談到Active Directory中的站點,很多Active Directory的初學者都會深感頭疼,爲什麼呢?搞不清楚這個站點究竟是起什麼作用。有很多同學都問過這樣的問題,站點和域有什麼區別?到底是域大還是站點大?有了域爲什麼還要有站點?…..本文將嘗試爲大家介紹站點的概念及設計初衷,讓大家能夠更好地理解站點,運用站點。
![]()
域是共享用戶賬號,計算機賬號及安全策略的一組計算機,這個定義是基於邏輯因素考慮的,只要用戶和計算機在同一個Active Directory內,我們就認爲他們都在域的安全邊界之內。我們從域的定義中可以看到,域沒有考慮網絡速度等物理因素,無論計算機和域控制器之間是一個快速的物理連接還是一個慢速的物理連接,域都會一視同仁,完全把連接速度視若無物。但在實際的生產環境中我們就會發現如果不考慮網速這樣的物理因素,我們會在管理域時遇到很多麻煩。我們通過一個例子加以說明,如下圖所示,某域的域控制器分佈在北京,上海兩處,北京有A,B,C三臺域控制器,上海有D,E,F三臺域控制器。北京和上海的本地局域網都是千兆以太網,北京和上海之間是一條128K的專線。
現在我們要考慮這麼一個問題,如果域控制器A更改了Active Directory,那麼如果才能用最有效率的方法把這個AD的變化複製到其他五個域控制器上呢?顯然域控制器A應該先把更改複製到同一高速局域網內的B和C,然後再利用慢速的廣域網鏈接複製到上海的一個域控制器上,例如複製到D,最後再由D複製到E和F。域控制器如果使用我們規劃的這種複製拓撲,那當然好,在這種複製拓撲中數據只經過兩地間的慢速鏈路傳遞了一次。但問題是域如果不考慮速度因素,未必能作出這種拓撲,萬一KCC決定使用的複製拓撲是先從A到D,再從D到B,然後B到E,再E到C,最後從C到F,那我們就要崩潰了。這樣的話六個域控制器之間的AD複製要沿着兩地間的慢速鏈路走五次,無論如何都讓我們無法接受!從這個例子中我們已經看到了速度因素的重要性,再順着這個例子引申一下,用戶每天登錄到域進行身份驗證,顯然北京的用戶應該登錄到北京的域控制器,上海的用戶應該登錄到上海的域控制器,這樣效率纔會比較高,如果北京的用戶每天都到上海的域控制器進行身份驗證,顯然不是一件好事。
從上面的例子中我們發現,在日常的運維工作中是不能把速度因素透明處理的,我們必須考慮到計算機之間的連接速度!正是基於這種考慮,微軟才引入了站點對計算機進行管理。站點的概念其實很簡單,站點就是高速相連的一組計算機!從這個概念來看,站點強調了速度這個物理因素,域則是強調要共享Active Directory這個邏輯因素,把站點和域結合起來對計算機從物理和邏輯兩個角度進行管理,是微軟的一個很好的構思。值得一提的是,微軟這種管理思路並非罕見,例如Exchange中也有管理組和路由組的概念,管理組和路由組其實類似於域和站點的關係,也是一個從邏輯角度進行管理,另一個從物理角度進行管理。
有了站點幫助管理,我們處理前面提到的那個例子就容易多了,從站點的定義來看,由於北京和上海之間存在一條慢速鏈路,因此我們應該把北京的計算機放到一個站點內,把上海的計算機放到另一個站點內。這樣的話,北京和上海的用戶在登錄時會優先選擇本站點內的域控制器登錄,KCC在規劃複製拓撲時也會自動地優先考慮在本站點內的域控制器之間進行AD複製。更好的是,如果AD需要垮站點複製,AD內容還可以經過壓縮後再進行復制,顯然站點在設計時已經充分考慮到了對帶寬的充分利用。
從理論上證明了站點的必要性,我們在下篇博文中就要付諸實踐了,我們將在下篇博文中通過實例爲大家介紹如何進行站點的創建及管理,敬請關注!
本文出自 “嶽雷的微軟網絡課堂” 博客,請務必保留此出處http://yuelei.blog.51cto.com/202879/133130