1.域 --- 對於微軟環境描述的統稱的概念
域的高可用:創建多個DC
2.子域
在什麼情況下需要創建子域? 一般在“管理獨立”的分支機構
子域的命名:.父域的命名
創建子域的前提條件:一定需要父域給你提供企業管理員組的權限!
A: 要做子域控的服務器需要加入到父域
B: 使用“Enterprise Admins" 組的權限完成域的嚮導!
3.分支機構到底建立備份域控,還是建立子域?
總部和分支機構部署域控場景
場景01:兩個獨立的林 --- 兩套獨立的架構 --- 非常撈
場景02: 分支機構是總部的備份DC --- 多數
場景03:分支機構是總部的子域 --- 少量
到底選用備份域控還是子域,和下列因素有關:
A:分支機構是否需要獨立管理 --- 非常重要
適用於無論行政,還是信息管理上,分支機構都是獨立管理
如果需要獨立管理 --- 推薦使用子域;如果需要統一化管理,就使用備份域控
B:分支機構是否有專門的域管理團隊
如果分支機構只有Helpdesk,沒有服務器運維,建議創建備份域控!
4.父域的DC和子域的DC有數據同步嗎?
ADSIEDIT --- ADSI編輯器 --- 用來編輯活動目錄數據庫底層的數據
活動目錄數據庫主要有四個存儲分區:架構目錄分區,配置分區,域目錄分區,應用程序目錄分區
A:域分區 --- 存儲着當前這個域中的所有的對象
B:配置分區---存儲着針對當前林的配置信息
C:構架分區--- 存儲着當前林的對象的構架
D:應用程序目錄分區 --- 應用程序目錄分區是由應用程序所建立的, 其內儲存着與該應用程 序有關 的數據, 如DNS服務器. 應用程序分區會被複制到林中的特定域控制器,而不是所有 的域控制器,應用 程序目錄分區比較, 一般用不到
重要:如果兩個DC在同一個域中,三個分區都相互同步;
如果兩個DC在同一個林中,但不在一個域中,只有配置分區和構架分區同步
5.域樹
新數域創建好後,必須要做一個配置,否則新樹域無法工作
必須要在根域(林中的第一個域)上配置到新樹域的DNS轉發!!!
6.林
兩個林之間如果希望能傳遞身份驗證,必須需要手工建立信任
建立信任的條件:
A:兩個林能相互轉發DNS解析
B:必須要林功能級別在Windows Server 2003 以上
7.全局編錄服務器或者叫全局目錄服務器 --- 簡稱 GC
微軟默認推薦:所有的DC都是全局編錄服務器
在搜索活動目錄對象的時候,不是在某一個域,而是在林中所有的域上完成搜索---GC
DC --- 包含當前域中所有的對象
GC --- 包含整個林的所有的對象
當在搜索時,選擇“整個目錄”,就是在GC上搜索
怎麼找到GC呢? DNS的SRV記錄裏。 如下圖:
GC --- 包含了林中所有的域對象 (假設林中有20個域,每個域的數據庫 10GB),
那麼:GC 的DB --- 200GB。那麼搜索的速度…可想而知
SO,微軟對此進行了優化:GC包含林中所有的對象,但只包含部分的屬性,主要使用的屬性!!!
例如當一個跨國性企業,想要搜索企業裏有多少中國人的時候。因爲GC裏默認沒有包含國家的屬性
需要添加國家的屬性到GC ,那怎樣查看國家的屬性?
打開ADDS找到你填寫過國家值的用戶,根據填寫的值,反推出對應的屬性。如下圖:**
那怎樣把相應的屬性添加到GC的搜索中? 在運行裏輸入下圖命令:
然後運行,輸入mmc,添加管理單元Active Directory 構架,點擊屬性,在屬性裏找到剛纔反推出的屬性
然後右鍵點擊,選擇屬性,勾上將此屬性複製到全局編錄,點擊確定。如下圖:
一段時間後,GC裏就可以按國家搜索了