编者按：活动目录（Active Directory），是一个面向Windows Server级别的目录服务。在活动目录中存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。活动目录使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。在本文中李洋老师将向大家介绍在活动目录设计中需要掌握的七个原则。

活动目录的设计主要包括逻辑结构设计和物理结构设计两大方面，具体涉及域（domain）、林（forest）、全局目录服务器（Global Catalog，简称GC）、组织单元（Organizational Unit，简称OU）、站点（Site）、DNS（Domain Name System）、域控制器（Domain Controller，简称DC）7个关键点。

逻辑结构设计原则

原则一、域设计原则

◆在管理任务明显由区域划分的环境中可以独立设置域，如某公司的亚洲分部和欧洲分部等，可以设立域对各自独立的资源进行统一管理。

◆特殊情况下，如果域数据库中的对象（包括被管理的用户、计算机、打印机等）过多，超过100万时（对于中小型企业很难达到），需要考虑增加域。

原则二、 林设计原则

公司由于业务等需求需要设定多个名字空间，如需要corp.com和corp.cn两个名字空间，则必须建立林，该林中包含以corp.com为根域和以corp.cn为根域的两棵树。并且，需根据实际情况为这2棵树之间确定好信任关系（即：授权2棵树中的用户相互访问各自管理的资源）。

原则三、OU设计原则

◆对于域安全准则一致的域，如果需要突出其中的某些业务和组织职能，则可以为域创建组织单元（OU），而没有必要重新创建单独的域。比如，对一个microsoft.com，底下划分为销售、人力等部门，可以创建sales、hr等等OU。

◆在具体的OU设计中，微软给出了地理模型、对象模型、成本中心模型等7个基本模型供参考。

物理结构设计原则

原则四、站点设计原则

站点设置的目的是控制网络产生的登录通信量和复制通信量。（1）登录通信量：每次当用户登录网络时，Windows 2000/Windows Server 2003/Windows Server 2008都会试图查找与用户在同一站点的DC，产生登录通信量。（2）复制通信量：将目录数据库的变动更新到多个DC，站点将控制该通信量如何以及何时产生。具体的设定原则如下：

◆了解与站点设计相关的IP子网（IP Subnet）分配及物理链路情况，以确定站点的物理连接。

◆由于site内各DC间的复制流量及频度较大，为保证效率，需将高速连接（如高速LAN）的区域设置位于同一个site，将低速连接（如低速WAN）的区域设置位于不同site。

◆在一个site中至少配备一个DC、一个GC、一个DNS来对用户进行快速验证，并提供快速地信息查询和检索。

◆合理的设定站点内复制（Intrasite Replication）和站点间复制（Intersite Replication），隔离复制流量。按照微软AD的设计理念，站点间复制比站点内复制流量要减少80%-90%，原因是站点间复制采用了压缩机制。

原则五、GC设计原则

GC存储林中每个对象的一定数量的信息，这些信息通常是被频繁查询或者搜索的属性，当用户在域外查找对象时，使用GC可以避免调用目的地的DC，从而加快查询速度和减少网络流量。建议，每个site都配备一个GC。

原则六、 DC设计原则

DC的设计与用户的数量有很大关系，如下表所示：

原则七、DNS设计原则

◆尽可能使用与AD集成的DNS，为客户端登录寻找DC、DC间寻找提供定位服务。

◆DNS服务器应支持SRV资源记录外，并建议DNS服务器提供对DNS的动态升级。DNS动态升级定义了一个DNS服务器自动升级的协议，如果没有此协议，管理员不得不手动配置域控制器产生的新的记录。

【编辑推荐】

1. 如何在多域林中恢复活动目录根域
2. 小心双刃剑 Ntdsutil对活动目录的管理
3. 提高活动目录性能与安全的LSASS进程
4. 替代活动目录管理的PowerShell命令
5. 活动目录在Server 2008 R2中的重要功能