分公司AD设计之GC设置
[转]在适当的位置放置了DC之后,就该决定哪台DC宿主GC了。像你分析DC的流量一样,考虑一下GC执行的功能。首先,在域本机模式,GC包含通用组。其次,GC提供一个森林范围的AD对象集。那么,谁需要这些服务呢?
第一个功能是存储通用组,它会影响每一个登录到域的用户。当一个用户登录时,Netlogon服务创建他(她)的访问令牌,还有用户的组成员关系。因为只有GC存储通用组,Netlogon把联系它作为登录过程的一部分以获取用户的通用组成员关系。缺省情况,如果一个用户不能访问GC服务器,他(她)将不能登录。你可以在Windows 2000中修改注册表(违反安全性)或通过Windows Server 2003的通用组缓存特性绕过这一限制。当用户在站点第一次登录时通用组缓存打开,在该站点的Windows Server 2003 DC会缓存你的通用组成员关系并且从另一个站点的GC周期性的刷新缓存中的记录。
第二个功能是作为森林范围的AD参考,这一功能在很大程度上影响GC服务器的放置位置。消息应用程序(如服务器上的Exchange 2000及后续版本和客户机上的Microsoft Outlook)是GC的最主要的用户。Windows Server 2003和Windows 2000把邮件地址作为AD用户对象的属性存储。Exchange 2000和后续版本的服务器及Outlook客户端使用GC实现名称到电子邮件地址的转换;在哪个平台上优先执行查找决定于Outlook的版本。对于消息服务通用组缓存帮不上什么忙,因为需要从GC获得电子邮件地址属性时并不查找通用组。如果有Exchange 2000的后续版本的用户在设有DC的远程办公室工作,尽量考虑把该DC配置为GC服务器,否则用户需要穿过广域网链路查询电子邮件地址。如果在一个站点有Exchange 2000或后续版本的服务器,在该站点至少应该有一台GC服务器。我的建议是,如果你在企业内部署了Exchange 2000或后续版本,所有的DC都应该配置为GC。
你一定想知道在企业网中有太多的GC服务器会导致什么结果。GC包含森林中的所有对象,但是因为来自本地域分区的对象不在GC中复制,GC在每个域中的大小都不一样。如果你的公司是国际化公司,可能在国外有少量的雇员和小型的域。如果域的大小差别很大,小型域中的DC上的GC可能会比大型域中的DC上的GC要大。因此,小型域中的GC复制造成的影响比大型域要大。再加上小型域的广域网链路通常比大型域的带宽低,这就加剧了复制的增长所造成的影响。
另一个影响GC活动的因素是通用组的数量和大小。因为通用组存储于GC,Windows需要把通用组的改变复制到整个森林中的所有GC。Windows 2000把通用组作为一个多值属性存储,因此如果通用组成员关系改变,Windows 2000需要复制整个组。如果你有大的或是活动的通用组(如作为Exchange 2000分发列表DL的组),GC将是AD复制中的最大组件。这个行为在Windows Server 2003中有了改变,只复制通用组的中有变化的成员关系,而不是整个组。
其它的考虑
我在前面写到过:“如果一个地点没有DC,它可能就不需要站点。”我说“可能”是因为有个例外。如果你部署了一个像DFS一样的站点敏感的应用程序,你就可能需要为那些没有DC的分支办公室创建站点,因为使用这样的应用程序的客户端会首先寻找他的站点的宿主服务器。例如,假设你在几个分支办公室中部署了DFS(如用于软件分发),这几个办公室是一个大型AD站点的一部分。Windows客户端寻找DFS服务器的操作可能会在试图连接一台位置一条256K广域网链路另一端的一台服务器时终止。即使有一台DFS服务器存在于分支办公室。解决的方法是为每一个分支办公室创建一个站点。任何本地的DFS服务器将会成为办公室的新站点的一部分。本地用户在访问DFS时会首先选择这些服务器。AD站点的收敛性可以确保附近的非本地DC为分支办公室的用户提供验证(记住这种特性需要你注册IP子网到一个站点,位于一个没有注册的子网的客户端会停留在Default-First-Site-Name站点,该站点可能没有任何DC,客户机必须在整个域内搜索DC并且可能不会选用最近的DC)。
如果你已经在本地放置了一台兼有DC和GC功能的服务器,另一种应该部署于站点之上的基础结构服务是AD集成的DNS。这种服务对于减少DC和复制的开销非常有效,并且客户机需要不断地使用它。
Windows Server 2003的改变
Windows Server 2003使分支办公室的部署和管理更加容易,这要归功于几个新特性。Dcpromo现在允许你从介质中提升服务器,你在创建一台新的DC时就不需要通过低带宽的广域网链路复制大量的AD和GC数据库了。简单地拷贝一份高度压缩的来自另一台Windows Server 2003 DC的系统状态数据的备份,把它恢复到临时位置后,在命令行提示符中敲入dcpromo /adv,从临时位置恢复系统状态数据(要了解更多关于从介质中提升服务器的信息,参看“Windows Server 2003 Dcpromo”,2003年9月,InstantDoc ID 39767)。
远程桌面,在Windows Server 2003中提供终端服务,提供了通过/c选项连接到系统控制台(会话0)的能力,以便你可以真正看见你站在服务器前面时可以看到的东西。如果你有许多站点或打算实现大型的DFS,Windows Server 2003对大量站点的控制比Windows 2000要好很多。Windows Server 2003的站点间拓扑生成器(ISTG)和知识一致性检验器(KCC)的改进使大型的分支办公室的部署过程不再受到来自AD的限制。
在本文中,我假定了只有一个域的简单情况,因为分支办公室的用户通常都在一个域里,这一点与通常有多个域的大型办公室不同。然而,如果你的哪个分支办公室中的用户位置多个域中,你必须为每个域单独分析位置需求。