軟體 - Win 2k活動目錄套用詳解

[psac]

一、DNS在活動目錄中的套用
　　WIN2K作為一個嶄新的作業系統，它的最大特點就是引入了活動目錄，而活動目錄的一個最大的特點就是把DNS和活動目錄緊密結合在了一起。活動目錄使用域名服務DNS 作為它的定位服務，同時對標準的DNS作了擴充。由於DNS 是使用最為廣泛的定位服務，所以不僅在Internet 上， 甚至在許多企業內部網路中也使用DNS 作為定位服務。在利用WINNT4.0 構建的網路系統中，對每一台主機的唯一標幟訊息是它的NetBIOS名，系統是利用WINS服務、訊息廣播方式及Lmhost文件等多種模式將NetBIOS名解析為相應IP位址，從而實現訊息通訊。在內部網路系統中（也就是通常我們所說的區域網路中），利用NetBIOS名實現訊息通訊是非常方便、快捷的。但是在Internet上對一台主機的唯一標幟訊息是它的FQDN格式的域名（如http://www.163.com），在Internet�...如果WINNT4.0 構建的網路系統同Internet連通，則NT網路中的每一台主機也都有相應域名，其域名的解析是通過WINNT4.0 所支持的DNS 服務來實現的。在WINNT4.0 中組態和實現DNS完全由人為手動式來規劃、設計和實現，由上述可見，在WINNT4.0 網路系統中，每一台主機既有NetBIOS名又由域名，而實際意義基本相同，這在一定程度上增加了網管人員的管理負擔，同時出使整個網路管理顯得更加混亂。
　　
　　在WIN2K的活動目錄中，最基本的服務機構是域（Domain），通過父域和子域的模式將域組織起來形成樹，父域和子域之間是完全雙向的信任關係，且信任關係傳送，其組織結構同DNS系統類似。在活動目錄中命名原則基本按照Internet標準來實現，遵照DNS和LDAP3.0兩種標準，活動目錄中的域和DNS系統中的域採用完全相同的命名方式，即活動目錄中的域名就是DNS域名。那麼在活動目錄中依賴於DNS作為定位服務，實現將名字解析為IP位址。所以當我們利用WIN2K 構建活動目錄時，必須同時安裝組態相應的DNS，無論用戶實現IP位址解析還是登入驗證，都利用DNS在活動目錄中定位伺服器。活動目錄與DNS系統的這種緊密整合，意味著活動目錄同時非常適合於Internet和Intranet環境，這也是微軟新增適用於Internet的網路作業系統的思想的一種體現。企業可以把活動目錄直接連線到Internet以簡化與客戶和合作夥伴之間的訊息通訊。另外WIN2K中的DNS服務允許客戶使用DNS動態更新傳輸協定（RFC 2136）來動態更新資源記錄，通過縮短手動式管理這些相同記錄的時間，提高DNS管理的效能。執行WIN2K的電腦能動態地註冊他們的DNS名稱和IP位址。
　　
　　由於活動目錄與DNS已經整合在一起，因此在WIN2K中NetBIOS名已經逐漸失去意義，與此相對應的WINS服務也處於慢慢被淘汰的程序中。在WINNT中為了有效的發揮WINS的動態特性，我們通常將DNS與WINS 進行整合，這樣能獲得更準確的解析結果。但是，WINS並不是Internet標準傳輸協定，而DNS解決動態維護機器名與IP位址對照表的方案是動態DNS。動態DNS並不需要用到WINS，因為它允許動態分配IP位址的客戶可以直接註冊到DNS伺服器上，即時更新DNS對照表。
　　
　　WIN2K支持動態DNS，執行活動目錄服務的機器可動態地更新DNS表。WIN2K網路中可以不再需要WINS服務，但是WIN2K仍然支持WINS，這是由於向後相容的原因。那麼如果網路系統不再使用WINS，用戶登入到網路時，客戶端機如何找到域控制器呢？這是因為WIN2K在實現DNS時，對標準的DNS進行了增強，在DNS表中增加了一種新的記錄檔案類型SRV記錄，它指向活動目錄的域控制器。所以如果網路系統已經全面昇級到WIN2K，那麼就可以不再使用WINS 服務 了。而在WIN2K中，由於支持動態更新傳輸協定（RFC 2136），這種整合也變得沒有必要了。DNS這個由一系列解釋請求（RFCs）標準組成的在Internet上廣泛採用開放的傳輸協定，已經成為網路技術中的統一的標準化的規範。WIN2K的目標是在Internet和Intranet環境中得到廣泛套用，那麼它的名稱解析模式就應該完全遵守單一的DNS標準。
　　
　　上面主要講了一下DNS在活動目錄中的套用情況，但或許有人要問原來在WINNT4.0中沒有用活動目錄，只用DNS來解析域名，到底活動目錄與DNS之間有什麼區別，它們之間又是如何結合的呢？下面就來具體講一下。
　　
　　1、活動目錄與DNS的區別
　　
　　(1)、儲存於的對象不同
　　
　　DNS和活動目錄的結合是Windows2000伺服器的最主要特點，DNS域和活動目錄域對不同的名字空間使用同一樣的域名。但它們各自儲存於不同的資料，因此管理不同的對象。DNS儲存於它的區域和資源記錄，活動目錄儲存於域和域中的對象。對DNS來說，域名是以DNS的層命名結構為基礎的，是一種倒樹型結構：一個根域，下面的域既是父域又是子域。每一個DNS域中的電腦可以通過完全合格域名（FQDN）進行識別。每一個與英特網連接的WIN2K域都有一個DNS名字，並且每一個WIN2K域中的電腦也都有一個DNS名字。因此，域和電腦即代表活動目錄對象，又代表域節點。
　　
