Windows.Server.2008.R2.Active.Directory.配置指南(二)

在林中新建第二个域树

在林中新建第二个（或更多个）域树的方法：先春节此域树中的第一个域，而创建第一个域的方法是碳哥创建第一台域控制器的方法来实现。

选择适当的DNS架构

若要将cisco.com域加入到h3c.com中的话，就必须在创建域控制器dc5.cisco.com时能够通过DNS服务器来找到林中的域命名操作主机，否则无法创建cisco.com。域命名操作主机默认是由林中第一台域控制器扮演

还有早DNS服务器内必须有一个名称为cisco.com的主要查找区域，以便让域cisco.com的域控制器能够将自己注册到此区域内。域cisco.com和h3c.com可以使用同一台DNS服务器，也可以各种使用不同的DNS服务器。

使用同一台DNS服务器：请在这台DNS服务器内另外创建一个名为cisco.com的主要区域，并启用动态更新给你。此时这台DNS服务器内同时拥有cisco.com和h3c.com两区域，如此cisco.com和h3c.com内的计算机和域控制器都可以通过此台DNS服务器来找到对方

各自使用不同的DNS服务器，并通过区域传送来复制日志：请在这台DNS服务器内创建一个名为cisco.com的主要区域，并启用动态更新功能，你还需要在此台DNS服务器内创建一个名为h3c.com的辅助区域，此区域内的日志需要通过区域传送功能从域h3c.com的DNS服务器复制过来，它让域cisco.com内的计算机和域控制器可以找到h3c.com内的计算机和域控制器。同时你也需要在域h3c.com的DNS服务器内另外创建一个名为cisco.com的辅助区域，此区域内的日志也需要通过区域传送功能从域cisco.com的DNS服务器复制过来，它让域h3c.com内的计算机和域控制器可以找到与cisco.com内的计算机和域控制器。

其他情况：我们前面所搭建的h3c.com域环境是将DNS服务器之间安装到域控制器上，因此其内会自动创建一个DNS区域h3c.com，接下来当你要安装cisco.com的第一台域控制器时，其默认也会在这台服务器上安装DNS服务器，并自动创建一个DNS区域cisco.com，而且还会自动设置转发器来将其他区域的查询请求转发给h3c.com的DNS服务器，因此cisco.com内计算机和域控制器可以通过cisco.com的DNS服务器来同时查询cisco.com和h3c.com区域内的计算机和域控制器。不过你还必须在h3c.com的DNS服务器内自行创建一个cisco.com辅助区域，此区域内的日志需要通过区域传送从cisco.com的DNS服务器复制过来，它让域h3c.com内的计算机和域控制器可以找到域cisco.com内的计算机和域控制器。你也可以在h3c.com的DNS服务器内，通过条件转发器只将cisco.com的查询转发给cisco.com的DNS服务器，如此就可以不需要创建辅助区域cisco.com，也不需要区域传送。注意由于cisco.com的DNS服务器杨江使用转发器石总将cisco.com之外的所有其他区域的查询，转发给h3c.com的DNS服务器。因此h3c.comDNS服务器请使用条件转发器，而不要使用一般的转发器，否则除了cisco.com和h3c.com两个区域之外，其他区域的查询将会在这两台DNS服务器之间循环。

更改域控制器的计算机名称：若因为公司组织更改或为了管理工作更为方便，需要更改域控制器的计算机名的话，此时可以使用Netdom.exe程序，不过请先确认此域的域功能级别已经提升为windows server 2003，你必须至少是隶属于domain admin组内的用户，才有权限更改域控制器的计算机名。也可以通过计算机属性更改计算机名来更改

由于Access Token（访问令牌）是在登录时创建的，因此如果你在用户登录成功之后，才将用户加入到组的话，此时该Access Token内并没有包含这个组的SID，因此用户也不会具备该组所拥有的权限，用户必须注销再重新登录，以便重新创建一个包含这个组的SID的Access Token

信任的种类：总共有6中类型的信任关系，如下图所示，其中前面2中是在你使用Active Directory域服务安装向导创建域时，由系统自动创建的，其他4中必须手动创建

创建信任前的注意事项：

创建信任就是在创建两个不同域之间的通信桥梁，从域管理的角度来看，两个域各需要一个拥有适当权限的用户，在各自域中分别做一些设置，已完成双方域之间信任关系的创建各自。其中信任域一方的系统管理员，需要为此信任关系创建一个传入信任。传出信任和传入信任可视为此一信任关系的两个端点

以下图中A域信任B域的单向信任来说，我们必须在A域创建一个传出信任，相对的也必须在B域创建一个传入信任。也就是说在A域穿件一个传出到B域的信任，同时相对的，在B域穿件一个让A域传入的信任

