Windows 2000活動目錄詳盡解說

　　 我們知道WIN2K系統最大的突破性和成功之一就在於它全新引入的“活動目錄（Active Directory）服務”，使得WIN2K系統與Internet上的各項服務和協議更加聯系緊密，因為它對目錄的命名方式成功地與”域名“的命名方式一致，然後通過DNS進行解析，使得與在Internet上通過WINS解析取得一致的效果。 活動目錄也說明了Microsoft在網絡結構方面的策略轉移，雖然在以前NT時代也有部分產品（如EXCHANGE SERVER、IIS等）提供過類似於活動目錄的服務，然而活動目錄作為一個全新的綜合服務方式是在WIN2K的誕生後隨之而來的。活動目錄的身影似乎在整個WIN2K系統中無處不在。然而要真正了解“活動目錄”的方方面面又談何容易，下面就想通過一些通俗的講解花幾個篇章對活動目錄的各主要方面作一詳盡的分析，希望對那些對WIN2K的活動目錄還存有畏懼心理的新手一個全面認識的機會。

一、活動目錄的由來

　　 談到活動目錄最使人容易想起的就是DOS下的“目錄”、“路徑”和Windows9X/ME下“文件夾”，那個時候的“目錄”或“文件夾”僅代表一個文件存在磁盤上的位置和層次關系，一個文件生成之後相對來說這個文件的所在目錄也就固定了（當然可以刪除、轉移等，現在不考慮這些），也就是說它的屬性也就相對固定了，是靜態的。這個目錄所能代表的僅是這個目錄下所有文件的存放位置和所有文件總的大小，並不能得出其它有關信息，這樣就影響到了整體使用目錄的效率，也就是影響了系統的整體效率，使系統的整個管理變得復雜。因為沒有相互關聯，所以在不同應用程序中同一對象要進行多次配置，管理起來相當繁鎖，影響了系統資源的使用效率。為了改變這種效率低下的關系和加強與Internet上有關協議的關聯，Microsoft公司決定在WIN2K中全面改革，也就是引入活動目錄的概念。理解活動目錄的關鍵就在於“活動”兩個字，千萬不要將“活動”兩個字去掉而僅僅從“目錄”兩個字去理解，那你我理來理去一定還是不能脫離原來在DOS下目錄或Windows9x下的文件夾，正因為這個目錄是活動的，所以它是動態的，它是一種包含服務功能的目錄，它可以做到“由此及彼”的聯想、映射，如找到了一個用戶名，就可聯想到它的賬號、出生信息、E-mail、電話等所有基本信息，雖然組成這些信息的文件可能不在一塊。同時不同應用程序之間還可以對這些信息進行共享，減少了系統開發資源的浪費，提高了系統資源的利用效率。


　　 活動目錄包括兩個方面：目錄和與目錄相關的服務。目錄是存儲各種對象的一個物理上的容器，從靜態的角度來理解這活動目錄與我們以前所結識的“目錄”和“文件夾”沒有本質區別，僅僅是一個對象，是一實體；而目錄服務是使目錄中所有信息和資源發揮作用的服務，活動目錄是一個分布式的目錄服務，信息可以分散在多台不同的計算機上，保證用戶能夠快速訪問，因為多台機上有相同的信息，所以在信息容氏方面具有很強的控制能力，正因如此，不管用戶從何處訪問或信息處在何處，都對用戶提供統一的視圖。





二、相關名詞術語


　　 雖然活動目錄中用到的許多技術在其他軟件產品中也已經出現過，但作為全面的整體網絡方案還是首次亮相，其中有許多名詞或術語或許是聞所未聞的，所以有必要詳細了解一下活動目錄的有關名詞或術語。


　　 1、名字空間：從本質上講，活動目錄就是一個名字空間，我們可以把名字空間理解為任何給定名字的解析邊界，這個邊界就是指這個名字所能提供或關聯、映射的所有信息范圍。通俗地說就是我們在服務器上通過查找一個對象可以查到的所有關聯信息總和，如一個用戶，如果我們在服務器已給這個用戶定義了講如：用戶名、用戶密碼、工作單位、聯系電話、家庭住址等，那上面所說的總和廣義上理解就是“用戶”這個名字的名字空間，因為我們只輸入一個用戶名即可找到上面我所列的一切信息。名字解析是把一個名字翻譯成該名字所代表的對象或者信息的處理過程。舉例來說，在一個電話目錄形成一個名字空間中，我們可以從每一個電話戶頭的名字可以被解析到相應的電話號碼，而不是象現在一樣名字是名字，號碼歸號碼，根本不能橫向聯系。Windows 操作系統的文件系統也形成了一個名字空間，每一個文件名都可以被解析到文件本身（包含它應有的所有信息）。


　　 2、對象： 對象是活動目錄中的信息實體，也即我們通常所見的“屬性”，但它是一組屬性的集合，往往代表了有形的實體，比如用戶賬戶、 文 件名等。對象通過屬性描述它的基本特征，比如，一個用戶賬號的屬性中可能包括用戶姓名、 電話號碼、 電子郵件地址和家庭住址等。


　　 3、容器：容器是活動目錄名字空間的一部分，與目錄對象一樣，它也有屬性，但與目錄對象不同的是，它不代表有形的實體，而是代表存放對象的空間，因為它僅代表存放一個對象的空間，所以它比名字空間小。比如一個用戶，它是一個對象，但這個對象的容器就僅限於從這個對象本身所能提供的信息空間，如它僅能提供用戶名、用戶密碼。其它的如：工作單位、聯系電話、家庭住址等就不屬於這個對象的容器范圍了。


　　 4、目錄樹：在任何一個名字空間中，目錄樹是指由容器和對象構成的層次結構。樹的葉子、節點往往是對象，樹的非葉子節點是容器。目錄樹表達了對象的連接方式，也顯示了從一個對象到另一個對象的路徑。在活動目錄中，目錄樹是基本的結構，從每一個容器作為起點，層層深入， 都可以構成一棵子樹。一個簡單的目錄可以構成一棵樹，一個計算機網絡或者一個域也可以構成一棵樹。這也很容易理解，我們最初學電腦時不就是在全面理解DOS下的路徑概念基礎之上開始的嗎，其實這“目錄樹”也就是一種“路徑關系”，如果你理解了DOS下的“路徑”相信理解這“目錄樹”是沒什麼問題的！


