Active Directory服务和Windows 2000或Windows Server 2003域

概要

本文中的部分信息由 Microsoft Press 提供 (http://mspress.microsoft.com/)

本文是讲述 Active Directory 服务和 Windows 2000 或 Windows Server 2003 域的两篇系列文章的第 1 部分。要查看第 2 部分,请单击下面的链接:
310997 (http://support.microsoft.com/kb/310997/) Active Directory 服务和 Windows 2000 或 Windows Server 2003 域(第 2 部分)
第 1 部分涉及以下主题:
域层级
Windows 2000 和 Windows Server 2003 域
信任关系
可传递信任
单向信任
交叉链接信任
第 2 部分涉及以下主题:
管理边界
组织单位
Active Directory 交互
模拟域层级
编录域(目录分区)
分区目录
获取有关其他域中的对象的信息
分发目录
复制目录
编录企业(全局编录)
结束语
此信息摘自 Active Directory Services for Microsoft Windows 2000 Technical Reference(《Microsoft Windows 2000 的 Active Directory 服务技术参考》)一书的第 3 章:Active Directory Services and Windows 2000 Domains(Active Directory 服务和 Windows 2000 域)。进一步了解 Active Directory Services for Microsoft Windows 2000 Technical Reference(《Microsoft Windows 2000 的 Active Directory 服务技术参考》) (http://support.microsoft.com/?scid=http%3a%2f%2fwww.microsoft.com%2fmspress%2fbooks%2fsampchap%2f3173.asp%23samplechapter)。该书已得到更新,以包含有关 Microsoft Windows Server 2003 的信息。

更多信息

Microsoft Windows 2000 或 Windows Server 2003 域结构及其相关联的对象与它们的 Windows NT 4 前身有显著的不同,反映了 Active Directory 服务在 Windows 2000 或 Windows Server 2003 中的核心角色,以及使其成为可伸缩、面向企业的目录服务的设计要求。其中有些方面的改动很明显,如转为采用可传递信任关系模型;而有些方面则改动很小,如引入组织单位。无论改动是否明显,要理解 Windows 2000 或 Windows Server 2003 域与 Active Directory 服务之间的交互及依赖关系,对它们进行说明都是极其重要的。Active Directory 模拟 Windows 2000 和 Windows Server 2003 域模型;反之亦然(如果您要反过来看的话)。无论如何,Windows 2000 或 Windows Server 2003 域和 Active Directory 都互相依赖,甚至由对方的特性定义。要理解 Windows 2000 或 Windows Server 2003 域和 Active Directory 服务之间这种密不可分的关系,就需要说明 Windows 2000 或 Windows Server 2003 域模型,以及它与 Active Directory 服务交互的方式。因此,本章将首先讲述 Windows 2000 和 Windows Server 2003 域模型,并探讨该模型为何与 Windows NT 域模型大相径庭。

Windows 2000 和 Windows Server 2003 域

Windows NT 4 域的伸缩性不好。虽然有很多粉饰这一事实的辩解,但简单的事实摆在面前:Windows NT 4 域模型采用单向非传递信任,在大型企业中实现需要大量管理开销。Windows 2000 或 Windows Server 2003 及其域模型就不存在这一缺陷,主要是因为采用了新的信任方法,但也因为整个域概念得到了改进,以符合轻量目录访问协议 (LDAP) 和域名服务 (DNS) 等行业标准。
域层级
在 Windows 2000 和 Windows Server 2003 网络中,用层级组织域。通过域采用这种新的层级方式,就诞生了林和树的概念。这些新概念,加上现有的域概念,可帮助组织更高效地管理 Windows 2000 和 Windows Server 2003 网络结构。
Windows 2000 和 Windows Server 2003 域模型的基本单位未变,仍旧是域。域是一种管理边界,在 Windows 2000 和 Windows Server 2003 中,域代表与 DNS 域对应的名称空间(将在第 4 章中讨论)。有关 Active Directory 服务如何与 DNS 交互的更多信息,请参阅第 6 章“Active Directory Services and DNS”(Active Directory 服务和 DNS)。

Windows 2000 或 Windows Server 2003 部署中创建的第一个域称为根域,顾名思义,它是域树中创建的所有其他域的根。(域树将在下一节讲述。)由于 Windows 2000 和 Windows Server 2003 域的结构与 DNS 域层级有紧密联系,因此 Windows 2000 和 Windows Server 2003 域与我们所熟悉的 DNS 域层级的结构类似。根域是类似于 microsoft.com 或 iseminger.com 这样的域;它们是其 DNS 层级的根,也是 Windows 2000 和 Windows Server 2003 域结构的根。

