我們知道WIN2K系統(tǒng)最大的突破性和成功之一就在于它全新引入的“活動(dòng)目錄（Active Directory）服務(wù)”，使得WIN2K系統(tǒng)與Internet上的各項(xiàng)服務(wù)和協(xié)議更加聯(lián)系緊密，因?yàn)樗鼘?duì)目錄的命名方式成功地與”域名“的命名方式一致，然后通過DNS進(jìn)行解析，使得與在Internet上通過WINS解析取得一致的效果。 活動(dòng)目錄也說明了Microsoft在網(wǎng)絡(luò)結(jié)構(gòu)方面的策略轉(zhuǎn)移，雖然在以前NT時(shí)代也有部分產(chǎn)品（如EXCHANGE SERVER、IIS等）提供過類似于活動(dòng)目錄的服務(wù)，然而活動(dòng)目錄作為一個(gè)全新的綜合服務(wù)方式是在WIN2K的誕生后隨之而來的。活動(dòng)目錄的身影似乎在整個(gè)WIN2K系統(tǒng)中無處不在。然而要真正了解“活動(dòng)目錄”的方方面面又談何容易，下面就想通過一些通俗的講解花幾個(gè)篇章對(duì)活動(dòng)目錄的各主要方面作一詳盡的分析，希望對(duì)那些對(duì)WIN2K的活動(dòng)目錄還存有畏懼心理的新手一個(gè)全面認(rèn)識(shí)的機(jī)會(huì)。

一、活動(dòng)目錄的由來 談到活動(dòng)目錄最使人容易想起的就是Dos下的“目錄”、“路徑”和Windows9X/ME下“文件夾”，那個(gè)時(shí)候的“目錄”或“文件夾”僅代表一個(gè)文件存在磁盤上的位置和層次關(guān)系，一個(gè)文件生成之后相對(duì)來說這個(gè)文件的所在目錄也就固定了（當(dāng)然可以刪除、轉(zhuǎn)移等，現(xiàn)在不考慮這些），也就是說它的屬性也就相對(duì)固定了，是靜態(tài)的。這個(gè)目錄所能代表的僅是這個(gè)目錄下所有文件的存放位置和所有文件總的大小，并不能得出其它有關(guān)信息，這樣就影響到了整體使用目錄的效率，也就是影響了系統(tǒng)的整體效率，使系統(tǒng)的整個(gè)管理變得復(fù)雜。因?yàn)闆]有相互關(guān)聯(lián)，所以在不同應(yīng)用程序中同一對(duì)象要進(jìn)行多次配置，管理起來相當(dāng)繁鎖，影響了系統(tǒng)資源的使用效率。為了改變這種效率低下的關(guān)系和加強(qiáng)與Internet上有關(guān)協(xié)議的關(guān)聯(lián)，Microsoft公司決定在WIN2K中全面改革，也就是引入活動(dòng)目錄的概念。理解活動(dòng)目錄的關(guān)鍵就在于“活動(dòng)”兩個(gè)字，千萬(wàn)不要將“活動(dòng)”兩個(gè)字去掉而僅僅從“目錄”兩個(gè)字去理解，那你我理來理去一定還是不能脫離原來在DOS下目錄或Windows9x下的文件夾，正因?yàn)檫@個(gè)目錄是活動(dòng)的，所以它是動(dòng)態(tài)的，它是一種包含服務(wù)功能的目錄，它可以做到“由此及彼”的聯(lián)想、映射，如找到了一個(gè)用戶名，就可聯(lián)想到它的賬號(hào)、出生信息、E-mail、電話等所有基本信息，雖然組成這些信息的文件可能不在一塊。同時(shí)不同應(yīng)用程序之間還可以對(duì)這些信息進(jìn)行共享，減少了系統(tǒng)開發(fā)資源的浪費(fèi)，提高了系統(tǒng)資源的利用效率?；顒?dòng)目錄包括兩個(gè)方面：目錄和與目錄相關(guān)的服務(wù)。目錄是存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器，從靜態(tài)的角度來理解這活動(dòng)目錄與我們以前所結(jié)識(shí)的“目錄”和“文件夾”沒有本質(zhì)區(qū)別，僅僅是一個(gè)對(duì)象，是一實(shí)體；而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，活動(dòng)目錄是一個(gè)分布式的目錄服務(wù)，信息可以分散在多臺(tái)不同的計(jì)算機(jī)上，保證用戶能夠快速訪問，因?yàn)槎嗯_(tái)機(jī)上有相同的信息，所以在信息容氏方面具有很強(qiáng)的控制能力，正因如此，不管用戶從何處訪問或信息處在何處，都對(duì)用戶提供統(tǒng)一的視圖。 二、相關(guān)名詞術(shù)語(yǔ)雖然活動(dòng)目錄中用到的許多技術(shù)在其他軟件產(chǎn)品中也已經(jīng)出現(xiàn)過，但作為全面的整體網(wǎng)絡(luò)方案還是首次亮相，其中有許多名詞或術(shù)語(yǔ)或許是聞所未聞的，所以有必要詳細(xì)了解一下活動(dòng)目錄的有關(guān)名詞或術(shù)語(yǔ)。