史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   作業系統操作技術文件 (http://forum.slime.com.tw/f128.html)
-   -   Windows 2000活動目錄詳解之結構篇 (http://forum.slime.com.tw/thread99427.html)

psac 2004-03-10 05:59 PM

Windows 2000活動目錄詳解之結構篇
 
在上一篇對活動目錄有個基本瞭解之後下面我就來接觸一下活動目錄實質上的一面——活動目錄的結構。上篇我們講到活動目錄是包括兩方面:目錄和目錄相關的服務。


目錄是存儲各種對象的一個物理上的容器,與我們平常所說的目錄沒什麼區別,目錄管理的基本對象是用戶、電腦、檔案以及列印機等資源。



而目錄服務是使目錄中所有訊息和資源發揮作用的服務,如用戶和資源管理、基於目錄的網路服務、基於網路的應用管理,它才是WIN2K活動目錄的關鍵和精髓所在。


目錄服務是WIN2K網路操作系統的核心支柱,也是中心管理機構,所以目錄服務的引入對整個操作系統帶來了革命性的變化,不僅系統平台上的各基礎模塊,譬如網路安全機制、用戶管理模塊等發生了變化,而且上層應用的運作方式以及開發模式也有了相應的變化。這樣來理解「活動目錄」是不是覺得更加容易?


  同時活動目錄是一個分佈式的目錄服務,因為訊息可以分散在多台不同的電腦上,保證各電腦用戶快速訪問和容錯;同時不管用戶從何處訪問或訊息處在何處,對用戶都提供統一的視圖,使用戶覺得更加容易理解和掌握WIN2K系統的使用。



活動目錄整合了WIN2K服務器的關鍵服務,如域名服務(DNS),消息隊列服務(MSMQ),事務服務(MTS)等。在應用方面活動目錄整合了關鍵應用,如電子郵件、網路管理、ERP等。要理解活動目錄,我們必須從它的邏輯結構和物理結構入手。

  一、活動目錄的邏輯結構


  「邏輯」兩個字相信大家平時見的比較多,如我們常說的「邏輯思維、邏輯分析」等,也許大家一講到「邏輯」兩個字就覺得十分抽像,難以理解。

其實我們在這裡所講的「邏輯結構」,我覺得還是很好理解的,「邏輯」一般與「物理」是對等的,我們知道「物理上的」是指實實在在的,那麼「邏輯上的」不就是指非物理上的,非實體的東西,它是一種抽像的東西,譬如講一種「關係」、一個「空間、範圍」等。


在第一篇我們講過活動目錄的邏輯結構非常靈活,有目錄樹、域、域樹、域林等,這些名字都不是實實在在的一種實體,只是代表了一種關係,一種範圍,如目錄樹就是由同一名字空間上的目錄組成,而域又是由不同的目錄樹組成,同理域樹是由不同的域組成,域林是由多個域樹組成。


它們是一種完全的樹狀、層次結構視圖,這種關係我們可以看成是一種動態關係。邏輯結構還與前面討論過的名字空間有直接關係,邏輯結構為用戶和管理員在一定的名字空間中搜尋、定位對像提供了極大方便。活動目錄中的邏輯單元主要包括:
  1、域、域樹、域林
  域既是WIN2K網路系統的邏輯組織單元,是對像(如電腦、用戶等)的容器,這些對像有相同的安全需求、複製過程和管理,這一點對於網管人員應是相當容易理解的。在WIN2K中域中所有的域控制器都是平等的(這一點與WINNT4.0不一樣,沒有主、副之分),域是安全邊界,域管理員只能管理域的內部,除非其他的域顯式地賦予他管理權限,他才能夠訪問或管理其他的域。


每個域都有自己的安全策略,以及它與其他域的安全信任關係。在這裡就涉及到了不同域之間的信任關係及傳遞關係,下面就具體講一下WIN2K中的域信任關係。


  域與域之間具有一定的信任關係,域信任關係使得一個域中的用戶可由另一域中的域控制器進行驗證,才能使一個域中的用戶訪問另一個域中的資源。

所有域信任關係中只有兩種域:

信任關係域和被信任關係域。

信任關係就是域A信任域B,則域B中的用戶可以通過域A中的域控制器進行身份驗證後訪問域A中的資源,則域A與域B之間的關係就是信任關係。


被信任關係就是被一個域信任的關係,在上面的例子中域B就是被域A信任,域B與域A的關係就是被信任關係。


信任與被信任關係可以是單向的,也可以是雙向的,即域A與域B之間可以單方面的信任關係,也可以是雙方面的信任關係。


而在域中傳遞信任關係不受關係中兩個域的約束,是經父域向上傳遞給域目錄樹中的下一個域,也就是說如果域A信任域B,則域A也就信任域B下面的子域域B1、域B2……,傳遞信任關係總是雙向的:關係中的兩個域互相信任(是指父域與子域之間)。



