xxx公司活動目錄設(shè)計(jì)方案

XXX活動目錄設(shè)計(jì)方案廣州市黑馬軟件科技有限公司-3-1目錄第1部分. 概述 31.1 方案目的 31.2 現(xiàn)狀描述 31.3 問題分析 3第2部分. 總體需求 42.1集中的組織與管理網(wǎng)絡(luò)內(nèi)的服務(wù)器及客戶端 42.2統(tǒng)一的數(shù)據(jù)組織與資源管理 42.3單一登錄的網(wǎng)絡(luò)環(huán)境 52.4集中化的軟件布署與運(yùn)行限制 52.5功效強(qiáng)大并易于擴(kuò)展的IT基礎(chǔ)架構(gòu) 5第3部分. 設(shè)計(jì)原則和范疇 53.1 活動目錄設(shè)計(jì)原則 63.2 設(shè)計(jì)要點(diǎn)總結(jié) 6第4部分. 活動目錄設(shè)計(jì)內(nèi)容 74.1 服務(wù)器硬件配備 74.2 3.2森林和域構(gòu)造設(shè)計(jì) 74.2.1 3.2.1設(shè)計(jì)要點(diǎn) 74.2.2 森林設(shè)計(jì)闡明 84.2.3 域設(shè)計(jì)闡明 94.3 組織單位（OU）設(shè)計(jì) 104.3.1 設(shè)計(jì)要點(diǎn) 104.3.2 OU設(shè)計(jì)闡明 114.3.3 管理委派闡明 114.4 DC、GC和DNS服務(wù)器設(shè)計(jì) 124.4.1 設(shè)計(jì)要點(diǎn) 124.4.2 放置DC服務(wù)器 124.4.3 放置GC服務(wù)器 134.4.4 放置DNS服務(wù)器 134.5 DHCP和WINS服務(wù)器設(shè)計(jì) 154.5.1 設(shè)計(jì)要點(diǎn) 154.5.2 DHCP服務(wù)器設(shè)計(jì)闡明 154.5.3 WINS服務(wù)器設(shè)計(jì)闡明 16第5部分. 其它設(shè)計(jì)考慮 18第6部分. 部分顧客與案例 19

概述方案目的本解決方案將從XXX的IT環(huán)境現(xiàn)狀出發(fā)，分析現(xiàn)有環(huán)境，提出關(guān)心的核心問題及將來的挑戰(zhàn)，并根據(jù)有關(guān)問題具體敘述對應(yīng)解決方案，協(xié)助XXX改善現(xiàn)有IT環(huán)境，以信息技術(shù)提高公司生產(chǎn)力。現(xiàn)狀描述現(xiàn)在XXX內(nèi)部網(wǎng)絡(luò)環(huán)境多數(shù)仍為松散的管理狀態(tài)，在實(shí)際環(huán)境中無論是工作用桌面計(jì)算機(jī)還是服務(wù)器都是采用工作組模型，各自獨(dú)立。IT環(huán)境中的軟硬件資源都無法實(shí)現(xiàn)充足運(yùn)用。在大規(guī)模網(wǎng)絡(luò)和服務(wù)器投資建設(shè)之前，公司很有必要對現(xiàn)有IT架構(gòu)進(jìn)行優(yōu)化，以適應(yīng)將來IT信息化的發(fā)展，這已經(jīng)成為信息技術(shù)部門與公司管理人員關(guān)心的首要問題。從信息技術(shù)部門人員來說，如何設(shè)計(jì)IT架構(gòu)，將IT環(huán)境的管理由松散方式變?yōu)榧泄芾淼姆绞?，減輕日常管理維護(hù)負(fù)擔(dān)，提高IT生產(chǎn)力。從最后顧客來說，如何能夠?qū)崿F(xiàn)單一的身份驗(yàn)證，快速的訪問公司內(nèi)部的多個資源，較少的宕機(jī)時間也是最大的愿望。問題分析由于歷史和技術(shù)發(fā)展方面的因素，現(xiàn)有XXX內(nèi)部的IT環(huán)境是逐步建立起來的，并且在早期建立時由于沒有整體架構(gòu)的科學(xué)指導(dǎo)，造成現(xiàn)在的松散型IT環(huán)境，客戶端、服務(wù)器各自獨(dú)立，形成一種個信息“孤島”，無法統(tǒng)一管理。在松散型管理的系統(tǒng)網(wǎng)絡(luò)環(huán)境中，一旦某個節(jié)點(diǎn)出現(xiàn)問題需要定位出現(xiàn)問題的位置，并需要繁瑣費(fèi)時的恢復(fù)過程來實(shí)現(xiàn)修復(fù)。生產(chǎn)系統(tǒng)應(yīng)用軟件的大規(guī)模布署需要有關(guān)人員在各個計(jì)算機(jī)上逐個手工安裝，極大耗費(fèi)人力與時間。