20、Active Directory 域控制器管理与多域操作指南

Active Directory 域控制器管理与多域操作指南

1. 添加域控制器

在网络目录服务基础设施中，Active Directory 为所有用户提供安全和资源，其正常运行至关重要。可以使用 Active Directory 安装向导为任何域创建额外的域控制器，主要原因有两个：
- 容错和可靠性 ：在依赖网络目录服务的组织中，Active Directory 不可或缺。使用多个域控制器，可确保在一台服务器出现故障时，其他服务器能继续执行必要任务。并且，即使发生数据丢失（如硬盘故障），也可从其余域控制器轻松恢复 Active Directory 信息，避免网络安全信息丢失或不可用。
- 性能提升 ：处理登录请求、存储安全权限和其他信息的负担可能很重，特别是在大型企业中。通过使用多个域控制器，可以将负载分布到多台计算机上。此外，合理放置域控制器可以显著提高常见网络操作（如身份验证和资源浏览）的响应时间。

建议每个域至少有两个域控制器，这能在服务器成本与可靠性、性能之间取得良好平衡。对于更大或更分散的组织，额外的域控制器将大大提高性能。

1.1 规划域控制器放置

假设你是一个中型 Active Directory 环境的高级系统管理员，当前环境只有一个 Active Directory 域，公司网络分布在北美 40 个不同的站点。最近，用户和其他系统管理员抱怨 Active Directory 相关操作的性能问题，例如用户早上登录机器可能需要几分钟，系统管理员更新负责的组织单位（OU）中的用户信息也需要很长时间。

有网络管理员建议创建多个域来