　　 5、域： 域是WIN2K網絡系統的安全性邊界。我們知道一個計算機網最基本的單元就是“域”，這一點不是WIN2K所獨有的，但活動目錄可以貫穿一個或多個域。在獨立的計算機上，域即指計算機本身，一個域可以分布在多個物理位置上，同時一個物理位置又可以劃分不同網段為不同的域，每個域都有自己的安全策略以及它與其他域的信任關系。當多個域通過信任關系連接起來之後，活動目錄可以被多個信任域域共享　　6、組織單元：包含在域中特別有用的目錄對象類型就是組織單元。組織單元是可將用戶、組、計算機和其他單元放入活動目錄的容器中，組織單元不能包括來自其他域的對象。組織單元是可以指派組策略設置或委派管理權限的最小作用單位。使用組織單元，您可在組織單元中代表邏輯層次結構的域中創建容器，這樣您就可以根據您的組織模型管理帳戶、資源的配置和使用，可使用組織單元創建可縮放到任意規模的管理模型。可授予用戶對域中所有組織單元或對單個組織單元的管理權限，組織單元的管理員不需要具有域中任何其他組織單元的管理權，組織單元有點象我們在NT時代的工作組，我們從管理權限上來講可以這麼理解。


　　 7、域樹：域樹由多個域組成，這些域共享同一表結構和配置，形成一個連續的名字空間。樹中的域通過信任關系連接起來，活動目錄包含一個或多個域樹。域樹中的域層次越深級別越低，一個“.”代表一個層次，如域child.Microsoft.com 就比 Microsoft.com這個域級別低，因為它有兩個層次關系，而Microsoft.com只有一個層次。而域Grandchild.Child.Microsoft.com雙比 Child.Microsoft.com級別低，道理一樣。


　　 域樹中的域是通過雙向可傳遞信任關系連接在一起。由於這些信任關系是雙向的而且是可傳遞的，因此在域樹或樹林中新創建的域可以立即與域樹或樹林中每個其他的域建立信任關系。這些信任關系允許單一登錄過程，在域樹或樹林中的所有域上對用戶進行身份驗證，但這不一定意味著經過身份驗證的用戶在域樹的所有域中都擁有相同的權利和權限。因為域是安全界限，所以必須在每個域的基礎上為用戶指派相應的權利和權限。


　　 8、域林：域林是指由一個或多個沒有形成連續名字空間的域樹組成，它與上面所講的域樹最明顯的區別就在於這些域樹之間沒有形成連續的名字空間，而域樹則是由一些具有連續名字空間的域組成。但域林中的所有域樹仍共享同一個表結構、配置和全局目錄。域林中的所有域樹通過Kerberos 信任關系建立起來，所以每個域樹都知道Kerberos信任關系，不同域樹可以交叉引用其他域樹中的對象。域林都有根域，域林的根域是域林中創建的第一個域，域林中所有域樹的根域與域林的根域建立可傳遞的信任關系。


　　 9、站點：站點是指包括活動目錄域服務器的一個網絡位置，通常是一個或多個通過TCP/IP連接起來的子網。站點內部的子網通過可靠、快速的網絡連接起來。站點的劃分使得管理員可以很方便地配置活動目錄的復雜結構，更好地利用物理網絡特性，使網絡通信處於最優狀態。當用戶登錄到網絡時，活動目錄客戶機在同一個站點內找到活動目錄域服務器，由於同一個站點內的網絡通信是可靠、快速和高效的，所以對於用戶來說，他可以在最快的時間內登錄到網絡系統中。因為站點是以子網為邊界的，所以活動目錄在登錄時很容易找到用戶所在的站點，進而找到活動目錄域服務器完成登錄工作。


　　 10、域控制器：域控制器是使用活動目錄安裝向導配置的WIN2K Server 的計算機。活動目錄安裝向導安裝和配置為網絡用戶和計算機提供活動目錄服務的組件供用戶選擇使用。域控制器存儲著目錄數據並管理用戶域的交互關系，其中包括用戶登錄過程、身份驗證和目錄搜索，一個域可有一個或多個域控制器。為了獲得高可用性和容錯能力，使用單個局域網 (LAN) 的小單位可能只需要一個具有兩個域控制器的域。具有多個網絡位置的大公司在每個位置都需要一個或多個域控制器以提供高可用性和容錯能力。


　　 WIN2K Server 域控制器擴展了 WINNT Server 4.0 的域控制器所提供的能力和特性，WIN2K Server 多宿主復制使每個域控制器上的目錄數據同步，以確保隨著時間的推移這些信息仍能保持一致，也就是說是動態的，這就是活動目錄的作用。多宿主復制是 WINNT Server 4.0 中使用的主域控制器和備份域控制器模型的發展，在 WINNT Server 4.0 中只有一個服務器，即主域控制器，擁有該目錄的可讀寫副本。


三、安裝活動目錄的意義


　　 我們說WIN2K的成功和創造性之一就是成功的全面引入了活動目錄服務，那麼到底安裝活動目錄有什麼意義呢？這是我們所有初學WIN2K的人首要要問的一個問題。因為活動目錄並不是WIN2K系統必需安裝的一種服務，要全面理解它又是非常的不容易，那麼安裝活動目錄的意義在哪裡呢？它主要體現在以下幾個方面：


　　 1、信息的安全性大大增強


　　 安裝活動目錄後信息的安全性完全與活動目錄集成，用戶授權管理和目錄進入控制已經整合在活動目錄當中了（包括用戶的訪問和登錄權限等），而它們都是WIN2K操作系統的關鍵安全措施。活動目錄集中控制用戶授權，目錄進入控制不只能在每一個目錄中的對象上定義，而且還能在每一個對象的每個屬性上定義，這一點是以前任何系統所不能達到的，包括WINNT 4.0。除此之外，活動目錄還可以提供存儲和應用程序作用域的安全策略，提供安全策略的存儲和應用范圍。安全策略可包含帳戶信息，如域范圍內的密碼限制或對特定域資源的訪問權等。所以從一定程序上可以這麼說WIN2K的安全性就是活動目錄所體現的安全性，由此可見對於網管來說如何配置好活動目錄中對象及屬性的安全性是一個網管配置好WIN2K系統的關鍵。


　　 2、引入基於策略的管理，使系統的管理更加明朗


　　 活動目錄服務包括目錄對象數據存儲和邏輯分層結構（指上面所講的目錄、目錄樹、域、域樹、域林等所組成的層次結構），作為目錄，它存儲著分配給特定環境的策略，稱為組策略對象。作為邏輯結構，它為策略應用程序提供分層的環境。組策略對象表示了一套商務規則，它包括與要應用的環境有關的設置，組策略是用戶或計算機初始化時用到的配置設置。所有的組策略設置都包含在應用到活動目錄，域，或組織單元的組策略對象（GPOs）中。GPOs設置決定目錄對象和域資源的進入權限，什麼樣的域資源可以被用戶使用，以及這些域資源怎樣使用等。例如，組策略對象可以決定當用戶登錄時用戶在他們的計算機上看到什麼應用程序，當它在服務器上啟動時有多少用戶可連接至 Server，以及當用戶轉移到不同的部門或組時他們可訪問什麼文件或服務。組策略對象使您可以管理少量的策略而不是大量的用戶和計算機。通過活動目錄，您可將組策略設置應用於適當的環境中，不管它是您的整個單位還是您單位中的特定部門。


