 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
管理active directory用户和计算机
下载积分：1600
内容提示：
文档格式：DOC|
浏览次数：1|
上传日期： 20:04:01|
文档星级：
该用户还上传了这些文档
下载文档:管理active directory用户和计算机.DOC
官方公共微信[原创]什么是Active&Directory(活动目录）？
目录形式的数据存储
个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制，而且所有的域控制器都拥有目录的一个可写副本，所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。
相关概念简述
遵循七原则
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。Active&Directory&结构&(2)
总之，Active Directory 用以下两种方式与 DNS 集成：
Active Directory 域和 DNS 域有相同的分层结构。尽管因目的不同，DNS 和 Active Directory
域的组织名称空间各自独立，实施方法也有所不同，但它们却有相同的结构。例如， 既是一个 DNS 域又是一个
Active Directory 域。
DNS 区域可保存在 Active Directory 中。 如果使用 Windows 2000 DNS 服务，主区域就可以保存在
Active Directory 中，以便复制到其他 Active Directory 域控制器，为 DNS
服务提供增强的安全性。
Active Directory 客户机使用 DNS 来定位域控制器。 为了定位指定域的域控制器，Active Directory
客户机会查询已配置的 DNS 服务器，以查找指定的资源记录。
Active Directory 与全局 DNS 名称空间
Active Directory 被设计成可处于 Internet 全局 DNS 名称空间的范围之内。如果组织使用 Windows
2000 Server 作为其网络操作系统，当该组织需要存在于 Internet 上时，Active Directory
名称空间会作为一个或多个分层的 Windows 2000 域，保留在已注册为 DNS 名称空间的根域名之下。（组织可选择不成为全局
Internet DNS 名称空间的一部分；但即使它这样做，仍要求 DNS 服务定位基于 Windows-2000
的计算机。)
根据 DNS 命名规则，以英文句号 (.) 分隔的 DNS 名称的每部分都代表 DNS 分层树结构的一个节点，以及
Windows 2000 域分层树结构的一个可能的 Active Directory 域名。如图 2 所示，DNS
分层结构的根是一个有空标签 (" ") 的节点。Active Directory 名称空间的根（目录林根）无父根，它提供了指向
Active Directory 的 LDAP 进入点。
图 2. 比较 DNS 与 Active Directory 名称空间的根
SRV 资源记录与动态更新
DNS 独立于 Active Directory，而 Active Directory 却专门设计成与 DNS 协同工作。为了保证
Active Directory 正常运行，DNS 服务器必须支持服务位置 (SRV) 资源记录4。SRV
资源记录把服务名称映射成提供该服务的服务器名称。Active Directory 客户机和域控制器使用 SRV 资源记录确定域控制器的
备注 关于规划 DNS 服务器的部署过程以便支持 Active Directory
域的详细信息，以及其他部署问题，请参阅本文“其它信息”中的 Microsoft Windows 2000 Server
Deployment Planning Guide。
除了要求 Windows 2000 网络的 DNS 服务器支持 SRV 资源记录外，Microsoft 还建议 DNS 服务器为
DNS 动态更新5 提供支持。DNS 动态更新定义了一种协议，以便使用新值或变更值动态更新 DNS 服务器。如果没有 DNS
动态更新协议，管理员必须手动配置由域控制器创建、DNS 服务器保存的记录。
新的 Windows 2000 DNS 服务既支持 SRV 资源记录，又支持动态更新。如果选用不是基于 Windows 2000
的 DNS 服务器，则必须保证该服务器支持 SRV 资源记录，否则应将其升级为支持这些记录的版本。有些旧的 DNS 服务器虽支持
SRV 资源记录，但不支持动态更新，因此，当您将 Windows 2000 Server
