轉自:http://bbs.winos.cn/thread-53792-1-1.html ,作者zh_cxl,轉載和分享請註明出處。
本系列文章單獨發於bbs.winos.cn,供論壇朋友交流分享,希望能有更多的交流和分享,大家一起學習和提高,因近期有文章被作少許改動後在大型網站轉載,並未註明原文作者以及來源爲bbs.winos.cn,爲支持和保護論壇原創,如需轉載或對原文進行修改、裁剪編輯等後再轉載,請事先與我取得聯繫,故作聲明,謝謝合作
上一篇:中型企業Active Directory 設計部署系列一 子網劃分
在設計站點之前先定義一下AD裏對像的命名規則吧。簡單的說就是要對AD裏的對象制定一套命名規則,每個公司IT部門都要嚴格按這套命名規則來對自己創建的AD對象進行命名。下面寫得不太詳細但太概的意思就是這樣。
域的名字:os.ad
域的功能級別:windows server 2003
站點命名:地點前兩個字母+公司簡稱,如:珠海總公司(ZHOS),廣州分公司(GZOS),南昌分公司(NCOS);
服務器的命名:地點前兩個字母+OS(公司簡稱)+服務器角色兩個字母+IP地址(不足2位前面用0填充),讓人通過名字就知道這臺DC是那個分公司的,IP是多少。如珠海的DC(ZHOSDC02),重慶DC(CQOSDC02)
客戶端PC的命名:地點前兩個字母+OS(公司簡稱)+W(Workstations的意思)+3位數字編號(不足前面用0填充),如珠海的客戶端ZHOSW001,廣州的客戶端GZOSW001;
用戶登錄帳號的命名:地點前兩個字母+OS(公司簡稱)+U(Users的意思)+3位數字編號(不足前面用0填充),如珠海用戶ZHOSU001,廣州用戶GZOSU001;
共享打印機的命名:地點前兩個字母+OS(公司簡稱)+P(Printer的意思)+3位數字編號(不足前面用0填充),如珠海的打印機ZHOSP001,廣州的打印機GZOSP001;
下面進入我們的主題站點的規劃,不理解站點的朋友請詳細閱讀這篇文章
“深刻理解站點和複製(實現站點以管理AD中的複製)”:http://bbs.winos.cn/thread-39049-1-2.html
下圖是公司整個站點及站點複製規劃圖
![繪圖1.jpg]()
上一篇:中型企業Active Directory 設計部署系列一 子網劃分
在設計站點之前先定義一下AD裏對像的命名規則吧。簡單的說就是要對AD裏的對象制定一套命名規則,每個公司IT部門都要嚴格按這套命名規則來對自己創建的AD對象進行命名。下面寫得不太詳細但太概的意思就是這樣。
域的名字:os.ad
域的功能級別:windows server 2003
站點命名:地點前兩個字母+公司簡稱,如:珠海總公司(ZHOS),廣州分公司(GZOS),南昌分公司(NCOS);
服務器的命名:地點前兩個字母+OS(公司簡稱)+服務器角色兩個字母+IP地址(不足2位前面用0填充),讓人通過名字就知道這臺DC是那個分公司的,IP是多少。如珠海的DC(ZHOSDC02),重慶DC(CQOSDC02)
客戶端PC的命名:地點前兩個字母+OS(公司簡稱)+W(Workstations的意思)+3位數字編號(不足前面用0填充),如珠海的客戶端ZHOSW001,廣州的客戶端GZOSW001;
用戶登錄帳號的命名:地點前兩個字母+OS(公司簡稱)+U(Users的意思)+3位數字編號(不足前面用0填充),如珠海用戶ZHOSU001,廣州用戶GZOSU001;
共享打印機的命名:地點前兩個字母+OS(公司簡稱)+P(Printer的意思)+3位數字編號(不足前面用0填充),如珠海的打印機ZHOSP001,廣州的打印機GZOSP001;
下面進入我們的主題站點的規劃,不理解站點的朋友請詳細閱讀這篇文章
“深刻理解站點和複製(實現站點以管理AD中的複製)”:http://bbs.winos.cn/thread-39049-1-2.html
下圖是公司整個站點及站點複製規劃圖
AD的FSMO角色規劃在珠海總公司,珠海總公司站點(ZHOS)用了3臺DC,其中2臺用於本地用戶的身分驗證,1臺用於與其它站點間的AD數據複製;
在OS分公司中每個站點都設計了2臺DC用於冗餘,定義了橋頭服務器和至少一臺GC。
AD冗餘的具體操作請參考這篇文章:“ AD/DNS/DHCP/WINS冗餘部署實例”http://bbs.winos.cn/thread-52739-1-1.html
爲麼要劃分站點?