　　 3、具有很強的可擴展性


　　 WIN2K的活動目錄具有很強的可擴展性，管理員可以在計劃中增加新的對象類，或者給現有的對象類增加新的屬性。計劃包括可以存儲在目錄中的每一個對象類的定義和對象類的屬性。例如，在電子商務上你可以給每一個用戶對象增加一個購物授權屬性，然後存儲每一個用戶購買權限作為用戶帳號的一部分。


　　 4、具有很強的可伸縮性


　　 活動目錄可包含在一個或多個域，每個域具有一個或多個域控制器，以便您可以調整目錄的規模以滿足任何網絡的需要。多個域可組成為域樹，多個域樹又可組成為樹林，活動目錄也就隨著域的伸縮而伸縮，較好地適應了單位網絡的變化。目錄將其架構和配置信息分發給目錄中所有的域控制器，該信息存儲在域的第一個域控制器中，並且復制到域中任何其他域控制器。當該目錄配置為單個域時，添加域控制器將改變目錄的規模，而不影響其他域的管理開銷。將域添加到目錄使您可以針對不同策略環境劃分目錄，並調整目錄的規模以容納大量的資源和對象。


　　 5、智能的信息復制能力


　　 信息復制為目錄提供了信息可用性、容錯、負載平衡和性能優勢，活動目錄使用多主機復制，允許您在任何域控制器上而不是單個主域控制器上同步更新目錄。多主機模式具有更大容錯的優點，因為使用多域控制器，即使任何單獨的域控制器停止工作，也可繼續復制。由於進行了多主機復制，它們將更新目錄的單個副本，在域控制器上創建或修改目錄信息後，新創建或更改的信息將發送到域中的所有其他域控制器，所以其目錄信息是最新的。域控制器需要最新的目錄信息，但是要做到高效率，必須把自身的更新限制在只有新建或更改目錄信息的時候，以免在網絡高峰期進行同步而影響網絡速度。在域控制器之間不加選擇地交換目錄信息能夠迅速搞垮任何網絡。通過活動目錄就能達到只復制更改的目錄信息，而不至於大量增加域控制器的負荷。


　　 6、與 DNS 集成緊密


　　 活動目錄使用域名系統 (DNS)來為服務器目錄命名，DNS 是將更容易理解的主機名（如 Mike.Mycompany.com）轉換為數字 IP 地址的 Internet 標准服務，利於在TCP/IP網絡中計算機之間的相互識別和通訊。DNS 的域名基於 DNS 分層命名結構，這是一種倒置的樹狀結構，單個根域，在它下面可以是父域和子域（分支和葉子）。關於這一點我會在後面以專門的篇章加以詳細講述，在此就僅作簡單介紹。


　　 7、與其他目錄服務具有互操性


　　 由於活動目錄是基於標准的目錄訪問協議，許多應用程序界面（API）都允許開發者進入這些協議，例如活動目錄服務界面（ADSI）、輕型目錄訪問協議 (LDAP) 第三版和名稱服務提供程序接口 (NSPI)，因此它可與使用這些協議的其他目錄服務相互操作。LDAP 是用於在活動目錄中查詢和檢索信息的目錄訪問協議。因為它是一種工業標准服務協議，所以可使用 LDAP 開發程序，與同時支持 LDAP 的其他目錄服務共享活動目錄信息。活動目錄支持 Microsoft Exchange 4.0 和 5.x 客戶程序所用的 NSPI 協議，以提供與 Exchange 目錄的兼容性。


　　 8、具有靈活的查詢


　　 任何用戶可使用“開始”菜單、“網上鄰居”或“活動目錄用戶和計算機”上的“搜索”命令，通過對象屬性快速查找網絡上的對象。如您可通過名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶，反之亦然。
在上一篇對活動目錄有個基本了解之後下面我就來接觸一下活動目錄實質上的一面——活動目錄的結構。上篇我們講到活動目錄是包括兩方面：目錄和目錄相關的服務。目錄是存儲各種對象的一個物理上的容器，與我們平常所說的目錄沒什麼區別，目錄管理的基本對象是用戶、計算機、文件以及打印機等資源。而目錄服務是使目錄中所有信息和資源發揮作用的服務，如用戶和資源管理、基於目錄的網絡服務、基於網絡的應用管理，它才是WIN2K活動目錄的關鍵和精髓所在。目錄服務是WIN2K網絡操作系統的核心支柱，也是中心管理機構，所以目錄服務的引入對整個操作系統帶來了革命性的變化，不僅系統平台上的各基礎模塊，比如網絡安全機制、用戶管理模塊等發生了變化，而且上層應用的運作方式以及開發模式也有了相應的變化。這樣來理解“活動目錄”是不是覺得更加容易？
　　 同時活動目錄是一個分布式的目錄服務，因為信息可以分散在多台不同的計算機上，保證各計算機用戶快速訪問和容錯；同時不管用戶從何處訪問或信息處在何處，對用戶都提供統一的視圖，使用戶覺得更加容易理解和掌握WIN2K系統的使用。活動目錄集成了WIN2K服務器的關鍵服務，如域名服務(DNS)，消息隊列服務（MSMQ），事務服務（MTS）等。在應用方面活動目錄集成了關鍵應用，如電子郵件、網絡管理、ERP等。要理解活動目錄，我們必須從它的邏輯結構和物理結構入手。

　　 一、活動目錄的邏輯結構


　　 “邏輯”兩個字相信大家平時見的比較多，如我們常說的“邏輯思維、邏輯分析”等，也許大家一講到“邏輯”兩個字就覺得十分抽象，難以理解。其實我們在這裡所講的“邏輯結構”，我覺得還是很好理解的，“邏輯”一般與“物理”是對等的，我們知道“物理上的”是指實實在在的，那麼“邏輯上的”不就是指非物理上的，非實體的東西，它是一種抽象的東西，比如講一種“關系”、一個“空間、范圍”等。在第一篇我們講過活動目錄的邏輯結構非常靈活，有目錄樹、域、域樹、域林等，這些名字都不是實實在在的一種實體，只是代表了一種關系，一種范圍，如目錄樹就是由同一名字空間上的目錄組成，而域又是由不同的目錄樹組成，同理域樹是由不同的域組成，域林是由多個域樹組成。它們是一種完全的樹狀、層次結構視圖，這種關系我們可以看成是一種動態關系。邏輯結構還與前面討論過的名字空間有直接關系，邏輯結構為用戶和管理員在一定的名字空間中查找、定位對象提供了極大方便。活動目錄中的邏輯單元主要包括：


　　 1、域、域樹、域林


　　 域既是WIN2K網絡系統的邏輯組織單元，是對象（如計算機、用戶等）的容器，這些對象有相同的安全需求、復制過程和管理，這一點對於網管人員應是相當容易理解的。在WIN2K中域中所有的域控制器都是平等的（這一點與WINNT4.0不一樣，沒有主、副之分），域是安全邊界，域管理員只能管理域的內部，除非其他的域顯式地賦予他管理權限，他才能夠訪問或管理其他的域。每個域都有自己的安全策略，以及它與其他域的安全信任關系。在這裡就涉及到了不同域之間的信任關系及傳遞關系，下面就具體講一下WIN2K中的域信任關系。