預設值情況下,域目錄樹或目錄林(目錄林可以看做是同一域中的多個目錄樹組成)中的所有WiIN2K 信任關係都是傳遞的。


通過大大減少需管理的委託關係數量,這將在很大程度上簡化域的管理。

  WIN2K中的域傳遞信任關係一般是系統自動的,但對於相同域目錄樹或林中的WiIN2K域,也可以顯式(手工)地新建傳遞信任關係。

這對於形成交叉鏈接信任關係是非常重要的。

不傳遞信任關係受關係中兩個域的約束,並且不經父域向上傳遞到域目錄樹中的下一個域。必須顯式地新建不傳遞信任關係。預設值情況下,不傳遞信任關係是單向的,儘管也可以通過新建兩個單向信任關係新建一個雙向關係。


所有不屬於相同域目錄樹或林中WiIN2K 域間建立的委託關係都是不傳遞的。


所有WiIN2K域和WINNT域之間的委託關係都是不傳遞的,這一點對於一個企業同時使用WIN2K和WINNT域控制器時應特別注意,當從 WindowsNT昇級到WiIN2K時,所有已現有的WindowsNT信任關係都將保持不變。



在混合模式的網路中,所有WindowsNT信任關係都是不傳遞的。


WiIN2K 域和WINNT域目錄林中的WIN2K域和另一目錄林中的WIIN2K域WIN2K域和MITKerberosV5領域單向單向信任關係是單獨的委託關係。雙向信任關係包括一對單向委託關係,所有傳遞信任關係都是雙向的。為使不傳遞信任關係成為雙向,必須在所涉及的域間新建兩個單向信任關係。



  2、組織單元(OU)


  組織單元(OU)是一個容器對象,它也是活動目錄的邏輯結構的一部分,我們可以把域中的對象組織成邏輯組,它可以幫助我們簡化管理工作。OU可以包含各種對象,譬如用戶賬戶、用戶組、電腦、列印機等,甚至可以包括其他的OU,所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結構。



對於企 業來講,可以按部門把所有的用戶和設備組成一個OU層次結構,也可以按地理位置形成層次結構,還可以按功能和權限分成多個OU層次結構。很明顯,通過組織單元的包容,組織單元具有很清楚的層次結構,這種包容結構可以使管理者把組織單元切入到域中以反應出企業的組織結構並且可以委派任務與授權。



建立包容結構的組織模型能夠幫助我們解決許多問題,同時仍然可以使用大型的域、域樹中每個對象都可以顯示在全局目錄,從而用戶就可以利用一個服務功能輕易地找到某個對象而不管它在域樹結構中的位置。


  由於OU層次結構局限於域的內部,所以一個域中的OU層次結構與另一個域中的OU層次結構沒有任何關係。因為活動目錄中的域可以比NT4的域容納更多對象,所以一個企業有可能只用一個域來構造企業網路,這時候我們就可以使用OU 來對對像進行分組,形成多種管理層次結構,從而極大地簡化網路管理工作。


組織中的不同部門可以成為不同的域,或者一個組織單元,從而採用層次化的命名方法來反映組織結構和進行管理授 權。順著組織結構進行顆粒化的管理授權可以解決很多管理上的頭疼問題,在加強中央管理的同時,又不失機動靈活性。
  WINNT4.0中的很多域都可以成為OU,建立起更大的域和更簡化的域關係,借助全局目錄(GlobalCatalog),用戶和管理員仍然能夠迅速地找到對像和管理對象。 WIN2K可以在現存的WINNT4.0的環境中工作,保護現有的投資。
  二、活動目錄的物理結構
  進制-活動目錄中,物理結構與邏輯結構有很大的不同,它們是彼此獨立的兩個概念。邏輯結構側重於網路資源的管理,而物理結構則側重於網路的配置和優化。活動目錄的物理結構主要著眼於活動目錄訊息的複製和用戶登錄網路時的性能優化。物理結構的兩個重要概念是站點和 域控制器。


