1、Active Directory站点和服务分步指本指南说明如何使用“ Active Directory站点和服务”管理单元来管理局域网 (LAN)中单个站点内部和广域网(WAN)中多个站点之间的复制拓扑。本页内容简介概述使用“站点和服务”工具附录：复制拓扑概念其他资源简介逐步式指南Windows Server 2003部署分步指南提供了很多常见操作系统配置的实际操作经 验。本指南首先介绍通过以下过程来建立通用网络结构：安装Windows Server 2003；配置 Active Directory；安装 Windows XP Professional 工作站并最 后将此工作站添加到域中。后续

2、分步指南假定您已建立了此通用网络结构。如果 您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。通用网络结构要求完成以下指南。第一部分：将Windows Server 2003安装为域控制器第二部分：安装Windows XP Professional工作站并将其连接到域在配置通用网络结构后，可以使用任何其他的分步指南。注意，某些分步指南除 具备通用网络结构要求外，可能还需要满足额外的先决条件。任何额外的要求都 将列在特定的分步指南中。Microsoft Virtual PC可以在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004 或 Micros

3、oft Virtual Server 2005)来实施 Windows Server 2003 部署分步 指南。借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。 Virtual PC 2004和Virtual Server 2005就是为了在软件测试和开发、旧版 应用程序迁移以及服务器整合方案中提高操作效率而设计的。Windows Server 2003部署分步指南假定所有配置都是在物理实验室环境中完成 的，但大多数配置不经修改就可以应用于虚拟环境。这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。重要说明此处作为例子提到的公司、组织、产品、域名、电子邮件地址

4、、徽标、个人、地 点和事件纯属虚构，我们决无意影射，任何人也不应由此臆猜，任何真实的公司、 组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。此通用基础结构是为在专用网络上使用而设计的。此通用基础结构中使用的虚拟 公司名称和域名系统(DNS)名称并没有为在Internet上使用而进行注册。您 不应在公共网络或Internet上使用此名称。此通用基础结构的Active Directory服务结构用于说明“Windows Server 2003更改和配置管理”如何与Active Directory配合使用。不能将其作为任 何组织进行Active Directory配置时都可以使用的模型。返回

5、页首“Windows Server 2003 Active Directory站点和服务”管理单元的主要用途 是对LAN中单个站点内部以及WAN中多个站点之间的企业环境的复制拓扑进 行管理。注意：附录中提供了有关如何执行Active Directory服务复制的附加信息。如 果您对复制不太熟悉，您可能需要先查阅一下附录中的内容，然后再继续。站点站点是指网络中具有高带宽连接的区域；如果给它下个定义，它就是一个基于 Internet协议(IP)子网且连接状况良好的计算机集合。由于站点控制着进行 复制的方式，因此使用“站点和服务”管理单元所做的更改将影响域内相隔很远 的域控制器(DC)之间的通讯效率

6、。站点在概念上不同于基于Windows Server 2003的域，因为一个站点可以跨越 多个域，而一个域也可以跨越多个站点。站点并不属于域名称空间的一部分。站 点控制域信息的复制，并可以帮助确定资源位置的远近。例如，工作站在其站 点内选择一个DC来进行验证。为了确保Active Directory服务能够正确进行复制，将在所有DC中运行一种 称为“知识一致性检查器（KCC）”的服务，该服务自动在同一站点内的各个计算 机之间建立连接。这些计算机被称为“Active Directory连接对象”。管理员 可以建立其他的连接对象，也可以删除连接对象。但是，在任意时刻，如果某一 站点内的复制无法进行

7、或出现单点故障，KCC将会介入并新建所需数量的连接对 象以继续进行Active Directory复制。假定站点间复制是在较高成本或较低速度连接上进行的。这样，站点间复制的机 制允许选择其他传输方式，并且此机制是通过创建站点链接和站点链接桥来建立 的。Default-First-Site第一个站点是您在企业的第一个域控制器上安装Windows Server 2003时自动 建立的。建立的第一个站点被称为“Default-First-Site”。您可以在以后重命 名此站点，也可以保留该名称。网络上站点的复制拓扑可以控制以下两方面：进行复制的位置，如哪些DC直接与同一站点内的哪些其他DC通讯。此外

