管理手册-Active Directory站点和服务

1、管理手册：Active Directory站点和服目录 TOC o 1-5 h z HYPERLINK l bookmark22 o Current Document 概述2 HYPERLINK l bookmark34 o Current Document 站点管理2 HYPERLINK l bookmark79 o Current Document 服务发布4 HYPERLINK l bookmark82 o Current Document 向林添加站点4 HYPERLINK l bookmark86 o Current Document 过程要求5 HYPERLINK l bookma

2、rk92 o Current Document 向林添加站点过程5 HYPERLINK l bookmark212 o Current Document 站点间的计划复制9 HYPERLINK l bookmark221 o Current Document 了解站点间复制10 HYPERLINK l bookmark242 o Current Document 配置站点间复制可用性11 HYPERLINK l bookmark272 o Current Document 配置站点间复制频率12 HYPERLINK l bookmark298 o Current Document 向站点添加全

3、局编录13 HYPERLINK l bookmark308 o Current Document 了解全局编录14 HYPERLINK l bookmark330 o Current Document 添加或删除全局编录16 HYPERLINK l bookmark358 o Current Document 验证全局编录准备就绪情况17 HYPERLINK l bookmark396 o Current Document 验证全局编录DNS注册18 HYPERLINK l bookmark411 o Current Document 附录：Active Directory站点和服务用户界面说

4、明19 HYPERLINK l bookmark414 o Current Document 属性页-常规选项卡19 HYPERLINK l bookmark1 o Current Document 属性页-常规选项卡19 HYPERLINK l bookmark417 o Current Document NTDS设置属性页-常规选项卡20 HYPERLINK l bookmark420 o Current Document NTDS站点设置属性页-站点设置选项卡21 HYPERLINK l bookmark423 o Current Document 属性页-常规选项卡21 HYPERLI

5、NK l bookmark426 o Current Document IP或SMTP属性-常规选项卡21 HYPERLINK l bookmark432 o Current Document 新建对象-子网对话框22 HYPERLINK l bookmark435 o Current Document 新建对象-站点链接桥对话框22 HYPERLINK l bookmark438 o Current Document 输入地址前缀231.概述Active Directory(R)站点和服务是 Windows Server(R) 2008 R2 操作系统中的一个 Microsoft 管理控制台

6、(MMC)管理单元，可用来管理Active Directory域服务(AD DS)林中所有站点间目录 数据的复制。此管理单元还提供AD DS中发布的服务特定对象的视图。注意也可以使用Active Directory站点和服务管理Active Directory轻型目录服务(AD LDS)配 置集中所有站点间目录数据的复制。负责全林性服务管理的管理员可以使用Active Directory站点和服务管理林的站点间复制拓扑。 可以委派负责应用程序服务的管理员负责管理向其中发布应用程序特定对象的服务容器。将Active Directory域服务服务器角色添加到服务器时，就将“Active Direc

7、tory站点和服务” 添加到了“管理工具”菜单中。此外，Active Directory站点和服务提供了一个服务容器的视图，您可以用来查看在AD DS中 发布的与服务相关的对象。1.1.站点管理在物理网络中，站点代表由高速网络(如局域网(LAN)连接的一组计算机。通常，同一物理 站点中的所有计算机都处于同一建筑物或同一校园网络中。在AD DS中，站点对象代表物理站点中可以管理的一些方面，尤其是域控制器之间目录数据 的复制。可以使用Active Directory站点和服务来管理代表位于这些站点中的站点和服务器的对象。站点对象及其相关对象均被复制到一个Active Directory林中的所有域

8、控制器。站点站点对象位于站点容器中。可以使用站点对象完成下列任务：创建新站点通过使用组策略和权限委派对站点的控制在每个站点中都存在一个“NTDS站点设置”对象。此对象标识站点间拓扑生成器(ISTG)。 ISTG是从不同站点的域控制器生成连接对象的站点中的一个域控制器。它还执行高级复制管理任 务。子网子网对象标识站点中IP地址的范围。可以使用子网对象完成下列任务：创建新子网关联子网与站点. 提供一个可以由组策略中打印机位置跟踪功能使用的站点位置服务器在添加Active Directory域服务服务器角色时将自动创建服务器对象。服务器代表复制拓扑中 的域控制器。可以使用服务器对象完成下列任务：标识

9、充当首选桥头服务器的域控制器。可以使用首选桥头服务器控制站点间复制，以便仅 在这些指定的域控制器之间进行复制，而不在对站点间复制流量处理能力不足的域控制器 之间复制。在站点之间移动服务器。如果创建一个新站点，并且已经使用映射到新站点的IP地址安装 了域控制器，则可以将这些域控制器移动到新站点。NTDS 设置每个服务器对象都包含一个“NTDS设置”对象，它代表复制系统中的域控制器。“NTDS设置” 对象存储连接对象，这使得在两个或多个域控制器之间进行复制成为可能。可以使用“NTDS设置”对象完成下列任务：生成复制拓扑。“NTDS设置对象的Check Replication Topology命令向

