為了提高大型網絡的管理效率與安全性，微軟提出了一個通過域來管理企業局域網的思路。通過域可以實現在一個統一的平臺上對企業網絡采取一些統一的管理策略，這也一直是網絡管理員所追求的目標。不過域對于企業的網絡環境要求比較高，畢竟天下沒有白吃的午餐，要享受先進技術給企業帶來的便利，我們不得不先懂得付出。今天筆者就給大家介紹一下，在搭建微軟網絡域管理環境之前所需要做的一些準備工作。

　　第一項工作：為域設計一個好名字

　　若要訪問WINDOWS的域，一般是通過域名進行訪問，而不是通過域控制器的IP地址。所以，在部署微軟的域環境之前，則必須給這個域提個名字。這個名字可不能隨便取，必須符合微軟的域命名規則。

　　微軟的域名是采用DNS的架構于命名方式，如A.COM，所以在給這個域取名的時候，需要符合這個規則。同時，也要符合“容易書寫、容易叫”的原則，即我們所取的名字，要簡單、不要含有特殊字母，否則的話，后續在訪問域的時候，就會比較麻煩。

　　筆者經驗之談

　　雖然在域建立好之后，仍然可以改變這個名字。但是，這就好像人成年后更改名字一樣，需要很多手續與證明資料，修改起來會非常的麻煩。所以，筆者建議，還是在部署域管理環境之前，就先為這個即將出生的“寶寶”取個好名字。

　　第二項工作：部署DNS服務器

　　在部署域管理環境的時候，域控制器會將自己登記到DNS服務器中去。如此做的目的，就是讓其他客戶端可以通過我們上面所取的名字訪問到這臺域控制器。所以，在企業的網絡中必須有一臺DNS服務器，否則的話，域控制器在安裝的過程中就會以失敗告終。

　　一是在安裝域控制器的時候，可以同時安裝DNS服務器。在將某臺服務器升級為域控制器的時候，如果這臺服務器沒有安裝DSN服務器的時候，則會自動在這臺服務器上安裝微軟的DNS服務器，同時，也會自動在DSN服務器內建立一個以我們上面設計的域名一樣的空間，如A.COM。而且，會自動能啟用安全更新功能，當然，其安全等級選項是“只有安全的”。若采用這種方式部署DNS服務器的，必須先將這臺機器的中DNS服務器地址改過來。在TCP/IP屬性設置框中，除了設置IP地址、默認網關、子網掩碼之外，還可以設置DSN服務器地址。若想在這臺服務器上安裝DNS服務器的話，則必須把這個DNS地址清空，或者指定為本機的IP地址，否則，會出現一些故障。

　　二是使用獨立的DNS服務器。在部署域管理環境的時候，我們也可以采用，而且也是積極建議的，使用獨立的DNS服務器。這可以使企業正在使用的，也可以新建一臺DNS服務器。然后，再DNS服務器為這個域建立一個區域，并啟動自動更新功能。然后在安裝域控制器的時候，把域控制器的DNS地址指向這臺DNS服務器。

　　筆者經驗之談

　　1、如果需要建立微軟的域管理環境，則在部署DNS服務器的時候，最好選擇“動態更新”功能，雖然這不是 安裝域控制器所必需的條件。我們都知道，在安裝域控制器的時候，他必須將其所扮演的角色登記到DNS服務器的SRM紀錄之下。若DNS服務器不支持這個功能的話，則域控制器將無法自動的將自己登記到DNS服務器的SRV紀錄之下。必須由網絡管理人員手工的進行輸入。無疑，這會增加域管理的負責性。若我們啟用了這個動態更新的功能的話，則在安裝域控制器的時候，會自動完成這項作業，不需要我們過多的干預。不過，在選中動態更新功能的時候，最好把其安全級別色設置為“只有安全的”，以防止DNS地址欺騙攻擊，提高域管理環境的安全性。

　　2、若在企業大型網絡中，有不只一臺的DNS服務器，則需要考慮啟用“增量區域傳送”功能。如筆者企業中，客戶端數量比較多，一是為了提高DNS服務器的使用性能，二是為了提供一種冗余，提高網絡的靈活性，在企業局域網內，部署了三臺DNS服務器。若在沒有啟用“增量區域傳送”功能的話，DNS服務器在相互之間執行區域傳送功能的時候，會復制全部的DNS紀錄，這顯然會占用比較大的帶寬，造成不必要的帶寬浪費。而若我們采用這個“增量區域傳送”功能的話，則DNS服務器在同步紀錄的時候，只會復制更新過多紀錄，這么做主要就是為了提高復制效率。現在大部分版本的DNS服務器基本上都支持了這個“區域增量傳送”功能。在有必要的情況下，也可以同時采用“快速區域傳送”功能。這可以為DNS服務器紀錄傳送再加一把油，通過對數據進行壓縮，進一步提高DNS服務器之間紀錄的復制效率。

