Active Directory的站点(上)
现在我来介绍一下Active Directory(AD)的站点。
在这里我们先说一下:“站点”和“域”之间是没有可比性的;就是说可能再一个站点中有x各域,也可能就是一个域中有x各站点;所以说没有比较的必要。(x是某个数值)
在介绍站点之前我们先看看站点的重要性;我们知道域是共享用户账号,计算机账号及安全策略的一组计算机,这个说法只是基于逻辑因素考虑的,只要用户和计算机在同一个AD内,就认为他们都在域的安全范围之内。那么从域的角度来看我们并没有考虑到网络速度等物理的因素,这样的想法在现实中是不可取的;这样我们通过一个例子来看看,如下图所示,一个域的域控制器分布在北京,广州两处,北京有:域控制器001、域控制器002、域控制器003三台域控制器,广州有:域控制器004、域控制器005、域控制器006三台域控制器。北京和广州的本地局域网都是千兆以太网,北京和广州之间是一条128K的慢速链路。
这样问题就来了现在我们要这么考虑了,如果域控制器001更改了AD,如何才能用最有效率的方法把这个AD的变化复制到其他五个域控制器上?显然就是让域控制器001先把更改复制到同一个局域网内的002和003,然后再通过相对局域网来说很慢很慢的广域网链接128k慢速电路复制到广州的一个域控制器上,假设复制到004,最后再由004复制到005和006上。域控制器如果使用我们想象的这种复制拓扑,那当然好最好不过了,这种复制拓扑中数据只经过一次慢速链路传递。但问题就是域如果不考虑网络速度的因素,它不一定就做出我们理想的这种复制拓扑,要是万一它使用的是:先从域控制器001到域控制器004,再从域控制器004到域控制器002,然后域控制器002到域控制器005,再域控制器005到域控制器003,最后从域控制器003到域控制器006,用这样极端的复制拓扑;那我们就要over了。这样的话六个域控制器之间的AD复制要沿着两地之间的慢速链路走五次,这样要比第一种慢上五倍呀,这是我们无法接受!从这个例子中我们就不难看出速度因素的重要性了;我们还可以想到的就是,用户每天登录到域中来进行身份验证;我们不说也知道,北京用户应该登录到北京的域控制器上进行身份验证,广州的用户登录到广州的域控制器上进行身份验证,这样效率才是最高的;但是问题又出现了呀,那就是用户每次要是登录时北京的用户上广州的域控制器上进行身份验证,而广州的用户上北京的域控制器上进行身份验证,要是这样我们可就又要面临速度的问题了。
说到这里了,我们也就都知道在实际的工作当中我们是不能把速度因素来忽略掉的,要必须考虑到计算机之间的连接速度。
这样我们今天要介绍的站点就出来了,站点就是高速相连的一组计算机!从站点的定义来看我们就知道了站点是一个可以解决速度的东东。有了站点的管理,处理前面我们说到的那两个例子就很easy了;这样吧我先说一下我们在来一起实践。
我们通过上图来看,北京与广州之间是有一条慢速的链路连接,那么我们就把北京的计算机放到一个站点内,把广州的计算机放到一个站点内;是这样的在同一站点内用户登录时会优先考虑本地站点内的域控制器来进行登录,同时在规划复制拓扑时也会自动考虑在本地内的域控制器之间进行Active Directory复制;还有要是Active Directory需要跨站点的复制,那样Active Directory的内容可以经过压缩后在进行复制,很显然微软设计站点时就是考虑到了对宽带的充分利用。
首先介绍一下有五台虚拟机分别是:Florence、Firenze、Berlin、Denver、Perth;实验拓扑如下图,zihe.com域中有五个域控制器,分别是Florence、Firenze、Berlin、Denver和Perth。其中Florence和Firenze在北京,隶属于192.168.11网段;Berlin和Denver在上海,隶属于192.168.12网段;Perth在广州,隶属于192.168.13网段。由于北京、上海与广州之间使用的是慢速链路,因此我们使用站点对域内的计算机进行规划,以便让域内的计算机有效率的连接来进行沟通。
现在我们就来搭建一下站点:把北京、上海和广州的域控制器分为三个站点。
一、 创建站点
二、 规划站点的子网
三、 定位服务器
四、 配置站点链接器
在这里我先要说一下,因为我们用的是虚拟机,所以现在我们要添加几块回路网卡来连接网关,我们就把物理机看作网关(如果虚拟机是windows 2003的系统是跑在XP或Win7操作系统下的,不好意思,就请找台虚拟机做网关了,在这台虚拟机配置上在物理机添加上的三块回路网卡!因为偶用的是03操作系统,所以在这里就不做解释了,要是有问题的话,可以问偶的!)
