我正在研究将我们的小型(但不是微小的)托pipe基础架构从具有唯一本地用户名和密码的独立服务器转移到更为集成的活动目录设置的可行性,旨在利用以下function:
我在Vmware服务器2上运行了一半(目前正在迁移到Esxi),主要运行win2k3的机器和一半的物理机器,主要运行win2k3。
这些服务器是:2个DNS服务器
5x IIS6networking服务器
5x MSSQL2000 / 2008服务器
10x IIS6和MSSQL 2000专用服务器
2个NAS备份服务器
两个IIS7和MSSQL 2008服务器
运行VMware服务器的5x Win2k3x64服务器(即将转换)
其他testing服务器
我现在已经(感谢VMware的力量)2x域控制器
尝试使用现有DNS服务器上存在的现有AD DNS名称(companyname.com)时遇到问题。 我应该configuration这些接受来自新的区议会的更新,还是应该以其他方式授权?
我主要关心的是从我的办公室到大约10个用户login到远程数据中心的域的最佳方法,我会build议在我的办公室设置1-2个域控制器来login吗? 如果configuration正确,我可以让用户更容易地login到我的远程服务器? 或者我不需要在办公室的域控制器? 如果发生networking中断,我不希望用户无法login到他们的机器上。
我的第二个担心是,如果我从共享用户login到移除服务器,目前这些用户共享terminal服务会话,并抓住非活动会话等。如果我有人通过唯一帐户访问,单独的会话将产生每个用户。 它们是如何在AD环境中进行控制的,或者它们受默认情况下2个会话+控制台的win2k3限制? 如果我要购买额外的terminal服务器许可证,它是每个用户还是每台机器? 我担心引进目前还没有的问题。
我计划将每个服务器types的几个连接到新的域,然后大规模推出,这似乎是正确的方式去做事情。
任何人都可以回答我的问题,或指出我所错过的任何明显的问题吗?
至于与DNS集成,最常见的解决scheme是使用子域名。 然后,您可以将您当前的DNS服务器的该子域的委托权限设置为AD服务器。
例如,如果您的网站是example.com,则可以将该域的FQDN设置为ad.example.com。 example.com的DNS服务器将有一个指向ad.example.com的存根。 确保DHCP具有两个后缀,或者至less是AD。
合理?
理想情况下,您的用户至less应有一个本地的域控制器,但是如果您的连接速度足够快,则无论身在何处,都无所谓。 即使如此,我更希望看到至less有一个DC不会让用户孤立,如果WAN中断,它不必是一个特别强大的盒子,任何入门级服务器可能对你来说已经足够了。
如果您暂时无法访问域,则本地login到计算机将继续适用于之前已login的帐户 – 这将使用本地高速caching的凭据,与离线笔记本计算机在离开networking时工作的方式相同。
当你移动到一个适当的帐户 – >用户映射,那么你将需要清理terminal服务器授权为您的用户连接到系统,因为2会话+控制台限制将适用。 有许多select – 每个设备的CAL可能是合适的,如果你有很多用户共享相同的系统用于访问terminal会话(例如,你有一个(相对)小共享PC池共享用户数量较多),但如果大多数用户使用专用PC,则每个用户许cocoa能会更好地匹配。 2008年terminal服务授权常见问题解答有更多的细节。