Windows server 2012活動目錄的改進

Windows server 2012将于10月26日正式釋出，windows server 2012雖然在活動目錄上的改進不如windows server 2008那麼多，但是還是有明顯關鍵地方改進：

一、虛拟化方面的改進：

在過去我們實施虛拟化AD的時候，不能對DC進行克隆，而是需要建立虛拟機，再進行添加額外域控制器。但是在windows server 2012方面已經有了較大的改進，隻需要你目前的域環境有1台windows server 2012域控制器，并作為PDC角色，你将可以使用克隆虛拟機的方式來部署本站點或其它站點的域控制器。當然有人會提出另外一個問題，克隆後域控制器會不會也是PDC，這與windows server AD的理論不是産生沖突麼，在目前域環境下隻有3個域角色及2個森林角色且唯一。我想克隆會的域控制器應該不會有PDC這個角色。（這個我沒有具體驗證，有興趣讀者可以驗證一下。）

二、群集與 Active Directory 的改進

在 Windows Server 2012 中，故障轉移群集與 Active Directory 的內建更緊密。在建立群集或名稱時，隻能在預設的 Computers OU 中建立 Active Directory 對象。在很多域環境中，預設的Computers OU 會被鎖定，因為域管理者不希望在該 OU 中建立對象（這種情況在跨國的大型企業中基本都會碰到此問題）。在遇到這種情況後，您隻能要求域管理者在對象需要儲存到的目标 OU 中預先建立對象，針對對象設定權限，然後執行其它任務在建立群集時，系統會首先使用群集節點名稱所在的同一個 OU，并在這個 OU 中建立群集的名稱。

讓我們更進一步來讨論這個問題。假設在您的域環境中，您需要将實體計算機（OU 名為Physical）與群集名稱（OU 名為 Clusters）分開儲存。這一點很好實作，因為您可以在創

建群集的過程中傳遞 OU 資訊。當通過故障轉移群集管理器界面執行此操作時，您需要通過這種方式輸入名稱：“CN=MyCluster,OU=Clusters,DC=Contoso,DC=Com” 。故障轉移群集已經不再依賴可寫域控制器。在某些環境中包含外圍網絡，而外圍網絡通常會包含隻讀域控制器（RODC）。故障轉移群集也可以在這些環境中使用，因為需求已經不再那麼嚴格。

在群集虛拟化方面，也有一些改進。假設您打算将所有域控制器都虛拟化，并通過将其放入群集中，并儲存到 CSV 上，提供高可用性。一旦群集的所有節點都故障，您就會經曆一種兩難的境地：一開始，群集服務與 CSV 依賴可寫域控制器進行域身份驗證，但您的虛拟化域控制器需要群集服務正常運作後才能啟動。群集服務無法啟動，因為無法聯系上域控制器，而域控制器也無法啟動，因為群集被關閉了！在 Windows Server 2012 故障轉移群集中，這一設計已被加以改進。群集服務可以首先使用一個特殊的内部本地賬戶啟動。因為都使用了這個特殊賬戶，群集中的所有其他節點也可以順利啟動并加入，CSV 成功上線。着就好像我們有了一個專供自己使用的隐藏域。因為群集服務已經啟動，而CSV 也已上線，域控制器也可以啟動了。 

本文部分内容來源于：windows server 2012 介紹  電子書