使用Vmware搭建虚拟的活动目录实验室

　　俄勒冈州的波特兰市技术服务局计划采用Windows Server 2003的活动目录技术，我们的工作人员发现，只有通过一个具有实用性的活动目录试验室，才能将这个计划中遇到的问题一一解决。而建立一个能够解决实际问题的活动目录试验室，至少需要两个森林(forest)，每个森林包含三个域，并且总共需要16个域控制器。

　　现在问题出现了:目前没有足够的服务器用来搭建试验室，而购买全新服务器需要至少8万美元，我们也没有这部分预算。因此，我们的技术人员开始研究如何在只有两台服务器的情况下通过VMware GSX Server来实现我们的需求。下面我就来描述一下我们是如何建立这个活动目录试验室的。

　　设计上的难题

　　由于企业网络的安全需求，在企业内的两个机构的数据和目录对象必须可以受对方机构保护。而在对方机构中，这种安全需求并不严格。据此，主要存在的问题就是:

　　1.一个单一的森林结构是否能满足这种安全需求?

　　2.如果不行，那么势必要采取分离的安全森林结构，这时该如何处理两个森林间互操作的问题，尤其是邮件传递?

　　3.遇到的问题该如何解决?

　　4.在森林间使用防火墙会对活动目录造成什么影响?

　　我们认为寻求答案的最佳途径就是建立一个包含两个森林的网络实验室。在每个森林里，我们会建立一个空的根域以及两个子域。每个森林中的一个子域会包含四个域控制器，而剩下的域则包含两个域控制器。之后我们会建立多种服务器，包括全局目录、域名系统(DNS)、Windows Internet 名称服务(WINS)、 动态主机配置协议(DHCP)以及文件/打印服务器。另外，我们会在每个森林里安装一个Microsoft Exchange 2003 Server、一个Microsoft Identity Integration Server 2003，并安装防火墙(采用Check Point)。