Directory Service BG

版本 2.
第 8 章
目录服务
MSA 2.0 构建指南
MSA 实施工具包
Microsoft 机密。 © 2003 Microsoft Corporation。保留所有权利。这些资

料属于 Microsoft 公司的机密信息，同时被当作商业秘密。这些资料
中的信息仅面向 Microsoft 授权的接收者。对于这些资料的使用、散
发或公开讨论，以及任何反馈均以所附的许可协议条款为依据。您可以
通过向 Microsoft 提供这些资料的任何反馈，表示同意该许可协议的
条款。如果该许可协议已被删除，请在使用这些资料之前，在http://www
microsoft.com/licensing/specs/agrmt02.asp 上阅读有关条款。
摘要
本章提供了在 Microsoft 系统体系结构企业数据中心 (CDC) 和卫星分公司 (SBO) 情境中部署

Microsoft® Active Directory 时所需要的安装和配置详细信息。本文档遵循“MSA 参考体系结构工具包
”和“MSA 2.0 规划指南”中的“服务蓝图”指南“目录服务”一章中的设计详细信息。
本文档中的信息（包括 URL 及其他 Internet 网站参考资料）可能随
时变更，恕不另行通知。使用本文档的全部风险或因此导致的后果均由
用户自行承担。
除非另外注明，否则此处作为例子提到的公司、组织、产品、域名、电
子邮件地址、徽标、人员、地点和时间纯属虚构，绝不意指，也不应由
此臆测任何真实的公司、组织、产品、域名、电子邮件地址、徽标、人
员、地点和时间。
遵守所有适用的版权法律是用户应尽的责任。在不对版权法所规定的权
利加以限制的情况下，如未得到 Microsoft Corporation 明确的书面
许可，不得为任何目的、以任何形式或手段（电子的、机械的、影印、
录制等等）复制、传播本文的任何部分，也不得将其存储或引入到检索
系统中。
Microsoft 可能拥有本文档主题涉及到的专利、专利申请、商标、版权
或其他知识产权。除非在 Microsoft 的任何书面许可协议中明确表述，
否则获得本文档不代表您将同时获得这些专利、商标、版权或其他知识
产权的许可证。
© 2003 Microsoft Corporation.保留所有权利。
Microsoft、Active Directory、Windows 和 Windows NT 均为 Microsoft
Corporation 在美国和/或其他国家的注册商标或商标。
此处提到的实际公司名称和产品名称可能是其所有者的商标。
我们期待着您的来信：Microsoft Corporation One Microsoft Way
Redmond, WA 98052-6399 USA
目录
简介 ...........................................................................................................................................................1
常规信息.............................................................................................................................................1
服务前提条件...................................................................................................................................1
必备知识...........................................................................................................................................1
目录服务 — CDC 情境.......................................................................................................................2
CDC 构建前提....................................................................................................................................2
CDC 构建任务....................................................................................................................................2
配置 NIC 协作...................................................................................................................................2
配置域控制器驱动器.......................................................................................................................3
在域控制器中建立域名系统 (DNS)...............................................................................................3
配置森林 PDC 角色所有者中的时间服务....................................................................................4
在第一个企业根域控制器中运行 DCPROMO.............................................................................4
配置站点和站点拓扑.......................................................................................................................5
委派 na.corp.contoso.com..................................................................................................................... .............5
委派 eu.corp.contoso.com..................................................................................................................... .............6
在企业根域控制器上建立 .Root 区域............................................................................................7
在其他根域控制器上运行 DCPROMO................................................................................................. ...........7
配置第一个 NA 域控制器的 DNS 服务器递归名称解析.............................................................8
配置第一个 EU 域控制器的 DNS 服务器递归名称解析............................................................8
在第一个 NA 域控制器中运行 DCPROMO....................................................................................8
在其他的 NA 子域控制器中运行 DCPROMO.............................................................................9
配置其他 NA 子域控制器的 DNS 服务器递归名称解析............................................................11
在第一个 EU 域控制器中运行 DCPROMO...............................................................................11
在其他的 EU 子域控制器中运行 DCPROMO............................................................................12
配置其他 EU 子域控制器的 DNS 服务器递归名称解析...........................................................13
在第一个周边域控制器中运行 DCPROMO ..............................................................................13
配置第一个周边域控制器的 DNS 服务器递归名称解析..........................................................14
配置 perimeter.contoso.com 以允许 DNS 区域传送...................................................................14
配置周边的站点和站点拓扑.........................................................................................................14
在其他的周边域控制器中运行 DCPROMO.................................................................................. ................15
配置其他周边域控制器的 DNS 服务器递归名称解析..............................................................15
设置企业域控制器上 perimeter.contoso.com 的存根区域...........................................................16
设置周边域控制器中 corp.contoso.com 的条件转发器.............................................................16
执行架构更新.................................................................................................................................17
配置 Active Directory.....................................................................................................................17
移动操作主控角色.............................................................................................................................. .............17
将其他域控制器提升为全局编录服务器................................................................................................ ........18
将 Active Directory 域配置为本机模式................................................................................................... .......18
将 Active Directory 森林配置为 Windows Server 2003 模式.....................................................18
配置周边/企业森林间的信任关系................................................................................................19
对域控制器进行配置以使用特定端口进行远程过程调用 (RPC)、网络登录 RPC 和 FRS
复制 RPC........................................................................................................................................19
配置森林的轻型目录访问协议 (LDAP) 查询策略设置.............................................................20
配置 MSA Active Directory 组织单位...........................................................................................21
配置 MSA 安全性和审核设置......................................................................................................23
配置管理组.....................................................................................................................................27
配置站点拓扑管理员的委派.........................................................................................................28
配置 ContosoCorp 组织单位的委派............................................................................................28
其他目录服务注意事项.................................................................................................................30
将成员服务器加入到域中............................................................................................................ ...................30
将服务器移至组织单位中............................................................................................................ ...................30
MSCEP CA 的目录配置......................................................................................................................... ..........31
材料清单..............................................................................................................................................31
目录服务— SBO 情境..........................................................................................................................32
SBO 构建前提..................................................................................................................................32
SBO 构建任务..................................................................................................................................32
配置 SBO 情境的站点和站点拓扑................................................................................................32
测试 .........................................................................................................................................................34
MSA 实验室测试方法......................................................................................................................34
测试工具.........................................................................................................................................34
LoadHarness 的使用............................................................................................................................. ............35
MSA 实验室功能测试......................................................................................................................41
审核和构建检验测试.....................................................................................................................41
可用性测试.....................................................................................................................................42
可管理性测试.................................................................................................................................42
安全测试.........................................................................................................................................42
备份和还原测试.............................................................................................................................42
测试实例.........................................................................................................................................42
功能测试结果.................................................................................................................................42
审核和构建检验测试........................................................................................................................ ...............42
可用性测试................................................................................................................................................ .......43
安全性测试................................................................................................................................................ .......43
MSA 实验室负载测试......................................................................................................................43
性能测试.........................................................................................................................................44
测试实例.........................................................................................................................................44
负载测试结果.................................................................................................................................44
性能测试...................................................................................................................................................... .....44
集成负载测试.......................................................................................................................................... .........47
总结 .........................................................................................................................................................51
附录 .........................................................................................................................................................52
简介
“Microsoft® 系统体系结构 (MSA) 2.0 构建指南”中的这一章描述了内部 MSA Active
Directory® 森林的构建过程，并提供了周边网络上外部 MSA 周边森林的其他配置信息。
常规信息
本节提供了 Active Directory 的一般构建信息，并非针对特殊情境的信息。
服务前提条件
下表中包含了在按本章中的描述实施 Microsoft Active Directory 时的一些服务前提条件。
必备要素必备检查已核实
网络设备确保网络已按本指南“网络设备”一章中所定义的内容安装
就绪，并已配置妥当。
计算设备确保已按本指南“计算机设备”一章中所定义的内容正确安
装并启用了所有域控制器服务。
部署服务确保已按本指南“部署服务”一章中定义的内容在所有域控
制器服务器上安装了操作系统并已完成了基本配置。
表 1. MSA 目录服务的前提条件
必备知识
要想成功地完成本指南中的详细操作步骤，需要具备一定水平的技术知识。本章中撰写的指南
信息假设读者具备以下经验和知识水平：
• 两年的 Windows® NT® 4.0 网络环境经验。
• 三个月的目录服务和（或）DNS 技术的经验。
• 对现有 Microsoft Active Directory 手册和指南的访问(包括其网站链接)。
MSA 2.0 构建指南——第 8 章：目录服务 1

目录服务 — CDC 情境
接下来的几节内容提供了与 MSA CDC* 情境有关的 Active Directory 构建信息。
CDC 构建前提
下表中的内容是在 CDC 情境中实施 Microsoft Active Directory 的前提条件。
在机架中安装服务器设备。目测检查计算机，确保计算机已按
ConfigurationMatrix.xls 文件的“机架布局”工作表中定
义的内容安装在机架中。
网络运行正常。在按本章后面描述的内容配置服务之前，先要确保网络可以
正常运行。
由网络管理员检查配置测试，以确保网络能够正常运行并且
服务器可在网络上正常通信。
安装操作系统并完成基本配置。登录每一台服务器并按照 ConfigurationMatrix.xls 文件
的“常规配置”、“计算机配置”、“磁盘分区配置”和
“Boot.ini 配置”工作表中定义的内容对其配置进行验证。
表 2.构建 MSA CDC 目录服务的前提条件
CDC 构建任务
本节详细介绍在 MSA CDC 基础设施配置 Active Directory 所需的每个步骤。
配置 NIC 协作
执行此任务的角色：操作系统安装人员
在与此服务相关联的每一台服务器上，网络适配器作为服务器自动部署过程的一部分 (在本指
南“部署服务”一章中有详细介绍) 协同工作。如果不使用自动部署过程，则可在“部署服务
”一章末尾的“附录 5.1—HP 服务器手动构建过程”中找到有关如何配置 NIC 协作网络适配
器的操作指南。
? 2Microsoft Systems Architecture Version 2.0

配置域控制器驱动器
执行此任务的角色：操作系统安装人员
域控制器具有各不相同的驱动器布局配置，这取决于机器所承载站点的大小。
对于承载大型站点的域控制器，数据库和 SYSVOL 驻留在 RAID 0+1 驱动器中，而日志则驻
留在内部森林中一个单独的 RAID 1 驱动器系统中。而承载小型站点的域控制器则为操作系统、
日志、SYSVOL 和数据库存储使用一个 RAID 1 驱动器系统。
根据下表中的信息，使用计算机管理 MMC (Microsoft 管理控制台) 来配置内部森林中的域控
制器驱动器。
请注意：出现提示时，如果驱动器位于存储区域网络 (SAN) 中，请不要将驱动器升级为动态磁盘。
驱动器号卷 RAID 类型分区大小文件系分配单元

统
C: <服务器名称> RAID 1 这三项内容会在 W2K 安装过程中处理
L: ADLogs RAID 1 整个驱动器 NTFS 默认
M: 数据存储 RAID 0+1 整个驱动器 NTFS 8192
表 3. 大型域控制器的配置信息
根据下表中信息，使用“计算机管理 MMC”配置周边森林中的域控制器驱动器。
驱动器号卷 RAID 类型分区大小文件系分配单元

统
C: <服务器名称> RAID 1 这三项内容会在 W2K 安装过程中处理
表 4. 小型域控制器的配置信息
在域控制器中建立域名系统 (DNS)

执行此任务的角色： DNS 所有者、系统安装所有者或域所有者
域控制器使用 DNS 提供名称解析服务。要简化安装过程，应在运行 DCpromo 之前预安装
DNS 并配置 DNS。
要安装 DNS 服务，应在以下机器上完成此任务中的步骤：
• FFL-RT-DC-01
• FFL-RT-DC-02
• FFL-CP-DC-01
• FFL-CP-DC-02
• FFL-NA-DC-01
• FFL-NA-DC-02

• LON-RT-DC-01
• LON-EU-DC-01
• LON-EU-DC-02
1. 以本地管理员的身份登录适当的计算机。
2. 单击开始、控制面板，然后选择添加或删除程序。
3. 单击添加 /删除 Windows 组件。
4. 突出显示网络服务并单击详细信息。
5. 选择域名系统 (DNS)。
6. 单击确定。
7. 单击下一步。
配置森林 PDC 角色所有者中的时间服务

执行此任务的角色：域所有者
可配置根域 PDC 模拟器所有者上的时间服务，使其指向外部 NTP 时间源。在此配置中，未
对 FFL-RT-DC-02 和 FFL-CP-DC-02 进行配置，因为 Internet 访问并非部署的必需步骤。如
果 FFL-RT-DC-02 或 FFL-CP-DC-02 与外部时间源不同步，系统日志将出现 eventID 54 的警
告。要阻止这些事件的出现，应运行 FFL-RT-DC-02 和 FFL-CP-DC-02 上的 Forest Root Time
Config.reg 文件；此文件位于 MSA 2.0 部署工具包的 \Directry Services 文件夹中。
要配置时间服务，应完成以下步骤：
1. 以本地管理员身份登录 FFL-RT-DC-02。
2. 将 Forest Root Time Config.reg 文件复制到服务器桌面。
3. 双击 Forest Root Time Config.reg，出现提示时，单击是。
4. 在 FFL-CP-DC-02 中重复步骤 1-3。
在第一个企业根域控制器中运行 DCPROMO

执行此任务的角色：森林所有者
通过“Active Directory 安装向导”完成 Active Directory 的手动安装。必须完成此任务以确
保 Active Directory 服务能够正常工作。
要在 FFL-RT-DC-01 中安装 Active Directory，请使用下表中提供的信息完成“Active
Directory 安装向导”。未指定信息时，则使用默认设置。
向导页面操作
操作系统兼容性阅读信息，更正问题，然后单击下一步。
域控制器类型单击新域的域控制器。
创建新域确保已选择了新森林中的域。
新域名在新域的完整 DNS 名称文本框中，键入
corp.contoso.com。

向导页面操作
NetBIOS 域名在域 NetBIOS 名称中：将默认名称更改为

contosocorp。
DNS 注册诊断单击在本计算机上安装并配置 DNS 服务器，并
将本计算机设置为使用此 DNS 服务器作为其首
选 DNS 服务器。
权限单击只与 Windows 2000 或 Windows
Server 2003 操作系统兼容的权限。
目录服务还原模式管理员密码在密码和确认密码文本框中，键入不易被破解的密
码 (密码中包括数字以及大、小写字母)。
表 5. 在 FFL-RT-DC-01 上安装 Active Directory 时的向导响应

由于需要初次重新启动 DNS 服务以及注册 DNS 记录，服务器的重新启动可能需要花费一些
时间才能完成。
配置站点和站点拓扑
执行此任务的角色：森林所有者：
配置 FFL-RT-DC-01 上的站点和站点拓扑有助于在森林中的计算机联机时将其放置到合适的
站点中。要配置站点和站点拓扑，应完成以下步骤：
1. 创建站点。使用“Active Directory 站点和服务 MMC”将 Default-First-Site-Name 重
命名 FFL，然后通过分配每个站点的 DEFAULTIPSITELINK 创建以下站点：
• LON
• FFL (最初为 Default-First-Site-Name)
2. 创建 Active Directory 子网并将子网分配到适合的站点中。使用“Active Directory 站
点和服务 MMC”，借助 ConfigurationMatrix.xls 文件 (MSA 2.0 部署工具包中的文件)
中“AD 站点和子网”工作表中的信息创建子网。创建供“企业”使用的站点。
任何未在 ConfigurationMatrix.xls 中列出，但被企业使用的 DHCP 子网，都需要添加
到与这些子网相对应的站点中。
3. 创建 Active Directory 站点链接。使用“Active Directory 站点和服务 MMC”将
DEFAULTIPSITELINK 重命名为 FFL-LON，删除所有的额外站点，并根据下表中的
信息配置站点链接。
链接站点站点开销复制时间间隔
FFL-LON (最初为 FFL LON 321 15