10、ISTG发出信号， 以检查域控制器之间的所有连接，并根据需要添加或删除任何连接。启用或禁用服务器上的全局编录。在启用全局编录时，域控制器将复制构成林中全局编录 的只读目录分区。连接站点中服务器的复制伙伴由连接对象标识。复制是沿一个方向进行的。服务器的连接对象包含 有关向第一台服务器发送复制的其他服务器（“源”服务器）的信息。连接对象存储控制站点内复制 的计划。默认情况下，它们每小时自动轮询一次复制伙伴是否有新的更改。对于站点间复制，连接 对象从站点链接对象派生其计划。您不必管理连接对象上的计划。连接对象由复制系统自动生成。可以使用连接对象完成下列任务：标识站点中服务器的复制合作关系如果不想等待

11、计划的复制或者要通过某个连接测试复制，则可以通过此连接强制执行复制站点链接站点链接代表站点之间的复制流。可以通过配置以下站点属性来管理站点间复制：可以在哪个 时段进行复制，在特定时段内的复制频率以及两个站点之间的首选路由。可以使用站点链接对象完成下列任务：添加和删除使用站点链接的站点设置通过站点链接的复制成本，当存在可以将复制传递到目标站点的多个路由时，它确定 通过此站点链接进行复制的可能性设置站点链接计划，它确定可以通过该站点链接进行复制的时间和日期设置复制间隔，它确定在可以进行复制时通过该站点链接的复制频率1.1.7. IP和SMTP站点间传输复制使用远程过程调用(RPC)通过IP传输或简

12、单邮件传输协议(SMTP)传输进行。在广域网 (WAN)链接不可用的环境中，可以使用SMTP通过邮件发送复制。在此情况下，复制将根据邮件 发送计划而不是站点链接计划进行复制。默认情况下，站点间复制使用IP传输协议传递复制数据 包。可以使用IP和SMTP站点间传输容器完成下列任务：创建站点链接。可以根据适应新站点的需要将站点链接添加到复制拓扑。创建站点链接桥。在默认情况下，AD DS中的站点链接是相互桥接的，而且它们在大多数 部署中不是必需的。1.2.服务发布有些服务(如证书服务、消息队列和Exchange Server)在安装后会自动在AD DS的站点容 器中发布信息。还可以在编程接口的目录中

13、发布其他服务。Active Directory站点和服务在服务节点中公开发布的与服务相关的对象。默认情况下，看不 到此节点。若要查看此节点，请打开Active Directory站点和服务，然后在喳看”菜单中单击“显示 服务节点”。在Active Directory站点和服务的服务节点中发布的对象供各自的应用程序管理员使用。因此， 在服务或应用程序的文档中提供了关于这些对象的信息。向林添加站点如果需要在远离中心站点的网络区域部署域控制器，则可以在Active Directory域服务(AD DS)中创建一个站点对象，使之代表远程区域中的局域网(LAN)。您必须配置此站点，使其包 括在远程LAN

14、上分配的子网地址。在创建新的站点对象时，必须将该站点置于现有站点链接中。 如果已经有多个站点，则需要创建其他站点链接，以将新站点连接到现有站点。仓雁新站点之后，在将“Active Directory域服务”服务器角色添加到具有映射到该站点的IP地 址的服务器时，可以指定根据其IP地址在站点中创建新域控制器的服务器对象。作为一种替代方 案，您可以选择新域控制器的站点，然后将其IP地址配置为映射到该站点子网的地址。2.1.过程要求本部分中的过程具有以下要求：一个或多个网络地址(形式为网络地址/前缀)。在创建子网时，这些地址形成子网对象名。一个站点链接。若要创建站点，必须将新站点添加到现有站点链接中

15、。如果不存在其他站 点链接，则可以使用默认站点链接(DEFAULTIPSITELINK)。如果有两个以上的现有站点， 并想再添加一个站点，则可以将该站点添加到现有的站点链接，然后创建一个新站点链接， 并将新站点与该站点链接相关联。在多数情况下，可以随后从旧站点链接中删除该新站点。可用于通过站点链接进行复制的传输协议。当站点之间广域网(WAN)链接可用时，请使用 IP传输。当连接有间断或者端到端IP连接不可用时，可以使用简单邮件传输协议(SMTP) 向站点复制。不过，SMTP复制有一些限制。2.2 .向林添加站点过程2.2.1. 了解站点、子网和站点链接站点概述在AD DS中的站点代表您的网络的