给定的 Windows 2000 和 Windows Server 2003 域层级中后续创建的域将成为根域的子域。例如,如果 msdn 是 microsoft.com 的子域,msdn 域将成为 msdn.microsoft.com。

正如您所看到的,Windows 2000 和 Windows Server 2003 要求域不是层级中的根域,就是子域。Windows 2000 和 Windows Server 2003 还要求在给定的父级域中,域名是唯一的;例如,根域 microsoft.com 不能有两个名为 msdn 的直接子域。但是,在整个域层级中,可以有两个名为 msdn 的域。例如,可以有 msdn.microsoft.com 和 msdn.devprods.microsoft.com;microsoft.com 名称空间只有一个名为 msdn 的子域,而 devprods.microsoft.com 名称空间也只有一个名为 msdn 的子域。

域背后的概念是逻辑分区。大多数组织规模大到需要多个 Windows 2000 或 Windows Server 2003 域时,都具有区分职能或工作重点的逻辑结构。通过将组织划分为多个单位(在美国企业中,有时成为部门),可以更容易地对组织进行管理。实际上,对组织被进行分区是为了提供更符合逻辑的结构,使得在组织的不同部门之间分配工作成为可能。换个角度看,当逻辑业务单位(部门)合并在一个更大实体(可能是一个企业)的保护伞下时,这些在逻辑上不同的部门就构建了一个更大的实体。虽然不同部门中的工作可能互相独立且互不相同,但是这些部门总体上构成了一个更大但逻辑周密的实体。在将 Windows 2000 和 Windows Server 2003 域组合为一个更大的连续名称空间实体(称为树)时,这一概念也适用。
树有时也称为域树,是 Windows 2000 和 Windows Server 2003 域的集合,构成了连续名称空间。在创建子域并将其与给定的根域相关联的同时,构建了域树。就技术定义来说,树是一个连续的 DNS 命名层级;从概念图看,域树的外观类似于倒置树(根域位于顶部),分支(子域)在下方展开。

通过创建域树,组织能够在自己的组织内部创建一个域的逻辑结构,并使域符合并反映 DNS 名称空间。例如,David Iseminger 和 Company 可以有一个名为 micromingers.iseminger.com 的 DNS 域,并且公司内部可能有多个逻辑部门,如销售、财会、生产等部门。这种情况下,域树的外观为如图 3-1 中所示。
 micromingers.iseminger.com 的域树图
图 3-1. micromingers.iseminger.com 的域树

注意:阅读到此处,您可能会注意到处都有 iseminger.com 的字眼。这不是因为作者的意图,而是出于出版商所坚持的法律方面的考虑。“请不要使用可能会引起争议的域”,出版商说,“请只使用作者所有的域,或者没有实际意义的域。”作者的网址为 www.iseminger.com,所以只好在本书中到处使用这个域名。我有一些更新颖的名称,但是没办法,还是不要招惹律师为好。

这种公司内的逻辑部门组织非常适用于有一个 DNS 域的公司,但是对于有多个“公司”的大型企业来说,可能需要解决多个公司问题。这一问题可以通过使用 Windows 2000 和 Windows Server 2003 林得到解决。
有些组织可能有多个根域,如 iseminger.com 和 microsoft.com 等;但该组织本身是一个单个实体,如本例中虚构的 David Iseminger 和 Company。这种情况下,这些多个域树可以构成一个非连续的名称空间,称为林。林是构成给定的企业的一个或多个连续的域树层级。逻辑上讲,这也意味着其域树中仅有一个域的组织也可以被看作一个林。在本章后面讨论 Active Directory 与 Windows 2000 或 Windows Server 2003 域和林交互的方式时,这种区分将更为重要。

林模型使得未构成连续名称空间的组织能够在其合并的域结构中维护组织范围的连续性。例如,如果 David Iseminger 和 Company(即 iseminger.com)能够共同融资购买另一家称为 Microsoft 且拥有自己的目录结构的公司,这两个实体的域结构将可以合并到一个林中。使用单个林有三个主要优点。首先,信任关系的管理更易管理(使一个域树中的用户能够访问另一个树中的资源)。其次,全局编录集合了整个林的对象信息,这使得整个企业搜索成为可能。第三,Active Directory 架构适用于整个林。(有关架构的技术信息,请参阅第 10 章。)图 3-2 阐述了 iseminger.com 和 Microsoft 域结构的合并,它们的根域之间有一条连线,表明它们之间存在 Kerberos 信任并建立了林。(第 8 章将详细讲述 Kerberos 协议。)

