中国建行商城官网:中型企业Active Directory 设计部署系列二 站点的设计 - 服务器操作系统交...
来源:百度文库 编辑:中财网 时间:2024/04/29 09:27:24
中型企业Active Directory 设计部署系列二 站点的设计Directory, Active, 中型企业, 站点, 部署 本帖最后由 zh_cxl 于 2009-2-4 15:46 编辑
本系列文章单独发于bbs.winos.cn,供论坛朋友交流分享,希望能有更多的交流和分享,大家一起学习和提高,因近期有文章被作少许改动后在大型网站转载,并未注明原文作者以及来源为bbs.winos.cn,为支持和保护论坛原创,如需转载或对原文进行修改、裁剪编辑等后再转载,请事先与我取得联系,故作声明,谢谢合作
上一篇:中型企业Active Directory 设计部署系列一 子网划分
在设计站点之前先定义一下AD里对像的命名规则吧。简单的说就是要对AD里的对象制定一套命名规则,每个公司IT部门都要严格按这套命名规则来对自己创建的AD对象进行命名。下面写得不太详细但太概的意思就是这样。
域的名字:os.ad
域的功能级别:windows server 2003
站点命名:地点前两个字母+公司简称,如:珠海总公司(ZHOS),广州分公司(GZOS),南昌分公司(NCOS);
服务器的命名:地点前两个字母+OS(公司简称)+服务器角色两个字母+IP地址(不足2位前面用0填充),让人通过名字就知道这台DC是那个分公司的,IP是多少。如珠海的DC(ZHOSDC02),重庆DC(CQOSDC02)
客户端PC的命名:地点前两个字母+OS(公司简称)+W(Workstations的意思)+3位数字编号(不足前面用0填充),如珠海的客户端ZHOSW001,广州的客户端GZOSW001;
用户登录帐号的命名:地点前两个字母+OS(公司简称)+U(Users的意思)+3位数字编号(不足前面用0填充),如珠海用户ZHOSU001,广州用户GZOSU001;
共享打印机的命名:地点前两个字母+OS(公司简称)+P(Printer的意思)+3位数字编号(不足前面用0填充),如珠海的打印机ZHOSP001,广州的打印机GZOSP001;
下面进入我们的主题站点的规划,不理解站点的朋友请详细阅读这篇文章
“深刻理解站点和复制(实现站点以管理AD中的复制)”:http://bbs.winos.cn/thread-39049-1-2.html
下图是公司整个站点及站点复制规划图
AD的FSMO角色规划在珠海总公司,珠海总公司站点(ZHOS)用了3台DC,其中2台用于本地用户的身分验证,1台用于与其它站点间的AD数据复制;
在OS分公司中每个站点都设计了2台DC用于冗余,定义了桥头服务器和至少一台GC。
AD冗余的具体操作请参考这篇文章:“ AD/DNS/DHCP/WINS冗余部署实例”http://bbs.winos.cn/thread-52739-1-1.html
为么要划分站点?
很简单两个原因:
1、优化AD的复制;DC之间要同步AD数据,假如不划分站点,这个同步每时每刻都在进行,而且数据是不压缩的。如果划分了站点就可以控制站点到站点间的AD复制。
2、优化客户端的登录,当划分了站点以后,DNS会替客户端找本站点内的DC,这样就加快了身份验证过程。经过上面的规划和配置后OS公司用户的身份验证都会点本地站点内的DC完成,比如说,广州分公司的用户会去GZOS站点内的DC去做身份验证,南昌分公司的用户会去NCOS站点内的DC去做身份验证。
现在大家明白之前为什么要去划分IP子网了吧?其实AD站点的划分就是通过IP子网来实现的,在划分AD站点之前首先要规划好你的网络地址。
什么是站点内?什么是站点间?
