編者按：活動目錄（Active Directory），是一個面向Windows Server級別的目錄服務。在活動目錄中存儲了有關網絡對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息?；顒幽夸浭褂昧艘环N結構化的數據存儲方式，并以此作為基礎對目錄信息進行合乎邏輯的分層組織。在本文中李洋老師將向大家介紹在活動目錄設計中需要掌握的七個原則。

活動目錄的設計主要包括邏輯結構設計和物理結構設計兩大方面，具體涉及域（domain）、林（forest）、全局目錄服務器（Global Catalog，簡稱GC）、組織單元（Organizational Unit，簡稱OU）、站點（Site）、DNS（Domain Name System）、域控制器（Domain Controller，簡稱DC）7個關鍵點。

邏輯結構設計原則

原則一、域設計原則

◆在管理任務明顯由區域劃分的環境中可以獨立設置域，如某公司的亞洲分部和歐洲分部等，可以設立域對各自獨立的資源進行統一管理。

◆特殊情況下，如果域數據庫中的對象（包括被管理的用戶、計算機、打印機等）過多，超過100萬時（對于中小型企業很難達到），需要考慮增加域。

原則二、 林設計原則

公司由于業務等需求需要設定多個名字空間，如需要corp.com和corp.cn兩個名字空間，則必須建立林，該林中包含以corp.com為根域和以corp.cn為根域的兩棵樹。并且，需根據實際情況為這2棵樹之間確定好信任關系（即：授權2棵樹中的用戶相互訪問各自管理的資源）。

原則三、OU設計原則

◆對于域安全準則一致的域，如果需要突出其中的某些業務和組織職能，則可以為域創建組織單元（OU），而沒有必要重新創建單獨的域。比如，對一個microsoft.com，底下劃分為銷售、人力等部門，可以創建sales、hr等等OU。

◆在具體的OU設計中，微軟給出了地理模型、對象模型、成本中心模型等7個基本模型供參考。

物理結構設計原則

原則四、站點設計原則

站點設置的目的是控制網絡產生的登錄通信量和復制通信量。（1）登錄通信量：每次當用戶登錄網絡時，Windows 2000/Windows Server 2003/Windows Server 2008都會試圖查找與用戶在同一站點的DC，產生登錄通信量。（2）復制通信量：將目錄數據庫的變動更新到多個DC，站點將控制該通信量如何以及何時產生。具體的設定原則如下：

◆了解與站點設計相關的IP子網（IP Subnet）分配及物理鏈路情況，以確定站點的物理連接。

◆由于site內各DC間的復制流量及頻度較大，為保證效率，需將高速連接（如高速LAN）的區域設置位于同一個site，將低速連接（如低速WAN）的區域設置位于不同site。

◆在一個site中至少配備一個DC、一個GC、一個DNS來對用戶進行快速驗證，并提供快速地信息查詢和檢索。

◆合理的設定站點內復制（Intrasite Replication）和站點間復制（Intersite Replication），隔離復制流量。按照微軟AD的設計理念，站點間復制比站點內復制流量要減少80%-90%，原因是站點間復制采用了壓縮機制。

原則五、GC設計原則

GC存儲林中每個對象的一定數量的信息，這些信息通常是被頻繁查詢或者搜索的屬性，當用戶在域外查找對象時，使用GC可以避免調用目的地的DC，從而加快查詢速度和減少網絡流量。建議，每個site都配備一個GC。

原則六、 DC設計原則

DC的設計與用戶的數量有很大關系，如下表所示：

原則七、DNS設計原則

◆盡可能使用與AD集成的DNS，為客戶端登錄尋找DC、DC間尋找提供定位服務。

◆DNS服務器應支持SRV資源記錄外，并建議DNS服務器提供對DNS的動態升級。DNS動態升級定義了一個DNS服務器自動升級的協議，如果沒有此協議，管理員不得不手動配置域控制器產生的新的記錄。

【編輯推薦】

1. 如何在多域林中恢復活動目錄根域
2. 小心雙刃劍 Ntdsutil對活動目錄的管理
3. 提高活動目錄性能與安全的LSASS進程
4. 替代活動目錄管理的PowerShell命令
5. 活動目錄在Server 2008 R2中的重要功能