Professional Documents
Culture Documents
第 8 章
目录 服务
MSA 实施工具包
摘要
总结 .........................................................................................................................................................51
附录 .........................................................................................................................................................52
简介
“Microsoft® 系统体系结构 (MSA) 2.0 构建指南”中的这一章描述了内部 MSA Active
Directory® 森林的构建过程,并提供了周边网络上外部 MSA 周边森林的其他配置信息。
常规 信息
本节提供了 Active Directory 的一般构建信息,并非针对特殊情境的信息。
服务 前提条件
下表中包含了在按本章中的描述实施 Microsoft Active Directory 时的一些服务前提条件。
网络设备 确保网络已按本指南“网络设备”一章中所定义的内容安装
就绪,并已配置妥当。
计算设备 确保已按本指南“计算机设备”一章中所定义的内容正确安
装并启用了所有域控制器服务。
部署服务 确保已按本指南“部署服务”一章中定义的内容在所有域控
制器服务器上安装了操作系统并已完成了基本配置。
表 1. MSA 目录服务的前提条件
必备知识
要想成功地完成本指南中的详细操作步骤,需要具备一定水平的技术知识。本章中撰写的指南
信息假设读者具备以下经验和知识水平:
• 两年的 Windows® NT® 4.0 网络环境经验。
• 三个月的目录服务和(或)DNS 技术的经验。
• 对现有 Microsoft Active Directory 手册和指南的访问(包括其网站链接)。
CDC 构建前提
下表中的内容是在 CDC 情境中实施 Microsoft Active Directory 的前提条件。
在机架中安装服务器设备。 目测检查计算机,确保计算机已按
ConfigurationMatrix.xls 文件的“机架布局”工作表中定
义的内容安装在机架中。
网络运行正常。 在按本章后面描述的内容配置服务之前,先要确保网络可以
正常运行。
由网络管理员检查配置测试,以确保网络能够正常运行并且
服务器可在网络上正常通信。
安装操作系统并完成基本配置。 登录每一台服务器并按照 ConfigurationMatrix.xls 文件
的“常规配置”、“计算机配置”、“磁盘分区配置”和
“Boot.ini 配置”工作表中定义的内容对其配置进行验证。
CDC 构建任务
本节详细介绍在 MSA CDC 基础设施配置 Active Directory 所需的每个步骤。
配置 NIC 协作
执行此 任务的角 色: 操作系统安装人员
在与此服务相关联的每一台服务器上,网络适配器作为服务器自动部署过程的一部分 (在本指
南“部署服务”一章中有详细介绍) 协同工作。如果不使用自动部署过程,则可在“部署服务
”一章末尾的“附录 5.1—HP 服务器手动构建过程”中找到有关如何配置 NIC 协作网络适配
器的操作指南。
表 3. 大型域控制器的配置信息
根据下表中信息,使用“计算机管理 MMC”配置周边森林中的域控制器驱动器。
表 4. 小型域控制器的配置信息
向导页面 操作
操作系统兼容性 阅读信息,更正问题,然后单击下一 步。
域控制器类型 单击新域 的域 控制 器。
创建新域 确保已选择了新森 林中 的域 。
新域名 在新域 的完 整 DNS 名称 文本框中,键入
corp.contoso.com。
配置站点和站点拓扑
执行此 任务的角 色: 森林所有者:
配置 FFL-RT-DC-01 上的站点和站点拓扑有助于在森林中的计算机联机时将其放置到合适的
站点中。要配置站点和站点拓扑,应完成以下步骤:
1. 创建站点。使用“Active Directory 站点和服务 MMC”将 Default-First-Site-Name 重
命名 FFL,然后通过分配每个站点的 DEFAULTIPSITELINK 创建以下站点:
• LON
• FFL (最初为 Default-First-Site-Name)
2. 创建 Active Directory 子网并将子网分配到适合的站点中。使用“Active Directory 站
点和服务 MMC”,借助 ConfigurationMatrix.xls 文件 (MSA 2.0 部署工具包中的文件)
中“AD 站点和子网”工作表中的信息创建子网。创建供“企业”使用的站点。
任何未在 ConfigurationMatrix.xls 中列出,但被企业使用的 DHCP 子网,都需要添加
到与这些子网相对应的站点中。
3. 创建 Active Directory 站点链接。使用“Active Directory 站点和服务 MMC”将
DEFAULTIPSITELINK 重命名为 FFL-LON,删除所有的额外站点,并根据下表中的
信息配置站点链接。
链接 站点 站点 开销 复制时间间隔
委派 na.corp.contoso.com
执行此 任务的角 色:DNS 所有者/森林所有者
1. 启动 DNS MMC。
向导页面 操作
委派 eu.corp.contoso.com
执行此 任务的角 色:DNS 所有者/森林所有者
1. 启动 DNS MMC。
2. 在控制台树中,右击 corp.contoso.com 区域并单击新建委 派。
3. 根据下表中的信息完成新建委 派向导 。如果未指定信息,请接受默认设置。
向导页面 操作
向导页面 操作
表 9. 创建根区域时的向导响应
向导页面 操作
操作系统兼容性 阅读信息,更正问题,然后单击下一 步。
域控制器类型 单击现有 域的 其他 域控 制器 。
网络凭证 在用户 名文本框中,键入 Administrator。
在密码 文本框中,键入管理员帐户的密码。
在域文本框中,键入 corp.contoso.com。
其他的域控制器 单击浏览 。
在域浏 览对话框中,单击 corp.contoso.com.
