活动目录AD解决方案.docVIP

客户现状：现在客户在各地共有4个办公点。每个点采用的是独立的域环境。现在客户希望将分散在各地的办公点连接起来，能够实现各地间的访问与共享。 一、客户方案：通过VPN技术实现网络的互联，并通过林间的信任来实现各地间的互相信任，以达到共享与访问。 客户的方案如下： 拓扑图如下： 由于客户各地点域已经建立，现在需要做的如下： DNS的转发： 作用：处理本地没有应答的DNS查询。 方法：每个域内的DNS服务器都需要做到其他域的DNS转发，以便于DNS的解析。 信任关系的建立 作用：为了使不同域可以互相访问。 方法：在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。 在这里建立A,B的相互信任，B,C的相互信任，C,D的相互信任，A,D的相互信任（一但前三个相互信任形成，则第四个A，D的相互信任自动形成。） WINS服务器的安装 作用：信任域间可以通过主机名称进行访问。 方法：每个域建立独立的WINS服务器，并与其他域内的WINS服务器建立“推/拉”伙伴关系，实现域间WINS服务器的同步。各域客户端WINS服务器指向本地服务器。 说明：每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。 二、单域多站点结构 方案拓扑图： 方案描述如下： 所有站点处于同一个域XX.COM下，每个站点的子网不相同。在A站点建立主DC服务器A.XX.COM,其他站点分别建立额外DC，如B.XX.COM, C.XX.COM, D.XX.COM. 实现方法： 子网划分：分配各个站点的子网，要求子网不能够相同，比如A站点/24 B站点 /24; C站点/24; D站点/24 主DC的建立：A站点域控制器A.XX.COM 集成AD与DNS服务，并且在DNS上做转发，实现对外网的访问。在A站点建立域内主DC，DNS地址指向本地地址。 额外DC的建立：首先DC的DNS指向主DC的DNS地址。在新建DC的时候选择创建“额外域控制器”。建立完成后修改DNS地址为本机地址，并在DNS服务器上做到主DC服务器地址的转发。 站点的划分与配置： 1.作用：1.优化客户端的登录。当域用户在上海或广东的客户端上登录时，DNS会替客户端找本站点内的DC，这样就加快了身份验证过程。 　　 2.优化AD的复制。每个DC之间要同步AD数据库，如果不划分站点这个同步无时无刻都在进行，而且数据是不压缩的。如果划分了站点这个过程变的可控，特别是在多站点的情况下，优越性更加突出. 2.站点的划分： 1.创建新站点：打开”AD站点与服务”管理工具，在sites上右击选“新站点”， 输入相对应的名字，并选择defaultipsitelink，单击确定。以此方法分别建立名 称为B,C,D的三个站点，并将默认站点名称修改为A. 2.新建子网：在“AD站点与服务”管理工具中，右击subnets选择创建新的新 建子网，创建四个子网并使其与相应的站点对应。 3.移动DC:在“AD站点与服务”管理工具中，拖动DC至相应的站点的 Server下。 4.站点连接的创建与配置：选择“Inter-Site transport”下IP,右击选择新站点 连接，为站点连接起对应的名称，并将要连接的站点添加到站点连接中。这里需要建立A到B,C,D的站点连接，B到C,D的连接，C到D的连接即可。 最后设置每条连接的属性。可以设置连接的开销值（物理链路带宽越高值越小，优先级越高）与复制频率，并通过计划修改复制的时间。 5.GC（全局编录）设置：A点默认为GC,为解决可能出现的域用户不能登陆问题，将BCD同样启用GC。方法是编辑每个站点的NTDS setting属性，启用GC. 5.DNS设置：A站点DNS建立主要区域（已经完成）。BCD建立DNS辅助区域 方法：在BCD上安装DNS服务，在DNS控制台选择“正向查找区域”， 创建新区域，选择创建辅助区域，输入已创建域名XX.COM以及A点DNS地址 ,进行DNS信息的复制。 注意：站点内客户端DNS指向本地DNS服务器 6.WINS服务器设置 ：各站点建立WINS服务器，并且各站点建立复制伙伴关系，以实现跨网段的网上邻居互访。（根据实际情况决定服务器之间采用自动复制还是手动复制） 三．多域多站点结构 方案拓扑如下: 分析：根据情况设计四个域，A点为根域，BCD分别为子域，这是逻辑结构,这样的好处是 分站点自己管理域和DNS 子网设计：每个站点子网必须不同，比如A:/24 B:/24 C: /24 D: