202879/137004
實戰Active Directory站點部署與管理
上篇博文中我們家介紹了站點的設計目的及大致原理,今天我們通過實戰爲大家介紹如何進行站點的部署以及管理。實驗拓撲如下圖所所示,adtest.com域中有四個域控制器,分別是Florence,Berlin,Firenze和Perth。其中Florence和Berlin在北京,隸屬於192.168.11網段;Firenze和Perth在上海,隸屬於192.168.12網段。由於北京和上海之間使用了一條64K的DDN慢速鏈路,因此我們有必要使用站點對域內的計算機進行合理規劃,以便能夠讓域內的計算機在現有的帶寬條件下能以最有效率的方式通訊。
目前四臺域控制器都在一個站點中,如下圖所示,就是默認的Default-First-Site-Name。根據我們本次實驗的具體情況,我們需要把北京和上海的域控制器分爲兩個站點,爲完成這個任務,我們需要進行下列操作:
一 創建站點
二 定義站點子網
三 定位服務器
四 配置站點鏈接器
一 創建站點
默認情況下所有的域控制器都在一個站點內,但目前我們需要兩個站點,一個用於管理北京的計算機,一個用於管理上海的計算機。因此我們需要創建一個新站點,同時把原先的默認站點改名即可。首先我們先把原來的默認站點Default-First-Site-Name改名爲Beijing,我們在域控制器Florence上打開Active Directory站點和服務,,如下圖所示,右鍵點擊原來的默認站點,選擇“重命名”。
重命名後的結果如下圖所示,默認站點已經改名爲Beijing。
接下來我們來創建一個新站點Shanghai,如下圖所示,右鍵點擊“Sites”,選擇新站點。
如下圖所示,新站點取名爲Shanghai,我們爲Shanghai站點選擇了一個默認的站點鏈接器,關於這個站點鏈接器的作用我們將在後面的內容中予以介紹。
Shanghai站點創建完畢後,系統提示我們要進行如下圖所示的後續操作,我們接下來將按照提示實現對站點的配置。
二 定義站點子網
現在我們有了Beijing和Shanghai兩個站點,接下來要考慮如何定義站點內的IP子網。如果不同的站點管轄了不同的IP子網,那麼對域內的計算機來說是非常有利的,域控制器只要根據自己的IP地址就可以判斷出自己應該隸屬於哪個站點,域內的客戶機登錄到域時也會根據自己的IP地址來查詢同一站點內的域控制器進行登錄。
創建站點所屬的子網並不難,如下圖所示,右鍵單擊Subnets,選擇“新建子網”。
如下圖所示,我們創建了一個子網192.168.11,然後把這個子網分配給了Beijing站點。
如法炮製,我們爲Shanghai 站點創建了192.168.12子網。這樣以後如果有新的域控制器加進來,域控制器根據IP地址就可以自動加入相應的站點。
三 定位服務器
定義了站點子網後,我們接下來就要根據每個域控制器的IP地址來把它們加入不同的站點了。我們準備把Florence和Berlin放在Beijing站點,Firenze和Perth放在Shanghai站點。如下圖所示,右鍵單擊Firenze,選擇“移動”。
然後我們選擇把Firenze移動到Shanghai站點。
用同樣的方法我們把Perth也移動到Shanghai站點,移動後的域控制器分佈如下圖所示,Beijing和Shanghai站點各有兩個。
四 配置站點鏈接器
現在我們已經配置好了站點子網,然後把域控制器放到了相應的站點中,現在我們要考慮如何配置站點鏈接器了。站點鏈接器是一個邏輯控制單元,它並不負責域控制器之間的物理連接,那應該是電信部門負責的事情,即使沒有站點鏈接器,域內的這些處於不同城市的計算機也是可以在網絡層實現聯通的。鏈接器的作用是對不同站點間的數據傳遞進行控制,以便最大限度地利用好站點間的窄帶鏈路。
