Windows Server 2008 Active Directory 域服务新增功能
2008-11-24 12:46:13 来源:WEB开发网DCPROMO 更改
ADDS 本身最先引起您注意的更改是新的 DCPROMO。它的作用与 Windows Server 2003 中的 DCPROMO 一样,但经过重新编写后更容易使用了。例如,您不必输入您的域管理员凭证,DCPROMO 可以将您的登录凭证提供给服务器。您也不必通过键入 DCPROMO /ADV 来取得“高级模式 DCPROMO”选项,现在第一个 DCPROMO 对话框中提供了这些选项的复选框。高级模式还允许您选择复制所需的现有域控制器。这样,您就可以从生产 DC 中转移 DCPROMO 的复制负荷。
将 DC 提升到新域或林中时,DCPROMO 会为您提供选项,供您设置林和域操作级别,而不是在提升后才准许您设置。您还可指定想要在提升期间放置 DC 的 Active Directory 站点,如果存在无人参与的 DCPROMO,这会非常有帮助。DCPROMO 甚至会根据 DC 的 IP 地址对最好的站点给出建议。
新的 DCPROMO 还在一个页面上汇集了所有配置选项,让你在此选择新 DC 是全局编录、DNS 服务器还是只读 DC。您不必转到 Active Directory 站点和服务管理单元中的偏僻位置将 DC 标记为 GC。
新 DCPROMO 能恰好在提升开始前在一个响应文件中保存所有 DCPROMO 设置,这可能是它最出色的功能。比起手工整理响应文件,这要简单得多,还不容易出错。您随后可使用响应文件在其他服务器上执行无人参与的 DCPROMO。为了满足脚本痴迷者的愿望,所有 DCPROMO 选项现在均可通过命令行访问。
只读域控制器
在 Active Directory 的早期阶段,企业常常在用户可能登录的每个站点均部署域控制器。例如,银行通常在每个支行都安装 DC。其中的逻辑是每个支行的用户都能登录并访问本地网络资源,即使 WAN 失效也能如此。
那时,实际的 DC 安全需求没有被很好地理解。我看到过控制器堆放在桌子下面,路过的人可以轻易接触到它们。直到几年后,Active Directory 架构师才完全领会到不安全的 DC 所带来的安全风险,IT 组织开始将 DC 重新放回到中央数据中心。这以使分支用户必须经由 WAN 进行验证,但由于提高了安全性,这也是值得的。
更多精彩
赞助商链接