談到Active Directory中的站點,很多Active Directory的初學者都會深感頭疼,為什麼呢?搞不清楚這個站點究竟是起什麼作用。有很多同學都問過這樣的問題,站點和域有什麼差別?到底是域大還是站點大?有了域為什麼還要有站點?…..本文将嘗試為大家介紹站點的概念及設計初衷,讓大家能夠更好地了解站點,運用站點。
域是共享使用者賬号,計算機賬号及安全政策的一組計算機,這個定義是基于邏輯因素考慮的,隻要使用者和計算機在同一個Active Directory内,我們就認為他們都在域的安全邊界之内。我們從域的定義中可以看到,域沒有考慮網絡速度等實體因素,無論計算機和域控制器之間是一個快速的實體連接配接還是一個慢速的實體連接配接,域都會一視同仁,完全把連接配接速度視若無物。但在實際的生産環境中我們就會發現如果不考慮網速這樣的實體因素,我們會在管理域時遇到很多麻煩。我們通過一個例子加以說明,如下圖所示,某域的域控制器分布在北京,上海兩處,北京有A,B,C三台域控制器,上海有D,E,F三台域控制器。北京和上海的本地區域網路都是千兆以太網,北京和上海之間是一條128K的專線。
現在我們要考慮這麼一個問題,如果域控制器A更改了Active Directory,那麼如果才能用最有效率的方法把這個AD的變化複制到其他五個域控制器上呢?顯然域控制器A應該先把更改複制到同一高速區域網路内的B和C,然後再利用慢速的廣域網連結複制到上海的一個域控制器上,例如複制到D,最後再由D複制到E和F。域控制器如果使用我們規劃的這種複制拓撲,那當然好,在這種複制拓撲中資料隻經過兩地間的慢速鍊路傳遞了一次。但問題是域如果不考慮速度因素,未必能作出這種拓撲,萬一KCC決定使用的複制拓撲是先從A到D,再從D到B,然後B到E,再E到C,最後從C到F,那我們就要崩潰了。這樣的話六個域控制器之間的AD複制要沿着兩地間的慢速鍊路走五次,無論如何都讓我們無法接受!從這個例子中我們已經看到了速度因素的重要性,再順着這個例子引申一下,使用者每天登入到域進行身份驗證,顯然北京的使用者應該登入到北京的域控制器,上海的使用者應該登入到上海的域控制器,這樣效率才會比較高,如果北京的使用者每天都到上海的域控制器進行身份驗證,顯然不是一件好事。
從上面的例子中我們發現,在日常的運維工作中是不能把速度因素透明處理的,我們必須考慮到計算機之間的連接配接速度!正是基于這種考慮,微軟才引入了站點對計算機進行管理。站點的概念其實很簡單,站點就是高速相連的一組計算機!從這個概念來看,站點強調了速度這個實體因素,域則是強調要共享Active Directory這個邏輯因素,把站點和域結合起來對計算機從實體和邏輯兩個角度進行管理,是微軟的一個很好的構思。值得一提的是,微軟這種管理思路并非罕見,例如Exchange中也有管理組和路由組的概念,管理組和路由組其實類似于域和站點的關系,也是一個從邏輯角度進行管理,另一個從實體角度進行管理。
有了站點幫助管理,我們處理前面提到的那個例子就容易多了,從站點的定義來看,由于北京和上海之間存在一條慢速鍊路,是以我們應該把北京的計算機放到一個站點内,把上海的計算機放到另一個站點内。這樣的話,北京和上海的使用者在登入時會優先選擇本站點内的域控制器登入,KCC在規劃複制拓撲時也會自動地優先考慮在本站點内的域控制器之間進行AD複制。更好的是,如果AD需要垮站點複制,AD内容還可以經過壓縮後再進行複制,顯然站點在設計時已經充分考慮到了對帶寬的充分利用。
本文出自 “嶽雷的微軟網絡課堂” 部落格,請務必保留此出處http://yuelei.blog.51cto.com/202879/133130
![淺談使用Fiddler工具進行弱網測試[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)