　　 域與域之間具有一定的信任關系，域信任關系使得一個域中的用戶可由另一域中的域控制器進行驗證，才能使一個域中的用戶訪問另一個域中的資源。所有域信任關系中只有兩種域：信任關系域和被信任關系域。信任關系就是域A信任域B，則域B中的用戶可以通過域A中的域控制器進行身份驗證後訪問域A中的資源，則域A與域B之間的關系就是信任關系。被信任關系就是被一個域信任的關系，在上面的例子中域B就是被域A信任，域B與域A的關系就是被信任關系。信任與被信任關系可以是單向的，也可以是雙向的，即域A與域B之間可以單方面的信任關系，也可以是雙方面的信任關系。


　　 而在域中傳遞信任關系不受關系中兩個域的約束，是經父域向上傳遞給域目錄樹中的下一個域，也就是說如果域A信任域B，則域A也就信任域B下面的子域域B1、域B2……，傳遞信任關系總是雙向的：關系中的兩個域互相信任（是指父域與子域之間）。默認情況下，域目錄樹或目錄林（目錄林可以看做是同一域中的多個目錄樹組成）中的所有WiIN2K 信任關系都是傳遞的。通過大大減少需管理的委托關系數量，這將在很大程度上簡化域的管理。


　　 WIN2K中的域傳遞信任關系一般是系統自動的，但對於相同域目錄樹或林中的WiIN2K域，也可以顯式（手工）地創建傳遞信任關系。這對於形成交叉鏈接信任關系是非常重要的。不傳遞信任關系受關系中兩個域的約束，並且不經父域向上傳遞到域目錄樹中的下一個域。必須顯式地創建不傳遞信任關系。默認情況下，不傳遞信任關系是單向的，盡管也可以通過創建兩個單向信任關系創建一個雙向關系。所有不屬於相同域目錄樹或林中WiIN2K 域間建立的委托關系都是不傳遞的。所有WiIN2K域和WINNT域之間的委托關系都是不傳遞的，這一點對於一個企業同時使用WIN2K和WINNT域控制器時應特別注意，當從 WindowsNT升級到WiIN2K時，所有已現有的WindowsNT信任關系都將保持不變。在混合模式的網絡中，所有WindowsNT信任關系都是不傳遞的。WiIN2K 域和WINNT域目錄林中的WIN2K域和另一目錄林中的WIIN2K域WIN2K域和M99vKerberosV5領域單向單向信任關系是單獨的委托關系。雙向信任關系包括一對單向委托關系，所有傳遞信任關系都是雙向的。為使不傳遞信任關系成為雙向，必須在所涉及的域間創建兩個單向信任關系。

 

　　 2、組織單元（OU）


　　 組織單元（OU）是一個容器對象，它也是活動目錄的邏輯結構的一部分，我們可以把域中的對象組織成邏輯組，它可以幫助我們簡化管理工作。OU可以包含各種對象，比如用戶賬戶、用戶組、計算機、打印機等，甚至可以包括其他的OU，所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結構。對於企 業來講，可以按部門把所有的用戶和設備組成一個OU層次結構，也可以按地理位置形成層次結構，還可以按功能和權限分成多個OU層次結構。很明顯，通過組織單元的包容，組織單元具有很清楚的層次結構，這種包容結構可以使管理者把組織單元切入到域中以反應出企業的組織結構並且可以委派任務與授權。建立包容結構的組織模型能夠幫助我們解決許多問題，同時仍然可以使用大型的域、域樹中每個對象都可以顯示在全局目錄，從而用戶就可以利用一個服務功能輕易地找到某個對象而不管它在域樹結構中的位置。


　　 由於OU層次結構局限於域的內部，所以一個域中的OU層次結構與另一個域中的OU層次結構沒有任何關系。因為活動目錄中的域可以比NT4的域容納更多對象，所以一個企業有可能只用一個域來構造企業網絡，這時候我們就可以使用OU 來對對象進行分組，形成多種管理層次結構，從而極大地簡化網絡管理工作。組織中的不同部門可以成為不同的域，或者一個組織單元，從而采用層次化的命名方法來反映組織結構和進行管理授 權。順著組織結構進行顆粒化的管理授權可以解決很多管理上的頭疼問題，在加強中央管理的同時，又不失機動靈活性。


　　 WINNT4.0中的很多域都可以成為OU，建立起更大的域和更簡化的域關系，借助全局目錄(GlobalCatalog)，用戶和管理員仍然能夠迅速地找到對象和管理對象。 WIN2K可以在現存的WINNT4.0的環境中工作，保護現有的投資。


　　 二、活動目錄的物理結構


　　 進制-活動目錄中，物理結構與邏輯結構有很大的不同，它們是彼此獨立的兩個概念。邏輯結構側重於網絡資源的管理，而物理結構則側重於網絡的配置和優化。活動目錄的物理結構主要著眼於活動目錄信息的復制和用戶登錄網絡時的性能優化。物理結構的兩個重要概念是站點和 域控制器。


　　 1、站點


　　 站點是由一個或多個IP子網組成，這些子網通過高速網絡設備連接在一起。站點往往由企業的物理位置分布情況決定，可以依據站點結構配置活動目錄的訪問和復制拓撲關系，這樣能使得網絡更有效地連接，並且可使復制策略更合理，用戶登錄更快速， 活動目錄中的站點與域是兩個完全獨立的概念，一個站點中可以有多個域，多個站點也可以位於同一域中。


　　 活動目錄站點和服務可以通過使用站點提高大多數配置目錄服務的效率。可以通過使用活動目錄站點和服務向活動目錄發布站點的方法提供有關網絡物理結構的信息，活動目錄使用該信息確定如何復制目錄信息和處理服務的請求。計算機站點是根據其在子網或一組已連接好子網中的位置指定的，子網提供一種表示網絡分組的簡單方法，這與我們常見的郵政編碼將地址分組類似。將子網格式化成可方便發送有關網絡與目錄連接物理信息的形式，將計算機置於一個或多個連接好的子網中充分體現了站點所有計算機必須連接良好這一標准，原因是同一子網中計算機的連接情況通常優於網絡中任意選取的計算機。使用站點的意義主要在於：


　　 （1）、提高了驗證過程的效率


　　 當客戶使用域帳戶登錄時，登錄機制首先搜索與客戶處於同一站點內的域控制器，使用客戶站點內的域控制器首先可以使網絡傳輸本地化，加快了身份驗證的速度，提高了驗證過程的效率。