虽然一个林可以包含多个域树,但是它代表一个企业。通过创建林,所有的成员域都可以共享信息(通过使用全局编录)。您可能想问:如何建立林内的域树,使得整个企业(由林表示)能够作为一个单位运作。这个问题问得好,下面将通过讲述信任关系来尽量回答这个问题。

信任关系
Windows NT 4 域和 Windows 2000 或 Windows Server 2003 域之间最重要的区别可能就是:同一个组织的域之间信任关系的应用和配置。Windows 2000 和 Windows Server 2003 中没有像 Windows NT 4 中那样建立单向信任网,而是实现了可以在整个(新)域树结构中上下流动的可传递信任。这一模型简化了 Windows 网络的管理,我将通过一个数字示例来进行阐述。下面的两个等式(注意:以下等式仅供说明,不用记)举例说明了每一方法所产生的管理开销;等式表示每个域信任方法所需要的信任关系的数量,其中 n 表示域的数目:
Windows NT 4 域--(n * (n-1))
Windows 2000 或 Windows Server 2003 域--(n-1)
仅用于演示,我们以一个有几个域的网络为例,来对以下不同的域模型方法进行比较。(假定网络中有 5 个域,即以下公式中 n = 5。)
Windows NT 4 域:(5 * (5-1)) = 20 个信任关系
Windows 2000 或 Windows Server 2003 域:(5 - 1) = 4 个信任关系
 Iseminger.com 和 Microsoft 的域树的合并图
图 3-2. Iseminger.com 和 Microsoft 的域树的合并

必须管理的信任关系数量之间有显著的差异,但这甚至不是新的域方法最主要的优点。对于 Windows 2000 和 Windows Server 2003 域,默认情况下会创建和实现信任。管理员仅只需安装域控制器,就可以使用信任了。信任关系的自动创建基于以下事实:即 Windows 2000 和 Windows Server 2003 域(与 Windows NT 4 域不同)通过层级形式创建;也就是说,在给定的域树中,只有一个根域和若干子域。这就使得 Windows 2000 和 Windows Server 2003 能够自动了解给定域树中包含哪些域,以及根域之间何时建立了信任关系;还能够自动了解林中包含哪些域树。

与此相反,在 Windows NT 域之间,管理员必须创建(并随后管理)信任关系,并且他们必须记住信任关系的流向(以及对任一域中的用户权限的影响)。区别非常明显:管理开销被削减为很小的一部分,而这样的信任的实现也更为直观,所有这些优点都是因为采用了新的信任模型以及域和域树的层级方法。

在 Windows 2000 和 Windows Server 2003 中,有三种类型的信任关系,分别满足域结构中的某一需要。向 Windows 2000 和 Windows Server 2003 域提供的信任关系如下:
可传递信任
单向信任
交叉链接信任
可传递信任
可传递信任在两个域之间建立一种信任关系,这种信任关系可以流动到其他域,例如,如果域 A 信任域 B,域 B 信任 C,则域 A 必然信任域 C,反之亦然,如图 3-3 所示。


三个域之间的可传递信任图
图 3-3. 三个域之间的可传递信任

由于不再需要管理单向非传递信任网,因此可传递信任可以极大地减少有关维护域之间的信任关系的管理开销。在 Windows 2000 和 Windows Server 2003 中,每当在域树中创建新域时,都会自动建立父级和子级域之间的可传递信任关系。可传递信任限于 Windows 2000 或 Windows Server 2003 域,并仅限于同一域树或林中的域;不能与低级(Windows NT 4 和更早版本)域建立可传递信任关系,不能在位于不同林中的两个 Windows 2000 或两个 Windows Server 2003 域之间建立可传递信任。
单向信任
单向信任不可传递,因此它们仅可以定义所涉及的域之间的信任关系,并且这些域不是双向的。不过,您可以创建两个单独的单向信任关系(一个方向一个)来创建双向信任关系,就像在纯 Windows NT 4 环境中一样。不过,请注意,即使是可互换的单向信任也不能等效于可传递信任;单向信任中的信任关系仅在所涉及的两个域之间有效。Windows 2000 和 Windows Server 2003 中的单向信任与 Windows NT 4 中的单向信任完全相同,在有些情况下,Windows 2000 或 Windows Server 2003 中会使用单向信任。下面介绍了其中几种最常见的情况。

首先,单向信任常用于必须与低级域(如 Windows NT 4 域)建立新的信任关系的情况。由于低级域不能加入 Windows 2000 和 Windows Server 2003 可传递信任环境(如树或林),因此必须建立单向信任,才能在 Windows 2000 或 Windows Server 2003 域与低级 Windows NT 域之间产生信任关系。