8、， 此拓扑还控制站点间的通讯方式。进行复制的时间。可以完全由管理员来安排站点间复制。同一站点内DC间的 复制以通知为基础，在对域内某个对象进行更改后，5分钟内就会将通知发送 出去。所有新提升的DC将放置在“站点”容器中，该容器会在安装时应用到这些 DC。例如，运往加利福尼亚的服务器可能早在夏威夷毛伊岛数据中心就已建立并 配置完毕；因此，“配置您的服务器向导”将该服务器放在毛伊岛站点中。当它 到达加利福尼亚后，可使用“站点和服务”管理单元将该服务器对象移到新站 点中。您可以使用“站点和服务”管理单元的站点部分完成以下操作：显示企业内的有效站点。例如，Default-First-Site可能是“H

9、eadquarters” 等站点的名称。您可以创建、删除或重命名站点。显示参与某站点的服务器。您可以删除服务器或在站点间移动服务器。（注意: 尽管也可以手动添加服务器，但是添加服务器的任务通常是在域控制器安装过 程中自动完成的。）显示使用站点知识的应用程序。Active Directory拓扑位于SitesDefault-First-SiteServers。它只包含那些参与特定站点的服务器， 而与域无关。要查看任何给定服务器的连接，请显示SitesDefault-First-SiteServersserverNTDS Settings。每台服务器都 有连接和计划，它们共同控制对该站点中其他服务

10、器进行的复制。连接。对于要进行双向复制的两台计算机，必须有一个从第一台计算机到第二 台计算机的连接，还必须有一个从第二台计算机到第一台计算机的辅助连接。计划。在站点内，新目录增量的拉动式复制大约每5分钟在服务器间进行一 次。计划在站点内是非常重要的，在某伙伴的连接对象损坏后，它强制定期向 入站伙伴发送通知。此类通知通常每6小时进行一次。此外，计划对于控制 站点间的拉动式复制也是非常重要的。（站点间没有5分钟进行一次的自动 复制。）显示站点间的传输和链接。传输表示在所选站点间进行通讯所使用的协议（例 如IP等）。显示子网。管理员可以利用子网，将IP地址范围与站点关联在一起。先决条件第一部分：将W

11、indows Server 2003安装为域控制器安装其他域控制器的分步指南建立站点到站点虚拟专用网络连接的分步指南返回页首使用“站点和服务”工具启动“Active Directory站点和服务”工具在“HQ-CON-DC-01”上，单击“开始”按钮，指向“所有程序”，指向“管理 工具”，然后单击“Active Directory站点和服务”。此时将出现一个控制 台（如图1所示）。图1. “Active Directory站点和服务”管理单元更改站点属性更改 Default-First-Site-Name单击“ + ”号展开“Sites”树。在控制台左窗格中，右键单击“Default-Firs

12、t-Site-Name”，然后单击“重 命名”。键入“Seattle-WA”，然后按 “Enter” 键。创建新站点在Active Directory中，站点表示网络的物理结构或拓扑。Active Directory 使用拓扑信息（作为站点和站点链接对象存储在目录中）来建立最有效的复制拓 扑。可使用“ Active Directory站点和服务”来定义站点和站点链接。站点是 一组连接状况良好的子网。站点与域不同；站点表示网络的物理结构；而域表示 组织的逻辑结构。要添加新站点，请按照以下步骤操作：在控制台左窗格中，右键单击“Sites”，然后单击“新站点”。在“新建对象-站点”对话框中，键入“V

13、ancouver-BC”作为新站点的名 称。单击以突出显示“DEFAULTIPSITELINK”，然后单击“确定”。（注意：站点链接将在下文中进行介绍。）查看Active Directory消息框信息，然后单击“确定”。在站点内移动计算机现在，您可以从各站点的“Servers”容器内将计算机从其他站点移到此站点中。注意：向站点中分配计算机是根据计算机的IP地址和子网掩码进行的。客户 端和成员服务器所采取的站点分配处理方式不同于域控制器的分配方式。对客户 端而言，站点分配是在登录过程中根据其IP地址和子网掩码动态确定的。对于 域控制器而言，站点成员身份是根据Active Directory中其关

