活动目录:以您自己的方式设置 Active Directory
您设置您的 Active Directory 地形的方式会对如何更好你可以来组织您的用户和资源的直接影响。
Brien M. Posey
自十年前释放的 Windows 2000 服务器版 — — 以及与它释放的 Active Directory — — 经过时间考验的 Microsoft 目录服务已帮助维持秩序混乱的组织。 大多数组织采取 (尽管当然也有例外) 的一个策略是要坚持使用最简单的 Active Directory 部署,他们可以现实地以逃离。
这应该是不足为奇。 保持事情尽可能简单的原则肯定适用于它的世界。 任何经验丰富的 IT 专业人员知道保持事情简单降低问题的可能性,使故障排除很多更加容易。 那里是绝对正确使用标准的 Active Directory 拓扑。 有 Microsoft 设置为默认的标准拓扑的理由。
但尽管有什么要说为了简单起见,活动目录时,一些组织可能能更具创造性的结构更好。 有一些备用的设计可能会更适合较大需要分别管理责任的组织。
域结构
大多数情况下,真实世界的 Active Directory 部署使用模仿组织的地理结构的域结构。 例如,如果组织中有三个办事处,很可能有三个域。 不是每个组织使用这种类型的设计,但它是最常见类型的活动目录结构。 这里有几个备用域结构可能需要考虑您的组织。
用户域
Active Directory 真的是没有什么比一个数据库。 数据库被充满了各种类型的对象。 每个对象分配一个或多个属性。 组织有时将其域结构基于特定类型的 Active Directory 对象。 其中一个例子就是域用户使用。
用户域是为唯一目的是管理用户帐户设置了 Active Directory 域。 要让你们知道为什么这是有用的请考虑本例中的几个几千个用户的组织和员工流动率很高。 这一组织的员工两人其工作就是要创建,调配和删除用户帐户。
在这种情况中用户域可能有用,因为这种类型的域结构有助于用户帐户维护的任务有完全的管理控制用户的帐户。 它们可能是有限的不过,无法获得任何其他 Active Directory 对象或函数。
您不需要执行这种类型的域结构,特别是隔离的行政责任。 还有其他的方法来完成这种类型的隔离。 尽管如此,用户域结构可以帮助组织保持更好地组织通过使少拥挤的各个域。 它还提供了物理的行政隔离,一些组织可能倾向于而不是逻辑的行政隔离所有各种对象类型驻留在一个公共域中时,可能存在感。
资源域
资源域是类似于用户域的他们是单一用途的性质。 这些用来增强安全性或使活动目录结构,更逻辑或更易于管理。 有实际 Active Directory 部署的所有桌面计算机被分组到一个专用的资源域。 其他组织已经放到专门的资源域运行主要业务线应用程序的所有其服务器。 您可以使用资源域资源以及任何其他类。
您将它们视为管理域时,可能最有用资源域。 例如,可能要创建专用活动目录林设计纯粹作为一个管理域 HYPER-V 服务器。 有几个原因为什么您可能会选择这样做。
第一个原因就是要与管理。 系统中心运营经理 2012年 (和许多其他管理产品) 只可以管理 Active Directory 域的成员服务器。 您不会想要 HYPER-V 服务器加入到主域,因为所有的你主要的域的域控制器的虚拟化。 你不想冒险把您的组织中,您不能登录到 HYPER-V 服务器,因为虚拟 DCs 在脱机情况。 添加专用的活动目录管理森林的 HYPER-V 服务器很好解决了这个问题。
您可以选择为 HYPER-V 服务器创建一个专用的资源域的另一个原因就是要与一些即将在 HYPER-V 3.0 版中的新功能。 超 V 3.0 会复制虚拟机 (VM) 的能力从一台主机服务器到另一个。 这种类型不是复制的故障转移群集解决方案,而宁愿灾难恢复解决方案,使您可以保持您的 Vm 备用主机服务器上的最新副本。 这样,如果一些事情发生在您的磁盘阵列或您的主要 HYPER-V 主机,你将有可能回落对 Vm 的另一个副本。
若要使用此功能,但是,主机服务器和副本服务器必须进行身份验证。 提供这种身份验证的最简单方法是将这两个服务器加入到共同的域和使用 Kerberos。 为此,HYPER-V 服务器创建一个专用的资源域是有道理。 当您考虑其他 HYPER-V 的功能,还需要域成员身份,这是尤其如此。
顺便说一下,资源域和域用户并不相互排斥。 有些组织使用常见的 Active Directory 林中的域用户和资源域的组合。
地理拓扑
虽然这些备用结构确实有效,但在现实世界中的 Active Directory 部署的绝大多数基于地理结构。 在技术上没有什么毛病使用这种类型的 Active Directory 拓扑 — — 但也有几件事情,您应该考虑。
第一,不要混淆与站点结构的域结构。 Active Directory 站点结构应总是模仿组织地理拓扑。 为每个广域网络 (WAN) 链接办事处之间,应该有活动目录内的相应站点链接。 此外,应放在一个共同的 Active Directory 站点内驻留在物理的办公室内的计算机。 理想情况下,应使每个位置使用的专用子网,因为单个子网不能跨越多个 Active Directory 站点。
活动目录站点结构很重要,因为在网站结构将流跨 WAN 链接的 Active Directory 复制通信量的卷上有直接的影响。 例如,假设一个组织设有多个分支机构。 该组织选择了将其活动目录配置为单个域,它并不是错了。 在这种情况,您可能可以在整个组织内任何可写的 DC 上的 Active Directory 进行更新。 当更新不会发生时,它是作出更新可用到其它 Dc DC 的责任。
如果本组织并没有做出相应的站点结构的使用、 常见的更新能通过 WAN 链路通过多次。 例如,如果分支机构中有五个区议会,Active Directory 的更新可能潜在发送通过 WAN 链路五个不同的时间,一次为每个区议会。
当您使用 Active Directory 站点时,每个站点中的一台 DC 充当桥头服务器。 桥头服务器的工作是通过 WAN 接收从 Active Directory 更新和分发到站点内的其它 Dc 这些更新。 这意味着只需要一次,发送到每个分支办公室更新任何 Active Directory 无论多少 DCs 有该分支办公室中。
为每个分支办公室使用一个单独的域的组织呢? 如果每个分支办公室有专用的 Active Directory 林中,您不必担心如何定义 Active Directory 站点。 另一方面,如果每个域成员的共同的森林,您肯定应该以此来保持林级 Active Directory 复制流量在检查中实现适当的 Active Directory 站点结构。
正如您所看到的有很多不同的方法来设置您 Active Directory 域拓扑。 最终,您应选择您自己的组织最有意义的拓扑。 这可能是一个单个域模型或一种基于地理位置接近,用户或甚至资源的多域模型。
.jpg)
Brien M. Posey, MVP,是与成千上万的文章和书籍到其信用数十名兼职技术作者。您可以访问波的网站,网址是 brienposey.com。