DEFAULTIPSITELINK)
表 6. Active Directory 站点链接的配置信息
委派 na.corp.contoso.com
执行此任务的角色：DNS 所有者/森林所有者
1. 启动 DNS MMC。

2. 在控制台树中，右击 corp.contoso.com 区域并单击新建委派。
3. 根据下表中的信息完成新建委派向导。如果未指定信息，请接受默认设置。
向导页面操作
委派域名在委派域文本框中，键入 na。

名称服务器单击添加。
在新资源记录对话框的服务器名称文本框中，键入
FFL-NA-DC-01.na.corp.contoso.com，再键
入 FFL-NA-DC-01_ip_address，然后单击下一
步。
表 7. 将 na.corp.contoso.com 委派给 FFL-NA-DC-01 时的向导响应
委派 eu.corp.contoso.com
2. 在控制台树中，右击 corp.contoso.com 区域并单击新建委派。
3. 根据下表中的信息完成新建委派向导。如果未指定信息，请接受默认设置。
向导页面操作
委派域名在委派域文本框中，键入 eu。

名称服务器单击添加。
在新资源记录对话框的服务器名称文本框中，键入
LON-EU-DC-01.EU.corp.contoso.com，再键
入 LON-EU-DC-01_ip_address，然后单击下一
步。
表 8. 将 eu.corp.contoso.com 委派给 LON-EU-DC-01 时的向导响应

在企业根域控制器上建立 .Ro ot 区域
执行此任务的角色： DNS 所有者/森林所有者
1. 以管理员身份登录 FFL-RT-DC-01。
3. 在控制台树中，右击转发查询区域并选择新建区域。
4. 根据下表中的信息完成新建区域向导。如果未指定信息，请接受默认设置。
向导页面操作
区域类型选择主区域和在 Active Directory 中存储区域。

区域复制范围选择 Active Directory 域
corp.contoso.com 中的所有 DNS 服务器。
区域名称在区域名称文本框中，键入 “.”（不带引号）。
动态更新选择不允许动态更新。
表 9. 创建根区域时的向导响应
在其他根域控制器上运行 DCPROMO

要在其他根域控制器中安装 Active Directory，应先根据下表中的信息完成“Active
Directory 安装向导”。如果未指定信息，请接受默认设置。
其他根域控制器有：
• FFL-RT-DC-02
• LON-RT-DC-01
向导页面操作
域控制器类型单击现有域的其他域控制器。
网络凭证在用户名文本框中，键入 Administrator。
在密码文本框中，键入管理员帐户的密码。
在域文本框中，键入 corp.contoso.com。
其他的域控制器单击浏览。
在域浏览对话框中，单击 corp.contoso.com.
表 10. 在其他根域控制器中安装 Active Directory 时的向导响应


配置第一个 NA 域控制器的 DNS 服务器递归名称解析
执行此任务的角色： DNS 所有者或域所有者
子域控制器上的 DNS 服务器需要配置，以便将请求转发到根域控制器，且其配置方式应该能
够静态地平衡请求负载。因为在 FFL 站点中只有两个根域控制器，所以请将具有偶数编号名
称的计算机配置为指向 FFL-RT-DC-01 作为主要解析器，指向 FFL-RT-DC-02 作为辅助解析
器；而对于具有奇数编号名称的根服务器，则恰好相反。配置根域控制器以将递归 Internet
名称解析请求转发到企业周边的 DNS 服务器。
2. 在控制台树中，右击域控制器的计算机名称并选择属性。
3. 在属性对话框中，单击转发器选项卡并选择不为此域使用递归复选框。
4. 在 DNS 域列表框中，选择所有其他 DNS 域。
5. 在所选域的转发器 IP 地址列表文本框中键入与偶数或奇数编号的计算机名称相匹
配的根域控制器的 IP 地址，然后单击添加。
6. 为其他转发器重复步骤 5。
7. 单击确定。
配置第一个 EU 域控制器的 DNS 服务器递归名称解析

配置子域控制器中的 DNS 服务器以将请求转发到根域控制器。因为在 London 站点中只有一
个根域控制器，所以只有一个转发器需要配置。如果有多个根域控制器，则其转发的配置过程
与 NA 子域控制器转发器配置过程相似。另外，London 根域控制器负责 London 站点的递
归 Internet 名称解析。
3. 在属性对话框中单击转发器选项卡。
5. 在所选域的转发器 IP 地址列表文本框中，键入根域控制器的 IP 地址然后单击添加。
6. 单击确定。
在第一个 NA 域控制器中运行 DCPROMO

要在 FFL-NA-DC-01 中安装 Active Directory，请使用下表中提供的信息完成“Active
向导页面操作

向导页面操作
创建树或子域单击现有域树中的子域。
安装子域单击浏览。
在子域文本框中，键入 na。
数据库位置和日志位置在数据库位置和日志位置文本框中，分别键入
M:\NTDS 和 L:\NTDSLOGS。
共享系统卷在 Sysvol 位置文本框中键入 M:\SYSVOL。
权限单击只与 Windows 2000 服务器兼容的权限。
表 11. 在 FFL-NA-DC-01 上安装 Active Directory 时的向导响应

在其他的 NA 子域控制器中运行 DCPROMO

在下面的域控制器中，使用“Active Directory 安装向导”完成 Active Directory 的手动安装。
• FFL-NA-DC-02
请注意：如果添加了与先前列表中不同的域控制器，则需将这些域控制器的 IP 地址添加到它们控制的每
个区域名称服务器列表中。关于如何将 IP 地址添加到名称服务器的操作指导，请参见本指南“网络服务
”一章中的“在所有区域上配置区域传送安全性”部分。
要在其他子域控制器中安装 Active Directory，应先根据下表中的信息完成“Active

向导页面操作
在域文本框中，键入 na.corp.contoso.com。

向导页面操作
在域浏览对话框中，单击
na.corp.contoso.com。
数据库位置和日志位置在数据库位置和日志位置文本框中，分别键入
M:\NTDS 和 L:\NTDSLOGS。
共享系统卷在 Sysvol 位置文本框中键入 M:\SYSVOL。
表 12. 在其他 NA 子域控制器中安装 Active Directory 时的向导响应


配置其他 NA 子域控制器的 DNS 服务器递归名称解析
在其他子域控制器中执行下列操作以配置 DNS 递归名称解析
因为 DNS 服务器使用转发器，因此应清空“根目录提示”，要清空根目录提示，请执行下列
操作：
2. 在控制台树中，右击计算机名称并选择属性。
3. 在属性对话框中，单击根目录提示选项卡，然后再单击删除以删除所有条目。
4. 单击确定。
子域控制器上的 DNS 服务器需要配置，以便将请求转发到根 DNS 服务器，且其配置方式应
该能够静态地平衡请求负载。因为在 FFL 站点中只有两个根 DNS 控制器，所以请将具有偶数
编号的计算机配置为指向 FFL-RT-DC-01 作为主要解析器，指向 FFL-RT-DC-02 作为辅助解析
器；而对于奇数编号名称的根服务器，则恰好相反。
3. 在属性对话框中，单击转发器选项卡并选择不为此域使用递归复选框。
5. 在所选域的转发器 IP 地址列表文本框中键入与偶数或奇数编号的计算机名称相匹
配的根域控制器的 IP 地址，然后单击添加。
6. 为其他转发器重复步骤 5。
7. 单击确定。
在第一个 EU 域控制器中运行 DCPROMO

要在 LON-EU-DC-01 中安装 Active Directory，请使用下表中提供的信息完成“Active
向导页面操作
创建树或子域单击现有域树中的子域。
子域安装单击浏览。

向导页面操作
在子域文本框中，键入 eu。

表 13. 在 LON-EU-DC-01 上安装 Active Directory 时的向导响应

在其他的 EU 子域控制器中运行 DCPROMO

在下面的域控制器中，使用“Active Directory 安装向导”完成 Active Directory 的手动安装。
• LON-EU-DC-02
请注意：如果添加了与先前列表中不同的域控制器，则需将这些域控制器的 IP 地址添加到它们控制的每
个区域名称服务器列表中。关于如何将 IP 地址添加到名称服务器的操作指导，请参见本指南“网络服务
”一章中的“在所有区域上配置区域传送安全性”部分。
要在其他子域控制器中安装 Active Directory，应先根据下表中的信息完成“Active

向导页面操作
在域文本框中，键入 eu.corp.contoso.com。
eu.corp.contoso.com。
表 14. 在其他的 EU 子域控制器中安装 Active Directory 时的向导响应

由于需要初次重新启动 DNS 服务以及注册 DNS 记录，服务器的重新启动可能需要花费一些时
间才能完成。

配置其他 EU 子域控制器的 DNS 服务器递归名称解析
在其他子域控制器中执行下列操作以配置 DNS 递归名称解析
因为 DNS 服务器使用转发器，因此“根目录提示”应为空。要清空根目录提示，请执行以下
操作：
4. 单击确定。
配置子域控制器中的 DNS 服务器以将请求转发到根域控制器。因为在 London 站点中只有一
个根域控制器，所以只有一个转发器需要配置。如果有多个根域控制器，则其转发的配置过程
与 NA 子域控制器转发器配置过程相似。另外，London 根域控制器负责 London 站点的递
归 Internet 名称解析。
1. 启动DNS MMC。
5. 在所选域的转发器 IP 地址列表文本框中，键入根域控制器的 IP 地址然后单击添加。
6. 单击确定。
在第一个周边域控制器中运行 DCPROMO

要在 FFL-CP-DC-01 中安装 Active Directory，请使用下表中提供的信息完成“Active
向导页面操作
创建新域确保已选择了新森林中的域。
新域名在新域的完整 DNS 名称文本框中，键入
perimeter.contoso.com。

表 15. 在 FFL-CP-DC-01 上安装 Active Directory 时的向导响应
配置第一个周边域控制器的 DNS 服务器递归名称解析

配置周边森林根 DNS 服务器，以使用转发器执行递归名称解析。因为 DNS 服务器使用转发器，
因此“根目录提示”应为空。要清空根提示（Root Hint），请执行以下操作：
2. 在控制台树中，右击 FFL-CP-DC-01，然后选择属性。
3. 在 FFL-CP-DC-01 的属性对话框中，单击根目录提示选项卡，然后再单击删除以删
除所有条目。
4. 单击确定。
要配置 FFL-CP-DC-01 上的 DNS 服务器名称解析，请执行以下操作：
3. 在 FFL-CP-DC-01 的属性对话框中单击转发器选项卡。
4. 在 IP 地址框中键入 FFL-CP-DNS-01 的 IP 地址。然后单击添加。
5. 使用 FFL-CP-DNS-02 的 IP 地址为 FFL-CP-DNS-02 重复步骤 4。
6. 单击确定。
配置 perimeter.contoso.com 以允许 DNS 区域传送

执行此任务的角色：DNS 所有者，系统安装所有者
周边域控制器维护 perimeter.contoso.com 区域文件的可写副本。配置区域以允许从内部森林
的特定计算机中传送区域，从而启用存根区域的功能。
1. 登录 FFL-CP-DC-01 并启动 DNS MMC。
2. 在控制台树中，展开转发查询区域，右击 perimeter.contoso.com 区域并选择属性。
3. 在区域转发页面中，选择允许区域转发和仅转发到下列服务器。
4. 在 IP 地址框中，同时键入 FFL-RT-DC-01、FFL-RT-DC-02、FFL-NA-DNS-01 和
FFL-NA-DNS-02 的 IP 地址。然后单击添加。
5. 单击确定。
6. 单击确定。
配置周边的站点和站点拓扑
配置 FFL-CP-DC-01 上的站点和站点拓扑有助于在森林中的计算机联机时将其放置到合适的
站点中。要配置站点和站点拓扑，应完成以下步骤：

1. 创建站点。使用“Active Directory 站点和服务 MMC”将 Default-First-Site-Name 重
命名 FFL，然后通过分配每个站点的 DEFAULTIPSITELINK 创建以下站点：
• FFL (最初为 Default-First-Site-Name)
2. 创建 Active Directory 子网并将子网分配到适合的站点中。使用“Active Directory 站
点和服务 MMC”，借助 ConfigurationMatrix.xls 文件“AD 站点和子网”工作表中的
信息创建子网。创建供“周边”使用的站点。
在其他的周边域控制器中运行 DCPROMO

要在其他周边域控制器中安装 Active Directory，应先根据下表中的信息完成“Active
向导页面操作
在域文本框中键入 perimeter.contoso.com。
目录服务还原模式管理员密码在密码和确认密码文本框中，键入不易被破解的密码
(密码中包括数字以及大、小写字母)。
表 16. 在其他周边域控制器中安装 Active Directory 时的向导响应

配置其他周边域控制器的 DNS 服务器递归名称解析

执行此任务的角色： DNS 所有者或森林所有者
在其他周边森林根域控制器中执行下列步骤以配置 DNS 递归名称解析。
因为 DNS 服务器使用转发器，因此“根目录提示”应为空。要清空根目录提示，请执行以下
操作：
4. 单击确定。

请注意：重新启动后，要确保根目录提示仍然为空。如果提示重新出现，请再次执行上述步骤。
配置周边域控制器上的 DNS 服务器以将请求转发到周边森林的周边 DNS 解析器。配置

DNS 解析器，以便使用“根目录提示”解析 Internet 命名空间。
4. 在 IP 地址框中键入 FFL-CP-DNS-01 CPB 网络连接的 IP 地址。然后单击添加。
5. 为 FFL-CP-DNS-02 服务器重复步骤 2。
6. 单击确定。
设置企业域控制器上 perimeter.contoso.com 的存根区

域
1. 以管理员身份登录 FFL-RT-DC-01。
3. 在控制台树中，右击转发查询区域并单击新建区域。
4. 根据下表中的信息完成新建区域向导。如果未指定信息，请接受默认设置。
向导页面操作
区域类型选择存根区域，选中在 Active Directory 中存

储区域。
区域复制范围选择 Active Directory 森林
corp.contoso.com 中的所有 DNS 服务器。
区域名称在区域名称文本框中，键入
主 DNS 服务器在 IP 地址文本框中，键入 FFL-CP-DC-01.的 IP
地址。单击添加。使用 FFL-CP-DC-02 的 IP 地址
为 FFL-CP-DC-02 重复此步骤。
表 17. 为 Perimeter.contoso.com 创建存根区域时的向导响应。
设置周边域控制器中 corp.contoso.com 的条件转发器

1. 以管理员身份登录 FFL-CP-DC-01。
4. 在转发器选项卡中，单击新建。
5. 在新建转发器对话框中，键入 corp.contoso.com 并单击确定。

6. 确保在 DNS 域框中突出显示 perimeter.contoso.com。在所选域的转发器 IP 地址
列表框中，键入 FFL-RT-DC-01 的 IP 地址并单击添加。
7. 使用 FFL-RT-DC-02 的 IP 地址为 FFL-RT-DC-02 重复步骤 6。
8. 单击确定以关闭属性页面。
9. 在 FFL-CP-DC-02 中重复步骤 1-8。
执行架构更新
执行此任务的角色：森林所有者或架构所有者
在进行安装前需要修改某些应用程序的架构。需要更新架构的应用程序包括 Exchange Server
2000、ISA Server 2000 和 MIS 2000。有关如何执行架构更新的信息，请参见适当的应用程序
服务器文档。
配置 Active Directory
对 Active Directory 进行配置，以便操作主控角色可以驻留在适当的计算机中、正常实例化全
局编录，并将域转换为本机模式。
移动操作主控角色
执行此任务的角色：森林所有者或域所有者
在默认情况下，域中的第一个域控制器具有操作主控角色。在 MSA CDC 情境中，当域控制
器被实例化后，主控角色会被移动到多台计算机中。使用“Active Directory 用户和计算机
MMC”，借助下表中的信息将操作主控角色移动到适当的服务器。
角色宿主角色
FFL-RT-DC-02 PDC 模拟器