公司內(nèi)部的多個資源存在于員工的客戶端桌面計(jì)算機(jī)，服務(wù)器，以及其它多個設(shè)備之中，顧客需要獲取有關(guān)資源需要首先擬定資源在哪一臺計(jì)算機(jī)中，并且要針對不同資源提供不同的登錄憑據(jù)（如顧客名/密碼等）來訪問。另外存在數(shù)據(jù)資源重復(fù)現(xiàn)象，造成硬件資源的不合理占用。信息技術(shù)部門制訂的IT管理規(guī)范無法完全被最后顧客執(zhí)行，IT管理規(guī)范的制訂是為了避免信息系統(tǒng)出現(xiàn)如安全問題等不穩(wěn)定狀況，但松散型管理模式的IT環(huán)境中由于信息技術(shù)人員無法監(jiān)控與統(tǒng)一管理公司內(nèi)部的桌面計(jì)算機(jī)與服務(wù)器等，該規(guī)范變?yōu)橐患埧瘴?無法被貫徹實(shí)施?，F(xiàn)階段，部分公司對IT環(huán)境的發(fā)展仍然缺少整體和久遠(yuǎn)考慮，還是按照老思路，簡樸考慮硬件及應(yīng)用軟件的采購與建設(shè)，照此建設(shè)思路走下去，將會使現(xiàn)在的IT環(huán)境更加“臃腫”，更難于管理，最后造成生產(chǎn)力的減少。總體需求隨著以上敘述的問題在公司內(nèi)部IT環(huán)境中越來越突出，XXX存在下列需求：2.1集中的組織與管理網(wǎng)絡(luò)內(nèi)的服務(wù)器及客戶端通過對網(wǎng)絡(luò)內(nèi)的服務(wù)器與客戶端計(jì)算機(jī)進(jìn)行集中式的管理，有助于消除早期“松散型”管理帶來的安全漏洞及其它影響IT系統(tǒng)穩(wěn)健運(yùn)行問題，能夠確保公司制訂的IT管理規(guī)范能夠通過計(jì)算機(jī)的邏輯方式派發(fā)給各個被管理的節(jié)點(diǎn)，并且通過集中管理的模式能夠有效減少客戶端的維護(hù)工作量。2.2統(tǒng)一的數(shù)據(jù)組織與資源管理需要實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)組織，如將來文獻(xiàn)服務(wù)器的公布，共享打印機(jī)的公布等等，并且能夠提供較為簡樸的信息檢索方式，快速查詢并定為所需的多個資源，實(shí)現(xiàn)資源的高效運(yùn)用。另外統(tǒng)一的數(shù)據(jù)組織與資源管理能夠有效減少數(shù)據(jù)冗余與資源浪費(fèi)，減輕IT環(huán)境的維護(hù)難度，提高公司生產(chǎn)力。2.3單一登錄的網(wǎng)絡(luò)環(huán)境公司內(nèi)的普通員工計(jì)算機(jī)應(yīng)用能力有限，如何使員工一次登錄計(jì)算機(jī)后就能夠訪問其有權(quán)限訪問的多個資源是提高生產(chǎn)效率，對于普通員工來說更能感受到應(yīng)用信息技術(shù)能夠帶來更快捷的工作效率，有助于提高信息系統(tǒng)的使用率。2.4集中化的軟件布署與運(yùn)行限制公司但愿在大規(guī)模布署某個應(yīng)用軟件時能夠避免手工逐個安裝的低效率模式，而采用服務(wù)器/客戶端的網(wǎng)絡(luò)分發(fā)模式，并能對軟件的版本更新做到一定控制，并且能夠制訂哪些軟件能夠被安裝在哪些顧客的計(jì)算機(jī)上。通過對軟件的運(yùn)行限制，限制客戶端計(jì)算機(jī)上所運(yùn)行的應(yīng)用軟件，使工作用計(jì)算機(jī)僅能夠運(yùn)行特定應(yīng)用程序，與工作無關(guān)的應(yīng)用程序?qū)粐?yán)禁運(yùn)行，提高系統(tǒng)安全性與最大化公司IT系統(tǒng)效能。2.5功效強(qiáng)大并易于擴(kuò)展的IT基礎(chǔ)架構(gòu)公司但愿現(xiàn)有的IT基礎(chǔ)架構(gòu)能夠提供較強(qiáng)的功效，如安全的身份驗(yàn)證，資源整合，軟硬件集中監(jiān)控、管理等，并且但愿該基礎(chǔ)架構(gòu)支持較多的上層應(yīng)用，含有較強(qiáng)的可擴(kuò)展性，在將來的幾年中能夠在現(xiàn)有底層IT架構(gòu)上實(shí)現(xiàn)更多的價值。實(shí)現(xiàn)IT投資的保值?