1、名字空間：從本質(zhì)上講，活動(dòng)目錄就是一個(gè)名字空間，我們可以把名字空間理解為任何給定名字的解析邊界，這個(gè)邊界就是指這個(gè)名字所能提供或關(guān)聯(lián)、映射的所有信息范圍。通俗地說就是我們?cè)诜?wù)器上通過查找一個(gè)對(duì)象可以查到的所有關(guān)聯(lián)信息總和，如一個(gè)用戶，如果我們?cè)诜?wù)器已給這個(gè)用戶定義了講如：用戶名、用戶密碼、工作單位、聯(lián)系電話、家庭住址等，那上面所說的總和廣義上理解就是“用戶”這個(gè)名字的名字空間，因?yàn)槲覀冎惠斎胍粋€(gè)用戶名即可找到上面我所列的一切信息。名字解析是把一個(gè)名字翻譯成該名字所代表的對(duì)象或者信息的處理過程。舉例來說，在一個(gè)電話目錄形成一個(gè)名字空間中，我們可以從每一個(gè)電話戶頭的名字可以被解析到相應(yīng)的電話號(hào)碼，而不是象現(xiàn)在一樣名字是名字，號(hào)碼歸號(hào)碼，根本不能橫向聯(lián)系。Windows 操作系統(tǒng)的文件系統(tǒng)也形成了一個(gè)名字空間，每一個(gè)文件名都可以被解析到文件本身（包含它應(yīng)有的所有信息）。2、對(duì)象： 對(duì)象是活動(dòng)目錄中的信息實(shí)體，也即我們通常所見的“屬性”，但它是一組屬性的集合，往往代表了有形的實(shí)體，比如用戶賬戶、 文 件名等。對(duì)象通過屬性描述它的基本特征，比如，一個(gè)用戶賬號(hào)的屬性中可能包括用戶姓名、 電話號(hào)碼、 電子郵件地址和家庭住址等。3、容器：容器是活動(dòng)目錄名字空間的一部分，與目錄對(duì)象一樣，它也有屬性，但與目錄對(duì)象不同的是，它不代表有形的實(shí)體，而是代表存放對(duì)象的空間，因?yàn)樗鼉H代表存放一個(gè)對(duì)象的空間，所以它比名字空間小。比如一個(gè)用戶，它是一個(gè)對(duì)象，但這個(gè)對(duì)象的容器就僅限于從這個(gè)對(duì)象本身所能提供的信息空間，如它僅能提供用戶名、用戶密碼。其它的如：工作單位、聯(lián)系電話、家庭住址等就不屬于這個(gè)對(duì)象的容器范圍了。4、目錄樹：在任何一個(gè)名字空間中，目錄樹是指由容器和對(duì)象構(gòu)成的層次結(jié)構(gòu)。樹的葉子、節(jié)點(diǎn)往往是對(duì)象，樹的非葉子節(jié)點(diǎn)是容器。目錄樹表達(dá)了對(duì)象的連接方式，也顯示了從一個(gè)對(duì)象到另一個(gè)對(duì)象的路徑。在活動(dòng)目錄中，目錄樹是基本的結(jié)構(gòu)，從每一個(gè)容器作為起點(diǎn)，層層深入， 都可以構(gòu)成一棵子樹。一個(gè)簡(jiǎn)單的目錄可以構(gòu)成一棵樹，一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)或者一個(gè)域也可以構(gòu)成一棵樹。這也很容易理解，我們最初學(xué)電腦時(shí)不就是在全面理解DOS下的路徑概念基礎(chǔ)之上開始的嗎，其實(shí)這“目錄樹”也就是一種“路徑關(guān)系”，如果你理解了DOS下的“路徑”相信理解這“目錄樹”是沒什么問題的！5、域： 域是WIN2K網(wǎng)絡(luò)系統(tǒng)的安全性邊界。我們知道一個(gè)計(jì)算機(jī)網(wǎng)最基本的單元就是“域”，這一點(diǎn)不是WIN2K所獨(dú)有的，但活動(dòng)目錄可以貫穿一個(gè)或多個(gè)域。在獨(dú)立的計(jì)算機(jī)上，域即指計(jì)算機(jī)本身，一個(gè)域可以分布在多個(gè)物理位置上，同時(shí)一個(gè)物理位置又可以劃分不同網(wǎng)段為不同的域，每個(gè)域都有自己的安全策略以及它與其他域的信任關(guān)系。當(dāng)多個(gè)域通過信任關(guān)系連接起來之后，活動(dòng)目錄可以被多個(gè)信任域域共享6、組織單元：包含在域中特別有用的目錄對(duì)象類型就是組織單元。組織單元是可將用戶、組、計(jì)算機(jī)和其他單元放入活動(dòng)目錄的容器中，組織單元不能包括來自其他域的對(duì)象。組織單元是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用單位。使用組織單元，您可在組織單元中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器，這樣您就可以根據(jù)您的組織模型管理帳戶、資源的配置和使用，可使用組織單元?jiǎng)?chuàng)建可縮放到任意規(guī)模的管理模型?？