幾個很有用的連接:
1. windows 2008 R2 AD 森林、樹、域創建
2.Trust types
https://technet.microsoft.com/en-us/library/cc775736%28v=ws.10%29.aspx
3. Group Scope and Group type
https://technet.microsoft.com/en-us/library/cc755692%28v=ws.10%29.aspx
4. 域控制器的作用
5. Standarlize UPN
https://technet.microsoft.com/en-us/library/cc772007.aspx
6. 域外控制器
域外控制器,是指除第一臺域控制器之外的其他域控制器。在同一域內安裝多臺域控制器時,將具有以下優點:
* 提高的效率。因爲多臺域控制器可以同時分擔審覈用戶的工作,因此,可以加快用戶的登錄速度。當網絡內的用戶數量較多,或者多種網絡服務都需要進行身份認證時,應當安裝多臺域外控制器。
* 提供容錯功能。即使其中一臺域控制器出現故障,仍然可以由其他域控制器提供服務,讓用戶可以正常登錄,並提供用戶身份認證。
* 無需備份活動目錄。當域內存在不止一臺域控制器(DC,Domain Controller)時,域控制器之間可以相互複製和備份。因此,當重新安裝其中的一臺DC時,備份Active Directory並不是必需的,只需將其從域中刪除,再重新安裝,並使之回到域中,那麼,其他DC會自動將數據複製到這臺DC上。也就是說,如果一個域內只有或者只剩下最後一臺DC時,纔有必要而且必須對Active Directory進行備份。
在安裝額外的域控制器時,需要將活動目錄數據庫由現有的域控制器複製到這臺新的域控制器。Windows Server 2003提供了兩種複製活動目錄數據庫的方式:
* 通過網絡複製 如果活動目錄數據庫內容較多,該方式將影響網絡效率。
* 通過已備份好的“系統狀態數據(System State)” 先將域中域控制器的“系統狀態數據”備份出來,然後,再恢復到新創建的域外控制器。有關活動目錄數據庫的備份與還原,請參見下述相關內容。
提示:如果活動目錄數據庫非常龐大,那麼,複製工作勢必將增加網絡負擔,並降低原有域控制器的響應速率。因此,域外控制器的安裝工作,應當儘量選擇在非工作時段進行,以減少對正常工作的影響。
安裝域外控制器
安裝域外控制器前,應當做好以下準備工作:
* 在域控制器中爲欲作爲域控制器的計算機添加計算機賬號,並選中“把該計算機賬戶分配爲”複選框。
* 一定要在網絡中先安裝並設置,將計算機連接至網絡,並正確設置該計算機的IP地址信息。否則,將導致安裝過程失敗。
具體步驟如下:
1. 運行“Active Directory安裝嚮導”。
提示:在命令行模式中鍵入“dcpromo”也可運行“Active Directory安裝嚮導”。若欲從備份中複製活動目錄數據庫,可以使用“dcpromo /adv”命令。
2. 在“域控制器類型”對話框,選擇“現有域的”,將該計算機設置爲域外控制器。.
提示:一旦將該計算機升級爲額外的域控制器後,原有的本機賬號將被刪除,密鑰(Cryptographic Keys)也將被刪除,因此,應當先進行備份。另外,已被加密的數據(如文件和電子郵件)也將無法讀取,應當先將這些數據解密並備份。
3. 在“網絡憑據”對話框中,鍵入擁有將計算機升級爲域控制器權力的用戶名和密碼。該用戶名必須隸屬於目的域的Domain Admins組、Enterprise Admins組,或者是其他授權用戶。
其他安裝過程,與安裝域控制器時完全相同