AD站点的概念和创建
AD站点设计之管理您的Windows 2000流量系列文章一
Windows 2000 (Win2K)的Active Directory (AD),是Win2K的所有功能中最引人注目的。但是许多用户并没有给予AD Site的功能、Win2K的物理结构以及 Global Catalog(GC)太多的关注。虽然Win2K的内容可能让您觉得负担太重,但您仍有必要学习一下与AD Site有关的内容,因为这些内容是Win2K对您公司的网络性能造成最大影响的地方。在您学习了如何使用AD Site以及如何在跨Site的Win2K网络上管理复制功能,您会觉得AD Site非常有用。
AD Site的概念
Microsoft设计了AD Site来协助操作系统了解物理网络拓扑,让Win2K可以进行更智能的流量管理。为了解决这一问题,Microsoft在Win2K中推出AD Site功能。Microsoft将Site定义成IP子网的集合,这些集合内拥有良好的物理连接。Site内的计算机之间拥有良好的物理连接。几个因素(例如,WAN带宽以及线路等潜在因素) 都会影响link能力,而物理连接良好的定义可能在不同的公司会不同。因此,我无法给您标准的Site范围定义,让您可以应用于公司网络的所有环境。但总的来说有三条:高带宽、高可靠性、低费用。如果计算机间的连接满足以上条件,我们就可以说这些计算机在同一个Site内。
您可能会发现很难去区分Site与域。这两者之间的差别是Site表示网络的物理结构,而域则代表区域或是组织的逻辑结构。在一个Site中,您可以有好几个域,因此可能是很难管理复杂架构,或是包含许多Site的域。
一个大型公司的网络拓扑,就好像大海,办公室中的LAN就像一个岛屿,这就是一个Site,而几个分部之间的连接就像大海一样,连接能力比较低,它们就分属几个Site。
Site提供了三个功能:首先,通过Site能更好的控制AD复制;第二,Site可以帮助AD的客户端找到和自己距离最近的域控制器,快速完成登录验证;最后,Site可以为支持AD的应用程序选择本地的client-server资源(例如win2K的Dfs)。
管理复制
设计良好的AD Site会比域在AD复制方面做得更好。在Site内,域控制器之间,复制是不压缩的,当AD数据发生变化时每5分钟一次复制,AD数据无变化每隔一小时域控制器会同步一次AD数据,而且管理员无法计划Site内域控制器间的复制。AD假设在Site之内的域控制器,彼此之间的物理连接良好,有着极好的可靠性,因此有比较低的延迟,同时也比其他的网络功能具有优先性。
当您创建AD Site的时候,可以使用这个方法来控制并且设置复制动作。您可以定义Site之间复制发生的频率(最小的复制间隔是15分钟)。虽然AD不会在Site内压缩复制的流量,但是在Site与Site之间,AD会自动压缩复制流量。压缩之后的流量大约是原来大小的10%到40%。您也可以在Site之间创建连接,在虚拟路径上强迫进行复制。您还可以指定想要使用的Site路由。
创建AD Site
要创建AD Site,您必须创建Site对象,并新增IP子网给它,移动在此之前已经存在的服务器到相应Site里面,然后使用连接将之连接到其他的Site,接着在Site之间指定复制。为了显示您要如何创建Site,我会示范一个简单的创建范例。图表1显示了虚构的Texas公司,在Dallas、Fort Worth以及Austin都设有公司。Dallas是公司的WAN hub,以供其他两个位置link。在这个范例中,我称每个位置以及其计算机为Site。每个Site都有若干个IP子网络。这个公司只有一个域,每个Site有若干个Win2K域控制器。
图表1 Texas公司
想要创建Site对象,必须在开始菜单的管理工具中执行Services Microsoft Management Console(MMC)snap-in,然后在Active Directory Sites上面按鼠标右键,以启动New Object-Subnet对话框,如图 1 所示。输入Site的名称,并且不要使用空白内容。
如图 1 输入Site的名称
我建议您遵守DNS的命名策略,因为您是要将Site的名称储存在DNS SRV记录中。选择这个Site会使用的Site连接对象(也就是这个Site会连接到其他Site的路径),然后选择“OK”。当完成Site的创建后,将有一个信息会告诉您,您必须使用Site link将新建的Site和已存在的Site关联起来;新增IP子网到新Site的容器中;在相应的Site内安装域控制器或是将已存在的域控制器移动到相应的Site里面;然后为Site选择授权服务器。
在您新增IP子网到Site之前,您必须在AD的IP子网容器中新增您所需的IP子网。启动Active Directory Site and Services的snap-in,在IP子网容器上按鼠标右键,然后选择“New Subnet”。对于每个您想要定义的IP子网,输入IP子网对应的IP地址以及子网掩码以定义IP子网的大小。指定这些参数给对应的Site,然后按下“OK”。
接着,您要移动服务器到适当的Site。在“AD的站点和服务”中找到相应的服务器的图标按鼠标右键,然后从快捷菜单中选择“移动”。在出现的Move Server对话框中,选择目标Site,如图2所显示的内容。