16、物理结构或拓扑。AD DS使用作为站点、子网和站点链接 对象存储在目录中的网络拓扑信息，构建最有效的复制拓扑。复制拓扑本身由启用从源域控制器到 存储连接对象的目标域控制器的入站复制的连接对象集组成。知识一致性检查器(KCC)将在每个 域控制器上自动创建这些连接对象。注意您不必管理连接对象。实际上，会忽略对KCC自动创建的连接对象进行的更改。可以使用Active Directory站点和服务管理单元管理合并影响复制拓扑的站点、子网和站点链 接对象。注意也可以使用Active Directory站点和服务管理在Active Directory轻型目录服务(AD LDS) 配置集中的站点。区分站点和

17、域很重要。站点代表网络的物理结构，而域代表组织的逻辑结构。站点对象及其内 容被复制到林中的所有域控制器，无论是域还是站点。使用站点域控制器和使用站点的其他服务器在AD DS中发布服务器对象以利用站点提供的良好网络连 接。根据需要域数据的位置，将域控制器置入站点。例如，如果域中没有用户在物理上位于某一站 点中，则没有理由将该域的域控制器放置在该站点中。站点有助于促进多种活动，包括：复制。通过在站点内无论何时数据更新时复制信息及根据配置计划在站点间复制信息， AD DS都会平衡最新目录信息与带宽优化的需要。身份验证。站点信息可使身份验证更加快速和高效。当客户端登录到域时，它首先请求其 本地站点中的

18、域控制器进行身份验证。通过建立站点，可以确保客户端使用最接近它们的 域控制器进行身份验证，这会减少身份验证延迟和广域网络(WAN)连接上的流量。服务位置。其他服务(例如Active Directory证书服务(AD CS)、Exchange Server和消息 队列)使用AD DS存储可以使用站点和子网信息以使客户端能够更轻松地查找最接近的 服务提供程序的对象。关联站点和子网在AD DS组中的一个子网对象，其以几乎与邮政代码组邻接邮政地址相同的方式邻接计算机。 通过将一个站点与一个或多个子网相关联，为站点指定一组IP地址。注意AD DS中的术语“子网”没有单一路由器背后所有地址集的严格网络定义

19、。对于AD DS子网 的唯一要求是地址前缀符合IP版本4 (IPv4)或IP版本6 (IPv6)格式。添加Active Directory域服务服务器角色来创建林中的第一个域控制器时，将在AD DS中创 建一个默认站点(Default-First-Site-Name)。只要此站点是目录中的唯一站点，添加到林的所有域 控制器将被分配到此站点。但是如果您的林将具有多个站点，则必须创建子网以将IP地址分配到 Default-First-Site-Name以及所有其他站点。将计算机分配到站点在AD DS中，通过应用程序或服务创建服务器对象，并根据其IP地址将它们置入站点。将 Active Direct

20、ory域服务服务器角色添加到服务器时，将在AD DS站点中创建一个服务器对象，该 站点包含服务器的IP地址所映射到的子网。如果域控制器的IP地址没有映射到林中的任何站点， 将在为AD DS提供复制源域控制器的站点中创建域控制器的服务器对象。注意默认情况下，不在Default-First-Site-Name中创建服务器对象，除非林中没有其他站点。对于客户端，将通过其在登录时的IP地址和子网掩码动态确定站点分配。通过站点查找域控制器域控制器在识别其站点名称的域名称系统(DNS)中注册服务(SRV)资源记录。域控制器也在 识别其IP地址的DNS中注册主机(A)资源记录。客户端请求域控制器时，它将其站

21、点名称提供给 DNS。DNS使用站点名称在该站点中(或在下一个最接近该客户端的站点中)查找域控制器。然 后DNS向客户端提供域控制器的IP地址以用于连接域控制器。因此，确保向域控制器指定的IP 地址映射到与各服务器对象的站点相关联的子网很重要。否则，客户端请求域控制器时，返回的 IP地址可能是远处站点中的域控制器的IP地址。客户端连接远处站点时，结果可能减缓性能并给 昂贵的WAN链接带来不必要的流量。将站点与站点链接相连接网络通常由一组通过WAN连接的局域网(LAN)组成。在AD DS中，站点链接对象代表站点 间的WAN连接。尽管站点内的复制将在目录更新发生时自动触发，站点间复制(通过更慢、更

22、昂 贵的WAN链接)计划每3小时发生一次。您可以更改默认计划以在指定的期间和指定的间隔发生， 以便可以控制WAN链接流量。创建站点可以使用Active Directory站点和服务管理单元在环境中创建新站点。林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完 成此过程的最低要求。打开“Active Directory站点和服务”。若要打开Active Directory站点和服务，请依次单击 “开始”、“管理工具”和“Active Directory站点和服务”。在控制台树中，右键单击“站点”，然后单击“新建站点”。在“名称”中，键入新站