14、联服务器对象的 位置来确定的。要将计算机移到某一站点，请按照以下步骤操作：在“Active Directory站点和服务”管理单元中，单击“Seattle-WA”旁边 的“ + ”号，然后单击“Servers”。在结果窗格中，右键单击HQ-CON-DC-02”，然后单击“移动”。在“移动服务器”对话框中，单击“Vancouver-BC”（如图2所示），然后 单击“确定”。图2.在站点之间移动计算机重复步骤 2 和 3，将“HQ-CON-DC-03” 移到 “Vancouver-BC” 站点中。在左窗格中，单击“Vancouver-BC ”旁边的 + ”号，然后单击“Servers”， 检查两台

15、服务器现在是否均已分配给该站点。使用子网正如前面所述，站点就是通过高速网络（如LAN）连接好的一组计算机。同一 站点内的所有计算机通常都位于同一建筑物内，或位于同一校园网中。单一站点 由一个或多个IP子网组成。子网是IP网络的分网，每个子网都拥有其自己的 唯一网络地址。子网地址对相邻计算机进行分组的方法与邮政编码对相邻邮寄地 址进行分组的方法非常相似。每个站点都关联着一个或多个子网。要为特定站点添加子网，请按照以下步骤操作：在控制台左窗格中，单击“Subnets”，右键单击Subnets”，然后单击“新 建子网”。在“新建对象-子网”框中，键入“地址”和“掩码”数字（如图3所示）， 单击以突出

16、显示“Vancouver-BC”，然后单击“确定”。图3.添加子网在正确创建子网后，它将出现在“Subnets”文件夹下。尽管在创建期间子网与 Vancouver-BC站点相关联，但可以将其修改为指向其他站点。要将子网与特定站点相关联，请按照以下步骤操作：在“Subnets”文件夹下，右键单击“/24”子网，然后单击“属 性”。在“/24属性”对话框中，从列表框中选择与此子网相关联的站点（如图4所示），然后单击“确定”。图4.将子网与站点相关联单击“位置”选项卡，然后提供此站点位置的描述。对于此示例，键入 “Vancouver”，然后单击“确定”。站点链接在两个或多个站点之间创建站点链接是一种

17、影响复制拓扑的方式。通过创建站点 链接，您可以为Active Directory提供有关可用连接、首选连接以及可用带宽 等信息。Active Directory将使用此信息来选择可提供最佳复制性能的时间和 连接。对于计划在多个站点之间进行的复制，每两个进行复制操作站点之间都必须协商 一种通讯传输协议。通常，站点链接基于IP协议。要建立站点链接，请按照以下步骤操作：单击“Inter-Site Transports”旁边的 + ”号，右键单击“IP”，然后单击“新站点链接”。在“新建对象-站点链接”对话框中，键入“PNW-Slow Connection作为“名称”（如图5所示），然后单击“确定”。

18、图5.创建站点链接在“IP”站点链接的右侧结果窗格中，双击新创建的“PNW-Slow Connection ”链接。在“PNW-SlowConnection属性”对话框中，键入“每24小时复制一次”作 为“描述”，将“复制频率”设置更改为“1440”，然后单击“确定”。注意：如果删除DEFAULTIPSITELINK，则Seattle和Vancouver之间的复制每 24小时使用IP协议通过“PNW-Slow Connection站点链接执行一次。站点链接桥默认情况下，所有站点链接都是桥接的，或是可传递的。这样，未通过显式站点 链接相连的任意两个站点都可以通过中间站点链接和站点链直接进行通讯。

19、桥接 所有站点链接的一个优点是更易于维护网络，因为您不需要创建站点链接来描述 站点对之间的每种可能路径。通常，您可以将自动站点链接桥接保持为启用状态。但是在下列情况下，对于特 定的站点链接，您可能需要禁用自动站点链接桥接，然后手动创建站点链接桥。网络未完全路由（并非每个域控制器都可以直接与其他域控制器进行通讯）。 制订的网络路由或安全策略禁止各域控制器直接与其他各域控制器进行通讯。 Active Directory设计中包括大量站点。返回页首附录：复制拓扑概念复制概述除了规模很小的网络以外，必须将目录数据放在网络中的多个位置，以使所有 用户都有均等机会使用它们。通过复制，Active Dire