墒谟栌脩魧?duì)域中所有組織單元或?qū)蝹€(gè)組織單元的管理權(quán)限，組織單元的管理員不需要具有域中任何其他組織單元的管理權(quán)，組織單元有點(diǎn)象我們?cè)贜T時(shí)代的工作組，我們從管理權(quán)限上來講可以這么理解。7、域樹：域樹由多個(gè)域組成，這些域共享同一表結(jié)構(gòu)和配置，形成一個(gè)連續(xù)的名字空間。樹中的域通過信任關(guān)系連接起來，活動(dòng)目錄包含一個(gè)或多個(gè)域樹。域樹中的域?qū)哟卧缴罴?jí)別越低，一個(gè)“.”代表一個(gè)層次，如域child.Microsoft.com 就比 Microsoft.com這個(gè)域級(jí)別低，因?yàn)樗袃蓚€(gè)層次關(guān)系，而Microsoft.com只有一個(gè)層次。而域Grandchild.Child.Microsoft.com雙比 Child.Microsoft.com級(jí)別低，道理一樣。域樹中的域是通過雙向可傳遞信任關(guān)系連接在一起。由于這些信任關(guān)系是雙向的而且是可傳遞的，因此在域樹或樹林中新創(chuàng)建的域可以立即與域樹或樹林中每個(gè)其他的域建立信任關(guān)系。這些信任關(guān)系允許單一登錄過程，在域樹或樹林中的所有域上對(duì)用戶進(jìn)行身份驗(yàn)證，但這不一定意味著經(jīng)過身份驗(yàn)證的用戶在域樹的所有域中都擁有相同的權(quán)利和權(quán)限。因?yàn)橛蚴前踩缦蓿员仨氃诿總€(gè)域的基礎(chǔ)上為用戶指派相應(yīng)的權(quán)利和權(quán)限。8、域林：域林是指由一個(gè)或多個(gè)沒有形成連續(xù)名字空間的域樹組成，它與上面所講的域樹最明顯的區(qū)別就在于這些域樹之間沒有形成連續(xù)的名字空間，而域樹則是由一些具有連續(xù)名字空間的域組成。但域林中的所有域樹仍共享同一個(gè)表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹通過Kerberos 信任關(guān)系建立起來，所以每個(gè)域樹都知道Kerberos信任關(guān)系，不同域樹可以交叉引用其他域樹中的對(duì)象。域林都有根域，域林的根域是域林中創(chuàng)建的第一個(gè)域，域林中所有域樹的根域與域林的根域建立可傳遞的信任關(guān)系。9、站點(diǎn)：站點(diǎn)是指包括活動(dòng)目錄域服務(wù)器的一個(gè)網(wǎng)絡(luò)位置，通常是一個(gè)或多個(gè)通過TCP/IP連接起來的子網(wǎng)。站點(diǎn)內(nèi)部的子網(wǎng)通過可靠、快速的網(wǎng)絡(luò)連接起來。站點(diǎn)的劃分使得管理員可以很方便地配置活動(dòng)目錄的復(fù)雜結(jié)構(gòu)，更好地利用物理網(wǎng)絡(luò)特性，使網(wǎng)絡(luò)通信處于最優(yōu)狀態(tài)。當(dāng)用戶登錄到網(wǎng)絡(luò)時(shí)，活動(dòng)目錄客戶機(jī)在同一個(gè)站點(diǎn)內(nèi)找到活動(dòng)目錄域服務(wù)器，由于同一個(gè)站點(diǎn)內(nèi)的網(wǎng)絡(luò)通信是可靠、快速和高效的，所以對(duì)于用戶來說，他可以在最快的時(shí)間內(nèi)登錄到網(wǎng)絡(luò)系統(tǒng)中。因?yàn)檎军c(diǎn)是以子網(wǎng)為邊界的，所以活動(dòng)目錄在登錄時(shí)很容易找到用戶所在的站點(diǎn)，進(jìn)而找到活動(dòng)目錄域服務(wù)器完成登錄工作。10、域控制器：域控制器是使用活動(dòng)目錄安裝向?qū)渲玫腤IN2K Server 的計(jì)算機(jī)?；顒?dòng)目錄安裝向?qū)О惭b和配置為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供活動(dòng)目錄服務(wù)的組件供用戶選擇使用。域控制器存儲(chǔ)著目錄數(shù)據(jù)并管理用戶域的交互關(guān)系，其中包括用戶登錄過程、身份驗(yàn)證和目錄搜索，一個(gè)域可有一個(gè)或多個(gè)域控制器。為了獲得高可用性和容錯(cuò)能力，使用單個(gè)局域網(wǎng) (LAN) 的小單位可能只需要一個(gè)具有兩個(gè)域控制器的域。具有多個(gè)網(wǎng)絡(luò)位置的大公司在每個(gè)位置都需要一個(gè)或多個(gè)域控制器以提供高可用性和容錯(cuò)能力。