；谏鲜鰻顩r，結(jié)合國內(nèi)外公司信息化的發(fā)展趨勢和經(jīng)驗(yàn)，同時參考IT技術(shù)的現(xiàn)有能力和發(fā)展走向，建議公司統(tǒng)籌安排、統(tǒng)一規(guī)劃，通過分步實(shí)施、集中建設(shè)的方式，構(gòu)建一種集中、統(tǒng)一、互聯(lián)互通高可管理性的基于活動目錄的公司核心IT基礎(chǔ)架構(gòu)。設(shè)計(jì)原則和范疇公司級活動目錄的規(guī)劃和布署，是公司網(wǎng)絡(luò)基礎(chǔ)構(gòu)造中的重要部分。在規(guī)劃中，應(yīng)建立一套最能反映公司狀況的構(gòu)造?？紤]周全的活動目錄規(guī)劃對實(shí)際布署至關(guān)重要?；顒幽夸浽O(shè)計(jì)原則活動目錄設(shè)計(jì)應(yīng)考慮下列內(nèi)容：目錄的可用性和容錯能力；目錄客戶機(jī)和服務(wù)器的網(wǎng)絡(luò)使用特性；管理目錄內(nèi)容的效率；顧客查看目錄和與目錄互動的方式；考慮公司將來分支機(jī)構(gòu)接入，目錄構(gòu)造隨公司發(fā)展而發(fā)展的能力。設(shè)計(jì)要點(diǎn)總結(jié)基于以上活動目錄的規(guī)劃設(shè)計(jì)原則，本方案涉及的活動目錄設(shè)計(jì)內(nèi)容小結(jié)以下：域控制器硬件規(guī)定使用2GHz的解決器以上，2GB以上內(nèi)存，40GB以上磁盤空間，100M活動目錄森林和域構(gòu)造設(shè)計(jì)建立一種活動目錄森林中；XXX使用根域名DD.COM；；OU設(shè)計(jì)各部門將在域DD.COM中建立單獨(dú)的OU；可為高層領(lǐng)導(dǎo)建立單獨(dú)的OU。各分支機(jī)構(gòu)建立單獨(dú)OU，并使用權(quán)限委派管理資源。站點(diǎn)設(shè)計(jì)廠內(nèi)建立一種單獨(dú)的物理站點(diǎn)。DC、GC和DNS服務(wù)器設(shè)計(jì)在每個活動目錄域中放置兩臺域控制器，同時將每臺域控制器都配備為根域DNS服務(wù)器和GC服務(wù)器。每個DNS服務(wù)器除了配備有本域的區(qū)域名外，還含有一種公共的區(qū)域名：_msdcs.DD.com。DHCP和WINS服務(wù)器設(shè)計(jì)廠內(nèi)配備一臺DHCP服務(wù)器和一臺WINS服務(wù)器。各站點(diǎn)之間的WINS服務(wù)器配備為互為復(fù)制伙伴。其它設(shè)計(jì)考慮涉及采用統(tǒng)一的服務(wù)器命名方式；使用組方略管理客戶端；將活動目錄的五類角色放置在可靠的服務(wù)器硬件平臺上；建立活動目錄備份和恢復(fù)系統(tǒng)；建立補(bǔ)丁程序安裝系統(tǒng)；安裝網(wǎng)絡(luò)防病毒軟件等。活動目錄設(shè)計(jì)內(nèi)容本節(jié)內(nèi)容涉及服務(wù)器硬件配備設(shè)計(jì)和活動目錄的具體內(nèi)容設(shè)計(jì)。服務(wù)器硬件配備考慮到該活動目錄將是南海發(fā)電廠的基礎(chǔ)架構(gòu)，森林中的顧客大概200個。為此建議活動目錄域控制器選用不低于下列硬件配備的PC服務(wù)器：要點(diǎn)具體描述解決器2.0GHz內(nèi)存2GB網(wǎng)卡100MHz本地磁盤40GB操作系統(tǒng)WindowsStandardServer其它彩色顯示卡鼠標(biāo)備份磁帶防病毒軟件備份恢復(fù)軟件等3.2森林和域構(gòu)造設(shè)計(jì)3.2.1設(shè)計(jì)要點(diǎn)根據(jù)XXX的實(shí)際狀況，設(shè)計(jì)時把廠內(nèi)的顧客都運(yùn)行在一種活動目錄森林中。全廠使用的根域名為DD.COM，放置根域管理員賬戶和顧客組。根域中現(xiàn)在沒有任何客戶端和普通顧客?？紤]將來公司的發(fā)展，會有分支機(jī)構(gòu)等異地加入到域中，因此將廠區(qū)和分支機(jī)構(gòu)的活動目錄森林和域構(gòu)造設(shè)計(jì)以下。DDDD.COMxxx.DD.COMXX.DD.COM………森林設(shè)計(jì)闡明活動目錄森林是域的集合，它簡化顧客與目錄的交互過程以及對多域的管理?；顒幽夸浬趾邢铝刑匦裕簡我坏幕顒幽夸浖軜?gòu)（schema）活動目錄架構(gòu)定義了對象類別以及能夠在目錄中創(chuàng)立的對象類別的屬性。