实战
Active Directory
站点部署与管理
上篇博文中我们家介绍了站点的设计目的及大致原理,今天我们通过实战为大家介绍如何进行站点的部署以及管理。实验拓扑如下图所所
示,adtest.com域中有四个域控制器,分别是Florence,Berlin,Firenze和Perth。其中Florence和Berlin
在北京,隶属于192.168.11网段;Firenze和Perth在上海,隶属于192.168.12网段。由于北京和上海之间使用了一条64K的
DDN慢速链路,因此我们有必要使用站点对域内的计算机进行合理规划,以便能够让域内的计算机在现有的带宽条件下能以最有效率的方式通讯。
目前四台域控制器都在一个站点中,如下图所示,就是默认的Default-First-Site-Name。根据我们本次实验的具体情况,我们需要把北京和上海的域控制器分为两个站点,为完成这个任务,我们需要进行下列操作:
一
创建站点
二
定义站点子网
三
定位服务器
四
配置站点链接器
一
创建站点
默认情况下所有的域控制器都在一个站点内,但目前我们需要两个站点,一个用于管理北京的计算机,一个用于管理上海的计算机。因此我们需要创建一
个新站点,同时把原先的默认站点改名即可。首先我们先把原来的默认站点Default-First-Site-Name改名为Beijing,我们在域控
制器Florence上打开Active Directory站点和服务,,如下图所示,右键点击原来的默认站点,选择“重命名”。
重命名后的结果如下图所示,默认站点已经改名为Beijing。
接下来我们来创建一个新站点Shanghai,如下图所示,右键点击“Sites”,选择新站点。
如下图所示,新站点取名为Shanghai,我们为Shanghai站点选择了一个默认的站点链接器,关于这个站点链接器的作用我们将在后面的内容中予以介绍。
Shanghai站点创建完毕后,系统提示我们要进行如下图所示的后续操作,我们接下来将按照提示实现对站点的配置。
二 定义站点子网
现在我们有了Beijing和Shanghai两个站点,接下来要考虑如何定义站点内的IP子网。如果不同的站点管辖了不同的IP子网,那么对
域内的计算机来说是非常有利的,域控制器只要根据自己的IP地址就可以判断出自己应该隶属于哪个站点,域内的客户机登录到域时也会根据自己的IP地址来查
询同一站点内的域控制器进行登录。
创建站点所属的子网并不难,如下图所示,右键单击Subnets,选择“新建子网”。
如下图所示,我们创建了一个子网192.168.11,然后把这个子网分配给了Beijing站点。
如法炮制,我们为Shanghai 站点创建了192.168.12子网。这样以后如果有新的域控制器加进来,域控制器根据IP地址就可以自动加入相应的站点。
三
定位服务器
定义了站点子网后,我们接下来就要根据每个域控制器的IP地址来把它们加入不同的站点了。我们准备把Florence和Berlin放在Beijing站点,Firenze和Perth放在Shanghai站点。如下图所示,右键单击Firenze,选择“移动”。
然后我们选择把Firenze移动到Shanghai站点。
用同样的方法我们把Perth也移动到Shanghai站点,移动后的域控制器分布如下图所示,Beijing和Shanghai站点各有两个。
四 配置站点链接器
现在我们已经配置好了站点子网,然后把域控制器放到了相应的站点中,现在我们要考虑如何配置站点链接器了。站点链接器是一个逻辑控制单元,它并
不负责域控制器之间的物理连接,那应该是电信部门负责的事情,即使没有站点链接器,域内的这些处于不同城市的计算机也是可以在网络层实现联通的。链接器的
作用是对不同站点间的数据传递进行控制,以便最大限度地利用好站点间的窄带链路。
有了站点之后,显然域控制器之间的AD复制应该优先在本站点内进行,然后站点会选出一个“桥头服务器”代表所在的站点和其他站点的“桥头服务
器”进行通讯,这样AD的更改就可以通过两个站点间的“桥头服务器”进行跨越站点的传递。AD复制在站点内的域控制器进行时是不压缩的,而AD复制如果跨
站点进行则需要压缩。跨站点的AD复制拓扑是由ISTG(站点间拓扑生成器)来设计的。ISTG和KCC不同,KCC负责站点内的拓扑设计,ISTG负责
站点间的拓扑设计。
我们接下来看看如何利用站点链接器来控制站点间的数据传输,目前Beijing和Shanghai两个站点间使用的是一个默认的站点间链接。如
下图所示,我们打开“Active
Directory站点和服务”,我们可以看到Inter-Site-Transports下面有IP和SMTP两个子项,这是告诉我们站点间数据复制可
以使用IP协议或SMTP协议。一般我们都选择使用IP,如果使用IP,站点间的数据传输将使用RPC协议,这种协议可以传输AD的全部内容而SMTP则
只能传输AD的部分内容。现在Beijing站点和Shanghai站点之间使用的就是基于IP的站点链接器。
我们打开默认的站点链接器,查看属性,如下图所示,我们在常规属性中可以看到这个站点链接器连接了Beijing和Shanghai两个站点。
然后我们可以看到站点链接器的开销是100,开销反映了站点间连接速度的快慢,开销值越小,速度越快。站点间的开销是个相对值,并不具体对应实际的连接速
度,因此目前两个站点间的开销值并没有太多的讨论价值,因为没法和其他站点的开销值进行比较。如果有更多的站点,那站点开销的意义就凸显出来了。例如我们
现在有北京,上海和广州三个站点,其中北京和上海之间是用2M的专线连接,北京和广州之间是用64K的专线连接,上海和广州之间则用的是10M的专线。那
么北京的域控制器更改了AD,如何传递给广州站点内的域控制器呢?从拓扑看,显然从北京直接传到广州就不如先从北京传到上海,再经过上海传到广州合算。我
们怎么才能让KCC知道这个情况呢?通过站点开销就很容易做到,例如我们可以设置北京站点到广州站点的开销值是100,而北京到上海的开销值是20,上海
到广州的开销值是10。这样一来KCC在计算站点间链接时就可以通过开销值的量化指标判断出100>10+5,因此KCC在安排北京站点和
广州站点间的AD复制时会优先让AD数据先从北京站点复制到上海站点,再从上海站点复制到广州站点。值得注意的是,站点开销值是一个宏观上的相对值,并不
具体对应传输速率。
站点间的默认复制频率是180分钟,也就是默认情况下三个小时才跨站点复制一次,这个频率比站点内的AD复制低了很多,显然是为了适应广域网上的低速链路。
点击站点常规属性中的“更改计划”,我们可以设置站点间数据传输的时间段,这个设置显然有利于避开窄带利用的高峰期,在适当的时机用适当的节奏进行站点间的数据传递。
站点配置完毕后,我们检查DNS服务器,发现DNS中已经有了相关的SRV记录。如下图所示,我们发现Beijing和Shanghai两个站点的SRV记录已经出现在区域中了,这样的话有利于客户机通过查找DNS来定位出和自己所属站点内的域控制器。
我们举个例子来说明DNS中和站点有关的SRV记录的作用,有一台客户机Istanbul,IP地址是192.168.12.107。如下图所示,我们准备把它加入域,看看Istanbul加入域的过程。
我们用抓包器追踪Istanbul加入域的过程,如下图所示,我们可以看到Istanbul向DNS服务器发起查询,要求查询shanghai
站点内的域控制器。显然Istanbul已经知道了自己属于shanghai站点,优先联系shanghai站点内的域控制器,这样我们设置站点的目的也
就达到了。
作者:Angelo Lee
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利.