23、点的名称。在“链接名称”中，单击站点链接对象，然后单击“确定”。其他注意事项若要执行此过程，您必须是林中的Enterprise Admins组或林根域中的Domain Admins组 的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运 行执行此过程。管理Active Directory域服务(AD DS)时，请使用您的最低级别的用户帐 户登录并使用管理凭据。创建子网可以使用Active Directory站点和服务管理单元来创建新子网。林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完 成此过程的最低要求。1

24、.打开“Active Directory站点和服务”。若要打开“Active Directory站点和服务”，请依次单击 “开始”、“管理工具”和“Active Directory站点和服务”。在控制台树中，双击“站点”，右键单击“子网七然后单击“新建子网”。在“前缀”中，键入IP版本4 (IPv4)或IP版本6 (IPv6)子网前缀。在“为此前缀选择一个站点对象”中，单击要与此子网关联的站点，然后单击“确定”。其他注意事项若要执行此过程，您必须是林中的Enterprise Admins组或林根域中的Domain Admins组 的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用

25、“以管理员身份运 行执行此过程。管理Active Directory域服务(AD DS)时，请使用您的最低级别的用户帐 户登录并使用管理凭据。2.2.4 .创建站点链接可以使用Active Directory站点和服务管理单元创建新站点链接。林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完 成此过程的最低要求。打开“Active Directory站点和服务”。若要打开“Active Directory站点和服务”，请依次单击 “开始”、“管理工具和“Active Directory站点和服务”。在控制台树中，右键单击要使站点链接使用的

26、站点间传输协议。位置？ Active Directory站点和服务站点站间传输IP或SMTP单击“新站点链接”。在“名称”中，键入站点链接的名称。在“不在此站点链接中的站点”中，单击站点以添加站点链接，然后单击“添加”。重复以上 步骤，以向站点链接中添加更多站点。若要从站点链接删除站点，请在“此链接中的站点” 中，单击该站点，然后单击“删除”。添加了要通过此站点链接连接的站点后，请单击“确定”。重要除非您的网络具有的远程站点其网络连接存在间歇性或者端对端IP连接不可用，否则请使 用IP站点间传输。简单邮件传输协议(SMTP)复制具有不适用于IP复制的限制。其他注意事项若要执行此过程，您必须是林

27、中的Enterprise Admins组或林根域中的Domain Admins组 的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运 行执行此过程。管理Active Directory域服务(AD DS)时，请使用您的最低级别的用户帐 户登录并使用管理凭据。2.2.5.向站点链接添加站点或从中删除站点将站点和站点链接添加到林中时，可能要创建一个条件，即将相同的站点添加到两个站点链接。 也可能要创建这样一个条件，即站点链接不包含要求通过站点链接复制的所有站点。可以使用 Active Directory站点和服务管理单元将站点添加到站点链接及从站点链接删除站点。林中的

28、Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完 成此过程的最低要求。打开“Active Directory站点和服务”。若要打开“Active Directory站点和服务”，请依次单击 “开始”、“管理工具”和“Active Directory站点和服务七在控制台树中，单击站点间传输文件夹，该文件夹包含要在其中添加或删除站点的站点链 接。位置？ Active Directory站点和服务站点站间传输IP或SMTP在详细信息窗格中，右键单击要在其中添加或删除站点的站点链接，然后单击“属性”。在相应的列表中，单击要添加到此站点链接或从此站点链

29、接删除的站点，然后分别单击“添 加或“删除”。重要除非您的网络具有的远程站点其网络连接存在间歇性或者端对端IP连接不可用，否则请使 用IP站点间传输。简单邮件传输协议(SMTP)复制具有不适用于IP复制的限制。其他注意事项若要执行此过程，您必须是林中的Enterprise Admins组或林根域中的Domain Admins组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运 行执行此过程。管理Active Directory域服务(AD DS)时，请使用您的最低级别的用户帐 户登录并使用管理凭据。站点间的计划复制若要控制两个站点之间的复制，则可以使用Active

30、 Directory站点和复制管理单元在添加站点 的站点链接对象上配置设置。通过在站点链接上配置设置，可以控制两个或多个站点之间进行复制 的时间和频率。在站点链接上配置设置时，请考虑您的行业应用程序产生的网络流量、业务运营时 间以及在工作日内活动高峰期。请针对远程站点中目录更新的需要权衡这些注意事项。例如，您可 能会决定，对于在远程站点执行任务的用户而言，每天在下班后的低流量期间复制一次就足够了。过程要求本部分中的过程具有以下要求：代表两个或多个站点之间物理广域网(WAN)链接的站点链接对象关于站点与远程站点中用户和应用程序更新要求之间的WAN流量信息3.1. 了解站点间复制Active Di