　　 （2）、平衡了復制頻率


　　 活動目錄信息可在站點內部或站點與站點之間進行信息復制，但由於網絡的原因，活動目錄在站點內部復制信息的頻率高於站點間的復制頻率。這樣做可以平衡對最新目錄信息需求和可用網絡帶寬帶來的限制。您可通過站點鏈接來定制活動目錄如何復制信息以指定站點的連接方法，活動目錄使用有關站點如何連接的信息生成連接對象以便提供有效的復制和容錯。


　　 （3）、可提供有關站點鏈接信息


　　 活動目錄可使用站點鏈接信息費用，鏈接使用次數，鏈接何時可用以及鏈接使用頻度等信息確定應使用哪個站點來復制信息，以及何時使用該站點。定制復制計劃使復制在特定時間（諸如網絡傳輸空閒時）進行會使復制更為有效。通常，所有域控制器都可用於站點間信息的交換，但也可以通過指定橋頭堡服務器優先發送和接收站間復制信息的方法進一步控制復制行為。當擁有希望用於站間復制的特定服務器時，寧願建立一個橋頭堡服務器而不使用其他可用服務器。或在配置使用代理服務器時建立一個橋頭堡服務器，用於通過防火牆發送和接收信息。


　　 2、域控制器


　　 域控制器是指運行WIN2KServer版本的服務器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，並把這些變化復制到同一個域中的其他域控制器上，使各域控制器上的目錄信息處於同步。域控制器也負責用戶的登錄過程以及其他與域有關的操作，比如身份鑒定、目錄信息查找等一個域可以有多個域控制器。規模較小的域可以只需要兩個域控制器，一個實際使用，另一個用於 容錯性檢查。規模較大的域可以使用多個域控制器。


　　 WIN2K的域結構與WINNT的域結構不同的是，活動目錄中的域控制器沒有主次之分，活動目錄采用了多主機復制方案，每一個域控制器都有一個可寫入的目錄副本，這為目錄信息 容錯帶來了無盡的好處。盡管在某一個時刻，不同的域控制器中的目錄信息可能有所不同，但一旦 活動目錄中的所有域控制器執行同步操作之後，最新的變化信息就會一致。


　　 盡管活動目錄支持多主機復制方案，然而由於復制引起的通信流量以及網絡潛在的沖 突，變化的傳播並不一定能夠順利進行。因此有必要在域控制器中指定全局目錄服務器以及操 作主機。--全局目錄是一個信息倉庫，包含活動目錄中所有對象的一部分屬性，往往是在查詢過 程中訪問最為頻繁的屬性。利用這些信息，可以定位到任何一個對象實際所在的位置，而全局目 錄服務器是一個域控制器，它保存了全局目錄的一份副本，並執行對全局目錄的查詢操作。全局 目錄服務器可以提高活動目錄中大范圍內對象檢索的性能，比如在域林中查詢所有的打印機操 作。如果沒有一個全局目錄服務器，那麼這樣的查詢操作必須要調動域林中每一個域的查詢過 程。如果域中只有一個域控制器，那麼它就是全局目錄服務器如果有多個域控制器，那麼管理員 必須把一個域控制器配置為全局目錄控制器。

理解了活動目錄的原理之後，現在我們就可以進行活動目錄的安裝與配置了，活動目錄的安裝配置過程並不是很復雜，因為WIN2K中提供了安裝向導，只需按照提示一步步按系統要求設定即可。但安裝前的准備工作顯得比較復雜，只有充分理解了活動目錄的前提下才能正確地安裝配置活動目錄。下面我就詳細地介紹一下活動目錄的安裝與配置及其准備了。 　　一、活動目錄的安裝前的准備
　　 在前面我們知道“活動目錄”是整個WIN2K系統中的一個關鍵服務，它不是孤立的，它與許多協議和服務有著非常緊密和關系，還涉及到整個WIN2K系統的系統結構和安全。安裝“活動目錄”不是安裝一般Windows組件那麼簡單，在安裝前要進行一系列的策劃和准備。否則輕則根本無法享受到活動目錄所帶來的優越性，重則不能正確安裝“活動目錄”這項服務。

　　 1、首先在 安裝活動目錄之前，必須保證已經有一台機器安裝了WIN2K Server 或者Advanced Server，且至少有一個NTFS分區， 而且已經為TCP/IP 配置了DNS協議，並且DNS服務支持SRV記錄和動態更新協議。


　　 2、其次是要規劃好整個系統的域結構，活動目錄它可包含一個或多個域，如果整個系統的目錄結構規劃得不好，層次不清就不能很好地發揮活動目錄的優越性。在這裡選擇根域（就是一個系統的基本域）是一個關鍵， 根域名字的選擇可以有以下幾種方案：


　　 1）可以使用一個已經注冊的DNS 域名作為活動目的根域名，這樣的好處在於企業的公共網絡和私有網絡使用同樣的DNS名字。


　　 2）我們還可使用一個已經注冊的DNS域名的子域名作為活動目錄的根域名。


　　 3）為活動目錄選擇一個與已經注冊的DNS域名完全不同 的域名。這樣可以使企業網絡在內部和互聯網上呈現出兩種完全不同的命名結構。


　　 4）把企業網絡的公共部分用一個已經注冊的DNS域名進行命名，而私有網絡用另一個內部域名，從名字空間上把兩部分分開，這樣做就使得每一部分要訪問另部時必須使用對方的名字空間來標識對象。


　　 3、再一個就是要進行域和帳戶命名策劃，因為使用活動目錄的意義之一就在於使內、外部網絡使用統一的目錄服務，采用統一的命名方案，以方便網絡管理和商務往來。活動目錄域名通常是該域的完整DNS名稱，但是為確保向下兼容，每個域最好還有一個WIN2K以前版本的名稱，以便在運行WIN2K以前版本的操作系統的計算機上使用。用戶帳戶在活動目錄中，每個用戶帳戶都有一個用戶登錄名、一個WIN2K以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個用戶主要名稱後綴。在創建用戶帳戶時，管理員輸入其登錄名並選擇用戶主要名稱，活動目錄建議 WIN2K 以前版本的用戶登錄名使用此用戶登錄名的前 20 個字節。活動目錄命名策略是企業規劃網絡系統的第一個步驟，命名策略直接影 響到網絡的基本結構，甚至影響網絡的性能和可擴展性。活動目錄為現代企業提供了很好的參考模型，既考慮到了企業的多層次結構，也考慮到了企業的分布式特性，甚至為直接接入Internet提供完全一致的命名模型。


　　 所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 WIN2K 域的標准用法。標准格式為：[email protected] (象個人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號。活動目錄 在創建用戶主要名稱時自動添加此符號。包含多個 @ 號的用戶主要名稱是無效的。


　　 在活動目錄中，默認的用戶主要名稱後綴是域樹中根域的 DNS名。如果用戶的單位使用由部門和區域組成的多層域樹，則對於底層用戶的域名可能很長。對於該域中的用戶，默認的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認的登錄名可能是 [email protected] 。這要一來用戶登錄時就要輸入的用戶名可能太長，輸入起來就非常不方便，WIN2K為了解決這一問題，規定在創建主要名稱後用戶只要在根域後加上相應的用戶名， 使同一用戶使用更簡單的登錄名 [email protected] 就可以登錄，而不是前面所提到的那一長串。


