Win2000介绍之九：目录服务 　 Active Directory提供集中组织、管理和控制对网络资源访问的方法。 1.Active Directory命名规范： a Distinguished Name: DC=com,DC=contoso,CN=Users,CN=James Smith 表示用户对象James Smith在contoso.com域中  b Relative Distinguished Name: 是Distinguished Name的一部分  c User Principal Name: 由用户登录名和域名组成，如 JamesS@contoso.com  d GUID: Active Directory中的每一个对象都有唯一的GUID  2.Active Directory的逻辑结构： a Domain：安全边界，每个域有自己的安全策略 Active Directory复制的 单元 有Mixed Mode和Native Mode（域控制器都是Win2000） b Organizational Units：用于存放对象的容器，如用户账号、组、计算机等 可容纳对象和其他OU 可按地理或逻辑需要创建OU  c Tree：共享连续的命名空间,管理员可在树中任何一个域进行管理  d Forest：一组树构成了森林，但不共享连续的命名空间 Trust  e Relationship：支持单向、非传递性的和双向、传递性的信任关系 双向信任在Win2000中是缺省的  　 3.Active Directory的物理结构： a Site：一个或多个通过高速连接的IP子网构成了Site Site允许配置目录访问和复制的拓扑结构 创建Site是为了优化复制流量和允许用户更好地访问域控制器 b Domain Controller： Active Directory使用多主复制模型,不存在主域控制器， 域控制器之间相互复制目录数据  c Global Catalog： 包含Active Directory中对象属性的子集，最常访问的属性 被存放在Global Catalog中  4.Active Directory复制组件: a Knowledge Consistency Checker（KCC）： Active Directory通过KCC自动配置域控制器之间的复制连接 KCC是域控制器的内建进程，它创建连接以保持复制拓扑的完整性  b Server Object： 当创建域控制器时，会自动创建一个Server Object，它和域控制器 的Computer Object不一样，尽管都指向同一个计算机。Server Object 主要用于域控制器的复制和站点管理。 Server Object是Site Object的子对象。Site Object应包含域控制 器所在的子网。 c NTDS Setting Object： 包含Connection Object对象的容器 d Connection Object： 两个Server Object之间复制的一个单向连接 可由KCC自动创建或管理员手动创建 　 5.在一个站点内复制： 当域控制器的对象发生了变化，产生一个Change notification进程，缺省 等5分钟后发送消息给复制伙伴。而且复制流量是未压缩的。复制采用的协议 是RPC over IP（remote procedure call）---提供高速、一致的连接性。 　 6.在多个站点之间复制： 通过schedule、interval等值来进行配置。例如，schedule决定什么时候开始 复制，而interval决定多长时间间隔域控制器检查改变是否发生。而且，复制 流量是被压缩的，压缩比大约为10%-15% 。复制采用的协议是RPC over IP或 SMTP，但SMTP只能用于不同域的域控制器之间的复制，大多数情况下，采用RPC over IP。 　 7.连接多个Sites： 需要额外的对象---Site links和Site link bridges  a Site Links---表示两个Site之间的连接的对象。缺省时创建DefaultIPSiteLink。 可以为Site link指定一些Value： b Cost---反映连接的带宽。值从1到32767。值越大表示连接速度 越满，缺省时为100。另外，应保证Cost的选择是成比例的。 c Interval---复制的时间间隔。 d Schedule---定义什么时候可以复制，缺省时，所用时间段均可。 e Site Link Bridges---表示一组采用相同复制协议的Site Links。缺省时，所有 采用相同复制协议的Site Links属于某个Site Link Bridge， 而且在完全路由的网络中，不需手工配置。

回首页