　　(2)、解析所用的資料庫不同
　　
　　DNS是一種名字解析服務，DNS是通過DNS伺服器接受請求查詢DNS資料庫來把域或電腦解析為IP位址的。DNS客戶傳送DNS名字查詢到它們設定的DNS伺服器，DNS伺服器接受請求後或通過本機DNS資料庫解析名字，或查詢英特網上的DNS資料庫，DNS不需要活動目錄就可以起作用。
　　
　　活動目錄是一種目錄服務，活動目錄通過域控制器接受請求查詢活動目錄資料庫來把域對像名字解析為對像記錄。活動目錄用戶是通過LDAP傳輸協定（一種進入目錄服務的傳輸協定）向活動目錄伺服器傳送請求，為了定位活動目錄資料庫，需要借助於DNS，也就是說，活動目錄把DNS作為定位服務，把活動目錄伺服器解析為IP位址，活動目錄不能沒有DNS的說明 。DNS可以獨立於活動目錄，但是活動目錄必須有DNS的說明 才能工作。為了活動目錄能夠正常的工作，DNS伺服器必須支持服務定位（SRV）資源記錄，資源記錄把服務名字映射為提供服務的伺服器名字。活動目錄客戶和域控制器使用SRV資源記錄決定域控制器的IP位址。
　　
　　除了要求WIN2K網路的DNS伺服器支持SRV資源記錄外，微軟還建議DNS伺服器提供對DNS的動態昇級。DNS動態昇級定義了一個DNS伺服器在一定值內自動昇級的傳輸協定，如果沒有此傳輸協定，管理員不得不手動組態域控制器產生的新的記錄。新的WIN2K的 DNS服務既支持SRV資源記錄，又支持動態昇級。如果你選項其它的非WIN2K為基礎的DNS伺服器，那麼你必須證實它支持SRV資源記錄。對於一個合法的支持SRV資源記錄但是不支持動態昇級的DNS伺服器，在你把WIN2K伺服器昇級為域控制器時，必須使它的資源記錄手動昇級。這些可以用Netlogon.dns文件來完成，該檔案是由活動目錄智能安裝嚮導新增的，存在於資料夾％systemroot%\System32\config中。
　　
　　2．兩者的結合方法
　　
　　既然DNS和活動目錄有如此大的區別，那麼它們是怎樣結合在一起的呢？主要有以下幾種途徑：
　　
　　(1)、活動目錄域和DNS域使用一樣的層次結構，
　　
　　雖然功能和目的不一樣，一個組織的DNS名字空間和活動目錄空間有著一樣的結構。
　　
　　(2)、DNS區可以儲存於在活動目錄中
　　
　　如果你使用WIN2K DNS服務，那麼主域可以儲存於在活動目錄中為其它活動目錄域控制器提供複製服務，並且為DNS服務提供增強的安全措施。
　　
　　(3)、活動目錄客戶使用DNS定位域控制器
　　
　　對於一個特定的域，為了定位域控制器，活動目錄客戶向它們設定的DNS伺服器請求資源記錄。當一個公司使用WIN2K伺服器版作為它們的網路作業系統時，活動目錄被認為是註冊的法定DNS名字根域下的一個或多個層次結構的WIN2K域。
　　
　　根據DNS的命名規則，DNS名字的被句點（.）分開的每一部分代表DNS樹型層次結構的一個節點，並且代表WIN2K域樹型層次結構的一個潛在的活動目錄域。DNS的根節點以空白表示（「」），活動目錄名字空間的根節點沒有父域，它提供活動目錄的LDAP進入點。
　　
　　二、站點（Site）在活動目錄中的套用
　　我們在利用WINNT4.0來規劃設計我們的企業網路系統時，要根據企業構建的具體情況設計相應的域模型，如單域、多主域或單主域模型等。我們可以利用這些種類的域模型來規劃企業的網路環境，實現對企業網路的組織、管理和控制。當我們去實現這種網路規劃時，常常要根據企業內部的組織結構形式，作出符合實際需求的規劃設計。如果是一個集團性質的大公司，我們常常需要把某一部門或一些工作關聯性較大的部門設計成一個域，以方便組織和管理。這就給我們設計人員提出了一個很棘手的問題，如果這樣一個域是由地理上分佈在不同位置的電腦通過慢速連接構成的，那麼通過慢速連接的PDC和BDC的訊息同步就會因佔據大量網路流量，影響網路的整體效能，面對這樣一個問題，我們只能束手無策，根本沒有任何控制方法。
　　
　　當我接觸到WIN2K之後，活動目錄的強大功能和人性化設計思想，令我們今後的網路規劃設計更加方便和靈活。而WIN2K活動目錄中Site概念的提出和實現，為管理和控制DC之間的訊息同步提供強大工具，從而有效的解決了我們前面提出的那個曾令我們束手無策的難題。
　　所謂Site,是指在物理上有較好的線路連接的能實現較快通訊速率的電腦的集合，一般是指一個LAN。而Site之間一般是通過慢速連接來實現訊息通訊。可見Site 是對網路上電腦的實際的物理分佈的一種客觀反映。有了Site這個概念之後，我們就可以將一個域中的電腦根據地理位置的分佈分裝在幾個Site之中。在一個Site當中，活動目錄利用複製元件和KCC形成一個DC之間複製同步的雙向的環形，每個DC都有兩個複製夥伴，它們之間形成完全的訊息同步。當一個DC中的目錄資料庫發生變化，它會等待一段時間間隔後向它的複製夥伴傳送變更通知，複製夥伴接到變更通知後，會從發生變化的DC上拷貝目錄資料的變化訊息。同樣複製夥伴還會把變更訊息傳送給它的複製夥伴，從而實現整個Site內的DC的同步。由於Site內採用快速而可靠的網路連接，因此Site內DC之間的複製資料是不壓縮的，這雖然增加了複製訊息的要求的帶寬，但減少了DC的處理資料的負擔。一般情況下Site內DC的訊息同步採用RPC傳輸協定，使資料複製快速、統一，使DC之間保持了較高的資料一致性。

