Chinaunix首页 | 论坛 | 博客
  • 博客访问: 72037
  • 博文数量: 22
  • 博客积分: 2510
  • 博客等级: 少校
  • 技术积分: 370
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-10 11:35
文章分类

全部博文(22)

文章存档

2008年(22)

我的朋友
最近访客

分类: WINDOWS

2008-12-25 15:22:20

服务器硬件的要求:   因为中小型域对服务器的性能要求不高,基于安全:
使用成熟.稳定的设备;RAID1,双网卡,1GRAM以上,等等
AD服务器的角色(FSMO):
1)架构主机
2)域命名主机

3)主域控制器仿真主机(PDC Emulator)
4)相对 ID (RID) 主机
5)基础结构主机
全局编录
  全局编录的主要功能是在整个 Active Directory 目录林内进行快速和有效的搜索。GC 拥有它所属的域中所有对象的可读/写的完全副本,以及目录林中其它每一个域中的只读部分副本(所有对象,但不包括部分属性集)。因此,全局编录使目录林内的目录结构对于最终用户而言是透明的,从而为用户创造了一个使得在目录中查找对象变得简单和有效的搜索机制。 
  
  另外,为在本机域中进行通用组成员和用户主要名称 (UPN) 枚举,也需要全局编录。因此,如果 DC 不能在客户端登录时联系到 GC,则客户端将只接收到缓存的本地登录凭据,而对远程资源进行的访问将被拒绝。
因为:
 FSMO 放置的一般建议
• 将 RID 角色和 PDC 模拟器角色放置在同一 DC 上。最好保证从 PDC 到 RID 主机的良好通信,因为下级客户端和应用程序以 PDC 为目标,从而使 PDC 成为 RID 的主要使用者。将 FSMO 角色群集在较少的计算机上,也会更易于跟踪这些角色。

如果主要 FSMO 负载上的负载证明应该移动,请将 RID 角色和 PDC 模拟器角色放置在相同的域和 Active Directory 站点中互为直接复制伙伴的不同域控制器上。
• 一般说来,结构主机应该位于非全局目录服务器上,该服务器具有直接连接到目录林中某个全局目录的对象,最好是在同一 Active Directory 站点中。由于全局目录服务器保存目录林中每个对象的部分副本,因此结构主机(如果放在全局目录服务器上)一定不会再更新任何内容,因为它不包含对它不保存的对象的任何引用。"不要将结构主机放在全局目录服务器上"这一规则有两个例外为: 
• 单域目录林:

在包含单个 Active Directory 域的目录林中没有 phantom,因此没有需要结构主机完成的任务。在这种情况下,可以将结构主机放在域中的任一域控制器上。
• 多域目录林,其中的每个 域控制器都包含全局目录:

如果目录林中的每个域控制器也承载全局目录,则没有 phantom 或需要结构主机完成的任务。在这种情况下,可以将结构主机放在目录林中的任一域控制器上。

• 在目录林级别上,架构主机角色和域命名主机角色应该放置在同一域控制器上,因为它们很少使用且应该进行严格控制。另外,域命名主机 FSMO 也应该是全局目录服务器。
个人看法,一个多域林至少需要3台服务器
服务器名 域角色 其它服务
服务器A 全局目录,架构主机 DNS,wins,dhcp
服务器B 全局目录,RID,PDC DNS,wins,dhcp(备用)
服务器C 域命名主机,结构主机 DNS,wins,
单位域林:服务器至少2台
服务器名 域角色 其它服务
服务器A 全局目录,架构主机,结构主机 DNS,wins,dhcp
服务器B 全局目录,域命名主机,RID,PDC DNS,wins,dhcp(备用)
基于服务器的安全管理:
  服务器安装时(2000不要装IIS),升级成DC时,域的数据库文件目录不要存在C盘,手工改到D或者E;
  停止一切与无关的服务(域服务器最好不要负责其它如文件,WWW之类的服务)
  把服务器放到防火墙的一个安全区域内,只许可AD,DNS,WINS,DHCP端口
  设置好域安全策略和域控制器安全策略
  保护好你的超级用户密码和域恢复密码
AD的备份:
  服务器系统的备份,AD数据的备份,建立一个合理的备份计划(因为域中的信息有时间效应)

阅读(1891) | 评论(0) | 转发(0) |
0

上一篇:关于DNS的备份和恢复

下一篇:没有了

给主人留下些什么吧!~~