WIN2K Server 域控制器擴(kuò)展了 WINNT Server 4.0 的域控制器所提供的能力和特性，WIN2K Server 多宿主復(fù)制使每個(gè)域控制器上的目錄數(shù)據(jù)同步，以確保隨著時(shí)間的推移這些信息仍能保持一致，也就是說是動(dòng)態(tài)的，這就是活動(dòng)目錄的作用。多宿主復(fù)制是 WINNT Server 4.0 中使用的主域控制器和備份域控制器模型的發(fā)展，在 WINNT Server 4.0 中只有一個(gè)服務(wù)器，即主域控制器，擁有該目錄的可讀寫副本。 三、安裝活動(dòng)目錄的意義我們說WIN2K的成功和創(chuàng)造性之一就是成功的全面引入了活動(dòng)目錄服務(wù)，那么到底安裝活動(dòng)目錄有什么意義呢？這是我們所有初學(xué)WIN2K的人首要要問的一個(gè)問題。因?yàn)榛顒?dòng)目錄并不是WIN2K系統(tǒng)必需安裝的一種服務(wù)，要全面理解它又是非常的不容易，那么安裝活動(dòng)目錄的意義在哪里呢？它主要體現(xiàn)在以下幾個(gè)方面：1、信息的安全性大大增強(qiáng)安裝活動(dòng)目錄后信息的安全性完全與活動(dòng)目錄集成，用戶授權(quán)管理和目錄進(jìn)入控制已經(jīng)整合在活動(dòng)目錄當(dāng)中了（包括用戶的訪問和登錄權(quán)限等），而它們都是WIN2K操作系統(tǒng)的關(guān)鍵安全措施?；顒?dòng)目錄集中控制用戶授權(quán)，目錄進(jìn)入控制不只能在每一個(gè)目錄中的對(duì)象上定義，而且還能在每一個(gè)對(duì)象的每個(gè)屬性上定義，這一點(diǎn)是以前任何系統(tǒng)所不能達(dá)到的，包括WINNT 4.0。除此之外，活動(dòng)目錄還可以提供存儲(chǔ)和應(yīng)用程序作用域的安全策略，提供安全策略的存儲(chǔ)和應(yīng)用范圍。安全策略可包含帳戶信息，如域范圍內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪問權(quán)等。所以從一定程序上可以這么說WIN2K的安全性就是活動(dòng)目錄所體現(xiàn)的安全性，由此可見對(duì)于網(wǎng)管來說如何配置好活動(dòng)目錄中對(duì)象及屬性的安全性是一個(gè)網(wǎng)管配置好WIN2K系統(tǒng)的關(guān)鍵。2、引入基于策略的管理，使系統(tǒng)的管理更加明朗活動(dòng)目錄服務(wù)包括目錄對(duì)象數(shù)據(jù)存儲(chǔ)和邏輯分層結(jié)構(gòu)（指上面所講的目錄、目錄樹、域、域樹、域林等所組成的層次結(jié)構(gòu)），作為目錄，它存儲(chǔ)著分配給特定環(huán)境的策略，稱為組策略對(duì)象。作為邏輯結(jié)構(gòu)，它為策略應(yīng)用程序提供分層的環(huán)境。組策略對(duì)象表示了一套商務(wù)規(guī)則，它包括與要應(yīng)用的環(huán)境有關(guān)的設(shè)置，組策略是用戶或計(jì)算機(jī)初始化時(shí)用到的配置設(shè)置。所有的組策略設(shè)置都包含在應(yīng)用到活動(dòng)目錄，域，或組織單元的組策略對(duì)象（GPOs）中。GPOs設(shè)置決定目錄對(duì)象和域資源的進(jìn)入權(quán)限，什么樣的域資源可以被用戶使用，以及這些域資源怎樣使用等。例如，組策略對(duì)象可以決定當(dāng)用戶登錄時(shí)用戶在他們的計(jì)算機(jī)上看到什么應(yīng)用程序，當(dāng)它在服務(wù)器上啟動(dòng)時(shí)有多少用戶可連接至 Server，以及當(dāng)用戶轉(zhuǎn)移到不同的部門或組時(shí)他們可訪問什么文件或服務(wù)。組策略對(duì)象使您可以管理少量的策略而不是大量的用戶和計(jì)算機(jī)。通過活動(dòng)目錄，您可將組策略設(shè)置應(yīng)用于適當(dāng)?shù)沫h(huán)境中，不管它是您的整個(gè)單位還是您單位中的特定部門。3、具有很強(qiáng)的可擴(kuò)展性WIN2K的活動(dòng)目錄具有很強(qiáng)的可擴(kuò)展性，管理員可以在計(jì)劃中增加新的對(duì)象類，或者給現(xiàn)有的對(duì)象類增加新的屬性。計(jì)劃包括可以存儲(chǔ)在目錄中的每一個(gè)對(duì)象類的定義和對(duì)象類的屬性。例如，在電子商務(wù)上你可以給每一個(gè)用戶對(duì)象增加一個(gè)購(gòu)物授權(quán)屬性，然后存儲(chǔ)每一個(gè)用戶購(gòu)買權(quán)限作為用戶帳號(hào)的一部分。