活动目录的设计主要包括逻辑结构设计和物理结构设计两大方面,具体涉及域(domain)、林(forest)、全局目录服务器 (Global Catalog,简称GC)、组织单元(Organizational Unit,简称OU)、站点(Site)、DNS(Domain Name System)、域控制器(Domain Controller,简称DC)7个关键点。
逻辑结构设计原则
原则一、域设计原则
◆在管理任务明显由区域划分的环境中可以独立设置域,如某公司的亚洲分部和欧洲分部等,可以设立域对各自独立的资源进行统一管理。
◆特殊情况下,如果域数据库中的对象(包括被管理的用户、计算机、打印机等)过多,超过100万时(对于中小型企业很难达到),需要考虑增加域。
原则二、 林设计原则
公司由于业务等需求需要设定多个名字空间,如需要corp.com和corp.cn两个名字空间,则必须建立林,该林中包含以corp.com为根 域和以corp.cn为根域的两棵树。并且,需根据实际情况为这2棵树之间确定好信任关系(即:授权2棵树中的用户相互访问各自管理的资源)。
原则三、OU设计原则
◆对于域安全准则一致的域,如果需要突出其中的某些业务和组织职能,则可以为域创建组织单元(OU),而没有必要重新创建单独的域。比如,对一个microsoft.com,底下划分为销售、人力等部门,可以创建sales、hr等等OU。
◆在具体的OU设计中,微软给出了地理模型、对象模型、成本中心模型等7个基本模型供参考。
物理结构设计原则
原则四、站点设计原则
站点设置的目的是控制网络产生的登录通信量和复制通信量。(1)登录通信量:每次当用户登录网络时,Windows 2000/Windows Server 2003/Windows Server 2008都会试图查找与用户在同一站点的DC,产生登录通信量。(2)复制通信量:将目录数据库的变动更新到多个DC,站点将控制该通信量如何以及何时产 生。具体的设定原则如下:
◆了解与站点设计相关的IP子网(IP Subnet)分配及物理链路情况,以确定站点的物理连接。
◆由于site内各DC间的复制流量及频度较大,为保证效率,需将高速连接(如高速LAN)的区域设置位于同一个site,将低速连接(如低速WAN)的区域设置位于不同site。
◆在一个site中至少配备一个DC、一个GC、一个DNS来对用户进行快速验证,并提供快速地信息查询和检索。
◆合理的设定站点内复制(Intrasite Replication)和站点间复制(Intersite Replication),隔离复制流量。按照微软AD的设计理念,站点间复制比站点内复制流量要减少80%-90%,原因是站点间复制采用了压缩机制。
原则五、GC设计原则
GC存储林中每个对象的一定数量的信息,这些信息通常是被频繁查询或者搜索的属性,当用户在域外查找对象时,使用GC可以避免调用目的地的DC,从而加快查询速度和减少网络流量。建议,每个site都配备一个GC。
原则六、 DC设计原则
DC的设计与用户的数量有很大关系,如下表所示:
原则七、DNS设计原则
◆尽可能使用与AD集成的DNS,为客户端登录寻找DC、DC间寻找提供定位服务。
◆DNS服务器应支持SRV资源记录外,并建议DNS服务器提供对DNS的动态升级。DNS动态升级定义了一个DNS服务器自动升级的协议,如果没有此协议,管理员不得不手动配置域控制器产生的新的记录。