目录服务还原模式管理员密码 在密码 和确认 密码 文本框中,键入不易被破解的密
码 (密码中包括数字以及大、小写字母)。
向导页面 操作
操作系统兼容性 阅读信息,更正问题,然后单击下一 步。
域控制器类型 单击新域 的域 控制 器。
创建树或子域 单击现有 域树 中的 子域 。
网络凭证 在用户 名文本框中,键入 Administrator。
在密码 文本框中,键入管理员帐户的密码。
在域文本框中,键入 corp.contoso.com。
安装子域 单击浏览 。
在域浏 览对话框中,单击 corp.contoso.com.
在子域 文本框中,键入 na。
数据库位置和日志位置 在数据 库位 置和日志位 置文本框中,分别键入
M:\NTDS 和 L:\NTDSLOGS。
共享系统卷 在 Sysvol 位置 文本框中键入 M:\SYSVOL。
DNS 注册诊断 单击在本 计算 机上 安装 并配 置 DNS 服务 器, 并
将本 计算 机设 置为 使用 此 DNS 服务 器作 为其 首
选 DNS 服务 器。
权限 单击只与 Windows 2000 服务器 兼容 的权 限。
目录服务还原模式管理员密码 在密码 和确认 密码 文本框中,键入不易被破解的密
码 (密码中包括数字以及大、小写字母)。
请注 意: 如果添加了与先前列表中不同的域控制器,则需将这些域控制器的 IP 地址添加到它们控制的每
个区域名称服务器列表中。关于如何将 IP 地址添加到名称服务器的操作指导,请参见本指南“网络服务
”一章中的“在所有区域上配置区域传送安全性”部分。
向导页面 操作
操作系统兼容性 阅读信息,更正问题,然后单击下一 步。
域控制器类型 单击现有 域的 其他 域控 制器 。
网络凭证 在用户 名文本框中,键入 Administrator。
在密码 文本框中,键入管理员帐户的密码。
在域文本框中,键入 na.corp.contoso.com。
其他的域控制器 单击浏览 。
在域浏 览对话框中,单击
na.corp.contoso.com。
数据库位置和日志位置 在数据 库位 置和日志位 置文本框中,分别键入
M:\NTDS 和 L:\NTDSLOGS。
共享系统卷 在 Sysvol 位置 文本框中键入 M:\SYSVOL。
目录服务还原模式管理员密码 在密码 和确认 密码 文本框中,键入不易被破解的密
码 (密码中包括数字以及大、小写字母)。
向导页面 操作
操作系统兼容性 阅读信息,更正问题,然后单击下一 步。
域控制器类型 单击新域 的域 控制 器。
创建树或子域 单击现有 域树 中的 子域 。
网络凭证 在用户 名文本框中,键入 Administrator。
在密码 文本框中,键入管理员帐户的密码。
在域文本框中,键入 corp.contoso.com。
子域安装 单击浏览 。
在域浏 览对话框中,单击 corp.contoso.com.
