2、DNS服务器、全局编录服务器(GC)和只读域控制器(RODC)
配置域控过程中会遇到选择这几个选项:DNS服务、全局编录服务器(GC)和只读域控制器(RODC)
DNS服务器即域名服务器。在域中计算机、集群等名称的解析,需要DNS服务的支持。建立域必须在域中提供DNS服务,如果在配置域过程中勾选DNS服务器,则本机将被配置为DNS服务器(配置程序会检测当前DNS 基础结构来决定DNS服务是否默认勾选)。
全局编录服务器(Global Catalog, GC)可以理解为林中只读的全局缓存,缓存中存储了林中本域内的所有对象的所有属性和其他域的所有对象的部分属性。“全局编录使用户能够在林中的所有域上搜索目录信息,无论数据存储在什么位置。将以最大的速度和最低的网络流量在林中执行搜索。”如果在配置中勾选全局编录服务器,将会使这台域控制器同时成为全局编录服务器。
只读域控制器(Read Only Domain Controller, RODC)。“只读域控制器(RODC)是 Windows Server 2008 操作系统中的一种新类型的域控制器。借助RODC,组织可以在无法保证物理安全性的位置中轻松部署域控制器。RODC 承载Active Directory域服务(AD DS)数据库的只读分区。”“物理安全性不足是考虑部署 RODC 的最常见原因。RODC 提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器的物理安全性的位置中更安全地部署域控制器的方法。”
3、AD数据库、日志文件和SYSVOL文件夹
Active Directory使用文件型数据库,数据库引擎是基于JET开发的Extensible Storage Engine(ESE),也叫做JET Blue。JET Blue计划用于升级Access的数据库引擎JET Red的,但却用于Microsoft的其他产品中,如AD,WINS,Exchange Server等。ESE有能力扩展至16TB容量,容纳10亿对象。数据库所有相关文件默认在%systemroot%\ntds\文件夹内,主要包括:
edb.chk 检查点文件。对数据库的增删改,在提交更新到数据库之前,检查点文件会记录事务完成情况,如果事务完成就从日志文件提交更新到数据库。
edb.log和edbxxxxx.log等为日志文件。每个日志文件10MB,edb.log文件填满之后,会被重新命名为edbxxxxx.log,文件名编号自增。对数据库的增删改会写入日志文件,用以事务处理。
edbresxxxxx.jrs 为日志保留文件。为日志文件占据磁盘空间,仅当日志文件所在的磁盘空间不足时使用。
edbtmp.log 临时日志文件。当前edb.log被填满时,会创建edbtmp.log继续记录日志,同时当前edb.log被重命名为edbxxxxx.log,而后edbtmp.log被重名为edb.log。
Active Directory使用SYSVOL文件夹(需要放置在NTFS分区中)在DC间共享公共文件,包括登录脚本和策略配置文件等。详细可参考 Sysvol and netlogon share importance in Active Directory
4、FSMO主机角色
Active Directory在多个域控制器(DC)间进行数据复制的时有两种模式:单主机复制模式(Single-Master Model)和多主机复制模式(Multi-Master Model)。
DC间数据复制多采用的多主机复制模式,即允许在任意一台DC上更新数据,然后复制到其他DC,当出现数据冲突时采用一些算法解决(如以最后被写入的数据为准)。多主机复制模式实现了DC间负载均衡和高可用的目的。但对一些数据多主机复制模式带来了难以解决的数据冲突或解决冲突需要付出太大代价的问题,这时Active Directory会采用单主机复制模式,即允许只有一台DC更新数据,然后复制到其他DC。这些数据主要由5种操作主机角色来承担更新的职责,这些角色可以被分配到林中不同DC中,这些角色也称为灵活的单主机操作角色(Flexible Single Master Operation, FSMO),他们分别是:
林级别(在林中只能有一台DC拥有该角色):