企業大型網絡的一片冰心(ICE)
Windows 2000系列談之三
進入到1999年,網絡系統中的目錄服務逐漸深入人心。與傳統的大型主機的模式相比,客戶機/服務器的模式更加優越,因為在這一模式下,網絡管理員和用戶具有了更大的靈活性,有了更好的擴展性,和更加廣泛的應用軟件選擇性。但是客戶機/服務器模式的靈活性,也有一定的弊病,比如用戶經常性地在網絡中迷失自己,找不到諸如打印機之類的網絡資源;網絡管理員也沒有一個統一的網絡資源管理方法,往往充當救火員的角色,宏觀的疏導和配置能力不夠。
微軟在Windows NT Server 4.0中就已經貫徹了目錄服務的思想。NT的"域(domain )"的概念是目錄服務的一個基本單元。"一次登錄,Single Logon"在Windows NT Server 的環境下有了具體的應用,比如Internet Information Server、Exchange Serv er、SQL Server等都可以與Windows NT Server的賬號驗證集成起來,用戶一次登錄就可以獲得Web、Email和數據庫等多種多樣的網絡服務。
Windows 2000 Server在Windows NT Server 4.0的基礎上,進一步發展了"活動目錄(Active Directory)"。活動目錄充分體現了微軟產品的"ICE",即集成性(Inte gration),深入性(Comprehensive),和易用性(Ease of Use)等優點。活動目錄是一個完全可擴展,可伸縮的目錄服務,既能滿足商業ISP的需要,又能滿足企業內部網和外聯網的需要。
活動目錄的由來
活動目錄是從一個數據存儲開始的。它采用的是Exchange Server的數據存儲,稱為:Extens ible Storage Service (ESS)。其特點是不需要事先定義數據庫的參數,可以做到動態地增長,性能非常優良。這個數據存儲之上已建立索引的,可以方便快速地搜索和定位。活動目錄的分區是"域(Domain)",一個域可以存儲上百萬的對象。域之間還有層次關系,可以建立域樹和域森林,無限地擴展。
在數據存儲之上,微軟建立了一個對象模型,以構成活動目錄。這一對象模型對LDAP有純粹的支持,還可以管理和修改Schema。Schema包括了在活動目錄中的計算機、用戶和打印機等所有對象的定義,其本身也是活動目錄的內容之一,在整個域森林中是唯一的。通過修改Schema的工具,用戶或開發人員可以自己定義特殊的類和屬性,來創建所需要的對象和對象屬性。
活動目錄包括兩個方面:一個目錄和與目錄相關的服務。目錄是存儲各種對象的一個物理上的容器;而目錄服務是使目錄中所有信息和資源發揮作用的服務。活動目錄是一個分布式的目錄服務。信息可以分散在多台不同的計算機上,保證快速訪問和容錯;同時不管用戶從何處訪問或信息處在何處,都對用戶提供統一的視圖。
活動目錄的集成性(Integration)
微軟的活動目錄生動了結合了三個方面的管理內容:用戶和資源管理、基於目錄的網絡服務,和基於網絡的應用管理。而且活動目錄廣泛地采納了Internet標准,把眾多的Internet服務都集成在一起,提供了革命性的價值。
目錄管理的基本對象是用戶和計算機,還包括文件、打印機等資源。舉例來說,用戶對象的屬性非常豐富,不但有常見的賬號名、口令等,還包括郵件信箱和個人主頁地址、在公司中的職位關系等,可以在活動目錄中右鍵點擊用戶對象發送郵件和訪問其個人主頁等。其職位關系可以在公司的內部網上有Web組織結構圖的方式動態地顯示出來,也可以為內部采購、費用報銷等應用程序利用來實施業務邏輯。在活動目錄中,支持全局性的查找,比如查找在整個網絡中的雙面打印的彩色打印機等。
活動目錄徹底地采用了Internet標准協議,比如用戶賬號可以用