31、rectory域服务(AD DS)处理站点之间的复制(又称站点间复制)，这与站点内复制 不同，因为站点之间的带宽通常受到限制。Active Directory知识一致性检查器(KCC)使用成本最 低的跨树设计构建站点间复制拓扑。站点间复制针对带宽效率进行了优化。目录更新可以根据可配 置的计划在站点之间自动进行。在站点之间复制的目录更新是经过压缩的，以便节省带宽。3.1.1.建立站点间复制拓扑AD DS使用通过Active Directory站点和服务管理单元提供的有关站点和站点链接的信息自动 构建最有效的站点间复制拓扑。目录将复制拓扑存储为系统自动创建的连接对象，以形成站点内和 站点间的复制拓

32、扑。连接对象为站点内复制和站点间复制识别复制伙伴。这些对象始终表示为单向 的，即入站复制到包含对象的服务器。站点间复制拓扑将定期更新，以响应网络中发生的任何更改。 您不必创建或管理连接对象。不过，可以通过在配置站点链接对象时提供的信息来控制站点间复制 计时。注意可以使用Active Directory站点和服务来管理Active Directory轻型目录服务(AD LDS)配 置集中所有站点间的目录数据的复制。3.1.2.确定何时发生站点间复制AD DS通过最小化复制的频率以及允许计划站点复制链接的可用性，来节省站点之间的带宽。 在默认情况下，跨越每个站点链接的站点间复制每180分钟(3小时

33、)进行一次。可以调整此频率 以满足您的具体需要。请注意，提高此频率将增加复制所用的带宽量。除了计划复制频率外，还可 以计划站点复制链接的可用性。在默认情况下，站点链接随时可以传输复制通信。可以将此计划限 制在每周的特定日期和每天的具体时间。例如，可以计划站点间复制仅在正常工作时间(每周五天) 之后进行。如果配置了多个站点链接，使两个站点之间有一个以上的路由，则可以配置站点链接上的复制 成本，以标识一个路由相对于另一路由的优先级。3.1.3.使用复制传输默认的站点间AD DS复制传输是通过IP的远程过程调用(RPC)。通过IP的RPC还用于站 点间复制。Active Directory站点和服务

34、中的IP容器包含一些代表站点链接的对象，这些对象使用 通过IP的RPC打包并在站点之间传输复制数据。为确保数据在站点之间传输时的安全性，通过 IP的RPC复制同时使用身份验证(采用Kerberos版本5 (V5)身份验证协议)和数据加密。当直接或可靠的IP连接不可用时，您可以将站点之间的复制配置为使用简单邮件传输协议 (SMTP)。不过，SMTP复制功能限制在非域复制(架构、配置和全局编录更新)范围内。在站点 链接上使用时，还需要企业证书颁发机构(CA)。在Windows Server 2008 R2中，站点间消息的 SMTP组件是可选的。必须添加它才能使用SMTP进行复制。可注意通过防火墙或

35、虚拟专用网络(VPN)进行站点间复制需要注意一些特殊事项。配置站点间复制可用性若要控制可能通过站点链接发生站点间复制的时间块，可以使用Active Directory站点和服务 管理单元配置站点链接计划中的可用性设置。林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完 成此过程的最低要求。配置站点间复制可用性的步骤打开“Active Directory站点和服务”。若要打开“Active Directory站点和服务”，请依次单击 “开始”、“管理工具”和“Active Directory站点和服务”。在控制台树中，单击站点间传输文件夹，

36、该文件包含要配置站点间复制可用性的站点链接。位置：Active Directory站点和服务站点站间传输IP或SMTP在详细信息窗格中，右键单击要配置其计划的站点链接，然后单击“属性”。单击“更改计划”。注意当使用没有充分凭据更改计划的帐户登录时，可用的选项是“查看计划”。5.选择要复制为可用或不可用期间的时间块，然后分别单击“不能使用复制”或“可以使用复 制”。除非您的网络具有的远程站点其网络连接存在间歇性或者端对端IP连接不可用，否则请使 用IP站点间传输。简单邮件传输协议(SMTP)复制具有不适用于IP复制的限制。其他注意事项若要执行此过程，您必须是林中的Enterprise Admin

37、s组或林根域中的Domain Admins组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运 行执行此过程。管理Active Directory域服务(AD DS)时，请使用您的最低级别的用户帐 户登录并使用管理凭据。配置站点间复制频率若要指定在站点间复制计划中的任何可用性区块期间发生的复制频率，可以使用Active Directory站点和服务管理单元配置站点链接对象属性中的频率设置。在指定时间间隔(例 如，每60分钟一次)，在站点中充当桥头服务器的域控制器请求来自不同站点中其源复制伙伴的 更改。林中的Enterprise Admins组或林根域中的Domai