请注 意: 如果添加了与先前列表中不同的域控制器,则需将这些域控制器的 IP 地址添加到它们控制的每
个区域名称服务器列表中。关于如何将 IP 地址添加到名称服务器的操作指导,请参见本指南“网络服务
”一章中的“在所有区域上配置区域传送安全性”部分。
向导页面 操作
操作系统兼容性 阅读信息,更正问题,然后单击下一 步。
域控制器类型 单击现有 域的 其他 域控 制器 。
网络凭证 在用户 名文本框中,键入 Administrator。
在密码 文本框中,键入管理员帐户的密码。
在域文本框中,键入 eu.corp.contoso.com。
其他的域控制器 单击浏览 。
在域浏 览对话框中,单击
eu.corp.contoso.com。
目录服务还原模式管理员密码 在密码 和确认 密码 文本框中,键入不易被破解的密
码 (密码中包括数字以及大、小写字母)。
向导页面 操作
操作系统兼容性 阅读信息,更正问题,然后单击下一 步。
域控制器类型 单击新域的域控制器。
创建新域 确保已选择了新森林中的域。
新域名 在新域 的完 整 DNS 名称 文本框中,键入
perimeter.contoso.com。
DNS 注册诊断 单击在本 计算 机上 安装 并配 置 DNS 服务 器, 并
将本 计算 机设 置为 使用 此 DNS 服务 器作 为其 首
选 DNS 服务 器。
权限 单击只与 Windows 2000 或 Windows
Server 2003 操作系 统兼 容的 权限 。
目录服务还原模式管理员密码 在密码 和确认 密码 文本框中,键入不易被破解的密
码 (密码中包括数字以及大、小写字母)。
配置周边的站点和站 点拓扑
执行此 任务的角 色: 森林所有者
配置 FFL-CP-DC-01 上的站点和站点拓扑有助于在森林中的计算机联机时将其放置到合适的
站点中。要配置站点和站点拓扑,应完成以下步骤:
向导页面 操作
操作系统兼容性 阅读信息,更正问题,然后单击下一步 。
域控制器类型 单击现有域 的其 他域 控制 器。
网络凭证 在用户名 文本框中,键入 Administrator。
在密码文本框中,键入管理员帐户的密码。
在域文本框中键入 perimeter.contoso.com。
其他的域控制器 单击浏览。
在域浏览 对话框中,单击
perimeter.contoso.com。
目录服务还原模式管理员密码 在密码和确认密 码文本框中,键入不易被破解的密码
(密码中包括数字以及大、小写字母)。
向导页面 操作
执行架构更新
执行此 任务的角 色: 森林所有者或架构所有者
在进行安装前需要修改某些应用程序的架构。需要更新架构的应用程序包括 Exchange Server
2000、ISA Server 2000 和 MIS 2000。有关如何执行架构更新的信息,请参见适当的应用程序
服务器文档。
配置 Active Directory
对 Active Directory 进行配置,以便操作主控角色可以驻留在适当的计算机中、正常实例化全
局编录,并将域转换为本机模式。
移动 操作主 控角色
执行此 任务的角 色: 森林所有者或域所有者
在默认情况下,域中的第一个域控制器具有操作主控角色。在 MSA CDC 情境中,当域控制
器被实例化后,主控角色会被移动到多台计算机中。使用“Active Directory 用户和计算机
MMC”,借助下表中的信息将操作主控角色移动到适当的服务器。
角色宿主 角色
表 18. 操作主控角色及其各自的服务器
请注 意:当移动“PDC 模拟器角色”时,可能会显示警告信息。
此计算机并非复制伙伴。将 PDC 角色转移到此计算机可能会引起所有 NT4 BDC 上的完全同步。是否要
继续?
如果显示此消息,请单击是以继续操作。
配置周边 /企业森林间的信任关 系
执行此 任务的角 色: 森林所有者
使用“Active Directory 域和信任 MMC”完成对森林间信任关系的配置。
1. 在 FFL-CP-DC-01 中,启动一个“Active Directory 域和信任 MMC”的实例。
2. 右击 perimeter.contoso.com 并选择属性 。
3. 在信任 选项卡中,单击新建信任 。
4. 单击下一步 。
5. 在名称 文本框中,键入 corp.contoso.com。
6. 选择森林信 任并单击下一步 。
7. 选择单向 :传出并单击下一步 。
8. 选择此域和 指定域 并单击下一步 。
9. 在用户名 文本框中键入 contosocorp\administrator。在密码 文本框中,键入正确的
密码并单击下一步 。
10. 选择森林 -范围身份验 证并单击下一步 。
11. 单击下一步 。
12. 再次单击下一步 。
13. 选择是,确认传 出信任 并单击下一步。
14. 单击完成 。
组织单位/容器 用途 位置
组织单位/容器 用途 位置
组织单位/容器 用途 位置
策略名称 模板 位置
eu.corp.contoso.com\MSA Infrastructure
Servers\File Servers
MSA 文件服务器覆盖策略 MSA File corp.contoso.com\MSA Infrastructure
Override.inf Servers\File Servers
na.corp.contoso.com\MSA Infrastructure
Servers\File Servers
eu.corp.contoso.com\MSA Infrastructure
Servers\File Servers
MSA 管理服务器覆盖策略 MSA na.corp.contoso.com\MSA Infrastructure