[email protected]或[email protected]的快捷方式來表征,來登錄網絡等。在此bj.yourcom.com和yourcom.com就是兩個不同的域。但是這兩個域之間有信任關系,因為y ourcom.com是一個根域,bj.yourcom.com是一個子域。子域之下還可以有子域,比如sales. bj.yourcom.com,相互之間都是可傳遞的信任關系,構成一棵域樹。如果你的公司兼並了一家其他的公司,你的域樹可以和它們的域樹hiscom.com建立起整個的域森林來。DNS (domain name servic e)在此充當了名字解析的功能,我們建議使用與活動目錄集成的DNS Server,來保證動態更新域名和更好的復制能力。整個域森林的所有對象,只要安全性管理許可,都可以用LDAP協議訪問到。
在當今的Internet時代,微軟活動目錄這種基於Internet標准的做法,給用戶帶來了幾乎無窮盡的益處。活動目錄集成了關鍵服務,如DNS、MSMQ(消息隊列服務);集成了關鍵應用,如電子郵件、網管、ERP等;集成了關鍵數據訪問,如ADSI、OLE DB等;還集成了關鍵的安全性,如Kerberos第五版本和公開密鑰基礎設施等。
基於活動目錄的網絡基礎設施服務(Directory-Enabled Networking, DEN)是微軟和思科公司共同提出來的,旨在提高網絡可管理性和提高網絡服務質量的倡議。在Windows 2000活動目錄中,可以做到根據不同的用戶或應用分配網絡帶寬等高級的網絡管理任務,以及支持ATM網絡和QoS協議等。
基於活動目錄的應用服務(Directory-Enabled Application)是在Windows 2000平台上的新一代的應用程序。應用開發員可以擴展活動目錄的Schema 和 UI,通過ADSI/ADO編程,在活動目錄中發布service 綁定信息,通過Group Policy配置應用程序,進行Just In Ti me應用下載和應用改變的自動通知等。比較典型的一個基於目錄的應用的例子,是NetMeeting。在活動目錄的環境中,你只要在NetMeeting中敲入同事的Email別名,就可以通過活動目錄中的定位服務,與其進行對話和桌面協作等,非常方便。
活動目錄的深入性(Comprehensive)
活動目錄的深入性體現在企業級的可伸縮性,安全性,互操作性,編程能力和升級能力上。活動目錄既可以存儲極少的幾個對象,也可以存儲上億萬的對象。活動目錄通過為每個域創建一個目錄存儲的方法來獲得伸縮性。這一個目錄存儲中僅僅包括了這個域中的所有對象。當域樹建立起來之後,每個域有能力搜索整個域樹中所有的目錄存儲。這種劃分整個域樹的方法,使用戶所需要的信息離用戶最近,響應最好。域的目錄存儲還可以有很多的副本,副本之間自動地做同步,進一步提高響應速度和服務可獲得性。
這種域樹和域森林的方法,幫助活動目錄使用容器層次來模擬一個企業的組織結構。組織中的不同部門可以成為不同的域,或者一個域中有層次結構的組織單元(Organizational Unit, OU),從而采用層次化的命名方法來反映組織結構和進行管理授權。順著組織結構進行顆粒化的管理授權可以解決很多管理上的頭疼問題,在加強中央管理的同時,又不失機動靈活性。
Windows NT 4.0中的很多域都可以成為OU,建立起更大的域和更簡化的域關系,借助全局目錄(G lobal Catalog) ,用戶和管理員仍然能夠迅速地找到對象和管理對象。Windows 2000可以在現存的Windows NT 4.0的環境中工作,保護現有的投資;微軟也提供一系列的工具幫助4.0的用戶遷移到Wi ndows 2000的目錄環境中。微軟提供Directory Connector使活動目錄與Exchange Server 5.5、NDS的目錄服務同步,並且Exchange 6.0干脆就采用了Windows 2000作其目錄服務。
