|
为一个总公司的各分公司之间建立网络连接乍听上去并不是什么困难的事情。毕竟一位管理员就可以轻松配置一个分公司中的所有计算机,在整个公司网络中作为一个独立的域存在。广域网连接可以为公司总部下属的各分公司提供必要的网络连接。
尽管这个办法可能会奏效,但是它把问题简单化了。各分公司之间的网络连接问题实际上是很棘手的。
同一个域,同一个地点
为一个分公司里的用户提供网络连接可以有很多种方法。一种方法是和公司总部一样,将分公司中的计算机都设置在同一个域里,也放置在相同的地点。这种方法的一大优点是配置简单。只要分公司与公司总部之间保持正常的TCP/IP连接,那么,分公司里的计算机与总部之间的通信就像位于总部的各计算机之间的通信一样顺畅。
其缺点是如果广域网连接失效,那么,分公司中的工作站与总部的连接也就随之中断了。用户甚至无法正常登陆(除非他们使用了缓存的证书),因为他们没有可用的域控制器。
在远程地点设立一个独立的域
你当然不希望由于网络连接的失效而使用户都上不了网。因此,该问题的一个显而易见的解决方法就是在分公司中设置一个域控制器。这样,你可以选择是让分公司成为一个独立的域,还是使其成为总部所在域的一部分。下面,我们讨论一下将分公司设置成一个独立的域这种方法的利弊。
该方法的主要优点是分公司的网络成为一个独立的实体。假设你对这个新域的设置完全正确,那么,你就不必再担心由于网络连接的失效而影响用户对网络的访问了。
该方法的缺点是它增加了管理上的开销。因为这样一来,你就需要管理两个域,而非一个。同样,你每天的一些日常管理工作也会更加费时。比如,你在向文件服务器添加一个新的文件夹的时候,需要多花一些时间来设置访问控制入口,因为你需要为每个域中的有权访问的用户设置各自独立的访问控制入口。
同一个域,不同的地点
另一种方法是在分公司中放置一个域控制器,不过,它只是公司总部所在域的一部分。如果你想使用这种拓扑方式,那么,需要将分公司中的域控制器置入一个独立的活动目录地址。
创建多个地址需要做更多的工作,但不需要额外的管理工作。使用多个地址能够减少广域网中活动目录复制的流量,也可以使网络连接更有效地发挥作用。
域控制器布局的考虑因素
如果分公司连一个域控制器都没有,那么,网络连接的失效就会使用户无法访问网络。到目前为止,我已经向读者介绍了两种解决这个问题的方法,都是通过在分公司中设置域服务器来实现的。但是,即使分公司中已经有了一台域控制器,网络连接的失效还是能够阻碍用户访问网络。
这是由于域控制器具有依赖关系。例如,活动目录依赖于DNS服务器的存在。在缺省的情况下,网络中的第一台域控制器将自动起到DNS服务器的作用(假设DNS服务器尚不存在)。不过,当连接失效并且用户无法访问DNS服务器的时候,这就起不了什么作用了。
由于DNS本身是层次结构,这个问题最简单的解决方法是配置分公司里的域控制器使其充当DNS服务器的角色。假设活动目录已经与DNS服务器进行了整合,那么你就可以将分公司中的DNS服务器配置成一个二级DNS。也就是说,这台DNS服务器将接收总部DNS服务器发出的信息。配置分公司中的计算机使其使用本地的DNS服务器,而非总部的DNS服务器。
这个方法可以实现以下两点。
·指导用户使用本地的DNS服务器,即使网络连接失效,也能够保证有可用的DNS服务。
·这种类型的体系结构能够减少总部DNS服务器需要处理的域名解析请求的数量。同样也可以减少广域网中与DNS服务相关的网络流量。
全局目录服务器
活动目录的另一个依赖关系是工作站需要访问全局目录服务器。全局目录服务器是一个负责维护活动目录中所有对象(用户、计算机等)的域控制器。如果工作站无法访问全局目录服务器,那么就只有管理员才能登陆。
在缺省的情况下,配置与网络联通的第一台域控制器,使之起到该域的全局目录服务器的作用。不过,你还可以指定网络上任意一台域控制器充当全局目录服务器的角色。如果你希望分公司里的用户一直都能访问全局目录服务器,那么,只需指定本地的域控制器为全局目录服务器就可以了。
微软在缺省情况下只创建一个全局目录服务器是有其原因的。当一个网络上同时存在多个全局目录服务器的时候,保持它们之间的同步会产生大量的网络通信流量。如果你只有一个比较小的网络,同时不会频繁地创建或修改活动目录对象,那么,这些额外的流量是可以忽略不计的。不过,在规模较大的网络上,在广域网两端都设置全局目录服务器就不是一个好主意了。
那么,如果在本地没有全局目录服务器,而连接又恰好失效的情况下,分公司的用户又该如何访问全局目录服务器呢?方法是通过创建冗余连接。在多数公司里,每个分公司都有自己的因特网连接,这样一来,网页浏览的相关流量就不会阻塞与总部相连的广域网连接。
如果分公司有其独立的因特网连接,那么,为了避免广域网连接失效带来的损失,你可以考虑建立一个同总部之间的虚拟专用网(VPN)连接。还有一个方法是一旦使用的连接失效,就利用一个路由器进行自动拨号连接。拨号连接会很慢,不过速度慢总比连不上要好吧。
文件服务器
你也许想在分公司里设置一台文件服务器,不过这有赖于广域网的网速。为了确保本地文件服务器与总部文件服务器的内容同步,你可以使用分布式文件系统服务。
一台复制文件服务器能提供以下的便利:
◆即使连接失效,用户仍然可以访问文件。
◆如果用户正在本地访问文件,那么,此时文件将无法通过广域网进行传输。
◆复制文件服务器是主文件服务器的一个备份。如果总部的文件服务器出现了故障,那么,分公司将会保存一份原文件系统的完整拷贝。
分公司使用分布式文件系统复制的缺点是占用了大量的带宽。初始的同步会非常集中地占用带宽。也许你会想把DFS服务器搬到总部去实现初始的同步,同步完成后再把它搬回分公司。
正在进行的复制同样会产生问题。无论何时,只要有人创建了一个文件,该文件就会通过广域网连接进行复制。一般情况下,这不会有什么问题,可是,如果一个用户创建了一个较大的文件,而广域网连接又无法提供能有效进行复制处理的带宽,那么,这个复制过程将遭到破坏。
| 