很簡單兩個原因:
1、優化AD的複製;DC之間要同步AD數據,假如不劃分站點,這個同步每時每刻都在進行,而且數據是不壓縮的。如果劃分了站點就可以控制站點到站點間的AD複製。
2、優化客戶端的登錄,當劃分了站點以後,DNS會替客戶端找本站點內的DC,這樣就加快了身份驗證過程。經過上面的規劃和配置後OS公司用戶的身份驗證都會點本地站點內的DC完成,比如說,廣州分公司的用戶會去GZOS站點內的DC去做身份驗證,南昌分公司的用戶會去NCOS站點內的DC去做身份驗證。
現在大家明白之前爲什麼要去劃分IP子網了吧?其實AD站點的劃分就是通過IP子網來實現的,在劃分AD站點之前首先要規劃好你的網絡地址。
什麼是站點內?什麼是站點間?
大至可以這麼去理解,站點內是由一組高速帶寬連接的網絡,站點間是由一組低速帶寬連接的網絡。
1、站點內的複製
在站點內進行的目錄更新可能對本地客戶端產生最直接的影響,因此站內複製可實現速度優化。站點內的複製根據更改通知而自動
進行。當在某個域控制器上執行目錄更新時,站內複製就開始了。默認情況下,源域控制器等待 15 秒鐘,然後將更新通知發送給
最近的複製夥伴。如果源域控制器有多個複製夥伴,在默認情況下將以 3 秒爲間隔向每個夥伴相繼發出通知。當接收到更改通知
後,夥伴域控制器將向源域控制器發送目錄更新請求。源域控制器以複製操作響應該請求。3 秒鐘的通知間隔可避免來自複製夥伴
的更新請求同時到達而使源域控制器應接不暇。
對於站點內的某些目錄更新,並不使用 15 秒鐘的等待時間,複製會立即發生。這種立即複製稱爲緊急複製,應用於重要的目錄更
新,包括帳戶鎖定的指派以及帳戶鎖定策略、域密碼策略或域控制器帳戶上密碼的更改。
2、站點間複製:
可用帶寬有限且可能不可靠
所有站點間的複製流量都經過壓縮
更改的複製將按手動定義的計劃進行
Active Directory 處理站點之間的複製(或稱站點間複製)與處理站點內的複製所用方法不同,因爲站點之間的帶寬通常是有限
的。Active Directory 信息一致性檢查器 (KCC) 使用開銷最低的跨越樹設計建立站點間複製拓撲。站點間複製被優化爲最佳的帶
寬效率,並且站點之間的目錄更新可根據可配置的日程安排自動進行。在站點之間複製的目錄更新被壓縮以節省帶寬。
下面出個題目考考大家,假如你是珠海總公司員工,帶着你的筆記本電腦去南昌分公司出差,到了分公司以後,接入分公司網絡這個時候你的身分驗證是在那裏完成的?
下一篇:中型企業Active Directory 設計部署系列三 AD架構的設計(上)
本系列文章單獨發於bbs.winos.cn,供論壇朋友交流分享,希望能有更多的交流和分享,大家一起學習和提高,因近期有文章被作少許改動後在大型網站轉載,並未註明原文作者以及來源爲bbs.winos.cn,爲支持和保護論壇原創,如需轉載或對原文進行修改、裁剪編輯等後再轉載,請事先與我取得聯繫,故作聲明,謝謝合作