提升为域控制器时，必须手动更新这些服务器的资源记录。该过程可使用 Netlogon.dns 文件（位于
%systemroot%\System32\config 文件夹）完成，该文件由 Active Directory
安装向导创建。
Active Directory 创建域控制器
实施和管理网络是一些实际操作。要理解 Active Directory 是如何与实际情况相结合的，就必须先了解：在运行 Windows
2000 Server 操作系统的计算机上安装 Active
Directory，实际是一种把服务器转换成域控制器的操作。一个域控制器只能完全主持一个域。
具体而言，域控制器是一台运行 Windows 2000 Server 的计算机，它已使用 Active Directory
安装向导进行了配置；该向导可安装并配置向网络用户和计算机提供 Active Directory
目录服务的组件。域控制器会存储整个域的目录数据（如系统安全策略和用户身份验证数据），并管理用户和域的交互过程，包括用户登录进程、身份验证以及目录搜索。
使用 Active Directory 安装向导将服务器提升为域控制器的过程，同样或者是创建一个 Windows 2000
域，或者在原有域中添加新的域控制器。
本节阐述了 Active Directory 域控制器的概念，以及它在网络中所扮演的某些重要角色。
由于引入了 Active Directory，Windows 2000 域控制器的功能与“对等”类似。这与 Windows NT
Server 主域控制器 (PDC) 和备份域控制器 (BDC)
扮演的主/从角色有所不同。对等域控制器支持“多主机复制”，可在所有域控制器之间复制 Active Directory
信息。多主机复制的引入意味着管理员可以更新域中任何 Windows 2000 域控制器的 Active Directory。在
Windows NT Server 操作系统中，只有 PDC 有目录的可读写副本，PDC 会把目录信息的只读副本复制到
BDC。（关于多主机复制的详细信息，请参阅“多主机复制”一节的内容。）
如果准备由原有域升级到 Windows 2000
操作系统，则可在方便时分阶段完成升级。如果正在为新的安装创建第一个域控制器，则会在加载 Active Directory
的同时自动形成几个实体。接下来的两小节解释了在新的网络中安装 Active Directory 域控制器的以下几个方面：
第一个域控制器是一个全局编录服务器。
第一个域控制器扮演操作主机角色。
Windows 2000
操作系统引入了全局编录概念，这是一个保存在一个或多个域控制器中的数据库。全局编录在登录用户和查询中扮演重要角色。
默认情况下，全局编录由 Windows 2000
目录林中的初始域控制器自动创建，并且每个目录林必须有至少一个全局编录。如果使用多个站点，您可能希望在每个站点都将一个域控制器指定为全局编录，因为需要全局编录（决定了帐户的组成员身份）完成登录身份验证进程。这是指本机模式域。混合模式域不需要查询用于登录的全局编录。
在目录林中安装了其他域控制器后，就可以用 Active Directory
站点和服务工具将全局编录的默认位置更改为另一个域控制器。您还可根据组织对服务登录请求和搜索查询的要求，选择将任一域控制器配置成主持全局编录。全局编录服务器越多，对用户查询的响应就越快；但启用很多域控制器作为全局编录服务器会增加网络中的复制通信量，因而影响了响应速度。
全局编录执行两个关键的 Active Directory 角色--登录和查询：
登录。 在本机模式域中，全局编录通过为帐户提供通用组成员身份信息6（该帐户将登录请求发送到域控制器），启用 Active
Directory 客户机的网络登录。实际上，不但对 Active Directory
的用户验证，而且对每个对象的身份验证，甚至包括每台计算机的启动，都必须引用全局编录服务器。在多域安装中，为了完成用户登录过程，必须至少有一台包含全局编录的域控制器正在运行，并且有效。当用户以非默认的用户主要名称
(UPN) 登录时，全局编录服务器也必须是有效的。(关于登录的详细信息，请参阅“登录名：UPN 与 SAM
帐户名称”一节的内容)。
如果在用户启动网络登录进程时，全局编录是无效的，则用户将只能登录到本地计算机，而无法登录到网络中。唯一的例外是，如果用户是域管理员
(Domain Admin) 组的成员，就能够在全局编录无效的情况下登录到网络中。
在包含多个域的目录林中，全局编录使客户机能够方便快捷地执行跨所有域的搜索，而不必逐个搜索每个域。全局编录使目录林中的目录结构对查找信息的最终用户透明。绝大多数
Active Directory 网络通信是与查询有关的：
