如何跨地域规划活动目录域|活动目录域规划设计指南。有这样一个情况,母公司在苏州,我建了一个新林中的第一个新域,名为suzhou. com的域,AD与DNS集成,服务器IP是10.0.0.1。然后在上海,有一个子公司,采用×××和苏州的母公司进行连接,然后需要在上海的公司建立一个shanghai.com的域,这个服务器的IP是10.0.0.2,DNS是10.0.0.1,然后我选择的是“现有林中的域树”,建好之后发现这个两个域好像是互相信任了,但是假如能够在苏州登录suzhou.com的一个员工,带着笔记本到了上海,选择登录shanghai.com,却无法登录,请问我这种域的规划和部署有没有问题,因为还有10个子公司也需要这样的部署。
我的意思就是想在苏州建立第一个林的第一个域树,然后各个子公司都是一个域树,每个公司都有自己的DC,DNS和DHCP,DHCP分发的DNS是当前公司自己DNS,×××用的是站点到站点的×××,一个用户无论到哪里,他都能用自己的帐号登录到当前公司的域中。
回答:在现有的林中创建新的域树时,默认情况下将建立一个双向、可传递的树根信任。
根据我的经验,我们不建议新建这么多域树,因为活动目录只是逻辑结构而不是物理位置。您可以在每个分公司新建额外域控制器,然后创建站点,将不同的DC放入各自的站点中,方便客户端登录到域。站点信息有助于使身份验证更快更有效。当客户端登录到域时,它首先在其本地站点中搜索可用于身份验证的域控制器。通过建立多个站点,可确保客户端利用与它们最近的域控制器进行身份验证,从而减少了身份验证滞后时间,并使通讯保持在 WAN 连接以外。有关创建站点的信息,请参阅以下文章:
关于更多Active Directory 站点和服务的信息,您可以参考以下文章:
站点概述
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/a3970162-368d-4d99-b4f0-76503cc927af.mspx?mfr=true
Active Directory 站点和服务的最佳操作
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/86417143-92b6-431b-8439-91f456e921dd.mspx?mfr=true
Tom Zhang 张一平 在线技术支持工程师 微软全球技术支持中心
