實戰Active Directory站點部署與管理,Active Directory系列之十二
阿新 • • 發佈:2019-02-20
實戰Active Directory站點部署與管理
上篇博文中我們家介紹了站點的設計目的及大致原理,今天我們通過實戰為大家介紹如何進行站點的部署以及管理。實驗拓撲如下圖所所示,adtest.com域中有四個域控制器,分別是Florence,Berlin,Firenze和Perth。其中Florence和Berlin在北京,隸屬於192.168.11網段;Firenze和Perth在上海,隸屬於192.168.12網段。由於北京和上海之間使用了一條64K的DDN慢速鏈路,因此我們有必要使用站點對域內的計算機進行合理規劃,以便能夠讓域內的計算機在現有的頻寬條件下能以最有效率的方式通訊。
目前四臺域控制器都在一個站點中,如下圖所示,就是預設的Default-First-Site-Name。根據我們本次實驗的具體情況,我們需要把北京和上海的域控制器分為兩個站點,為完成這個任務,我們需要進行下列操作:
一 建立站點 
一建立站點
預設情況下所有的域控制器都在一個站點內,但目前我們需要兩個站點,一個用於管理北京的計算機,一個用於管理上海的計算機。因此我們需要建立一個新站點,同時把原先的預設站點改名即可。首先我們先把原來的預設站點Default-First-Site-Name改名為Beijing,我們在域控制器Florence上開啟Active Directory站點和服務,,如下圖所示,右鍵點選原來的預設站點,選擇“重新命名”。
重新命名後的結果如下圖所示,預設站點已經改名為Beijing。
接下來我們來建立一個新站點Shanghai,如下圖所示,右鍵點選“Sites”,選擇新站點。
如下圖所示,新站點取名為Shanghai,我們為Shanghai站點選擇了一個預設的站點連結器,關於這個站點連結器的作用我們將在後面的內容中予以介紹。
Shanghai站點建立完畢後,系統提示我們要進行如下圖所示的後續操作,我們接下來將按照提示實現對站點的配置。
二 定義站點子網
現在我們有了Beijing和Shanghai兩個站點,接下來要考慮如何定義站點內的IP子網。如果不同的站點管轄了不同的IP子網,那麼對域內的計算機來說是非常有利的,域控制器只要根據自己的IP地址就可以判斷出自己應該隸屬於哪個站點,域內的客戶機登入到域時也會根據自己的IP地址來查詢同一站點內的域控制器進行登入。
建立站點所屬的子網並不難,如下圖所示,右鍵單擊Subnets,選擇“新建子網”。
如下圖所示,我們建立了一個子網192.168.11,然後把這個子網分配給了Beijing站點。
如法炮製,我們為Shanghai 站點建立了192.168.12子網。這樣以後如果有新的域控制器加進來,域控制器根據IP地址就可以自動加入相應的站點。
三定位伺服器
定義了站點子網後,我們接下來就要根據每個域控制器的IP地址來把它們加入不同的站點了。我們準備把Florence和Berlin放在Beijing站點,Firenze和Perth放在Shanghai站點。如下圖所示,右鍵單擊Firenze,選擇“移動”。
然後我們選擇把Firenze移動到Shanghai站點。
用同樣的方法我們把Perth也移動到Shanghai站點,移動後的域控制器分佈如下圖所示,Beijing和Shanghai站點各有兩個。
四 配置站點連結器
現在我們已經配置好了站點子網,然後把域控制器放到了相應的站點中,現在我們要考慮如何配置站點連結器了。站點連結器是一個邏輯控制單元,它並不負責域控制器之間的物理連線,那應該是電信部門負責的事情,即使沒有站點連結器,域內的這些處於不同城市的計算機也是可以在網路層實現聯通的。連結器的作用是對不同站點間的資料傳遞進行控制,以便最大限度地利用好站點間的窄帶鏈路。
有了站點之後,顯然域控制器之間的AD複製應該優先在本站點內進行,然後站點會選出一個“橋頭伺服器”代表所在的站點和其他站點的“橋頭伺服器”進行通訊,這樣AD的更改就可以通過兩個站點間的“橋頭伺服器”進行跨越站點的傳遞。AD複製在站點內的域控制器進行時是不壓縮的,而AD複製如果跨站點進行則需要壓縮。跨站點的AD複製拓撲是由ISTG(站點間拓撲生成器)來設計的。ISTG和KCC不同,KCC負責站點內的拓撲設計,ISTG負責站點間的拓撲設計。
我們接下來看看如何利用站點連結器來控制站點間的資料傳輸,目前Beijing和Shanghai兩個站點間使用的是一個預設的站點間連結。如下圖所示,我們開啟“Active Directory站點和服務”,我們可以看到Inter-Site-Transports下面有IP和SMTP兩個子項,這是告訴我們站點間資料複製可以使用IP協議或SMTP協議。一般我們都選擇使用IP,如果使用IP,站點間的資料傳輸將使用RPC協議,這種協議可以傳輸AD的全部內容而SMTP則只能傳輸AD的部分內容。現在Beijing站點和Shanghai站點之間使用的就是基於IP的站點連結器。
