第 1 部分涉及以下主題:
- 域層級
- Windows 2000 和 Windows Server 2003 域
- 信任關系
第 2 部分涉及以下主題:
- 管理邊界
- Active Directory 交互
- 模擬域層級
- 編錄域(目錄分區)
- 分區目錄
- 獲取有關其他域中的對象的信息
- 編錄企業(全局編錄)
- 結束語
此信息摘自 Active Directory Services for Microsoft Windows 2000 Technical Reference (《Microsoft Windows 2000 的 Active Directory 服務技術參考》)一書的第 3 章:Active Directory Services and Windows 2000 Domains(Active Directory 服務和 Windows 2000 域)。進一步了解 Active Directory Services for Microsoft Windows 2000 Technical Reference(《Microsoft Windows 2000 的 Active Directory 服務技術參考》) 。該書已得到更新,以包含有關 Microsoft Windows Server 2003 的信息。
Microsoft Windows 2000 或 Windows Server 2003 域結構及其相關聯的對象與它們的 Windows NT 4 前身有顯著的不同,反映了 Active Directory 服務在 Windows 2000 或 Windows Server 2003 中的核心角色,以及使其成為可伸縮、面向企業的目錄服務的設計要求。其中有些方面的改動很明顯,如轉為采用可傳遞信任關系模型;而有些方面則改動很小,如引入組織單位。無論改動是否明顯,要理解 Windows 2000 或 Windows Server 2003 域與 Active Directory 服務之間的交互及依賴關系,對它們進行說明都是極其重要的。Active Directory 模擬 Windows 2000 和 Windows Server 2003 域模型;反之亦然(如果您要反過來看的話)。無論如何,Windows 2000 或 Windows Server 2003 域和 Active Directory 都互相依賴,甚至由對方的特性定義。要理解 Windows 2000 或 Windows Server 2003 域和 Active Directory 服務之間這種密不可分的關系,就需要說明 Windows 2000 或 Windows Server 2003 域模型,以及它與 Active Directory 服務交互的方式。因此,本章將首先講述 Windows 2000 和 Windows Server 2003 域模型,並探討該模型為何與 Windows NT 域模型大相徑庭。
Windows NT 4 域的伸縮性不好。雖然有很多粉飾這一事實的辯解,但簡單的事實擺在面前:Windows NT 4 域模型采用單向非傳遞信任,在大型企業中實現需要大量管理開銷。Windows 2000 或 Windows Server 2003 及其域模型就不存在這一缺陷,主要是因為采用了新的信任方法,但也因為整個域概念得到了改進,以符合輕量目錄訪問協議 (LDAP) 和域名服務 (DNS) 等行業標准。
域層級
在 Windows 2000 和 Windows Server 2003 網絡中,用層級組織域。通過域采用這種新的層級方式,就誕生了林和樹的概念。這些新概念,加上現有的域概念,可幫助組織更高效地管理 Windows 2000 和 Windows Server 2003 網絡結構。
域
Windows 2000 和 Windows Server 2003 域模型的基本單位未變,仍舊是域。域是一種管理邊界,在 Windows 2000 和 Windows Server 2003 中,域代表與 DNS 域對應的名稱空間(將在第 4 章中討論)。有關 Active Directory 服務如何與 DNS 交互的更多信息,請參閱第 6 章“Active Directory Services and DNS”(Active Directory 服務和 DNS)。
Windows 2000 或 Windows Server 2003 部署中創建的第一個域稱為根域,顧名思義,它是域樹中創建的所有其他域的根。(域樹將在下一節講述。)由於 Windows 2000 和 Windows Server 2003 域的結構與 DNS 域層級有緊密聯系,因此 Windows 2000 和 Windows Server 2003 域與我們所熟悉的 DNS 域層級的結構類似。根域是類似於 microsoft.com 或 iseminger.com 這樣的域;它們是其 DNS 層級的根,也是 Windows 2000 和 Windows Server 2003 域結構的根。
