一、基本概念1、活動目錄名稱的來源。類似字典，要查一個字必須先從字典的目錄著手。而字典目錄是經(jīng)過合理規(guī)劃過的。例如：按偏旁查，按拼音查。若按拼音查，又分a~z。這便是典型的結(jié)構(gòu)化思路。而活動目錄也采用

一、基本概念

1、活動目錄名稱的來源。

類似字典，要查一個字必須先從字典的目錄著手。而字典目錄是經(jīng)過合理規(guī)劃過的。例如：按偏旁查，按拼音查。若按拼音查，又分a~z。這便是典型的結(jié)構(gòu)化思路。而活動目錄也采用了這個思路，將網(wǎng)絡(luò)資源結(jié)構(gòu)化（如：計算機(jī)、用戶、打印機(jī)），以層次結(jié)構(gòu)將它們組織起來，方便檢索。

2、AD 能做什么？

集中、分散資源管理。

既集中又分散看似矛盾，但并不矛盾?！凹小敝傅氖菍⒎植荚诓煌锢淼貐^(qū)的計算機(jī)資源以特定的層次結(jié)構(gòu)規(guī)劃起來。例如，最高管理員為公司劃分開發(fā)部、銷售部等組織單元。開發(fā)部又分為團(tuán)隊1、團(tuán)隊2等組織單元。

“分散”指的是不同的組織單元由各自的管理員負(fù)責(zé)。因為最高管理員不可能事必躬親，組織單元內(nèi)部的細(xì)節(jié)事務(wù)還是由本組織單元的負(fù)責(zé)人處理較為妥當(dāng)。此時，最高管理員就需要為每個組織單元分配各自的管理員。

3、邏輯結(jié)構(gòu)【AD 用戶和計算機(jī)】

涉及概念眾多，包括森林，域樹，域，組織單元（OU ）。它們之間的關(guān)系類似于學(xué)校組成。大一點(diǎn)的學(xué)校一般分為南區(qū)、北區(qū)或者新校區(qū)、老校區(qū)。校區(qū)里面有很多教學(xué)樓，教學(xué)樓由許多層，每一層又有學(xué)生、老師、設(shè)備。其實(shí)這種組成關(guān)系和森林，域樹，域，組織單元（OU ），用戶、計算機(jī)、打印機(jī)的關(guān)系一樣。即森林（學(xué)校）——域樹（南區(qū)、北區(qū)或新校區(qū)、老校區(qū)）——域（教學(xué)樓，一個域可能由多個DC 控制）——OU （教學(xué)樓的每一層）——用戶、計算機(jī)、打印機(jī)（每層的學(xué)生、老師、設(shè)備）。整體結(jié)構(gòu)如下圖所示。

額外注意的知識點(diǎn)：

a 、域由一臺或多臺域服務(wù)器（DC ）控制，它能提供域名字空間，存儲活動目錄數(shù)據(jù)庫。 b 、域樹中有的域之間有的呈現(xiàn)父子關(guān)系。雖然域樹和域樹之間不共享名稱空間。但子域和父域之間共享名稱空間，子域延續(xù)父域，就像兒子跟著父親姓一樣。例如，父域為root.com ，子域為sub.root.com 。此外，子域與父域之間除了信賴關(guān)系外，沒有任何關(guān)系，兩邊的管理是完全獨(dú)立的。例如，父域的管理員不能管理子域，子域的管理員不能管理父域。父域的管理員在子域僅相當(dāng)于一個普通的用戶。

c 、森林內(nèi)的所有域允許相互訪問。森林間的所有域不允許相互訪問。并且建議一個公司只存在一個森林。

4、物理結(jié)構(gòu)【AD 站點(diǎn)和服務(wù)】

要實(shí)現(xiàn)邏輯上的統(tǒng)一，讓共享出來的資源對于每臺域成員計算機(jī)時刻保持最新，就得要求各域中的域服務(wù)器（DC ）每隔一段時間就要相互復(fù)制數(shù)據(jù)以便同步。而為了高效復(fù)制，常把一組高度可靠的物理鏈路劃分為一個站點(diǎn)，方便復(fù)制AD 活動目錄。

