热线知识库的系统架构图 热线知识库建设

    站点代表由高速网络（例如局域网）连接的一组域控制器。Active Directory域服务中，站点对象代表物理站点中可以管理的介质，站点中的服务器指的是域控制器，在具有异地分支机构的网络中，站点将简化AD DS域服务的管理以及提高效率。

站点基本知识

    站点中包含系列站点对象，分别为站点、子网、站点链接桥、域控制器。域控制器通过子网组合在同一个站点中，站点之间通过站点链接进行通信，如果包含多个站点，则具有中继站点功能的站点将通过站点链接桥组组建一个新的站点链接，站点之间访问胡同。站点和域不同：站点代表网络的物理结构，而域代表组织的逻辑结构。

名词解释

    1.默认站点

    默认站点在企业部署第一台域控制器时自动创建。建立的第一个站点被命名为“Default-First-Site-Name”，站点名称支持重命名功能。默认站点中存储当前林中安装的所有域控制器。

    2.知识一致性检查器

    Knowledge Consistency Checker（知识一致性检查器，简称KCC），是域控制器内置拓扑生成器，用来创建森林的复制拓扑结构。

    同一个站点内域控制器之间的复制称为站点复制，KCC自动在站点内的域控制器之间创建连接对象，连接对象是跨站点连接域控制器的单项连接器，每个站点链接就像一条通道，从源域控制器到目的域控制器的入站链接。在同一个站点内域控制器之间复制链接通过默认“DEFAULTIPSITELINK”复制链接完成。

    3.站点链接

    站点间的连接用“站点链接”表示，通过两个或多个站点之间的低速率带宽或不可靠的网络连接进行互联。当有多个站点时，由站点链接的站点就变成复制拓扑的一部分。

    默认情况下，站点链接是可传递的。一个站点中的域控制器可以与任何其他站点的域控制器进行复制链接。例如站点A与站点B相连，站点B与站点C相连，站点A的域控制器可以与站点C的域控制器进行通信。创建站点时，可以使用创建的站点链接，自定义连接这些站点的现有站点链接，可传递性就会生效。

    4.站点链接桥

    默认情况下，所有站点链接都是桥接或可传递的，允许未经明确定义的站点链接连接任意两个站点，通过一系列中间站点链接和目标站点进行通信。

    默认已经启用自动站点链接桥接功能，可能用户希望在下列情况下禁用自动站点链接桥接，而只为特定站点链接手动创建站点链接桥。

    ·网络不能直接通信，不是每个域控制器都能域其他所有域控制器直接通信。

    ·网络路由或安全策略不允许每个域控制器域其他所有域控制器直接通信。

    ·Acitve Directory设计包括大量站点。

    站点链接桥代表一组站点链接，所有选择的站点链接都可以通过站点链接内的对象互相连接。站点链接桥必须使用至少2个站点链接，才能创建一个站点链接桥。例如：

    ·站点链接XY通过IP协议连接站点X和Y，开销值为3。

    ·站点链接YZ通过IP协议链接站点Y和Z，开销值为4。

    ·站点链接桥XYZ连接XY和YZ。

    ·站点链接桥XYZ表示，一个IP消息可以从站点X发送到站点Z，开销值为3+4=7。

    站点链接桥中的每个站点链接应该有与桥中其他站点链接共用的站点，否则该桥不能计算出从链路中站点到该桥其他链路中站点的成本。多站点连接桥可以互相连接，例如将以下对象添加到上面的例子中。

    ·站点链接WX通过IP协议连接站点W和X，开销值为2。

    ·站点链接桥WXY连接WX和XY。

    ·创建新的站点链接桥WXYZ，即站点链接桥WXY和XYZ通过中继链接，一个IP消息可以从站点W发送到站点Z，开销值为2+3+4=9。

    在默认情况下，所有站点链接都可以互相传递。

    5.桥头服务器

    桥头服务器是站点间复制使用的首选服务器，也可以配置站点中的其他域控制器来复制站点间的目录数据更新，更新数据由一个站点复制到另一个站点的桥头服务器后（站点间复制），可以通过站点内复制，把更新复制到站点内的其他域控制器。

站点规划原则

    站点分为独立站点和多站点模式，对于站点的不同模式建议遵循以下原则。

    ·明确企业的网路拓扑，然后规划站点、站点连结、站点链接桥，以达到复制拓扑的最佳路径。

    ·评估站点之间广域网链接速度和拓扑结构，评估数据包括站点间流量，和所使用公共网络（Internet或拨号连接）的实际网络可靠性、链接速率。

    ·评估站点之间的链接成本（开销值），选择最优化网络路径。

    ·站点的规划可以根据网络地理位置划分，同一区域的不同建筑物之间根据建筑物划分等。

    ·站点规划和物理位置没有直接联系，可以将不同物理位置的域控制器放在一个站点中。

应用模式

    1.单站点

    单站点是网络最常见的应用模式，就是只有一个站点。最初创建域时，将创建一个默认的站点（Default-Site-First-Name），代表整个网络，所有域控制器都将包含在默认站点中。单个站点的域执行效率非常高，因为该站点适用于同一个地理位置的高速局域网。

    单站点优点：

    ·简化复制管理。

    ·所有域控制器之间目录快速更新。但站点设计还允许所有域控制器保持目录更改的最新状态，目录更新近乎实时模式完成。

    ·单站点结果允许网络中所有复制以站点内复制的方式进行，不需要手动复制配置。

    2.多个站点

    多个站点主要应用于分布于不同地理位置的网络，为网络上的每个物理位置创建单独的站点，可确保通过带宽网络连接进行通信的域控制器之间的站点间复制顺利完成。使用多个站点时，可通过几个可配置的站点间复制设置，更细致地控制复制行为。这些设置包括不同复制路径的相对开销、与每个站点相关的域控制器、与每个站点相关的子网、目录更新的传输频率，以及复制所有连接的可用性。

