库估计是按50000用 户数，50000w2k计算机，5000个组，500个ou，3000个打印 机；25000用户的情况是减半)

27、 l域控制器的备份和恢复时间减少一半，从网络上通过复制来恢 复域控制器的可能性提高。300m的数据库，在256k带宽条件 下，提升或恢复所需的时间约为1小时 l管理模式可以在日后方便地调整为：南方区和北方区； l应用开发人员考虑和两个用户库绑定：开发出目录集成的应用， 考虑利用gc全局编录中的数据或从两个用户库搜索做成一个重 复串联的工作 l域的合并不能进行，但域中用户的迁移可以用工具作到。 管理模式管理模式 总部管理模式设计总部管理模式设计 l管理任务定义管理任务定义 l服务管理服务管理： lad中所有有关结构的配置 lad中所有有关机器的配置 lad中所有有关权限的配置 l数据管理数据管理

28、： l目录中对象的操作 增、删、移动：用户，计算机 组织单元中的策略控制 l服务器管理：服务器管理： l硬件监控、维护 lad服务器备份 l最终用户支持最终用户支持 l用户登录和sso支持 l用户桌面的支持 管理模式定义 l层次结构 l总部ad管理：总部ad服务管理、总部数据管理， 总部服务器管理 l一级分支机构：一级分支机构和下属二级分支机构 的数据管理、服务器管理 l二级分支机构：服务器的管理 dns设计设计 dns 名名字空间设计字空间设计 l内部办公网络的dns名字的选择可以有几种： l与internet上的dns名字相同 l继承internet 名字空间 l.local .intra

29、 l目前仍是draft rfc “dns top level domain for private ” l完全的内部名称 l注意事项：避免两个字节的根后缀，.xx; l注意事项：避免yy.xx 安全性的考虑： l低安全性低安全性: l与internet完全dns通讯 l定义正常的dns名字解析方法 l用 root hints 指向internet root servers l防火墙对任何源和目的地址开放53端口 l适度安全性：适度安全性：: l与与internet之间有限的之间有限的dns通讯通讯 l用forwarders指向内部有限的几台dns服务器 l在防火墙上，将这几台dns服务器与外部

30、dns服务器的通讯打开(允许端口53在有限的源和 目的地址之间通讯) l外部dns 可以连接到internet root servers l 最安全：最安全： l与与internet之间没有之间没有dns通讯通讯 l定义内部的root server l控制内部的名字区域 l用代理服务器和网关来保证客户端访问internet dns通讯 l设计选择：设计选择：最安全的方式，即定义内部的dns root, 控制内部的名字区域；客户 端访问internet采用代理服务器和网关的做法。 dns服务器的位置和复制作法服务器的位置和复制作法 l设计选择：设计选择：dns服务配置在域控制器上，有些 域控制器

31、并不需要安装dns服务，具体配置参 见服务器设计。dns区域都配置为ad集成的 dns区域，利用目录服务的复制拓扑和复制周 期实现dns区域记录的复制；利用动态更新的 功能 ou ou的作用的作用 l划分管理任务 l用来配置组策略 l用来隐藏一些对象 site site概念概念 l在目录服务的术语中， 一个site是指一些连接很好的网 络 l服务客户请求服务客户请求. 当客户从域控制器请求服务时，例如用 户认证，目录服务确定用户所在的site，直接将请求交 给与用户在同一个site的域控制器。选择离用户群最近 的域控制器可以有效地对用户进行回应。 l优化复制优化复制. sites 控制目录复制

32、的信息流量。目录复制在 site内部比在site之间更频繁，而且site之间的复制是压 缩的（压缩比为5-10） l一个设计很好的site拓扑结构可以保证网络带宽不至于 因目录复制信息而饱和，而且，目录信息能够保证更新， 客户端机器能够访问到最近的资源 site 概念概念 lsite link l目录服务复制可以通过配置site之间连接器来进行控制，即 配置site links：连接的成本和复制周期 。目录服务利用 site links这些配置信息来确定在域控制器之间最有效的目 录复制连接 l连接对象连接对象 l连接对象定义了目录复制的源、目的以及时间周期的安排。 l缺省情况下，由目录系统中的

33、kcc根据管理员配置的site和 site link信息自动创建连接对象。 l管理员可以改动kcc创建的连接对象，也可以手工配置连接 对象 site设计 l客户端登录的反应时间 l目录服务复制的冗余 l网络带宽的优化 site的划分 l不存在域控制器的地方，不必划site；域控制 器的放置在目前的原则是 l一级分支机构放置域控制器以用于用户登录 l二级分支机构根据网络有效带宽是否能够满足用户 登录需要来放置；如果不放置域控制器，用户登录 需要通过广域网，每个用户登录所需的时间由登录 流量和网络带宽来决定 site 设计设计 复制量计算复制量计算 目录数据库的大小目录数据库的大小 l目录数据库的

34、大小： l按25000用户，w2k 计算机25000个，打印机3000 个，大组500个，中组2000个，小组2000个，500 个ou考虑，每个数据库是344m lgc的大小： l为520m site link 开销值 l有效带宽(kilobits/second)cost l9.61042 l19.2798 l38.4644 l56586 l64567 l128486 l256425 l512378 l1024340 l2048309 l4096283 site link 复制日程安排复制日程安排 l定义一个复制日程安排： l定义复制窗口为全周、全天开放 l除上班的高峰时间：08：00 11