活動目錄架構(gòu)作為一種名字空間，可復(fù)制到活動目錄森林中的各個域控制器。活動目錄架構(gòu)管理員負(fù)責(zé)對它進(jìn)行管理。單一的配備容器（configuration）活動目錄配備容器是另外一種名字空間，可復(fù)制到活動目錄森林中的每個域控制器。支持目錄的應(yīng)用程序在配備容器中寄存整個目錄森林的信息。例如，活動目錄將物理網(wǎng)絡(luò)的有關(guān)信息存儲在配備容器中，并用這些信息來指導(dǎo)創(chuàng)立域控制器之間的復(fù)制連接。公司管理員組完全控制配備容器。目錄森林的全部域共享單一并且一致的配備，不需要對域進(jìn)行逐個配備。域間完全信任活動目錄森林的域之間自動創(chuàng)立可傳遞的雙向信任關(guān)系。來自任何域的顧客和組都能被活動目錄森林中的任何計(jì)算機(jī)識別，并涉及在組或訪問控制列表(ACL)中。完全信任使得在Windows中管理多個域更加簡樸。在將一種域添加到活動目錄森林時，此域會自動配備為雙向可傳遞信任。單一的全局編錄（GlobalCatalog，GC）全局編錄包含來自活動目錄森林中每個域的每個對象的一種副本，但只包含每個對象的部分制訂的屬性。全局編錄能使您在整個活動目錄森林內(nèi)進(jìn)行快速、高效的搜索。全局編錄使活動目錄森林中的目錄構(gòu)造對最后顧客透明。將全局編錄用作搜索范疇使得在目錄中查找對象更加簡樸。采用全局編錄和顧客重要名稱使得登錄更加簡樸。全廠使用同一種活動目錄森林。在單一森林的架構(gòu)中，顧客看到的是統(tǒng)一的全局編錄。由于全部的域都通過雙向、可傳遞的信任關(guān)系來連接，當(dāng)新的域添加到森林中時，就不需要建立額外的信任關(guān)系。并且不管域的數(shù)目有多少，配備信息只需要變化一次就能自動復(fù)制到其它的域中。由于活動目錄森林含有共享元素（例如架構(gòu)），因此活動目錄森林中的全部參加者必須同意這些共享元素的內(nèi)容和管理。若各參加單位不能在活動目錄森林的管理上進(jìn)行合作，就必須建立一種以上的活動目錄森林，這涉及：不互相信任管理員參加單位的各管理運(yùn)互相之間缺少信任，使用同一種活動目錄森林將造成管理和安全問題。不同意活動目錄森林的更改方略架構(gòu)更改、配備更改和向活動目錄森林添加域都會影響到整個活動目錄森林。活動目錄森林中的每個單位都必須同意實(shí)現(xiàn)這些更改的過程，同意架構(gòu)管理員和公司管理員組的組員身份。如果單位不同意一種公共方略，它們就不能共享相似的活動目錄森林。但愿限制信任關(guān)系范疇活動目錄森林中的每個域都信任該活動目錄森林中的全部其它域。能夠?qū)⒒顒幽夸浬种械拿總€顧客涉及進(jìn)某個構(gòu)組員關(guān)系中，或使其出現(xiàn)在活動目錄森林中任何計(jì)算機(jī)的訪問控制列表上。如果但愿避免將特定資源的訪問權(quán)限授予特定顧客，則必須讓這些顧客駐留在與資源不同的活動目錄森林中。域設(shè)計(jì)闡明在Window活動目錄森林中，共享目錄數(shù)據(jù)庫的一組計(jì)算機(jī)構(gòu)成了活動目錄的域?；顒幽夸浻蚝形ㄒ坏拿Q，并集中管理顧客帳戶和組。作為Windows網(wǎng)絡(luò)的安全范疇，活動目錄域含有自己的安全方略，并與其它與建立安全聯(lián)系。活動由一種或者多個域構(gòu)成，每個域都可跨越多個物理位置。Windows的域形成的持續(xù)名字空間叫做域樹。創(chuàng)立第一種域控制器時就創(chuàng)立了域樹，即使只有一種域。對DNS而言，域是DNS名字空間中的任何一種分支。即使DNS的域普通都與活動目錄的域相對應(yīng)，但這兩個域是不同的概念。Windows的域控制器（DC）對本域負(fù)責(zé)認(rèn)證顧客登錄、維護(hù)安全方略和本域中的安全賬戶數(shù)據(jù)庫。DC還管理管理顧客對網(wǎng)絡(luò)的訪問，如登錄、認(rèn)證、對共享目錄和資源的訪問等。根據(jù)XXX的實(shí)際狀況，根域名DD.COM將為廠區(qū)所使用；各分支機(jī)構(gòu)將作為子域加入活動目錄森林中。組織單位（OU）設(shè)計(jì)設(shè)計(jì)要點(diǎn)結(jié)合XXX的公司網(wǎng)絡(luò)環(huán)境，可覺得廠內(nèi)不同的部門建立單獨(dú)的OU；在各部門OU內(nèi)，再按照小組劃分子OU。