AD 站点和服务

1、Active Directory站点和服务分步指南本指南说明如何使用“Active Directory站点和服务”管理单元来管理局域网(LAN)中单个站点内部和广域网(WAN)中多个站点之间的复制拓扑。本页内容&简介中概述&使用站点和服务”工具&附录；复制拓扑概念&其他资源简介逐步式指南Windows Server 2003部署分步指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以 下过程来建立通用网络结构：安装 Windows Server 2003 ；配置Active Directory 安装 Windows XP Professional工作站并最后将此工作站添加到域中。

2、后续分步指南假定您已建立了此通用网络结构。如果您不 想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。通用网络结构要求完成以下指南。第一部分：将 Windows Server 2003安装为域控制器. 一 . 第二部分：安装Windows XP Professional工作站并将其连接到城在配置通用网络结构后，可以使用任何其他的分步指南。注意，某些分步指南除具备通用网络结构要求外，可能 还需要满足额外的先决条件。任何额外的要求都将列在特定的分步指南中。Microsoft Virtual PC可以在物理实验室环境中或通过虚拟化技术(如 Microsoft Virtual PC 2004

3、 或Microso代Virtual Server 2005)来实施 Windows Server 2003部署分步指南。借助于虚拟机技术，客户可以同时在一台物理服务器 上运行多个操作系统。Virtual PC 2004和Virtual Server 2005就是为了在软件测试和开发、旧版应用程序 迁移以及服务器整合方案中提高操作效率而设计的。Windows Server 2003部署分步指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。重要说明此处作为例子提到的公司、组织、产品、域名、电子邮

4、件地址、徽标、个人、地点和事件纯属虚构，我们决无意 影射，任何人也不应由此臆猜，任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。此通用基础结构是为在专用网络上使用而设计的。此通用基础结构中使用的虚拟公司名称和域名系统(DNS)名 称并没有为在Internet上使用而进行注册。您不应在公共网络或Internet上使用此名称。此通用基础结构的Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与Active Directory配合使用。不能将其作为任何组织进行 Active Directory配置时都可以使用的模型

5、。返回页首概述“Windows Server 2003 Active Directory 站点和服务”管理单元的主要用途是对 LAN中单个站点内部以及WAN中多个站点之间的企业环境的复制拓扑进行管理。注意：附录中提供了有关如何执行Active Directory服务复制的附加信息。如果您对复制不太熟悉，您可能需要先查阅一下附录中的内容，然后再继续。站点站点是指网络中具有高带宽连接的区域；如果给它下个定义，它就是一个基于 Internet协议(IP)子网且连接 状况良好的计算机集合。由于站点控制着进行复制的方式，因此使用 站点和服务”管理单元所做的更改将影响域 内相隔很远的域控制器(DC)之间的

6、通讯效率。站点在概念上不同于基于 Windows Server 2003的域，因为一个站点可以跨越多个域，而一个域也可以跨越 多个站点。站点并不属于域名称空间的一部分。站点控制域信息的复制，并可以帮助确定资源位置的远近。例如， 工作站在其站点内选择一个DC来进行验证。为了确保Active Directory服务能够正确进行复制，将在所有DC中运行一种称为、知识一致性检查器 (KCC)”的服务，该服务自动在同一站点内的各个计算机之间建立连接。这些计算机被称为“Active Directory连 接对象”。管理员可以建立其他的连接对象，也可以删除连接对象。但是，在任意时刻，如果某一站点内的复制 无

7、法进行或出现单点故障，KCC将会介入并新建所需数量的连接对象以继续进行 Active Directory复制。 假定站点间复制是在较高成本或较低速度连接上进行的。这样，站点间复制的机制允许选择其他传输方式，并且 此机制是通过创建站点链接和站点链接桥来建立的。Default-First-Site第一个站点是您在企业的第一个域控制器上安装 Windows Server 2003时自动建立的。建立的第一个站点被 称为“Default -First-Site”。您可以在以后重命名此站点，也可以保留该名称。网络上站点的复制拓扑可以控制以下两方面：进行复制的位置，如哪些DC直接与同一站点内的哪些其他DC通