注意:这种单向信任情形不适用于迁移过程(如将现有的 Windows NT 4 域模型升级到 Windows 2000 或 Windows Server 2003 域/树/林模型)。在从 Windows NT 4 升级到 Windows 2000 或 Windows Server 2003 的整个过程中,您所建立的信任关系在迁移过程接近结束,即直到所有的域都为 Windows 2000 或 Windows Server 2003 并且建立了可传递信任环境时,才会得到实现。有关迁移过程的更详细说明,请见第 11 章“Migrating to Active Directory Services”(迁移到 Active Directory 服务)。

其次,如果必须在不属于同一 Windows 2000 或 Windows Server 2003 林的域之间建立信任关系,可以使用单向信任。您可以在属于不同的 Windows 2000 或 Windows Server 2003 林的域之间使用单向信任关系,以隔离与之建立并维护信任关系的域的信任关系,而不是创建影响整个林的信任关系。让我来用一个示例来阐明。

假定您的组织有一个生产部和一个销售部。生产部想要与某个标准机构共享一些它的一部分处理信息(存储在位于其 Windows 2000 或 Windows Server 2003 域中的服务器上)。不过,销售部希望使存储在其域中的服务器上的敏感销售和营销信息对该标准机构保密。(或许,他们的销售业绩好到了那个标准机构想要通过声称其“垄断”来打击他们!)使用单向信任就可以确保销售信息的安全。要为标准机构提供必要的访问,可在生产部门域与标准机构的域之间建立单向信任,由于单向信任是不可传递的,因此仅在所涉及的两个域之间建立了信任关系。此外,由于信任域是生产部门域,因此生产部门域中的用户将无法使用标准机构域中的任何资源。

当然,在上面提到的任一单向信任方案中,都可以使用两个单独的单向信任关系来创建双向信任。
交叉链接信任
交叉链接信任用于提高性能。使用交叉链接信任,可在树或林层级内建立一个虚拟信任验证桥,从而能够更快地进行信任关系确认(或拒绝)。上述说明使您有了大致了解。但要真正理解如何及为什么使用交叉链接信任,首先需要理解 Windows 2000 和 Windows Server 2003 中如何处理域间身份验证。

当 Windows 2000 或 Windows Server 2003 域需要对不属于自己域中的资源验证用户(或以其他方式验证身份验证请求)时,它会以类似的方式对 DNS 查询进行验证。Windows 2000 和 Windows Server 2003 首先确定资源是否位于发出请求的域中。如果资源不在本地域中,域控制器(具体说来,是域控制器上的密钥分发服务 [KDC])会将客户端转交给层级中(上层或下层,视具体情况)的下一个域中的域控制器的引用。下一个域控制器继续执行这种“本地资源”检查,直到到达资源所在的域。(第 8 章对这一转交过程进行了详细说明。)

虽然这种“遍历域树”效果不错,但是虚拟遍历域层级耗费时间,耗费时间就会负面影响查询响应性能。为了便于您理解,请看以下紧急情况:

您在具有两条登机道构成 V 形的机场。登机道 A 位于 V 形的左侧,登机道 B 位于右侧。登机口按一定顺序编号,登机道 A 和登机道 B 的 1 号登机口都接近 V 形的底部(即两个登机道的交汇处),两者的 15 号登机口都位于 V 形的顶端。所有的登机口都连接到 V 形内。您匆忙地来赶飞机,到了登机道 A 的 15 号登机口(位于 V 形的顶端),但此时您想起班机实际上从登机道 B 起飞。您可以透过窗户看到登机道 B 15 号登机口处的班机,但是为了到达该登机口,您必须一直沿登机道 A 走到(跑到)V 形的底部,然后沿登机道 B 小跑到它的 15 号登机口(此时,您已经气喘吁吁了),但到达时刚好看到飞机离您而去。您坐在候机厅里,等待两小时后的下一趟班机,目光扫过 V 形登机道,移到登机道 A,也就是您原以为飞机起飞的位置,这时您突然想到一个好主意:在登机道的两端修建一座天桥,这样像您这样的乘客就能够快速地从登机道 A 的 15 号登机口到达登机道 B 的 15 号登机口。这主意不是很好吗?只有登机道的 15 号登机口之间的客流量很大时,这一想法才可行。

类似地,交叉链接信任可以充当域或树层级中逻辑距离较远,并且两者之间具有大量验证通信量的域之间的身份验证桥。多大的数量可以称为是大量验证通信量?以 Windows 2000 或 Windows Server 2003 域树的两个分支为例。第一个分支由域 A、B、C 和 D 组成。A 是 B 的父级,B 是 C 的父级,C 是 D 的父级。第二个分支由域 A、M、N 和 P 组成。A 是 M 的父级,M 是 N 的父级,N 是 P 的父级。听上去有点复杂,可参见图 3-4 中此结构的图示。

