域和活动目录(下) <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

活动目录地相关概念(二)

7.架构

             AD内的对象和属性是定义在架构内的,架构定义了对于某种对象,用那些属性来描述它及这些属性对应的数据类型,取值范围等信息。
             一个林内的所有域外树使用相同的架构,且Schema  Admins组的用户与应用程序可以在架构内新增对象类或属性。
     8DCAD复制

            AD存储在DC内,当一台DC内的AD数据发生变动后,这些变动的数据会被自动复制到其他DC内。
            AD数据复制有以下两种模式:

        多主机复制:在这种模式中可以直接更新任何一台DC内的AD对象,更新后该对象会被复制到其它DC中。AD的大部分数据都使用多主机复制模式。
        单主机复制:在这种模式中,由其中一台DC(称为“操作主机”)负责处理和接收对象的变更,再由它复制到其他所有的主机中。
9、全局编录

      “全局编录”由DC来实现,该DC不但存储了自身所有对象的详细信息,而且存储了所在域林中其他所有域的所有对象的部分主要信息。  默认情况下为域林的第一台域控制器,也可以另外指定其他DC作为“全局编录”。
10、轻型目录访问协议(LDAP
       是一种用来查询和更新AD目录服务通信协议。Win2003域利用“LDAP命名路径”来表示对象在AD内的位置,以便访问AD内的对象。LDAP名称路径包含以下内容:
1)可分辨名称(DN):它是对象在AD内的完整路径。如:CN=bigshi,OU=清网组,OU=南区,DC=xh.com
2) 相对可分辨名称(RDN):在DN的完整路径中,用来代表某个对象的部分路径。如CN=bigshi
3)全局惟一标识符(GUID):是一个128bit的数值,对于任何一个对象,系统在建立时都会指定一个惟一的GUID给这个对象。对象名称可以改变,但其GUID永远不会改变;
4)用户规则名(UPN):它的格式类似于电子邮件账户。如:[email]bigshi@xh.com[/email].
11.站点:

         是由一个或多个IP子网组成的。
一般若子网之间是通过高速且可靠的链路串接起来,网络之间速度足够快且足够稳定,则可将这些子网放在同一站点。反之,应将这些子网规划为不同站点。
注:站点和域之间没有必然的联系。域是网络的逻辑分组,而站点是网络的物理分组。一个站点可以包含多个域,一个域也可以包含多个站点。
站点和AD复制关系紧密,它通常用于规划AD复制的拓扑:
1、 站内复制:同一站点内的DC的复制是采用“改变通知”的方式,也即当某台DCAD内有数据变动时,默认它会在15秒后通知同一站点内的其他DC,后者若需要,则会请求复制。

注: 1)站内复制数据不会被压缩;
     2)站内复制会自动产生复制拓扑;
     3)默认情况下同一树林内的所有DC均属同一站点,该站点在安装域林中第一台DC时被自动创建。

2、 站间复制:默认情况下不同站点内的DC之间不进行AD复制,但可手工设置。该复制采用“排定计划”的方式,即在排定的时间内才会进行复制的工作。
注:1站间复制的数据不被压缩;
    2)站间复制通过桥头服务器来实现;

    3)站间复制要事先建立站点链接。
  域功能与林功能

    域功能级别

       域功能只会影响到域,会影响到其他的域。分为以下3种级别:

       1、 Windows 2000混合模式   这个级别内的DC可以是win2003、win2000 server与WinNT server. 默认为混合模式;

       2、Windows 2000原始模式   这个级别内的DC可以是Win2003与Win2000;

       3、Windows server 2003     这个级别内的DC只能是win2003

   ● 林功能级别

       林功能会影响到该林内所有域。分为3个级别:

      1、Windows 2000              这个级别内的DC可以是win2003、win2000 serv与WinNT server. 默认为该模式;

      2、Windows server2003过渡版  这个级别内的DC可以是win2003和winNT server,但不可是win2000 server.

      3、Windows server 2003       这个级别内的DC只能是win2003.