RID 主控
基础结构主控
FFL-NA-DC-02 基础结构主控
LON-EU-DC-02 基础结构主控
FFL-CP-DC-02 PDC 模拟器
RID 主控
基础结构主控
表 18. 操作主控角色及其各自的服务器
请注意：当移动“PDC 模拟器角色”时，可能会显示警告信息。
此计算机并非复制伙伴。将 PDC 角色转移到此计算机可能会引起所有 NT4 BDC 上的完全同步。是否要
继续？
如果显示此消息，请单击是以继续操作。

将其他域控制器提升为全局编录服务器
使用“Active Directory 站点和服务 MMC”将下面的域控制器提升为全局编录：
• FFL-NA-DC-01
• LON-RT-DC-01
• FFL-CP-DC-02
• LON-EU-DC-01
成功提升为全局编录后，系统会在“目录服务”的事件日志中记录一条 ID 为 1119 NTDS 常
规事件。此过程最多花费 30 分钟时间。
将 Active Directory 域配置为本机模式

使用“Active Directory 域和信任 MMC”完成对域的配置，使其在本机模式下运行。此任务
只允许在域中加入 Microsoft Windows 2003 域控制器。它还可以简化组嵌套规则的实施，并
允许变更组类型。
1. 在 FFL-RT-DC-01 中，启动一个“Active Directory 域和信任 MMC”的实例。
2. 右击 corp.contoso.com 并选择提升域功能级别。
3. 在选择一个可用的域功能级别中，选择 Windows Server 2003 并单击提升。
4. 单击确定。
5. 单击确定。
6. 重复步骤 2-5，在步骤 2 中选择 corp.contoso.com 下的 na.corp.contoso.com。
7. 重复步骤 2-5，在步骤 2 中选择 corp.contoso.com 下的 eu.corp.contoso.com。
8. 重复步骤 1-5，使用 FFL-CP-DC-01 并选择 perimeter.contoso.com。
请注意：必须在所有的域控制器均完成上述步骤后，才能执行下面的“将 Active Directory 森林配置为

Windows Server 2003 模式”任务。
将 Active Directory 森林配置为

Windows Server 2003 模式
使用“Active Directory 域和信任 MMC”完成对森林的配置，使其在本机模式下运行。此任
务允许创建森林之间的信任关系。
1. 在 FFL-RT-DC-01 中，启动一个“Active Directory 域和信任 MMC”的实例。
2. 右击 Active Directory 域和信任节点并选择提升森林功能级别。
3. 在选择一个可用森林功能级别中，单击 Windows Server 2003，然后再单击提升。
4. 单击确定。

5. 单击确定。
6. 重复步骤 1-5，使用 FFL-CP-DC-01 并选择 perimeter.contoso.com。
配置周边 /企业森林间的信任关系
使用“Active Directory 域和信任 MMC”完成对森林间信任关系的配置。
1. 在 FFL-CP-DC-01 中，启动一个“Active Directory 域和信任 MMC”的实例。
2. 右击 perimeter.contoso.com 并选择属性。
3. 在信任选项卡中，单击新建信任。
5. 在名称文本框中，键入 corp.contoso.com。
6. 选择森林信任并单击下一步。
7. 选择单向：传出并单击下一步。
8. 选择此域和指定域并单击下一步。
9. 在用户名文本框中键入 contosocorp\administrator。在密码文本框中，键入正确的
密码并单击下一步。
10. 选择森林 -范围身份验证并单击下一步。
12. 再次单击下一步。
13. 选择是，确认传出信任并单击下一步。
14. 单击完成。
对域控制器进行配置以使用特定端口进行远程过程调用

(RPC)、网络登录 RPC 和 FRS 复制 RPC
需要将所有内部域控制器配置为使用特定端口进行 RPC，以便可以为内部防火墙配置有限数
量的开放式端口。在站点间进行复制时，域控制器使用 RPC 端口。
• FFL-RT-DC-01
• FFL-RT-DC-02
• FFL-NA-DC-01
• FFL-NA-DC-02
• FFL-CP-DC-01
• FFL-CP-DC-02
• LON-RT-DC-01
• LON-EU-DC-01
• LON-EU-DC-02

1. 在以上列出的每一台服务器中运行注册编辑器，其方法是单击开始，运行，键入
regedit.exe，然后按 Enter 键。
2. 展开到
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameter
s。
3. 右击右侧窗格，选择新建，然后选择 DWORD 值。
4. 在右侧窗格中，将新值 #1变更为 TCP/IP 端口 (包括空格)。
5. 双击 TCP/IP 端口。
6. 在键值数据文本框中，键入 e22f，它便是十进制的端口 57903。
7. 单击确定。
8. 展开到 HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters。
10. 在右侧窗格中将新值 #1 变更为 DCTcpipPort。
11. 双击 DCTcpipPort。
12. 在键值数据文本框中，键入 e230，它便是十进制的端口 57904。
13. 单击确定。
14. 展开到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parame
ters。
16. 在右侧窗格中，将新值 #1变更为 RPC TCP/IP 端口分配 (包括空格)。
17. 双击 RPC TCP/IP 端口分配。
18. 在键值数据文本框中，键入 e231，它便是十进制的端口 57905。
19. 单击确定。
20. 重新启动域控制器。
请注意： MSA 2.0部署工具包中包含注册表更新文件

\DirectoryServices\DCServiceRPCPortConfig.reg，可使用此文件对注册表进行上述更新。
配置森林的轻型目录访问协议 (LDAP) 查询策略设置

执行此任务的角色：企业管理员
对森林的 LDAP 策略进行配置，以实现最佳性能。要配置森林的 LDAP 查询策略设置，请执
行以下操作：
1. 以企业管理员身份登录 FFL-RT-DC-01。
2. 单击开始、运行，键入 NTDSUTIL 并单击确定。
3. 键入 ldap 策略并按 Enter 键。
4. 键入 connections 并按 Enter 键。

5. 键入 connect to server FFL-RT-DC-01 并按 Enter 键。
6. 键入 quit 并按 Enter 键。
7. 键入 set MaxNotificationPerConn to 50 并按 Enter 键。
8. 键入 set MaxQueryDuration to 30 并按 Enter 键。
9. 键入 Commit Changes 并按 Enter 键，以提交变更。
10. 键入 show values 并按 Enter 键，以确认更改可以显示出来。
配置 MSA Active Directory 组织单位

出于管理原因，MSA 使用组织单位将运行相似服务的服务器进行归组，以便于管理。表
19、20 和 21 中列出了基本的组织单位名称、其用途以及其在内部目录和外部目录中的位置。
组织单位/容器用途位置
MSA 管理员包含管理不同 MSA 服务的管理 corp.contoso.com

组。
MSA 基础结构服务器所有 MSA 基础结构服务器的顶级 corp.contoso.com
容器。
证书颁发机构服务器包含与证书颁发机构基础设施服务 MSA 基础结构服务器
相关的对象。
文件服务器包含与文件服务相关的对象。 MSA 基础结构服务器
表 19. MSA Corp.contoso.com 域组织单位结构

Na (EU, AS).corp.contoso.com 目录组织单位的结构如下。
MSA 管理员包含管理不同 MSA 服务的管理 na.corp.contoso.com

组。
MSA 基础结构服务器所有MSA 基础结构服务器的顶级 na.corp.contoso.com
容器。
MSA 服务帐户包含为运行 MSA 服务而创建的所 na.corp.contoso.com
有服务帐户。
ContosoCorp 示例帐户管理组织单位 na.corp.contoso.com
应用程序服务器包含与应用程序基础设施服务相关 MSA 基础结构服务器
的对象。
备份服务器包含与备份基础设施服务相关的对 MSA 基础结构服务器
象。
证书颁发机构服务器包含与证书颁发机构基础设施服务 MSA 基础结构服务器
相关的对象。
群集虚拟服务器如果启用 Kerberos，则包含群集 MSA 基础结构服务器

虚拟服务器 (阻止此 OU 中的策

略继承)。
数据库服务器包含与 SQL 服务相关的对象。 MSA 基础结构服务器
数据库群集包含与 SQL 群集服务相关的对象。数据库服务器
部署服务器包含与部署服务相关的对象。 MSA 基础结构服务器
DNS 服务器包含与独立的 DNS 服务相关的对 MSA 基础结构服务器
象。
DHCP 和 Wins 合并服务器包含与 DHCP 和 WINS 合并基础 MSA 基础结构服务器
设施服务相关的对象。
DHCP (独立) 服务器包含与 DHCP 基础设施服务相关 MSA 基础结构服务器
的对象。
文件服务器包含与文件服务相关的对象。 MSA 基础结构服务器
Intranet Web 服务器包含与 IIS 服务相关的对象。 MSA 基础结构服务器
管理服务器包含与管理服务相关的对象。 MSA 基础结构服务器
打印服务器包含与打印服务相关的对象。 MSA 基础结构服务器
代理服务器包含与代理服务相关的对象。 MSA 基础结构服务器
Radius 服务器包含与 RADIUS 服务相关的对象。 MSA 基础结构服务器
WINS (独立) 服务器包含与 WINS 基础设施服务相关 MSA 基础结构服务器
的对象。
管理员包含 ContosoCorp 组织单位示 ContosoCorp
例的管理帐户和组。
用户包含 ContosoCorp 组织单位示 ContosoCorp
例的用户帐户。
组包含 ContosoCorp 组织单位示 ContosoCorp
例的非管理员组。
计算机包含 ContosoCorp 组织单位示 ContosoCorp
例的计算机帐户和组。
服务帐户包含为运行 ContosoCorp 组织 ContosoCorp
单位下的服务委派而创建的所有服
务帐户。
表 20. MSA Na(EU, AS).corp.contoso.com 目录组织单位结构

Perimeter.contoso.com 目录组织单位的结构如下。
周边基础结构服务器包含周边服务器组织单位。 perimeter.contoso.com

应用程序服务器包含与外部应用程序基础设施服务周边基础结构服务器
相关的对象。
DNS 服务器包含与外部 DNS 服务相关的对象。周边基础结构服务器
Intranet Web 服务器包含与 IIS 服务相关的对象。周边基础结构服务器
管理服务器包含与管理服务相关的对象。周边基础结构服务器

表 21. MSA 周边目录组织单位结构
要配置组织单位，请完成以下步骤：
1. 以域管理员身份登录 FFL-RT-DC-01、FFL-NA-DC-01、LON-EU-DC-01 (对于内部组
织单位) 或 FFL-CP-DC-01 (对于外部组织单位)。
2. 打开“Active Directory 用户和计算机 MMC”。
3. 右击位置，选择新建，然后选择组织单位。
4. 从上面列出的适当表格进行选择为组织单位命名，并单击确定。
5. 为其他组织单位重复步骤 3-4。
配置 MSA 安全性和审核设置

“MSA 安全性和审核”策略用于定义基础设施的基本安全性设置和审核。此策略通过
“Active Directory 组策略”机制传送。使用“Active Directory 用户和计算机 MMC”和表
23 中的信息创建策略，并将适当的 .inf 文件导入到新策略中。如果未指定信息，请接受默认
设置。安全性模板位于 MSA 实施工具包中 MSA 2.0 部署工具包的 \Security Policies 文件夹
下。
将下表中列出的文件复制到 FFL-RT-DC-02 和 FFL-NA-DC-01 域控制器的
%systemroot%\security\templates 目录下。
策略名称模板位置
MSA 应用程序服务器策略企业客户 IIS na.corp.contoso.com\MSA Infrastructure

(MSS) Server.inf Servers\Application Servers
eu.corp.contoso.com\MSA Infrastructure
Servers\Application Servers
MSA 基础结构服务器覆盖 MSA IIS na.corp.contoso.com\MSA Infrastructure
Override.inf Servers\Application Servers
MSA 域帐户策略 (MSS) 企业客户 - corp.contoso.com
Domain.inf na.corp.contoso.com
eu.corp.contoso.com
MSA 服务器基线策略 (MSS) Enterprise corp.contoso.com\MSA Infrastructure Servers
Client – na.corp.contoso.com\MSA Infrastructure
Member Server Servers
Baseline.inf
Servers
MSA 证书颁发机构策略 Enterprise corp.contoso.com\MSA Infrastructure
(MSS) Client – Servers\Certificate Authority Servers
Certificate
Services.inf
MSA 证书颁发机构覆盖策略 MSA Certificate corp.contoso.com\MSA Infrastructure
Authority Servers\Certificate Authority Servers
Override.inf

MSA 群集覆盖策略 MSA Cluster na.corp.contoso.com\MSA Infrastructure

Override.inf Servers\Database Servers\Database Clusters
Servers\Database Servers\Database Clusters
na.corp.contoso.com\MSA Infrastructure
Servers\DHCP & WINS Consolidated
Servers\DHCP & WINS Consolidated
Servers\File Servers
Servers\Print Servers
MSA 数据库覆盖策略 MSA Database na.corp.contoso.com\MSA Infrastructure
Servers Servers\Database Servers
Override.inf eu.corp.contoso.com\MSA Infrastructure
Servers\Database Servers
MSA 域控制器策略 (MSS) Enterprise corp.contoso.com\Domain Controllers
Client – Domain na.corp.contoso.com\Domain Controllers
Controller.inf
eu.corp.contoso.com\Domain Controllers
MSA 域控制器覆盖策略 MSA Domain na.corp.contoso.com\Domain Controllers
Controller eu.corp.contoso.com\Domain Controllers
Override.inf
MSA 部署服务器策略无覆盖策略，从 na.corp.contoso.com\MSA Infrastructure
MSA 服务器基线 Servers\Deployment Servers
策略继承策略 eu.corp.contoso.com\MSA Infrastructure
(MSS) Servers\Deployment Servers
MSA DHCP 策略 (MSS) Enterprise na.corp.contoso.com\MSA Infrastructure
Client – Servers\DHCP (Standalone) Servers
Infrastructure eu.corp.contoso.com\MSA Infrastructure
Server.inf Servers\DHCP (Standalone) Servers
MSA DHCP 和 WINS 合并策 Enterprise na.corp.contoso.com\MSA Infrastructure
略 (MSS) Client – Servers\DHCP & WINS Consolidated
Server.inf Servers\DHCP & WINS Consolidated
MSA DNS 覆盖策略 MSA DNS na.corp.contoso.com\MSA Infrastructure
Override.inf Servers\DNS Servers
Servers\DNS Servers
MSA 文件策略 (MSS) Enterprise corp.contoso.com\MSA Infrastructure
Client – File Servers\File Servers
Server.inf na.corp.contoso.com\MSA Infrastructure