 域层级示例图
图 3-4. 域层级示例

现在假定域 D 中的用户经常(无论出于什么原因)使用域 P 中的资源。当域 D 中的用户想要使用域 P 中的资源时,Windows 2000 和 Windows Server 2003 将解析该请求,方法是遍历一个引用路径,爬回树的根(本例中为域 A),然后沿域树的适当分支遍历,直到到达域 P。如果同时进行这些身份验证,此方法会产生大量的通信量。更好的方法是在域 D 和 P 之间创建一个交叉链接信任,这样,在两个域之间进行身份验证时就无需从域树遍历到根(即树分支开叉的底部域)。结果,就身份验证而言,性能会更好。
第 2 部分涉及以下主题:
管理边界
组织单位
Active Directory 交互
模拟域层级
编录域(目录分区)
分区目录
获得有关其他域中的对象的信息
 
分发目录
复制目录
编录企业(全局编录)
结束语
此信息摘自 Active Directory Services for Microsoft Windows 2000 Technical Reference(《Microsoft Windows 2000 的 Active Directory 服务技术参考》)一书的第 3 章:“Active Directory Services and Windows 2000 Domains”(Active Directory 服务和 Windows 2000 域)。进一步了解 Active Directory Services for Microsoft Windows 2000 Technical Reference(《Microsoft Windows 2000 的 Active Directory 服务技术参考》) (http://support.microsoft.com/?scid=http%3a%2f%2fwww.microsoft.com%2fmspress%2fbooks%2fsampchap%2f3173a.asp)。该书已经过更新,其中包括 Microsoft Windows Server 2003 信息。

更多信息

管理边界

在 Windows 2000 和 Windows Server 2003 中,有一项重大改进,即减少了必须管理的信任关系的数目。不过,还非常需要在管理边界方面进行改进。在 Microsoft Windows NT 4.0 及较低版本中,对于需要能够管理给定 Windows NT 域内的用户或组子集的管理员,必须授予其全面的域管理权限。即使他们的管理权限不应跨越整个域,他们需要的权限也要求授予这种全面的权限。在 Windows 2000 和 Windows Server 2003 中,随着组织单位 (OU) 的出现,情况发生了变化。
Windows 2000 或 Windows Server 2003 域是一个管理边界。管理权限不会流经域边界,也不会通过 Windows 2000 或 Windows Server 2003 域树向下流。例如,如果一个域树包含域 A、B 和 C;其中,A 是 B 的父域,B 是 C 的父域,具有域 A 中的管理权限的用户没有 B 中的管理权限,具有域 B 中的管理权限的用户也没有域 C 中的管理权限。要获得给定域中的管理权限,必须对他们进行更高的授权。但是,这并不意味着管理员不能有多个域中的管理权限,而只表明所有权限必须明确定义。
组织单位
组织单位使管理员能够在域内创建管理边界。利用 OU,管理员可以将管理任务指派给下级管理员,而不授予他们整个域的全面管理权限。

下面举例说明为什么 OU 如此有用。假定,您的组织内的销售团队有自己的网络管理员和资源(如打印机和服务器等),并用自己的预算维护所有这些网络资源。销售团队的网络管理员想要控制销售团队组内的销售资源、策略和其他管理元素。但是,销售团队是企业域的一部分。

如果这是 Windows NT 4 网络,销售团队单位的管理员必须加入到域管理员组中,才能获得管理销售团队单位所需的管理权限。销售管理员获得域管理员组中的这种成员身份后,可以对整个企业域(不仅仅是销售团队单位)进行管理控制。这样的全面管理权限是不妥的,但是,要为销售管理员提供对销售资源和策略的管理控制,只能采用这种办法。

随着 Windows 2000、Windows Server 2003 的使用以及 OU 的出现,情况发生了变化。在 Windows 2000 或 Windows Server 2003 网络中,监控网络的管理员可以在域结构中创建 OU(包括销售团队 OU),从而建立新的和更有限的管理边界。

此解决方案的原理如下:为销售团队单位创建 OU,授予销售管理员仅限于销售团队 OU 的完全管理权限,而不是企业域内任何其他区域的权限。通过创建 OU,可将域管理员组中的成员身份(授予对包括其 OU 在内的整个域的管理权限)限制为仅分配给那些管理职责覆盖整个域的管理员。从而,使网络能够更可靠、更好地运行。