在你使用新建信任向导来创建图中的单向信任关系时，你可以选择先单独创建A域的传出信任，然后再另外单独创建B域的传入信任；或是选择同时创建A域的传出信任和B域的传入信任；如果是分别单独创建者两个信任的话，则需要在A域的传出信任和B域的传入信任设置相同的信任密码；如果是同时创建这两个信任的话，则在信任过程中并不需要石总信任密码，但你需要在这两个域都拥有适当权限，系统默认是Domain Admins或Enterprise Admins组的成员拥有此权限。

以创建下图的A域信任B域，同时B域也信任A域的双向信任来说，我们必须在A域同时创建传出信任和传入信任，其中的传出信任是用来信任B域，而传入信任是要让B域可以信任A域。相对的也必须在B域创建传入信任和传出信任。在使用新建信任向导来创建图中的双向信任关系时，你可以单独先春节A域的传出信任和传入信任，然后再另外单独创建B域的传入信任和传出信任；或选择同时创建A域和B域的传入信任、传出信任：如果是分别单独创建A域和B域的传出信任、传入信任的话，则需要在A域和B域设置相同的信任密码；如果是同时创建A域和B域的传出信任、传出信任的话，则在信任过程中并不需要设置信任密码，但你需要在这个两个域都拥有适当的权限、系统默认是Domain Admins或Enterprise Admins组的成员拥有此权限。

两个域之间在创建信任关系时，相互之间可以使用DNS名称会NetBIOS名称来指定对方的郁闷：如果是使用DNS郁闷，则喜欢之间需要通过DNS服务器来查询对方的域控制器；如果是使用NetBIOS郁闷，则可以通过广播或WINS服务器来查询，但是广播消息无法跨越到另一个网络，因此若通过广播来查询的话，则两个域的域控制器必须位于同一个网络内。如果是碳哥WINS服务器来查询的话，则两个域的域控制器可以不需要在同一个网络内。

出了使用新建信任向导来创建两个域或林之间的信任外，你也可以使用netdom trust命令来新建、删除或管理信任关系

AD数据库的复制

同一个站点内的域控制器直接的Active Directory复制是才有更改图中的方式，就是当某台域控制器的Active Directory数据库内有一条数据变动时，默认它会等15S后，就通知位于同一站点内的其他域控制器。收到通知的域控制器如果需要这条数据的话，就会发出更新数据的请求给源域控制器，和他源域控制器收到请求后，便会开始复制的程序

复制伙伴：源域控制器并不是直接将变动数据复制给同一个站点内的所有域控制器，而是只复制给它的直接复制伙伴，而那些域控制器是其直接复制伙伴呢？每一台域控制器内有一个被称为Knowledge Consistency Checker（KCC）的程序，它会自动创建最有效率的复制拓扑，也就是决定哪一些域控制器是它的直接复制伙伴，而哪些域控制器是它的转移复制伙伴，换句话说，复制拓扑是复制Active Directory数据的逻辑连接路径

减少复制延迟时间：为了减少复制的延迟时间，也就是从源域控制器内的Active Directory数据有变动开始，到这些数据被复制到所有其他域控制器之间的间隔时间不要太长，因此KCC在创建复制拓扑时，会让数据从源控制器发生到目的域控制器时，其所跳跃的域控制器熟练不超过3台。

为了避免源域控制器负担过重，因此源域控制器斌不是同时通知其所有的之间复制伙伴，而是会间隔3S，也就是先通知第一台之间复制伙伴，间隔3S后再通知第2台，依次类推。

当有新域控制器加入时，KCC会重新创建复制脱，而且仍然会遵循跳跃的域控制器数量不超过3台的策略，例如下图所示添加了一太DC8后，其复制拓扑就好有便会，下图所示就是其肯的复制拓扑只有，图中KCC将域控制器DC8与DC4设置为直接复制伙伴，否则DC8域DC4之间，无聊是通过DC8-DC1-DC2-DC3-DC4

或DC8-DC7-DC6-DC5-DC4的途径，都会违反跳跃的域控制器数量不超过3台的策略。

紧急复制：对某些重要更新数据来说，系统并不会等15S才通知直接复制伙伴，而是立即通知，这个操作被称为紧急复制。这些重要的数据更新包含用户账户被锁定、账户锁定策略有变动等。

不同站点直接的复制：不同站点的域控制器之间的复制拓扑，与同一个站点的域控制器直接的复制拓扑是不同的，每一个站点内的都各有一台被称为站点间拓扑生成器的域控制器，它负责创建站点之间的复制拓扑。并从其站点内挑选一台域控制器来扮演Birdgehead服务器（桥头服务器）的角色。

在同一个站点内的域控制器相互之间的连接对象，都会由KCC复制自动创建与维护，而且是双向的。你也可视需要来手动创建连接对象。手动创建的连接对象是单向的，也就是只有DC3可以直接从DC4来复制活动目录数据库。创建此单向连接对象的途径如下图所示：