用户、管理员和程序都会请求有关目录对象的信息。查询过程要比目录更新过程的发生频度高得多。如果把不止一个域控制器指定为全局编录服务器，这样虽然会减少对查找目录信息的用户的响应时间，但同时也会导致网络的复制通信量增加；因此，必须平衡好它们之间的关系。
操作主机角色
对有些类型的更改，在对等域控制器之间执行多主机复制是不切实际的；因此，只有一个被称为“操作主机”的域控制器会接受这种更改请求。由于多主机复制在基于
Active Directory 的网络中占有重要地位，因此理解这些例外情况非常重要。在任一 Active Directory
目录林中，安装期间至少会将五个不同的操作主机角色分配给初始域控制器。
当您在新目录林中创建第一个域时，全部五个独立的主机操作角色都会自动分配给该域中的第一个域控制器。在只有一个域和一个域控制器的小规模
Active Directory
目录林中，这个唯一的域控制器仍担当起所有的操作主机角色。在一个较大的网络中，无论它有一个域还是多个域，您都可以重新将这些角色分配给其他的一个或多个域控制器。有些角色必须在每个目录林中出现。有些角色则必须在目录林的每个域中出现。
以下跨整个目录林的两种操作主机角色在目录林中必须是唯一的，即整个目录林中一种操作角色只能有一个：
架构主机。
拥有架构主机角色的域控制器控制对架构的所有更新和修改。架构定义了可在目录中保存的每个对象（及其属性）。要更新目录林的架构，必须拥有架构主机的访问权。
域命名主机。 拥有域命名主机角色的域控制器控制目录林中域的添加或删除。
以下整个域的三个操作主机角色在每个域内都必须是唯一的： 即在目录林的每个域中都只能有一个：
相对标识符 (RID) 主机。 RID 主机为域内的每个域控制器分配 RID
序列。只要域控制器创建了用户、组或计算机对象，该主机就会为对象指定一个唯一的安全 ID (SID)。安全 ID 由域安全
ID（对域中创建的所有安全 ID 都是相同的)和相对 ID (在域中创建的每个安全 ID 都是唯一的)组成。当域控制器用完自己的
RID 池后，会向 RID 主机请求另一个 RID 池。
主域控制器 (PDC) 模拟器。如果域包含未安装 Windows 2000 客户机软件的计算机，或者如果包含 Windows NT
备份域控制器 (BDC)，PDC 模拟器就会充当 Windows NT 主域控制器
(PDC)。它可以处理客户机的密码更改过程，并将更新情况复制到 BDC。对由域中其他域控制器执行的密码更改过程，PDC
模拟器可优先接收到对这些更改情况的复制。如果由于密码错误而导致在另一个域控制器的登录身份验证失败，域控制器会在拒绝登录尝试之前，将验证请求转发给
PDC 模拟器。
基础结构主机。当一个由其他对象引用的对象移动时，基础结构主机负责更新域间的所有引用。例如，只要组成员重新命名或有所更改，基础结构主机就会更新组与用户间的引用。当您重新命名或移动组中的成员（并且成员与组不在同一域中），暂时看起来组中就像没有包含该成员。组所在域的基础结构主机负责更新组，使组能够了解成员的新名称或新位置。
基础结构主机使用多主机复制来对更新情况进行分发。除非域中只有一个域控制器，否则不应把基础结构主机的角色分配给主持全局编录的域控制器。如果这样做，基础结构主机将无法行使其功能。如果域中的所有域控制器都主持全局编录（包括只有一个域控制器的情况），那么所有域控制器都会有当前的最新数据，因而就不需要基础结构主机这一角色了。
只要安装了 Active Directory 域控制器，也就同时创建了初始的 Windows 2000
域，或已在原有域中添加了新的域控制器。域控制器和域是如何适应整个网络体系结构的?
本节介绍基于 Active Directory 的网络组件，以及这些组件的组织方式。此外，还阐述了如何将对部门
(OU)、域或站点的管理责任委派给适当的个体，以及如何将配置设置分配给相同的三个 Active Directory
容器。其中包括以下主题：
对象（包括架构）。
对象命名规则（包括安全主管名称、SID、与 LDAP 相关的名称、对象 GUID 以及登录名）。
对象发布。
域（包括目录树、目录林、信任以及部门）。
站点（包括复制）。
如何将委派和组策略应用于 OU、域和站点。
Active Directory
对象是组成网络的实体。对象是代表用户、打印机或应用程序等一些具体事物的一组不同的、已命名的属性集。当您创建一个 Active
Directory 对象时，Active Directory
会生成一些对象属性的值，其他属性值则由您提供。例如，当您创建用户对象时，Active Directory 会指定全球唯一标识符
(GUID)，而您则提供其他一些属性（如用户的姓、名、登录标识符等等）的值。
“架构”是对“对象类别”（不同类型的对象）及这些对象类别的“属性”的说明。对于每个对象类别，架构定义了对象类别必须具有的属性，它可能具有的其他属性，以及可以成为其父对象的对象类别。每个