Management Servers\Management Servers
Server eu.corp.contoso.com\MSA Infrastructure
Override.inf Servers\Management Servers
MSA IIS 策略 (MSS) Enterprise na.corp.contoso.com\MSA Infrastructure
Client – IIS Servers\Intranet Web Servers
Server.inf eu.corp.contoso.com\MSA Infrastructure
Servers\Intranet Web Servers
MSA IIS 覆盖策略 MSA IIS na.corp.contoso.com\MSA Infrastructure
Override.inf Servers\Application Servers
eu.corp.contoso.com\MSA Infrastructure
Servers\Application Servers
na.corp.contoso.com\MSA Infrastructure
Servers\Intranet Web Servers
eu.corp.contoso.com\MSA Infrastructure
Servers\Intranet Web Servers
MSA 打印策略 (MSS) Enterprise na.corp.contoso.com\MSA Infrastructure
Client – Print Servers\Print Servers
Server.inf eu.corp.contoso.com\MSA Infrastructure
Servers\Print Servers
MSA 打印服务器覆盖策略 MSA Print na.corp.contoso.com\MSA Infrastructure
Server Servers\Print Servers
Override.inf eu.corp.contoso.com\MSA Infrastructure
Servers\Print Servers
MSA 代理覆盖策略 MSA Proxy na.corp.contoso.com\MSA Infrastructure
Server Servers\Proxy Servers
Override.inf eu.corp.contoso.com\MSA Infrastructure
Servers\Proxy Servers
MSA Radius 策略 (MSS) Enterprise na.corp.contoso.com\MSA Infrastructure
Client – IAS Servers\Radius Servers
Server.inf eu.corp.contoso.com\MSA Infrastructure
Servers\Radius Servers
MSA 服务器覆盖策略 MSA Server corp.contoso.com\MSA Infrastructure Servers
Override.inf na.corp.contoso.com\MSA Infrastructure
Servers
eu.corp.contoso.com\MSA Infrastructure
Servers
corp.contoso.com\Domain Controllers
na.corp.contoso.com\Domain Controllers
eu.corp.contoso.com\Domain Controllers
MSA WINS 策略 (MSS) Enterprise na.corp.contoso.com\MSA Infrastructure
Client – Servers\WINS (Standalone) Servers
Infrastructure eu.corp.contoso.com\MSA Infrastructure
Server.inf Servers\WINS (Standalone) Servers
策略名称 模板 位置
配置管理组
执行此 任务的角 色: 域所有者
下表列出了将被授予特定机器或组织单位管理权限的全局组。用户可以轻松地添加到全局组中,
以为这些用户授予与全局组相关联的机器或组织单位集合的管理权限。
使用“Active Directory 用户和计算机 MMC”和下表中的信息创建 na.corp.contoso.com 域
的管理组。如果未指定信息,请接受默认设置。
1. 在 na.corp.contoso.com 域的子域控制器上启动“Active Directory 用户和计算机
MMC”。
2. 右击每一个适当的组织单位 (在表 24 中识别),选择新建,然后再选择组。
3. 在组名称 文本框中,键入表中的“管理组”名称。
4. 确保选择了全局 和安全性 选项,然后单击确定 。
管理组 位置 用途
向导页面 操作
选择用户或组 单击添加 。
选择用户、计算机或对象 在文本框中,键入 site topology admins。单击
确定 ,然后单击下一 步。
Active Directory 对象类型 确保选择了此文 件夹 ,此文 件夹 中的 现有 对象 以及
在此 文件 夹中 创建 的新 对象 ,并单击下一 步。
权限 选择完全 控制 。执行此操作将选择所有的复选框,并
启用创建 /删除 特定 子对 象。
单击下一 步,然后单击完成。
表 25. 配置站点拓扑管理员委派时的向导响应
配置 ContosoCorp 组织单位的委派
执行此 任务的角 色:域所有者