大至可以这么去理解,站点内是由一组高速带宽连接的网络,站点间是由一组低速带宽连接的网络。
1、站点内的复制
在站点内进行的目录更新可能对本地客户端产生最直接的影响,因此站内复制可实现速度优化。站点内的复制根据更改通知而自动
进行。当在某个域控制器上执行目录更新时,站内复制就开始了。默认情况下,源域控制器等待 15 秒钟,然后将更新通知发送给
最近的复制伙伴。如果源域控制器有多个复制伙伴,在默认情况下将以 3 秒为间隔向每个伙伴相继发出通知。当接收到更改通知
后,伙伴域控制器将向源域控制器发送目录更新请求。源域控制器以复制操作响应该请求。3 秒钟的通知间隔可避免来自复制伙伴
的更新请求同时到达而使源域控制器应接不暇。
对于站点内的某些目录更新,并不使用 15 秒钟的等待时间,复制会立即发生。这种立即复制称为紧急复制,应用于重要的目录更
新,包括帐户锁定的指派以及帐户锁定策略、域密码策略或域控制器帐户上密码的更改。
2、站点间复制:
可用带宽有限且可能不可靠
所有站点间的复制流量都经过压缩
更改的复制将按手动定义的计划进行
Active Directory 处理站点之间的复制(或称站点间复制)与处理站点内的复制所用方法不同,因为站点之间的带宽通常是有限
的。Active Directory 信息一致性检查器 (KCC) 使用开销最低的跨越树设计建立站点间复制拓扑。站点间复制被优化为最佳的带
宽效率,并且站点之间的目录更新可根据可配置的日程安排自动进行。在站点之间复制的目录更新被压缩以节省带宽。
下面出个题目考考大家,假如你是珠海总公司员工,带着你的笔记本电脑去南昌分公司出差,到了分公司以后,接入分公司网络这个时候你的身分验证是在那里完成的?
下一篇:中型企业Active Directory 设计部署系列三 AD架构的设计(上)
本系列文章单独发于bbs.winos.cn,供论坛朋友交流分享,希望能有更多的交流和分享,大家一起学习和提高,因近期有文章被作少许改动后在大型网站转载,并未注明原文作者以及来源为bbs.winos.cn,为支持和保护论坛原创,如需转载或对原文进行修改、裁剪编辑等后再转载,请事先与我取得联系,故作声明,谢谢合作
上一篇:中型企业Active Directory 设计部署系列一 子网划分
在设计站点之前先定义一下AD里对像的命名规则吧。简单的说就是要对AD里的对象制定一套命名规则,每个公司IT部门都要严格按这套命名规则来对自己创建的AD对象进行命名。下面写得不太详细但太概的意思就是这样。
域的名字:os.ad
域的功能级别:windows server 2003
站点命名:地点前两个字母+公司简称,如:珠海总公司(ZHOS),广州分公司(GZOS),南昌分公司(NCOS);
服务器的命名:地点前两个字母+OS(公司简称)+服务器角色两个字母+IP地址(不足2位前面用0填充),让人通过名字就知道这台DC是那个分公司的,IP是多少。如珠海的DC(ZHOSDC02),重庆DC(CQOSDC02)
客户端PC的命名:地点前两个字母+OS(公司简称)+W(Workstations的意思)+3位数字编号(不足前面用0填充),如珠海的客户端ZHOSW001,广州的客户端GZOSW001;
用户登录帐号的命名:地点前两个字母+OS(公司简称)+U(Users的意思)+3位数字编号(不足前面用0填充),如珠海用户ZHOSU001,广州用户GZOSU001;
共享打印机的命名:地点前两个字母+OS(公司简称)+P(Printer的意思)+3位数字编号(不足前面用0填充),如珠海的打印机ZHOSP001,广州的打印机GZOSP001;
下面进入我们的主题站点的规划,不理解站点的朋友请详细阅读这篇文章
“深刻理解站点和复制(实现站点以管理AD中的复制)”:http://bbs.winos.cn/thread-39049-1-2.html
下图是公司整个站点及站点复制规划图
AD的FSMO角色规划在珠海总公司,珠海总公司站点(ZHOS)用了3台DC,其中2台用于本地用户的身分验证,1台用于与其它站点间的AD数据复制;
在OS分公司中每个站点都设计了2台DC用于冗余,定义了桥头服务器和至少一台GC。
AD冗余的具体操作请参考这篇文章:“ AD/DNS/DHCP/WINS冗余部署实例”http://bbs.winos.cn/thread-52739-1-1.html
为么要划分站点?
