ad活动目录,解决方案,ppt 篇一：活动目录AD解决方案客户现状：现在客户在各地共有4个办公点。

每个点采用的是独立的域环境。

现在客户希望将分散在各地的办公点连接起来，能够实现各地间的访问与共享。

一、客户方案：通过VPN技术实现网络的互联，并通过林间的信任来实现各地间的互相信任，以达到共享与访问。

客户的方案如下：拓扑图如下：由于客户各地点域已经建立，现在需要做的如下： 1、DNS的转发：作用：处理本地没有应答的DNS查询。

方法：每个域内的DNS服务器都需要做到其他域的DNS 转发，以便于DNS的解析。

2、信任关系的建立作用：为了使不同域可以互相访问。

方法：在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。

在这里建立A,B的相互信任，B,C的相互信任，C,D的相互信任，A,D的相互信任（一但前三个相互信任形成，则第四个A，D的相互信任自动形成。

） 3、 WINS服务器的安装作用：信任域间可以通过主机名称进行访问。

方法：每个域建立独立的WINS服务器，并与其他域内的WINS服务器建立“推/拉”伙伴关系，实现域间WINS服务器的同步。

各域客户端WINS服务器指向本地服务器。

说明：每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。

二、单域多站点结构方案拓扑图：方案描述如下：所有站点处于同一个域下，每个站点的子网不相同。

在A站点建立主DC服务器,其他站点分别建立额外DC，如, , 实现方法：1. 子网划分：分配各个站点的子网，要求子网不能够相同，比如A站点/24B站点 /24; C站点/24; D站点/242. 主DC的建立：A站点域控制器集成AD与DNS服务，并且在DNS上做转发，实现对外网的访问。

在A站点建立域内主DC，DNS地址指向本地地址。

3. 额外DC的建立：首先DC的DNS指向主DC的DNS地址。

在新建DC的时候选择创建“额外域控制器”。

建立完成后修改DNS地址为本机地址，并在DNS服务器上做到主DC服务器地址的转发。

4. 站点的划分与配置：1.作用：1.优化客户端的登录。

当域用户在上海或广东的客户端上登录时，DNS会替客户端找点内的DC，这样就加快了身份验证过程。

2.优化AD的复制。

每个DC之间要同步AD数据库，如果不划分站点这个同步无时无刻都在进行，而且数据是不压缩的。

如果划分了站点这个过程变的可控，特别是在多站点的情况下，优越性更加突出.2.站点的划分：1.创建新站点：打开”AD站点与服务”管理工具，在sites上右击选“新站点”，输入相对应的名字，并选择defaultipsitelink，单击确定。

以此方法分别建立名称为B,C,D的三个站点，并将默认站点名称修改为A.2.新建子网：在“AD站点与服务”管理工具中，右击subnets选择创建新的新建子网，创建四个子网并使其与相应的站点对应。

3.移动DC:在“AD站点与服务”管理工具中，拖动DC 至相应的站点的 Server下。

4.站点连接的创建与配置：选择“Inter-Site transport”下IP,右击选择新站点连接，为站点连接起对应的名称，并将要连接的站点添加到站点连接中。

这里需要建立A到B,C,D的站点连接，B到C,D的连接，C到D的连接即可。

最后设置每条连接的属性。

可以设置连接的开销值（物理链路带宽越高值越小，优先级越高）与复制频率，并通过计划修改复制的时间。

（全局编录）设置：A点默认为GC,为解决可能出现的域用户不能登陆问题，将BCD同样启用GC。

方法是编辑每个站点的NTDS setting属性，启用GC.设置：A站点DNS建立主要区域（已经完成）。

BCD建立DNS辅助区域方法：在BCD上安装DNS服务，在DNS控制台选择“正向查找区域”，创建新区域，选择创建辅助区域，输入已创建域名以及A点DNS地址 ,进行DNS信息的复制。

注意：站点内客户端DNS指向本地DNS服务器服务器设置：各站点建立WINS服务器，并且各站点建立复制伙伴关系，以实现跨网段的网上邻居互访。

（根据实际情况决定服务器之间采用自动复制还是手动复制）三．多域多站点结构方案拓扑如下:分析：根据情况设计四个域，A点为根域，BCD分别为子域，这是逻辑结构,这样的好处是分站点自己管理域和DNS子网设计：每个站点子网必须不同，比如A:/24 B:/24 C: /24 D:/24GC(全局编录)设计：解决用户跨越登录问题。

这里采用每个站点都设计GC.设计过程：1. 根域的设计：A站点DC安装AD,建立新域,并设计好DNS。

2. 站点的创建：新建三个站点为BCD，并创建新的子网与之相对应。

默认站点该为A.3. 子域的设计：BCD三个点建立为现有域的子域，比如：方法：BCD 三点DC 的DNS指向A点DNS服务器，运行AD安装服务，选择建立现有域的子域。

