搭建微軟網絡域管理環境前的準備工作

搭建微軟網絡域管理環境前的準備工作

爲了提高大型網絡的管理效率與安全性，微軟提出了一個通過域來管理企業局域網的思路。通過域可以

實現在一個統一的平臺上對企業網絡採取一些統一的管理策略，這也一直是網絡管理員所追求的目標。

不過域對於企業的網絡環境要求比較高，畢竟天下沒有白吃的午餐，要享受先進技術給企業帶來的便利

，我們不得不先懂得付出。今天筆者就給大家介紹一下，在搭建微軟網絡域管理環境之前所需要做的一

些準備工作。
　　第一項工作：爲域設計一個好名字
　　若要訪問WINDOWS的域，一般是通過域名進行訪問，而不是通過域控制器的IP地址。所以，在部署微

軟的域環境之前，則必須給這個域提個名字。這個名字可不能隨便取，必須符合微軟的域命名規則。
　　微軟的域名是採用DNS的架構於命名方式，如A.COM，所以在給這個域取名的時候，需要符合這個規

則。同時，也要符合“容易書寫、容易叫”的原則，即我們所取的名字，要簡單、不要含有特殊字母，

否則的話，後續在訪問域的時候，就會比較麻煩。
　　筆者經驗之談
　　雖然在域建立好之後，仍然可以改變這個名字。但是，這就好像人成年後更改名字一樣，需要很多

手續與證明資料，修改起來會非常的麻煩。所以，筆者建議，還是在部署域管理環境之前，就先爲這個

即將出生的“寶寶”取個好名字。
第二項工作：部署DNS服務器

　　在部署域管理環境的時候，域控制器會將自己登記到DNS服務器中去。如此做的目的，就是讓其他客

戶端可以通過我們上面所取的名字訪問到這臺域控制器。所以，在企業的網絡中必須有一臺DNS服務器，

否則的話，域控制器在安裝的過程中就會以失敗告終。

　　一是在安裝域控制器的時候，可以同時安裝DNS服務器。在將某臺服務器升級爲域控制器的時候，如

果這臺服務器沒有安裝DSN服務器的時候，則會自動在這臺服務器上安裝微軟的DNS服務器，同時，也會

自動在DSN服務器內建立一個以我們上面設計的域名一樣的空間，如A.COM。而且，會自動能啓用安全更

新功能，當然，其安全等級選項是“只有安全的”。若採用這種方式部署DNS服務器的，必須先將這臺機

器的中DNS服務器地址改過來。在TCP/IP屬性設置框中，除了設置IP地址、默認網關、子網掩碼之外，還

可以設置DSN服務器地址。若想在這臺服務器上安裝DNS服務器的話，則必須把這個DNS地址清空，或者指

定爲本機的IP地址，否則，會出現一些故障。

　　二是使用獨立的DNS服務器。在部署域管理環境的時候，我們也可以採用，而且也是積極建議的，使

用獨立的DNS服務器。這可以使企業正在使用的，也可以新建一臺DNS服務器。然後，再DNS服務器爲這個

域建立一個區域，並啓動自動更新功能。然後在安裝域控制器的時候，把域控制器的DNS地址指向這臺

DNS服務器。

　　筆者經驗之談

　　1、如果需要建立微軟的域管理環境，則在部署DNS服務器的時候，最好選擇“動態更新”功能，雖

然這不是 安裝域控制器所必需的條件。我們都知道，在安裝域控制器的時候，他必須將其所扮演的角色

登記到DNS服務器的SRM紀錄之下。若DNS服務器不支持這個功能的話，則域控制器將無法自動的將自己登

記到DNS服務器的SRV紀錄之下。必須由網絡管理人員手工的進行輸入。無疑，這會增加域管理的負責性

。若我們啓用了這個動態更新的功能的話，則在安裝域控制器的時候，會自動完成這項作業，不需要我

們過多的干預。不過，在選中動態更新功能的時候，最好把其安全級別色設置爲“只有安全的”，以防

止DNS地址欺騙***，提高域管理環境的安全性。

　　2、若在企業大型網絡中，有不只一臺的DNS服務器，則需要考慮啓用“增量區域傳送”功能。如筆

者企業中，客戶端數量比較多，一是爲了提高DNS服務器的使用性能，二是爲了提供一種冗餘，提高網絡

的靈活性，在企業局域網內，部署了三臺DNS服務器。若在沒有啓用“增量區域傳送”功能的話，DNS服

務器在相互之間執行區域傳送功能的時候，會複製全部的DNS紀錄，這顯然會佔用比較大的帶寬，造成不

必要的帶寬浪費。而若我們採用這個“增量區域傳送”功能的話，則DNS服務器在同步紀錄的時候，只會

