編者按：活動目錄（Active Directory），是一個面向Windows Server級別的目錄服務(wù)。在活動目錄中存儲了有關(guān)網(wǎng)絡(luò)對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息?；顒幽夸浭褂昧艘环N結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進(jìn)行合乎邏輯的分層組織。在本文中李洋老師將向大家介紹在活動目錄設(shè)計中需要掌握的七個原則。

活動目錄的設(shè)計主要包括邏輯結(jié)構(gòu)設(shè)計和物理結(jié)構(gòu)設(shè)計兩大方面，具體涉及域（domain）、林（forest）、全局目錄服務(wù)器（Global Catalog，簡稱GC）、組織單元（Organizational Unit，簡稱OU）、站點（Site）、DNS（Domain Name System）、域控制器（Domain Controller，簡稱DC）7個關(guān)鍵點。

邏輯結(jié)構(gòu)設(shè)計原則

原則一、域設(shè)計原則

◆在管理任務(wù)明顯由區(qū)域劃分的環(huán)境中可以獨(dú)立設(shè)置域，如某公司的亞洲分部和歐洲分部等，可以設(shè)立域?qū)Ω髯元?dú)立的資源進(jìn)行統(tǒng)一管理。

◆特殊情況下，如果域數(shù)據(jù)庫中的對象（包括被管理的用戶、計算機(jī)、打印機(jī)等）過多，超過100萬時（對于中小型企業(yè)很難達(dá)到），需要考慮增加域。

原則二、 林設(shè)計原則

公司由于業(yè)務(wù)等需求需要設(shè)定多個名字空間，如需要corp.com和corp.cn兩個名字空間，則必須建立林，該林中包含以corp.com為根域和以corp.cn為根域的兩棵樹。并且，需根據(jù)實際情況為這2棵樹之間確定好信任關(guān)系（即：授權(quán)2棵樹中的用戶相互訪問各自管理的資源）。

原則三、OU設(shè)計原則

◆對于域安全準(zhǔn)則一致的域，如果需要突出其中的某些業(yè)務(wù)和組織職能，則可以為域創(chuàng)建組織單元（OU），而沒有必要重新創(chuàng)建單獨(dú)的域。比如，對一個microsoft.com，底下劃分為銷售、人力等部門，可以創(chuàng)建sales、hr等等OU。

◆在具體的OU設(shè)計中，微軟給出了地理模型、對象模型、成本中心模型等7個基本模型供參考。

物理結(jié)構(gòu)設(shè)計原則

原則四、站點設(shè)計原則

站點設(shè)置的目的是控制網(wǎng)絡(luò)產(chǎn)生的登錄通信量和復(fù)制通信量。（1）登錄通信量：每次當(dāng)用戶登錄網(wǎng)絡(luò)時，Windows 2000/Windows Server 2003/Windows Server 2008都會試圖查找與用戶在同一站點的DC，產(chǎn)生登錄通信量。（2）復(fù)制通信量：將目錄數(shù)據(jù)庫的變動更新到多個DC，站點將控制該通信量如何以及何時產(chǎn)生。具體的設(shè)定原則如下：

◆了解與站點設(shè)計相關(guān)的IP子網(wǎng)（IP Subnet）分配及物理鏈路情況，以確定站點的物理連接。

◆由于site內(nèi)各DC間的復(fù)制流量及頻度較大，為保證效率，需將高速連接（如高速LAN）的區(qū)域設(shè)置位于同一個site，將低速連接（如低速WAN）的區(qū)域設(shè)置位于不同site。

◆在一個site中至少配備一個DC、一個GC、一個DNS來對用戶進(jìn)行快速驗證，并提供快速地信息查詢和檢索。

◆合理的設(shè)定站點內(nèi)復(fù)制（Intrasite Replication）和站點間復(fù)制（Intersite Replication），隔離復(fù)制流量。按照微軟AD的設(shè)計理念，站點間復(fù)制比站點內(nèi)復(fù)制流量要減少80%-90%，原因是站點間復(fù)制采用了壓縮機(jī)制。

原則五、GC設(shè)計原則

GC存儲林中每個對象的一定數(shù)量的信息，這些信息通常是被頻繁查詢或者搜索的屬性，當(dāng)用戶在域外查找對象時，使用GC可以避免調(diào)用目的地的DC，從而加快查詢速度和減少網(wǎng)絡(luò)流量。建議，每個site都配備一個GC。

原則六、 DC設(shè)計原則

DC的設(shè)計與用戶的數(shù)量有很大關(guān)系，如下表所示：

原則七、DNS設(shè)計原則

◆盡可能使用與AD集成的DNS，為客戶端登錄尋找DC、DC間尋找提供定位服務(wù)。

◆DNS服務(wù)器應(yīng)支持SRV資源記錄外，并建議DNS服務(wù)器提供對DNS的動態(tài)升級。DNS動態(tài)升級定義了一個DNS服務(wù)器自動升級的協(xié)議，如果沒有此協(xié)議，管理員不得不手動配置域控制器產(chǎn)生的新的記錄。

【編輯推薦】

1. 如何在多域林中恢復(fù)活動目錄根域
2. 小心雙刃劍 Ntdsutil對活動目錄的管理
3. 提高活動目錄性能與安全的LSASS進(jìn)程
4. 替代活動目錄管理的PowerShell命令
5. 活動目錄在Server 2008 R2中的重要功能