給定的 Windows 2000 和 Windows Server 2003 域層級中後續創建的域將成為根域的子域。例如,如果 msdn 是 microsoft.com 的子域,msdn 域將成為 msdn.microsoft.com。
正如您所看到的,Windows 2000 和 Windows Server 2003 要求域不是層級中的根域,就是子域。Windows 2000 和 Windows Server 2003 還要求在給定的父級域中,域名是唯一的;例如,根域 microsoft.com 不能有兩個名為 msdn 的直接子域。但是,在整個域層級中,可以有兩個名為 msdn 的域。例如,可以有 msdn.microsoft.com 和 msdn.devprods.microsoft.com;microsoft.com 名稱空間只有一個名為 msdn 的子域,而 devprods.microsoft.com 名稱空間也只有一個名為 msdn 的子域。
域背後的概念是邏輯分區。大多數組織規模大到需要多個 Windows 2000 或 Windows Server 2003 域時,都具有區分職能或工作重點的邏輯結構。通過將組織劃分為多個單位(在美國企業中,有時成為部門),可以更容易地對組織進行管理。實際上,對組織被進行分區是為了提供更符合邏輯的結構,使得在組織的不同部門之間分配工作成為可能。換個角度看,當邏輯業務單位(部門)合並在一個更大實體(可能是一個企業)的保護傘下時,這些在邏輯上不同的部門就構建了一個更大的實體。雖然不同部門中的工作可能互相獨立且互不相同,但是這些部門總體上構成了一個更大但邏輯周密的實體。在將 Windows 2000 和 Windows Server 2003 域組合為一個更大的連續名稱空間實體(稱為樹)時,這一概念也適用。
樹
樹有時也稱為域樹,是 Windows 2000 和 Windows Server 2003 域的集合,構成了連續名稱空間。在創建子域並將其與給定的根域相關聯的同時,構建了域樹。就技術定義來說,樹是一個連續的 DNS 命名層級;從概念圖看,域樹的外觀類似於倒置樹(根域位於頂部),分支(子域)在下方展開。
通過創建域樹,組織能夠在自己的組織內部創建一個域的邏輯結構,並使域符合並反映 DNS 名稱空間。例如,David Iseminger 和 Company 可以有一個名為 micromingers.iseminger.com 的 DNS 域,並且公司內部可能有多個邏輯部門,如銷售、財會、生產等部門。這種情況下,域樹的外觀為如圖 3-1 中所示。
圖 3-1. micromingers.iseminger.com 的域樹
注意 :閱讀到此處,您可能會注意到處都有 iseminger.com 的字眼。這不是因為作者的意圖,而是出於出版商所堅持的法律方面的考慮。“請不要使用可能會引起爭議的域”,出版商說,“請只使用作者所有的域,或者沒有實際意義的域。”作者的網址為 www.iseminger.com,所以只好在本書中到處使用這個域名。我有一些更新穎的名稱,但是沒辦法,還是不要招惹律師為好。
這種公司內的邏輯部門組織非常適用於有一個 DNS 域的公司,但是對於有多個“公司”的大型企業來說,可能需要解決多個公司問題。這一問題可以通過使用 Windows 2000 和 Windows Server 2003 林得到解決。
林
有些組織可能有多個根域,如 iseminger.com 和 microsoft.com 等;但該組織本身是一個單個實體,如本例中虛構的 David Iseminger 和 Company。這種情況下,這些多個域樹可以構成一個非連續的名稱空間,稱為林。林是構成給定的企業的一個或多個連續的域樹層級。邏輯上講,這也意味著其域樹中僅有一個域的組織也可以被看作一個林。在本章後面討論 Active Directory 與 Windows 2000 或 Windows Server 2003 域和林交互的方式時,這種區分將更為重要。
林模型使得未構成連續名稱空間的組織能夠在其合並的域結構中維護組織范圍的連續性。例如,如果 David Iseminger 和 Company(即 iseminger.com)能夠共同融資購買另一家稱為 Microsoft 且擁有自己的目錄結構的公司,這兩個實體的域結構將可以合並到一個林中。使用單個林有三個主要優點。首先,信任關系的管理更易管理(使一個域樹中的用戶能夠訪問另一個樹中的資源)。其次,全局編錄集合了整個林的對象信息,這使得整個企業搜索成為可能。第三,Active Directory 架構適用於整個林。(有關架構的技術信息,請參閱第 10 章。)圖 3-2 闡述了 iseminger.com 和 Microsoft 域結構的合並,它們的根域之間有一條連線,表明它們之間存在 Kerberos 信任並建立了林。(第 8 章將詳細講述 Kerberos 協議。)
雖然一個林可以包含多個域樹,但是它代表一個企業。通過創建林,所有的成員域都可以共享信息(通過使用全局編錄)。您可能想問:如何建立林內的域樹,使得整個企業(由林表示)能夠作為一個單位運作。這個問題問得好,下面將通過講述信任關系來盡量回答這個問題。
