域控制器是活動目錄域AD中的一個基本元素,很多剛接觸活動目錄域AD的朋友,不知道該從哪裡下手,活動目錄域控制器到底是什麼意思?有什麼用?如何新建立域控制器?主域控制器、額外域控制器有什麼區別?域控制器的設備配置備份還原又該如何做?一大堆的問題,都困擾了活動目錄域AD的初學者,《域控制器》這篇文章源自微軟活動目錄域AD操作指南教程,大家通過它可以對如何開始建立活動目錄域AD域控制器有一個大致的了解。
域控制器
當您在組織中創建第一個域控制器時,同時也創建了第一個域、第一個林、第一個站點,並安裝了 Active Directory。運行 Windows Server 2003 的域控制器存儲著目錄數據,並管理用戶和域的交互,包括用戶登錄進程、身份驗證和目錄搜索。域控制器是使用“Active Directory 安裝向導”創建的。詳細信息,請參閱使用 Active Directory 安裝向導 。
注意
不能在運行 Windows Server 2003, Web Edition 的計算機上安裝 Active Directory,但可以將該計算機作為成員服務器加入到 Active Directory 域中。有關 Windows Server 2003, Web Edition 的詳細信息,請參閱 Windows Server 2003 Web Edition 概述 。
在組織中使用域控制器時,需要考慮需要多少個域控制器、這些域控制器的物理安全性,以及備份域數據和升級域控制器的計劃。
確定所需的域控制器數
為了獲得高可用性和容錯能力,使用單個局域網 (LAN) 的小型組織可能只需要一個具有兩個域控制器的域。具有多個網絡位置的大型組織在每個站點都需要一個或多個域控制器以提供高可用性和容錯能力。
如果您的網絡劃分為多個站點,那麼通常一種較好的做法是在每個站點中至少配置一台域控制器以提高網絡性能。當用戶登錄網絡時,作為登錄進程的一部分必須聯系域控制器。如果客戶必須連接位於不同站點的域控制器,那麼登錄過程將耗費很長的時間。詳細信息,請參閱站點間的復制 。
通過在每個站點中創建域控制器,可在站點內更加有效地執行用戶登錄。有關如何創建其他域控制器的信息,請參閱創建其他域控制器 。
為了優化網絡通信,還可以配置域控制器,使其僅在非高峰時間接收目錄復制更新。有關如何安排站點復制的信息,請參閱配置站點鏈接復制可用性 。
當站點的域控制器也是全局編錄時,網絡性能最佳。這樣,該服務器便可完成整個林中的對象查詢。然而,使多個域控制器作為全局編錄可增加網絡的復制通信量。有關全局編錄的詳細信息,請參閱全局編錄的角色 。有關將全局編錄添加到站點的詳細信息,請參閱全局編錄和站點 。
在帶有多個域控制器的域中,不能將承擔基礎結構主機角色的域控制器用作全局編錄。詳細信息,請參閱操作主機角色 。
物理安全
對域控制器的物理訪問會為惡意用戶提供對加密密碼的未授權訪問。因此,建議將您組織中的所有域控制器鎖在一個安全的房間裡,只允許有限的公開訪問。還可以采取其他安全措施(比如 Syskey)以進一步保護域控制器。有關 Syskey 的詳細信息,請參閱系統密鑰實用程序 。
備份域控制器
可以使用“備份”工具(包含在 Windows Server 2003 家族中)從域中的任何域控制器備份域目錄分區數據和其他目錄分區的數據。在域控制器上使用備份工具,可以:
當域控制器聯機時備份 Active Directory。
使用批處理文件命令備份 Active Directory。
將 Active Directory 備份到可移動媒體、可用的網絡驅動器或文件中。
備份其他系統和數據文件。
在域控制器上使用備份工具時,將自動備份所有的系統組件和 Active Directory 所依賴的所有分布式服務。該相關數據(其中包括 Active Directory)總稱為系統狀態數據。
在運行 Windows Server 2003 的域控制器上,“系統狀態”數據包括系統啟動文件、系統注冊表、COM+(組件對象模型的擴展)的類注冊數據庫、SYSVOL 目錄、“證書服務”數據庫(如果已安裝)、域名系統(如果已安裝)、“群集”服務(如果已安裝)和 Active Directory。建議定期備份“系統狀態”數據。
有關“系統狀態”數據的一般信息,請參閱系統狀態數據 。有關如何備份“系統狀態”數據的詳細信息,請參閱備份系統狀態數據 。有關如何還原“系統狀態”備份的詳細信息,請參閱還原系統狀態數據 。
可以使用來自運行 Windows Server 2003 的域控制器中的還原的備份,在運行 Windows Server 2003 的服務器上安裝 Active Directory。詳細信息,請參閱創建其他域控制器 。
升級域控制器
在運行 Windows NT 4.0 的域控制器上,要成功升級該域,首先需要升級主域控制器 (PDC)。升級 PDC 之後,就可以升級備份域控制器 (BDC)。詳細信息,請參閱從 Windows NT 域升級 。
如果您目前有一個不含任何運行 Windows Server 2003 域控制器的 Windows 2000 林,那麼需要在准備該林和目標域之後才能升級運行 Windows 2000 的域控制器。詳細信息,請參閱從 Windows 2000 域升級
