對(duì)于一些規(guī)模較大的公司，存在多個(gè)分支機(jī)構(gòu)，每一個(gè)分支機(jī)構(gòu)都會(huì)組建自己的局域網(wǎng)。為了便于管理，可以將其規(guī)劃為不同的站點(diǎn)。通過規(guī)劃站點(diǎn)，可以讓分布在不同位置上的局域網(wǎng)有機(jī)連接在一起。對(duì)于擁有多臺(tái)DC的域環(huán)境來說，通過復(fù)制AD DS數(shù)據(jù)庫，可以有效提高其可用性，便于用戶快速安全地登錄域環(huán)境。

創(chuàng)建站點(diǎn)

對(duì)于站點(diǎn)，不僅需要使用實(shí)際的網(wǎng)絡(luò)鏈路將其連接起來，還需要?jiǎng)?chuàng)建邏輯的站點(diǎn)鏈接，才可以在不同的站點(diǎn)之間執(zhí)行AD DS數(shù)據(jù)庫的復(fù)制操作。 在Active Directory站點(diǎn)和服務(wù)窗口左側(cè)的“Sites”節(jié)點(diǎn)下，會(huì)顯示名為“DEFAULTTIPSITELINK”的站點(diǎn)鏈接。在默認(rèn)情況下，是不存在站點(diǎn)信息的。創(chuàng)建新站點(diǎn)的方法是，選擇“Sites”節(jié)點(diǎn)，在右鍵菜單上點(diǎn)擊“新站點(diǎn)”項(xiàng)，在彈出窗口（如圖1）中的“名稱”欄中輸入該站點(diǎn)名稱（例如“站點(diǎn) 1”），在站點(diǎn)列表對(duì)象列表中選擇“DEFAULTTIPSITELINK” 項(xiàng)，點(diǎn)擊“確定”按鈕，將其歸入默認(rèn)的站點(diǎn)鏈接。

圖1 創(chuàng)建站點(diǎn)窗口

注意，只有從屬于同一個(gè)站點(diǎn)鏈接的站點(diǎn)之間，才可以進(jìn)行AD DS數(shù)據(jù)庫的復(fù)制操作。

按照同樣的方法，創(chuàng)建名 為“Site2”的站點(diǎn)。這樣，這兩個(gè)站點(diǎn)就已經(jīng)通過DEFAULTTIPSITELINK站點(diǎn)鏈接從邏輯上連接在一起了。

創(chuàng)建IP子網(wǎng)

站點(diǎn)是由一個(gè)或者多個(gè)IP子網(wǎng)組成，因此，必須將對(duì)應(yīng)的子網(wǎng)與對(duì)應(yīng)的站點(diǎn)進(jìn)行綁定。選擇“Sites→ Subnets” 項(xiàng)，在右鍵菜單上點(diǎn)擊“新建子網(wǎng)”項(xiàng)，在彈出窗口（如圖2）中的“前綴”欄中輸入具體的子網(wǎng)信息，例如“192.168.1.0/24”等。 在“為此前綴選擇站點(diǎn)對(duì)象”列表中選擇具體的站點(diǎn)（例如“Site1”），點(diǎn)擊“確定”按鈕，將該子網(wǎng)劃入到Site1站點(diǎn)中。按照同樣的方法，建立子網(wǎng)“172.16.0.1/24”，并將其劃入到Site1站點(diǎn)中。

對(duì)于規(guī)模較大的站點(diǎn)來說，可能包含多個(gè)子網(wǎng)。 例如，Site1中包含了“192.168.1.0/24”、“192.168.2.0/24”等網(wǎng)段，同樣需要按照上述將這些網(wǎng)段規(guī)劃到Site1站點(diǎn)中。這樣，這些網(wǎng)段中的主機(jī)都隸屬于Site1站點(diǎn)。

