編者按：活動(dòng)目錄（Active Directory），是一個(gè)面向Windows Server級(jí)別的目錄服務(wù)。在活動(dòng)目錄中存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。活動(dòng)目錄使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式，并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合乎邏輯的分層組織。在本文中李洋老師將向大家介紹在活動(dòng)目錄設(shè)計(jì)中需要掌握的七個(gè)原則。

活動(dòng)目錄的設(shè)計(jì)主要包括邏輯結(jié)構(gòu)設(shè)計(jì)和物理結(jié)構(gòu)設(shè)計(jì)兩大方面，具體涉及域（domain）、林（forest）、全局目錄服務(wù)器（Global Catalog，簡(jiǎn)稱GC）、組織單元（Organizational Unit，簡(jiǎn)稱OU）、站點(diǎn)（Site）、DNS（Domain Name System）、域控制器（Domain Controller，簡(jiǎn)稱DC）7個(gè)關(guān)鍵點(diǎn)。

邏輯結(jié)構(gòu)設(shè)計(jì)原則

原則一、域設(shè)計(jì)原則

◆在管理任務(wù)明顯由區(qū)域劃分的環(huán)境中可以獨(dú)立設(shè)置域，如某公司的亞洲分部和歐洲分部等，可以設(shè)立域?qū)Ω髯元?dú)立的資源進(jìn)行統(tǒng)一管理。

◆特殊情況下，如果域數(shù)據(jù)庫(kù)中的對(duì)象（包括被管理的用戶、計(jì)算機(jī)、打印機(jī)等）過多，超過100萬時(shí)（對(duì)于中小型企業(yè)很難達(dá)到），需要考慮增加域。

原則二、 林設(shè)計(jì)原則

公司由于業(yè)務(wù)等需求需要設(shè)定多個(gè)名字空間，如需要corp.com和corp.cn兩個(gè)名字空間，則必須建立林，該林中包含以corp.com為根域和以corp.cn為根域的兩棵樹。并且，需根據(jù)實(shí)際情況為這2棵樹之間確定好信任關(guān)系（即：授權(quán)2棵樹中的用戶相互訪問各自管理的資源）。

原則三、OU設(shè)計(jì)原則

◆對(duì)于域安全準(zhǔn)則一致的域，如果需要突出其中的某些業(yè)務(wù)和組織職能，則可以為域創(chuàng)建組織單元（OU），而沒有必要重新創(chuàng)建單獨(dú)的域。比如，對(duì)一個(gè)microsoft.com，底下劃分為銷售、人力等部門，可以創(chuàng)建sales、hr等等OU。

◆在具體的OU設(shè)計(jì)中，微軟給出了地理模型、對(duì)象模型、成本中心模型等7個(gè)基本模型供參考。

物理結(jié)構(gòu)設(shè)計(jì)原則

原則四、站點(diǎn)設(shè)計(jì)原則

站點(diǎn)設(shè)置的目的是控制網(wǎng)絡(luò)產(chǎn)生的登錄通信量和復(fù)制通信量。（1）登錄通信量：每次當(dāng)用戶登錄網(wǎng)絡(luò)時(shí)，Windows 2000/Windows Server 2003/Windows Server 2008都會(huì)試圖查找與用戶在同一站點(diǎn)的DC，產(chǎn)生登錄通信量。（2）復(fù)制通信量：將目錄數(shù)據(jù)庫(kù)的變動(dòng)更新到多個(gè)DC，站點(diǎn)將控制該通信量如何以及何時(shí)產(chǎn)生。具體的設(shè)定原則如下：

◆了解與站點(diǎn)設(shè)計(jì)相關(guān)的IP子網(wǎng)（IP Subnet）分配及物理鏈路情況，以確定站點(diǎn)的物理連接。

◆由于site內(nèi)各DC間的復(fù)制流量及頻度較大，為保證效率，需將高速連接（如高速LAN）的區(qū)域設(shè)置位于同一個(gè)site，將低速連接（如低速WAN）的區(qū)域設(shè)置位于不同site。

◆在一個(gè)site中至少配備一個(gè)DC、一個(gè)GC、一個(gè)DNS來對(duì)用戶進(jìn)行快速驗(yàn)證，并提供快速地信息查詢和檢索。

◆合理的設(shè)定站點(diǎn)內(nèi)復(fù)制（Intrasite Replication）和站點(diǎn)間復(fù)制（Intersite Replication），隔離復(fù)制流量。按照微軟AD的設(shè)計(jì)理念，站點(diǎn)間復(fù)制比站點(diǎn)內(nèi)復(fù)制流量要減少80%-90%，原因是站點(diǎn)間復(fù)制采用了壓縮機(jī)制。

原則五、GC設(shè)計(jì)原則

GC存儲(chǔ)林中每個(gè)對(duì)象的一定數(shù)量的信息，這些信息通常是被頻繁查詢或者搜索的屬性，當(dāng)用戶在域外查找對(duì)象時(shí)，使用GC可以避免調(diào)用目的地的DC，從而加快查詢速度和減少網(wǎng)絡(luò)流量。建議，每個(gè)site都配備一個(gè)GC。

原則六、 DC設(shè)計(jì)原則

DC的設(shè)計(jì)與用戶的數(shù)量有很大關(guān)系，如下表所示：

原則七、DNS設(shè)計(jì)原則

◆盡可能使用與AD集成的DNS，為客戶端登錄尋找DC、DC間尋找提供定位服務(wù)。

◆DNS服務(wù)器應(yīng)支持SRV資源記錄外，并建議DNS服務(wù)器提供對(duì)DNS的動(dòng)態(tài)升級(jí)。DNS動(dòng)態(tài)升級(jí)定義了一個(gè)DNS服務(wù)器自動(dòng)升級(jí)的協(xié)議，如果沒有此協(xié)議，管理員不得不手動(dòng)配置域控制器產(chǎn)生的新的記錄。

【編輯推薦】

1. 如何在多域林中恢復(fù)活動(dòng)目錄根域
2. 小心雙刃劍 Ntdsutil對(duì)活動(dòng)目錄的管理
3. 提高活動(dòng)目錄性能與安全的LSASS進(jìn)程
4. 替代活動(dòng)目錄管理的PowerShell命令
5. 活動(dòng)目錄在Server 2008 R2中的重要功能