你也可以自行选择扮演桥头服务器的域控制器，他们被称为首选的桥头服务器，你可以将多台的域控制器设置为首选的桥头服务器，单身AD DS一次之后从其中挑选一个来复制数据，如果一台故障了，它会再挑选其他的首选桥头服务器。

请不要自寻指定首选的桥头服务器，因为它会让KCC停止自动挑选桥头服务器，因此若你所选择的首选桥头服务器都故障时，KCC并不会再自动挑选桥头服务器，如此将没有桥头服务器都可供使用，若你要将演首选的桥头服务器的域控制器转移到其他的站点的话，请先取消首选的桥头服务器的角色再转移。

站点链接桥是由两个或多个站点链接组成，它让这些站点链接具备转移性，如下图所示是SiteA与SiteB之间已经创建了一个站点链接SiteLinkAB，而SiteB与SiteC之间也创建了一个站点链接SitelinkBC，则站点链接桥SiteLinkBridgeABC让SiteA与SiteC之间具备隐性的站点链接，也就是说KCC在创建复制拓扑时，可以将SiteA的域控制器DC1与SiteC的域控制器DC3设置为直接复制伙伴，让DC1与DC3之间可以通过两个WAN Link的物理线路来直接复制活动目录数据库，不需要由SiteB的域控制器DC2来转发

图中SiteLinkAB的开销为3、SiteLinkBC的开销为4，因此SiteLinkBridgeABC的开销为3+4=7，由于这个开销高于SiteLinkAD的开销3与SiteLinkBC的开销4，因此KCC在创建复制拓扑时默认并不会再DC1与DC3直接创建连接对象，也就是不会将DC1与DC3石总为直接复制伙伴，除非是DC2无法使用

系统默认会自动桥接所有的站点链接

由于系统默认已经自动桥接所有的站点链接，因此你不需要另外自行创建站点链接桥，除非你想要控制活动目录数据复制的方向或两个站点之间受到限制无法直接通信。例如下图的SiteB假设防火墙，并通过防火墙限制SiteA的计算机不允许与SiteC的计算机通信，则图中SiteLinkBridgeABC就没有意义了，因为SiteA将无法直接与SiteC进行活动目录数据复制此时如果SiteA还可以通过另外一个站点SiteD来与SiteC通信的话，我们就没有必要让KCC浪费时间创建SiteLinkBridgeABC，或浪费数据尝试通过SiteLinkBridgeABC来复制活动目录数据库，也就是说你可以先取消下图中为所有站点链接搭桥复选框，然后自行创建SiteLinkBridgeADC来通信

全局编录主要提供以下功能

快速查找对象：由于全局编录内存储着林中所有域的域目录分区对象的步伐属性，用户可以利用这些属性快速地找到位于其他域的对象。举例来说，系统管理员可以通过开始—管理工具—Active Directory管理中心—单击全局搜索—将范围下拉表中选择全局编录搜索的途径来利用全局编录快速地查找对象

全局编录的TCP端口号为3268，因此若用户与全局编录服务器之间被防火墙隔开的话，请给在防火墙开放此端口

提供UPN的验证给你：当用户利用UPN登录时，若负责验证用户身份的域控制器无法从其Active Directory数据库来得知用户是隶属于哪一个域的话，它可以向全局编录服务器询问。例如用户到域hk.cisco.com的计算机上利用其UPN账户登录时，由于hk.cisco.com的域控制器无法得知此cc@cisco.com账户是位于哪一个域内，因此它会想全局编录查询，以便完成验证用户身份的工作

虽然用户账号的UPN后缀默认就是账号所在域的域名，但是后缀可以更改，而且用户账号被转移到其他域时，其UPN并不会改变，也就是说UPB后缀不一定是其域名

提供通用组的成员数据：当用户登录时，系统会为用户创建一个Access Token，其内包含着用户所隶属组的SID，也就是会所用户登录时，系统必须得知该用户隶属于哪一组，不过因为通用组的成员信息只存储在全局编录，因此当用户登录时，负责验证用户身份的域控制器，需向全局编录服务器查询该用户所隶属的通用组，以便创建Access Toke，让用户完成登录的程序

如果用户是隶属于Domain Admins组的成员，则无论全局编录是否在线，他都可以登录

虽然你应该在每一个站点内启用一台全局编录服务器，但是对于一个小型站点来说，因为硬件配备有限、经费短缺、带宽不足等因素的影响，所以假设一台全局编录服务器可能有困难，此时你可以通过通用组成员身份缓存来解决此问题

域控制器默认每隔8个小时更新一次缓存区，也就是每隔8个小时向全局编录服务器索取一次更新的数据，而它是从哪一个站点的全局编录服务器来更新缓存数据呢，这可以从图中最下方的在站点全局编录中刷新缓存来寻找

字数有限，后续资料请看下一篇文章

Windows.Server.2008.R2.Active.Directory.配置指南(三)

转载于:https://blog.51cto.com/370220760/1753456