Active Directory提供集中组织 管理和控制对网络资源访问的方法 Active Directory命名规范 Distinguished Name: DC=com DC=contoso CN=Users CN=James Smith表示用户对象James Smith在域中 Relative Distinguished Name: 是Distinguished Name的一部分 User
Active Directory提供集中组织
管理和控制对网络资源访问的方法
Active Directory命名规范
Distinguished Name: DC=com
DC=contoso
CN=Users
CN=James Smith表示用户对象James Smith在域中
Relative Distinguished Name: 是Distinguished Name的一部分
User Principal Name: 由用户登录名和域名组成
如
GUID: Active Directory中的每一个对象都有唯一的GUID
Active Directory的逻辑结构
Domain
安全边界
每个域有自己的安全策略 Active Directory复制的单元有Mixed Mode和Native Mode(域控制器都是Win
)
b Organizational Units
用于存放对象的容器
如用户账号
组
计算机等 可容纳对象和其他OU 可按地理或逻辑需要创建OU
Tree
共享连续的命名空间
管理员可在树中任何一个域进行管理
Forest
一组树构成了森林
但不共享连续的命名空间 Trust
Relationship
支持单向
非传递性的和双向
传递性的信任关系 双向信任在Win
中是缺省的
Active Directory的物理结构
Site
一个或多个通过高速连接的IP子网构成了Site Site允许配置目录访问和复制的拓扑结构 创建Site是为了优化复制流量和允许用户更好地访问域控制器
Domain Controller
Active Directory使用多主复制模型
不存在主域控制器
域控制器之间相互复制目录数据
Global Catalog
包含Active Directory中对象属性的子集
最常访问的属性 被存放在Global Catalog中
Active Directory复制组件:
Knowledge Consistency Checker(KCC)
Active Directory通过KCC自动配置域控制器之间的复制连接KCC是域控制器的内建进程
它创建连接以保持复制拓扑的完整性
Server Object
当创建域控制器时
会自动创建一个Server Object
它和域控制器的Computer Object不一样
尽管都指向同一个计算机
Server Object主要用于域控制器的复制和站点管理
Server Object是Site Object的子对象
Site Object应包含域控制 器所在的子网
NTDS Setting Object
包含Connection Object对象的容器
Connection Object
两个Server Object之间复制的一个单向连接可由KCC自动创建或管理员手动创建
在一个站点内复制
当域控制器的对象发生了变化
产生一个Change notification进程
缺省等
分钟后发送消息给复制伙伴
而且复制流量是未压缩的
复制采用的协议 是RPC over IP(remote procedure call)
提供高速
一致的连接性
在多个站点之间复制
通过schedule
interval等值来进行配置
例如
schedule决定什么时候开始复制
而interval决定多长时间间隔域控制器检查改变是否发生
而且
复制流量是被压缩的
压缩比大约为
%
%
复制采用的协议是RPC over IP或 SMTP
但SMTP只能用于不同域的域控制器之间的复制
大多数情况下
采用RPC over IP
连接多个Sites
需要额外的对象
Site links和Site link bridges
Site Links
表示两个Site之间的连接的对象
缺省时创建DefaultIPSiteLink
可以为Site link指定一些Value
Cost
反映连接的带宽
值从
到
值越大表示连接速度 越满
缺省时为
另外
应保证Cost的选择是成比例的
Interval
复制的时间间隔
Schedule
定义什么时候可以复制
缺省时
所用时间段均可
Site Link Bridges
表示一组采用相同复制协议的Site Links
缺省时
所有采用相同复制协议的Site Links属于某个Site Link Bridge
而且在完全路由的网络中
不需手工配置
