广域网链路妙用：提升活动目录站点的认证效率

ZDNet网络频道原创翻译 转载请注明作者以及出处

　　很多公司拥有不止一个办公地点，并且不是在所有的办公地点都建立了域控制器(DC)进行本地登陆认证模式。对于采用了Windows 2008的企业来说，可以考虑选择使用只读域控制器，来改善活动目录环境下的认证效率。在即将发布的Windows 7未来中，也将包含更多可以提高广域网链路管理能力的功能;如果你希望了解分支缓存相关的更多资料的话，可以看这篇文章。

　　对于还在使用Windows Server 2003提供的活动目录环境(AD)的公司来说，广域网的认证过程可能会存在一点问题。如果你所在的公司属于这样的情况，我会在文章中提供几种方法，让你可以通过广域网链路改善本地认证过程的效率。

　　对于通过广域网链路进行的认证过程来说，需要重点关注的问题有两个：带宽使用率和位置。对于位于同一城市中并且存在着高带宽解决方案的办公环境来说，这样的设置可以极大地改善效率，实现快速认证;但如果办公环境之间的距离非常遥远，就可能需要采用其它类型的方法，实现通过活动目录的认证过程了。当办公环境位于偏远地区的时间，你需要对需求进行分析，并且确认是否需要增加更多的带宽以用于解决这一问题，还可以考虑是否可以扩展活动目录的设置到这一区域以解决存在的问题。

　　通过活动目录控制多个站点

　　采用了活动目录的站点可以支持在不同的办公环境之间进行基本数据的复制操作。为了给活动目录增加多站点支持功能的配置，你需要为每个受到控制的本地办公环境建立一个域控制器;这样的话，就可以对站点进行配置并选择使用活动目录环境，让各办公环境成为一个域或目录树中的独立实体。站点之间应该采用高速连接，这样才能保证数据复制操作可以在可以容忍的时间内完成。

　　为了创建一个基于活动目录的站点，需要完成下面列出的步骤：

　　1. 在管理工具菜单中选择启动活动目录站点和服务。

　　2. 右键单击该站点设置，选择新站点。

　　3. 输入该站点的名称，该名称最好对其作用进行描述，这样可以方便管理。

　　4. 选择该站点的链接，它将在与其它站点进行链接的时间使用。

　　(请务必记住，只有站点存在的时间才能和其它站点进行链接。你需要先建立相应的站点，然后才能对其进行链接。)

　　5. 一旦建立了一个新站点，并选择与其它站点(站点群)的链接，单击确定就可以完成整个操作过程。这时，你会看到一个提示，包含了对站点配置的详细说明和相关的必要步骤。再次单击确定即可。

　　6. 创建新站点和其它站点之间的链接。请记住只有在链接已经存在的时间，这两个站点之间的链接才能使用。

　　7. 为站点创建一张子网。这样的话，通过活动目录，在这张子网上的站点和计算机就可以进行关联操作了。

　　为了创建一张子网并和站点进行关联操作，需要完成下面列出的步骤：

　　1. 在管理工具菜单中选择启动活动目录站点和服务。

　　2. 右键单击控制台左侧窗口中的子网项目。

　　3. 选择建立新子网。

　　4. 在地址栏中输入该子网的网络地址，通常情况下最后一个八位字节都是○。

　　5. 输入子网的掩码。

　　6. 选择站点与子网进行关联。

　　一旦站点和子网关联完成，活动目录就可以对站点中的成员进行确定，域控制器需要首先进行容许认证。为域控制器选择属于该站点子网的有效网络IP地址。举例来说，如果站点子网是192.168.3.0，你可以为域控制器选择192.168.3.2的网络IP地址，并进行配置。

　　现在，在活动目录中就存在一个已经配置好的远程站点了，下一步我们就可以对和广域网链路相关的另一个问题：带宽，进行讨论了。

　　带宽的意义

　　当家庭办公环境下的远程终端通过广域网链路进行认证的时间，两者之间的带宽是确保这一进程是否及时的决定性因素。如果位于偏远地区使用拨号上网的用户需要十五分钟的时间才能完成域身份的认证的话，这可能就是需要改善连接方式提高效率的迹象了。

　　注意：对于单独的用户来说，使用拨号上网的连接方式是可以有效的节约资金，但在整个站点或者办公环境下，使用拨号上网的连接方式访问网络的话，就意味着不可能进行持续不断的有效工作。

　　最佳的解决方案

　　对于远程站点来说，可能并不是所有时间都有用户或者设备在线，因此，在远程站点中设立域控制器也不是在任何情况下都一直可行的选择。举例来说，我们公司已经对不在家工作的销售人员进行了远程管理。所有这样的链接采用的都是大于六兆比特每秒的速率，但对于每个链接来说，每个位置都只有一个用户需要进行身份认证。对于这样的远程办公环境来说，设立域控制器不是一个理想的办法。为他们的办公环境提供虚拟专用网链接，才是更有效的方法。

　　不过，对于采用了活动目录环境并且包含了多名用户的远程办公环境来说，家庭办公环境通过广域网链路进行认证的效果可能不是非常的理想。这种情况下，设立一台包含了高速链接的域控制器，就可以改善登陆的效果，提高工作效率，增加资源的有效利用率。

　　根据公司网络环境的实际情况选择最符合成本效益和可行的解决方案，是最好的方式，可以让远程用户在投入最小的情况下，获得性能的最大提高。

　　还有什么需要注意?

　　由于远程认证方式和互联网存在着密切的联系，所以可能会出现广域网链路无法使用的情况。因此，对于大多数公司来说，需要有发生这种情况时的解决方案。下面提到的，就是应该注意的事项。

　　采用Windows 2003的服务器会对用户登录和域信息进行缓存操作，即使广域网链路中断，认证过程也可以持续下去。只要缓存操作完成，就可以使用不必进行域身份认证也可以获得的网络资源。不过，对于需要域身份认证才能使用的资源，举例来说，网络共享或者电子邮件之类的，在广域网链路中断的情况下将无法使用。

　　在默认情况下，Windows将对最新的十条登陆信息进行缓存操作，你也可以选择将它设定为最大值，五十条。在广域网链路中断或者域名出现错误无法使用的情况出现时，这样可以减少当机带来的损失。

　　我希望，在公司内部部署利用广域网链路和活动目录环境的解决方案时，这篇文章所涉及的内容可以为你提供最有效的帮助。