  1、站點

  站點是由一個或多個IP子網組成,這些子網通過高速網路設備連接在一起。站點往往由企業的物理位置分佈情況決定,可以依據站點結構配置活動目錄的訪問和複製拓撲關係,這樣能使得網路更有效地連接,並且可使複製策略更合理,用戶登錄更快速, 活動目錄中的站點與域是兩個完全獨立的概念,一個站點中可以有多個域,多個站點也可以位於
同一域中。


  活動目錄站點和服務可以通過使用站點提高大多數配置目錄服務的效率。


可以通過使用活動目錄站點和服務向活動目錄發佈站點的方法提供有關網路物理結構的訊息,活動目錄使用該訊息確定如何複製目錄訊息和處理服務的請求。


電腦站點是根據其在子網或一組已連接好子網中的位置指定的,子網提供一種表示網路分組的簡單方法,這與我們常見的郵政編碼將地址分組類似。


將子網格式化成可方便發送有關網路與目錄連接物理訊息的形式,將電腦置於一個或多個連接好的子網中充分體現了站點所有電腦必須連接良好這一標準,原因是同一子網中電腦的連接情況通常優於網路中任意選取的電腦。使用站點的意義主要在於:


  (1)、提高了驗證過程的效率
  當客戶使用域帳戶登錄時,登錄機制首先搜索與客戶處於同一站點內的域控制器,使用客戶站點內的域控制器首先可以使網路傳輸本地化,加快了身份驗證的速度,提高了驗證過程的效率。
  (2)、平衡了複製頻率
  活動目錄訊息可在站點內部或站點與站點之間進行訊息複製,但由於網路的原因,活動目錄在站點內部複製訊息的頻率高於站點間的複製頻率。這樣做可以平衡對最新目錄訊息需求和可用網路帶寬帶來的限制。您可通過站點鏈接來定制活動目錄如何複製訊息以指定站點的連接方法,活動目錄使用有關站點如何連接的訊息產生連接對像以便提供有效的複製和容錯。

  (3)、可提供有關站點鏈接訊息


  活動目錄可使用站點鏈接訊息費用,鏈接使用次數,鏈接何時可用以及鏈接使用頻度等訊息確定應使用哪個站點來複製訊息,以及何時使用該站點。定制複製計劃使複製在特定時間(諸如網路傳輸空閒時)進行會使複製更為有效。


通常,所有域控制器都可用於站點間訊息的交換,但也可以通過指定橋頭堡服務器優先發送和接收站間複製訊息的方法進一步控制複製行為。


當擁有希望用於站間複製的特定服務器時,寧願建立一個橋頭堡服務器而不使用其他可用服務器。或在配置使用代理服務器時建立一個橋頭堡服務器,用於通過防火牆發送和接收訊息。
  2、域控制器
  域控制器是指執行WIN2KServer版本的服務器,它儲存了活動目錄訊息的副本。域控制器管理目錄訊息的變化,並把這些變化複製到同一個域中的其他域控制器上,使各域控制器上的目錄訊息處於同步。


域控制器也負責用戶的登錄過程以及其他與域有關的操作,譬如身份鑒定、目錄訊息搜尋等一個域可以有多個域控制器。規模較小的域可以只需要兩個域控制器,一個實際使用,另一個用於 容錯性檢查。規模較大的域可以使用多個域控制器。


  WIN2K的域結構與WINNT的域結構不同的是,活動目錄中的域控制器沒有主次之分,活動目錄採用了多主機複製方案,每一個域控制器都有一個可寫入的目錄副本,這為目錄訊息 容錯帶來了無盡的好處。


儘管在某一個時刻,不同的域控制器中的目錄訊息可能有所不同,但一旦 活動目錄中的所有域控制器執行同步操作之後,最新的變化訊息就會一致。

  儘管活動目錄支持多主機複製方案,然而由於複製引起的通信流量以及網路潛在的沖 突,變化的傳播並不一定能夠順利進行。因此有必要在域控制器中指定全局目錄服務器以及操 作主機。


--全局目錄是一個訊息倉庫,包含活動目錄中所有對象的一部分內容,往往是在查詢過 程中訪問最為頻繁的內容。利用這些訊息,可以定位到任何一個對像實際所在的位置,而全局目 錄服務器是一個域控制器,它儲存了全局目錄的一份副本,並執行對全局目錄的查詢操作。


全局 目錄服務器可以提高活動目錄中大範圍內對像檢索的性能,譬如在域林中查詢所有的列印機操 作。如果沒有一個全局目錄服務器,那麼這樣的查詢操作必須要調動域林中每一個域的查詢過 程。


如果域中只有一個域控制器,那麼它


所有時間均為台北時間。現在的時間是 06:07 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2022, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1