　　 4、最後就是要注意設置規劃好域間的信任關系，對於WIN2K計算機，通過基於 Kerberos V5 安全協議的雙向、可傳遞信任關系啟用域之間的帳戶驗證。在域樹中創建域時，相鄰域（父域和子域）之間自動建立信任關系。在域林中，在樹林根域和添加到樹林的每個域樹的根域之間自動建立信任關系。如果這些信任關系是可傳遞的，則可以在域樹或域林中的任何域之間進行用戶和計算機的身份驗證。


　　 如果將 WIN2K 以前版本的 Windows域升級為WIN2K域時，WIN2K域將自動保留域和任何其他域之間現有的單向信任關系。包括WIN2K以前版本的Windows域的所有信任關系。如果用戶要安裝新的WIN2K域並且希望與任何WIN2K以前版本的域建立信任關系，則必須創建與那些域的外部信任關系。二、活動目錄的安裝


　　 所有的新安裝都是安裝成為Member Server，如果您在新安裝WIN2K SERVER時選擇安裝了“活動目錄”選項，則系統就會出現類似於“如果您此時安裝活動目錄則系統中的所有域名就不能再次改變……”之類的提示。一般情況下我們在新安裝系統時不選擇安裝活動目錄，以便我們有時間來具體規劃與活動目錄有關的協議和系統結構。目錄服務都需要事後用 Dcprom o的命令特別安裝。目錄服務還可以卸載，而不用象在安裝Windows NT 4.0那樣，一開始就要定終身，系統會區分域控制器還是Member Server，兩者之間不可轉換。


　　 Dcpromo是一個圖形化的向導程序，引導用戶一步一步地建立域控制器，可以新建一 個域森林，一棵域樹，或者僅僅是域控制器的另一個備份，非常方便。很多其他的網絡服 務，比如DNS Server、DHCP Server和 Certificate Server等，都可以在以後與活動目錄 集成安裝，便於實施策略管理等。 這個圖形化界面向導程序也沒有什麼特別之處，只要我們在前面理解好了活動目錄的含義，並進行了安裝前的一系列規劃，則可以很容易完成所有的安裝任務。


　　 在活動目錄安裝之後，主要有三個活動目錄的微軟管理界面（MMC），一個是活動目 錄用戶和計算機管理，主要用於實施對域的管理；一個是活動目錄的域和域信任關系的管 理，主要用於管理多域的關系；還有一個是活動目錄的站點管理，可以把域控制器置於不 同的站點。一般局域網的范圍內，為一個站點，站點內的域控制器之間的復制是自動進行 的；站點間的域控制器之間的復制，需要管理員設定，以優化復制流量，提高可伸縮性。 從活動目錄管理界面，還可以在站點、域和組織單元中用鼠標右鍵點擊，啟動組策略 （Group Policy）的管理界面，實施對對象的細致管理。


　　 對於站點、域和組織單元，管理員還可以方便地進行管理授權。右鍵點擊它們就可以啟動"管理授權 向導"，一步一步地設定哪些管理員對於哪些對象有什麼樣的管理權限。比如說企業內部 技術支持中心的管理員，只有復位用戶口令的權限，沒有創建和刪除用戶賬號的權限。這 種更細致的管理方法，成為"顆粒化"。


　　 另外，活動目錄還充分地考慮到了備份和恢復目錄服務的需要，WIN2K備份工具中有專門備份活動目錄的選項，在出現意外事故的時候，可以在機器啟動時按F8進入安全恢復模式，保證減少災難的惡性影響。

前幾篇我們講了活動目錄的基本原理和安裝配置，著重講了一些活動目錄的優越性，但它並不是一個獨立的服務，它是在結合以前的一些協議和服務之後才得以成功實現，如DNS、LDAP協議與活動目錄的完美結合、站點概念的應用等都是非常突出的明證。下面我們就分別介紹一下這幾個應用技術。
　　 一、DNS在活動目錄中的應用

　　 WIN2K作為一個嶄新的操作系統，它的最大特點就是引入了活動目錄，而活動目錄的一個最大的特點就是把DNS和活動目錄緊密結合在了一起。活動目錄使用域名服務DNS 作為它的定位服務，同時對標准的DNS作了擴充。由於DNS 是使用最為廣泛的定位服務，所以不僅在Internet 上， 甚至在許多企業內部網絡中也使用DNS 作為定位服務。在利用WINNT4.0 構建的網絡系統中，對每一台主機的唯一標識信息是它的NetBIOS名，系統是利用WINS服務、信息廣播方式及Lmhost文件等多種模式將NetBIOS名解析為相應IP地址，從而實現信息通訊。在內部網絡系統中（也就是通常我們所說的局域網中），利用NetBIOS名實現信息通訊是非常方便、快捷的。但是在Internet上對一台主機的唯一標識信息是它的FQDN格式的域名（如www.163.com），在Internet是利用DNS標准來實現將域名解析為相應IP地址。如果WINNT4.0 構建的網絡系統同Internet連通，則NT網絡中的每一台主機也都有相應域名，其域名的解析是通過WINNT4.0 所支持的DNS 服務來實現的。在WINNT4.0 中配置和實現DNS完全由人為手工來規劃、設計和實現，由上述可見，在WINNT4.0 網絡系統中，每一台主機既有NetBIOS名又由域名，而實際意義基本相同，這在一定程度上增加了網管人員的管理負擔，同時出使整個網絡管理顯得更加混亂。


　　 在WIN2K的活動目錄中，最基本的單位是域（Domain），通過父域和子域的模式將域組織起來形成樹，父域和子域之間是完全雙向的信任關系，且信任關系傳遞，其組織結構同DNS系統類似。在活動目錄中命名策略基本按照Internet標准來實現，遵照DNS和LDAP3.0兩種標准，活動目錄中的域和DNS系統中的域采用完全相同的命名方式，即活動目錄中的域名就是DNS域名。那麼在活動目錄中依賴於DNS作為定位服務，實現將名字解析為IP地址。所以當我們利用WIN2K 構建活動目錄時，必須同時安裝配置相應的DNS，無論用戶實現IP地址解析還是登錄驗證，都利用DNS在活動目錄中定位服務器。活動目錄與DNS系統的這種緊密集成，意味著活動目錄同時非常適合於Internet和Intranet環境，這也是微軟創建適用於Internet的網絡操作系統的思想的一種體現。企業可以把活動目錄直接連接到Internet以簡化與客戶和合作伙伴之間的信息通訊。另外WIN2K中的DNS服務允許客戶使用DNS動態更新協議（RFC 2136）來動態更新資源記錄，通過縮短手工管理這些相同記錄的時間，提高DNS管理的性能。運行WIN2K的計算機能動態地注冊他們的DNS名稱和IP地址。