還可為公司高層領(lǐng)導(dǎo)建立一種單獨(dú)的OU。各分支機(jī)構(gòu)使用委派的權(quán)限管理自己OU內(nèi)的顧客賬戶和計(jì)算機(jī)資源。OU設(shè)計(jì)圖以下所示。OU設(shè)計(jì)闡明OU是用來在域中創(chuàng)立構(gòu)造的容器。在域中創(chuàng)立構(gòu)造時，需要考慮以下的OU特性。OU能夠嵌套。一種OU能夠包含子OU，使得能夠在域中創(chuàng)立一種分層的目錄樹構(gòu)造。OU能夠用來委派管理和控制對目錄對象的訪問。當(dāng)綜合使用OU嵌套和訪問控制列表時，能夠用一種非常細(xì)化的方式委派目錄中對象的管理。例如，能夠賦予協(xié)助中心技術(shù)人員權(quán)限，為一組指定的顧客重新設(shè)立密碼，但無權(quán)創(chuàng)立顧客或修改顧客對象的任何其它屬性。OU不是安全主管。不能使OU成為安全組的組員，也不能由于顧客駐留在特定的OU中而授予他們訪問資源的權(quán)限。由于OU用于管理的委派，因此顧客對象的父OU指出誰管理顧客對象，但是它并不指出顧客能夠訪問的資源。組方略能夠與一種OU有關(guān)聯(lián)。組方略能夠定義顧客和計(jì)算機(jī)的桌面配備。能夠?qū)⒔M方略與站點(diǎn)、域和OU有關(guān)聯(lián)。在OU基礎(chǔ)上定義組方略使您能夠在同一域中使用不同方略。顧客不會在OU構(gòu)造中瀏覽。沒有必要設(shè)計(jì)一種吸引最后顧客的OU構(gòu)造。盡管顧客有可能瀏覽一種域的OU構(gòu)造，但對于顧客查找資源來說，這并不是一種最有效的辦法。在目錄中查找資源的最有效的辦法是查詢?nèi)志庝?。普通?yīng)當(dāng)按照管理規(guī)定來設(shè)計(jì)OU。如按照組織機(jī)構(gòu)將整個域劃分為層次構(gòu)造。但需要注意，若OU的層次過多，將會延長顧客登錄時間。管理委派闡明在Windows中，管理委派功效更強(qiáng)并更具靈活性。管理能夠任意委派，其辦法是通過授予一組顧客創(chuàng)立特定類別的對象、或修改特定類別的對象的特定屬性的能力來實(shí)現(xiàn)。Windows公司環(huán)境中委派管理員任務(wù)是實(shí)用和必需的。普通權(quán)限不僅委派給IT構(gòu)組員，還要委派給人力資源人員和不同的經(jīng)理，由于有些任務(wù)與其職責(zé)有關(guān)。例如，能夠授權(quán)人力資源部門在特定的OU中創(chuàng)立顧客對象，而不在其它地方。能夠授權(quán)協(xié)助中心技術(shù)人員重新設(shè)立該OU中的顧客的密碼，但不能創(chuàng)立顧客。能夠授權(quán)其它的目錄管理員修改顧客對象的通訊簿屬性，但不允許創(chuàng)立顧客或重新設(shè)立密碼。在公司中委派特定的權(quán)限能夠?qū)⒈仨氂懈呒壴L問權(quán)限的顧客的數(shù)量降到最少。權(quán)限受到限制的管理員所發(fā)生的事故或錯誤所產(chǎn)生的影響只限于他們負(fù)責(zé)的范疇。通過管理委派，能夠?qū)⒐芾碡?zé)任分散到各部門中的各個組，以節(jié)省將請求發(fā)送到高級管理組的開銷。委派管理通過授予一種組對OU的特定權(quán)限來做到。使用下列環(huán)節(jié)配備OU的授權(quán)管理：為各部門創(chuàng)立一種OU。指派對應(yīng)組的權(quán)限，然該組能夠完全控制它的OU。如果允許該分支機(jī)構(gòu)設(shè)立它的組員身份，將該分支機(jī)構(gòu)的管理員組放置到OU中。如果不允許該分支機(jī)構(gòu)設(shè)立它自己的管理員組員身份，將該組放置在OU之外。DC、GC和DNS服務(wù)器設(shè)計(jì)設(shè)計(jì)要點(diǎn)在活動目錄根域DD.COM中放置兩臺根域控制器（DC），同時將每臺域控制器都配備為根域DNS服務(wù)器和GC服務(wù)器。如果隨著公司信息化發(fā)展，將來能夠在各分支機(jī)構(gòu)中，放置兩臺子域控制器，同時將每臺子域控制器都配備為子域DNS服務(wù)器和GC服務(wù)器。