複製更新過多紀錄，這麼做主要就是爲了提高複製效率。現在大部分版本的DNS服務器基本上都支持了這

個“區域增量傳送”功能。在有必要的情況下，也可以同時採用“快速區域傳送”功能。這可以爲DNS服

務器紀錄傳送再加一把油，通過對數據進行壓縮，進一步提高DNS服務器之間紀錄的複製效率。

　　3、必須要啓用本機服務器資源紀錄功能。若上面兩個功能在部署域管理環境之前，是可選的。但是

，這個本機服務器資源紀錄功能，則是一個必須啓用的功能。因爲在安裝域控制器的時候，需要在DNS服

務器中的本機服務器資源紀錄中進行登記，以表示自己的合法性。若DNS服務器不支持這個功能的話，則

域控制器將不能證明自己存在的合法性。現在微軟2000以上的服務器系統，都支持“本機服務器資源紀

錄”功能。

第三項工作：合理的硬盤規劃

　　現在硬盤的價格不斷創新低，所以，硬盤容量已經不再是限制域使用的一個關鍵資源。但是，即使

如此，在部署域管理環境之前，還是需要對硬盤進行合理的規劃，從而提高域控制器的使用性能與安全

性。

　　在域控制器的硬盤空間中，主要存儲以下內容

　　一是活動目錄數據庫。活動目錄是域管理環境中一個非常重要的對象，很多域管理策略都需要活動

目錄的支持。這個數據庫的所需要的硬盤空間一般是根據客戶端數量不同而有所不同。不過一般情況下

，1G的硬盤容量已經足夠。

　　二是日誌文件。合理保護日誌文件是域控制器管理的一個重點。這個日誌文件最重要的作用，就是

當活動目錄數據庫出現故障的時候，進行恢復。一般來收，在規劃硬盤空間的時候，需要爲其準備500M

左右的空間。

　　三是用來存放域控制器的SYSVOL文件夾。這個文件夾中存放着很多重要的內容。如需要在域環境中

設置組策略的話，這也是我們之所以要採用域來管理企業網絡的一個重要原因，則我們配置的一些組策

略就都是存放在這個文件夾中。另外，在這個文件夾中，也會防止一些腳本文件、系統的基本配置文件

、以及一些共享文件夾等等。不過，這個SYSVOL文件夾，對於硬盤空間有一些特殊的要求，即其所在的

硬盤分區格式必須爲NTFS格式。這主要是因爲只有NTFS格式的硬盤空間可以提供一些安全設置。所以，

在規劃硬盤空間的時候，必須把硬盤中第一個區設置爲NTFS格式。我們可以在未劃分分區的硬盤上把分

區格式化爲NTFS格式，也可以利用命令把現有的FAT格式的硬盤分區轉換爲NTFS格式。不過這裏需要注意

一點，把FAT或者FAT32格式的硬盤分區轉換爲NTFS格式的話，這些分區中原有的文件都不會丟失。但是

，若進行相反的轉換，如NTFS格式轉換爲FAT或者FAT32格式的分區的話，則原有硬盤分區中的內容將會

全部丟失。

　　筆者經驗之談

　　在規劃域控制器的硬盤空間的時候，筆者有幾個建議。

　　一是最好爲域控制器準備兩塊硬盤，把活動目錄數據庫與日誌文件存放在兩塊硬盤中。我們都知道

，當活動目錄數據庫崩潰的時候，可以通過日誌文件來對活動目錄進行恢復。若把日誌文件與活動目錄

存放在同一塊硬盤中，萬一不幸發生，硬盤出現故障損壞的話，那麼我們通過什麼來對域控制器的活動

目錄進行恢復呢?反正現在硬盤又比較廉價，所以，筆者在這裏強烈建議，爲域控制器準備至少兩塊硬盤

，把活動目錄與日誌文件分別存放在兩塊硬盤中，以提高域控制器的安全性。

　　二是NTFS格式的分區具有FAT或者FAT32 格式所沒有的安全性。如對於文件的加密、數據恢復等等，

NTFS格式都具有非常明顯的優勢。所以，筆者建立，在必要的時候，把整塊硬盤都格式化爲NTFS格式的

分區。這可以大大的提高域控制器的安全性。

　　三是要特別留意SYSVOL的存儲空間。活動目錄與日誌的存儲空間，都可以在空間不夠的時候，利用

命令進行重新配置。但是，SYSVOL文件夾的存儲空間，則不可以在域控制器安裝完成後重新設置。當後

來發現SYSVOL的存儲空間不夠的時候，則必須重新安裝活動目錄，這對於網絡管理員來說，是一個致命

的打擊。所以，最好爲SYSVOL文件夾配置足夠多的硬盤空間，反正現在硬盤便宜，爲期預留40G的硬盤空

間也不需要多少的成本。