　　3、必須要啟用本機服務器資源紀錄功能。若上面兩個功能在部署域管理環境之前，是可選的。但是，這個本機服務器資源紀錄功能，則是一個必須啟用的功能。因為在安裝域控制器的時候，需要在DNS服務器中的本機服務器資源紀錄中進行登記，以表示自己的合法性。若DNS服務器不支持這個功能的話，則域控制器將不能證明自己存在的合法性。現在微軟2000以上的服務器系統，都支持“本機服務器資源紀錄”功能。

　　第三項工作：合理的硬盤規劃

　　現在硬盤的價格不斷創新低，所以，硬盤容量已經不再是限制域使用的一個關鍵資源。但是，即使如此，在部署域管理環境之前，還是需要對硬盤進行合理的規劃，從而提高域控制器的使用性能與安全性。

　　在域控制器的硬盤空間中，主要存儲以下內容

　　一是活動目錄數據庫。活動目錄是域管理環境中一個非常重要的對象，很多域管理策略都需要活動目錄的支持。這個數據庫的所需要的硬盤空間一般是根據客戶端數量不同而有所不同。不過一般情況下，1G的硬盤容量已經足夠。

　　二是日志文件。合理保護日志文件是域控制器管理的一個重點。這個日志文件最重要的作用，就是當活動目錄數據庫出現故障的時候，進行恢復。一般來收，在規劃硬盤空間的時候，需要為其準備500M左右的空間。

　　三是用來存放域控制器的SYSVOL文件夾。這個文件夾中存放著很多重要的內容。如需要在域環境中設置組策略的話，這也是我們之所以要采用域來管理企業網絡的一個重要原因，則我們配置的一些組策略就都是存放在這個文件夾中。另外，在這個文件夾中，也會防止一些腳本文件、系統的基本配置文件、以及一些共享文件夾等等。不過，這個SYSVOL文件夾，對于硬盤空間有一些特殊的要求，即其所在的硬盤分區格式必須為NTFS格式。這主要是因為只有NTFS格式的硬盤空間可以提供一些安全設置。所以，在規劃硬盤空間的時候，必須把硬盤中第一個區設置為NTFS格式。我們可以在未劃分分區的硬盤上把分區格式化為NTFS格式，也可以利用命令把現有的FAT格式的硬盤分區轉換為NTFS格式。不過這里需要注意一點，把FAT或者FAT32格式的硬盤分區轉換為NTFS格式的話，這些分區中原有的文件都不會丟失。但是，若進行相反的轉換，如NTFS格式轉換為FAT或者FAT32格式的分區的話，則原有硬盤分區中的內容將會全部丟失。

　　筆者經驗之談

　　在規劃域控制器的硬盤空間的時候，筆者有幾個建議。

　　一是最好為域控制器準備兩塊硬盤，把活動目錄數據庫與日志文件存放在兩塊硬盤中。我們都知道，當活動目錄數據庫崩潰的時候，可以通過日志文件來對活動目錄進行恢復。若把日志文件與活動目錄存放在同一塊硬盤中，萬一不幸發生，硬盤出現故障損壞的話，那么我們通過什么來對域控制器的活動目錄進行恢復呢?反正現在硬盤又比較廉價，所以，筆者在這里強烈建議，為域控制器準備至少兩塊硬盤，把活動目錄與日志文件分別存放在兩塊硬盤中，以提高域控制器的安全性。

　　二是NTFS格式的分區具有FAT或者FAT32 格式所沒有的安全性。如對于文件的加密、數據恢復等等，NTFS格式都具有非常明顯的優勢。所以，筆者建立，在必要的時候，把整塊硬盤都格式化為NTFS格式的分區。這可以大大的提高域控制器的安全性。

　　三是要特別留意SYSVOL的存儲空間。活動目錄與日志的存儲空間，都可以在空間不夠的時候，利用命令進行重新配置。但是，SYSVOL文件夾的存儲空間，則不可以在域控制器安裝完成后重新設置。當后來發現SYSVOL的存儲空間不夠的時候，則必須重新安裝活動目錄，這對于網絡管理員來說，是一個致命的打擊。所以，最好為SYSVOL文件夾配置足夠多的硬盤空間，反正現在硬盤便宜，為期預留40G的硬盤空間也不需要多少的成本。