有了站點之後,顯然域控制器之間的AD複製應該優先在本站點內進行,然後站點會選出一個“橋頭服務器”代表所在的站點和其他站點的“橋頭服務器”進行通訊,這樣AD的更改就可以通過兩個站點間的“橋頭服務器”進行跨越站點的傳遞。AD複製在站點內的域控制器進行時是不壓縮的,而AD複製如果跨站點進行則需要壓縮。跨站點的AD複製拓撲是由ISTG(站點間拓撲生成器)來設計的。ISTG和KCC不同,KCC負責站點內的拓撲設計,ISTG負責站點間的拓撲設計。
我們接下來看看如何利用站點鏈接器來控制站點間的數據傳輸,目前Beijing和Shanghai兩個站點間使用的是一個默認的站點間鏈接。如下圖所示,我們打開“Active Directory站點和服務”,我們可以看到Inter-Site-Transports下面有IP和SMTP兩個子項,這是告訴我們站點間數據複製可以使用IP協議或SMTP協議。一般我們都選擇使用IP,如果使用IP,站點間的數據傳輸將使用RPC協議,這種協議可以傳輸AD的全部內容而SMTP則只能傳輸AD的部分內容。現在Beijing站點和Shanghai站點之間使用的就是基於IP的站點鏈接器。
我們打開默認的站點鏈接器,查看屬性,如下圖所示,我們在常規屬性中可以看到這個站點鏈接器連接了Beijing和Shanghai兩個站點。然後我們可以看到站點鏈接器的開銷是100,開銷反映了站點間連接速度的快慢,開銷值越小,速度越快。站點間的開銷是個相對值,並不具體對應實際的連接速度,因此目前兩個站點間的開銷值並沒有太多的討論價值,因爲沒法和其他站點的開銷值進行比較。如果有更多的站點,那站點開銷的意義就凸顯出來了。例如我們現在有北京,上海和廣州三個站點,其中北京和上海之間是用2M的專線連接,北京和廣州之間是用64K的專線連接,上海和廣州之間則用的是10M的專線。那麼北京的域控制器更改了AD,如何傳遞給廣州站點內的域控制器呢?從拓撲看,顯然從北京直接傳到廣州就不如先從北京傳到上海,再經過上海傳到廣州合算。我們怎麼才能讓KCC知道這個情況呢?通過站點開銷就很容易做到,例如我們可以設置北京站點到廣州站點的開銷值是100,而北京到上海的開銷值是20,上海到廣州的開銷值是10。這樣一來KCC在計算站點間鏈接時就可以通過開銷值的量化指標判斷出100>10+5,因此KCC在安排北京站點和廣州站點間的AD複製時會優先讓AD數據先從北京站點複製到上海站點,再從上海站點複製到廣州站點。值得注意的是,站點開銷值是一個宏觀上的相對值,並不具體對應傳輸速率。
站點間的默認複製頻率是180分鐘,也就是默認情況下三個小時才跨站點複製一次,這個頻率比站點內的AD複製低了很多,顯然是爲了適應廣域網上的低速鏈路。
點擊站點常規屬性中的“更改計劃”,我們可以設置站點間數據傳輸的時間段,這個設置顯然有利於避開窄帶利用的高峯期,在適當的時機用適當的節奏進行站點間的數據傳遞。
站點配置完畢後,我們檢查DNS服務器,發現DNS中已經有了相關的SRV記錄。如下圖所示,我們發現Beijing和Shanghai兩個站點的SRV記錄已經出現在區域中了,這樣的話有利於客戶機通過查找DNS來定位出和自己所屬站點內的域控制器。
我們舉個例子來說明DNS中和站點有關的SRV記錄的作用,有一臺客戶機Istanbul,IP地址是192.168.12.107。如下圖所示,我們準備把它加入域,看看Istanbul加入域的過程。
我們用抓包器追蹤Istanbul加入域的過程,如下圖所示,我們可以看到Istanbul向DNS服務器發起查詢,要求查詢shanghai站點內的域控制器。顯然Istanbul已經知道了自己屬於shanghai站點,優先聯繫shanghai站點內的域控制器,這樣我們設置站點的目的也就達到了。
本文出自 “嶽雷的微軟網絡課堂” 博客,請務必保留此出處http://yuelei.blog.51cto.com/202879/137004