創(chuàng)建站點(diǎn)鏈接

我們可以根據(jù)需要，建立多個(gè)網(wǎng)站，并為其規(guī)劃對(duì)應(yīng)的子網(wǎng)。除了使用默認(rèn)的站點(diǎn)鏈接外，還可以創(chuàng)建新的站點(diǎn)鏈接。在Active Directory站點(diǎn)和服務(wù)窗口左側(cè)選擇“Sites→Inter-Site Transports→IP”項(xiàng)，在右鍵菜單上點(diǎn)擊“新站點(diǎn)鏈接”項(xiàng)，在新建對(duì)象窗口（如圖3）中的“名稱”欄中輸入名稱（例如“NewLink”），在“不 再 此站點(diǎn)鏈接中的站點(diǎn)”列表中選擇合適的站點(diǎn)名稱（例如“Site1”和“Site2”等），點(diǎn)擊“添加”按鈕，將其添加到“在此站點(diǎn)鏈接中的站點(diǎn)”列表中。這樣，Site1和Site2站點(diǎn)就可以通過“NewLink”鏈接。按照預(yù)設(shè)的參數(shù)進(jìn)行AD DS數(shù)據(jù)庫的復(fù)制操作。

將域控規(guī)劃到不同的站點(diǎn)

圖2 創(chuàng)建子網(wǎng)界面

圖3 新家站點(diǎn)鏈接窗口

在默認(rèn)情況下，所有的域控信息全部存儲(chǔ)在名為“Default-First-Site-Name”的站點(diǎn)中，在合理規(guī)劃所需的站點(diǎn)后，就需要將其分別移動(dòng)到對(duì)應(yīng)的站點(diǎn)中。例如，DC1、DC2、DC3、DC4等域控的地址位于“192.168.1.0/24”范圍，DC5、DC6、DC7、DC8等域控的位于“172.16.1.0/24”網(wǎng)段。因此，需要將其分別移動(dòng)到Site1和Site2網(wǎng)段中。選擇“Sites→Defaule-First-Site-Name→Server”項(xiàng)，在其中選擇某個(gè)域控（例如DC1），在右鍵菜單上點(diǎn)擊“移動(dòng)”項(xiàng)，在移動(dòng)服務(wù)器窗口中選擇“Site1”站點(diǎn)，點(diǎn)擊“確定”按鈕，即可將其移動(dòng)到Site1站點(diǎn)中。按照同樣的方法，可以將上述域控分別移動(dòng)到Site1或者Site2站點(diǎn)中。

注意，當(dāng)在Site1或者Site2站點(diǎn)中安裝新的域控后，該域控的計(jì)算機(jī)賬戶名稱會(huì)按照網(wǎng)絡(luò)ID信息自動(dòng)存儲(chǔ)到對(duì)應(yīng)的站點(diǎn)中。

設(shè)置站點(diǎn)鏈接屬性

選 擇“Site→ Inter-Site Transports→IP”項(xiàng)，在右側(cè)選擇目標(biāo)站點(diǎn)連接項(xiàng)目（例如“NewLink”），在屬性窗口（如圖4）中，“常規(guī)”面板中的“在此站點(diǎn)鏈接中的站點(diǎn)”列表中顯示隸屬于該鏈接中的所有站點(diǎn)，點(diǎn)擊“刪除”，可將選中的站點(diǎn)清除。兩個(gè)站點(diǎn)可以使用單個(gè)物理鏈路相連，也可以通過多條物理鏈路相連。對(duì)于后者，就存在多個(gè)邏輯上的站點(diǎn)鏈接。在“開銷”欄中用來設(shè)置不同站點(diǎn)鏈接之間進(jìn)行比較的相對(duì)值，具體的開銷計(jì)算涉及不同物理鏈路的帶寬、費(fèi)用、穩(wěn)定性等參數(shù)。例如，對(duì)于帶寬較大的鏈路開銷值，設(shè)置為較低的數(shù)值，將帶寬較小的鏈路的開銷值設(shè)置為較大等。

