第11章 域和活动目录(二).doc

第9章 域和活动目录（二）9.1 活动目录地相关概念（二）7.架构 AD内的对象和属性是定义在架构内的，架构定义了对于某种对象，用那些属性来描述它及这些属性对应的数据类型，取值范围等信息。 一个林内的所有域外树使用相同的架构，且Schema Admins组的用户与应用程序可以在架构内新增对象类或属性。 8DC与AD复制 AD存储在DC内，当一台DC内的AD数据发生变动后，这些变动的数据会被自动复制到其他DC内。 AD数据复制有以下两种模式： 多主机复制：在这种模式中可以直接更新任何一台DC内的AD对象，更新后该对象会被复制到其它DC中。AD的大部分数据都使用多主机复制模式。 单主机复制：在这种模式中，由其中一台DC（称为“操作主机”）负责处理和接收对象的变更，再由它复制到其他所有的主机中。9、全局编录 “全局编录”由DC来实现，该DC不但存储了自身所有对象的详细信息，而且存储了所在域林中其他所有域的所有对象的部分主要信息。 默认情况下为域林的第一台域控制器，也可以另外指定其他DC作为“全局编录”。10、轻型目录访问协议（LDAP） 是一种用来查询和更新AD目录服务通信协议。Win2003域利用“LDAP命名路径”来表示对象在AD内的位置，以便访问AD内的对象。LDAP名称路径包含以下内容：1）可分辨名称（DN）：它是对象在AD内的完整路径。如：CN=bigshi,OU=清网组，OU=南区，DC= 2) 相对可分辨名称（RDN）：在DN的完整路径中，用来代表某个对象的部分路径。如CN=bigshi3）全局惟一标识符（GUID）：是一个128bit的数值，对于任何一个对象，系统在建立时都会指定一个惟一的GUID给这个对象。对象名称可以改变，但其GUID永远不会改变；4）用户规则名（UPN）：它的格式类似于电子邮件账户。如：. 11站点： 是由一个或多个IP子网组成的。一般若子网之间是通过高速且可靠的链路串接起来，网络之间速度足够快且足够稳定，则可将这些子网放在同一站点。反之，应将这些子网规划为不同站点。注：站点和域之间没有必然的联系。域是网络的逻辑分组，而站点是网络的物理分组。一个站点可以包含多个域，一个域也可以包含多个站点。站点和AD复制关系紧密，它通常用于规划AD复制的拓扑：1、 站内复制：同一站点内的DC的复制是采用“改变通知”的方式，也即当某台DC的AD内有数据变动时，默认它会在15秒后通知同一站点内的其他DC，后者若需要，则会请求复制。注： 1）站内复制数据不会被压缩； 2）站内复制会自动产生复制拓扑； 3）默认情况下同一树林内的所有DC均属同一站点，该站点在安装域林中第一台DC时被自动创建。2、 站间复制：默认情况下不同站点内的DC之间不进行AD复制，但可手工设置。该复制采用“排定计划”的方式，即在排定的时间内才会进行复制的工作。注：1）站间复制的数据不被压缩； 2）站间复制通过桥头服务器来实现； 3）站间复制要事先建立站点链接。9.2 域功能与林功能 域功能级别 域功能只会影响到域，会影响到其他的域。分为以下3种级别： 1、 Windows 2000混合模式 这个级别内的DC可以是win2003、win2000 server与WinNT server. 默认为混合模式； 2、Windows 2000原始模式 这个级别内的DC可以是Win2003与Win2000； 3、Windows server 2003 这个级别内的DC只能是win2003 林功能级别 林功能会影响到该林内所有域。分为3个级别： 1、Windows 2000 这个级别内的DC可以是win2003、win2000 serv与WinNT server. 默认为该模式； 2、Windows server2003过渡版 这个级别内的DC可以是win2003和winNT server，但不可是win2000 server. 3、Windows server 2003 这个级别内的DC只能是win2003.9.3 目录分区AD数据库被逻辑地分为多个目录分区，它们分别是：1、架构目录分区 它存储着整个林中所有对象与属性的定义数据，也存储着如何建立这些对象与属性的规则。整个林共享一份相同的架构分区，它会被复制到整个林中的所有DC；2、 配置目录分区 其内存储着整个AD的结构，如有哪些域、站点、DC等数据。整个林共享一份相同的配置分区，它会被复制到整个林中的所有DC中；3、 域目录分区 每一个域各有一个域目录分区，其中存储着该域内的对象，如用户、组、计算机等对象。每一个域各自拥有一份域目录分区，它只会被复制到同一个域内的所有DC中，并不会被复制到其他域的DC 中；4、 应用程序目录分区 一般，该目录分区是由应用程序建立的，其内存储着与此应用程序有关的数据。如：DNS服务器会在AD中建立应用程序分区。9.3 操作主机 AD内的大部分数据都是利用“多主机复制模式”，但也有少部分数据是采用“单主机操作模式”来复制。此时，就需借助操作主机。AD内共定义了五个操作主机角色：1. 架构主机2. 域命名主机3. RID主机4. PDC主机5. 基础结构主机注：1） 整个林中只有一台“架构主机”与“域命名主机”，默认由林根域内的第一台DC扮演； 2） 每一个域拥有自己的“RID主机”、“PDC主机”、“基础结构主机”。 架构主机1） 架构主机负责更新与修改架构内的对象与属性数据。只有Schema Admins组内的成员，才有权修改架构内的数据；2） 同一时间内，整个林中只能有一台“架构主机”；3） 如果架构主机出现故障或离线，可能会影响某些软件的运行。域命名主机1） 域命名主机负责管理林内的域的添加与删除工作；2） 同一时间内，整个林中只能有一个“域命名主机”；3） 域命名主机出现故障或离线，将无法在林内添加或删除域注：若“林功能”级别为“windows 2000”,建议将“域命名主机”与“全局编录”设为同一台DC；若“林功能”级别为windows server 2003，两都可不在同一DC上。 RID主机同一时间内，每一个域内只能有一台DC扮演“RID主机”的角色。它负责：1） 发放RID DC添加每个对象时都必须指派一个惟一的安全识别码（SID），对象的SID=域的SID+RID，而RID由“RID操作主机”统一发放；2） 移动对象 当某DC要将某个对象移到另一域时，系统会移动位于“RID”内的对象，然后通知其他DC该对象已被转移。这样避免了该对象被不同DC重复移到不同域中。 PDC模拟主机 同一个时间内，每一个域内只能有一台DC扮演“PDC模拟主机”的角色。“PDC模拟主机”负责：1） 支持旧客户端计算机；2） 减少因为密码复制延迟所造成的问题；3） 负责整个域时间的同步。 基础结构主机 同一时间内，每一个域内只能有一台DC扮演“基础结构主机”的角色。如果域内有对象参考到其他的对象时，“基础结构主机”会负责更新这些参考对象的数据，如：本域内有一个组的成员包含另外一个域的用户账户，则当这个用户账户有变动时（例如被删除或移动），“基础结构主机”就负责更新这个组的内容，并将其复制到同一个域内的其他DC。注：1）基础结构主机是通过“全局编录”来得到这些参考数据的最新版本，因为“全局编录”会收到由每一个域所复制来的最新变动资料；2）如果整个林中只有一个域，则“基础结构主机”就没有用了，因没有其他域的对象可供参考； 3）除非域中只有一台DC，不要将“基础结构主机”与“全局编录”由同一DC来扮演，否则“基础结构主机”的功能无法正常动作。实践