MSA 文件服务器覆盖策略 MSA File corp.contoso.com\MSA Infrastructure
Override.inf Servers\File Servers
MSA 管理服务器覆盖策略 MSA na.corp.contoso.com\MSA Infrastructure
Management Servers\Management Servers
Server eu.corp.contoso.com\MSA Infrastructure
Override.inf Servers\Management Servers
MSA IIS 策略 (MSS) Enterprise na.corp.contoso.com\MSA Infrastructure
Client – IIS Servers\Intranet Web Servers
Server.inf eu.corp.contoso.com\MSA Infrastructure
Servers\Intranet Web Servers
MSA IIS 覆盖策略 MSA IIS na.corp.contoso.com\MSA Infrastructure
MSA 打印策略 (MSS) Enterprise na.corp.contoso.com\MSA Infrastructure
Client – Print Servers\Print Servers
MSA 打印服务器覆盖策略 MSA Print na.corp.contoso.com\MSA Infrastructure
Server Servers\Print Servers
MSA 代理覆盖策略 MSA Proxy na.corp.contoso.com\MSA Infrastructure
Server Servers\Proxy Servers
Servers\Proxy Servers
MSA Radius 策略 (MSS) Enterprise na.corp.contoso.com\MSA Infrastructure
Client – IAS Servers\Radius Servers
Servers\Radius Servers
MSA 服务器覆盖策略 MSA Server corp.contoso.com\MSA Infrastructure Servers
Override.inf na.corp.contoso.com\MSA Infrastructure
Servers
Servers
corp.contoso.com\Domain Controllers

na.corp.contoso.com\Domain Controllers
eu.corp.contoso.com\Domain Controllers
MSA WINS 策略 (MSS) Enterprise na.corp.contoso.com\MSA Infrastructure
Client – Servers\WINS (Standalone) Servers
Server.inf Servers\WINS (Standalone) Servers
表 22. 内部 MSA 安全性和审核策略及模板

将下表中的 .inf 文件复制到 FFL-CP-DC-02 域控制器的 %systemroot%\security\templates 目
录下。
MSA 周边应用程序服务器策 High Security – perimeter.contoso.com\Perimeter Infrastructure

略 (MSS) IIS Server.inf Servers\Application Servers
perimeter.contoso.com\Perimeter Infrastructure
MSA 周边应用程序覆盖策略 MSA IIS perimeter.contoso.com\Perimeter Infrastructure
perimeter.contoso.com\Perimeter Infrastructure
MSA 周边域帐户策略 (MSS) High Security – perimeter.contoso.com
Domain.inf
MSA 周边基本策略 (MSS) High Security – perimeter.contoso.com\Perimeter Infrastructure
Member Server Servers
Baseline.inf
MSA 周边域控制器策略 High Security – perimeter.contoso.com\Domain Controllers
(MSS) Domain
Controller.inf
MSA 周边 DNS 覆盖策略 MSA DNS perimeter.contoso.com\Perimeter Infrastructure
Override.inf Servers\DNS Servers
MSA 管理服务器覆盖策略 MSA perimeter.contoso.com\Perimeter Infrastructure
Management Servers\Management Servers
Server
Override.inf
MSA 周边 IIS 策略 (MSS) High Security - perimeter.contoso.com\Perimeter Infrastructure
IIS Server.inf Servers\Internet Web Servers
MSA 周边 IIS 覆盖策略 MSA IIS perimeter.contoso.com\Perimeter Infrastructure
Override.inf Servers\Internet Web Servers
MSA 服务器覆盖策略 MSA Server perimeter.contoso.com\MSA Infrastructure
Override.inf Servers
perimeter.contoso.com\Domain Controllers
表 23. 周边 MSA 安全性和审核策略及模板

1. 以企业管理员身份登录 FFL-RT-DC-01、FFL-NA-DC-01、LON-EU-DC-01 (对于内部
策略) 和 FFL-CP-DC-01 (对于外部策略) 并启动“Active Directory 用户和计算机
MMC”。

2. 右击表 22/23 中的适当位置并选择属性。
3. 在组策略选项卡中，单击新建。
4. 输入表 22/23 中的策略名称并按 Enter 键。
5. 单击编辑。
6. 在计算机配置下，展开 Windows 设置。
7. 右击安全设置，然后选择导入策略….
8. 从列表中选择适当的 .inf 文件。
9. 单击打开。关闭组策略编辑器对话框。
10. 单击向上按钮直到新策略列在第一位。
11. 单击关闭。
12. 为表 22/23 列出的每项策略重复步骤 2-12。
配置管理组
下表列出了将被授予特定机器或组织单位管理权限的全局组。用户可以轻松地添加到全局组中，
以为这些用户授予与全局组相关联的机器或组织单位集合的管理权限。
使用“Active Directory 用户和计算机 MMC”和下表中的信息创建 na.corp.contoso.com 域
的管理组。如果未指定信息，请接受默认设置。
1. 在 na.corp.contoso.com 域的子域控制器上启动“Active Directory 用户和计算机
MMC”。
2. 右击每一个适当的组织单位 (在表 24 中识别)，选择新建，然后再选择组。
3. 在组名称文本框中，键入表中的“管理组”名称。
4. 确保选择了全局和安全性选项，然后单击确定。
管理组位置用途
站点拓扑管理员 MSA 管理员此组中的成员被授予维护

Active Directory 站点拓扑的
权限。
MSA 计算机帐户创建 MSA 管理员此组中的成员被授予添加域中计
算机帐户的权限。
ContosoCorp_user_admins ContosoCorp 组织单位下的管此组被授予管理 Contoso 企业
理员组织单位中用户的权限。
ContosoCorp_group_admins ContosoCorp 组织单位下的管此组被授予管理 Contoso 企业
理员组织单位中组的权限。
ContosoCorp_computer_admins ContosoCorp 组织单位下的管此组被授予管理 Contoso 企业
理员组织单位中计算机的权限。
ContosoCorp_ou_admins ContosoCorp 组织单位下的管此组被授予管理 Contoso 企业
理员组织单位的权限。
表 24. 内部 MSA 管理组配置信息

配置站点拓扑管理员的委派
站点拓扑管理员负责维护 Active Directory 中的站点对象。在为管理员提供必要的权限以执行
这些任务时，需要用到委派。对此组权限的委派要通过“Active Directory 站点和服务”
MMC 进行；如果未指定任何信息，请接受默认设置。
1. 以 corp.contoso.com 企业管理员的身份启动“Active Directory 站点和服务
”MMC。
2. 在控制台树中，右击站点文件夹并选择委派控制。
向导页面操作
选择用户或组单击添加。
选择用户、计算机或对象在文本框中，键入 site topology admins。单击
确定，然后单击下一步。
Active Directory 对象类型确保选择了此文件夹，此文件夹中的现有对象以及
在此文件夹中创建的新对象，并单击下一步。
权限选择完全控制。执行此操作将选择所有的复选框，并
启用创建 /删除特定子对象。
单击下一步，然后单击完成。
表 25. 配置站点拓扑管理员委派时的向导响应
配置 ContosoCorp 组织单位的委派
ContosoCorp 的示例组织单位结构组具有多个组，这些组被委派了管理其特殊 Active
Directory 节的权限。使用“Active Directory 用户和计算机” MMC 和表 26 到表 30 中提供
的信息来为组织单位创建委派。如果未指定信息，请接受默认设置。
1. 启动“Active Directory 用户和计算机 ”MMC。
2. 右击适当的组织单位，选择委派控制并单击下一步。
对于 ContosoCorp 组织单位：
向导页面操作
选择用户、计算机或对象在文本框中，键入 ContosoCorp_ou_admins。
单击确定然后再单击下一步。
委派任务单击创建客户任务以进行委派然后单击下一步。
Active Directory 对象类型确保选择了此文件夹，此文件夹中存在的对象和在
此文件夹中创建的新对象，并单击下一步。
权限选择全部控制。选择所有的复选框，并启用常规、
特殊属性和创建/删除特殊子对象。

向导页面操作
单击下一步然后再单击完成。
表 26. ContosoCorp 组织单位配置信息

Com pute rs 组织单位有：
向导页面操作
选择用户、计算机或对象在文本框中，键入
ContosoCorp_computer_admins。单击确定，
然后单击下一步。
委派任务单击创建客户任务以进行委派然后单击下一步。
Active Directory 对象类型单击在文件夹中只有以下对象，然后单击计算机对
象。
单击下一步。
权限选择全部控制。选择所有的复选框，并启用常规、
特殊属性和创建/删除特殊子对象。
单击下一步然后再单击完成。
表 27. 计算机组织单位配置信息
Groups 组织单位有：
向导页面操作
ContosoCorp_group_admins。单击确定然后
再单击下一步。
委派任务单击创建、删除和管理组，单击下一步然后再单击
完成。
表 28. 组的组织单位配置信息
Service Accounts 组织单位有：
向导页面操作
用户或组单击添加。
ContosoCorp_user_admins。单击确定然后再
单击下一步。
要委派的任务单击创建、删除和管理用户帐户，单击下一步然后
再单击完成。
表 29. 服务帐户组织单位配置信息
对于 Use rs 组织单位：

向导页面操作
选择用户、计算机或对象在文本框域中，键入
ContosoCorp_user_admins。单击确定，然后
单击下一步。
要委派的任务单击创建、删除和管理用户帐户，单击下一步然后
再单击完成。
表 30. 用户组织单位配置信息
其他目录服务注意事项
本节中包含许多在完成 Active Directory 的配置过程中应当执行的其他任务。
将成员服务器加入到域中

执行此任务的角色：任何经过身份验证的用户
在部署时必须将 MSA CDC 情境中的大多数成员服务器加入到域中，这样才能正确对它们进
行正确地保护和身份验证。遵循 ConfigurationMatrix.xls 文件中的指导信息，将每台计算机加
入到周边网络或内部企业域中。
请注意：不要在任何域控制器中执行这些步骤。
将成员服务器加入到域中：
1. 右击我的电脑，并选择属性。
2. 在计算机名选项卡中，单击属性，然后选择域。
3. 在文本框中键入<域名>并单击确定。
4. 键入域管理员名称和密码，并单击确定。
5. 在欢迎屏幕中单击确定。
6. 在重新启动信息屏幕中单击确定。
7. 单击确定，关闭系统属性对话框。
8. 单击是，重新启动。
将服务器移至组织单位中

为了使策略能够影响服务器，需要将计算机移至适当的组织单位中。
1. 以域管理员身份登录 FFL-NA-DC-01。
2. 打开“Active Directory 用户和计算机 MMC”。
3. 展开计算机。
4. 按住 CTRL 键并选择要移动的计算机。
5. 右击并选择移动。
6. 选择计算机应移至的目标组织单位。

7. 单击确定。
MSCEP CA 的目录配置
执行此任务的角色：根域管理员
为了使 MSCEP CA (CONTOSO-CA2) 能够正常工作，必须创建一个新的组织单位和其他策略，
以使 IIS 可以在 MSCEP CA 中运行。此配置工作应在 corp.contoso.com 域中完成。
1. 使用下表中的信息执行“配置 MSA Active Directory 组织单位”中的步骤。
启用了 IIS 的证书颁发机构包含与证书颁发机构基础设施服务证书颁发机构服务器

相关的对象，这些对象除了证书服
务之外，还运行 IIS。
表 31. MSA CDC Active Directory 组织单位配置信息

2. 使用以下信息执行“配置 MSA 安全性和审核设置”中的步骤。
MSA IIS 策略 (MSS) Enterprise corp.contoso.com\MSA Infrastructure

Client – IIS Servers\Certificate Authority Servers\IIS
Server.inf Enabled CAs
MSA IIS 覆盖策略 MSA IIS corp.contoso.com\MSA Infrastructure
Override.inf Servers\Certificate Authority Servers\IIS
Enabled CAs
表 32. MSA CDC 安全性和审核配置信息
材料清单
下表列出了此服务的硬件组件和软件组件。
项目质量要求共享设备
DL360G2 – 周边和根域 5 无
DL360G3 – 存根远程 CDC 站点 2 无
ML570G2 – NA 域 2 无
Windows Server 2003 Standard 7 无
Windows Server 2003 Enterprise 2 无
表 33. MSA CDC Active Directory 材料清单

关于此服务中所用服务器的详细信息 (如 RAM、处理器数量和驱动器配置)，请参见 MSA
2.0 部署工具包中 ConfigurationMatrix.xls 文件的 "Server Conf By Name" 工作表。

目录服务—SBO 情境
接下来的几节内容提供了与 MSA SBO 情境有关的 Active Directory 构建信息。
SBO 构建前提
下表中的内容是实施 SBO 情境中构建实施 Microsoft Active Directory 的前提条件。
网络运行正常。企业站点和“卫星分公司”中的网络连通性必须良好。
由网络管理员检查配置测试，以确保网络运行正常并且
SBO 站点和 CDC 站点可互相通信。
必须部署完整的企业 AD 森林。使用“Active Directory 域和信任 MMC”，确认已创建
了企业 AD 森林、适当的根和子域。
SBO 站点的子网必须与最近的企为了使 SBO 站点能够与适当的企业站点进行通信，必须正
业站点相关联。确地配置网络。同网络管理员确认并检查网络配置测试，以
确保 SBO 站点能够与适当的企业站点正常通信。
为 SBO 站点配置 DHCP。企业站点中的 DHCP 必须为 SBO 子网上的客户提供配置
信息。检查 DHCP 范围设计配置，以确保 SBO 客户能够
与适当的企业域控制器正常通信。
要执行本节中的 SBO 构建任务，DHCP 配置并不是必需
的；但是，SBO 站点中的客户端必须有 DHCP，才可与企
业域控制器进行正常的通信。
表 34. 构建 MSA SBO 目录服务的前提条件
SBO 构建任务
本节提供了在 SBO 情境中构建 Active Directory 的特定构建说明。
配置 SBO 情境的站点和站点拓扑


配置 FFL-RT-DC-01 上的站点和站点拓扑有助于在森林中的计算机联机时将其放置到合适的
站点中。配置站点和站点拓扑：
• 使用“Active Directory 站点和服务 MMC”，借助 ConfigurationMatrix.xls 文件
“AD 站点和子网”工作表中的信息创建子网。创建供 SBO 情境使用的站点。

测试
以下各节提供了在 MSA 配置中实际测试目录服务的详细过程说明。首先介绍有关配置和使用
相关工具的详细说明，随后介绍测试实例的规范和结果。
MSA 实验室测试方法
通过故障转移目录服务的不同组件，对目录服务的冗余性进行了验证。通过验证不同域和森林
间的信任和关系对安全性进行了测试。使用适当的第三方工具对目录服务的备份和还原进行了
测试。并且，还进行了审核和构建测试以检验目录服务的构建和验证基本功能。
Active Directory 负责处理身份验证请求。虽然其他的负载测试间接生成了身份验证请求，但
它们未对饱和状态下的 Active Directory 服务器进行身份验证请求测试。使用带有 ADLogon
插件的 LoadHarness 工具，可使测试小组在域控制器上施加负载，并以此检测域控制器在负
载下的任何有害行为。
测试工具
MSA Active Directory 服务测试结合 2.0.1300.28062 版的 ADLogon 插件使用 LoadHarness
1.0.1299.22957，执行一次性的功能测试和 Active Directory 负载测试。
LoadHarness 工具组允许测试小组模拟真实的 Active Directory 登录流量。他们用多测试客
户通过启动若干个主机的多个同步交互登录可以衡量压力测试。使用多个测试客户端 (从多台
主机同时启动多个交互登录) 允许小组成倍加大负载测试。这些登录负载指向 na.corp.contos
o.com 域的域控制器。
测试小组使用十个负载生成器 (LG) 计算机 (FFL-NA-LG-01 到 FFL-NA-LG-10) 在 Active
Directory 系统中施加负载。第一个负载生成器被用作 LoadHarness 主控制器。而其他九个负
载生成器则被用作远程 LoadHarness 从负载生成器（slave）。
下图显示了 MSA Active Directory 系统负载测试中所涉及的 LoadHarness 主控制器、
LoadHarness 从控制器和 MSA Active Directory 系统服务器之间的关系。