38、n Admins组的成员身份或同等身份是完 成此过程的最低要求。配置站点间复制频率的步骤打开“Active Directory站点和服务”。若要打开“Active Directory站点和服务”，请依次单击 “开始”、“管理工具”和“Active Directory站点和服务”。在控制台树中，单击站点间传输文件夹，该文件包含要配置站点间复制可用性的站点链接。位置： Active Directory站点和服务站点站间传输IP或SMTP在详细信息窗格中，右键单击要配置其计划的站点链接，然后单击“属性”。在“复制频率”中，键入或选择复制间的间隔分钟数。除非您的网络具有的远程站点其网络连接存在间歇性或

39、者端对端IP连接不可用，否则请使 用IP站点间传输。其他注意事项若要执行此过程，您必须是林根域中的Domain Admins组或林中的Enterprise Admins组 的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管理员身份运 行执行此过程。管理Active Directory域服务(AD DS)时，请使用您的最低级别的用户帐 户登录并使用管理凭据。默认站点链接复制频率为180分钟。“复制频率值将被处理为最接近的15分钟的倍数，范围为最低15分钟到最大10,080分 钟(1星期)。向站点添加全局编录全局编录服务器使搜索整个Active Directory域服务(AD

40、DS)林成为可能，从而无需参照存储 搜索目标域中的域控制器。在将全局编录添加到域控制器时，林中每个域(不是新全局编录服务器 存储的域)的部分只读副本将复制到域控制器。在通用组可用的林中执行搜索和处理域登录时需要 全局编录服务器。全局编录服务器和域全局编录服务器响应通过端口 3268进行的林范围的轻型目录访问协议(LDAP)查询。全局编 录省去了将查询发送到多个域控制器，直至该查询找到包含请求对象的域这一需要。当林仅包含一个域时，所有域控制器都有可搜索的对象的完整补集，并且不需要全局编录服务 器消除对其他域的参照。不过，由于全局编录端口与默认LDAP端口 (389)不同，全局编录查询必 须找到全

41、局编录服务器。在具有单一域的林中，通过将所有域控制器配置为全局编录服务器，可以 确保全局编录查询在域中的所有域控制器之间均匀地进行负载平衡。由于不需要额外复制或处理其 他域数据，因此，与其他域控制器相比，单一域全局编录服务器具有不需要特殊硬件的优势。但是，如果林包含多个域，则全局编录服务器必须为林中的所有域存储和复制域数据。在此情 况下，应根据站点需求确定是否替换林中的全局编录服务器，如以下几部分所述。全局编录服务器和站点为优化多站点环境的网络性能，应根据站点需求考虑向站点添加全局编录服务器，以加快搜索 响应和域登录速度。在单站点多域环境中，通常单个全局编录服务器就足以包含Active Dir

42、ectory 公用查询和登录。使用下表中的信息可以确定多域多站点环境是否可以从额外全局编录服务器中受 X 益。在以下情况下使用全局编录优点缺点站点中的常用应用程序使用端口 3268解决全局编录查询。改进性能由于 复制全局 编录引起 的额外网 络流量使用慢速或不可靠的广域网(WAN)连接以连接到其他站点。使用与个别域控制器相同的失败规则和负载分发规则，确定每 个站点中是否需要其他全局编录服务器。容错由于 复制全局 编录引起 的额外网 络流量属于Windows 2000域(域功能级别设直为Windows 2000本机)的站点中的用户。在此情况下，所有用户必须从全局编 录服务器获得通用组成员身份信息

43、。如果全局编录服务器不在 同一站点，则所有登录请求必须通过WAN连接路由到其他站 点的全局编录服务器。可以使用通用组成员身份缓存(运行Windows Server 2003、Windows Server 2008 或 WindowsServer 2008 R2的域控制器上的一种功能)，这样就可以在 域登录过程中不必联系其他站点中的全局编录服务器。快速用户登录由于 复制全局 编录引起 的额外网 络流量4.1. 了解全局编录全局编录是Active Directory域服务(AD DS)林中所有对象的集合。全局编录服务器是一个域 控制器，它存储林中主持域的目录中所有对象的完全副本，以及所有其他域中所

44、有对象的部分只读 副本。全局编录服务器响应全局编录查询。4.1.1.复制到全局编录的属性组成全局编录的对象的部分、只读副本被称为“部分”，因为它们包括一组有限的属性，即架构 所必需的属性以及在用户搜索操作中最常用到的属性。将标记这些属性以作为架构定义的一部分包 含在部分属性集(PAS)中。存储全局编录中所有域对象的最常搜索的属性，使得用户的搜索更有 效，同时不因为不必要的域控制器引用而影响网络性能，并且全局编录服务器无需存储大量不需要 的数据。4.1.2.全局编录功能当您安装AD DS时，会在林中的第一个域控制器上自动创建新林的全局编录。可以将全局编 录功能添加到其他域控制器。也可以从域控制器