很简单两个原因:
1、优化AD的复制;DC之间要同步AD数据,假如不划分站点,这个同步每时每刻都在进行,而且数据是不压缩的。如果划分了站点就可以控制站点到站点间的AD复制。
2、优化客户端的登录,当划分了站点以后,DNS会替客户端找本站点内的DC,这样就加快了身份验证过程。经过上面的规划和配置后OS公司用户的身份验证都会点本地站点内的DC完成,比如说,广州分公司的用户会去GZOS站点内的DC去做身份验证,南昌分公司的用户会去NCOS站点内的DC去做身份验证。
现在大家明白之前为什么要去划分IP子网了吧?其实AD站点的划分就是通过IP子网来实现的,在划分AD站点之前首先要规划好你的网络地址。
什么是站点内?什么是站点间?
大至可以这么去理解,站点内是由一组高速带宽连接的网络,站点间是由一组低速带宽连接的网络。
1、站点内的复制
在站点内进行的目录更新可能对本地客户端产生最直接的影响,因此站内复制可实现速度优化。站点内的复制根据更改通知而自动
进行。当在某个域控制器上执行目录更新时,站内复制就开始了。默认情况下,源域控制器等待 15 秒钟,然后将更新通知发送给
最近的复制伙伴。如果源域控制器有多个复制伙伴,在默认情况下将以 3 秒为间隔向每个伙伴相继发出通知。当接收到更改通知
后,伙伴域控制器将向源域控制器发送目录更新请求。源域控制器以复制操作响应该请求。3 秒钟的通知间隔可避免来自复制伙伴
的更新请求同时到达而使源域控制器应接不暇。
对于站点内的某些目录更新,并不使用 15 秒钟的等待时间,复制会立即发生。这种立即复制称为紧急复制,应用于重要的目录更
新,包括帐户锁定的指派以及帐户锁定策略、域密码策略或域控制器帐户上密码的更改。
2、站点间复制:
可用带宽有限且可能不可靠
所有站点间的复制流量都经过压缩
更改的复制将按手动定义的计划进行
Active Directory 处理站点之间的复制(或称站点间复制)与处理站点内的复制所用方法不同,因为站点之间的带宽通常是有限
的。Active Directory 信息一致性检查器 (KCC) 使用开销最低的跨越树设计建立站点间复制拓扑。站点间复制被优化为最佳的带
宽效率,并且站点之间的目录更新可根据可配置的日程安排自动进行。在站点之间复制的目录更新被压缩以节省带宽。
下面出个题目考考大家,假如你是珠海总公司员工,带着你的笔记本电脑去南昌分公司出差,到了分公司以后,接入分公司网络这个时候你的身分验证是在那里完成的?
下一篇:中型企业Active Directory 设计部署系列三 AD架构的设计(上)
什么是Active Directory
Active Directory怎么用
ACTIVE DIRECTORY 安装失败
Active Directory主要功能是什么?
win2003 Active Directory问题
怎么样启动active directory
Active Directory问题
无法移除Active Directory
Active Directory 中文名字是什么?
我如何灰复Active Directory
如何验证AD(Active Directory)安装成功
active directory用户和计算机在哪里??
关于 Active Directory 管理工具的下载
找不到 Active Directory 站点和服务?
windows2000server中Active Directory的主要功能
DNS 与Active Directory 的问题
关于Active Directory的问题!救命啊!!
2000 server安装Active directory是的输入问题
2000 server安装Active directory时的输入问题!!!
我想请教一下有关Active Directory里的问题?
哪里有Active Directory的相关资料,谁能告诉我?
"Active Directory用户和计算机"在哪里?
如何查看我设置好的Active Directory
win2000server安装 Active Directory 管理工具时出现的问题