Testing with LoadHarness and ADLogon Plug-in
LoadHarness
ADLogon Master
FFL-NA-DC-01
` ` `
` `
FFL-NA-DC-02
LoadHarness
Domain Controllers
ADLogon Slaves
图 1.使用 LoadHarness和 ADLogon 插件进行测试
LoadHarness 的使用
在 MSA 2.0 部署工具包的 MSA 测试工具文档中简要介绍了 LoadHarness 工具，其中包括
如何安装 LoadHarness 和 ADLogon 插件。有关配置和运行测试的必要步骤，将在以下各节
中详细介绍。
配置
LoadHarness 既可以在单独模式下使用，也可以在集成模式下使用。由于其单独模式不需要
什么特殊的配置，因此本节不对其进行详细介绍。而以集成模式运行 LoadHarness 则需要构
建两份特殊的配置文件。其中一份文件会分发到每一个负载生成器中，并在集成测试中使用。
要构建的第一个文件是 LoadHarness XML 配置文件。此文件由 LoadHarness 主负载生成器
使用，用于控制每个测试中主控负载生成器以及所有 Slave 客户端的活动。要构建的第二个文
件是插件输入文件。每个插件输入文件都要根据使用的插件进行配置。这些输入文件用于提供
插件在完成其特定任务过程中所需的输入参数。在开始测试前，需要将插件输入文件复制到主
负载生成器以及所有的从负载生成器中。
XML 配置文件
可以为 LoadHarness XML 配置文件指定任何文件名，但在本章中使用的文件名是
ADLOGON.XML。ADLOGON.XML 文件是包含配置数据的文本文件，且其文件内容被一些
可由 LoadHarness 工具识别的打开和关闭 XML 标记结构所包围。下面这个示例文件是某个
ADLOGON.XML 文件的部分摘录，此示例将用作讨论助手，以帮助您了解如何构建自定义的
LoadHarness XML 配置文件。

图 2. ADLOGON.XML 文件节选示例
XML 配置文件必须以一组顶级的 XML 打开标记 <harnessconfig> 和关闭标记 </harnessconfig>

开始和结束。在 harnessconfig 标记组中，所有负载生成器都要受 XML 打开标记 <harness> 和
关闭标记 </harness> 所包围设置的控制。例如，如果在测试中有 10 个负载生成器，则将有
10 个 harness 标记组，这 10 个标记组中包含相同的 XML 标记组结构，但所包含的数据却因
每个负载生成器而不同。
通常，第一个 harness 标记组用于控制 LoadHarness 主控负载生成器上的本地客户端活动，
而其他的 harness 标记组则用于控制受控负载生成器上的远程客户端活动。不过，在主控负载
生成器中配置 harness 标记组的操作与在受控负载生成器中配置标记组的操作并没有什么不同；
LoadHarness 会将主控负载生成器的主机名称自动识别为本地身份。
您可以使用示例 ADLOGON.XML 文件中的结构，根据需要对其进行修改，添加其他的
harness 标记组，配置每个负载生成器中的 harness 标记组，以此方式构建您自己的 XML 配置
文件。
对于每个负载生成器区段，需要设置以下五个关键区域：
• 负载生成器计算机的名称：负载生成器的主机名称应置于主机标记组中的 XML 打
开标记 <name> 和关闭标记 </name> 之间。在示例文件中，LoadHarness 主机的主机
名称是 FFL-NA-LG-01，而 FFL-NA-LG-02 则是许多受控客户计算机中第一个受控计
算机的名称。
• 测试持续时间：通过修改小时、分钟和秒标记组中包含的数据来设置测试持续时间。
在示例文件中，测试运行时间被设置为 6 小时 30 分钟。
• 要生成的负载量：通过设置线程和速率标记组中的数据来控制测试过程中生成的负载
量。不管您选择了多少线程，每秒钟执行的测试迭代次数都将由速率来决定。如果您
想用测试主题来确定速率，则可根据需要设置线程数量和并发的用户数量，并配置测

试主题限制之外的速率。
• 插件名称：文件服务使用的正确插件名称是 ADLogon.exe，此名称应被置于集合
XML 标签 <path> 和 </path> 之间。
• 插件输入文件的名称：在示例文件中，使用的插件文件名为 users.txt。此文件名应
被置于输入XML标签 <path> 和 </path> 之间。
插件输入文件
插件输入文件是基于文本的文件，其中包含多行被逗号分隔的输入参数。可为输入文件指定任
意文件名，但无论是何文件名，XML 配置文件都必须引用该文件名。如果您运行未提供任何
参数的插件可执行文件，它将提供一个列表，其中列出了所需的参数。插件输入文件中的每一
行都应包含以逗号分隔的指定参数。
例如，ADLogon 插件文件需要一个可选的完整域名、该域中的一个用户名和对应的用户密码；
因此 users.txt 文件可能会包含许多与以下内容类似的数据行：
Na .co rp . con toso . com,User1
<Password1>
,
<Password2>
,
<Password3>
,
开始/停止测试
LoadHarness 的 ADLogon 插入程序既可在单独模式下运行，也可在集成模式下运行。无论
哪种模式，都要在包含 LoadHarness 文件的目录中从命令行窗口启动。
要启动独立模式测试，应键入以下命令行：
ADLogon [Domain] <Username> <Password>
例如，
ADLogon na.corp.contoso.com testuser1 <password>
请注意：运行独立测试既需要 LOADHARNESS.DLL，也需要 ADLOGON.EXE。
启动集成模式测试时，要先启动所有 LoadHarness 受控装置上的“监听器”组件，然后再启

动 LoadHarness 主控制器上的“控制器”组件。如果正确配置了负载生成器，则主控制器将
启动所有受控计算机上 ADLogon 插件的远程实例，以及主控计算机上的一个本地实例。
要启动每个受控负载生成器中的“监听器”组件，应在命令行中键入以下内容：
LH –l
要启动主控负载生成器中的“控制器”组件，应在命令行中键入以下内容：
LH –cfg <filename>.xml
此处的 <filename>.xml 是 xml 文件的名称，该文件中包含了配置信息。

例如，
LH –cfg adlogon.xml
请注意：若要获得第一版 MSA 2.0 测试中使用的 adlogon.xml 和 users.txt 配置文件的副本，请参见

本章结尾处的“附录 8.1—测试工具配置文件”。
要停止测试，应在单独框控制台或主控制器控制台中键入 0 然后按 Enter 键。如果您正在运

行集成模式测试，则键入 0 并按 Enter 键将停止所有客户端上的测试。

数据收集
LoadHarness 工具会自动创建一个所包含信息与测试过程中命令窗口中所显示信息相同的日
志文件。在默认情况下，所有日志都会以 <Date><Time>.LOG 形式的文件名写入 \<Load
Harness Directory>\LOGS 文件夹中。
在运行下列每个负载测试时，都要仔细检查这些日志以及客户端和服务器事件日志，以确保在
测试过程中不会出现无法解释的问题。另外，还应捕获并评估性能量度。
使用性能监视器捕获以下计数器中的数据：
对于 NTDS 对象：
• DS Threads in Use
• LDAP Client Sessions
• LDAP Bind Time
• Kerberos Authentications/sec
• NTLM Authentications/sec
• LDAP Successful Binds/sec
• LDAP Searches/sec
对于 Processor(_Total) 对象：
• % Processor Time
对于 Process(LSASS) 对象：
• % Processor Time
• Handle Count
• Private Bytes
• Working Set
• Virtual Bytes
对于 Memory 对象：
• Available MBytes
• Page Reads/sec
• Page Writes/sec
• Pages/sec
• Pool Paged Bytes
• Pool Nonpaged Bytes
对于 System 对象：
• Context Switches/sec
对于 Active Directory 数据库所驻留磁盘的 PhysicalDisk() 对象：
• Disk Writes/sec
• Disk Reads/sec
• Avg.Disk Queue
• Avg.Disk sec/Read

• Avg.Disk sec/Write
• Disk Transfers/sec
• Current Disk Queue Length
数据分析
LoadHarness 以预定义格式生成输出数据。下面是来自压力测试的示例输出数据：
19:15:45|6/20/2003|Host(FFL-NA-LG-26)|Plugin(ADLogon.exe)|Rate(1)|Executed(108451)|Failed(0)
19:15:46|6/20/2003|Host(FFL-NA-LG-26)|Plugin(ADLogon.exe)|Rate(18)|Executed(108469)|
Failed(0)
Failed(0)
19:15:48|6/20/2003|Host(FFL-NA-LG-26)|Plugin(ADLogon.exe)|Rate(3)|Executed(108488)|Failed(0)
可将输出数据作如下拆分：
Time | Date | Host | Plug-in | Rate | Executed | Failed
下面是对输出数据栏的描述：
• Time|Date:指的是生成测试输出时的日期和时间。
• Host:指的是执行测试的负载生成器计算机的主机名称。
• Plug-in:指的是运行测试时使用的插件。
• Rate:显示在记录输出的那一时刻每秒的测试迭代次数。
• Executed:显示自测试开始运行后的累计测试迭代次数。
• Failed:指的是自测试开始运行后累计的失败测试迭代次数。
在压力测试过程中出现的错误一般以两种方式指出：一种是在出现错误时直接指示，另一种是
在测试到达任意给定时间点时作为测试累计次数的一部分指示。
以下输出行便指示在执行的 127321 个实例中，有 18 个实例失败。
Failed(18)
下面两个示例输出行则在出现错误时直接报告错误。
13:33:21|5/7/2003|Error :This operation returned because the timeout period expired
11:17:24|5/9/2003|Error :The server is not operational
LoadHarness 工具在执行其任务时，会传递和记录它遇到的所有错误。因此，即使有一个失
败，它也有可能报告大量的出错消息。
基本问题疑难解答
在运行 LoadHarness 工具时如果出现问题，应执行以下操作：
• 调查由 LoadHarness 工具传递的任何特定错误，以确定导致错误出现的根本原因。
• 检查 C:\Load Harness 目录中的以下文件：
• LH.exe
• LoadHarness.dll
• ADLogon.xml
• ADLogon.exe
• Users.txt

• 确保负载生成器能够与目标域中的域控制器正常通信。
• 从命令行提示窗口运行以下命令：
• ping ffl-na-dc-01.na.corp.contoso.com
• ping ffl-na-dc-02.na.corp.contoso.com
• nslookup na.corp.contoso.com
• 确认 users.txt 文件中包含的用户帐户可以手动记录到负载生成器客户计算机的域中。

MSA 实验室功能测试
为了对第一版 MSA 2.0 体系结构中目录服务的组件功能进行全面测试，测试小组分别在各种
不同的域控制器、成员服务器和客户端计算机下对其进行了功能测试。其目的是为了检验目录
服务体系结构的各种不同功能，同时对它与体系结构中的其他组件服务之间的集成进行测试。
在通读了原始文档，并在 MSA 测试实验室中部署了目录服务后，便开始按照以下各节的描述
通过执行各种其他的功能测试来审核构建检验测试 (BTV)。
请注意：某些功能验证操作内嵌在构建文档中，因此没有作为单独的测试实例实施。
审核和构建检验测试
对所有域控制器服务器的以下内容进行审核：硬件配置、系统信息、TCP/IP 配置、网络组件
安装、RAID 和逻辑磁盘的配置、网络共享、boot.ini 配置以及远程管理模式下是否存在终端服
务。
更多详细信息，请参见第 21、24、26、83、88、89 和 93 号测试实例。
接下来审核 Active Directory 的配置。运行这些检查的目的是：
• 确认已建立了正确的森林和域，且它们都以 Windows 2003 本机模式运行。
• 在 FFL 和 LON 站点中建立适当的域控制器服务器。
• 检验 FFL 和 LON 之间的站点链接。
• 确认已正确指定了 FSMO 角色。
• 确认“全局编录”服务由正确的服务器承载。
• 确认正确的 MSA 组织单位结构已准备就绪。
• 确认成员服务器已放置在正确的组织单位中。
• 检验“MSA 管理员”组织单位中的管理组。
• 验证“MSA LDAP 策略”配置是否正确。
更多详细信息，请参见第 97-102、170、172、174-176、178、179 和 260 号测试实例。
在域控制器上执行 BVT 测试的过程中，使用了各种各样的管理工具和命令行实用工具。还对
设置和工具日志进行了检查，以发现报告的任何错误。这些测试的目的在于：检验连通性、检
验正向和反向的名称解析、验证时间信息、确认系统卷成功初始化、确认复制中未出现错误、
枚举复制伙伴、确认域中存在域控制器、检验 Netlogon 服务建立的安全通道、检验用于
Netlogon、NTDS 和 FRS 的端口、确认域控制器提升日志及网络设置日志中未记录错误，并
确认 dcdiag 和 netdiag 未报告任何错误。
更多详细信息，请参见第 27、87、91、94-96、182-184 和 664 号测试实例。
最后，进行测试以确保为不同的组织单位应用了正确的组策略。
更多详细信息，请参见第 205、207、208、210、212、213、215、216、219、248、250-252 和
254-259 号测试实例。

在所有审核和 BVT 均执行完毕后，开始执行深层功能测试。
可用性测试
第一次执行域控制器可用性测试时，不添加任何负载，以对基本系统功能进行检验确认。完成
基本功能的确认后，便开始在系统中添加负载并重复测试。对于 Active Directory 服务，检验
以下方面的容错功能：
• 域控制器冗余 (在任意单个域控制器发生故障时继续登录)
• NIC 协作。
更多详细信息，请参见第 186、187 和 535 号测试实例。
可管理性测试
对于目录服务来说，没有专门用于测试可管理性的案例。但是，通过部署、配置和测试完整地
服务套件可间接测试构建和测试目录服务阶段的可管理性。在此期间，广泛应用了各种内置管
理工具，如 Active Directory 站点和服务 MMC、Active Directory 域和信任 MMC 和
Active Directory 用户和计算机 MMC。
安全测试
作为安全测试的一部分，我们对周边森林和企业森林之间的跨森林信任进行了检验。对周边森
林和企业森林间信任关系的测试结果表明此信任关系为单向传递信任。因为是单向信任，所以
经过检验我们确信周边森林中的用户不能登录到内部森林。而且经过检验后，我们确信只有合
法用户才具有 Active Directory 用户和计算机 MMC 的管理权限。
更多详细信息，请参见第 220、701 和 729 号测试实例。
备份和还原测试
备份和还原测试作为备份和恢复服务的一部分执行。测试内容包括检验 Active Directory 服务
器的备份，然后将其还原。
更多详细信息，请参见第 133 和 708 号测试实例。
测试实例
有关测试实例的完整列表及其详细信息，请参见本章末尾的“附录 8.2—测试实例”。有关测
试的具体类型，请参见前面提到的测试实例 ID。
功能测试结果
以下各节讲述对 Active Directory 执行功能测试的测试结果。
审核和构建检验测试
根据 ConfigurationMatrix.xls 文件对所有域控制器服务器的以下内容进行审核：硬件配置、系

统信息、TCP/IP 配置、网络组件安装、RAID 和逻辑磁盘配置、网络共享和 boot.ini 配置。发
现构建环境与 ConfigurationMatrix.xls 文件的要求完全一致。
我们还根据构建指南对 Active Directory 配置进行了检验，也没有发现有任何不一致的情况发
生。
连通性测试实例执行地很成功。在对正向和反向名称解析、时间信息、系统卷初始化、无错复
制、复制伙伴枚举、域中的控制器、Netlogon 服务建立的安全渠道以及 Netlogon、NTDS 和
FRS 所用端口进行的检验中，也没有发现任何问题。在使用 dcdiag 和 netdiag 工具生成的报
告中也没有发现任何错误。
可用性测试
我们分别在不加负载和添加负载两种情况下对域控制器和 NIC 协作的可用性进行了测试。在
对域控制器服务器和网络适配器进行故障转移的过程中没有发生故障。
安全性测试
经测试发现周边用户不能登录到内部企业服务器中。经验证发现周边森林和内部森林之间的信
任关系为单向传出信任。另外，经验证只有合法用户才能使用 Active Directory 用户和计算
机 MMC 更改 Active Directory 配置。
MSA 实验室负载测试
我们使用本章前面讨论的 LoadHarness 工具和 ADLogon 插件进行目录服务的负载测试。在
负载测试中使用 10 个负载生成器生成负载，每个负载生成器以每 4 小时 50 个线程的速率生
成 10 个线程。