信任關系
Windows NT 4 域和 Windows 2000 或 Windows Server 2003 域之間最重要的區別可能就是:同一個組織的域之間信任關系的應用和配置。Windows 2000 和 Windows Server 2003 中沒有像 Windows NT 4 中那樣建立單向信任網,而是實現了可以在整個(新)域樹結構中上下流動的可傳遞信任。這一模型簡化了 Windows 網絡的管理,我將通過一個數字示例來進行闡述。下面的兩個等式(注意:以下等式僅供說明,不用記)舉例說明了每一方法所產生的管理開銷;等式表示每個域信任方法所需要的信任關系的數量,其中 n 表示域的數目:
Windows NT 4 域--( n * ( n -1))
Windows 2000 或 Windows Server 2003 域--( n -1)
僅用於演示,我們以一個有幾個域的網絡為例,來對以下不同的域模型方法進行比較。(假定網絡中有 5 個域,即以下公式中 n = 5。)
Windows NT 4 域:(5 * (5-1)) = 20 個信任關系
Windows 2000 或 Windows Server 2003 域:(5 - 1) = 4 個信任關系
圖 3-2. Iseminger.com 和 Microsoft 的域樹的合並
必須管理的信任關系數量之間有顯著的差異,但這甚至不是新的域方法最主要的優點。對於 Windows 2000 和 Windows Server 2003 域,默認情況下會創建和實現信任。管理員僅只需安裝域控制器,就可以使用信任了。信任關系的自動創建基於以下事實:即 Windows 2000 和 Windows Server 2003 域(與 Windows NT 4 域不同)通過層級形式創建;也就是說,在給定的域樹中,只有一個根域和若干子域。這就使得 Windows 2000 和 Windows Server 2003 能夠自動了解給定域樹中包含哪些域,以及根域之間何時建立了信任關系;還能夠自動了解林中包含哪些域樹。
與此相反,在 Windows NT 域之間,管理員必須創建(並隨後管理)信任關系,並且他們必須記住信任關系的流向(以及對任一域中的用戶權限的影響)。區別非常明顯:管理開銷被削減為很小的一部分,而這樣的信任的實現也更為直觀,所有這些優點都是因為采用了新的信任模型以及域和域樹的層級方法。
在 Windows 2000 和 Windows Server 2003 中,有三種類型的信任關系,分別滿足域結構中的某一需要。向 Windows 2000 和 Windows Server 2003 域提供的信任關系如下:
可傳遞信任
可傳遞信任在兩個域之間建立一種信任關系,這種信任關系可以流動到其他域,例如,如果域 A 信任域 B,域 B 信任 C,則域 A 必然信任域 C,反之亦然,如圖 3-3 所示。
圖 3-3. 三個域之間的可傳遞信任
由於不再需要管理單向非傳遞信任網,因此可傳遞信任可以極大地減少有關維護域之間的信任關系的管理開銷。在 Windows 2000 和 Windows Server 2003 中,每當在域樹中創建新域時,都會自動建立父級和子級域之間的可傳遞信任關系。可傳遞信任限於 Windows 2000 或 Windows Server 2003 域,並僅限於同一域樹或林中的域;不能與低級(Windows NT 4 和更早版本)域建立可傳遞信任關系,不能在位於不同林中的兩個 Windows 2000 或兩個 Windows Server 2003 域之間建立可傳遞信任。
單向信任
單向信任不可傳遞,因此它們僅可以定義所涉及的域之間的信任關系,並且這些域不是雙向的。不過,您可以創建兩個單獨的單向信任關系(一個方向一個)來創建雙向信任關系,就像在純 Windows NT 4 環境中一樣。不過,請注意,即使是可互換的單向信任也不能等效於可傳遞信任;單向信任中的信任關系僅在所涉及的兩個域之間有效。Windows 2000 和 Windows Server 2003 中的單向信任與 Windows NT 4 中的單向信任完全相同,在有些情況下,Windows 2000 或 Windows Server 2003 中會使用單向信任。下面介紹了其中幾種最常見的情況。
首先,單向信任常用於必須與低級域(如 Windows NT 4 域)建立新的信任關系的情況。由於低級域不能加入 Windows 2000 和 Windows Server 2003 可傳遞信任環境(如樹或林),因此必須建立單向信任,才能在 Windows 2000 或 Windows Server 2003 域與低級 Windows NT 域之間產生信任關系。
注意 :這種單向信任情形不適用於遷移過程(如將現有的 Windows NT 4 域模型升級到 Windows 2000 或 Windows Server 2003 域/樹/林模型)。在從 Windows NT 4 升級到 Windows 2000 或 Windows Server 2003 的整個過程中,您所建立的信任關系在遷移過程接近結束,即直到所有的域都為 Windows 2000 或 Windows Server 2003 並且建立了可傳遞信任環境時,才會得到實現。有關遷移過程的更詳細說明,請見第 11 章“Migrating to Active Directory Services”(遷移到 Active Directory 服務)。