　　 由於活動目錄與DNS已經集成在一起，因此在WIN2K中NetBIOS名已經逐漸失去意義，與此相對應的WINS服務也處於慢慢被淘汰的過程中。在WINNT中為了有效的發揮WINS的動態特性，我們通常將DNS與WINS 進行集成，這樣能獲得更准確的解析結果。但是，WINS並不是Internet標准協議，而DNS解決動態維護機器名與IP地址對照表的方案是動態DNS。動態DNS並不需要用到WINS，因為它允許動態分配IP地址的客戶可以直接注冊到DNS服務器上，即時更新DNS對照表。


　　 WIN2K支持動態DNS，運行活動目錄服務的機器可動態地更新DNS表。WIN2K網絡中可以不再需要WINS服務，但是WIN2K仍然支持WINS，這是由於向後兼容的原因。那麼如果網絡系統不再使用WINS，用戶登錄到網絡時，客戶機如何找到域控制器呢？這是因為WIN2K在實現DNS時，對標准的DNS進行了擴展，在DNS表中增加了一種新的記錄類型SRV記錄，它指向活動目錄的域控制器。所以如果網絡系統已經全面升級到WIN2K，那麼就可以不再使用WINS 服務 了。而在WIN2K中，由於支持動態更新協議（RFC 2136），這種集成也變得沒有必要了。DNS這個由一系列解釋請求（RFCs）標准組成的在Internet上廣泛采用開放的協議，已經成為網絡技術中的統一的標准化的規范。WIN2K的目標是在Internet和Intranet環境中得到廣泛應用，那麼它的名稱解析模式就應該完全遵守單一的DNS標准。


　　 上面主要講了一下DNS在活動目錄中的應用情況，但或許有人要問原來在WINNT4.0中沒有用活動目錄，只用DNS來解析域名，到底活動目錄與DNS之間有什麼區別，它們之間又是如何結合的呢？下面就來具體講一下。


　　 1、活動目錄與DNS的區別


　　 (1)、存儲的對象不同


　　 DNS和活動目錄的結合是Windows2000服務器的最主要特點，DNS域和活動目錄域對不同的名字空間使用同一樣的域名。但它們各自存儲不同的數據，因此管理不同的對象。DNS存儲它的區域和資源記錄，活動目錄存儲域和域中的對象。對DNS來說，域名是以DNS的層命名結構為基礎的，是一種倒樹型結構：一個根域，下面的域既是父域又是子域。每一個DNS域中的計算機可以通過完全合格域名（FQDN）進行識別。每一個與因特網連接的WIN2K域都有一個DNS名字，並且每一個WIN2K域中的計算機也都有一個DNS名字。因此，域和計算機即代表活動目錄對象，又代表域節點。


　　 (2)、解析所用的數據庫不同


　　 DNS是一種名字解析服務，DNS是通過DNS服務器接受請求查詢DNS數據庫來把域或計算機解析為IP地址的。DNS客戶發送DNS名字查詢到它們設定的DNS服務器，DNS服務器接受請求後或通過本地DNS數據庫解析名字，或查詢因特網上的DNS數據庫，DNS不需要活動目錄就可以起作用。


　　 活動目錄是一種目錄服務，活動目錄通過域控制器接受請求查詢活動目錄數據庫來把域對象名字解析為對象記錄。活動目錄用戶是通過LDAP協議（一種進入目錄服務的協議）向活動目錄服務器發送請求，為了定位活動目錄數據庫，需要借助於DNS，也就是說，活動目錄把DNS作為定位服務，把活動目錄服務器解析為IP地址，活動目錄不能沒有DNS的幫助。DNS可以獨立於活動目錄，但是活動目錄必須有DNS的幫助才能工作。為了活動目錄能夠正常的工作，DNS服務器必須支持服務定位（SRV）資源記錄，資源記錄把服務名字映射為提供服務的服務器名字。活動目錄客戶和域控制器使用SRV資源記錄決定域控制器的IP地址。





　　 除了要求WIN2K網絡的DNS服務器支持SRV資源記錄外，微軟還建議DNS服務器提供對DNS的動態升級。DNS動態升級定義了一個DNS服務器在一定值內自動升級的協議，如果沒有此協議，管理員不得不手動配置域控制器產生的新的記錄。新的WIN2K的 DNS服務既支持SRV資源記錄，又支持動態升級。如果你選擇其它的非WIN2K為基礎的DNS服務器，那麼你必須證實它支持SRV資源記錄。對於一個合法的支持SRV資源記錄但是不支持動態升級的DNS服務器，在你把WIN2K服務器升級為域控制器時，必須使它的資源記錄手動升級。這些可以用NetLogon.dns文件來完成，該文件是由活動目錄智能安裝向導創建的，存在於文件夾％systemroot%\System32\config中。

 

　　 2．兩者的結合方法


　　 既然DNS和活動目錄有如此大的區別，那麼它們是怎樣結合在一起的呢？主要有以下幾種途徑：


　　 (1)、活動目錄域和DNS域使用一樣的層次結構，


　　 雖然功能和目的不一樣，一個組織的DNS名字空間和活動目錄空間有著一樣的結構。


　　 (2)、DNS區可以存儲在活動目錄中


　　 如果你使用WIN2K DNS服務，那麼主域可以存儲在活動目錄中為其它活動目錄域控制器提供復制服務，並且為DNS服務提供增強的安全措施。


　　 (3)、活動目錄客戶使用DNS定位域控制器


　　 對於一個特定的域，為了定位域控制器，活動目錄客戶向它們設定的DNS服務器請求資源記錄。當一個公司使用WIN2K服務器版作為它們的網絡操作系統時，活動目錄被認為是注冊的法定DNS名字根域下的一個或多個層次結構的WIN2K域。


　　 根據DNS的命名規則，DNS名字的被句點（.）分開的每一部分代表DNS樹型層次結構的一個節點，並且代表WIN2K域樹型層次結構的一個潛在的活動目錄域。DNS的根節點以空白表示（“”），活動目錄名字空間的根節點沒有父域，它提供活動目錄的LDAP進入點。


　　 二、站點（Site）在活動目錄中的應用


　　 我們在利用WINNT4.0來規劃設計我們的企業網絡系統時，要根據企業構建的具體情況設計相應的域模型，如單域、多主域或單主域模型等。我們可以利用這些種類的域模型來規劃企業的網絡環境，實現對企業網絡的組織、管理和控制。當我們去實現這種網絡規劃時，常常要根據企業內部的組織結構形式，作出符合實際需求的規劃設計。如果是一個集團性質的大公司，我們常常需要把某一部門或一些工作關聯性較大的部門設計成一個域，以方便組織和管理。這就給我們設計人員提出了一個很棘手的問題，如果這樣一個域是由地理上分布在不同位置的計算機通過慢速連接構成的，那麼通過慢速連接的PDC和BDC的信息同步就會因占據大量網絡流量，影響網絡的整體性能，面對這樣一個問題，我們只能束手無策，根本沒有任何控制方法。


