域控制器基础了解
2024-09-01 13:44:42
供稿:网友
域控制器是活动目录域AD中的一个基本元素,很多刚接触活动目录域AD的朋友,不知道该从哪里下手,活动目录域控制器到底是什么意思?有什么用?如何新建立域控制器?主域控制器、额外域控制器有什么区别?域控制器的设备配置备份还原又该如何做?一大堆的问题,都困扰了活动目录域AD的初学者,《域控制器》这篇文章源自微软活动目录域AD操作指南教程,大家通过它可以对如何开始建立活动目录域AD域控制器有一个大致的了解。
域控制器
当您在组织中创建第一个域控制器时,同时也创建了第一个域、第一个林、第一个站点,并安装了 Active Directory。运行 Windows Server 2003 的域控制器存储着目录数据,并管理用户和域的交互,包括用户登录进程、身份验证和目录搜索。域控制器是使用“Active Directory 安装向导”创建的。详细信息,请参阅使用 Active Directory 安装向导 。
注意
不能在运行 Windows Server 2003, Web Edition 的计算机上安装 Active Directory,但可以将该计算机作为成员服务器加入到 Active Directory 域中。有关 Windows Server 2003, Web Edition 的详细信息,请参阅 Windows Server 2003 Web Edition 概述 。
在组织中使用域控制器时,需要考虑需要多少个域控制器、这些域控制器的物理安全性,以及备份域数据和升级域控制器的计划。
确定所需的域控制器数
为了获得高可用性和容错能力,使用单个局域网 (LAN) 的小型组织可能只需要一个具有两个域控制器的域。具有多个网络位置的大型组织在每个站点都需要一个或多个域控制器以提供高可用性和容错能力。
如果您的网络划分为多个站点,那么通常一种较好的做法是在每个站点中至少配置一台域控制器以提高网络性能。当用户登录网络时,作为登录进程的一部分必须联系域控制器。如果客户必须连接位于不同站点的域控制器,那么登录过程将耗费很长的时间。详细信息,请参阅站点间的复制 。
通过在每个站点中创建域控制器,可在站点内更加有效地执行用户登录。有关如何创建其他域控制器的信息,请参阅创建其他域控制器 。
为了优化网络通信,还可以配置域控制器,使其仅在非高峰时间接收目录复制更新。有关如何安排站点复制的信息,请参阅配置站点链接复制可用性 。
当站点的域控制器也是全局编录时,网络性能最佳。这样,该服务器便可完成整个林中的对象查询。然而,使多个域控制器作为全局编录可增加网络的复制通信量。有关全局编录的详细信息,请参阅全局编录的角色 。有关将全局编录添加到站点的详细信息,请参阅全局编录和站点 。
在带有多个域控制器的域中,不能将承担基础结构主机角色的域控制器用作全局编录。详细信息,请参阅操作主机角色 。
物理安全
对域控制器的物理访问会为恶意用户提供对加密密码的未授权访问。因此,建议将您组织中的所有域控制器锁在一个安全的房间里,只允许有限的公开访问。还可以采取其他安全措施(比如 Syskey)以进一步保护域控制器。有关 Syskey 的详细信息,请参阅系统密钥实用程序 。
备份域控制器
可以使用“备份”工具(包含在 Windows Server 2003 家族中)从域中的任何域控制器备份域目录分区数据和其他目录分区的数据。在域控制器上使用备份工具,可以:
当域控制器联机时备份 Active Directory。
使用批处理文件命令备份 Active Directory。
将 Active Directory 备份到可移动媒体、可用的网络驱动器或文件中。
备份其他系统和数据文件。
在域控制器上使用备份工具时,将自动备份所有的系统组件和 Active Directory 所依赖的所有分布式服务。该相关数据(其中包括 Active Directory)总称为系统状态数据。
在运行 Windows Server 2003 的域控制器上,“系统状态”数据包括系统启动文件、系统注册表、COM+(组件对象模型的扩展)的类注册数据库、SYSVOL 目录、“证书服务”数据库(如果已安装)、域名系统(如果已安装)、“群集”服务(如果已安装)和 Active Directory。建议定期备份“系统状态”数据。
有关“系统状态”数据的一般信息,请参阅系统状态数据 。有关如何备份“系统状态”数据的详细信息,请参阅备份系统状态数据 。有关如何还原“系统状态”备份的详细信息,请参阅还原系统状态数据 。
可以使用来自运行 Windows Server 2003 的域控制器中的还原的备份,在运行 Windows Server 2003 的服务器上安装 Active Directory。详细信息,请参阅创建其他域控制器 。
升级域控制器
在运行 Windows NT 4.0 的域控制器上,要成功升级该域,首先需要升级主域控制器 (PDC)。升级 PDC 之后,就可以升级备份域控制器 (BDC)。详细信息,请参阅从 Windows NT 域升级 。
如果您目前有一个不含任何运行 Windows Server 2003 域控制器的 Windows 2000 林,那么需要在准备该林和目标域之后才能升级运行 Windows 2000 的域控制器。详细信息,请参阅从 Windows 2000 域升级