8、讯。此外，此拓扑还控制站点间的通讯方式。进行复制的时间。可以完全由管理员来安排站点间复制。同一站点内 DC间的复制以通知为基础，在对域内 某个对象进行更改后，5分钟内就会将通知发送出去。所有新提升的DC将放置在站点容器中，该容器会在安装时应用到这些DC。例如，运往加利福尼亚的服务器 可能早在夏威夷毛伊岛数据中心就已建立并配置完毕；因此，、配置您的服务器向导”将该服务器放在毛伊岛站点 中。当它到达加利福尼亚后，可使用 站点和服务管理单元将该服务器对象移到新站点中。您可以使用、站点和服务”管理单元的站点部分完成以下操作：显示企业内的有效站点。例如，Default-First-Site可能是Head

9、quarters等站点的名称。您可以创建、 删除或重命名站点。显示参与某站点的服务器。您可以删除服务器或在站点间移动服务器。（注意：尽管也可以手动添加服务器， 但是添加服务器的任务通常是在域控制器安装过程中自动完成的。）显示使用站点知识的应用程序。Active Directory 拓扑位于SitesDefault-First-SiteServers。它只包含那些参与特定站点的服务器，而与域无关。要查看任何给定服务器的连接，请显示SitesDefault-First-SiteServersserverNTDS Settings。每台服务器都有连接和计划，它们共同控 制对该站点中其他服务器进行的复

10、制。连接。对于要进行双向复制的两台计算机，必须有一个从第一台计算机到第二台计算机的连接，还必须有 一个从第二台计算机到第一台计算机的辅助连接。计划。在站点内，新目录增量的拉动式复制大约每5分钟在服务器间进行一次。计划在站点内是非常重 要的，在某伙伴的连接对象损坏后，它强制定期向入站伙伴发送通知。此类通知通常每 6小时进行一次。 此外，计划对于控制站点间的拉动式复制也是非常重要的。（站点间没有5分钟进行一次的自动复制。）显示站点间的传输和链接。传输表示在所选站点间进行通讯所使用的协议（例如 IP等）。 一 .一 一一一 显示子网。管理员可以利用子网，将IP地址范围与站点关联在一起。先决条件 _

11、_ 第一部分：将 Windows Server 2003安装为域控制器安装其他城控制器的分步指南建立站点到站点虚拟专用网络连接的分步指南个返回页首使用“站点和服务工具启动“Active Directory站点和服务工具1. 在“HQ-CON-DC -01”上，单击开始”按钮，指向所有程序”，指向管理工具”，然后单击“Active Directory站点和服务”。此时将出现一个控制台（如图1所示）。图1. “Active Directory站点和服务管理单元更改站点属性更改 Default-First-Site-Name单击+号展开“Sites”树。在控制台左窗格中，右键单击“Default-F

12、irst-Site- Name”，然后单击“重命名。键入 “Seattle-WA”，然后按 “Enter” 键。创建新站点在Active Directory中，站点表示网络的物理结构或拓扑。Active Directory 使用拓扑信息（作为站点和站 点链接对象存储在目录中）来建立最有效的复制拓扑。可使用“Active Directory站点和服务”来定义站点和站 点链接。站点是一组连接状况良好的子网。站点与域不同；站点表示网络的物理结构；而域表示组织的逻辑结构。要添加新站点，请按照以下步骤操作：在控制台左窗格中，右键单击“Sites”，然后单击新站点”。在“新建对象-站点”对话框中，键入“V

13、ancouver -BC作为新站点的名称。单击以突出显示“DEFAULTIPSITELINK”，然后单击“确定”。（注意：站点链接将在下文中进行介绍。）查看Active Directory消息框信息，然后单击“确定。在站点内移动计算机现在，您可以从各站点的“Servers”容器内将计算机从其他站点移到此站点中。注意：向站点中分配计算机是根据计算机的IP地址和子网掩码进行的。客户端和成员服务器所采取的站点分配处理方式不同于域控制器的分配方式。对客户端而言，站点分配是在登录过程中根据其IP地址和子网掩码动态确定的。对于域控制器而言，站点成员身份是根据Active Directory中其关联服务器对