我们先在物理机上加上三块回路网卡,对应的是三个子网;这样物理机就是一个路由器;在实际应用当中电信部门负责来当网关的。好的,我么一起来加网卡吧;如图所示:在“控制面板”中点击“添加硬件”,就会到添加硬件向导的界面,点击“下一步”。
然后,就是问我们是否已将这个硬件跟计算机连接,我们选择“是,硬件以连接好”
我们添加的是一块回路网卡,所以是要添加列表中没有显示的硬件,单击“添加新的硬件设备”
这个向导是帮助我们安装其它硬件的,不能选择“搜索并自动安装硬件”我们有没有真的硬件设备;所以,我们要选择的是“安装我手动从列表选择的硬件”,单击“下一步”
我们再列表中选择“网络适配器”,单击“下一步”
这里就是关键的了,让我们选择网卡;我们选择“Microsoft”微软公司提供的回路网卡“Microsoft Loopback Adapter”;一定不要选错了呀!单击“下一步”
再单击“下一步”,显示“正在安装支持软件”;就进入安装了。
等待一会就配置好了,会告诉我们完成了添加硬件向导;会有提示安装的是什么硬件,再看看是不是我们需要的“Microsoft Loopback Adapter”。
要是没有错我们就安装成功了,下面我们看看安装的回路网卡,右键“网上邻居”属性中会多出一块网卡;我们“重命名”便于分辨第一块回路网卡我们就叫“loopback1”,添加的回路网卡,我们要配置上IP和子网掩码,“loopback1”也就是北京站点使用的为192.168.11.1—255.255.255.0;配置好了启动起来。如下图所示:
如法炮制我们再来添加上第二块、第三块回路网卡:“loopback2”:192.168.12.1—255.255.255.0和“loopback3”:192.168.13.1—255.255.255.0;配置好了就启动起来。
配置好了网卡,还没有结束,我们在物理机上搭建出路由打开在“开始”菜单“程序”的“管理工具”的“路由和远程访问”,双击打开,在本地计算机我的是:“ZHANGHE”,看后面有个(本地)就是了;在右键就会出现“配置并启用路由和远程访问”;如下图所示:
注意了现在要是来配置一般会报错的,首先就是要把Windows Firewall/Internet Connection Sharing (ICS)服务停止并禁用掉,因为“配置并启用路由和远程访问”就是要连接到其它网络并允许来自远程客户端的连接,我们也知道ICS服务就是为家庭或小型办公网络提供网络地址转换,定址以及名称解析和/或防止入侵的服务;所以要禁用不然就如图所示了:
我们还是老老实实的打开服务把ICS服务停止并禁用了,如图所示右键“属性”,“停止”服务然后还要在启动类型中选择“禁用”,最后选择“确定”:
禁用了服务我们再配置就畅通无阻了;在单击“配置路由和远程访问”我们就可以进入安装界面了,单击“下一步”
我们看到配置了,要选择“自定义配置”;单击“下一步”
在自定义配置当中我们选择“LAN路由”,单击“下一步”
现在我们就成功完成了安装向导,它会提示我们是否开启服务,我们选择“是”
开启服务后,我们就会看到“ZHANGHE(本地)”前面的原本向下的红箭头,变成环保的绿色积极向上的箭头;这样我们的路由就完成了,接下来才是真正的开始:
我们来的部署站点了,下面我介绍一下我们来配置搭建站点的环境,如图所示:
在这章我们先布置好环境,下一章里我们就开始真正的部署站点了;谢谢支持!!!