如果您的组织需要在 OU 内包含 OU,该怎么办?可以嵌套 OU 吗?这个问题的答案是肯定的,但是您应当了解一些性能事项。可以嵌套 OU,但是如果深度超过大约 15 个 OU,就会出现性能问题。决定是否嵌套 OU(以及到底是否使用 OU)时还应考虑其他一些问题,这些问题将在第 7 章“Planning an Active Directory Implementation”(规划 Active Directory 实现)中详细讨论。

Active Directory 交互

Active Directory 服务用在何处适合所有这些情况?为什么一定要充分理解域和域结构,才能理解 Active Directory 服务的规划要求?因为 Active Directory 与 Windows 2000 或 Windows Server 2003 部署的域结构密不可分。
模拟域层级
我们已知道,Windows 2000 和 Windows Server 2003 域构成一个域层级,而一个或多个域层级可以构成林。目录作为一个完整的单位,只是林中所有对象的集合。但是,要确保 Active Directory 服务能够扩展以覆盖单个目录中的数百万个对象,还需要一种将目录“拆分”成多个部分的策略,因为直接放置一个巨大的、未分区目录无法很好地扩展。以前的解决方案是将目录分区,使之能够很好地扩展和执行。

Active Directory 分区方案模拟 Windows 2000 或 Windows Server 2003 域层级。这样,Active Directory 服务的分区单位就是域。

模拟域层级能达到以下几个目的:
确保可伸缩性
发挥最大性能
将复制开销降至最少
下一节详细讲述了 Active Directory 分区方案如何模拟域层级,为什么可确保可伸缩性和发挥最大性能,以及这种域结构模拟如何将复制开销降至最少。
编录域(目录分区)
Active Directory 服务的主要目的是为林中的对象创建一个编录。当然,如果编录太大致使使用起来速度慢、不灵活,则编录就没有什么用了。例如,设想只要有一辆校车,您就可以载上所有的朋友搞一次滑雪旅行,但是,试着平行停放这辆车,乘这辆车上山,或者将它停在您的车库里会怎样。较好的一种办法是,使用小车队,每辆小车都可以运送互相住得比较近的滑雪者。这样,可避免上山速度慢,并可以找到停车场周围零星的停车位。最好的办法是,每一辆小车都能满足几个滑雪者回家的需要,把每个人尽快送回家,这要比所有人都乘坐一辆校车回家快得多。

为了与校车作进一步比较,假定您遇到了这样的问题:您有更多热衷滑雪的朋友。如果人太多,一辆校车装不下,在这种情况下,不得不换一辆全新的、更大的同时也比以前更笨重的校车。并且因为邀请的滑雪者较多,旅行结束后,把所有人送回家的时间也更长。通过比较发现,如果使用小车,当邀请更多的朋友时,只需多增加运送车辆;对现有滑雪者来讲,基本上不会带来其他不便,也不会耽搁将滑雪者送回家的时间。Active Directory 服务有助于避免您乘坐超载的校车。它将目录分成几部分,就像小车队一样,其益处本质上与使用小车队类似,但是远远不止这些。
分区目录
为了帮助您描绘出 Active Directory 服务在林中进行分区的方式,现以一个简单林为例说明。图 3-5 阐释了示例林及其单个域树。

A、B、C、D、E 和 F 域层级图
图 3-5. A、B、C、D、E 和 F 域层级

林由图 3-5 中所示的所有域组成。整个目录由林中所有域包含的所有对象组成。但是,为了提高可伸缩性和性能,必须将目录分成多个部分,将其合起来可形成完整的目录。

请记住,在 Windows 2000 和 Windows Server 2003 中,分区单位是域。这样,当我们再来看域层级示例时,可以比较逻辑域层级与目录分区的方式。图 3-6 对域层级与目录编录进行了比较。正如您所看到的,目录只不过是每个域的分区的集合。

 域层级/目录分区方案的关系图
图 3-6. 域层级/目录分区方案的关系

请记住,同一个林中不相邻的树仍可构成一个目录。请不要将树与林相混淆,也不要将企业(林)的边界与林内给定域树(树)的邻接特性相混淆。大多数组织希望能够计划和部署单个树(相当于单个名称空间),并由单个树构成其整个林。这是可预见、管理和维护的最简单的部署。但是,部署并不总是只有一个树,会发生合并,因此,需要记住下列逻辑等式:
一个林 = 一个架构 = 一个目录编录
还要知道,单个域仍可构成一个林。如果您足够幸运,能够明智地将 Windows 2000 或 Windows Server 2003 域结构设计成单个域,就可实现由单个域构成林。那意味着什么?意味着整个目录编录将位于一个未分区的单位中。(域是分区单位,一个域 = 一个分区。)

