在实验的时候,发现这个标题可能有些问题,申明一下,我所讲的企业分支机构虚拟网络,其实就是虚拟基于单域的多站点架构。关于站点,有必要在这里简要的简述一下,所谓站点,在Active Directory中,通常是指一个物理的网络(每一个分支机构都算是一个物理网络),在这个站点中,都有快速稳定的网络连接(相当于某个Office的局域网),并且相互之间都能通信。而本实验中虚拟的则是,分别属于不同地区的三个物理网络(站点)子网通过慢速但较稳定的互联网联接进行通信,各站点子网之间的通信是通过***来实现的。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
在接下来的Blog时间里,我会尽可能模拟分机机构的一些真实需求,并且根据需求增加一些新的服务和应用(尽管真实生产环境中要做一个全面的规划,但在这里,我想这样一步步的方式,会令我们有更多的收获)。另外,也会针对出现的各种问题,针对性的给出解决方法(真要是解决不了的,可能得请教各位技术达人了),用以丰富Blog内容,敬请各位继续关注小二的虚拟实室。
搭建完这样一个分支机构虚拟网络(单域多站点)之后,我们来做一下简单的规划,为了方便管理和委派控制,我们在Active Directory Users and Computers分别建立TaiWan、ShangHai、HongKong这三个OU,并且在这三个OU下又再建立Computers和Users这两个OU,用来分别存放各分支机构的计算机账号和域用户账号。如下图所示:
OK,现在我们来转移一个话题,说话,在我们共同的努力之下,一个基于Windows Server 2003单域结构的分支机构活动目录的雏形已经初步呈现在各位面前,考虑到我的PC性能,暂时再多增加两个Windows XP虚拟机,具体设置如下:
Computer Name:SHPC01
(请将该PC加入到contoso.com)
IP:192.168.2.20/24 Gateway:192.168.2.11 DNS:192.168.2.10 192.168.0.10
Computer Name:HKPC01
(请将该PC加入到contoso.com)
IP:192.168.1.10/24 Gatewau:192.168.1.11 DNS:192.168.1.10 192.168.0.10
(啰嗦几句,建议IP地址池范围做一个分类规划,比如说,服务器的IP地址池,网络设备的IP地址池、客户端的IP地址池,网络外设的IP地址池等等。)
增加之后,现有的架构图如下:
虚拟机的数量则增加为5个。
单域多站点的问题比较多,需要我们随着实验的进一步深入,会发现更多的问题,对以后做多站点的规划有很大的益处。今天我们来看看各分支机构(各站点)域用户在登录时遇到的问题。
在真实的企业环境当中,每个分支机构的DC的时间可能是不一样的,我们知道,客户端的时间是与DC的时间同步的,所以,很快,你会发现一些问题,而这些问题衍生出来的,就是今天的话题。
这些问题可能有以下症状:
1、
域用户反映登录时间过长
2、
某些组策略无法应用。
3、
某个分支机构里的客户端时间有偏差
……
产生这些问题的原因,是因为,客户端在进行验证时使用了远端的DC进行验证,假如每个分支机构的DC时间不一样,就可能会产生如3所述的问题,并且如果你的***链接带宽不足,过于繁忙的话,就会产生如1和2所述的问题。现在我们一起来解决这些问题。
当这些问题发生的时候,我们可以在客户端使用set logonserver命令来查看该客户端是使用了哪一台进行身份验证的。看到了没?在下面的两幅图片当中,我们发现位于HK-Office的在HKPC01上登录的域用户,居然使用的是TW2K3DC01进行验证的,而位于SH-Office在SHPC01上登录的域用户,使用的却是HK2K3DC01来验证的。这样的问题给原本就带宽不足的***链路带来了更多的无用流量(除此之外,还有组策略更新等等),这些流量视你分支机构的大小,占用着不同的***带宽。为什么会产生这样的问题呢?
我们知道,DNS是通过轮询来实现负载均衡的,当A用户登录域时,DNS从当前的SRV记录当中找出一台DC进行验证,而当B用户登录域时,DNS又给出另外一台DC进行证,所以才会出现这样的问题。
活动目录站点的划分,可以让客户端就近登录,也就是,如果用户是在HK-Office,那么就使用hk2k3dc01进行验证登录,如果用户是SH-Office,那么就使用sh2k3dc01进行验证登录。
如何实现?下次实验中,我们再聊吧。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