45、删除该全局编录。全局编录服务器：查找对象。全局编录使用户能够在林中的所有域上搜索目录信息，无论数据存储在什么位置。将以最 大的速度和最低的网络流量在林中执行搜索。当某个用户从“开始”菜单搜索个人或打印机，或在查询中选择“整个目录”选项时，该用户 会搜索全局编录。用户输入搜索请求之后，请求会被路由到默认全局编录端口 3268,并被 发送到全局编录服务器进行解析。提供用户主体名称身份验证。当验证域控制器无法识别用户帐户时，全局编录服务器会解析用户主体名称（UPN）。例如， 如果用户的帐户位于中并且用户使用 HYPERLINK mailto:luis luis 的 UPN 从一台位于 中的计算机 上

46、登录，则在中的域控制器将无法查找该用户的帐户，它必须 与全局编录服务器联系才能完成登录过程。验证林中的对象引用。域控制器使用全局编录验证对林中其他域的对象的引用。当域控制器保留其属性包含对其 他域中对象引用的目录对象时，域控制器将通过与全局编录服务器联系来验证引用。提供多域环境中的通用组成员身份信息。域控制器可以始终发现其域中任何用户的域本地组和全局组成员身份，并且这些组的成员 身份不被复制到全局编录。在单域林中，域控制器也可以始终发现通用组成员身份。但通 用组可以具有不同域中的成员。因此将通用组的member属性（包含组中成员的列表）复 制到全局编录。在多域林中的用户登录到允许通用组的域时，

47、域控制器必须与全局编录服 务器联系，以检索用户可能在其他域中具有的任何通用组成员身份。如果在用户登录到通用组可用的域时全局编录服务器不可用，用户的客户端计算机可以使 用缓存凭据登录（如果用户以前曾登录到该域）。如果用户以前未曾登录到该域，则用户 只能登录到本地计算机。4.1.3.通用组成员身份缓存在没有全局编录服务器的站点中运行Windows Server 2003、Windows Server 2008或Windows Server 2008 R2的域控制器上，可以使用通用组成员身份缓存来降低联系不同站点中全 局编录服务器的需要。已启用此功能时，当用户第一次登录到通用组可用的域时，用户的通用

48、组成 员身份信息将被缓存到域控制器上。此后，域控制器使用缓存成员身份处理登录，而不必与全局编 录服务器联系。42添加或删除全局编录可以在Active Directory站点和服务管理单元中使用同一用户界面(UI)添加或删除全局编录。 启用全局编录可能导致额外复制流量。不过，将在后台逐渐执行全局编录删除操作，且不会影响复 制或性能。林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完 成此过程的最低要求添加或删除全局编录的步骤打开“Active Directory站点和服务”。若要打开“Active Directory站点和服务”，请依次单击

49、 “开始”、“管理工具”和“Active Directory站点和服务”。在控制台树中，单击要向其添加或从中删除全局编录的服务器对象。位置： Active Directory站点和服务站点站点名服务器在详细信息窗格中，右键单击所选服务器对象的“NTDS设置”，然后单击“属性”。选中“全局编录”复选框以添加全局编录，或者清除复选框以删除全局编录。其他注意事项若要执行此过程，您必须是所选域控制器的域中的Domain Admins组或林中的Enterprise Admins组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管 理员身份运行”执行此过程。管理Active Direc

50、tory域服务(AD DS)时，请使用您的最低级 别的用户帐户登录并使用管理凭据。域控制器在收到全部域目录分区之前不在域名系统(DNS)中将其自身宣传为全局编录服务 器。也可以使用Windows PowerShell(TM)的Active Directory模块执行此过程中的任务。若 要打开Active Directory模块，请依次单击开始、“管理工具和Windows PowerShell 的 Active Directory 模块。验证全局编录准备就绪情况全局编录服务器符合复制要求时，isGlobalCatalogReadyrootDSE属性被设置为TRUE, 且 全局编录准备就绪可以为客

51、户端计算机提供服务。可以在Ldp管理单元中或在命令行上使用以下过 程验证此设置。林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完 成这些过程的最低要求。使用Windows界面验证全局编录准备就绪情况的步骤打开Ldp管理单元。若要打开Ldp，请依次单击“开始”和“运行”，再键入ldp，然后单击 “确定”。在“连接”菜单中，单击“连接”。在“连接”中，键入要验证其全局编录准备就绪情况的服务器的名称。在“端口”中，如果不出现389,请键入389。如果选中了“无连接”复选框，请清除它，然后单击“确定”。在详细信息窗格中，验证isGlobalCa