4、具有很強(qiáng)的可伸縮性活動(dòng)目錄可包含在一個(gè)或多個(gè)域，每個(gè)域具有一個(gè)或多個(gè)域控制器，以便您可以調(diào)整目錄的規(guī)模以滿足任何網(wǎng)絡(luò)的需要。多個(gè)域可組成為域樹，多個(gè)域樹又可組成為樹林，活動(dòng)目錄也就隨著域的伸縮而伸縮，較好地適應(yīng)了單位網(wǎng)絡(luò)的變化。目錄將其架構(gòu)和配置信息分發(fā)給目錄中所有的域控制器，該信息存儲(chǔ)在域的第一個(gè)域控制器中，并且復(fù)制到域中任何其他域控制器。當(dāng)該目錄配置為單個(gè)域時(shí)，添加域控制器將改變目錄的規(guī)模，而不影響其他域的管理開銷。將域添加到目錄使您可以針對(duì)不同策略環(huán)境劃分目錄，并調(diào)整目錄的規(guī)模以容納大量的資源和對(duì)象。5、智能的信息復(fù)制能力信息復(fù)制為目錄提供了信息可用性、容錯(cuò)、負(fù)載平衡和性能優(yōu)勢(shì)，活動(dòng)目錄使用多主機(jī)復(fù)制，允許您在任何域控制器上而不是單個(gè)主域控制器上同步更新目錄。多主機(jī)模式具有更大容錯(cuò)的優(yōu)點(diǎn)，因?yàn)槭褂枚嘤蚩刂破?，即使任何單?dú)的域控制器停止工作，也可繼續(xù)復(fù)制。由于進(jìn)行了多主機(jī)復(fù)制，它們將更新目錄的單個(gè)副本，在域控制器上創(chuàng)建或修改目錄信息后，新創(chuàng)建或更改的信息將發(fā)送到域中的所有其他域控制器，所以其目錄信息是最新的。域控制器需要最新的目錄信息，但是要做到高效率，必須把自身的更新限制在只有新建或更改目錄信息的時(shí)候，以免在網(wǎng)絡(luò)高峰期進(jìn)行同步而影響網(wǎng)絡(luò)速度。在域控制器之間不加選擇地交換目錄信息能夠迅速搞垮任何網(wǎng)絡(luò)。通過活動(dòng)目錄就能達(dá)到只復(fù)制更改的目錄信息，而不至于大量增加域控制器的負(fù)荷。6、與 DNS 集成緊密活動(dòng)目錄使用域名系統(tǒng) (DNS)來為服務(wù)器目錄命名，DNS 是將更容易理解的主機(jī)名（如 Mike.Mycompany.com）轉(zhuǎn)換為數(shù)字 IP 地址的 Internet 標(biāo)準(zhǔn)服務(wù)，利于在TCP/IP網(wǎng)絡(luò)中計(jì)算機(jī)之間的相互識(shí)別和通訊。DNS 的域名基于 DNS 分層命名結(jié)構(gòu)，這是一種倒置的樹狀結(jié)構(gòu)，單個(gè)根域，在它下面可以是父域和子域（分支和葉子）。關(guān)于這一點(diǎn)我會(huì)在后面以專門的篇章加以詳細(xì)講述，在此就僅作簡(jiǎn)單介紹。7、與其他目錄服務(wù)具有互操性由于活動(dòng)目錄是基于標(biāo)準(zhǔn)的目錄訪問協(xié)議，許多應(yīng)用程序界面（API）都允許開發(fā)者進(jìn)入這些協(xié)議，例如活動(dòng)目錄服務(wù)界面（ADSI）、輕型目錄訪問協(xié)議 (LDAP) 第三版和名稱服務(wù)提供程序接口 (NSPI)，因此它可與使用這些協(xié)議的其他目錄服務(wù)相互操作。LDAP 是用于在活動(dòng)目錄中查詢和檢索信息的目錄訪問協(xié)議。因?yàn)樗且环N工業(yè)標(biāo)準(zhǔn)服務(wù)協(xié)議，所以可使用 LDAP 開發(fā)程序，與同時(shí)支持 LDAP 的其他目錄服務(wù)共享活動(dòng)目錄信息?；顒?dòng)目錄支持 Microsoft Exchange 4.0 和 5.x 客戶程序所用的 NSPI 協(xié)議，以提供與 Exchange 目錄的兼容性。8、具有靈活的查詢?nèi)魏斡脩艨墒褂谩伴_始”菜單、“網(wǎng)上鄰居”或“活動(dòng)目錄用戶和計(jì)算機(jī)”上的“搜索”命令，通過對(duì)象屬性快速查找網(wǎng)絡(luò)上的對(duì)象。如您可通過名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶，反之亦然。 在上一篇對(duì)活動(dòng)目錄有個(gè)基本了解之后下面我就來接觸一下活動(dòng)目錄實(shí)質(zhì)上的一面——活動(dòng)目錄的結(jié)構(gòu)。上篇我們講到活動(dòng)目錄是包括兩方面：目錄和目錄相關(guān)的服務(wù)。目錄是存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器，與我們平常所說的目錄沒什么區(qū)別，目錄管理的基本對(duì)象是用戶、計(jì)算機(jī)、文件以及打印機(jī)等資源。