在KCC創(chuàng)建站點(diǎn)件的復(fù)制拓?fù)浣Y(jié)構(gòu)時(shí)，會(huì)優(yōu)先選擇開銷值較小的域控作為直接復(fù)制伙伴。在“復(fù)制頻率”欄中設(shè)置不同站點(diǎn)之間復(fù)制AD DS數(shù)據(jù)庫時(shí)間隔的事件，默認(rèn)為180分鐘。該參數(shù)實(shí)際上受到計(jì)劃周期的限制。點(diǎn)擊“更改計(jì)劃”按鈕，在彈出窗口（如圖5）中可以手工選擇哪些時(shí)間段允許復(fù)制，哪些時(shí)間段禁止復(fù)制，橫坐標(biāo)為小時(shí)數(shù)，縱坐標(biāo)為星期數(shù)。在默認(rèn)情況下，在7×24小時(shí)內(nèi)均可以執(zhí)行復(fù)制動(dòng)作。

橋頭服務(wù)器的功能

在每個(gè)站點(diǎn)中都存在功能為站點(diǎn)間拓?fù)渖善鞯挠蚩?，?fù)責(zé)站點(diǎn)之間復(fù)制拓?fù)浣Y(jié)構(gòu)的創(chuàng)建和維護(hù)，該域控可以挑選合適的域控作為橋頭服務(wù)器，這樣，不同站點(diǎn)中的橋頭服務(wù)器可以將本站點(diǎn)中的AD DS數(shù)據(jù)庫變動(dòng)信息復(fù)制給對(duì)應(yīng)的站點(diǎn)，之后經(jīng)由各自站點(diǎn)的橋頭服務(wù)器將這些信息復(fù)制給本域中的其他域控。

圖4 站點(diǎn)鏈接屬性窗口

圖5 設(shè)置復(fù)制計(jì)劃信息

我們可以手工設(shè)置橋頭服務(wù)器，例如，選擇“Sites→ Site1→ Server→DC2”項(xiàng)，在屬性窗口中“常規(guī)”面板中的“可用于站點(diǎn)間數(shù)據(jù)傳送的傳輸”列表中選擇“IP”，點(diǎn)擊“添加”將其添加到“此服務(wù)器是下列傳輸?shù)氖走x橋頭服務(wù)器”列表中，即可將DC2設(shè)置為橋頭服務(wù)器。

按照同樣的方法，可以將DC3也設(shè)置為橋頭服務(wù)器，這樣，在Site1站點(diǎn)中就存在多臺(tái)橋頭服務(wù)器。當(dāng)其中某臺(tái)服務(wù)器初選故障，別的橋頭服務(wù)器可以接替工作。

這樣的手工設(shè)定也存在問題，會(huì)導(dǎo)致KCC放棄自動(dòng)挑選橋頭服務(wù)器的能力。如果指定的所有橋頭服務(wù)器均出現(xiàn)故障，就會(huì)出現(xiàn)無法在站點(diǎn)間復(fù)制AD DS數(shù)據(jù)庫的窘境。

管理和配置站點(diǎn)鏈接橋

對(duì)于復(fù)雜的站點(diǎn)結(jié)構(gòu)來說，可能存在兩個(gè)以上的站點(diǎn)。多個(gè)站點(diǎn)可以組成站點(diǎn)鏈接橋，可以讓站點(diǎn)鏈接擁有可轉(zhuǎn)移的特性。例如，存在Site1，Site2和Site3等站點(diǎn)。對(duì)于Site1和Site2來說，可以通過站點(diǎn)鏈接Newlink12進(jìn)行通訊。對(duì)于Site1和Site3來說，可以通過站點(diǎn)鏈接Newlink13進(jìn)行通訊，那么對(duì)于Site2和Site3來說，其實(shí)無需建立占用的物理鏈路，通過站點(diǎn)鏈接橋，就可以在兩者建立隱性的站點(diǎn)鏈接。

當(dāng)KCC創(chuàng)建站點(diǎn)間的復(fù)制拓?fù)浣Y(jié)構(gòu)時(shí)，可以將通過Newlink12和Newlink13兩個(gè)物理鏈路，將Site2站點(diǎn)中的某個(gè)域控（例如DC5）和Site3站點(diǎn)中的某個(gè)域控（例如DC9）設(shè)置為直接復(fù)制伙伴，可以讓Site2和Site3之間復(fù)制AD DS數(shù)據(jù)庫的變動(dòng)信息。

