基本上说来话长,但不知何故,我发现自己负责在多站点企业中部署服务器,尽管 a) 99% 的时间主要处理路由和交换设备,b) 在使用 Windows Server 方面经验很少,c) 我的老板完全了解这一点,并基本上说“最好开始学习”!显然不是理想的选择!
我之前唯一的服务器经验是为一家只有一个物理位置的企业部署 Windows Server 2008 R2。该服务器将 DNS、DHCP 和 AD DS 全部安装在一台服务器上 - 就像 LAN 一样简单。
我的问题是我不知道如何将 AD DS 从单个物理位置扩展或部署到多个物理位置。
客户有以下要求(对于有经验的人来说可能非常基本):
- 每个物理位置的用户都可以进行本地管理。
- 企业中的任何用户(来自企业的任何分支)都可以使用任何其他分支的机器(如果有权限)。
有人可以告诉我该如何解决这个问题吗(也许还可以给我指出一些关于多个物理位置 AD DS 的优质资源 - 我搜索过 TechNet 但找不到一般的“从这里开始”的文章)。
我是否需要一台 DC 来控制整个森林,并连接其他 DC 来控制每个域?或者每个域都可以使用一台 DC 吗?
由于我完全是新手,因此我对这个主题缺乏了解,深表歉意。
谢谢你的帮助。
答案1
绝不依赖单个域控制器。 总是至少有两个。
听起来你的术语有点混乱。多域名从何而来?
- 您可以拥有(听起来您想要)一个具有多个站点,在这种情况下你要寻找的是Active Directory 站点和服务。它是 2003 年版 adminpack/2008 年版 RSAT(远程服务管理员工具)的一部分。
- 从字面上讲,建立新的 DC 后,您会将其分配给一个站点,因此从实施的角度来看,这只是
dcpromo最后多了一个步骤。(而且这甚至是可选的 - 我似乎见过设置了多个位置但只有一个 AD 站点的公司。)
- 从字面上讲,建立新的 DC 后,您会将其分配给一个站点,因此从实施的角度来看,这只是
- 点击该链接可获得 AD 站点和服务的概述,但其实非常简单。您只需为物理站点设置站点,为站点分配域控制器,设置复制和身份验证策略。
- Active Directory 是一种主-主模式,因此一个和多个之间没有太大区别。
- 注意你的 FMSO 角色。通常最好将它们保存在最大的或家庭办公地点。
- 确保每个人都有权访问全局目录(最简单的方法是用每个 DC 或至少一个站点制作一个全局目录)。
- 密切关注 DC 之间的复制,因为一个 DC 被墓碑化可能会毁了你的一周。
- 熟悉 RSAT 中的 Active Directory 站点和服务工具。它并不是什么火箭科学,也不特别复杂,但对于多个站点,你会发现自己会用到它,因此请确保你熟悉它的设置和用法。