对目录编录进行分区的最重要的一个优点也许与编录的可伸缩性有关,就向域树中添加域,或者甚至将其他整个域树添加到林中而言,尤为如此。添加域或域树,不会给现有域层级和管理结构增加管理或复制负担。由于对目录进行分区,同时由于任何特定域的每个域控制器都只包含域的专有目录编录信息,因此,当域甚至域树添加到林时,网络性能和可伸缩性都不受影响。如果与同一个林中的域之间建立的可传递信任关系结合,目录编录信息经过这样分区,将使通过 Windows 2000 或 Windows Server 2003 和 Active Directory 服务扩展到非常大的企业部署成为可能。

获得有关其他域中的对象的信息
由于以上讨论的都是对目录编录进行分区,您可能想知道,一个域中的用户如何才能访问来自另一个域分区的信息。毕竟,如果一个域中的域控制器只包含有关其所属域中的对象的信息,当用户需要获得有关另一个域中的对象的信息时,会发生什么情况呢?这个问题问得好,有幸的是,答案也很简单明了:Active Directory 服务使用 DNS 查找和查询来解析查询,就像 Internet 一样。

尽管 Active Directory 服务和 Windows 2000 或 Windows Server 2003 使用 DNS 执行查询服务,但它们都使用特殊服务 (SRV) 资源记录 (RR) 项,将给定 DNS 项指定为域控制器。反之,域控制器又决定它们是否能够解析查询,如果查询涉及其本地域中的对象,就属于这种情况。如果不能,就会将请求转交给以下域控制器:既能自身解析请求,也能将该域控制器指向下一个应进行请求的逻辑服务器。最后,能够解析查询的域控制器被找到(或者干脆找不到),这时,客户端被转交给此服务器,以继续查询过程。

第 6 章“Active Directory Services and DNS”(Active Directory 服务和 DNS)中对 DNS 查询进行了进一步说明。

分发目录
还应弄清楚的另一点是,经分区的目录如何分发,以及它如何与 Windows 2000 或 Windows Server 2003 域模型交互。在 Windows 2000 和 Windows Server 2003 中,给定域中的每一个域控制器都包含此域的一份目录分区副本,使得每个域控制器都能本地解析有关其所属域中的对象的信息查询。

此方法很有意义,因为在很多情况下,用户(或者利用 Active Directory 服务的其他实体)会更多地利用本地域的网络资源,利用远程域中的资源的情况较少。通过将域分区的一份副本分发给域中的每一个域控制器,同时通过让所有这些副本可读写,可以实现以下增强和改进:
提高性能。因为任何域控制器都可以对其所属域中找到的对象执行本地搜索。
增强可伸缩性。因为每一个域控制器都包含目录编录分区的一份可读写主副本。
可伸缩性得到增强的另一个原因是不会让单个计算机承担执行目录的所有更新的任务。
当远程站点或分支办公室是网络拓扑的一部分时,此方法尤其有用。通过在远程站点上放置域控制器(根据定义,它包含目录编录分区的副本),可以在本地解析用户查询。这意味着,可以最大限度地减少也许昂贵或有限的广域网 (WAN) 资源的使用。在远程站点或分校放置域控制器的好处不仅限于节省 WAN 资源,因为在远程站点的局域网 (LAN) 上使用域控制器(及其目录编录分区),查询性能自然也会提高。
复制目录
因为每个域控制器都包含其所属域的 Active Directory 分区的一份可写主副本。一台域控制器上发生更改时,必须有一种办法让更改更新复制到其他域控制器上。将更新后的信息分发到适当的域控制器上的这一过程称为复制。

在 Windows 2000 和 Windows Server 2003 中,复制的单位是域分区。但是,只有属性级的给定对象上的更改才能复制到其他域控制器上,而非全部对象。这样可显著节省复制通信量,并且可随时减少操作所需的网络通信量,解决效果也会更好。