我們開啟預設的站點連結器,檢視屬性,如下圖所示,我們在常規屬性中可以看到這個站點連結器連線了Beijing和Shanghai兩個站點。然後我們可以看到站點連結器的開銷是100,開銷反映了站點間連線速度的快慢,開銷值越小,速度越快。站點間的開銷是個相對值,並不具體對應實際的連線速度,因此目前兩個站點間的開銷值並沒有太多的討論價值,因為沒法和其他站點的開銷值進行比較。如果有更多的站點,那站點開銷的意義就凸顯出來了。例如我們現在有北京,上海和廣州三個站點,其中北京和上海之間是用2M的專線連線,北京和廣州之間是用64K的專線連線,上海和廣州之間則用的是10M的專線。那麼北京的域控制器更改了AD,如何傳遞給廣州站點內的域控制器呢?從拓撲看,顯然從北京直接傳到廣州就不如先從北京傳到上海,再經過上海傳到廣州合算。我們怎麼才能讓KCC知道這個情況呢?通過站點開銷就很容易做到,例如我們可以設定北京站點到廣州站點的開銷值是100,而北京到上海的開銷值是20,上海到廣州的開銷值是10。這樣一來KCC在計算站點間連結時就可以通過開銷值的量化指標判斷出100>10+5,因此KCC在安排北京站點和廣州站點間的AD複製時會優先讓AD資料先從北京站點複製到上海站點,再從上海站點複製到廣州站點。值得注意的是,站點開銷值是一個巨集觀上的相對值,並不具體對應傳輸速率。
站點間的預設複製頻率是180分鐘,也就是預設情況下三個小時才跨站點複製一次,這個頻率比站點內的AD複製低了很多,顯然是為了適應廣域網上的低速鏈路。
點選站點常規屬性中的“更改計劃”,我們可以設定站點間資料傳輸的時間段,這個設定顯然有利於避開窄帶利用的高峰期,在適當的時機用適當的節奏進行站點間的資料傳遞。
站點配置完畢後,我們檢查DNS伺服器,發現DNS中已經有了相關的SRV記錄。如下圖所示,我們發現Beijing和Shanghai兩個站點的SRV記錄已經出現在區域中了,這樣的話有利於客戶機通過查詢DNS來定位出和自己所屬站點內的域控制器。
我們舉個例子來說明DNS中和站點有關的SRV記錄的作用,有一臺客戶機Istanbul,IP地址是192.168.12.107。如下圖所示,我們準備把它加入域,看看Istanbul加入域的過程。
我們用抓包器追蹤Istanbul加入域的過程,如下圖所示,我們可以看到Istanbul向DNS伺服器發起查詢,要求查詢shanghai站點內的域控制器。顯然Istanbul已經知道了自己屬於shanghai站點,優先聯絡shanghai站點內的域控制器,這樣我們設定站點的目的也就達到了。
目前四臺域控制器都在一個站點中,如下圖所示,就是預設的Default-First-Site-Name。根據我們本次實驗的具體情況,我們需要把北京和上海的域控制器分為兩個站點,為完成這個任務,我們需要進行下列操作:
一 建立站點
一建立站點
預設情況下所有的域控制器都在一個站點內,但目前我們需要兩個站點,一個用於管理北京的計算機,一個用於管理上海的計算機。因此我們需要建立一個新站點,同時把原先的預設站點改名即可。首先我們先把原來的預設站點Default-First-Site-Name改名為Beijing,我們在域控制器Florence上開啟Active Directory站點和服務,,如下圖所示,右鍵點選原來的預設站點,選擇“重新命名”。
重新命名後的結果如下圖所示,預設站點已經改名為Beijing。
接下來我們來建立一個新站點Shanghai,如下圖所示,右鍵點選“Sites”,選擇新站點。
如下圖所示,新站點取名為Shanghai,我們為Shanghai站點選擇了一個預設的站點連結器,關於這個站點連結器的作用我們將在後面的內容中予以介紹。
Shanghai站點建立完畢後,系統提示我們要進行如下圖所示的後續操作,我們接下來將按照提示實現對站點的配置。
二 定義站點子網
現在我們有了Beijing和Shanghai兩個站點,接下來要考慮如何定義站點內的IP子網。如果不同的站點管轄了不同的IP子網,那麼對域內的計算機來說是非常有利的,域控制器只要根據自己的IP地址就可以判斷出自己應該隸屬於哪個站點,域內的客戶機登入到域時也會根據自己的IP地址來查詢同一站點內的域控制器進行登入。
建立站點所屬的子網並不難,如下圖所示,右鍵單擊Subnets,選擇“新建子網”。
如下圖所示,我們建立了一個子網192.168.11,然後把這個子網分配給了Beijing站點。
如法炮製,我們為Shanghai 站點建立了192.168.12子網。這樣以後如果有新的域控制器加進來,域控制器根據IP地址就可以自動加入相應的站點。
