1.域 --- 对于微软环境描述的统称的概念
域的高可用:创建多个DC
2.子域
在什么情况下需要创建子域? 一般在“管理独立”的分支机构
子域的命名:.父域的命名
创建子域的前提条件:一定需要父域给你提供企业管理员组的权限!
A: 要做子域控的服务器需要加入到父域
B: 使用“Enterprise Admins" 组的权限完成域的向导!
3.分支机构到底建立备份域控,还是建立子域?
总部和分支机构部署域控场景
场景01:两个独立的林 --- 两套独立的架构 --- 非常捞
场景02: 分支机构是总部的备份DC --- 多数
场景03:分支机构是总部的子域 --- 少量
到底选用备份域控还是子域,和下列因素有关:
A:分支机构是否需要独立管理 --- 非常重要
适用于无论行政,还是信息管理上,分支机构都是独立管理
如果需要独立管理 --- 推荐使用子域;如果需要统一化管理,就使用备份域控
B:分支机构是否有专门的域管理团队
如果分支机构只有Helpdesk,没有服务器运维,建议创建备份域控!
4.父域的DC和子域的DC有数据同步吗?
ADSIEDIT --- ADSI编辑器 --- 用来编辑活动目录数据库底层的数据
活动目录数据库主要有四个存储分区:架构目录分区,配置分区,域目录分区,应用程序目录分区
A:域分区 --- 存储着当前这个域中的所有的对象
B:配置分区---存储着针对当前林的配置信息
C:构架分区--- 存储着当前林的对象的构架
D:应用程序目录分区 --- 应用程序目录分区是由应用程序所建立的, 其内储存着与该应用程 序有关 的数据, 如DNS服务器. 应用程序分区会被复制到林中的特定域控制器,而不是所有 的域控制器,应用 程序目录分区比较, 一般用不到
重要:如果两个DC在同一个域中,三个分区都相互同步;
如果两个DC在同一个林中,但不在一个域中,只有配置分区和构架分区同步
5.域树
新数域创建好后,必须要做一个配置,否则新树域无法工作
必须要在根域(林中的第一个域)上配置到新树域的DNS转发!!!
6.林
两个林之间如果希望能传递身份验证,必须需要手工建立信任
建立信任的条件:
A:两个林能相互转发DNS解析
B:必须要林功能级别在Windows Server 2003 以上
7.全局编录服务器或者叫全局目录服务器 --- 简称 GC
微软默认推荐:所有的DC都是全局编录服务器
在搜索活动目录对象的时候,不是在某一个域,而是在林中所有的域上完成搜索---GC
DC --- 包含当前域中所有的对象
GC --- 包含整个林的所有的对象
当在搜索时,选择“整个目录”,就是在GC上搜索
怎么找到GC呢? DNS的SRV记录里。 如下图:
GC --- 包含了林中所有的域对象 (假设林中有20个域,每个域的数据库 10GB),
那么:GC 的DB --- 200GB。那么搜索的速度…可想而知
SO,微软对此进行了优化:GC包含林中所有的对象,但只包含部分的属性,主要使用的属性!!!
例如当一个跨国性企业,想要搜索企业里有多少中国人的时候。因为GC里默认没有包含国家的属性
需要添加国家的属性到GC ,那怎样查看国家的属性?
打开ADDS找到你填写过国家值的用户,根据填写的值,反推出对应的属性。如下图:**
那怎样把相应的属性添加到GC的搜索中? 在运行里输入下图命令:
然后运行,输入mmc,添加管理单元Active Directory 构架,点击属性,在属性里找到刚才反推出的属性
然后右键点击,选择属性,勾上将此属性复制到全局编录,点击确定。如下图:
一段时间后,GC里就可以按国家搜索了
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。