性能测试
对目录服务的性能测试通过查看负载条件下某段时间内的各种性能计数器来执行。如前所述，
将域控制器被置于不同的负载条件下，在一段时间内从几个负载生成器计算机中对域控制器连
续发出并发登录请求。每隔一段时间便通过性能计数器来查看 CPU 和内存的使用情况。使用
类似“性能监视器”的工具测量和记录不同的性能量度。
在两个域控制器中收集性能日志。
更多详细信息，请参见第 181 和 704 号测试实例。
测试实例
有关测试实例的完整列表及其详细信息，请参见本章末尾的“附录 8.2—测试实例”。有关测
试的具体类型，请参见前面提到的测试实例 ID。
负载测试结果
以下各节讲述对 Active Directory 执行负载测试的测试结果。
性能测试
各项负载性能测试均成功完成，没有出现任何失败。下面是测试得出的测试结果。
• 总登录次数： 20, 46,000
• 登录失败次数： 0
目录服务器 Average Average Pages/sec Kerberos

%Processor Time Authentications
FFL-NA-DC-01 27.65 0.135 55.796

FFL-NA-DC-02 49.13 0.244 54.840
表 35. 测试期间收集的性能参数
下图是在域控制器上执行负载测试期间收集的 %Process time 性能计数器屏幕快照。在域控制
器服务器 FFL-NA-DC-01 中，处理器的使用范围为 0 到 70，平均值为 27.65。在域控制器服
务器 FFL-NA-DC-02 中，处理器的使用范围为 0 到 115，平均值为 49.13。

图 3. % Processor Time(lass) 性能计数器屏幕快照
下图是在域控制器上执行负载测试期间收集的 Pages/sec 性能计数器屏幕快照。在域控制器服

务器 FFL-NA-DC-01 中，处理器的使用范围为 0 到 325，平均值为 .135。在域控制器服务器
FFL-NA-DC-02 中，处理器的使用范围为 0 到 394，平均值为 .244。

图 4. Pages/sec 性能计数器屏幕快照
下图是在域控制器上执行负载测试期间收集的 Kerberos authentications 性能计数器屏幕快照。

在域控制器服务器 FFL-NA-DC-01 中，处理器的使用范围为 0 到 150，平均值为 55.796。在
域控制器服务器 FFL-NA-DC-02 中，处理器的使用范围为 0 到 151，平均值为 54.84。

图 5. Kerberos Authentications 性能计数器屏幕快照
集成负载测试
各项集成负载测试均成功完成，没有出现任何失败。在测试过程中持续运行 12 小时的
LoadHarness 工具 (速率为单线程每秒 4 次登录)。下面为测试得出的测试结果。
• 总登录次数： 188451
• 登录失败次数： 0
目录服务器 Average Average Pages/sec Kerberos

%Processor Time Authentications
FFL-NA-DC-01 0.148 0.028 0.210

FFL-NA-DC-02 1.834 12.243 2.338
表 36. 测试期间收集的性能参数
下图是在域控制器上执行负载测试期间收集的 %Process time 性能计数器屏幕快照。在域控制
器服务器 FFL-NA-DC-01 中，处理器的使用范围为 0 到 6.5，平均值为 .147。在域控制器服
务器 FFL-NA-DC-02 中，处理器的使用范围为 0 到 20，平均值为 1.834。

图 6. % Processor Time(lass) 性能计数器快照
下图是在域控制器上执行负载测试期间收集的 Pages/sec 性能计数器屏幕快照。在域控制器服

务器 FFL-NA-DC-01 中，处理器的使用范围为 0 到 92，平均值为 .028。在域控制器服务器
FFL-NA-DC-02 中，处理器的使用范围为 0 到 923，平均值为 12.243。

图 7. Pages/sec 性能计数器屏幕快照
下图是在域控制器上执行负载测试期间收集的 Kerberos authentications 性能计数器屏幕快照。

在域控制器服务器 FFL-NA-DC-01 中，处理器的使用范围为 0 到 5.5，平均值为 .206。在域
控制器服务器 FFL-NA-DC-02 中，处理器的使用范围为 0 到 9.2，平均值为 2.338。

图 8. Kerberos Authentications 性能计数器屏幕快照
请注意：由于较低的处理器速度和较少的处理器数量，因此在 FFL-NA-DC-02 中获得了较 FFL-NA-DC-

01 更高的 %processor time 和 pages/sec 值。服务器 FFL-NA-DC-01 具有 8 块速度为 1996 MHz
处理器，服务器 FFL-NA-DC-02 具有 4 块速度为 701 MHz 的处理器。

总结
本章详细地介绍了在 MSA CDC 情境的内部森林和周边森林中实施 Active Directory 的完整
构建过程，还介绍了在“MSA 卫星分公司”情境中配置 Active Directory 的详细过程。遵循
本章中描述的过程和步骤可帮助您正确安装和配置 DNS、内部森林和周边森林、域结构和安
全策略。
本章还包括为检验 Active Directory 的功能及其与其他服务交互情况而在 MSA 测试实验室中
进行的各项测试的详细信息。本章还提供了测试结果的详细信息，并对测试结果进行了细致地
分析讨论。

附录
本节包括了与本章内容相关的附录信息。

附录 8.1 — 测试工具配置文件
LoadHarness 工具使用的配置文件为 users.txt 和 LoadHarness.xml。下面便是该工具使用的一
个示例文件：
• Users.txt
na.corp.contoso.com,testuser01,Test2Rocks!
• LoadHarness.xml
<harnesscon f ig>
<harness>
<hos t>
<name>FFL - NA-LG-26</name>
</hos t>
<dura t i on>
<hours>12</hours>
<minu tes>0</minu tes>
<seconds>0</seconds>
</dura t i on>
<p lug in>
<th reads>1</ th reads>
<rate>3</ ra te>
<assemb ly>
<path>ADLogon .exe</pa th>
</assemb ly>
<inpu t>
<path>users . t x t< /pa th>
</ inpu t>
</p lug in>
</ha rness>
</ha rnesscon f ig>
此文件的用法以及如何修改此文件已在本章关于 LoadHarness 的“测试工具”一节中进行了

讲述。

附录 8.2 — 测试实例
本节列举了在第一版 MSA 2.0 中对 Active Directory 进行测试时使用的测试实例。
测试实例 ID： 21
类型：审核
范围：目录服务
说明
检验域控制器的硬件配置。
详细信息
1. 登录域控制器。
2. 根据 ConfigurationMatrix.xls 文件的 "Computer Config" 工作表对下列配置进行检验。
• 处理器
• RAM
• 容错 NIC 组的网络接口端口。
预期结果
处理器、RAM、网络适配器和 HBA 卡均与 ConfigurationMatrix.xls 相一致。
类型：审核
说明
检验域控制器上的系统信息。
详细信息
2. 选择开始->程序->附件->系统工具->系统信息。
3. 对显示的下列信息进行检验，确保其与 ConfigurationMatrix.xls 相一致。
结果应当与以下示例结果类似：
• OS 名称：Microsoft Windows Server 2003
• 版本：5.2.3790 Build 3790
• 系统名称：FFL-RT-DC-01
• 系统模式：Proliant DL 360 G2
• BIOS 版本 /日期：Compaq P26, 2/7/2003
• 时区：太平洋时间
• 总的物理内存： 2,048 MB
• 处理器：双处理器
4. 展开硬件资源->冲突/共享，确保不存在冲突。
预期结果

域控制器的系统信息应当与 ConfigurationMatrix.xls 相匹配。
类型：审核
说明
检验域控制器上的 TCP/IP 配置和网络组件。
详细信息
2. 打开命令行提示窗口，键入 ipconfig /all，并按 Enter 键。
3. 根据 ConfigurationMatrix.xls 文件中的信息对以下内容进行检验。
• IP 地址
• 子网掩码
• 默认网关
• WINS 服务器
• DNS 服务器
• DNS 后缀
4. 还应确保所选择的 Microsoft 网络客户端和 Microsoft 网络的文件和打印共享与
ConfigurationMatrix.xls 相一致。
预期结果
域控制器的 TCP/IP 配置应与 ConfigurationMatrix.xls 相匹配。
类型： BVT
说明
检验域控制器上的正向和反向名称解析。
详细信息
2. 打开命令行提示窗口，键入 nslookup <机器的 FQDN>，并按 Enter 键。
• 名称：FFL-NA-DC-01.na.corp.contoso.com
• 地址： 10.1.11.32
3. 通过键入 ping -a <IP 地址> ，并按 Enter 键，检验计算机上的反向查询。
预期结果
• 计算机FQDN 上的 Nslookup 必须成功。
• 反向名称解析必须成功。

类型：审核
说明
检验域控制器上的 RAID 和磁盘驱动器配置。
详细信息
2. 检验 RAID 配置，确保其与 ConfigurationMatrix.xls 相一致。
预期结果
磁盘驱动器号和磁盘驱动器类型应当与 ConfigurationMatrix.xls 中给出的规格相匹配。
类型： BVT
说明
检验域控制器上的时间信息。
详细信息
2. 打开命令行提示窗口，键入 net time，并按 Enter 键。
3. 检验显示的时间是否正确。
\\FFL-NA-DC-01.na.corp.contoso.com 处的当前时间为 6/9/2003 4:57 PM
4. 键入 net time /querysntp 并按 Enter 键。

当前 SNTP 值为:<时间源服务器>
命令成功完成。
预期结果
• net time 命令给出正确的时间信息。
• net time /querysntp 命令的结果应当与以下内容相匹配。
“服务器时间源”服务器：
a. FFL-NA-DC-02 FFL-NA-DC-01
b. FFL-RT-DC-01 FFL-RT-DC-02
c. FFL-NA-DC-01 FFL-RT-DC-02
d. LON-EU-DC-01 FFL-RT-DC-02
e. LON-EU-DC-02 LON-EU-DC-01
f. LON-RT-DC-01 FFL-RT-DC-02
g. FFL-CP-DC-01 FFL-CP-DC-02
h. FFL-CP-DC-02 127.0.0.1 (itself)
i. FFL-RT-DC-02 127.0.0.1 (itself)

类型：审核
说明
确保在域控制器的“远程管理”模式中安装了“终端服务”。
详细信息
2. 选择开始->程序->管理工具->终端服务配置。
3. 选择服务器设置。
4. 确保授权设置的属性为“用来管理的远程桌面”。
预期结果
域控制器的“远程管理”模式中应安装了“终端服务”。
类型：审核
说明
检验域控制器上的 boot.ini 配置。
详细信息
1. 登录域控制器 (FFL-RT-DC-01、FFL-RT-DC-02、FFL-NA-DC-01、FFL-NA-DC-
02、LON-EU-DC-01 和 LON-EU-DC-02)。
2. 右击桌面上的我的电脑并选择属性。
3. 单击高级选项卡。
4. 单击启动和故障恢复下的设置按钮。
5. 在系统启动下检查默认操作系统中的两个条目：
• "Windows Server 2003, Enterprise" /fastdetect
• "Microsoft Windows Recovery Console" /cmdcons
预期结果
域控制器中的 Boot.ini 配置应当与 ConfigurationMatrix.xls 中所给出的内容相一致。
类型： BVT
说明
检验域控制器的连通性。
详细信息
2. 打开命令行提示窗口并运行以下命令：

• ping 127.0.0.1 (检查是否有回复)
• ping <服务器 IP 地址> (检查是否有回复)
• ping <默认网关 IP 地址> (检查是否有回复)
• ping <WINS 服务器 IP 地址> (检查是否有回复)
• ping <DNS 服务器 IP 地址> (检查是否有回复)
预期结果
所有 ping 命令都应成功执行。
类型：审核
说明
检验域控制器上的共享。
详细信息
2. 打开命令行提示窗口，键入 net share，并按 Enter 键。
3. 确保列出以下信息：
• 共享名资源注释
• SYSVOL M:\SYSVOL\sysvol 登录服务器共享
• NETLOGON M:\SYSVOL\sysvol\na.corp.contoso.com\SCRIPTS 登录服务器共
享
• IPC$ 远程 IPC
• ADMIN$ C:\WINDOWS 远程管理
• M$ M:\ 默认共享
• L$ L:\ 默认共享
• C$ C:\ 默认共享
预期结果
域控制器上的共享配置应当正确。应当只能在 FFL-NA-DC-01 和 FFL-NA-DC-02 服务器上看
到 L 和 M 驱动器。
类型： BVT
说明
检查事件日志中记录的 ID 为 13516 的事件。
详细信息
2. 打开事件查看器。

3. 单击文件复制服务。
4. 确保事件查看器中记录有 ID 为 13516 的事件。
预期结果
系统卷应当成功初始化。
类型： BVT
说明
确保 dcpromo.log、dcpromoui.log 和 netsetup.log 中未记录错误。
详细信息
2. 打开Windows Explorer。
3. 转至 %systemroot%\debug 文件夹。
4. 打开日志文件并检查是否存在错误或失败。
预期结果
域控制器日志中不应出现失败。
类型： BVT
说明
运行 nltest 以确认域中的域控制器以及安全渠道都能正常工作。
相关说明
需要安装 nltest 命令的支持工具。

详细信息
1. 登录成员服务器。
2. 运行 nltest /dsgetdc:<域名> 以获得域的域控制器。
此处的 <域名> 是指 corp.contoso.com、na.corp.contoso.com、eu.corp.contoso.com
和 perimeter.contoso.com。
预期结果
可以检测到域中的域控制器。
类型：审核
说明
确保所有的森林均以本地模式运行，进而确保所有的域都以本地模式运行。
详细信息
1. 登录森林中的域控制器服务器。
2. 打开 Active Directory 域和信任 MMC。
3. 确保该森林以本地模式运行，进而确保该森林中的所有域都以本地模式运行。
4. 对所有的森林重复步骤 1 至 3 (进而可以确保森林中的所有域都以本地模式运行)。
预期结果
所有的森林和域都应以本地模式运行。
类型：审核
说明
检验是否存在多个森林。
详细信息
1. 登录根域控制器 (FFL-RT-DC-01)。
2. 打开Active Directory 用户和计算机 MMC。
3. 检验 corp.contoso.com 是否位于根目录，以确保其为森林。
4. 登录域控制器 (FFL-CP-DC-01)。
5. 打开 Active Directory 用户和计算机 MMC。
6. 检验 perimeter.contoso.com 是否位于根目录，以确保其为森林。
预期结果
企业森林和周边森林都应存在于 MSA 环境中。
类型：审核

说明
检验不同的域。
详细信息
检验以下域：
• corp.contoso.com
• na.corp.contoso.com
• eu.corp.contoso.com
• perimeter.corp.contoso.com
预期结果
必须显示 corp.contoso.com、na.corp.contoso.com、eu.corp.contoso.com 和
perimeter.corp.contoso.com 域。
类型：审核
说明
检验 corp.contoso.com 域顶层的 MSA 内部组织单位设计。
详细信息
1. 登录根域控制器 (FFL-RT-DC-01)。
3. 检验是否存在以下对象：
• 用户
• 计算机
• 域控制器
• MSA 管理员
• MSA 基础结构服务器
• 外来安全主体
• 内置
预期结果
顶层 MSA 内部组织单位的设计应与构建指南中的相一致。
类型：审核
说明
检验 na.corp.contoso.com 域服务所有者组织单位的 MSA 内部组织单位设计。