　　 在Site之間一般是通過慢速連接，只有有限的可用帶寬並且資料傳輸不可靠。為了不影響慢速連接線路上的其它資料通訊，以及確保DC間目錄複製的可靠性，Site間的DC的複製不採用Site內DC間複製的變更通知方式，而是採用複製調度的方式。在Site之間可以設定一個時間表和時間間隔，時間表決定在哪些時間允許複製發生，時間間隔指定在允許複製的時間內DC多久檢查一次資料變更。這樣我們就可以將Site間DC複製同步的時間表設定在網路流量較少的時候（比如午夜）。這時網路不擁擠相對而言也較可靠。而且在Site間DC的目錄複製採用壓縮的方法，複製訊息可以被壓縮至10%到15%，這樣可以有效地最佳化網路帶寬。

　　 可見，我們通過合理地規劃活動目錄上的Site，可以有效地控制活動目錄中DC的同步，最佳化網路帶寬，提高網路效能。由於在WIN2K的活動目錄中，DC之間的同步不但涉及一個域內DC之間大量資料的同步，同時不同域的DC之間也有少量訊息需要同步。當我們用Site來實現活動目錄中DC之間的複製佈局時可以借助於 Site link 和Site link Bridge兩種設定來說明 我們實現，從而形成一個更合理、更有效、更可靠的活動目錄中DC的複製佈局，最大限度最佳化我們的網路系統。