而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，如用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理，它才是WIN2K活動(dòng)目錄的關(guān)鍵和精髓所在。目錄服務(wù)是WIN2K網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心管理機(jī)構(gòu)，所以目錄服務(wù)的引入對(duì)整個(gè)操作系統(tǒng)帶來了革命性的變化，不僅系統(tǒng)平臺(tái)上的各基礎(chǔ)模塊，比如網(wǎng)絡(luò)安全機(jī)制、用戶管理模塊等發(fā)生了變化，而且上層應(yīng)用的運(yùn)作方式以及開發(fā)模式也有了相應(yīng)的變化。這樣來理解“活動(dòng)目錄”是不是覺得更加容易？ 同時(shí)活動(dòng)目錄是一個(gè)分布式的目錄服務(wù)，因?yàn)樾畔⒖梢苑稚⒃诙嗯_(tái)不同的計(jì)算機(jī)上，保證各計(jì)算機(jī)用戶快速訪問和容錯(cuò)；同時(shí)不管用戶從何處訪問或信息處在何處，對(duì)用戶都提供統(tǒng)一的視圖，使用戶覺得更加容易理解和掌握WIN2K系統(tǒng)的使用。活動(dòng)目錄集成了WIN2K服務(wù)器的關(guān)鍵服務(wù)，如域名服務(wù)(DNS)，消息隊(duì)列服務(wù)（MSMQ），事務(wù)服務(wù)（MTS）等。在應(yīng)用方面活動(dòng)目錄集成了關(guān)鍵應(yīng)用，如電子郵件、網(wǎng)絡(luò)管理、ERP等。要理解活動(dòng)目錄，我們必須從它的邏輯結(jié)構(gòu)和物理結(jié)構(gòu)入手。 一、活動(dòng)目錄的邏輯結(jié)構(gòu)“邏輯”兩個(gè)字相信大家平時(shí)見的比較多，如我們常說的“邏輯思維、邏輯分析”等，也許大家一講到“邏輯”兩個(gè)字就覺得十分抽象，難以理解。其實(shí)我們?cè)谶@里所講的“邏輯結(jié)構(gòu)”，我覺得還是很好理解的，“邏輯”一般與“物理”是對(duì)等的，我們知道“物理上的”是指實(shí)實(shí)在在的，那么“邏輯上的”不就是指非物理上的，非實(shí)體的東西，它是一種抽象的東西，比如講一種“關(guān)系”、一個(gè)“空間、范圍”等。在第一篇我們講過活動(dòng)目錄的邏輯結(jié)構(gòu)非常靈活，有目錄樹、域、域樹、域林等，這些名字都不是實(shí)實(shí)在在的一種實(shí)體，只是代表了一種關(guān)系，一種范圍，如目錄樹就是由同一名字空間上的目錄組成，而域又是由不同的目錄樹組成，同理域樹是由不同的域組成，域林是由多個(gè)域樹組成。它們是一種完全的樹狀、層次結(jié)構(gòu)視圖，這種關(guān)系我們可以看成是一種動(dòng)態(tài)關(guān)系。邏輯結(jié)構(gòu)還與前面討論過的名字空間有直接關(guān)系，邏輯結(jié)構(gòu)為用戶和管理員在一定的名字空間中查找、定位對(duì)象提供了極大方便。活動(dòng)目錄中的邏輯單元主要包括：1、域、域樹、域林域既是WIN2K網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，是對(duì)象（如計(jì)算機(jī)、用戶等）的容器，這些對(duì)象有相同的安全需求、復(fù)制過程和管理，這一點(diǎn)對(duì)于網(wǎng)管人員應(yīng)是相當(dāng)容易理解的。在WIN2K中域中所有的域控制器都是平等的（這一點(diǎn)與WINNT4.0不一樣，沒有主、副之分），域是安全邊界，域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問或管理其他的域。每個(gè)域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。在這里就涉及到了不同域之間的信任關(guān)系及傳遞關(guān)系，下面就具體講一下WIN2K中的域信任關(guān)系。域與域之間具有一定的信任關(guān)系，域信任關(guān)系使得一個(gè)域中的用戶可由另一域中的域控制器進(jìn)行驗(yàn)證，才能使一個(gè)域中的用戶訪問另一個(gè)域中的資源。所有域信任關(guān)系中只有兩種域：信任關(guān)系域和被信任關(guān)系域。信任關(guān)系就是域A信任域B，則域B中的用戶可以通過域A中的域控制器進(jìn)行身份驗(yàn)證后訪問域A中的資源，則域A與域B之間的關(guān)系就是信任關(guān)系。