Active Directory 对象都是一个对象类别的实例。每一属性只定义一次，但可用在多个类别中。例如，属性
Description 只定义了一次，却已用在许多不同类别中。
架构保存于 Active Directory 中。架构定义本身也作为对象保存--即 Class Schema 对象和
Attribute Schema 对象。这使 Active Directory
可以用管理其他目录对象的同种方法来管理类别和属性对象。
创建或修改 Active Directory
对象的应用程序使用架构来确定以下内容：对象一定或可能有哪些属性；如何依据数据结构和语法限制来描述属性。
对象不是容器对象就是叶对象（又称非容器对象）。容器对象存储其他对象，而叶对象却没有该功能。例如，文件夹是文件的容器对象，而文件则是叶对象。
Active Directory 架构中每一类别的对象都有这样一些属性，它们确保：
目录数据存储区中的每一对象都具有唯一的标识。
对于安全主管（用户、计算机或组），与 Windows NT 4.0 操作系统和早期版本中所用安全标识符 (SID)
的兼容性。
与目录对象名称的 LDAP 标准的兼容性。
架构属性与查询
使用 Active Directory
架构工具能够将属性标记为有索引。这样做的结果是，将该属性的所有实例都添至索引，而不仅仅是添加特定类别成员的实例。为属性建立索引有助于查询能够更加快速地找到具有该属性的对象。
您也可以将一些属性加入全局编录。全局编录包含了目录林中每个对象的一组默认属性，而您可以将自己的选项添加进去。用户和应用程序都使用全局编录在整个目录林中定位对象。只有具有以下特征的属性才可包含在全局编录中：
全局通用。 属性应是查找处于目录林任意位置的对象（即使仅用于读取访问）时需要的属性。
相对稳定。属性应是不变或极少改变的。某一全局编录中的属性会复制到目录林中所有其他全局编录中。如果属性经常变化，则会导致复制通信量骤增。
小型。全局编录中的属性会复制到目录林的每个全局编录中。属性越小，对复制过程的影响程度越低。
架构对象名称
如上文所述，类别和属性都是架构对象。任何架构对象都可以使用下列名称类型中的一种进行引用：
LDAP 显示名。 对于每一架构对象来说，LDAP 显示名是全局唯一的。LDAP
显示名由一个或多个词组合而成，第一个词后面的词的词首字母大写。例如，mailAddress 和
machinePasswordChangeInterval 是两个架构属性的 LDAP 显示名。Active Directory
架构和其他 Windows 2000 管理工具显示对象的 LDAP
显示名；程序员和管理员可使用该名称以编程方式引用对象。关于以编程方式扩展架构的信息请参阅下一小节；关于 LDAP
的详细信息，请参阅“轻型目录访问协议”一节。
公用名。架构对象的公用名也是全局唯一的。可在架构中创建新对象类别或新属性时指定公用名；公用名是在架构中代表对象类别的、对象的相对可分辨名称
(RDN)。关于 RDN 的详细信息，请参阅“LDAP DN 与 RDN 名”一节的内容。例如，上段提及的两个属性的公用名是
SMTP-Mail-Address 和 Machine-Password-Change-Interval。
对象标识符 (OID)。 架构对象的标识符是由颁发机构（如国际标准化组织 (ISO) 和美国国家标准学会
(ANSI)）颁发的数字。例如，SMTP-Mail-Address 属性的 OID 是
1.2.840..4.786。OID 在整个全球网络中确保是唯一的。从颁发机构获得根 OID 后，即可用它来分配其他
OID。OID 是一种分层结构。例如，颁发给 Microsoft 的根 OID 是 1.2.840.113556。Microsoft
内部管理由这个根产生的进一步的分支。其中一个分支用来为 Active Directory 架构类别分配 OID，另一个用于
Active Directory 属性。继续以此为例：Active Directory 中的 OID 是
1.2.840..5.4，表示 Builtin Domain 类，能够按下表 1 所示进行分析。
表 1. 对象标识符 对象 ID 号
&ISO（“根”颁发机构）将 1.2 颁发给 ANSI，然后
&ANSI 将 1.2.840 颁发给 USA，然后
&USA 将 1.2.840.113556 颁发给 Microsoft，然后
&Microsoft 内部管理 1.2.840.113556
下的几个对象标识符分支，其中包括
&一个名为 Active Directory 的分支，它又包括
&一个名为类的分支，它又包括
&一个名为 Builtin Domain 的分支