ContosoCorp 的示例组织单位结构组具有多个组,这些组被委派了管理其特殊 Active
Directory 节的权限。使用“Active Directory 用户和计算机” MMC 和表 26 到表 30 中提供
的信息来为组织单位创建委派。如果未指定信息,请接受默认设置。
1. 启动“Active Directory 用户和计算机 ”MMC。
2. 右击适当的组织单位,选择委派控 制并单击下一步 。
对于 ContosoCorp 组织单位:
向导页面 操作
选择用户或组 单击添加 。
选择用户、计算机或对象 在文本框中,键入 ContosoCorp_ou_admins。
单击确定 然后再单击下一 步。
委派任务 单击创建 客户 任务 以进 行委 派然后单击下一步 。
Active Directory 对象类型 确保选择了此文 件夹 ,此文 件夹 中存 在的 对象 和在
此文 件夹 中创 建的 新对 象,并单击下一步 。
权限 选择全部 控制 。选择所有的复选框,并启用常规 、
特殊 属性 和创 建/删除特 殊子 对象 。
单击下一 步然后再单击完成。
向导页面 操作
选择用户或组 单击添加 。
选择用户、计算机或对象 在文本框中,键入
ContosoCorp_computer_admins。单击确定,
然后单击下一 步。
委派任务 单击创建 客户 任务 以进 行委 派然后单击下一步 。
Active Directory 对象类型 单击在文 件夹 中只 有以 下对 象,然后单击计算机 对
象。
单击下一 步。
权限 选择全部 控制 。选择所有的复选框,并启用常规 、
特殊 属性 和创 建/删除特 殊子 对象 。
单击下一 步然后再单击完成。
表 27. 计算机组织单位配置信息
Groups 组织单位有:
向导页面 操作
选择用户或组 单击添加 。
选择用户、计算机或对象 在文本框中,键入
ContosoCorp_group_admins。单击确定然后
再单击下一 步。
委派任务 单击创建 、删 除和管理组 ,单击下一步 然后再单击
完成 。
表 28. 组的组织单位配置信息
Service Accounts 组织单位有:
向导页面 操作
用户或组 单击添加 。
选择用户、计算机或对象 在文本框中,键入
ContosoCorp_user_admins。单击确定然后再
单击下一 步。
要委派的任务 单击创建 、删 除和 管理 用户 帐户 ,单击下一 步然后
再单击完成 。
表 29. 服务帐户组织单位配置信息
对于 Use rs 组织单位:
选择用户或组 单击添加 。
选择用户、计算机或对象 在文本框域中,键入
ContosoCorp_user_admins。单击确定,然后
单击下一 步。
要委派的任务 单击创建 、删 除和 管理 用户 帐户 ,单击下一 步然后
再单击完成 。
表 30. 用户组织单位配置信息
其他目录服务注意事 项
本节中包含许多在完成 Active Directory 的配置过程中应当执行的其他任务。
请注意:不要在任何域控制器中执行这些步骤。
将成员服务器加入到域中:
1. 右击我的电 脑,并选择属性 。
2. 在计算机 名选项卡中,单击属性, 然后选择域。
3. 在文本框中键入<域名>并单击确定。
4. 键入域管理员名称和密码,并单击确定 。
5. 在欢迎 屏幕中单击确定。
6. 在重新启 动信息屏幕中单击确定 。
7. 单击确定 ,关闭系统属性 对话框。
8. 单击是,重新启动。
MSCEP CA 的目 录配置
执行此 任务的角 色:根域管理员
为了使 MSCEP CA (CONTOSO-CA2) 能够正常工作,必须创建一个新的组织单位和其他策略,
以使 IIS 可以在 MSCEP CA 中运行。此配置工作应在 corp.contoso.com 域中完成。
1. 使用下表中的信息执行“配置 MSA Active Directory 组织单位”中的步骤。
组织单位/容器 用途 位置
策略名称 模板 位置
材料清单
下表列出了此服务的硬件组件和软件组件。
项目 质量要求 共享设备
DL360G2 – 周边和根域 5 无
DL360G3 – 存根远程 CDC 站点 2 无
ML570G2 – NA 域 2 无
Windows Server 2003 Standard 7 无
Windows Server 2003 Enterprise 2 无
SBO 构建前提
下表中的内容是实施 SBO 情境中构建实施 Microsoft Active Directory 的前提条件。
网络运行正常。 企业站点和“卫星分公司”中的网络连通性必须良好。
由网络管理员检查配置测试,以确保网络运行正常并且
SBO 站点和 CDC 站点可互相通信。
必须部署完整的企业 AD 森林。 使用“Active Directory 域和信任 MMC”,确认已创建
了企业 AD 森林、适当的根和子域。
SBO 站点的子网必须与最近的企 为了使 SBO 站点能够与适当的企业站点进行通信,必须正
业站点相关联。 确地配置网络。同网络管理员确认并检查网络配置测试,以
确保 SBO 站点能够与适当的企业站点正常通信。
为 SBO 站点配置 DHCP。 企业站点中的 DHCP 必须为 SBO 子网上的客户提供配置
信息。检查 DHCP 范围设计配置,以确保 SBO 客户能够
与适当的企业域控制器正常通信。
要执行本节中的 SBO 构建任务,DHCP 配置并不是必需
的;但是,SBO 站点中的客户端必须有 DHCP,才可与企
业域控制器进行正常的通信。
SBO 构建任务
本节提供了在 SBO 情境中构建 Active Directory 的特定构建说明。
MSA 实验室测试方法
通过故障转移目录服务的不同组件,对目录服务的冗余性进行了验证。通过验证不同域和森林