被信任關(guān)系就是被一個(gè)域信任的關(guān)系，在上面的例子中域B就是被域A信任，域B與域A的關(guān)系就是被信任關(guān)系。信任與被信任關(guān)系可以是單向的，也可以是雙向的，即域A與域B之間可以單方面的信任關(guān)系，也可以是雙方面的信任關(guān)系。而在域中傳遞信任關(guān)系不受關(guān)系中兩個(gè)域的約束，是經(jīng)父域向上傳遞給域目錄樹中的下一個(gè)域，也就是說如果域A信任域B，則域A也就信任域B下面的子域域B1、域B2……，傳遞信任關(guān)系總是雙向的：關(guān)系中的兩個(gè)域互相信任（是指父域與子域之間）。默認(rèn)情況下，域目錄樹或目錄林（目錄林可以看做是同一域中的多個(gè)目錄樹組成）中的所有WiIN2K 信任關(guān)系都是傳遞的。通過大大減少需管理的委托關(guān)系數(shù)量，這將在很大程度上簡(jiǎn)化域的管理。WIN2K中的域傳遞信任關(guān)系一般是系統(tǒng)自動(dòng)的，但對(duì)于相同域目錄樹或林中的WiIN2K域，也可以顯式（手工）地創(chuàng)建傳遞信任關(guān)系。這對(duì)于形成交叉鏈接信任關(guān)系是非常重要的。不傳遞信任關(guān)系受關(guān)系中兩個(gè)域的約束，并且不經(jīng)父域向上傳遞到域目錄樹中的下一個(gè)域。必須顯式地創(chuàng)建不傳遞信任關(guān)系。默認(rèn)情況下，不傳遞信任關(guān)系是單向的，盡管也可以通過創(chuàng)建兩個(gè)單向信任關(guān)系創(chuàng)建一個(gè)雙向關(guān)系。所有不屬于相同域目錄樹或林中WiIN2K 域間建立的委托關(guān)系都是不傳遞的。所有WiIN2K域和WINNT域之間的委托關(guān)系都是不傳遞的，這一點(diǎn)對(duì)于一個(gè)企業(yè)同時(shí)使用WIN2K和WINNT域控制器時(shí)應(yīng)特別注意，當(dāng)從 WindowsNT升級(jí)到WiIN2K時(shí)，所有已現(xiàn)有的WindowsNT信任關(guān)系都將保持不變。在混合模式的網(wǎng)絡(luò)中，所有WindowsNT信任關(guān)系都是不傳遞的。WiIN2K 域和WINNT域目錄林中的WIN2K域和另一目錄林中的WIIN2K域WIN2K域和MITKerberosV5領(lǐng)域單向單向信任關(guān)系是單獨(dú)的委托關(guān)系。雙向信任關(guān)系包括一對(duì)單向委托關(guān)系，所有傳遞信任關(guān)系都是雙向的。為使不傳遞信任關(guān)系成為雙向，必須在所涉及的域間創(chuàng)建兩個(gè)單向信任關(guān)系。2、組織單元（OU）組織單元（OU）是一個(gè)容器對(duì)象，它也是活動(dòng)目錄的邏輯結(jié)構(gòu)的一部分，我們可以把域中的對(duì)象組織成邏輯組，它可以幫助我們簡(jiǎn)化管理工作。OU可以包含各種對(duì)象，比如用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)等，甚至可以包括其他的OU，所以我們可以利用OU把域中的對(duì)象形成一個(gè)完全邏輯上的層次結(jié)構(gòu)。對(duì)于企 業(yè)來講，可以按部門把所有的用戶和設(shè)備組成一個(gè)OU層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個(gè)OU層次結(jié)構(gòu)。很明顯，通過組織單元的包容，組織單元具有很清楚的層次結(jié)構(gòu)，這種包容結(jié)構(gòu)可以使管理者把組織單元切入到域中以反應(yīng)出企業(yè)的組織結(jié)構(gòu)并且可以委派任務(wù)與授權(quán)。建立包容結(jié)構(gòu)的組織模型能夠幫助我們解決許多問題，同時(shí)仍然可以使用大型的域、域樹中每個(gè)對(duì)象都可以顯示在全局目錄，從而用戶就可以利用一個(gè)服務(wù)功能輕易地找到某個(gè)對(duì)象而不管它在域樹結(jié)構(gòu)中的位置。由于OU層次結(jié)構(gòu)局限于域的內(nèi)部，所以一個(gè)域中的OU層次結(jié)構(gòu)與另一個(gè)域中的OU層次結(jié)構(gòu)沒有任何關(guān)系。因?yàn)榛顒?dòng)目錄中的域可以比NT4的域容納更多對(duì)象，所以一個(gè)企業(yè)有可能只用一個(gè)域來構(gòu)造企業(yè)網(wǎng)絡(luò)，這時(shí)候我們就可以使用OU 來對(duì)對(duì)象進(jìn)行分組，形成多種管理層次結(jié)構(gòu)，從而極大地簡(jiǎn)化網(wǎng)絡(luò)管理工作。