中型企業ActiveDirectory设计部署系列.docVIP

中型企业Active Directory 设计部署系列公司概况公司简单介绍：OS公司是一家电子制作型企业，通过公司的运营和管理，发展迅速，现以拥有三家分公司，员工人数已经有10000人左右。为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业的网络。公司计划部署一个以AD为基础架构的信息系统用于完成企业的资源共享和数据通信。下面是OS电子公司的分布图： 下面是OS电子公司IT部门的职能划分图 根据OS公司管理模型和其它状况决定采用单域多站点的结构来进行AD部署；在设计部署AD之前首先要规划好IP地址的划分，子网的划分原则：，为每个分公司分配一个子网，子网数必须能满足今后的发展需求保证以后有足够可用的子网，每个子网有足够的可用Ip地址。根据公司的现状，以及考虑以后的发展规模决定用一个B类地址/16来划分子网。下面是子网划分图 每个子网的掩码是:一共可以划分64个子网，每个子网有1022个可用IP，可以满足以后的发展需求。下面是每个公司网络的IP划分规则１、每个网络前1-100为用于服务器规划，如珠海总公司-00/22保留，用于服务器IP地址的划分。２、每个网络前101-150用于交换机和网络打印机地址规划，如珠海总公司01-50/22用于交换机和网络打印机地址规划。３、每个网络最后一个254地址用于路由器，如珠海总公司54/22用于和分公司连接的路由器地址。４、剩下的IP地址用于客户端，或分公司IT自己划分，如珠海总公司51-53/22用于客户端。以上的IP划分规则所有分公司IT必须严格执行。在设计站点之前先定义一下AD里对像的命名规则吧。简单的说就是要对AD里的对象制定一套命名规则，每个公司IT部门都要严格按这套命名规则来对自己创建的AD对象进行命名。下面写得不太详细但太概的意思就是这样。域的名字：os.ad域的功能级别：windows server 2003站点命名：地点前两个字母+公司简称，如：珠海总公司（ZHOS），广州分公司（GZOS），南昌分公司（NCOS）；服务器的命名：地点前两个字母+OS（公司简称）+服务器角色两个字母+IP地址（不足2位前面用0填充），让人通过名字就知道这台DC是那个分公司的，IP是多少。如珠海的DC（ZHOSDC02），重庆DC（CQOSDC02）客户端PC的命名：地点前两个字母+OS（公司简称）+W（Workstations的意思）+3位数字编号（不足前面用0填充），如珠海的客户端ZHOSW001,广州的客户端GZOSW001；用户登录帐号的命名：地点前两个字母+OS（公司简称）+U（Users的意思）+3位数字编号（不足前面用0填充）,如珠海用户ZHOSU001,广州用户GZOSU001；共享打印机的命名：地点前两个字母+OS（公司简称）+P（Printer的意思）+3位数字编号（不足前面用0填充）,如珠海的打印机ZHOSP001,广州的打印机GZOSP001；下面进入我们的主题站点的规划，不理解站点的朋友请详细阅读这篇文章 “深刻理解站点和复制（实现站点以管理AD中的复制）”:/thread-39049-1-2.html下图是公司整个站点及站点复制规划图 AD的FSMO角色规划在珠海总公司，珠海总公司站点（ZHOS）用了3台DC，其中2台用于本地用户的身分验证，1台用于与其它站点间的AD数据复制；在OS分公司中每个站点都设计了2台DC用于冗余，定义了桥头服务器和至少一台GC。AD冗余的具体操作请参考这篇文章:“ AD/DNS/DHCP/WINS冗余部署实例”/thread-52739-1-1.html为么要划分站点？很简单两个原因：1、优化AD的复制；DC之间要同步AD数据，假如不划分站点，这个同步每时每刻都在进行，而且数据是不压缩的。如果划分了站点就可以控制站点到站点间的AD复制。2、优化客户端的登录，当划分了站点以后，DNS会替客户端找本站点内的DC，这样就加快了身份验证过程。经过上面的规划和配置后OS公司用户的身份验证都会点本地站点内的DC完成，比如说，广州分公司的用户会去GZOS站点内的DC去做身份验证，南昌分公司的用户会去NCOS站点内的DC去做身份验证。现在大家明白之前为什么要去划分IP子网了吧？其实AD站点的划分就是通过IP子网来实现的，在划分AD站点之前首先要规划好你的网络地址。什么是站点内？什么是站点间？大至可以这么去理解，站点内是由一组高速带宽连接的网络，站点间是由一组低速带宽连接的网络。1、站点内的复制在站点内进行的目录更新可能对本地客户端