域控制器基礎(chǔ)了解

域控制器是活動目錄域AD中的一個基本元素，很多剛接觸活動目錄域AD的朋友，不知道該從哪里下手，活動目錄域控制器到底是什么意思？有什么用？如何新建立域控制器？主域控制器、額外域控制器有什么區(qū)別？域控制器的設(shè)備配置備份還原又該如何做？一大堆的問題，都困擾了活動目錄域AD的初學(xué)者，《域控制器》這篇文章源自微軟活動目錄域AD操作指南教程，大家通過它可以對如何開始建立活動目錄域AD域控制器有一個大致的了解。
    域控制器
    當(dāng)您在組織中創(chuàng)建第一個域控制器時，同時也創(chuàng)建了第一個域、第一個林、第一個站點(diǎn)，并安裝了 Active Directory。運(yùn)行 Windows Server 2003 的域控制器存儲著目錄數(shù)據(jù)，并管理用戶和域的交互，包括用戶登錄進(jìn)程、身份驗(yàn)證和目錄搜索。域控制器是使用“Active Directory 安裝向?qū)А眲?chuàng)建的。詳細(xì)信息，請參閱使用 Active Directory 安裝向?qū)?。
    注意
    Examda提示: 不能在運(yùn)行 Windows Server 2003, Web Edition 的計(jì)算機(jī)上安裝 Active Directory，但可以將該計(jì)算機(jī)作為成員服務(wù)器加入到 Active Directory 域中。有關(guān) Windows Server 2003, Web Edition 的詳細(xì)信息，請參閱 Windows Server 2003 Web Edition 概述 。
    在組織中使用域控制器時，需要考慮需要多少個域控制器、這些域控制器的物理安全性，以及備份域數(shù)據(jù)和升級域控制器的計(jì)劃。
    確定所需的域控制器數(shù)
    為了獲得高可用性和容錯能力，使用單個局域網(wǎng) (LAN) 的小型組織可能只需要一個具有兩個域控制器的域。具有多個網(wǎng)絡(luò)位置的大型組織在每個站點(diǎn)都需要一個或多個域控制器以提供高可用性和容錯能力。
    如果您的網(wǎng)絡(luò)劃分為多個站點(diǎn)，那么通常一種較好的做法是在每個站點(diǎn)中至少配置一臺域控制器以提高網(wǎng)絡(luò)性能。當(dāng)用戶登錄網(wǎng)絡(luò)時，作為登錄進(jìn)程的一部分必須聯(lián)系域控制器。如果客戶必須連接位于不同站點(diǎn)的域控制器，那么登錄過程將耗費(fèi)很長的時間。詳細(xì)信息，請參閱站點(diǎn)間的復(fù)制。
    通過在每個站點(diǎn)中創(chuàng)建域控制器，可在站點(diǎn)內(nèi)更加有效地執(zhí)行用戶登錄。有關(guān)如何創(chuàng)建其他域控制器的信息，請參閱創(chuàng)建其他域控制器。
    為了優(yōu)化網(wǎng)絡(luò)通信，還可以配置域控制器，使其僅在非高峰時間接收目錄復(fù)制更新。有關(guān)如何安排站點(diǎn)復(fù)制的信息，請參閱配置站點(diǎn)鏈接復(fù)制可用性。
    當(dāng)站點(diǎn)的域控制器也是全局編錄時，網(wǎng)絡(luò)性能。這樣，該服務(wù)器便可完成整個林中的對象查詢。然而，使多個域控制器作為全局編錄可增加網(wǎng)絡(luò)的復(fù)制通信量。有關(guān)全局編錄的詳細(xì)信息，請參閱全局編錄的角色。有關(guān)將全局編錄添加到站點(diǎn)的詳細(xì)信息，請參閱全局編錄和站點(diǎn)。
    在帶有多個域控制器的域中，不能將承擔(dān)基礎(chǔ)結(jié)構(gòu)主機(jī)角色的域控制器用作全局編錄。詳細(xì)信息，請參閱操作主機(jī)角色。
    物理安全
    對域控制器的物理訪問會為惡意用戶提供對加密密碼的未授權(quán)訪問。因此，建議將您組織中的所有域控制器鎖在一個安全的房間里，只允許有限的公開訪問。還可以采取其他安全措施（比如 Syskey）以進(jìn)一步保護(hù)域控制器。有關(guān) Syskey 的詳細(xì)信息，請參閱系統(tǒng)密鑰實(shí)用程序 。
    備份域控制器
    可以使用“備份”工具（包含在 Windows Server 2003 家族中）從域中的任何域控制器備份域目錄分區(qū)數(shù)據(jù)和其他目錄分區(qū)的數(shù)據(jù)。在域控制器上使用備份工具，可以：
    當(dāng)域控制器聯(lián)機(jī)時備份 Active Directory。
    使用批處理文件命令備份 Active Directory。
    將 Active Directory 備份到可移動媒體、可用的網(wǎng)絡(luò)驅(qū)動器或文件中。
    備份其他系統(tǒng)和數(shù)據(jù)文件。
    在域控制器上使用備份工具時，將自動備份所有的系統(tǒng)組件和 Active Directory 所依賴的所有分布式服務(wù)。該相關(guān)數(shù)據(jù)（其中包括 Active Directory）總稱為系統(tǒng)狀態(tài)數(shù)據(jù)。
    在運(yùn)行 Windows Server 2003 的域控制器上，“系統(tǒng)狀態(tài)”數(shù)據(jù)包括系統(tǒng)啟動文件、系統(tǒng)注冊表、COM+（組件對象模型的擴(kuò)展）的類注冊數(shù)據(jù)庫、SYSVOL 目錄、“證書服務(wù)”數(shù)據(jù)庫（如果已安裝）、域名系統(tǒng)（如果已安裝）、“群集”服務(wù)（如果已安裝）和 Active Directory。建議定期備份“系統(tǒng)狀態(tài)”數(shù)據(jù)。
    有關(guān)“系統(tǒng)狀態(tài)”數(shù)據(jù)的一般信息，請參閱系統(tǒng)狀態(tài)數(shù)據(jù)。有關(guān)如何備份“系統(tǒng)狀態(tài)”數(shù)據(jù)的詳細(xì)信息，請參閱備份系統(tǒng)狀態(tài)數(shù)據(jù) 。有關(guān)如何還原“系統(tǒng)狀態(tài)”備份的詳細(xì)信息，請參閱還原系統(tǒng)狀態(tài)數(shù)據(jù) 。
    可以使用來自運(yùn)行 Windows Server 2003 的域控制器中的還原的備份，在運(yùn)行 Windows Server 2003 的服務(wù)器上安裝 Active Directory。詳細(xì)信息，請參閱創(chuàng)建其他域控制器 。
    升級域控制器
    Examda提示: 在運(yùn)行 Windows NT 4.0 的域控制器上，要成功升級該域，首先需要升級主域控制器 (PDC)。升級 PDC 之后，就可以升級備份域控制器 (BDC)。詳細(xì)信息，請參閱從 Windows NT 域升級 。
    如果您目前有一個不含任何運(yùn)行 Windows Server 2003 域控制器的 Windows 2000 林，那么需要在準(zhǔn)備該林和目標(biāo)域之后才能升級運(yùn)行 Windows 2000 的域控制器。詳細(xì)信息，請參閱從 Windows 2000 域升級