DNS服務(wù)器域名配備表：DNS服務(wù)器位置所包含的域名根域DNS服務(wù)器DD.com_msdcs.DD.com其它子域DNS服務(wù)器各子域自己的域名_msdcs.DD.com放置DC服務(wù)器站點(diǎn)拓?fù)渲蟹?wù)器的位置對活動目錄的可用性有直接的影響。在站點(diǎn)規(guī)劃過程決定了哪些站點(diǎn)中的每個域都有域控制器，但是并不能決定每個站點(diǎn)中的每個域放置的域控制器的數(shù)量。為一種特定域創(chuàng)立的域控制器的數(shù)量取決于兩個因素：容錯規(guī)定和負(fù)載分布規(guī)定。對于每個域，使用下列指導(dǎo)方針決定與否需要更多的域控制器：總是最少創(chuàng)立兩個域控制器即使是顧客數(shù)量較少的小型域，最少也要創(chuàng)立兩個域控制器，這樣域就沒有單個故障點(diǎn)。對于包含單個域控制器的每個站點(diǎn)，決定與否信任WAN的故障轉(zhuǎn)移如果單個域控制器出現(xiàn)故障，能夠由位于其它站點(diǎn)中那個域的域控制器服務(wù)站點(diǎn)中的客戶。如果網(wǎng)絡(luò)連接不太可靠或間歇可用，可能不能信任網(wǎng)絡(luò)解決故障轉(zhuǎn)移。在這種狀況下，在站點(diǎn)中為該域放置第二個域控制器。在站點(diǎn)中為域放置更多的域控制器以解決客戶工作量一種特定的服務(wù)器能夠解決的客戶的數(shù)量取決于工作量和服務(wù)器的硬件配備?？蛻魪恼军c(diǎn)中的可用域控制器中隨機(jī)選擇以均勻地分派客戶負(fù)載。放置GC服務(wù)器全局編錄服務(wù)器的有效性對于目錄的運(yùn)行是很核心的。例如，當(dāng)為本機(jī)模式（NativeMode）域解決顧客登錄請求時或當(dāng)顧客使用顧客重要名稱登錄時，必須有一種全局編錄服務(wù)器可用。當(dāng)為本機(jī)模式域中的顧客解決登錄請求時，域控制器給全局編錄服務(wù)器發(fā)送一種查詢到以判斷顧客的通用構(gòu)組員身份。由于能夠明確回絕組對資源的訪問，所覺得對的執(zhí)行訪問控制，必須完全懂得顧客的構(gòu)組員身份。如果當(dāng)顧客要登錄時，本機(jī)模式域的域控制器不能聯(lián)系到全局編錄服務(wù)器，則域控制器回絕登錄請求。普通，最少在每個站點(diǎn)中指定一種域控制器作為全局編錄服務(wù)器。使用與單獨(dú)的域控制器的相似故障轉(zhuǎn)移和負(fù)載分派規(guī)則決定與否需要在每個站點(diǎn)中增加全局編錄服務(wù)器。在單域環(huán)境中，不規(guī)定全局編錄服務(wù)器解決顧客登錄請求。但是，仍然應(yīng)當(dāng)使用所建議的環(huán)節(jié)指定全局編錄服務(wù)器?？蛻粼谒阉鞑僮鲿r仍然尋找全局編錄服務(wù)器。同時，將全局編錄服務(wù)器準(zhǔn)備就緒使得在后來添加更多的域時，系統(tǒng)更容易適應(yīng)。放置DNS服務(wù)器DNS服務(wù)的可用性直接影響活動目錄的可用性。客戶依賴DNS來查找域控制器，而域控制器依賴DNS來查找其它的域控制器。即使現(xiàn)在已在網(wǎng)絡(luò)中布署了DNS服務(wù)器，可能需要調(diào)節(jié)服務(wù)器的數(shù)量和位置以滿足活動目錄客戶和域控制器的規(guī)定。普通，最少在每個站點(diǎn)中放置一種DNS服務(wù)器。站點(diǎn)中的DNS服務(wù)器應(yīng)當(dāng)負(fù)責(zé)站點(diǎn)中域的定位器統(tǒng)計(jì)，這樣客戶不需要離站查詢的DNS服務(wù)器即可擬定站點(diǎn)中的域控制器的位置。域控制器也將定時驗(yàn)證主服務(wù)器上的每個定位器統(tǒng)計(jì)項(xiàng)目與否對的。一種滿足全部規(guī)定的簡樸配備是使用集成活動目錄的DNS將域的定位器統(tǒng)計(jì)保存在域中，并為那些域控制器出現(xiàn)的每個站點(diǎn)在一種或多個域控制器上運(yùn)行WindowsDNS服務(wù)。分發(fā)活動目錄森林內(nèi)定位器統(tǒng)計(jì)活動目錄森林中的每個域控制器注冊兩組定位器統(tǒng)計(jì)：一組特定域統(tǒng)計(jì)，以<DNS-domain-name>結(jié)束；一組活動目錄森林內(nèi)統(tǒng)計(jì)，以_msdcs.<DNS-forest-name>結(jié)束?