站點(diǎn)類似于學(xué)校中的新校區(qū)、老校區(qū)或南區(qū)、北區(qū)。同一站點(diǎn)下的DC 之間相互復(fù)制，不壓縮流量。不同站點(diǎn)下的DC 之間相互復(fù)制，需要壓縮流量。差不多壓縮到原來的15左右。例如，新校區(qū)內(nèi)部的計算機(jī)復(fù)制相對比較通暢，不需要壓縮流量。但新校區(qū)的計算機(jī)與老校區(qū)的計算機(jī)復(fù)制就不比校園內(nèi)部復(fù)制那么暢通了，此時就需要壓縮流量。

復(fù)制原理如下圖所示。例如，新校區(qū)中有四個教學(xué)樓，每個教學(xué)樓有一個DC ，分別是A1、A2、A3、A4。老校區(qū)中有三個教學(xué)樓，每個教學(xué)樓有一個DC ，分別是B1、B2、B3。 新校區(qū)內(nèi)的復(fù)制不需壓縮，老校區(qū)內(nèi)的復(fù)制無需壓縮，新老校區(qū)的復(fù)制需要壓縮。具體的復(fù)制拓?fù)淙缦聢D所示。

這個復(fù)制拓?fù)洳皇侨斯ぎa(chǎn)生的，而是由各個DC 內(nèi)部的KCC 自動執(zhí)行復(fù)制。只要域搭建好后，就自動進(jìn)行。

額外注意的知識點(diǎn)：

a ．域和站點(diǎn)之間本沒有必然的關(guān)系，完全是為了更好地復(fù)制才聯(lián)系在一起。

一個域可以屬于不同的站點(diǎn)。一個站點(diǎn)也可以包含不同的域。

b ．可通過配置計劃的方法控制DC 之間如何復(fù)制。例如，定制什么時間去進(jìn)行一個復(fù)制。對于站點(diǎn)內(nèi)的復(fù)制，采用的是通知機(jī)制。即當(dāng)DC 上的數(shù)據(jù)庫更新時，它會去通知其他計算機(jī)復(fù)制。而站點(diǎn)與站點(diǎn)之間成為寬帶連接，走Internet ，相對速度比局域網(wǎng)會慢很多。如下圖所示。

二、活動目錄邏輯部署方案設(shè)計及實(shí)驗?zāi)繕?biāo)

以一家北京公司的成長為案例，不斷提出問題，不斷解決問題。

1、問題ⅰ的提出與解決

公司目前未部署域，員工都在工作組環(huán)境下工作，此時存在以下三個不足。

a. 資源檢索不方便。例如，兩位員工在不同的辦公室工作。若要共享資源，他們必須事先知道對方具體的IP 地址或計算機(jī)名稱。雖然【網(wǎng)絡(luò)鄰居】能做到這一點(diǎn)，但性能很慢，且檢索結(jié)果雜亂無章。

b. 訪問資源的權(quán)限難以控制。例如，張三只能讀取某個共享文件夾的內(nèi)容。李四既能讀取也能修改某個共享文件夾的內(nèi)容。雖然文件的【共享】和【安全】可以做到這一點(diǎn)，但僅適用于用戶少的情況，人數(shù)一多，這種配置就吃不消了。

c. 只能在本機(jī)登錄，不能在其他計算機(jī)以自己的賬號登錄。例如，一位員工的辦公室在五樓。此時他跑到一樓去幫同事安裝軟件。然而，他忘帶軟件包，又忘記為五樓那臺自己的計算機(jī)設(shè)共享。這時，他不得不再跑一趟五樓，去取軟件包。

為解決該問題，需要在公司內(nèi)找一臺服務(wù)器充當(dāng)域服務(wù)器，部署活動目錄（全新的域），取名root.com 。只要員工的計算機(jī)加入進(jìn)這個域，就能成為域成員，輕而易舉地解決問題ⅰ。