35、：00 3小时和14： 00 17：00 3小时 site link 副本复制频率副本复制频率 l在复制窗口18个小时中： l从桥头堡到分支机构的复制为2次，各6小时 l从分支机构到桥头堡的复制为2次，各3小时 确定复制时间表 l满足的条件是：只能有4个二级分支机构同时进行复制，即同时使用一级分支机构的 线路进行复制 l在inbound阶段：各分支机构将本地的变化传递到桥头堡服务器 l在outbound阶段：桥头堡服务器将所有发生的变化传递到各分支机构 l根据以上时间表： l各分支机构每天的目录变化，第二天能够总部复制 时时间间窗窗口口 11:00-14:00/ 3小 时 17:00-23:0

36、0/6小时 23:00 -2:00/3小时 2:00 8:00/6小时 复复制制频频率率 每一小时 每一小时 每一小时 每一小时 复复制制类类型型 （对对于于桥桥 头头堡堡服服务务 器器） inbound outbound inbound outbound 各个桥头堡上的复制周期配置 冗余的考虑 服务器服务器 概念概念 l域控制器域控制器 l域控制器是使用 active directory 安装向导配置的运行 windows 2000 server 的 计算机。active directory 安装向导安装和配置为网络用户和计算机提供 active directory 目录服务的组件。域控制器

37、存储着目录数据并管理用户域的交互，其中 包括用户登录过程、身份验证和目录搜索。 l桥头堡桥头堡 l数据中心的域控制器有一种角色是负责与大量的分支机构域控制器进行，维持复 制拓扑结构，保证目录信息的及时更新和准确度 l全局编录：全局编录：gc l森林中的一台或多台域控制器可以作全局编录gc。存储着其所在域的目录中所有 对象的全部副本及森林中每个其他域的目录所包含的所有对象的部分副本。因为 副本存储着森林中每个对象的部分而非全部的属性值，所以这只是一部分。全局 编录发挥两个重要目录的作用： l启动登录过程时，它通过将全局组成员信息提供给域控制器来启用网络登录。 l它允许查找目录信息，而不管树林中的

38、哪个域实际包含这些数据。 l客户端登录到网络时，需要联系全局编录，所以在设计中需要考虑全局编录的位 置。 操作主机：fsmo l在森林中dc是平等的多主复制关系，但在森林中还有一些特殊职责，只有一台 dc担当， 我们称之为操作主机。 l在操作主机中分为森林级和域级，森林级指在整个森林中只有一台dc担当此职责， 域级指在域中只有一台dc担当此职责。 l每个森林只能有一个schema master 和一个 domain naming master： lschema master 控制对于schema的更新和修改。更改schema必须在schema master上。任何时候，森林中只能有一台sche

39、ma master ldomain naming master 在森林中控制域的增、删。任何时候整个森林只能有一台 domain naming master l每个域都必须而且只能有一个以下角色： l相对 id 主机(relative id master) ：相对 id 主机将系列相对 id 分配给域中每个不同的 域控制器 lpdc 仿真程序(primary domain controller emulator) ：接收由域中其他域控制器执行的 密码更改的优先复制。如果密码最近被更改，则需要花费一定时间将此次更改复制到域 中的每个域控制器。如果登录验证由于密码错误而在另一个域控制器中执行失败，

40、则该 域控制器将在拒绝登录尝试前将验证请求转发给pdc 仿真程序 l基础主机(infrastructure master ): 基础主机负责在重新命名或更改组成员时更新“组到 用户”的引用 放置原则放置原则 l域控制器的放置在目前的原则是：域控制器的放置在目前的原则是： l总部 l数据中心 l一级分支机构放置域控制器以用于用户登录 l二级分支机构根据网络有效带宽是否能够满足用户 登录需要来放置；如果不放置域控制器，用户登录 需要通过广域网，每个用户登录所需的时间由登录 流量和网络带宽来决定；如果不放置域控制器，使 用所属一级分支机构的域控制器。 gc放置放置 l森林根域中有一台gc l数据中心

41、：hub机器为gc l因为用户登录需要gc, 所以设计离用户近的域 控制器作为gc lgc会引起复制流量的增加，在正常运行过程 中，采用增量增加的方法。在site设计文档中， 会计算gc引起的流量 fsmo角色的位置 lfsmo角色的位置：角色的位置： l森林级角色在总部的森林根中：共有3台机器 l数据中心：各有2台机器 服务器机器类型 l根据标准化硬件/软件的原则，机器类型分为三类： la ：森林根域 l单 piii 800 xeon cpu l512m内存 l1 megabytes (mb) of l2 cache lb：北方域和南方域的机器类型一致 l双 piii 800 xeon cp

42、u l1gb内存 l2 megabytes (mb) of l2 cache lc ：桥头堡服务器和pdc emulator l四 piii 800 xeon cpu l2gb内存 l2 megabytes (mb) of l2 cache 服务器硬盘规则服务器硬盘规则 l目录服务数据库存储需要：25000*0.4g/1000=10g lgc的存储为：10g+10g/2=15g l物理硬盘 0 由两块30g硬盘配制成raid1，划分为两个逻辑分区(c: 和 f：)，ntfs文件系统 lc: (系统服务, dns wins services)：10g l系统文件 - c:winnt lpagefile lf：(目录服务的日志和dhcp的日志)：20g l目录服务的日志 - f:ntds.log l物理硬盘 1 由三块30g的硬盘配置为raid5，划分为两个逻辑分区(d: 和 p：)，ntfs文件系统 lp盘：目录使用，20g l目录服务的数据库文件 - p:ntds lsystem volume 文件 -