；顒幽夸浬謨?nèi)統(tǒng)計(jì)引發(fā)來自活動目錄森林的全部客戶和域控制器的注意。例如，全局編錄定位器統(tǒng)計(jì)和復(fù)制系統(tǒng)用來擬定復(fù)制伙伴位置的統(tǒng)計(jì)都包含在活動目錄森林內(nèi)統(tǒng)計(jì)中。對于要互相復(fù)制的任何兩個域控制器，涉及相似域的兩個域控制器，必須能夠查尋活動目錄森林內(nèi)定位器統(tǒng)計(jì)。為了使一種新創(chuàng)立的域控制器參加復(fù)制，它必須能夠在DNS中注冊它的活動目錄森林內(nèi)統(tǒng)計(jì)，而其它的域控制器必須能夠查尋這些統(tǒng)計(jì)。由于這個因素，使活動目錄森林內(nèi)定位器統(tǒng)計(jì)對于每個站點(diǎn)的每個DNS服務(wù)器可用是很重要的。要做到這一點(diǎn)，創(chuàng)立一種稱為_msdcs.<DNS-forest-name>的單獨(dú)區(qū)域，并將該區(qū)域復(fù)制到每個DNS服務(wù)器。如果使用簡樸的集成活動目錄的配備，能夠?qū)⒒顒幽夸浬指蛑械倪@個區(qū)域的主副本放置在<DNS-forest-name>區(qū)域。然后能夠使用原則DNS復(fù)制將該區(qū)域復(fù)制到域以外的DNS服務(wù)器。普通，僅將該區(qū)域復(fù)制到每個站點(diǎn)的一種DNS服務(wù)器是不夠的。如果一種DNS服務(wù)器沒有_msdcs.<DNS-forest-name>區(qū)域的本地副本，它必須使用DNS遞歸以查尋該區(qū)域中的一種名稱。對于執(zhí)行遞歸的DNS服務(wù)器，它聯(lián)系負(fù)責(zé)名稱空間的根的DNS服務(wù)器（DNS根服務(wù)器）并繼續(xù)DNS中的委派，直到它找到出所需統(tǒng)計(jì)。如果站點(diǎn)中沒有DNS根服務(wù)器，并且該站點(diǎn)和其它站點(diǎn)之間的鏈接已斷開，DNS服務(wù)器不能執(zhí)行遞歸。因此，找不到負(fù)責(zé)_msdcs.<DNS-forest-name>的DNS服務(wù)器，即使這些DNS服務(wù)器在相似的站點(diǎn)。DNS客戶配備客戶和域控制器應(yīng)當(dāng)使用最少兩個DNS服務(wù)器IP地址配備：一種首選本地服務(wù)器和一種備用服務(wù)器。備用服務(wù)器能夠在本地站點(diǎn)，或者如果信任網(wǎng)絡(luò)解決故障轉(zhuǎn)移，也能夠是遠(yuǎn)程的備用服務(wù)器。DHCP和WINS服務(wù)器設(shè)計(jì)設(shè)計(jì)要點(diǎn)除活動目錄森林的根域DD.COM外，在各分支機(jī)構(gòu)對應(yīng)子域XX.DD.COM的每個站點(diǎn)中，各配備一臺DHCP服務(wù)器和一臺WINS服務(wù)器。子域內(nèi)部，各站點(diǎn)之間的WINS服務(wù)器互為復(fù)制伙伴。使用DHCP服務(wù)器為客戶機(jī)自動分派IP地址，涉及DNS服務(wù)器、WINS服務(wù)器和缺省網(wǎng)關(guān)等。使用WINS服務(wù)器為Windows以前的操作系統(tǒng)提供名稱解析，涉及Windows98和WindowsNT4等操作系統(tǒng)。DHCP服務(wù)器設(shè)計(jì)闡明TCP/IP網(wǎng)絡(luò)上的每一計(jì)算機(jī)都需要唯一的名稱和IP地址。Windows動態(tài)主機(jī)控制合同(DHCP)提供一種簡化和自動完畢此過程的方式，向網(wǎng)絡(luò)上的客戶提供IP地址的動態(tài)分派，以減少管理工作量。DHCP實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)IP地址的可靠分派，避免IP沖突，并方便移動客戶端獲取IP地址。與DNS服務(wù)器的互操作性給網(wǎng)絡(luò)資源提供了名稱解析，允許DHCP服務(wù)器和DHCP客戶向DNS注冊。在Windows中，DHCP服務(wù)器和客戶能夠向DNS服務(wù)器動態(tài)更新合同注冊。DHCP和DNS的集成啟動A類型（名稱到地址）和指針（PTR，或地址到名稱統(tǒng)計(jì)）的注冊。這允許DHCP服務(wù)器作為一種代理，代表Windows98和WindowsNT4客戶端在活動目錄內(nèi)動態(tài)更新注冊。