三、LDAP在活動目錄中的套用

　　 LDAP的英文全稱是Lightweight Directory Access Protocol，簡稱為LDAP。它是關於X.500標準的，但是又比它簡單許多，並且可以根據需要設定的一種目錄服務傳輸協定。與X.500不同，LDAP支持TCP/IP，這對訪問Internet是必須的。LDAP的核心規範在RFC中都有定義，所有與LDAP相關的RFC都可以在LDAPman RFC網頁中找到。

　　 目錄服務的工作模型是客戶端機/伺服器模型。1988年，CCITT組織首先新增了X.500標準全面描述了這一模型，包括目錄伺服器的目錄結構、命名方法、搜尋機制以及用於客戶端機與伺服器通信的傳輸協定DAP（Directory Access Protocol）。此標準很快被ISO組織引用，編號為ISO 9594。但是，在實際套用的程序中，X.500存在著不少障礙。由於DAP這種套用層的傳輸協定是嚴格遵照複雜的ISO七層傳輸協定模型制定的，對相關層傳輸協定環境要求過多，在許多小系統上無法使用，TCP/IP傳輸協定體系的普及更使這種傳輸協定越來越不適應需要。在這種情況下，DAP的簡化版棗LDAP應運而生。早期設計的LDAP伺服器不是獨立的目錄伺服器，主要扮演LDAP客戶端機與X.500伺服器間網路閘道的角色，既是LDAP的伺服器又是X.500的客戶端機。如今的LDAP伺服器可取代X.500伺服器而獨立提供服務。
　　 LDAP伺服器的目錄組織以「 列項」為基本服務機構，結構類似樹形，每一個 列項即是樹上的一個分枝節點或葉子。一個 列項由多個「內容」組成，每個內容又由一個「檔案類型」和一到多個「值」組成。LDAP傳輸協定直接關於面向連接的TCP傳輸協定實現，定義了LDAP客戶端機和LDAP伺服器間的通信程序和訊息格式。LDAP伺服器在服務連接阜（預設連接阜號為389）監聽，收到客戶端機的請求後，建立連接，開始會話。活動目錄與DNS傳輸協定的結合的意義在於使內部網與外部網命名方式保持一致，這樣便於整個網路的管理。LDAP傳輸協定是用於查詢和檢索活動目錄訊息的目錄訪問傳輸協定。由於它是關於工業標準的目錄服務傳輸協定，使用 LDAP 的程序可以發展成與其他目錄服務共享活動目錄訊息，這些目錄服務同樣支持LDAP。活動目錄訊息活 動目錄使用LDAP 目錄訪問傳輸協定作為它與其他套用或者目錄服務交換訊息的手段。LDAP 已經成為 目錄服務的標準，它比X.500 DAP 傳輸協定更為簡單實用一些。Microsoft 已經在Exchange Server 系統中提供了LDAP v2 和LDAP v3 的支持， 在WIN2K 的活動目錄服 務中將提供更為全面的支持。

　　 值得一提的是LDAP 傳輸協定中採用的命名格式， 因為我們需要通過名字訊息訪問目錄對象，所以名字格式對於用戶或者應用程式非常重要。活動目錄支持大多數的名字格式檔案類型。較為常用的格式有以下兩種：
　　（1） RFC822 命 名 法

這種命名法的標準格式為：object_name@domain_name，形式非常類似於電子郵件位址，比如Myname@mydomain.com。活動目錄為所有的用戶提供了這種式的好名字，所以用戶可以直接使用該友好名字當作電子郵件位址，也可以用作登入系統時的賬戶名。

　　 （2） LDAP URL 和X.500 名 字

　　 任何一個支持LDAP 的客戶都可以利用LDAP名通過LDAP 傳輸協定訪問活動目錄，LDAP 名不像普通的Internet URL 名字那麼直觀，但是LDAP 名往往隱藏在 套用系統的內部，最終用戶很少直接使用LDAP 名。LDAP 名使用X.500 命名規 范，也稱為內容化命名法，包括活動目錄服務所在的伺服器以及對象的內容訊息。