　　 當我接觸到WIN2K之後，活動目錄的強大功能和人性化設計思想，令我們今後的網絡規劃設計更加方便和靈活。而WIN2K活動目錄中Site概念的提出和實現，為管理和控制DC之間的信息同步提供強大工具，從而有效的解決了我們前面提出的那個曾令我們束手無策的難題。　　所謂Site,是指在物理上有較好的線路連接的能實現較快通訊速率的計算機的集合，一般是指一個LAN。而Site之間一般是通過慢速連接來實現信息通訊。可見Site 是對網絡上計算機的實際的物理分布的一種客觀反映。有了Site這個概念之後，我們就可以將一個域中的計算機根據地理位置的分布分裝在幾個Site之中。在一個Site當中，活動目錄利用復制組件和KCC形成一個DC之間復制同步的雙向的環形，每個DC都有兩個復制伙伴，它們之間形成完全的信息同步。當一個DC中的目錄數據庫發生變化，它會等待一段時間間隔後向它的復制伙伴發送變更通知，復制伙伴接到變更通知後，會從發生變化的DC上拷貝目錄數據的變化信息。同樣復制伙伴還會把變更信息發送給它的復制伙伴，從而實現整個Site內的DC的同步。由於Site內采用快速而可靠的網絡連接，因此Site內DC之間的復制數據是不壓縮的，這雖然增加了復制信息的要求的帶寬，但減少了DC的處理數據的負擔。一般情況下Site內DC的信息同步采用RPC協議，使數據復制快速、統一，使DC之間保持了較高的數據一致性。


　　 在Site之間一般是通過慢速連接，只有有限的可用帶寬並且數據傳輸不可靠。為了不影響慢速連接線路上的其它數據通訊，以及確保DC間目錄復制的可靠性，Site間的DC的復制不采用Site內DC間復制的變更通知方式，而是采用復制調度的方式。在Site之間可以設定一個時間表和時間間隔，時間表決定在哪些時間允許復制發生，時間間隔指定在允許復制的時間內DC多久檢查一次數據變更。這樣我們就可以將Site間DC復制同步的時間表設定在網絡流量較少的時候（比如午夜）。這時網絡不擁擠相對而言也較可靠。而且在Site間DC的目錄復制采用壓縮的方法，復制信息可以被壓縮至10%到15%，這樣可以有效地優化網絡帶寬。


　　 可見，我們通過合理地規劃活動目錄上的Site，可以有效地控制活動目錄中DC的同步，優化網絡帶寬，提高網絡性能。由於在WIN2K的活動目錄中，DC之間的同步不但涉及一個域內DC之間大量數據的同步，同時不同域的DC之間也有少量信息需要同步。當我們用Site來實現活動目錄中DC之間的復制布局時可以借助於 Site link 和Site link Bridge兩種設置來幫助我們實現，從而形成一個更合理、更有效、更可靠的活動目錄中DC的復制布局，最大限度優化我們的網絡系統。


　　 三、LDAP在活動目錄中的應用


　　 LDAP的英文全稱是Lightweight Directory Access Protocol，簡稱為LDAP。它是基於X.500標准的，但是又比它簡單許多，並且可以根據需要定制的一種目錄服務協議。與X.500不同，LDAP支持TCP/IP，這對訪問Internet是必須的。LDAP的核心規范在RFC中都有定義，所有與LDAP相關的RFC都可以在LDAPman RFC網頁中找到。


　　 目錄服務的工作模型是客戶機/服務器模型。1988年，CC99vT組織首先創建了X.500標准全面描述了這一模型，包括目錄服務器的目錄結構、命名方法、搜索機制以及用於客戶機與服務器通信的協議DAP（Directory Access Protocol）。此標准很快被ISO組織引用，編號為ISO 9594。但是，在實際應用的過程中，X.500存在著不少障礙。由於DAP這種應用層的協議是嚴格遵照復雜的ISO七層協議模型制定的，對相關層協議環境要求過多，在許多小系統上無法使用，TCP/IP協議體系的普及更使這種協議越來越不適應需要。在這種情況下，DAP的簡化版棗LDAP應運而生。早期設計的LDAP服務器不是獨立的目錄服務器，主要扮演LDAP客戶機與X.500服務器間網關的角色，既是LDAP的服務器又是X.500的客戶機。如今的LDAP服務器可取代X.500服務器而獨立提供服務。　　LDAP服務器的目錄組織以“條目”為基本單位，結構類似樹形，每一個條目即是樹上的一個分枝節點或葉子。一個條目由多個“屬性”組成，每個屬性又由一個“類型”和一到多個“值”組成。LDAP協議直接基於面向連接的TCP協議實現，定義了LDAP客戶機和LDAP服務器間的通信過程和信息格式。LDAP服務器在服務端口（缺省端口號為389）監聽，收到客戶機的請求後，建立連接，開始會話。活動目錄與DNS協議的結合的意義在於使內部網與外部網命名方式保持一致，這樣便於整個網絡的管理。LDAP協議是用於查詢和檢索活動目錄信息的目錄訪問協議。由於它是基於工業標准的目錄服務協議，使用 LDAP 的程序可以發展成與其他目錄服務共享活動目錄信息，這些目錄服務同樣支持LDAP。活動目錄信息活 動目錄使用LDAP 目錄訪問協議作為它與其他應用或者目錄服務交換信息的手段。LDAP 已經成為 目錄服務的標准，它比X.500 DAP 協議更為簡單實用一些。Microsoft 已經在Exchange Server 系統中提供了LDAP v2 和LDAP v3 的支持， 在WIN2K 的活動目錄服 務中將提供更為全面的支持。


　　 值得一提的是LDAP 協議中采用的命名格式， 因為我們需要通過名字信息訪問目錄對象，所以名字格式對於用戶或者應用程序非常重要。活動目錄支持大多數的名字格式類型。較為常用的格式有以下兩種：


　　 （1） RFC822 命 名 法

這種命名法的標准格式為：object_name@domain_name，形式非常類似於電子郵件地址，比如[email protected]。活動目錄為所有的用戶提供了這種式的好名字，所以用戶可以直接使用該友好名字當作電子郵件地址，也可以用作登錄系統時的賬戶名。


　　 （2） LDAP URL 和X.500 名 字

　　 任何一個支持LDAP 的客戶都可以利用LDAP名通過LDAP 協議訪問活動目錄，LDAP 名不像普通的Internet URL 名字那麼直觀，但是LDAP 名往往隱藏在 應用系統的內部，最終用戶很少直接使用LDAP 名。LDAP 名使用X.500 命名規 范，也稱為屬性化命名法，包括活動目錄服務所在的服務器以及對象的屬性信息。