為了要向板土區組長們分享學校的AD Service所以寫了這篇文章，因為不是實作，只是介紹性質，所以標題有點難下，就取名為XXX實錄好了。本校的AD架構是建置在三部伺服器上，上線正式運作的第一台是新北市府配發的ASUS TS300-E5 直立式伺服器，另兩台是學校自購的IBM X3655以及ASUS TS500-E6，儲存體有一台DAS(DELL MD3200)與乙台NAS(Coventive NAS 7500 SATA-S)，當然，UPS也是不可或缺的一環

因為網路設備與服務越來越多，每項服務或設備各使用一套帳密的話老師恐怕會抱怨，既然學校有AD架構，索性來測試一下LDAP和Radius的設定，目標是希望可以把VPN、NAS、FTP、無線網路認證…等服務的帳密都整合起來，學校的AD Server OS是Server2008 R2 Enterprise，Radius Service在伺服器角色中的網路原則與存取服務中，其實就是以前Server2003的IAS網際網路驗證服務，只要了解Radius的運作邏輯，設定方式在Windows Based上就非常簡單了

一、新增網路原則與存取服務

五大角色是Win AD專屬的角色名稱，指的是AD中的五大操作主機，分別為RID操作主機(RID Master)、PDC操作主機(PDC Emulator)、基礎結構操作主機(Infrastructure Master)、網域命名操作主機(Domain Naming Master)、架構主機(Schema Master)等，五大角色缺一不可，網域內同時也只能有一部DC擔任操作主機的工作，因此也可以說五大角色是AD的命脈。

為了管理方便，通常會使用MMC來整合管理FSMO的工作，所以先把五大角色嵌入管理單元，RID、PDC、基礎結構三個操作主機是由ADUC來管理，網域命名操作主機是由AD網域及信任擔任管理、架構主機則由AD架構擔任管理工作，其中架構主機預設是隱藏的管理功能，因此要藉由MMC來管理還必須先下Regsvr32 schmmgmt.dll指令才能將功能開啟，嵌入完成如下圖

當初規劃AD架構時只求能先滿足行政團隊，沒把老師的儲存需求納入考量，且當時硬體架構上也缺少適當的儲存設備，所以只好把所有的資料都往AD硬碟塞，另外，為了要預防單點失誤，所以除了硬碟陣列之外，還藉由DFS做了異機備援，如此一來，資料保存的安全性是做到了，但異機備援與陣列卻是必須犧牲掉廣大儲存空間才能換來的，兩年下來，AD的硬碟空間都快不夠用了，所以這學期為了將教師儲存需求納入，專為AD添購了一台DAS，可以開始陸續將原本存在Server Local HD的資料移轉到DAS身上，首先要動刀的就是GP-Client重新導向到AD所儲存的資料，因為當初做完Redirection後的結果真是令人傻眼，指定導向的目錄下原本應該要出現Username的目錄，導向後卻全部命名為我的最愛，下圖就是這個靈異現象，這要是不解決的話，以後遇到狀況要幫特定使用者備份時，就真的會像大海撈針了…

學校老師由虛擬私人網路連線後，即可於家中進行Win7作業系統與Office2010的KMS啟用，連線的路徑可從學校首頁-電子化服務-虛擬私人網路進行登入，登入的帳密與登入學校電腦使用的帳密相同(AD使用者帳密)