规划全局编录服务器放置
全局编录放置需要进行规划,除非有单域林。 在单域林中,将所有域控制器配置为全局编录服务器。 由于每个域控制器都将唯一的域目录分区存储在该林中,因此将每个域控制器配置为全局编录服务器不需要额外使用磁盘空间,不需要额外使用 CPU,也不需要额外的复制流量。 在单域林中,所有域控制器都充当虚拟全局编录服务器;也就是说,它们均可响应任何身份验证或服务请求。 单域林的这种特殊条件是设计使然。 身份验证请求不需要像存在多个域时那样联系全局编录服务器,而用户则可以是存在于另一域中的通用组的成员。 但是,只有指定为全局编录服务器的域控制器才能响应全局编录端口 3268 上的全局编录查询。 为了简化此场景中的管理并确保响应是一致的,将所有域控制器指定为全局编录服务器消除了对哪些域控制器可以响应全局编录查询的顾虑。 具体而言,每当用户使用“开始”\“搜索”\“人员”或“查找打印机”或展开通用组时,这些请求只会转到全局编录。
在多域林中,全局编录服务器有助于处理用户登录请求和林范围搜索。 下图显示如何确定哪些位置需要全局编录服务器。
在大多数情况下,建议在安装新的域控制器时包括全局编录。 存在以下例外:
- 受限带宽:在远程站点中,如果远程站点与中心站点之间的广域网 (WAN) 链接受限,你可在远程站点中使用通用组成员身份缓存来满足站点中用户的登录需求。
- 基础结构操作主机角色不兼容:请勿将全局编录放置在域中承载基础结构操作主机角色的域控制器上,除非域中的所有域控制器均是全局编录服务器或该林只有一个域。
根据应用程序要求添加全局编录服务器
某些应用程序(如 Microsoft Exchange、消息队列(也称为 MSMQ)以及使用 DCOM 的应用程序)不能通过延迟的 WAN 链接提供足够的响应,因此需要使用高可用性全局编录基础结构来提供低查询延迟。 确定位置中是否有任何通过慢速 WAN 链接而导致性能较差的应用程序在运行,或者这些位置是否需要 Microsoft Exchange Server。 如果所在位置包含的应用程序不能通过 WAN 链接提供足够的响应,则必须在该位置放置全局编录服务器以降低查询延迟。
注意
只读域控制器 (RODC) 可以成功提升为全局编录服务器状态。 但是,某些启用目录的应用程序不支持 RODC 作为全局编录服务器。 例如,Microsoft Exchange Server 的任何版本都不使用 RODC。 但只要有可用的可写域控制器,Microsoft Exchange Server 就可在包含 RODC 的环境中工作。 Exchange Server 2007 实际上忽略了 RODC。 在 Exchange 组件自动检测可用域控制器的默认情况下,Exchange Server 2003 也会忽略 RODC。 未对 Exchange Server 2003 进行任何更改,使其能够识别只读目录服务器。 因此,尝试强制 Exchange Server 2003 服务和管理工具使用 RODC 可能会导致不可预知的行为。
为大量用户添加全局编录服务器
在包含 100 个以上用户的所有位置放置全局编录服务器,以减少网络 WAN 链接的拥塞,并防止在 WAN 链接发生故障时造成生产力损失。
使用高可用性带宽
无需将全局编录放置在某个具有以下特点的位置:不包含需要全局编录服务器的应用程序、包含的用户少于 100 个,并且还通过 WAN 链接(100% 可用于 Active Directory 域服务 (AD DS))连接到包含全局编录服务器的另一个位置。 在这种情况下,用户可通过 WAN 链接访问全局编录服务器。
漫游用户在任何位置首次登录时,都需要联系全局编录服务器。 如果通过 WAN 链接的登录时间不可接受,请将全局编录放置在大量漫游用户访问的位置。
启用通用组成员身份缓存
对于包含的用户少于 100 个的位置以及不包含大量漫游用户或需要全局编录服务器的应用程序的位置,可以部署运行 Windows Server 2008 的域控制器并启用通用组成员身份缓存。 确保全局编录服务器距离已启用通用组成员身份缓存的域控制器不超过一个复制跃点,以便可以刷新缓存中的通用组信息。 有关通用组缓存的工作原理的信息,请参阅全局编录工作原理一文。
如需借助工作表记录你计划将已启用通用组缓存的全局编录服务器和域控制器放置在何处,请参阅 Windows Server 2003 部署工具包的作业帮助,下载Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip,然后打开“域控制器放置”(DSSTOPO_4.doc)。 请参阅有关在部署林根域和区域域时需要放置全局编录服务器的位置的信息。