间的信任和关系对安全性进行了测试。使用适当的第三方工具对目录服务的备份和还原进行了
测试。并且,还进行了审核和构建测试以检验目录服务的构建和验证基本功能。
Active Directory 负责处理身份验证请求。虽然其他的负载测试间接生成了身份验证请求,但
它们未对饱和状态下的 Active Directory 服务器进行身份验证请求测试。使用带有 ADLogon
插件的 LoadHarness 工具,可使测试小组在域控制器上施加负载,并以此检测域控制器在负
载下的任何有害行为。
测试工具
MSA Active Directory 服务测试结合 2.0.1300.28062 版的 ADLogon 插件使用 LoadHarness
1.0.1299.22957,执行一次性的功能测试和 Active Directory 负载测试。
LoadHarness 工具组允许测试小组模拟真实的 Active Directory 登录流量。他们用多测试客
户通过启动若干个主机的多个同步交互登录可以衡量压力测试。使用多个测试客户端 (从多台
主机同时启动多个交互登录) 允许小组成倍加大负载测试。这些登录负载指向 na.corp.contos
o.com 域的域控制器。
测试小组使用十个负载生成器 (LG) 计算机 (FFL-NA-LG-01 到 FFL-NA-LG-10) 在 Active
Directory 系统中施加负载。第一个负载生成器被用作 LoadHarness 主控制器。而其他九个负
载生成器则被用作远程 LoadHarness 从负载生成器(slave)。
下图显示了 MSA Active Directory 系统负载测试中所涉及的 LoadHarness 主控制器、
LoadHarness 从控制器和 MSA Active Directory 系统服务器之间的关系。
LoadHarness
ADLogon Master
FFL-NA-DC-01
` ` `
` `
FFL-NA-DC-02
LoadHarness
Domain Controllers
ADLogon Slaves
图 1.使用 LoadHarness和 ADLogon 插件进行测试
LoadHarness 的使 用
在 MSA 2.0 部署工具包 的 MSA 测试工具 文档中简要介绍了 LoadHarness 工具,其中包括
如何安装 LoadHarness 和 ADLogon 插件。有关配置和运行测试的必要步骤,将在以下各节
中详细介绍。
配置
LoadHarness 既可以在单独模式下使用,也可以在集成模式下使用。由于其单独模式不需要
什么特殊的配置,因此本节不对其进行详细介绍。而以集成模式运行 LoadHarness 则需要构
建两份特殊的配置文件。其中一份文件会分发到每一个负载生成器中,并在集成测试中使用。
要构建的第一个文件是 LoadHarness XML 配置文件。此文件由 LoadHarness 主负载生成器
使用,用于控制每个测试中主控负载生成器以及所有 Slave 客户端的活动。要构建的第二个文
件是插件输入文件。每个插件输入文件都要根据使用的插件进行配置。这些输入文件用于提供
插件在完成其特定任务过程中所需的输入参数。在开始测试前,需要将插件输入文件复制到主
负载生成器以及所有的从负载生成器中。
XML 配置文件
可以为 LoadHarness XML 配置文件指定任何文件名,但在本章中使用的文件名是
ADLOGON.XML。ADLOGON.XML 文件是包含配置数据的文本文件,且其文件内容被一些
可由 LoadHarness 工具识别的打开和关闭 XML 标记结构所包围。下面这个示例文件是某个
ADLOGON.XML 文件的部分摘录,此示例将用作讨论助手,以帮助您了解如何构建自定义的
LoadHarness XML 配置文件。
插件输入 文件
插件输入文件是基于文本的文件,其中包含多行被逗号分隔的输入参数。可为输入文件指定任
意文件名,但无论是何文件名,XML 配置文件都必须引用该文件名。如果您运行未提供任何
参数的插件可执行文件,它将提供一个列表,其中列出了所需的参数。插件输入文件中的每一
行都应包含以逗号分隔的指定参数。
例如,ADLogon 插件文件需要一个可选的完整域名、该域中的一个用户名和对应的用户密码;
因此 users.txt 文件可能会包含许多与以下内容类似的数据行:
Na .co rp . con toso . com,User1
<Password1>
,
Na .co rp . con toso . com,User2
<Password2>
,
Na .co rp . con toso . com,User3
<Password3>
,
开始/停止测试
LoadHarness 的 ADLogon 插入程序既可在单独模式下运行,也可在集成模式下运行。无论
哪种模式,都要在包含 LoadHarness 文件的目录中从命令行窗口启动。
要启动独立模式测试,应键入以下命令行:
ADLogon [Domain] <Username> <Password>
例如,
ADLogon na.corp.contoso.com testuser1 <password>
要启动主控负载生成器中的“控制器”组件,应在命令行中键入以下内容:
LH –cfg <filename>.xml
数据分析
LoadHarness 以预定义格式生成输出数据。下面是来自压力测试的示例输出数据:
19:15:45|6/20/2003|Host(FFL-NA-LG-26)|Plugin(ADLogon.exe)|Rate(1)|Executed(108451)|Failed(0)
19:15:46|6/20/2003|Host(FFL-NA-LG-26)|Plugin(ADLogon.exe)|Rate(18)|Executed(108469)|