三定位伺服器
定義了站點子網後,我們接下來就要根據每個域控制器的IP地址來把它們加入不同的站點了。我們準備把Florence和Berlin放在Beijing站點,Firenze和Perth放在Shanghai站點。如下圖所示,右鍵單擊Firenze,選擇“移動”。
然後我們選擇把Firenze移動到Shanghai站點。
用同樣的方法我們把Perth也移動到Shanghai站點,移動後的域控制器分佈如下圖所示,Beijing和Shanghai站點各有兩個。
四 配置站點連結器
現在我們已經配置好了站點子網,然後把域控制器放到了相應的站點中,現在我們要考慮如何配置站點連結器了。站點連結器是一個邏輯控制單元,它並不負責域控制器之間的物理連線,那應該是電信部門負責的事情,即使沒有站點連結器,域內的這些處於不同城市的計算機也是可以在網路層實現聯通的。連結器的作用是對不同站點間的資料傳遞進行控制,以便最大限度地利用好站點間的窄帶鏈路。
有了站點之後,顯然域控制器之間的AD複製應該優先在本站點內進行,然後站點會選出一個“橋頭伺服器”代表所在的站點和其他站點的“橋頭伺服器”進行通訊,這樣AD的更改就可以通過兩個站點間的“橋頭伺服器”進行跨越站點的傳遞。AD複製在站點內的域控制器進行時是不壓縮的,而AD複製如果跨站點進行則需要壓縮。跨站點的AD複製拓撲是由ISTG(站點間拓撲生成器)來設計的。ISTG和KCC不同,KCC負責站點內的拓撲設計,ISTG負責站點間的拓撲設計。
我們接下來看看如何利用站點連結器來控制站點間的資料傳輸,目前Beijing和Shanghai兩個站點間使用的是一個預設的站點間連結。如下圖所示,我們開啟“Active Directory站點和服務”,我們可以看到Inter-Site-Transports下面有IP和SMTP兩個子項,這是告訴我們站點間資料複製可以使用IP協議或SMTP協議。一般我們都選擇使用IP,如果使用IP,站點間的資料傳輸將使用RPC協議,這種協議可以傳輸AD的全部內容而SMTP則只能傳輸AD的部分內容。現在Beijing站點和Shanghai站點之間使用的就是基於IP的站點連結器。
我們開啟預設的站點連結器,檢視屬性,如下圖所示,我們在常規屬性中可以看到這個站點連結器連線了Beijing和Shanghai兩個站點。然後我們可以看到站點連結器的開銷是100,開銷反映了站點間連線速度的快慢,開銷值越小,速度越快。站點間的開銷是個相對值,並不具體對應實際的連線速度,因此目前兩個站點間的開銷值並沒有太多的討論價值,因為沒法和其他站點的開銷值進行比較。如果有更多的站點,那站點開銷的意義就凸顯出來了。例如我們現在有北京,上海和廣州三個站點,其中北京和上海之間是用2M的專線連線,北京和廣州之間是用64K的專線連線,上海和廣州之間則用的是10M的專線。那麼北京的域控制器更改了AD,如何傳遞給廣州站點內的域控制器呢?從拓撲看,顯然從北京直接傳到廣州就不如先從北京傳到上海,再經過上海傳到廣州合算。我們怎麼才能讓KCC知道這個情況呢?通過站點開銷就很容易做到,例如我們可以設定北京站點到廣州站點的開銷值是100,而北京到上海的開銷值是20,上海到廣州的開銷值是10。這樣一來KCC在計算站點間連結時就可以通過開銷值的量化指標判斷出100>10+5,因此KCC在安排北京站點和廣州站點間的AD複製時會優先讓AD資料先從北京站點複製到上海站點,再從上海站點複製到廣州站點。值得注意的是,站點開銷值是一個巨集觀上的相對值,並不具體對應傳輸速率。
站點間的預設複製頻率是180分鐘,也就是預設情況下三個小時才跨站點複製一次,這個頻率比站點內的AD複製低了很多,顯然是為了適應廣域網上的低速鏈路。
點選站點常規屬性中的“更改計劃”,我們可以設定站點間資料傳輸的時間段,這個設定顯然有利於避開窄帶利用的高峰期,在適當的時機用適當的節奏進行站點間的資料傳遞。
站點配置完畢後,我們檢查DNS伺服器,發現DNS中已經有了相關的SRV記錄。如下圖所示,我們發現Beijing和Shanghai兩個站點的SRV記錄已經出現在區域中了,這樣的話有利於客戶機通過查詢DNS來定位出和自己所屬站點內的域控制器。
我們舉個例子來說明DNS中和站點有關的SRV記錄的作用,有一臺客戶機Istanbul,IP地址是192.168.12.107。如下圖所示,我們準備把它加入域,看看Istanbul加入域的過程。
我們用抓包器追蹤Istanbul加入域的過程,如下圖所示,我們可以看到Istanbul向DNS伺服器發起查詢,要求查詢shanghai站點內的域控制器。顯然Istanbul已經知道了自己屬於shanghai站點,優先聯絡shanghai站點內的域控制器,這樣我們設定站點的目的也就達到了。