在活動目錄中,目錄存儲只有一種形式,即域控制器(Domain Controller),包括了完整的域目錄的信息,不再有主域控制器和備份域控制器的區別。所有的域控制器在用戶訪問和提供服務方面都是相同的。它們之間的同步是采用了一種先進的多主復制的技術,稱為Update Sequence Numbers (USN)。每個服務器跟蹤其復制伙伴的最新USN列表,保證及時更新並且更新不會有沖突或相互覆蓋等。
Windows 2000的安全性服務(如Kerberos,PKI和智能卡等)和活動目錄緊密結合。活動目錄存儲了域安全政策的信息,比如域口令的限制政策、系統訪問權限等,實施了基於對象的安全模型和訪問控制機制。在活動目錄中的每個對象都有一個獨有的安全性描述,定義了浏覽或更新對象屬性所需要的訪問權限。但是,當LDAP客戶端訪問活動目錄時,操作系統會實施訪問安全控制,而不是由活動目錄來決定訪問控制的。Windows 2000 安全性和活動目錄相輔相成,可以共同完成任務和協同管理。
活動目錄的易用性(Ease of Use)
一個功能強大的目錄服務如果不能易於使用,也不是一個好的目錄服務。活動目錄的易用性,也是Windows 2000整體Simplicity的一個體現。微軟始終抱著這樣的信仰:必須是大家樂於使用易於使用的技術,才是真正的好技術。因此,微軟的活動目錄也在此下了很大的功夫。
先說一下活動目錄的安裝。Windows NT Server 4.0的用戶可能不習慣Windows 20 00 Server的做法:所有的新安裝都是安裝成為Member Server,目錄服務都需要事後用Dcprom o的命令特別安裝。目錄服務還可以卸載,而不用象在安裝Windows NT 4.0那樣,一開始就要定終身:區分域控制器還是Member Server,兩者之間不可轉換。
Dcpromo是一個圖形化的向導程序,引導用戶一步一步地建立域控制器,可以新建一個域森林,一棵域樹,或者僅僅是域控制器的另一個備份,非常方便。很多其他的網絡服務,比如DNS Server、DHCP Server和 Certificate Server等,都可以在以後與活動目錄集成安裝,便於實施策略管理等。
在活動目錄安裝之後,主要有三個活動目錄的微軟管理界面(MMC),一個是活動目錄用戶和計算機管理,主要用於實施對域的管理;一個是活動目錄的域和域信任關系的管理,主要用於管理多域的關系;還有一個是活動目錄的站點管理,可以把域控制器置於不同的站點。一般局域網的范圍內,為一個站點,站點內的域控制器之間的復制是自動進行的;站點間的域控制器之間的復制,需要管理員設定,以優化復制流量,提高可伸縮性。從活動目錄管理界面,還可以對SDOU(站點、域和組織單元的統稱)右鍵點擊,啟動組策略(Group Policy)的管理界面,實施對對象的細致管理。
對於SDOU,管理員還可以方便地進行管理授權。右鍵點擊SDOU就可以啟動"管理授權向導",一步一步地設定哪些管理員對於哪些對象有什麼樣的管理權限。比如說企業內部技術支持中心的管理員,只有復位用戶口令的權限,沒有創建和刪除用戶賬號的權限。這種更細致的管理方法,成為"顆粒化"。
另外,活動目錄還充分地考慮到了備份和恢復目錄服務的需要。Windows 2000備份工具中有專門備份活動目錄的選項,在出現意外事故的時候,可以在機器啟動時按F8進入安全模式,來進行目錄服務的恢復,保證減少災難的惡性影響。
結束語:尋找中國企業的大型網絡通過我上述的介紹,相信您對於活動目錄的出色之處已經有了一個初步的了解。作為產品經理,我們目前的一個工作是在找尋我國企業用戶的大型網絡。因為要發揮活動目錄的企業級性能,需要有使用大型網絡進行關鍵業務的用戶,只有他們才能在實踐中體會活動目錄的優勢。
也經常有人向我詢問活動目錄和NDS的比較情況。活動目錄的集成性、深入性和易用性(ICE),是NDS整體上不能望其項背,比如NDS缺乏對DNS命名、純粹LDAP訪問、新的安全性機制的支持,有全局目錄過於分離等設計缺陷。正如古人所說:一片冰心(ICE)在玉壺,用戶自然有判斷。