Failed(0)
19:15:47|6/20/2003|Host(FFL-NA-LG-26)|Plugin(ADLogon.exe)|Rate(16)|Executed(108485)|
Failed(0)
19:15:48|6/20/2003|Host(FFL-NA-LG-26)|Plugin(ADLogon.exe)|Rate(3)|Executed(108488)|Failed(0)
可将输出数据作如下拆分:
Time | Date | Host | Plug-in | Rate | Executed | Failed
下面是对输出数据栏的描述:
• Time|Date:指的是生成测试输出时的日期和时间。
• Host:指的是执行测试的负载生成器计算机的主机名称。
• Plug-in:指的是运行测试时使用的插件。
• Rate:显示在记录输出的那一时刻每秒的测试迭代次数。
• Executed:显示自测试开始运行后的累计测试迭代次数。
• Failed:指的是自测试开始运行后累计的失败测试迭代次数。
在压力测试过程中出现的错误一般以两种方式指出:一种是在出现错误时直接指示,另一种是
在测试到达任意给定时间点时作为测试累计次数的一部分指示。
以下输出行便指示在执行的 127321 个实例中,有 18 个实例失败。
17:27:18|5/28/2003|Host(FFL-NA-LG-26)|Plugin(ADLogon.exe)|Rate(3)|Executed(127321)|
Failed(18)
下面两个示例输出行则在出现错误时直接报告错误。
13:33:21|5/7/2003|Error :This operation returned because the timeout period expired
11:17:24|5/9/2003|Error :The server is not operational
LoadHarness 工具在执行其任务时,会传递和记录它遇到的所有错误。因此,即使有一个失
败,它也有可能报告大量的出错消息。
基本问题疑难解答
在运行 LoadHarness 工具时如果出现问题,应执行以下操作:
• 调查由 LoadHarness 工具传递的任何特定错误,以确定导致错误出现的根本原因。
• 检查 C:\Load Harness 目录中的以下文件:
• LH.exe
• LoadHarness.dll
• ADLogon.xml
• ADLogon.exe
• Users.txt
请注 意: 某些功能验证操作内嵌在构建文档中,因此没有作为单独的测试实例实施。
审核和构建检验测试
对所有域控制器服务器的以下内容进行审核:硬件配置、系统信息、TCP/IP 配置、网络组件
安装、RAID 和逻辑磁盘的配置、网络共享、boot.ini 配置以及远程管理模式下是否存在终端服
务。
更多详细信息,请参见第 21、24、26、83、88、89 和 93 号测试实例。
接下来审核 Active Directory 的配置。运行这些检查的目的是:
• 确认已建立了正确的森林和域,且它们都以 Windows 2003 本机模式运行。
• 在 FFL 和 LON 站点中建立适当的域控制器服务器。
• 检验 FFL 和 LON 之间的站点链接。
• 确认已正确指定了 FSMO 角色。
• 确认“全局编录”服务由正确的服务器承载。
• 确认正确的 MSA 组织单位结构已准备就绪。
• 确认成员服务器已放置在正确的组织单位中。
• 检验“MSA 管理员”组织单位中的管理组。
• 验证“MSA LDAP 策略”配置是否正确。
更多详细信息,请参见第 97-102、170、172、174-176、178、179 和 260 号测试实例。
在域控制器上执行 BVT 测试的过程中,使用了各种各样的管理工具和命令行实用工具。还对
设置和工具日志进行了检查,以发现报告的任何错误。这些测试的目的在于:检验连通性、检
验正向和反向的名称解析、验证时间信息、确认系统卷成功初始化、确认复制中未出现错误、
枚举复制伙伴、确认域中存在域控制器、检验 Netlogon 服务建立的安全通道、检验用于
Netlogon、NTDS 和 FRS 的端口、确认域控制器提升日志及网络设置日志中未记录错误,并
确认 dcdiag 和 netdiag 未报告任何错误。
更多详细信息,请参见第 27、87、91、94-96、182-184 和 664 号测试实例。
最后,进行测试以确保为不同的组织单位应用了正确的组策略。
更多详细信息,请参见第 205、207、208、210、212、213、215、216、219、248、250-252 和
254-259 号测试实例。
可用性测试
第一次执行域控制器可用性测试时,不添加任何负载,以对基本系统功能进行检验确认。完成
基本功能的确认后,便开始在系统中添加负载并重复测试。对于 Active Directory 服务,检验
以下方面的容错功能:
• 域控制器冗余 (在任意单个域控制器发生故障时继续登录)
• NIC 协作。
更多详细信息,请参见第 186、187 和 535 号测试实例。
可管理性测试
对于目录服务来说,没有专门用于测试可管理性的案例。但是,通过部署、配置和测试完整地
服务套件可间接测试构建和测试目录服务阶段的可管理性。在此期间,广泛应用了各种内置管
理工具,如 Active Directory 站点和 服务 MMC、Active Directory 域和信 任 MMC 和
Active Directory 用户和计算 机 MMC。
安全测试
作为安全测试的一部分,我们对周边森林和企业森林之间的跨森林信任进行了检验。对周边森