    多站点优点：

    ·有效利用宽带网络带宽进行复制。

    ·控制复制行为。

    ·控制时间间隔，降低身份验证滞后时间。

单域多站点部署任务

    本例中将部署三站点的Acitve Directory架构。book.com采用单域结构实现公司IT架构管理，公司办公地点分布在北京、上海和烟台，公司之间采用低速专线互联。为了便于三地员工在各自区域内访问活动目录资源，因此需要通过站点对站点内的域控制器合理规划，使域内客户端计算机在现有的带宽条件下能以最有效率的方式访问资源。

地理分布

    Book.com域在北京、上海以及烟台部署多台域控制器，各地的本地局域网都是千兆以太网，北京和上海、烟台之间通过DDN专线连接。

    ·北京和上海之间：2MB DDN专线连接

    ·北京和烟台之间：512KB DDN专线连接

    ·上海和烟台之间：10MB光钎连接

遇到的问题

    如果北京中的一台域控制器更改Acitve Directory信息，怎样才能用最有效率的方法把活动目录更新信息复制到其他所有域控制器中呢？

    最佳方法：

    ·首先，北京发生更改的域控制器先把更改信息复制到同一高速局域网内的域控制器；

    ·然后再利用慢速的广域网链接复制到上海和烟台的一个域控制器上；

    ·最后，上海和烟台的本地局域网再通过发生更改的域控制器复制到其他域控制器中。

    如果所有域控制器都部署在同一个站点中，Acitve Directory更改信息将通过慢速网络链路经过多次复制后才能最终同步。

    用户每天登录到域进行身份验证，显然北京的用户应该登录到北京的域控制器，上海的用户应该登录到上海的域控制器，这样效率才会比较高。如果所有域控制器都部署在一个区域，北京用户每天都到上海域控制器进行身份验证，对慢速网络链路提出较高要求，链路压力和域控制器验证压力都会很高。

    解决以上问题的最佳方法为各地分别部署各自的站点，将域控制器部署到站点中。

站点的作用

    如果没有站点，上海用户登录域时，需要连接到北京域控制器（网络中第一台域控制器所在地）做验证，而上海用户通过比较低速的网络（2MB DDN 专线）连接到北京域控制器，对链路、域控制器造成极大压力。

    微软提供的解决方法：Active Directory站点。站点之间的物理连接速度并不快，站点内的用户需要在Active Directory中验证时连接到站点内的域控制器即可，站点体系架构慢速链接解决Active Directory环境中的物理连接问题。

    站点的作用：优化Active Directory数据库同步复制，解决企业Active Directory架构中的慢速连接问题，使用户能够可靠、高速连接到域控制器验证，并访问发布的资源。

案例任务（略）

站点管理任务

    在单一站点环境中，所有域控制器默认位于名称为“Default-First-Site-Name”的站点中，同时所有域控制器都位于同一个高速网络中，域控制器之间的复制采用没有压缩的数据传递方式。在多站点环境中，站点之间的数据链路通常是低速链路，管理好站点能提高用户登录速度以及数据访问速度。

查看站点

    DS命令组：Dsquery site

    Powershell：Get-ADReplicationSite -Filter*

    Powershell：Get-ADReplicationSite -Filter* |Select Name,DistinguishedName

创建站点后域控制器自动添加到站点

    站点部署成功后，添加新域控制器时根据子网规划自动识别目标站点，将新域控制器添加到目标站点中。

提升用户登录速度

    当客户端需要定位一台域控制器登录时，默认情况随机找一台域控制器登录。如果部署了站点，站点和子网一起绑定，同一个站点中的计算机属于一个高速连接的物理网络，计算机之间相互访问的速度将快于站点之间的访问速度。

    1.无站点用户登录

    如果没有部署任何新站点（默认站点为Default-First-Site-Name），用户从客户端登录域时使用DNS服务器“_tcp”节点下的“_ldap”记录定位域控制器（ldap使用389端口）。

    默认状态下：

    ·没有做过站点设置。

    ·没有做过DNS中SRV记录设置。

    用户在客户端登录域时会随机联系一台域控制器，本例中用户有33%概率选择一台较远的或者性能较差的域控制器登录，因此用户登录域的速度效率将比较低下。

    为什么站点域控制器的ldap的记录会保存在该位置？因为在设置站点时，域控制器被移动到该站点中，在注册DNS资料时自动动态更新，所以客户端在定位域控制器时通过DNS资源记录找到比较靠近自己的域控制器。

    如果域控制器的性能不同，可以通过设置“_ldap”记录的优先级和权重帮助用户选择一台高性能的域控制器登录。当一个站点中有多台域控制器时，客户端会选择优先级较高的域控制器登录。

    优先级和权重的关系如下。

    ·优先级（默认0）：数字越小，优先级越高；如果优先数字相同，则参照权重值；

    ·权重（默认100）：数字越大，优先级越高。

    右击任何一台域控制器的“_ldap”记录，在弹出的快捷菜单中选择“属性”命令，命令执行后，打开“_ldap属性”对话框，该对话框可以设置优先级和权重。

用户指定域控制器登录

    网络中用户数量较多，为了提高用户的登录和验证速度，希望用户在指定域控制器中登录，以分担域控制器的压力。用户在指定域控制器中登录，最佳做法是划分站点，将目标域控制器移到站点中，如果用户和域控制器在一个IP子网中，则会自动到站点的域控制器中验证。