需求:
公司在上海跟深圳都有子公司,上海有2台主备AD,深圳也有2台主备AD,我们把上海的域控制器和计算机放到一个站点内,把深圳的域控制器和计算机放到另一个站点内。这样的话,上海和深圳的用户在登录时会优先选择本站点内的域控制器登录,KCC(知识一致性检查器)在规划复制拓扑时也会自动地优先考虑在本站点内的域控制器之间进行AD复制。更好的是,如果AD需要垮站点复制,AD内容还可以经过压缩后再进行复制到对端站点,然后再彼此站点内在互相复制,显然站点在设计时已经充分考虑到了对带宽的充分利用
综上而言使用站点的优点有:
(1)优化复制;通过在站点内更为频繁(与站点之间复制信息相比)地复制信息,Active Directory 平衡对最新目录信息的需求与对优化带宽的需求。您还可以配置站点间连接的相对开销,进一步优化复制。
(2)身份验证;站点信息有助于使身份验证更快更有效。当客户端登录到域时,它首先在其本地站点中搜索可用于身份验证的域控制器。通过建立多个站点,可确保客户端利用与它们最近的域控制器进行身份验证,从而减少了身份验证滞后时间。
环境准备
本例虚拟机均通过VMware创建
1个网关服务器,4台DC,1台win10客户机,域名:xielong.local
如何搭建软路由请至
WinServer 2012 R2 搭建软路由、网关服务器实现NAT转发_tom.ma的博客-
如何搭建AD域控服务器请至
WinServer 2012 R2 搭建域控服务器、文件服务器并配置权限_tom.ma的博客-域控服务器
网关服务器 3 张网卡
IP | 子网掩码 | 网关 | DNS |
192.168.1.100 | 255.255.255.0 | 192.168.1.1 | 192.168.1.1 |
10.0.10.254 | 255.255.255.0 | ||
10.0.20.254 | 255.255.255.0 |
上海 DC1 服务器 1 张网卡
IP | 子网掩码 | 网关 | DNS |
10.0.10.1 | 255.255.255.0 | 10.0.10.254 | 10.0.10.1 |
深圳 DC2 服务器 1 张网卡
IP | 子网掩码 | 网关 | DNS |
10.0.20.1 | 255.255.255.0 | 10.0.20.254 | 10.0.10.1 10.0.20.1 |
上海 DC3 服务器 1 张网卡
IP | 子网掩码 | 网关 | DNS |
10.0.10.2 | 255.255.255.0 | 10.0.10.254 | 10.0.10.1 10.0.10.2 |
深圳 DC4 服务器 1 张网卡
IP | 子网掩码 | 网关 | DNS |
10.0.20.2 | 255.255.255.0 | 10.0.20.254 | 10.0.10.1 10.0.20.2 |
Win10 客户机 1 张网卡
IP | 子网掩码 | 网关 | DNS |
10.0.20.5 | 255.255.255.0 | 10.0.20.254 | 10.0.20.1 |
效果如下
具体操作方法如下:
1、建立 SHA 子网
2、创建 SZX 子网
3、把DC移至对应的站点内
这里是 DC1 DC3 是 SHA 站点,DC2 DC4 是 SZX 站点
4、设置 DC1 跟 DC2 为桥头服务器
有了站点之后,显然域控制器之间的AD复制应该优先在本站点内进行,然后站点会选出一个 "桥头服务器" 代表所在的站点和其他站点的 "桥头服务器" 进行通讯,这样AD的更改就可以通过两个站点间的 "桥头服务器" 进行跨越站点的传递。AD复制在站点内的域控制器进行时是不压缩的,而AD复制如果跨站点进行则需要压缩。跨站点的AD复制拓扑是由ISTG(站点间拓扑生成器)来设计的。ISTG和KCC不同,KCC负责站点内的拓扑设计,ISTG负责站点间的拓扑设计。
5、DC1 跟 DC2 DC3 复制
6、DC3 跟 DC1 复制
7、DC2 跟 DC1 DC4 复制
8、DC4 跟 DC2 复制
9、调整 SHA站点跟SZX站点间同步时间
10、手动复制一次
11、查看同步命令 repadmin /replsummary
12、DNS 管理增加反向解析
13、Windows10 客户机加入 AD,DNS设置为DC4
14、验证域名,成功解析成 DC4
15、DNS 设置成 DC3,验证域名成功解析为 DC3