详细信息
1. 登录子域控制器 (FFL-NA-DC-01)。
3. 检验 MSA 基础结构服务器下是否存在以下对象：
• 应用程序服务器
• 备份服务器
• 证书颁发机构服务器
• 群集虚拟服务器
• 数据库服务器
• 部署服务器
• DHCP 和 WINS 合并服务器
• DHCP (独立) 服务器
• DNS 服务器
• 文件服务器
• Intranet Web 服务器
• 管理服务器
• 打印服务器
• 代理服务器
• Radius 服务器
• WINS (独立) 服务器
预期结果
MSA 基础结构服务器组织单位应具有构建指南中定义的所有对象。
类型：审核
说明
检验 na.corp.contoso.com 和 eu.corp.contoso.com 域帐户组织单位的 MSA 内部组织单位设
计。
详细信息
1. 登录子域控制器 (FFL-NA-DC-01 和 LON-EU-DC-01)。
3. 检验 <acct_ou1> (Account OU:ContosoCorp) 下是否存在以下对象。
• 用户
• 服务帐户
• 计算机
• 组

• 管理员
预期结果
MSA 帐户组织单位应与构建指南中的相一致。
类型：审核
说明
检验全局编录服务器的放置。
详细信息
1. 登录 <FFL-RT-DC-01> 服务器。
2. 打开 Active Directory 站点和服务 MMC。
3. 展开站点。
4. 展开 <FFL> 站点。
5. 展开服务器。
6. 展开 <FFL-RT-DC-01>。
7. 右击 <FFL-RT-DC-01> 下的 NTDS 设置，并选择属性。
8. 确认已选择了全局编录复选框。
为 FFL-NA-DC-01、FFL-CP-DC-01、FFL-CP-DC-02、LON-EU-DC-01 和 LON-RT-DC-01
重复此案例测试。
预期结果
列出的所有服务器都应配置为全局编录服务器。
类型：审核
说明
验证 FSMO 角色的放置。
详细信息
1. 登录 FFL-CP-DC-01、FFL-CP-DC-02、FFL-RT-DC-01、FFL-RT-DC-02、FFL-NA-
DC-01 和 FFL-NA-DC-02 服务器。
2. 确保下表中的角色信息正确。
服务器 FSMO 角色
FFL-CP-DC-01 架构主控
域名主控
FFL-CP-DC-02 PDC 主控
RID 主控

服务器 FSMO 角色
基础结构主控
FFL-RT-DC-01 架构主控
域名主控
FFL-RT-DC-02 PDC 主控
RID 主控
基础结构主控
FFL-NA-DC-01 RID 主控
PDC 主控
FFL-NA-DC-02 基础结构主控
表 1. FSMO 角色信息
3. 打开 Active Directory 用户和计算机 MMC 并右击左上窗格中的域名。
4. 选择操作主控。
5. 单击 PDC 选项卡，查看具有 PDC 主控角色的服务器。
6. 单击 RID 选项卡，查看具有 RID 主控角色的服务器。
7. 单击基础设施选项卡，查看具有基础结构主控角色的服务器。
8. 关闭 MMC 管理单元。
9. 选择开始->程序->管理工具->Active Directory 域和信任。
10. 右击 Active Directory 域和信任并选择操作主控…，查看森林中具有域命名主控角
色的服务器。
11. 打开 Active Directory 架构 MMC 管理单元，检验架构主控角色。
12. 右击左上端窗格中的“Active Directory 架构”，然后单击操作主控…，查看具有架
构主控角色的服务器。
请注意：要使 Active Directory 架构 MMC 管理单元可用，必须注册 Schmmgmt.dll 文件。要完

成此操作，需要选择开始->运行，在打开框中键入 regsvr32 schmmgmt.dll，然后单击确定。会显
示一条消息说明注册成功。
预期结果
操作角色的放置应与构建指南中的相一致。
类型：审核
说明
检验 FFL 站点下的服务器。

详细信息
1. 登录域控制器 (FFL-NA-DC-01)。
3. 展开站点。
4. 展开 FFL 站点。
6. 确保列出了 FFL-NA-DC-01、FFL-NA-DC-02、FFL-RT-DC-01 和 FFL-RT-DC-02 服
务器。
7. 登录域控制器 FFL-CP-DC-01。
9. 展开站点。
10. 展开 FFL 站点。
12. 确保列出了 FFL-CP-DC-01 和 FFL-CP-DC-02 服务器。
预期结果
FFL 站点下列出的服务器必须与构建指南中的相一致。
类型：审核
说明
检验 LON 站点下的服务器。
详细信息
3. 展开站点。
4. 展开 LON 站点。
6. 确保列出了 LON-EU-DC-01、LON-EU-DC-02 和 LON-RT-DC-01 服务器。
预期结果
London 站点中的所有服务器都应列在 LON 站点之下。
类型：审核
说明
检验 FFL 和 LON 之间的站点链接。

详细信息
3. 展开站点。
4. 展开站点内传输。
5. 展开左侧窗格中的 IP。
6. 右击站点链接 FFL-LON，并选择属性。
7. 确保在常规选项卡中，FFL 和 LON 均显示在此站点链接中的站点列下。
预期结果
FFL 站点和 LON 站点之间的站点链接应已配置妥当。链接的花销和时间间隔分别设置为 321
和 15 分钟。
类型：审核范围：目录服务
说明
确认不同的成员服务器已放置在正确的组织单位中。
详细信息
1. 登录子域控制器 FFL-NA-DC-01。
3. 展开“MSA 基础结构服务器”组织单位。
4. 确保与各种不同服务相关的服务器均已放置在其适当的组织单位下。
例如，确保 FFL-NA-WINS-01 服务器被放置在“WINS (单独) 服务器”组织单位下。
预期结果
与各种不同服务相关的所有服务器都应正确放置在适当的组织单位下。
类型： BVT
说明
检验“MSA LDAP 策略”配置。
详细信息
1. 以企业管理员身份登录 FFL-RT-DC-01。
2. 运行 NTDSutil 并单击确定。
3. 键入 ldap policies 并按 Enter 键。
4. 键入 connections 并按 Enter 键。
5. 键入 connect to server FFL-RT-DC-01。
6. 键入 q 并按 Enter 键。
7. 键入 show values。

8. 检验是否已在 FFL-RT-DC-01 上设置了以下设置：
• MaxNotificationPerConn: 50
• MaxQueryDuration: 30
预期结果
“MSA LDAP 策略”配置应与构建指南相匹配。
类型：负载-性能
说明
确保 Active Directory 用户功能正常。
详细信息
1. 在峰值负载条件下运行具有 ADLogon 插件的测试 harness，并对 Active Directory
施加负载。
2. 在 10 个负载生成器上使用测试 harness 持续运行 4 小时的 ADLogon 插件，速率设
置为 10，线程设置为 50。
3. 确保脚本不会失败。
预期结果
失败的百分率不应超过 0.1%。
类型： BVT
说明
确保 dcdiag 和 netdiag 不报告任何错误。
详细信息
在执行此测试实例之前，请先清除所有的事件日志并重新启动域控制器。
1. 登录域控制器 (FFL-NA-DC-01、FFL-RT-DC-01、FFL-CP-DC-01 和 LON-EU-DC-
01)。
2. 运行 dcdiag 实用工具并确认不会出现错误。
3. 运行 netdiag 实用工具并确认不会出现错误。
预期结果
Dcdiag 和 netdiag 不应报告域控制器上的任何错误。
类型： BVT
说明

用 replmon 确认域控制器之间的复制不会出现错误。
详细信息
2. 从命令行提示窗口运行 replmon。
3. 在“Active Directory 复制监视器”窗口中选择要监控的域控制器。
4. 执行 Active Directory 站点和服务 MMC 管理单元中的复制操作。
5. 查看“Active Directory 复制监视器”窗口中的日志。
6. 日志中不应出现任何错误。
预期结果
“Active Directory 复制监视器”应当正常工作，且不应出现任何错误。
类型： BVT
说明
运行 repadmin 确认每个域控制器服务器的复制伙伴。
详细信息
1. 登录域控制器服务器。
2. 运行 repadmin /showconn <域名>。
3. 确保显示有正确的复制伙伴，且未记录任何故障错误。
预期结果
每个域控制器都必须有一个合适的复制伙伴。
类型：功能-可用性
说明
在负载条件下故障转移内部 Active Directory 服务器。
详细信息
1. 运行 ADLogon 插件并对 Active Directory 施加负载。
2. 执行测试时关闭 FFL-NA-DC-01。
3. 确保不会出现登录失败。
4. 启动 FFL-NA-DC-01 并关闭 FFL-NA-DC-02。
预期结果
登录应成功完成，且出错率不应超过 0.1%。

说明
确保在 NA 域的域控制器中，NIC 协作能够在负载条件下正常工作。
详细信息
1. 在峰值负载条件下运行测试 harness，并对 Active Directory 施加负载。
2. 执行测试时，禁用 FFL-NA-DC-01 上组网络适配器的一个端口。
4. 启用被禁用的网络适配器并禁用其他网络适配器。
6. 在 FFL-NA-DC-02 中重复这些步骤。
预期结果
登录失败率不应超过 0.1%。
类型： BVT
说明
检验是否正确应用了“MSA 应用程序服务器策略”和“MSA IIS 覆盖策略”。
详细信息
1. 登录企业域控制器 (FFL-NA-DC-01)。
3. 展开 na.corp.contoso.com。
4. 右击应用程序服务器组织单位，并选择属性。
5. 单击组策略选项卡。
6. 确认在应用程序服务器的当前组策略对象链接窗口中列出了“MSA 应用程序服务
器策略”和“MSA IIS 覆盖策略”。
7. 登录 FFL-NA-APP-01 服务器。
8. 从命令行提示窗口运行 gpresult /v 命令。
预期结果
“应用程序服务器组织单位”中服务器上 gpresult /v 命令的结果应当在应用的组策略对象
中列出以下策略。
• MSA IIS 覆盖策略
• MSA 应用程序服务器策略
类型： BVT

说明
检验 MSA DHCP 和 WINS 合并策略 (MSS)。
详细信息
4. 右击 DHCP 和 WINS 合并策略服务器，然后转至属性。
6. 确保存在 MSA DHCP 和 WINS 合并管理策略、MSA 群集覆盖策略与 MSA DHCP
和 WINS 合并策略 (MSS) 策略。
7. 登录 FFL-NA-MSP1-01 服务器。
预期结果
“DHCP 和 WINS 服务器组织单位”中服务器上 gpresult /v 命令的结果应当在应用的组策
略对象中列出以下策略。
• MSA DHCP 和 WINS 合并管理策略
• MSA 群集覆盖策略
• MSA DHCP 和 WINS 合并策略 (MSS)
类型： BVT
说明
检验 MSA DNS 覆盖策略的配置。
详细信息
3. 展开 na.corp.contoso.com，然后展开 MSA 基础结构服务器。
4. 右击 DNS 服务器组织单位，并选择属性。
6. 验证存在 MSA DNS 覆盖策略。
7. 登录 FFL-NA-DNS-01 服务器。
预期结果
“DNS 服务器”组织单位中服务器上 gpresult /v 命令的结果应当在应用的组策略对象中列
出以下策略。
• MSA DNS 覆盖策略

类型： BVT
说明
检验周边域帐户的策略配置。
详细信息
1. 登录周边域控制器 (FFL-CP-DC-01/02)。
3. 右击 <域名>，并选择属性。
5. 确保存在“MSA 周边域帐户策略”。
6. 在周边域中的任意服务器上运行 gpresult。
预期结果
周边森林中服务器上 gpresult /v 命令的结果应当在应用的组策略对象中列出以下策略。
• MSA 周边域帐户策略
类型： BVT
说明
检验周边域控制器的策略配置。
详细信息
1. 登录周边域控制器 (FFL-CP-DC-01)。
3. 右击“域控制器组织单位”，然后选择属性。
5. 确保存在“MSA 周边域控制器策略”(MSS)。
6. 在 FFL-CP-DC-01 服务器上运行 gpresult /v 命令。
预期结果
“域控制器组织单位”中服务器上 gpresult /v 命令的结果应当在应用的组策略对象中列出
以下策略。
• MSA 周边域控制器策略 (MSS)
类型： BVT
说明

检验 MSA 周边 DNS 覆盖策略的配置。
详细信息
3. 展开 perimeter.contoso.com，然后展开周边基础结构服务器。
4. 右击 DNS 服务器组织单位，并选择属性。
6. 确保存在“MSA 周边 DNS 覆盖策略”。
7. 在 FFL-CP-DNS-01 服务器上运行 gpresult /v 命令。
预期结果
“DNS 服务器”组织单位中服务器上 gpresult /v 命令的结果应当在应用的组策略对象中列
出以下策略。
• MSA 周边 DNS 覆盖策略
类型： BVT
说明
检验周边应用程序服务器覆盖策略的配置
详细信息
3. 展开 perimeter.contoso.com，周边基础结构服务器。
4. 右击应用程序服务器组织单位，并选择属性。
6. 确认存在“MSA 周边应用程序覆盖策略”和“MSA 周边应用程序服务器策略”。
7. 在 FFL-CP-APP-01 服务器上运行 gpresult /v 命令。
预期结果
“应用服务器组织单位”中服务器上 gpresult /v 命令的结果应当在应用的组策略对象中列
出以下策略。
• MSA 周边应用程序覆盖
• MSA 周边应用程序服务器策略
类型： BVT
说明
检验 NA 域上 MSA 管理服务器策略的配置。

详细信息
1. 登录周边域控制器 (FFL-NA-DC-01)。
4. 右击“管理服务器组织单位”，并选择属性。
6. 确保正确应用了“MSA 管理服务器覆盖策略”和“MSA 管理服务器策略”。
7. 在 FFL-NA-MGT-01 服务器上运行 gpresult /v 命令。
预期结果
“管理服务器”组织单位中服务器上 gpresult /v 命令的结果应当在应用的组策略对象中列
出以下策略。
• MSA 管理服务器覆盖
• MSA 管理服务器策略
类型： BVT
说明
检验周边 MSA 管理服务器策略的配置。
详细信息
3. 展开 perimeter.contoso.com，周边基础结构服务器。
4. 右击“管理服务器组织单位”，并选择属性。
6. 确保正确应用了“MSA 管理服务器覆盖”和“MSA 周边管理服务器策略”。
7. 在 FFL-CP-MGT-01 服务器上运行 gpresult 命令。
预期结果
“管理服务器”组织单位中服务器上 gpresult /v 命令的结果应当在应用的组策略对象中列
出以下策略。
• MSA 管理服务器覆盖
• MSA 周边管理服务器策略
类型：功能-安全性
说明
确保企业内部森林和企业周边森林之间的跨森林信任关系为单向信任。

详细信息
2. 打开 Active Directory 域和信任 MMC。
3. 右击 perimeter.contoso.com 并选择属性。
4. 单击信任选项卡，并选择此域信任的域下的列表框。
5. 检验此域信任的域 (传出信任) 中的以下内容：
• 列出了 corp.contoso.com 域。
• 信任类型域被设置为“森林”。
• 传递域被设置为“是”。
6. 确认在信任此域的域 (传入信任) 中未列出任何内容。
预期结果
在企业内部森林和企业周边森林中应存在单向传递信任。
类型： BVT
说明
确认在企业域控制器服务器中应用了安全策略。
详细信息
1. 登录企业 Active Directory 服务器。
2. 运行 gpresult /v 命令。
3. gpresult 命令会列出应用的安全策略。
预期结果
确认域控制器接收了以下组策略。
1. MSA 域控制器
2. 默认域控制器策略
3. MSA 域帐户策略 (MSS)
4. MSA 证书自动登记策略
5. 默认域策略
类型： BVT
说明
检验 MSA DHCP 策略。
详细信息