4. DNS设计：采用DNS的区域委派方法：1.根域上删除已建立的BCD三个子域的记录。

2.在根域上建立子域的委派，并设置要委派的分站点DNS地址。

3.在根域上启用到分站点的区域复制4.分站点建立DNS服务器（IP地址要同根域委派的地址对应），并创建子域的DNS主要区域。

5.子域的DNS指向自己。

的设计：为避免容易出现的跨域登陆缓慢，采用每个站点DC都启用GC.服务器：每站点建立WINS服务器，各服务器间建立复制伙伴关系。

根据实际环境采用自动或手动复制方式。

篇二：活动目录 AD 学习笔记活动目录 AD 学习笔记上传初学AD的第一篇笔记- -嘿嘿，终于还是想到创建BLOG来监督我的学习进度了。

那就先整理一下我初学WIN2K3 AD的笔记吧！一、标准目录简介要理解网络目录如何工作，很大程度上意味着必须理解用于设计目录的建议标准。

不规定网络目录的实现方法，和OSI（Open Systems Interconnection）一样，它只是一种模型，在此之上，各厂商建造自已的产品。

的技术规范目的是提供一种机制，以保证不同厂商的产品可以相互访问信息的通用方法————也就是说，规定了目录技术用以实现互操作性而采用的模式。

季员会设想了目录的三种基本用途，人与人之间的通信(Interpersonal Communication)、系统间通信(Intersystem communication)、认证服务(Authentication Services)。

任何网络目录结构的设计都有两个主要目的：对象识别和对象组织！对象识别保证结构内的每个对象都有某种惟一识别符。

每个惟一识别符都对应某个资源。

惟一识别符允许读者在目录数库中指定特定的对象。

对象组织允许目录中的数据被分成子集。

结构规定了给对象进行惟一命令的通用办法，还提供了一旦对象创建后组织这些对象可使用的框架。

它还提供其他必要的服务：在多台服务器上分布数据，复制数据库部分到多台服务器，以及访问目录时使用的多种协议。

它采用和DOS类似的“树”型结构。

在树中，对象被称做叶。

叶对象就是不包含其他对象的任何对象。

定义如下类型的容器：Country(国家)，用C对象表示;Organization(组织)用O 对象表示;Location(位置)用L表示;Organization Unit(组织单位)用OU表示。

轻量协议就是任何一类针对在高速互联网中使用而设计的协议。

高速传输协议 (HSTP)、Xpress 传输协议 (XTP)、以及轻量目录访问协议 (LDAP) 都是这类协议。

轻量协议采用比传统的网络和传输层协议更简单而有效的方式将路由和传输服务集成起来。

这样就使以更高的效率在 ATM 或 FDDI 等高速网络和光缆等媒体上进行传输成为可能。

轻量协议采用多种措施和改进方法使传输简化和加速，例如采用 TCP/IP 等面向连接的传输以及固定报头和报尾大小，进而能节省随每个数据包传输目的地地址的开销。

轻量目录访问协议 (LDAP) 是协议中DAP协议的一个子集。

LDAP 独立于厂家，并可与配合使用，但非一定要求与 DAP 配合使用。

DAP（目录访问协议）被专门设计为通过将大量功能转移到客户计算机以减少目录服务器的工作量。

另一项功能是限制服务器的资源使用，可以从时间、容量、范围和搜索的优先级主面限制用户的查询。

LDAP提供DAP的多数功能，对客户设备的要求较低，其次，通过使LDAP成为更以服务器为中心的服务，可以使用这个标准与厂商特定的目录通信。

所以，LDAP 客户机与 DAP客户机相比，规模更小、速度更快、实现更简单。

与相反，LDAP 支持进行任何类型的 Internet 访问所必须的 TCP/IP。

LDAP 是一种开放式协议，而应用程序则独立于主持目录的服务器平台。

LDAP的一些特定服务，其基本过过程：1.客户向网络服务器的LDAP服务发出读取请求。

2.如有必要，LDAP服务器可以向操作系统进行用户识别。

3.然后，LDAP服务将请求转换成被访问目录适合的格式。

服务将请求提交目录服务器的DUA。

5.目录服务器将请求的信息传回LDAP服务。

服务将请求的信息返回给客户。

Active Directory 不是一种目录。

相反，它采用LDAP 作为访问协议，且支持信息模式，而不要求系统承担所有的开销。

这样做就可以提供较高的互操作性，而这种互操作性恰恰是管理现实生活中的异机种网络所必须的。

Active Directory 可支持从任何使用 LDAP 的客户端通过 LDAP 协议进行的访问。

LDAP 名称不如 Internet 名称那样直观，但是 LDAP 命名的复杂性通常被应用程序所掩盖。

LDAP 名称采用被称作“属性命名”的命名规则。

LDAP URL 给主持 Active Directory 服务的服务器以及对象的属性名称命名。

例如： LDAP:///CN=jamessmith,OU=Sys,OU=Product, OU=Division,O=myco,C=USLDAP C API (RFC 1823) 是一种指导性的 RFC，是编写 LDAP 应用程序 C 语言编程的事实上的标准。

通过将 DNS 和命名标准、LDAP、其他关键协议以及丰富的 API 的最佳功能结合起来，Active Directory 可对所有资源进行集中管理，这些资源包括：文件、外围设备、主机连接、数据库、Web 访问、用户、以及其它对象、服务、和网络资源。

在NT网络中的三种服务器类型：1.主域控制器（PDC）2.备份域控制器（BDC）3.成员服务器成员服务器（member server）是采用NT服务器作为操作计算机，但些操作系统不包含域账户数据的复本。

PDC 和BDC的工作方式：NT域的域账户数据库复本在单主域环境(sing-master environment)中组织。