2、問題ⅱ的提出及解決

當(dāng)用過一段時間后，發(fā)現(xiàn)域服務(wù)器不穩(wěn)定，有當(dāng)機(jī)的可能。這樣會導(dǎo)致所有域成員沒辦法訪問網(wǎng)絡(luò)資源。

為解決該問題，需要在root.com 這個域中增加一臺額外的域服務(wù)器，用于備份root.com 這個域的數(shù)據(jù)庫。

3、問題ⅲ的提出

隨著業(yè)務(wù)的發(fā)展，公司在杭州建立了一個子公司。這個子公司和主公司的管理雖然完全獨(dú)立，但在名稱上希望一看就知道是一個集團(tuán)的。

為解決該問題，需要基于root.com 建立一個新子域，名字叫做subdom.root.com 。

4、問題ⅳ的提出

隨著業(yè)務(wù)的發(fā)展，公司現(xiàn)在需要拆分或處理不良資產(chǎn)，在廣州又獨(dú)立出一個新公司。這個新公司本質(zhì)上與主公司同屬一個集團(tuán)，但希望在名字上看不出來，給人以兩個公司的錯覺。

為解決該問題，需要基于root.com 建立一個全新域樹，名字叫做new.com 。

5、實(shí)驗?zāi)繕?biāo)。

以上四種情況其實(shí)就是部署活動目錄的四種基本情況（沒有第五種了），也是主要的實(shí)驗內(nèi)容。

1）安裝新森林。

2）安裝額外DC 。

3）安裝新子域。

4）安裝新域樹。

三、邏輯部署前的準(zhǔn)備

1、當(dāng)前的用戶要有足夠的安裝權(quán)限。安裝新森林、新子域、新域樹需要活動目錄的企業(yè)管理員角色（Enterprise Admins ）。安裝額外DC 需要活動目錄的域管理員角色（Domain Admins ）。這兩種角色都在【Active Directory用戶和計算機(jī)】的【Users 】中。

2、確認(rèn)計算機(jī)名稱唯一。（不建議在建域之前改計算機(jī)名稱）

3、看盤是否NTFS

4、準(zhǔn)備域的NetBIOS 名。在前面Wins 服務(wù)中講過，一個機(jī)器有多少服務(wù)就有多少個NetBIOS 名。域也是一種服務(wù)，所以也需要準(zhǔn)備NetBIOS 名。

5、活動目錄數(shù)據(jù)庫文件的存放路徑（如果放在系統(tǒng)盤中，可能會遇到I/O訪問的瓶頸）

6、活動目錄數(shù)據(jù)庫日志文件的存放路徑

7、Sysvol 共享文件夾的存放路徑（存放組策略的模板、登錄腳本、注銷腳本）

8、活動目錄還原模式的管理員密碼。工作組環(huán)境下的計算機(jī)通過按F8進(jìn)入安全模式。域環(huán)境下的計算機(jī)通過按F8進(jìn)入活動目錄還原模式。

四、邏輯部署活動目錄

準(zhǔn)備：

四個標(biāo)準(zhǔn)版Win2003（每個OS 的超級管理員都為Administrator ，密碼為空）。

4.1、安裝新森林

目標(biāo)：新建root.com 域，并且這個域中只有一個DC ，名字叫做rootdc 。

步驟：

1、做好部署前的準(zhǔn)備工作。

2、將IP 地址設(shè)為192.168.1.1。子網(wǎng)掩碼設(shè)為255.255.255.0。首選DNS 設(shè)為192.168.1.1。

3、在【運(yùn)行】中輸入dcpromo ，進(jìn)入安裝向?qū)?，一直點(diǎn)擊【下一步】，直到【域控制器類型】窗口，選擇【新域的域控制器】，點(diǎn)擊【下一步】。

4、選擇【在新林中的域】，點(diǎn)擊【下一步】。

5、輸入新域的域名root.com 。