林和企业森林间信任关系的测试结果表明此信任关系为单向传递信任。因为是单向信任,所以
经过检验我们确信周边森林中的用户不能登录到内部森林。而且经过检验后,我们确信只有合
法用户才具有 Active Directory 用户和计算 机 MMC 的管理权限。
更多详细信息,请参见第 220、701 和 729 号测试实例。
备份和还原测试
备份和还原测试作为备份和恢复服务的一部分执行。测试内容包括检验 Active Directory 服务
器的备份,然后将其还原。
更多详细信息,请参见第 133 和 708 号测试实例。
测试实例
有关测试实例的完整列表及其详细信息,请参见本章末尾的“附录 8.2—测试实例”。有关测
试的具体类型,请参见前面提到的测试实例 ID。
功能测试结果
以下各节讲述对 Active Directory 执行功能测试的测试结果。
审核 和构建 检验测 试
根据 ConfigurationMatrix.xls 文件对所有域控制器服务器的以下内容进行审核:硬件配置、系
可用 性测试
我们分别在不加负载和添加负载两种情况下对域控制器和 NIC 协作的可用性进行了测试。在
对域控制器服务器和网络适配器进行故障转移的过程中没有发生故障。
安全 性测试
经测试发现周边用户不能登录到内部企业服务器中。经验证发现周边森林和内部森林之间的信
任关系为单向传出信任。另外,经验证只有合法用户才能使用 Active Directory 用户和 计算
机 MMC 更改 Active Directory 配置。
MSA 实验室负载测试
我们使用本章前面讨论的 LoadHarness 工具和 ADLogon 插件进行目录服务的负载测试。在
负载测试中使用 10 个负载生成器生成负载,每个负载生成器以每 4 小时 50 个线程的速率生
成 10 个线程。
测试实例
有关测试实例的完整列表及其详细信息,请参见本章末尾的“附录 8.2—测试实例”。有关测
试的具体类型,请参见前面提到的测试实例 ID。
负载测试结果
以下各节讲述对 Active Directory 执行负载测试的测试结果。
性能 测试
各项负载性能测试均成功完成,没有出现任何失败。下面是测试得出的测试结果。
• 总登录次数: 20, 46,000
• 登录失败次数: 0
表 35. 测试期间收集的性能参数
下图是在域控制器上执行负载测试期间收集的 %Process time 性能计数器屏幕快照。在域控制
器服务器 FFL-NA-DC-01 中,处理器的使用范围为 0 到 70,平均值为 27.65。在域控制器服
务器 FFL-NA-DC-02 中,处理器的使用范围为 0 到 115,平均值为 49.13。
集成 负载测 试
各项集成负载测试均成功完成,没有出现任何失败。在测试过程中持续运行 12 小时的
LoadHarness 工具 (速率为单线程每秒 4 次登录)。下面为测试得出的测试结果。
• 总登录次数: 188451
• 登录失败次数: 0
表 36. 测试期间收集的性能参数
下图是在域控制器上执行负载测试期间收集的 %Process time 性能计数器屏幕快照。在域控制
器服务器 FFL-NA-DC-01 中,处理器的使用范围为 0 到 6.5,平均值为 .147。在域控制器服
务器 FFL-NA-DC-02 中,处理器的使用范围为 0 到 20,平均值为 1.834。
预期结 果
• net time 命令给出正确的时间信息。
• net time /querysntp 命令的结果应当与以下内容相匹配。
“服务器时间源”服务器:
a. FFL-NA-DC-02 FFL-NA-DC-01
b. FFL-RT-DC-01 FFL-RT-DC-02
c. FFL-NA-DC-01 FFL-RT-DC-02
d. LON-EU-DC-01 FFL-RT-DC-02
e. LON-EU-DC-02 LON-EU-DC-01
f. LON-RT-DC-01 FFL-RT-DC-02
g. FFL-CP-DC-01 FFL-CP-DC-02
h. FFL-CP-DC-02 127.0.0.1 (itself)
i. FFL-RT-DC-02 127.0.0.1 (itself)
服务器 FSMO 角色
FFL-CP-DC-01 架构主控
域名主控
FFL-CP-DC-02 PDC 主控
RID 主控
基础结构主控
FFL-RT-DC-01 架构主控
域名主控
FFL-RT-DC-02 PDC 主控
RID 主控
基础结构主控
FFL-NA-DC-01 RID 主控
PDC 主控
FFL-NA-DC-02 基础结构主控
表 1. FSMO 角色信息
3. 打开 Active Directory 用户和 计算机 MMC 并右击左上窗格中的域名。
4. 选择操作主 控。
5. 单击 PDC 选项卡,查看具有 PDC 主控角色的服务器。
6. 单击 RID 选项卡,查看具有 RID 主控角色的服务器。
7. 单击基础设 施选项卡,查看具有基础结构主控角色的服务器。
8. 关闭 MMC 管理单元。
9. 选择开始->程序->管理工具->Active Directory 域和信任。
10. 右击 Active Directory 域和信 任并选择操作主 控…,查看森林中具有域命名主控角
色的服务器。
11. 打开 Active Directory 架构 MMC 管理单元,检验架构主控角色。
12. 右击左上端窗格中的“Active Directory 架构”,然后单击操作主 控…,查看具有架
构主控角色的服务器。
预期结 果
操作角色的放置应与构建指南中的相一致。
测试实 例 ID: 174
类型: 审核
范围 : 目录服务
说明
检验 FFL 站点下的服务器。