更新优先级通过使用更新顺序号 (USN) 确定。Active Directory 服务不比较对象属性的值,而是使用运行号 USN 来确定是否需要复制;如果需要,则确定需要传递哪些对象属性值。有关 USN 的更多信息,请参阅第 4 章“Active Directory Scalability Architecture”(Active Directory 可伸缩性结构)中的“Replication”(复制)一节。将域作为分区单位的另一个好处是实现了 USN;它将复制通信量(已限于属性更改)限制在发生更改的域范围内。
编录企业(全局编录)
最后,必须采取某种方式使 Active Directory 服务能快速响应用户查询。尽管许多用户查询针对用户所属的域,但仍有许多查询针对域的,而是在整个企业内进行查询。例如,电子邮件名称查询。真正面向企业并充分考虑了性能的目录服务必须能够提供频繁和全局性的查询,结果不会产生过度的网络通信量,也不用通过多个查询转交跳转。答案是目录编录,它包含企业中所有对象的属性的子集。实际上,它必须是全局关注的对象属性的编录。对于 Active Directory 服务,答案是全局编录。全局编录由来自企业中每个对象的选定属性组成,这意味着,来自林中的每个对象的选定属性可供域本地查询使用。就像 Microsoft 在架构中创建一个默认对象集一样,来自每个架构对象的默认属性都被标记为包括在全局编录之内。(您也许从不需要修改这些属性,但是可以对其修改。)大多数对象具有大约 15 种属性,其中大约 7 种被标记为包括在全局编录之内。

全局编录位于每个域的选定域控制器上,为特定于全局搜索的查询提供服务。当用户基于某个对象的属性提交一个全局查询,并且此对象的属性被标记为包括在全局编录之内时,可以由本地域中配置为保留一份全局编录副本的域控制器解析此查询。因为每个域中至少有一个域控制器上存放全局编录,所以可以快速执行和解析指向全局搜索的查询。默认情况下,全局编录中所包含的属性是选定的,因为它们不常改动,而且也应当这样。使用全局编录中的静态信息可以将复制通信量降至最低;毕竟,当某个标记为包括在全局编录中的对象的属性更改时,必须将此更改复制到整个企业内的所有全局编录域控制器上。除了最大限度地减少复制通信量之外,静态信息通常更适于全局搜索。

结束语

Windows 2000 或 Windows Server 2003 域和 Active Directory 服务是同一枚硬币的正反两面;域既是管理边界,也是 Active Directory 服务的分区和复制边界。正如 Windows 2000 或 Windows Server 2003 林是 Windows 2000 和 Windows Server 2003 域的总括组织结构一样,Windows 2000 或 Windows Server 2003 林是 Active Directory 服务的所有对象的总括结构,也是单个架构定义的所有对象所在的框架。简而言之,域结构就是 Active Directory 服务结构。如果不理解 Windows 2000 或 Windows Server 2003 域,就无法理解 Active Directory 服务的操作方式,这就是在本书的这一章及这一部分中反复强调域的原因。

在 Windows 2000 和 Windows Server 2003 中,可以实现可伸缩性。这是因为域不再要求完全的双向信任关系;现在,当 Windows 2000 或 Windows Server 2003 域必须与下级域进行交互,或者必须与林外部的域建立信任时,才隐式创建和增加信任。可实现可伸缩性的另一个原因是:Active Directory 服务的域级分区方案最大限度地减少了添加域的影响,使得 Active Directory 服务可以将网络扩展到和 Internet 一样大的范围。

尽管 Active Directory 服务和 Windows 2000 或 Windows Server 2003 域模型进行了分区,但凭借全局编录可确保 Windows 2000 和 Windows Server 2003 网络环境的内聚性。将选定对象的属性保存在跨越整个企业的编录中,不管查询源自何处,或者目标对象驻留在组织的什么地方,都可以很容易地获取经常需要搜索的对象属性。

当然,直接记住所有 Windows 2000 或 Windows Server 2003 域术语可能会很困难,就像很难清楚地理解为什么首先创建了林、域和 OU 等组织和分层容器。如果考虑 Windows 2000 或 Windows Server 2003 域术语之间松散的关联,以及大型组织如何将此结构应用于其环境,也许会对您有帮助:
企业边界--林
企业边界--树
部门边界--域
部门边界--组织单位
如果您的组织与此不同,怎么办?如果您的组织不是一家企业,或者如果没有部门边界,怎么办?如果您属于这些情况,不要着急;这些松散的关联仅具指导意义,是为了让您了解一个概念,即林、树、域和 OU 如何才能满足类似大型和小型组织的要求和请求。您可能不需要 OU,或者可能只需要一个域(阅读第 7 章“Planning an Active Directory Deployment”(规划 Active Directory 部署)后决定,对吗?)。无论如何,在整个规划、部署和管理过程中,应牢记一个原则:

尽量简单。

即使没有极为复杂的部署计划负担,域、目录和网络本身也足够复杂。使用一个域可行吗?只处理几个 OU 可行吗?当然,可以只使用一个域和几个 OU。在本书的整个第 II 部分,始终提倡简单化,因为只有简单才有效:保持简单化,可以更容易地进行管理、实施并使用户更方便使用。毕竟,这才是目的,不是吗?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值