其次,如果必須在不屬於同一 Windows 2000 或 Windows Server 2003 林的域之間建立信任關系,可以使用單向信任。您可以在屬於不同的 Windows 2000 或 Windows Server 2003 林的域之間使用單向信任關系,以隔離與之建立並維護信任關系的域的信任關系,而不是創建影響整個林的信任關系。讓我來用一個示例來闡明。
假定您的組織有一個生產部和一個銷售部。生產部想要與某個標准機構共享一些它的一部分處理信息(存儲在位於其 Windows 2000 或 Windows Server 2003 域中的服務器上)。不過,銷售部希望使存儲在其域中的服務器上的敏感銷售和營銷信息對該標准機構保密。(或許,他們的銷售業績好到了那個標准機構想要通過聲稱其“壟斷”來打擊他們!)使用單向信任就可以確保銷售信息的安全。要為標准機構提供必要的訪問,可在生產部門域與標准機構的域之間建立單向信任,由於單向信任是不可傳遞的,因此僅在所涉及的兩個域之間建立了信任關系。此外,由於信任域是生產部門域,因此生產部門域中的用戶將無法使用標准機構域中的任何資源。
當然,在上面提到的任一單向信任方案中,都可以使用兩個單獨的單向信任關系來創建雙向信任。
交叉鏈接信任
交叉鏈接信任用於提高性能。使用交叉鏈接信任,可在樹或林層級內建立一個虛擬信任驗證橋,從而能夠更快地進行信任關系確認(或拒絕)。上述說明使您有了大致了解。但要真正理解如何及為什麼使用交叉鏈接信任,首先需要理解 Windows 2000 和 Windows Server 2003 中如何處理域間身份驗證。
當 Windows 2000 或 Windows Server 2003 域需要對不屬於自己域中的資源驗證用戶(或以其他方式驗證身份驗證請求)時,它會以類似的方式對 DNS 查詢進行驗證。Windows 2000 和 Windows Server 2003 首先確定資源是否位於發出請求的域中。如果資源不在本地域中,域控制器(具體說來,是域控制器上的密鑰分發服務 [KDC])會將客戶端轉交給層級中(上層或下層,視具體情況)的下一個域中的域控制器的引用。下一個域控制器繼續執行這種“本地資源”檢查,直到到達資源所在的域。(第 8 章對這一轉交過程進行了詳細說明。)
雖然這種“遍歷域樹”效果不錯,但是虛擬遍歷域層級耗費時間,耗費時間就會負面影響查詢響應性能。為了便於您理解,請看以下緊急情況:
您在具有兩條登機道構成 V 形的機場。登機道 A 位於 V 形的左側,登機道 B 位於右側。登機口按一定順序編號,登機道 A 和登機道 B 的 1 號登機口都接近 V 形的底部(即兩個登機道的交匯處),兩者的 15 號登機口都位於 V 形的頂端。所有的登機口都連接到 V 形內。您匆忙地來趕飛機,到了登機道 A 的 15 號登機口(位於 V 形的頂端),但此時您想起班機實際上從登機道 B 起飛。您可以透過窗戶看到登機道 B 15 號登機口處的班機,但是為了到達該登機口,您必須一直沿登機道 A 走到(跑到)V 形的底部,然後沿登機道 B 小跑到它的 15 號登機口(此時,您已經氣喘吁吁了),但到達時剛好看到飛機離您而去。您坐在候機廳裡,等待兩小時後的下一趟班機,目光掃過 V 形登機道,移到登機道 A,也就是您原以為飛機起飛的位置,這時您突然想到一個好主意:在登機道的兩端修建一座天橋,這樣像您這樣的乘客就能夠快速地從登機道 A 的 15 號登機口到達登機道 B 的 15 號登機口。這主意不是很好嗎?只有登機道的 15 號登機口之間的客流量很大時,這一想法才可行。
類似地,交叉鏈接信任可以充當域或樹層級中邏輯距離較遠,並且兩者之間具有大量驗證通信量的域之間的身份驗證橋。多大的數量可以稱為是大量驗證通信量?以 Windows 2000 或 Windows Server 2003 域樹的兩個分支為例。第一個分支由域 A、B、C 和 D 組成。A 是 B 的父級,B 是 C 的父級,C 是 D 的父級。第二個分支由域 A、M、N 和 P 組成。A 是 M 的父級,M 是 N 的父級,N 是 P 的父級。聽上去有點復雜,可參見圖 3-4 中此結構的圖示。
圖 3-4. 域層級示例
現在假定域 D 中的用戶經常(無論出於什麼原因)使用域 P 中的資源。當域 D 中的用戶想要使用域 P 中的資源時,Windows 2000 和 Windows Server 2003 將解析該請求,方法是遍歷一個引用路徑,爬回樹的根(本例中為域 A),然後沿域樹的適當分支遍歷,直到到達域 P。如果同時進行這些身份驗證,此方法會產生大量的通信量。更好的方法是在域 D 和 P 之間創建一個交叉鏈接信任,這樣,在兩個域之間進行身份驗證時就無需從域樹遍歷到根(即樹分支開叉的底部域)。結果,就身份驗證而言,性能會更好。
