在實驗的時候,發現這個標題可能有些問題,申明一下,我所講的企業分支機構虛擬網絡,其實就是虛擬基於單域的多站點架構。關於站點,有必要在這裏簡要的簡述一下,所謂站點,在Active Directory中,通常是指一個物理的網絡(每一個分支機構都算是一個物理網絡),在這個站點中,都有快速穩定的網絡連接(相當於某個Office的局域網),並且相互之間都能通信。而本實驗中虛擬的則是,分別屬於不同地區的三個物理網絡(站點)子網通過慢速但較穩定的互聯網聯接進行通信,各站點子網之間的通信是通過***來實現的。
在接下來的Blog時間裏,我會儘可能模擬分機機構的一些真實需求,並且根據需求增加一些新的服務和應用(儘管真實生產環境中要做一個全面的規劃,但在這裏,我想這樣一步步的方式,會令我們有更多的收穫)。另外,也會針對出現的各種問題,針對性的給出解決方法(真要是解決不了的,可能得請教各位技術達人了),用以豐富Blog內容,敬請各位繼續關注小二的虛擬實室。
搭建完這樣一個分支機構虛擬網絡(單域多站點)之後,我們來做一下簡單的規劃,爲了方便管理和委派控制,我們在Active Directory Users and Computers分別建立TaiWan、ShangHai、HongKong這三個OU,並且在這三個OU下又再建立Computers和Users這兩個OU,用來分別存放各分支機構的計算機賬號和域用戶賬號。如下圖所示:
OK,現在我們來轉移一個話題,說話,在我們共同的努力之下,一個基於Windows Server 2003單域結構的分支機構活動目錄的雛形已經初步呈現在各位面前,考慮到我的PC性能,暫時再多增加兩個Windows XP虛擬機,具體設置如下:
Computer Name:SHPC01(請將該PC加入到contoso.com)
IP:192.168.2.20/24 Gateway:192.168.2.11 DNS:192.168.2.10 192.168.0.10
Computer Name:HKPC01(請將該PC加入到contoso.com)
IP:192.168.1.10/24 Gatewau:192.168.1.11 DNS:192.168.1.10 192.168.0.10
(囉嗦幾句,建議IP地址池範圍做一個分類規劃,比如說,服務器的IP地址池,網絡設備的IP地址池、客戶端的IP地址池,網絡外設的IP地址池等等。)
增加之後,現有的架構圖如下:
虛擬機的數量則增加爲5個。
單域多站點的問題比較多,需要我們隨着實驗的進一步深入,會發現更多的問題,對以後做多站點的規劃有很大的益處。今天我們來看看各分支機構(各站點)域用戶在登錄時遇到的問題。
在真實的企業環境當中,每個分支機構的DC的時間可能是不一樣的,我們知道,客戶端的時間是與DC的時間同步的,所以,很快,你會發現一些問題,而這些問題衍生出來的,就是今天的話題。
這些問題可能有以下症狀:
1、 域用戶反映登錄時間過長
2、 某些組策略無法應用。
3、 某個分支機構裏的客戶端時間有偏差
……
產生這些問題的原因,是因爲,客戶端在進行驗證時使用了遠端的DC進行驗證,假如每個分支機構的DC時間不一樣,就可能會產生如3所述的問題,並且如果你的***鏈接帶寬不足,過於繁忙的話,就會產生如1和2所述的問題。現在我們一起來解決這些問題。
當這些問題發生的時候,我們可以在客戶端使用set logonserver命令來查看該客戶端是使用了哪一臺進行身份驗證的。看到了沒?在下面的兩幅圖片當中,我們發現位於HK-Office的在HKPC01上登錄的域用戶,居然使用的是TW2K3DC01進行驗證的,而位於SH-Office在SHPC01上登錄的域用戶,使用的卻是HK2K3DC01來驗證的。這樣的問題給原本就帶寬不足的***鏈路帶來了更多的無用流量(除此之外,還有組策略更新等等),這些流量視你分支機構的大小,佔用着不同的***帶寬。爲什麼會產生這樣的問題呢?
我們知道,DNS是通過輪詢來實現負載均衡的,當A用戶登錄域時,DNS從當前的SRV記錄當中找出一臺DC進行驗證,而當B用戶登錄域時,DNS又給出另外一臺DC進行證,所以纔會出現這樣的問題。
活動目錄站點的劃分,可以讓客戶端就近登錄,也就是,如果用戶是在HK-Office,那麼就使用hk2k3dc01進行驗證登錄,如果用戶是SH-Office,那麼就使用sh2k3dc01進行驗證登錄。
如何實現?下次實驗中,我們再聊吧。