关于 OID 以及 OID 获取方式的详细信息，请参阅本文档结尾处的“其它信息”。
Windows 2000 Server
操作系统提供了一组默认的对象类别和属性，对许多组织来说这些已足够使用。尽管您无法删除架构对象，但可将其标记为不活动。
有经验的开发者和网络管理员可以定义新类，或定义原有类的新属性，以此来动态扩展架构。我们推荐通过 Active Directory
服务接口 (ADSI) 以编程方式对 Active Directory 架构进行扩展。您也可用 LDAP 数据交换格式
(LDIFDE) 工具。（关于 ADSI 和 LDIFDE 的详细信息，请参阅“Active Directory
服务接口”和“Active Directory 与 LDIFDE”一节的内容。）
如果是为了开发和测试，您也可以使用 Active Directory 架构工具查看并修改 Active Directory
在考虑改变架构时，应切记以下要点：
架构更改是涉及整个目录林的全局过程。
架构扩展是不可逆的（尽管可修改一些属性）。
Microsoft 要求扩展架构的任何人都要遵守 LDAP 显示名和公用名的命名规则（上面的小节已讨论过）。如果要获得“Windows
认证”徽标7，则必须保证这一一致性；详细信息，请参阅 Microsoft Developer Network Web
架构中的所有类别都是由特殊类 Top 衍生的。除 Top 外，所有类都是由另一个类衍生的子类。属性 inheritance
允许您由原有类构建新类。新的子类继承了上一级类（父类）的全部属性。
扩展架构是一种高级操作。关于如何以编程方式扩展架构的详细信息，请参阅本文结尾处“其它信息”一节的内容。
对象命名规则
Active Directory
支持对象名称的几种不同格式，用以适应名称可能会采用的不同形式；采用何种形式取决于名称的使用环境（有些名称是数字形式）。下面的子节说明
Active Directory 对象命名规则的这些类型：
安全主管名称。
安全标识符（又称 安全 ID 或 SID）。
与 LDAP 相关的名称（包括 DN、RDN、URL 以及规范名称）。
对象 GUID。
登录名（包括 UPN 和 SAM 帐户名）。
如果单位有几个域，有可能会在不同域中使用相同的用户名或计算机名。由 Active Directory 生成的安全
ID、GUID、LDAP
可分辨的名称以及规范名称都可唯一地标识目录中的每个用户或计算机。如果用户或计算机对象被重新命名或移至另一个域，虽则安全 ID、LDAP
相对可分辨的名称、可分辨名称和规范名称会发生变化，但由 Active Directory 生成的 GUID 却并未改变。
安全主管名称。
安全主管是由 Active Directory 管理的 Windows 2000 对象，拥有自动分配的安全标识符
(SID)，用于登录身份验证和访问资源。安全主管可以是用户帐户、计算机帐户或组；因此，安全主管名称是用来唯一标识一个域内的用户、计算机或组的名称。安全主管对象必须由所在域的域控制器进行身份验证，并且可授予或剥夺其对网络资源的访问权。
安全主管名称在跨域时并不要求是唯一的，但是，为了实现后向兼容性，该名称在自己的域内必须是唯一的。可以对安全主管对象进行重命名或删除操作，或将其置于嵌套的域分层结构中。
安全主管对象的名称必须符合以下规则：
名称不得与同一域内的任何其他用户、计算机或组名称相同。名称最多可包含 20 个大写或小写字符，但以下字符除外： " / \ [
] : ; | = , + * ? &&
用户名、计算机名或组名不可只包含英文句号 (.) 或空格。
安全 ID (SID)
安全标识符 (SID) 是 Windows 2000
操作系统安全子系统创建的唯一数字，分配给安全主管对象，即分配给用户、组和计算机帐户。网络上的每个帐户都会在首次创建时获得唯一的一个
SID。Windows 2000 操作系统的内部进程引用帐户的 SID，而不是帐户的用户或组名。
每个 Active Directory 对象都由访问控制项 (ACE) 保护，访问控制项能够识别哪些用户或组可以访问该对象。每个
ACE 都包含有权访问该对象的每个用户或组的
SID，并定义了允许进行的访问的级别。例如，一个用户可能对某些文件有只读权限，对另一些文件有读写权限，而对其他的文件则没有访问权限。
假设您先创建了一个帐户，而后又将其删除；然后又以相同用户名创建了一个帐户，此时，新帐户没有旧帐户以前所具有的权限或许可，因为新旧帐户的
SID 号码不同。
与 LDAP 相关的名称-{}-
Active Directory 是一种服从轻型目录访问协议 (LDAP) 的目录服务。在 Windows 2000
操作系统中，所有对 Active Directory 对象的访问都通过 LDAP 进行。LDAP