 

  目录分区

AD数据库被逻辑地分为多个目录分区,它们分别是:
1、架构目录分区   它存储着整个林中所有对象与属性的定义数据,也存储着如何建立这些对象与属性的规则。整个林共享一份相同的架构分区,它会被复制到整个林中的所有DC
2、 配置目录分区  其内存储着整个AD的结构,如有哪些域、站点、DC等数据。整个林共享一份相同的配置分区,它会被复制到整个林中的所有DC中;
3、 域目录分区    每一个域各有一个域目录分区,其中存储着该域内的对象,如用户、组、计算机等对象。每一个域各自拥有一份域目录分区,它只会被复制到同一个域内的所有DC中,并不会被复制到其他域的DC 中;
4、 应用程序目录分区  一般,该目录分区是由应用程序建立的,其内存储着与此应用程序有关的数据。如:DNS服务器会在AD中建立应用程序分区。

 

  操作主机

     AD内的大部分数据都是利用“多主机复制模式”,但也有少部分数据是采用“单主机操作模式”来复制。此时,就需借助操作主机。
AD内共定义了五个操作主机角色:
1.         架构主机
2.         域命名主机
3.         RID主机
4.         PDC主机
5.         基础结构主机
注:1 整个林中只有一台“架构主机”与“域命名主机”,默认由林根域内的第一台DC扮演;
    2 每一个域拥有自己的“RID主机”、“PDC主机”、“基础结构主机”。
架构主机

1)       架构主机负责更新与修改架构内的对象与属性数据。只有Schema Admins组内的成员,才有权修改架构内的数据;

2)        同一时间内,整个林中只能有一台“架构主机”;

3)        如果架构主机出现故障或离线,可能会影响某些软件的运行。

 

域命名主机

1)   域命名主机负责管理林内的域的添加与删除工作;

2)    同一时间内,整个林中只能有一个“域命名主机”;

3)    域命名主机出现故障或离线,将无法在林内添加或删除域

注: 若“林功能”级别为“windows 2000”,建议将“域命名主机”与“全局编录”设为同一台DC;若“林功能”级别为windows server 2003,两都可不在同一DC上。

           
 RID主机

同一时间内,每一个域内只能有一台DC扮演“RID主机”的角色。它负责:

1) 发放RID  DC添加每个对象时都必须指派一个惟一的安全识别码(SID),对象的SID=域的SID+RID,而RID由“RID操作主机”统一发放;

2) 移动对象  当某DC要将某个对象移到另一域时,系统会移动位于“RID”内的对象,然后通知其他DC该对象已被转移。这样避免了该对象被不同DC重复移到不同域中。

 

PDC模拟主机

   同一个时间内,每一个域内只能有一台DC扮演“PDC模拟主机”的角色。“PDC模拟主机”负责:

1) 支持旧客户端计算机;

2)  减少因为密码复制延迟所造成的问题;

3)  负责整个域时间的同步。

 

基础结构主机

    同一时间内,每一个域内只能有一台DC扮演“基础结构主机”的角色。

如果域内有对象参考到其他的对象时,“基础结构主机”会负责更新这些参考对象的数据,如:本域内有一个组的成员包含另外一个域的用户账户,则当这个用户账户有变动时(例如被删除或移动),“基础结构主机”就负责更新这个组的内容,并将其复制到同一个域内的其他DC。

注: 1)基础结构主机是通过“全局编录”来得到这些参考数据的最新版本,因为“全局编录”会收到由每一个域所复制来的最新变动资料;

2)如果整个林中只有一个域,则“基础结构主机”就没有用了,因没有其他域的对象可供参考;

        3)除非域中只有一台DC,不要将“基础结构主机”与“全局编录”由同一DC来扮演,否则“基础结构主机”的功能无法正常动作。

实践: 1、找到和转移各操作主机的扮演者

1) 架构主机:

A、 安装AD架构(开始运行——regsvr32 schmmgmt.dll)

B、 开始——运行——MMC——文件——添加/删除嵌入式管理单元——确定——AD架构——添加——关闭——确定

C、 打开AD架构控制台——右击“AD架构”——操作主机

2) 域命名主机:AD域与信任

3)  RID主机、PDC主机、基础结构主机:AD用户和计算机