由于靜態(tài)DNS服務(wù)器無法與DHCP動態(tài)交互，當(dāng)DHCP客戶配備發(fā)生變化時也無法保持名稱與地址映射信息的同時。在這種環(huán)境中最佳將全部靜態(tài)DNS服務(wù)器升級到Windows的DNS。Windows的DHCP服務(wù)器的管理功效能夠防止未經(jīng)授權(quán)的分派和檢測現(xiàn)存未經(jīng)授權(quán)的DHCP服務(wù)器。過去任何人都能夠在網(wǎng)絡(luò)上創(chuàng)立DHCP服務(wù)器，而現(xiàn)在則需要一種授權(quán)的環(huán)節(jié)。通過授權(quán)的人員普通是Windows操作平臺所屬域的管理員或者是那些被委派管理DHCP服務(wù)器任務(wù)的人員。DHCP服務(wù)器響應(yīng)BOOTP請求和DHCP請求。BOOTP是一種已建立的TCP/IP原則，用于DHCP之前的主機(jī)配備。設(shè)計(jì)BOOTP的最初目的是用來為無盤工作站啟用啟動配備。有了對動態(tài)BOOTP的支持，就可覺得BOOTP客戶指派一種地址池，其指派方式與作用域用于DHCP客戶的方式相似。這將允許動態(tài)管理分派給BOOTP客戶的IP地址。還允許DHCP服務(wù)收回用于動態(tài)BOOTP地址池中的IP地址，但首先應(yīng)核算特定的租期已到期，且BOOTP客戶仍在使用每一種地址。當(dāng)設(shè)計(jì)和升級網(wǎng)絡(luò)時，能夠通過使用集中或分布式的辦法實(shí)現(xiàn)DHCP。在集中式環(huán)境中，IP地址被集中分派到DHCP服務(wù)器，一種DHCP服務(wù)器負(fù)責(zé)分派有關(guān)子網(wǎng)或站點(diǎn)內(nèi)的地址。在分布式環(huán)境中，一種DHCP服務(wù)器能夠負(fù)責(zé)所在站點(diǎn)或其它本地或遠(yuǎn)程的任何涉及在給定的公司構(gòu)造中的站點(diǎn)。WINS服務(wù)器設(shè)計(jì)闡明在Windows活動目錄環(huán)境中，如果顧客只使用Windows以上的服務(wù)器和客戶的話，則在TCP/IP上不必配備WINS和NetBIOS。如果顧客使用如WindowsNT4或Windows98等系統(tǒng)的話，則仍然需要WINS，由于這些操作系統(tǒng)使用NetBIOS名稱解析和NetBIOS會話來創(chuàng)立文獻(xiàn)和打印共享連接。網(wǎng)絡(luò)資源在NetBIOS名稱空間中由唯一NetBIOS名稱標(biāo)記。WINS服務(wù)（WindowsInternetNamingService）是一種把NetBIOS(網(wǎng)絡(luò)基本輸入/輸出系統(tǒng))名稱映射到IP地址的服務(wù)。在比Windows更早的Windows版本中，WINS用來與DHCP一起注冊NetBIOS名稱，并和WINS數(shù)據(jù)庫一起注冊動態(tài)分派的IP地址。當(dāng)DHCP客戶端動態(tài)獲取IP地址時，DHCP服務(wù)器把WINS服務(wù)器地址作為DHCP選項(xiàng)分派給DHCP客戶端。在DCHP客戶租用分派過程結(jié)束后來，NetBIOS名稱和與它關(guān)聯(lián)的IP地址都由DHCP客戶在WINS數(shù)據(jù)庫中注冊了。Windows提供DNS和WINS之間的集成。如果某臺Windows3的DNS服務(wù)器不能解析一種域名全稱(FQDN)，則它把這個FQDN變換成NetBIOS名稱并查詢一臺已經(jīng)配備好的WINS服務(wù)器。WINS服務(wù)器返回的IP地址被轉(zhuǎn)發(fā)給DNS客戶。如果需要NetBIOS名稱解析，則域中的每個站點(diǎn)都需要擁有最少一種WINS服務(wù)器。能夠把這個WINS服務(wù)器安裝在與DNS服務(wù)器相似的系統(tǒng)上，或者獨(dú)立安裝。同時還需要在網(wǎng)絡(luò)中的其它位置安裝一種備份WINS服務(wù)器。能夠把這個備份WINS服務(wù)器安裝在與Windows域控制器相似的系統(tǒng)上，或者獨(dú)立安裝。Windows以上的WINS客戶機(jī)本地緩存解析的名稱并使用名為CachingResolver的組件在將查詢提交到DNS之前搜索緩存?？蛻魴C(jī)開