图2 择目标Site
在您进行移动之后,并不需要重新启动您的服务器。如果您在移动第一个服务器之后,创建新的服务器,而新的服务器有个IP地址与Site子网络符合,在连接到域的时候,新的服务器就会自动在Site中注册。如果新的服务器并没有IP地址可以符合Site子网络,服务器就会进入Default-First-Site-Name site中。
当您设置了不同的Site之后,不要将服务器留在Default-First-Site-Name这个Site中,必须先进行移动服务器的操作。您要确保支持AD的客户端,在他们本地的办公室位置,能够选择最佳的域控制器,以便能够在Site内进行登录验证。您也可以调整复制时间间隔,从缺省的每5分钟到3个小时的间隔,并且对Site之间复制AD数据进行数据的压缩。
在Texas公司的范例中,在网络的带宽上有困难,因此需要更加详细的Site设置。AD复制流量在Dallas与Fort Worth之间的网络负担是很沉重的,所以您必须充分使用这两个Site之间有限的WAN带宽,减少复制流量。另外,Dallas-Austin AD复制流量在白天的时候也很沉重,但是在晚上则不会,因为办公室内的计算机在晚上7:00就关闭了。您可以使用几种Site功能来减少Win2K复制的流量,但是在您开始学习使用之前,您必须了解Site Link的概念。
Site link的设置。Site link是虚拟的线路(VC),存在于Site之间,以供Win2K复制使用。通过Site link可以在两个成员Site之间控制复制。您可以使用两种复制协议来创建Site Link——TCP/IP之上的(在snap-in中是以IP出现)SMTP与远程过程调用(Remote Procedure Call)。您95%的复制流量都会使用IP协议复制。在很不稳定的link上,对远程计算机进行流量传送,或是通过防火墙进行传送,而无法传送RPC流量通过通讯端口137以及139等情况,则使用SMTP协议进行复制。与真正的电话线路不同,Site link可以连接两个以上的Site。因此,如果您想要让所有的Site都使用相同的Site之间复制规则,Site link就相当方便。DEFAULTIPSITELINK,如图3 所示,是IP link的缺省Site link,它就像共享的Site link,因为当您没有明确指定每一个Site link包含的Site的时候,所有的Site都会属于这个Site link。
图3 IP link的缺省Site link
要在AD Sites and Services snap-in中设置Site link,请在Inter-Site Transports容器的复制按下加号 (或是按两次容器) 以查看IP和SMTP的容器。在IP容器上按鼠标右键,然后选择“Net Site Link”。图 4 显示了出现的New Object-Site Link对话框。
图 4 New Object-Site Link对话框
您接着要在点对点的设置中创建Dallas FortWorth Site link。您也可以在使用Site link的Site清单中新增Austin和Default-First-Site-Name。但是,新增Default-First-Site-Name对于DEFAULTIPSITELINK而言是多余的,因为每个新的Site,缺省都会使用DEFAULTIPSITELINK。如果您将所有的Site添加到您所创建的link,而没有变更参数或是改变复制计划,那么连接的方式与DEFAULTIPSITELINK是一样的。替Site连接命名以供识别(先替Hub Site命名,在范例中就是Dallas ForthWorth),这样可以在Administration MMC snap-in中确保link的可读取性。
设置复制。在您新增 Site link之后,您可以在Site之间设置复制,以供每个Site所需。想要替Texas公司的Site之间设置复制,请在Inter-Site Transports容器的IP容器中Dallas-FortWorth Site-link对象上按鼠标右键,然后编辑Dallas-FortWorth Site link的内容。Site-Link内容对话框的内容看起来和我原来创建的连接一样,除了多出了三种参数——Cost、复制间隔以及复制计划。
您可以使用Dallas-ForthWorth对话框中的内容来复制控制,以减少Dallas和Fort Worth的复制间隔,也就是从每隔3个小时一次缩短到每隔1个小时一次,如图 5 所示。
图 5 设置复制间隔
复制会频繁一些,但是每次复制的流量却也减少许多,同时减少了Site之间复制内容所需耗费的时间。如果您想在白天避免沉重的Dallas-Austin Win2K复制流量,您可以设置让Dallas-Austin Site连接避免在商业高峰期进行复制,如图6所示。
图6 复制间隔与日程安排
您也可以缩短复制间隔,从180分钟到30分钟,这样在7:00 a.m.之前,其他的Site就会刚好复制到Austin。图表2显示了我替Texas公司设置Site连接的最后方案。
图表2 Texas公司设置Site连接的最后方案