在Active Directory站點(diǎn)和服務(wù)窗口中選擇“Sites→ Inter-Site Transports→IP”項(xiàng)，在屬性窗口（如圖6）的“常規(guī)”面板中，可以看到“為所有站點(diǎn)鏈接搭橋”項(xiàng)默認(rèn)處于選擇狀態(tài)，這說明系統(tǒng)默認(rèn)會(huì)自動(dòng)橋接所有的站點(diǎn)。那么，在Site2和Site3之間是如何復(fù)制AD DS數(shù)據(jù)呢？

例 如，Site1中 的DC1負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)，同時(shí)，DC1、Site2中的DC5以及Site3中的DC9屬于同一個(gè)域，那 么，KCC默 認(rèn) 將DC5和DC9設(shè)置為直接復(fù)制伙伴，只能通過Site1中的DC1進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā)。例如，Site1和Site2之間站點(diǎn)鏈接Newlink12的復(fù)制計(jì)劃為上午3點(diǎn)到6點(diǎn)，Site1和Site3之間站點(diǎn)鏈接Newlink13的站點(diǎn)鏈接NewLink13的復(fù)制計(jì)劃為上午5點(diǎn)到9點(diǎn)。這樣，DC5中的AD DS數(shù)據(jù)庫發(fā)生變動(dòng)后，就會(huì)按照前者的時(shí)間范圍將數(shù)據(jù)復(fù)制給DC1，DC1會(huì)按照后者的時(shí)間范圍，將數(shù)據(jù)復(fù)制給DC9。

圖7 從介質(zhì)導(dǎo)入AD DS數(shù)據(jù)庫

利用介質(zhì)快速傳輸AD DS數(shù)據(jù)庫

如果在傳輸AD DS數(shù)據(jù)庫文件時(shí)，因?yàn)樯倭繑?shù)據(jù)包的傳送失敗，就會(huì)造成必須從頭開始傳輸AD DS數(shù)據(jù)庫的情況。例如，Site1站點(diǎn)中的DC1中AD DS數(shù)據(jù)庫第一次傳送完整傳送給Site2站點(diǎn)中的域控，可以采取變通的方法加以解決，例如，將DC1上的活動(dòng)目錄數(shù)據(jù)庫加密壓縮后，通過FTP傳送給Site站點(diǎn)，可以大大加快數(shù)據(jù)傳輸?shù)男?。方法是，在DC1上以管理員身份登錄。在CMD窗口中執(zhí)行“ntdsutil”命令，在提示符下執(zhí)行“Activate Instance ntds”命令，激活A(yù)D Ds數(shù)據(jù)庫，將活動(dòng)實(shí)例設(shè)置為“ntds”。執(zhí)行“ifm”命令，在“ifm：”提示符下執(zhí)行“Create Full e：adds”命令，在“e：adds”目錄下創(chuàng)建AD DS數(shù)據(jù)庫快照。

完畢后打開“e：adds”目錄，在“Active Directory”和“registry”目錄中得到備份的AD DS數(shù)據(jù)庫信息。將“e：adds”目錄加密壓縮備份，之后通過FTP等方法傳送給Site2站點(diǎn)。Site2站點(diǎn)中的管理員在Active Directory域服務(wù)配置向?qū)Ы缑妫ㄈ鐖D7）中選擇“將域控制器添加到現(xiàn)有域”項(xiàng)，輸入域的名稱，并設(shè)置具有域管理員權(quán)限的賬戶信息。在“下一步”窗口中設(shè)置還原模式密碼，點(diǎn)擊“下一步”按鈕，選擇“從介質(zhì)安裝”項(xiàng)，點(diǎn)擊“瀏覽”按鈕，選擇上述AD DS快照文件存儲(chǔ)路徑。點(diǎn)擊驗(yàn)證按鈕，當(dāng)驗(yàn)證通過后，依次點(diǎn)擊“下一步”按鈕和安裝按鈕，就可以利用上述AD DS數(shù)據(jù)庫快照，創(chuàng)建本機(jī)的AD DS數(shù)據(jù)庫。