52、talogReady属性具有值TRUE。在“连接”菜单中，单击“断开连接”，然后关闭Ldp。其他注意事项若要执行此过程，您必须是所选域控制器的域中的Domain Admins组或林中的Enterprise Admins组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管 理员身份运行”执行此过程。管理Active Directory域服务(AD DS)时，请使用您的最低级 别的用户帐户登录并使用管理凭据。使用命令行验证全局编录准备就绪情况1.打开命令提示符。若要打开命令提示符，请依次单击“开始”和“运行”，再键入cmd，然后 单击“确定”。2.键入以下命令，然后按Enter

53、：nltest /server: /dsgetdc:值描述nltest执行网络管理任务。/server:指定已指定作为全局编录服务器的域控制器的名称。/dsgetsdc:在输出的Flags行中，如果出现GC,则全局编录服务器已符合其复制要求。若要查看此命令的完整语法，请在命令提示符下键入：nltest /?其他注意事项若要执行此过程，您必须是所选域控制器的域中的Domain Admins组或林中的Enterprise Admins组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管 理员身份运行”执行此过程。管理AD DS时，请使用您的最低级别的用户帐户登录并使用 管理凭据

54、。4.4.验证全局编录DNS注册若要验证服务器是否被公布为全局编录服务器，可以使用DNS管理器管理单元验证是否存在 全局编录服务器的域名称系统(DNS)服务位置(SRV)资源记录。林中的Enterprise Admins组或林根域中的Domain Admins组的成员身份或同等身份是完 成这些过程的最低要求。验证全局编录DNS注册的步骤重新启动要验证其DNS注册的全局编录服务器。打开DNS管理器。若要打开DNS管理器，请依次单击“开始”、“管理工具和“DNS”。若要连接到林根域中的域控制器，对此进行验证DNS注册，请右键单击“DNS”，然后单 击“连接到DNS服务器”。在控制台树中，单击林根域

55、的“_tcp”容器。位置： DNSDNSServef正向查找区域ForestRootDomain在详细信息窗格中，在“名称”列中查找_gc，并在“数据”列中查找服务器的名称。以_gc 开头的记录是全局编录服务位置(SRV)资源记录。其他注意事项若要执行此过程，您必须是所选域控制器的域中的Domain Admins组或林中的Enterprise Admins组的成员，或者您必须被委派了适当的权限。作为安全性最佳操作，请使用“以管 理员身份运行”执行此过程。管理Active Directory域服务(AD DS)时，请使用您的最低级 别的用户帐户登录并使用管理凭据。附录：Active Direct

56、ory站点和服务用户界面说明属性页-常规选项卡项目详细信息开销指定一个开销值以设置使用此站点链接而非支持将复制路由到相同的站点的其他站 点链接的首选项。在两个站点间有多个路由可用时，站点间复制将发生在具有最小开销的路由上。如 果在创建复制拓扑时域控制器不可用，这使得不可能通过站点进行复制，则将使用 下一个最小开销的路由。当桥接（可传递）站点链接时，会自动进行此重新路由， 这是默认设置。“复制频 率为 分钟”指定通过此站点链接的复制事件间的持续时间，以分钟单位。复制会以此频率在通 过此站点链接的复制计划可用时发生。最小复制间隔为15分钟。“更改计 划”或“查 看计划若要检查或更改此链接的计划，请

57、单击“更改计划”。当使用没有充分凭据更改计划的帐户登录时，可用的选项是“查看计划”。属性页-常规选项卡除非自己拥有连接对象，否则更改连接对象的属性没有效果。在手动创建连接对象或取得自动 连接对象的所有权时，将建立对连接对象的所有权。除非手动创建复制拓扑，否则不必管理连接对 象。项目详细信息“传输”提供此连接使用的可用网络协议列表。大多数复制方案都使用IP。简单邮件传输协议(SMTP)仅在不能使用IP复制 的少数拓扑中使用。“更改计划”或“查看计划”此计划适用于站点内连接对象和手动创建的站点间连接对象。对于手动创建的站点间连接对象，可单击查看或指定通过此连接进行复制的 频率。自动生成的站点间连接

58、对象从站点链接对象派生其计划。对于站点内连接对象，为响应更改而进行复制。不过，自动生成的站点内连 接对象还有一个默认1小时的计划，以防在通知机制出现故障时确保能够进 行复制。自动生成的站点内连接对象从NTDS站点设置对象计划派生其计 划。“更改”单击选择备用域控制器作为源复制伙伴，通过此连接从中复制目录信息。“复制的名称上此域控制器与其在“服务器中的源复制伙伴共有的目录分区，此域控制器为下文”其接收更新。“部分复制的名如果此服务器是全局编录服务器，则通过此连接复制对这些只读目录分区的称上下文”更新。NTDS设置属性页-常规选项卡项目详细信息查询策 略“全局编录”复选 框为许多轻型目录访问协议(LDAP)操作提供操作限制以确保域控制器可以支持服务 级别保证。显示域名称系统(DNS)中别名(CNAME)资源记录的名称，复