定义了在目录中查询和修改信息时将执行的操作以及安全访问目录中信息的方式。因此可以说，您正是使用 LDAP
查找或列举目录对象，并查询或管理 Active Directory。（关于 LDAP
的详细信息，请参阅“轻型目录访问协议”一节。）
虽然可按照 LDAP 可分辨名称（本身是对象的一个属性）进行查询，但因为这些名称很难记忆，所以 LDAP
还支持按照其他属性进行查询（例如，按照颜色查找彩色打印机）。这样，即使您不知道可分辨名称，也仍然可以查找对象。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。实战Active Directory站点部署与管理，Active Directory系列之十二 - 谷普下载 |
| 您所在的位置： >
> 实战Active Directory站点部署与管理，Active Directory系列之十二实战Active Directory站点部署与管理，Active Directory系列之十二编辑：欲忘树&&&&来源：谷普下载&&&&更新：&&&&人气：加载中...&&&&字号：|标签：&&&&&&&&&&&&
　　实验拓扑如下图所所示，域中有四个域控制器，分别是Florence，Berlin，Firenze和Perth。其中Florence和Berlin在北京，附属于192.168.11网段；Firenze和Perth在上海，附属于192.168.12网段。由于北京和上海之间使用了一条64K的DDN慢速链路，因此我们有必要使用对域内的计算机进行合理规划，以便能够让域内的计算机在现有的带宽条件下能以最有效率的方式通讯。　　目前四台域控制器都在一个中，如下图所示，就是默认的Default-First-Site-Name。根据我们本次实验的具体情况，我们需要把北京和上海的域控制器分为两个站点，为完成这个任务，我们需要进行下列操作：　　一 创建站点　　二 定义站点子网　　三 定位服务器　　四 配置站点器　　一 创建站点　　默认情况下所有的域控制器都在一个站点内，但目前我们需要两个站点，一个用于北京的计算机，一个用于上海的计算机。因此我们需要创建一个新站点，同时把原本的默认站点改名即可。首先我们先把原来的默认站点Default-First-Site-Name改名为Beijing，我们在域控制器Florence上打开 站点和服务，，如下图所示，右键点击原来的默认站点，选择&重命名&。　　重命名后的结果如下图所示，默认站点已经改名为Beijing。　　接下来我们来创建一个新站点Shanghai，如下图所示，右键点击&Sites&，选择新站点。　　如下图所示，新站点取名为Shanghai，我们为Shanghai站点选择了一个默认的站点器，关于这个站点链接器的作用我们将在后面的内容中予以介绍。　　Shanghai站点创建完毕后，系统提示我们要进行如下图所示的后续操作，我们接下来将按照提示实现对站点的配置。　　二 定义站点子网　　现在我们有了Beijing和Shanghai两个站点，接下来要考虑如何定义站点内的IP子网。如果不同的站点管辖了不同的IP子网，那么对域内的计算机来说是非常有利的，域控制器只要根据自己的IP地址就可以判断出自己应该附属于哪个站点，域内的客户机到域时也会根据自己的IP地址来查询同一站点内的域控制器进行。　　创建站点所属的子网并不难，如下图所示，右键单击Subnets，选择&新建子网&。　　如下图所示，我们创建了一个子网192.168.11，然后把这个子网分配给了Beijing站点。　　如法炮制，我们为Shanghai 站点创建了192.168.12子网。这样以后如果有新的域控制器加进来，域控制器根据IP地址就可以自动加入相应的站点。　　三 定位服务器 　　定义了站点子网后，我们接下来就要根据每个域控制器的IP地址来把它们加入不同的站点了。我们准备把Florence和Berlin放在Beijing站点，Firenze和Perth放在Shanghai站点。如下图所示，右键单击Firenze，选择&&。　　然后我们选择把Firenze到Shanghai站点。　　用同样的法子我们把Perth也移动到Shanghai站点，移动后的域控制器分布如下图所示，Beijing和Shanghai站点各有两个。　　四 配置站点链接器　　现在我们已经配置好了站点子网，然后把域控制器放到了相应的站点中，现在我们要考虑如何配置站点链接器了。站点链接器是一个逻辑控制单元，它并不负责域控制器之间的物理连接，，那应该是电信部门负责的事情，即使没有站点链接器，域内的这些处于不同的计算机也是可以在网络层实现的。链接器的作用是对不同站点间的数据传递进行控制，以便最大限度地利用好站点间的窄带链路。
评论列表（网友评论仅供网友表达个人看法，并不表明本站同意其观点或证实其描述）
分类选择您可能在找这些