4. 右击 DHCP (独立) 服务器组织单位，并选择属性。
6. 确认存在 MSA DHCP 策略。
预期结果
应该已在 DHCP (独立) 服务器组织单位中应用了 MSA DHCP 策略。
类型： BVT
说明
检验 FFL-NA-DC-01 上的 MSA 域帐户策略。
详细信息
3. 右击 na.corp.contoso.com 并选择属性。
5. 确认存在“MSA 周边帐户策略”(MSS)。
6. 在 NA 域上的任意服务器中运行 gpresult /v 命令，例如 FFL-NA-MGT-01。
预期结果
NA 域中任意服务器上 gpresult /v 命令的结果应当在应用的组策略对象中列出“MSA 域帐
户策略”(MSS)。
类型： BVT
说明
检验 NA 域控制器上的 MSA 域控制器策略。
详细信息
4. 右击“域控制器组织单位”，然后选择属性。
6. 确认存在“MSA 域控制器”策略。
7. 在 FFL-NA-DC-01 服务器上运行 gpresult。

预期结果
NA 域控制器服务器上 gpresult /v 命令的结果应当在应用的组策略对象中列出“MSA 域控
制器”策略。
类型： BVT
说明
检验是否在文件服务器组织单位中应用了“MSA 文件服务器覆盖策略”。
详细信息
3. 展开 na.corp.contoso.com 和 MSA 基础结构服务器。
4. 右击文件服务器组织单位，并选择属性。
6. 确认已在组织单位中应用了“MSA 文件服务器覆盖策略”。
7. 在 FFL-NA-FIL-01 服务器上运行 gpresult /v 命令。
预期结果
“文件服务器组织单位”中服务器上 gpresult /v 命令的结果应当在应用的组策略对象中列
出“MSA 文件服务器覆盖策略”。
类型： BVT
说明
检验 MSA 数据库覆盖策略。
详细信息
4. 右击数据库服务器组织单位，并选择属性。
6. 确认存在“MSA 数据库覆盖策略”。
7. 登录数据库服务器并运行 gpresult /v 命令，验证是否已应用了策略。
预期结果
“数据库服务器组织单位”中服务器上 gpresult /v 命令的结果应当在应用的组策略对象中
列出“MSA 数据库覆盖策略”。

类型： BVT
说明
检验 MSA IIS 策略。
详细信息
4. 右击 Intranet Web 服务器组织单位，并选择属性。
6. 确认存在“MSA IIS 策略”(MSS) 和“MSA IIS 覆盖策略”。
7. 在 FFL-NA-WEB-01 服务器上运行 gpresult /v 命令，验证是否已应用了策略。
预期结果
“Intranet Web 服务器组织单位”中服务器上 gpresult /v 命令的结果应当在应用的组策略
对象中列出以下策略。
• MSA IIS 策略 (MSS)
• MSA IIS 覆盖策略
类型： BVT
说明
检验 MSA Radius 策略。
详细信息
4. 右击 Radius 服务器组织单位，并选择属性。
6. 确认存在“MSA Radius 策略”(MSS)。
7. 在 FFL-NA-IAS-01 服务器上运行 gpresult /v 命令，验证是否已应用了策略。
预期结果
“Radius 服务器组织单位”中服务器上 gpresult /v 命令的结果应当在应用的组策略对象中
列出“MSA Radius 策略”(MSS)。
类型： BVT

说明
检验 MSA 打印策略。
详细信息
4. 右击打印服务器组织单位，并选择属性。
6. 确认存在“MSA 打印策略”(MSS)。
7. 在 NA-PRN 服务器上运行 gpresult，验证是否已应用了策略。
预期结果
应当已正确应用了“MSA 打印策略”。
类型： BVT
说明
检验 MSA WINS 策略。

详细信息
4. 右击 WINS (独立) 服务器组织单位，并选择属性。
6. 确认存在“MSA WINS 策略”。
7. 在 FFL-NA-WINS-01 服务器上运行 gpresult /v 命令，验证是否已应用了策略。
预期结果
“WINS (独立) 服务器组织单位”中服务器上 gpresult /v 命令的结果应当在应用的组策略对
象中列出“MSA WINS 策略”。
类型：审核
说明
检验 MSA 管理员组织单位中的管理组。
详细信息
1. 登录子域控制器 FFL-NA-DC-01。
3. 展开 MSA 管理员组织单位。
4. 确认存在以下组：
• DFSadmin
• DHCP 管理员
• 文件服务管理员
• FRSAdmin
• 站点拓扑管理员
• WINS 管理员
• Print 管理人员
预期结果
“MSA 管理员组织单位”中的管理组配置应当与构建指南中的相一致。
说明
确保 NIC 协作在域控制器中工作良好。

详细信息
1. 禁用 FFL-NA-DC-01 上组网络适配器的一个端口。
3. 启用被禁用的网络适配器并禁用其他网络适配器。
5. 关闭 FFL-NA-DC-01。
6. 为 FFL-NA-DC-02 重复步骤 1 至 4。
为 LON 域控制器服务器和周边域控制器服务器重复此测试实例。
预期结果
应当不会检测到任何登录失败。
类型： BVT
说明
检验为域控制器上的 Netlogon、NTDS 和 FRS 服务配置的端口。
详细信息
1. 登录服务器 FFL-RT-DC-01。
2. 打开命令行提示窗口，键入 netstat –a，并按 Enter 键。
3. 确认 TCP 端口 57903、57904 和 57905 处于打开和监听状态。
4. 为 FFL-RT-DC-02、FFL-NA-DC-01、FFL-NA-DC-02、LON-RT-DC-01、LON-EU-
DC-01 和 LON-EU-DC-02 服务器重复此测试实例。
预期结果
Netlogon、NTDS 和 FRS 端口的配置应当与构建指南中的相一致。
说明
确认周边森林中的用户无法登录到内部企业森林中。
详细信息
以周边域用户的身份登录任意 NA 服务器，例如 FFL-NA-DNS-01。
预期结果
登录应当失败。
类型：集成负载

说明
检验集成环境中和负载条件下的 Active Directory 操作。
详细信息
1. 根据下面列出的速率，在负载生成器上运行具有 ADLogon 插件的 LoadHarness 工
具。
• 从上午 7 点至晚上 7 点每秒登录三次。
• 从上午 7 点至晚上 12 点 (午夜) 每秒登录三次。
在模拟每秒 3 次登录时，将工具的运行速率设为 3，线程设为 1；在模拟每秒 1 次登
录时，将工具的运行速率设为 1，线程设为 1。
2. 另外，在给定的时间范围内收集以下性能计数器的计数。
• NTDS\DS Threads in Use
• NTDS\LDAP Client Sessions
• NTDS\LDAP Bind Time
• NTDS\Kerberos Authentications/sec
• NTDS\NTLM Authentications/sec
• NTDS\LDAP Successful Binds/sec
• NTDS\LDAP Searches/sec
• \Processor(_Total)\% Processor Time
• Process(LSASS)\ % Processor Time
• \Process(LSASS)\Handle Count
• \Process(LSASS)\Private Bytes
• \Process(LSASS)\Working Set
• \Process(LSASS)\Virtual Bytes
• \Memory\Available MBytes
• \Memory\Page Reads/sec
• \Memory\Page Writes/sec
• Memory\pages/sec
• \System\Context Switches/sec
• \Memory\Pool Paged Bytes
• \Memory\Pool Nonpaged Bytes
• PhysicalDisk(AD Database Drive:)\Disk Writes/sec
• PhysicalDisk(AD Database Drive:)\Disk Reads/sec
• PhysicalDisk(AD Database Drive:)\Avg.Disk Queue
• PhysicalDisk(AD Database Drive:)\Avg.Disk sec/Read
• PhysicalDisk(AD Database Drive:)\Avg.Disk sec/Write
• PhysicalDisk(AD Database Drive:)\Disk Transfers/sec
• PhysicalDisk(AD Database Drive:)\Current Disk Queue Length

预期结果
失败率不应超过 0.1%。
说明
确保只有域管理员具有“Active Directory 用户和计算机 MMC”的管理权限。
详细信息
1. 从 FFL-NA-LG-01 上以管理员的身份登录 NA 域。
2. 执行 dsa.msc 命令，打开“Active Directory 用户和计算机 MMC”。
3. 单击 MSA 基础结构服务器组织单位上的组策略选项卡。
4. 确认所有的按钮 (如新建和添加) 均被突出显示。
5. 以一般用户 (非 FFL-NA-LG-01 客户端的管理员组成员) 身份登录 NA 域。
6. 执行 dsa.msc 命令，打开“Active Directory 用户和计算机 MMC”。
7. 打开 MSA 基础结构服务器组织单位上的“组策略”选项卡。
8. 确认只有属性按钮被突出显示。
预期结果
应当只有“域管理员”才具有对“Active Directory 用户和计算机 MMC”的管理权限。

Directory Service BG

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Directory Service BG

Uploaded by

Copyright:

Available Formats

版本 2.

MSA 2.0 构建指南

Microsoft 机密。 © 2003 Microsoft Corporation。保留所有权利。这些资

本章提供了在 Microsoft 系统体系结构企业数据中心 (CDC) 和卫星分公司 (SBO) 情境中部署

必备要素 必备检查 已核实

MSA 2.0 构建指南——第 8 章：目录服务 1

必备要素 必备检查 已核实

表 2.构建 MSA CDC 目录服务的前提条件

? 2Microsoft Systems Architecture Version 2.0

请注 意： 出现提示时，如果驱动器位于存储区域网络 (SAN) 中，请不要 将驱动器升级为动态磁盘。

驱动器号 卷 RAID 类型 分区大小 文件系 分配单元

驱动器号 卷 RAID 类型 分区大小 文件系 分配单元

在域控制器中 建立域 名系统 (DNS)

MSA 2.0 构建指南——第 8 章：目录服务 3

配置森林 PDC 角色所有者中的时间 服务

在第一个企业根域控 制器中运行 DCPROMO

? 4Microsoft Systems Architecture Version 2.0

NetBIOS 域名 在域 NetBIOS 名称 中：将默认名称更改为

表 5. 在 FFL-RT-DC-01 上安装 Active Directory 时的向导响应

FFL-LON (最初为 FFL LON 321 15

表 6. Active Directory 站点链接的配置信息

MSA 2.0 构建指南——第 8 章：目录服务 5

委派域名 在委派 域文本框中，键入 na。

表 7. 将 na.corp.contoso.com 委派给 FFL-NA-DC-01 时的向导响应

委派域名 在委派 域文本框中，键入 eu。

表 8. 将 eu.corp.contoso.com 委派给 LON-EU-DC-01 时的向导响应

? 6Microsoft Systems Architecture Version 2.0

区域类型 选择主区 域和在 Active Directory 中存 储区 域。

在其 他根域 控制器 上运行 DCPROMO

表 10. 在其他根域控制器中安装 Active Directory 时的向导响应

MSA 2.0 构建指南——第 8 章：目录服务 7

配置第一个 EU 域控制器的 DNS 服务器递归名称解析

在第一个 NA 域控制 器中运行 DCPROMO

? 8Microsoft Systems Architecture Version 2.0

表 11. 在 FFL-NA-DC-01 上安装 Active Directory 时的向导响应

在其他的 NA 子域控制器中运行 DCPROMO

要在其他子域控制器中安装 Active Directory，应先根据下表中的信息完成“Active

MSA 2.0 构建指南——第 8 章：目录服务 9

表 12. 在其他 NA 子域控制器中安装 Active Directory 时的向导响应

? 10Microsoft Systems Architecture Version 2.0

在第一个 EU 域控制器中运行 DCPROMO

MSA 2.0 构建指南——第 8 章：目录服务 11

在子域 文本框中，键入 eu。

表 13. 在 LON-EU-DC-01 上安装 Active Directory 时的向导响应

在其他的 EU 子域控 制器中运行 DCPROMO

要在其他子域控制器中安装 Active Directory，应先根据下表中的信息完成“Active

表 14. 在其他的 EU 子域控制器中安装 Active Directory 时的向导响应

? 12Microsoft Systems Architecture Version 2.0

在第一个周边域控制 器中运行 DCPROMO

MSA 2.0 构建指南——第 8 章：目录服务 13

配置第一个周边域控 制器的 DNS 服务器 递归名称解析

配置 perimeter.contoso.com 以允许 DNS 区域传送

? 14Microsoft Systems Architecture Version 2.0

在其 他的周 边域控 制器中 运行 DCPROMO

表 16. 在其他周边域控制器中安装 Active Directory 时的向导响应

配置其他周边域控制 器的 DNS 服务器 递归名称解析

MSA 2.0 构建指南——第 8 章：目录服务 15

配置周边域控制器上的 DNS 服务器以将请求转发到周边森林的周边 DNS 解析器。配置

设置企业域控制器上 perimeter.contoso.com 的存根 区

区域类型 选择存根 区域 ，选中在 Active Directory 中存

表 17. 为 Perimeter.contoso.com 创建存根区域时的向导响应。

设置周边域控制器中 corp.contoso.com 的条件 转发器

? 16Microsoft Systems Architecture Version 2.0

FFL-RT-DC-02 PDC 模拟器

必备要素必备检查已核实

必备要素必备检查已核实

请注意：出现提示时，如果驱动器位于存储区域网络 (SAN) 中，请不要将驱动器升级为动态磁盘。

驱动器号卷 RAID 类型分区大小文件系分配单元

驱动器号卷 RAID 类型分区大小文件系分配单元

在域控制器中建立域名系统 (DNS)

配置森林 PDC 角色所有者中的时间服务

在第一个企业根域控制器中运行 DCPROMO

NetBIOS 域名在域 NetBIOS 名称中：将默认名称更改为

委派域名在委派域文本框中，键入 na。

委派域名在委派域文本框中，键入 eu。

区域类型选择主区域和在 Active Directory 中存储区域。

在其他根域控制器上运行 DCPROMO

在第一个 NA 域控制器中运行 DCPROMO

在子域文本框中，键入 eu。

在其他的 EU 子域控制器中运行 DCPROMO

在第一个周边域控制器中运行 DCPROMO

配置第一个周边域控制器的 DNS 服务器递归名称解析

在其他的周边域控制器中运行 DCPROMO

配置其他周边域控制器的 DNS 服务器递归名称解析

设置企业域控制器上 perimeter.contoso.com 的存根区

区域类型选择存根区域，选中在 Active Directory 中存

设置周边域控制器中 corp.contoso.com 的条件转发器

将 Active Directory 域配置为本机模式

对域控制器进行配置以使用特定端口进行远程过程调用

请注意： MSA 2.0部署工具包中包含注册表更新文件

配置森林的轻型目录访问协议 (LDAP) 查询策略设置

MSA 管理员包含管理不同 MSA 服务的管理 corp.contoso.com

MSA 管理员包含管理不同 MSA 服务的管理 na.corp.contoso.com

周边基础结构服务器包含周边服务器组织单位。 perimeter.contoso.com

配置 MSA 安全性和审核设置

MSA 应用程序服务器策略企业客户 IIS na.corp.contoso.com\MSA Infrastructure

站点拓扑管理员 MSA 管理员此组中的成员被授予维护

将成员服务器加入到域中

将服务器移至组织单位中

启用了 IIS 的证书颁发机构包含与证书颁发机构基础设施服务证书颁发机构服务器

必备要素必备检查已核实

配置 SBO 情境的站点和站点拓扑