14、象的位置来确定的。要将计算机移到某一站点，请按照以下步骤操作：在“Active Directory站点和服务”管理单元中，单击“Seattle-WA”旁边的“+”号，然后单击“Servers”。在结果窗格中，右键单击“HQ-CON-DC-02”，然后单击移动”。在、移动服务器”对话框中，单击“Vancouver -BC（如图2所示），然后单击、确定”。图2.在站点之间移动计算机重复步骤 2 和 3,将“HQ-CON-DC-03”移到“Vancouver-BC”站点中。在左窗格中，单击“Vancouver-BC旁边的“+”号，然后单击“Servers，检查两台服务器现在是否均已分配给该站点。使用

15、子网正如前面所述，站点就是通过高速网络（如LAN）连接好的一组计算机。同一站点内的所有计算机通常都位于 同一建筑物内，或位于同一校园网中。单一站点由一个或多个IP子网组成。子网是IP网络的分网，每个子网 都拥有其自己的唯一网络地址。子网地址对相邻计算机进行分组的方法与邮政编码对相邻邮寄地址进行分组的方 法非常相似。每个站点都关联着一个或多个子网。要为特定站点添加子网，请按照以下步骤操作：在控制台左窗格中，单击“Subnets，右键单击“Subnets”，然后单击“新建子网”。在“新建对象-子网”框中，键入“地址”和“掩码”数字（如图3所示），单击以突出显示“Vancouver-BC，然后单击“

16、确定”。图3.添加子网在正确创建子网后，它将出现在“Subnets”文件夹下。尽管在创建期间子网与Vancouver-BC站点相关联，但 可以将其修改为指向其他站点。要将子网与特定站点相关联，请按照以下步骤操作：在“Subnets”文件夹下，右键单击“30.0.10.0/24”子网，然后单击“属性气在“30.0.10.0/24属性”对话框中，从列表框中选择与此子网相关联的站点（如图4所示），然后单击确 定”。图4.将子网与站点相关联3.单击、位置”选项卡，然后提供此站点位置的描述。对于此示例，键入“Vancouver”，然后单击、确定”。站点链接在两个或多个站点之间创建站点链接是一种影响复制拓

17、扑的方式。通过创建站点链接，您可以为ActiveDirectory提供有关可用连接、首选连接以及可用带宽等信息。Active Directory将使用此信息来选择可提供 最佳复制性能的时间和连接。对于计划在多个站点之间进行的复制，每两个进行复制操作站点之间都必须协商一种通讯传输协议。通常，站点 链接基于IP协议。要建立站点链接，请按照以下步骤操作：单击“Inter-Site Transports旁边的+号，右键单击“IP”，然后单击新站点链接气在新建对象-站点链接”对话框中，键入“PNW-Slow Connection作为名称”（如图5所示），然后单击、确定”。图5.创建站点链接在IP站点链接

18、的右侧结果窗格中，双击新创建的PNW-Slow Co nnection链接。在PNW-Slow Connection属性对话框中，键入、每24小时复制一次作为、描述”，将、复制频率设置更改为1440”，然后单击、确定气注意：如果删除DEFAULTIPSITELINK，则Seattle和Vancouver之间的复制每24小时使用IP协议通 过PNW-Slow Connection站点链接执行一次。站点链接桥默认情况下，所有站点链接都是桥接的，或是可传递的。这样，未通过显式站点链接相连的任意两个站点都可以 通过中间站点链接和站点链直接进行通讯。桥接所有站点链接的一个优点是更易于维护网络，因为您不需

19、要创建 站点链接来描述站点对之间的每种可能路径。通常，您可以将自动站点链接桥接保持为启用状态。但是在下列情况下，对于特定的站点链接，您可能需要禁用 自动站点链接桥接，然后手动创建站点链接桥。网络未完全路由（并非每个域控制器都可以直接与其他域控制器进行通讯）。制订的网络路由或安全策略禁止各域控制器直接与其他各域控制器进行通讯。 Active Directory 设计中包括大量站点。返回页首附录：复制拓扑概念复制概述除了规模很小的网络以外，必须将目录数据放在网络中的多个位置，以使所有用户都有均等机会使用它们。通过 复制，Active Directory可以将目录数据副本保存在多个域控制器中，确保所有用户都可以使用目录并获得较 好的性能。Active Directory使用一种多主复制模型，这使得您可以在任意域控制器中对目录进行更改，而不 仅仅是在指定的主域控制器中。Active Directory依赖站点概念来帮助保持较高的复制效率，并依赖 KCC来 自动确定网络中的最佳复制拓扑。为复制组织数据数据