組織中的不同部門可以成為不同的域，或者一個(gè)組織單元，從而采用層次化的命名方法來反映組織結(jié)構(gòu)和進(jìn)行管理授 權(quán)。順著組織結(jié)構(gòu)進(jìn)行顆粒化的管理授權(quán)可以解決很多管理上的頭疼問題，在加強(qiáng)中央管理的同時(shí)，又不失機(jī)動(dòng)靈活性。WINNT4.0中的很多域都可以成為OU，建立起更大的域和更簡(jiǎn)化的域關(guān)系，借助全局目錄(GlobalCatalog)，用戶和管理員仍然能夠迅速地找到對(duì)象和管理對(duì)象。 WIN2K可以在現(xiàn)存的WINNT4.0的環(huán)境中工作，保護(hù)現(xiàn)有的投資。二、活動(dòng)目錄的物理結(jié)構(gòu)進(jìn)制-活動(dòng)目錄中，物理結(jié)構(gòu)與邏輯結(jié)構(gòu)有很大的不同，它們是彼此獨(dú)立的兩個(gè)概念。邏輯結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)資源的管理，而物理結(jié)構(gòu)則側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化?；顒?dòng)目錄的物理結(jié)構(gòu)主要著眼于活動(dòng)目錄信息的復(fù)制和用戶登錄網(wǎng)絡(luò)時(shí)的性能優(yōu)化。物理結(jié)構(gòu)的兩個(gè)重要概念是站點(diǎn)和 域控制器。1、站點(diǎn)站點(diǎn)是由一個(gè)或多個(gè)IP子網(wǎng)組成，這些子網(wǎng)通過高速網(wǎng)絡(luò)設(shè)備連接在一起。站點(diǎn)往往由企業(yè)的物理位置分布情況決定，可以依據(jù)站點(diǎn)結(jié)構(gòu)配置活動(dòng)目錄的訪問和復(fù)制拓?fù)潢P(guān)系，這樣能使得網(wǎng)絡(luò)更有效地連接，并且可使復(fù)制策略更合理，用戶登錄更快速， 活動(dòng)目錄中的站點(diǎn)與域是兩個(gè)完全獨(dú)立的概念，一個(gè)站點(diǎn)中可以有多個(gè)域，多個(gè)站點(diǎn)也可以位于同一域中?；顒?dòng)目錄站點(diǎn)和服務(wù)可以通過使用站點(diǎn)提高大多數(shù)配置目錄服務(wù)的效率?？梢酝ㄟ^使用活動(dòng)目錄站點(diǎn)和服務(wù)向活動(dòng)目錄發(fā)布站點(diǎn)的方法提供有關(guān)網(wǎng)絡(luò)物理結(jié)構(gòu)的信息，活動(dòng)目錄使用該信息確定如何復(fù)制目錄信息和處理服務(wù)的請(qǐng)求。計(jì)算機(jī)站點(diǎn)是根據(jù)其在子網(wǎng)或一組已連接好子網(wǎng)中的位置指定的，子網(wǎng)提供一種表示網(wǎng)絡(luò)分組的簡(jiǎn)單方法，這與我們常見的郵政編碼將地址分組類似。將子網(wǎng)格式化成可方便發(fā)送有關(guān)網(wǎng)絡(luò)與目錄連接物理信息的形式，將計(jì)算機(jī)置于一個(gè)或多個(gè)連接好的子網(wǎng)中充分體現(xiàn)了站點(diǎn)所有計(jì)算機(jī)必須連接良好這一標(biāo)準(zhǔn)，原因是同一子網(wǎng)中計(jì)算機(jī)的連接情況通常優(yōu)于網(wǎng)絡(luò)中任意選取的計(jì)算機(jī)。使用站點(diǎn)的意義主要在于：（1）、提高了驗(yàn)證過程的效率當(dāng)客戶使用域帳戶登錄時(shí)，登錄機(jī)制首先搜索與客戶處于同一站點(diǎn)內(nèi)的域控制器，使用客戶站點(diǎn)內(nèi)的域控制器首先可以使網(wǎng)絡(luò)傳輸本地化，加快了身份驗(yàn)證的速度，提高了驗(yàn)證過程的效率。（2）、平衡了復(fù)制頻率活動(dòng)目錄信息可在站點(diǎn)內(nèi)部或站點(diǎn)與站點(diǎn)之間進(jìn)行信息復(fù)制，但由于網(wǎng)絡(luò)的原因，活動(dòng)目錄在站點(diǎn)內(nèi)部復(fù)制信息的頻率高于站點(diǎn)間的復(fù)制頻率。這樣做可以平衡對(duì)最新目錄信息需求和可用網(wǎng)絡(luò)帶寬帶來的限制。您可通過站點(diǎn)鏈接來定制活動(dòng)目錄如何復(fù)制信息以指定站點(diǎn)的連接方法，活動(dòng)目錄使用有關(guān)站點(diǎn)如何連接的信息生成連接對(duì)象以便提供有效的復(fù)制和容錯(cuò)。（3）、可提供有關(guān)站點(diǎn)鏈接信息活動(dòng)目錄可使用站點(diǎn)鏈接信息費(fèi)用，鏈接使用次數(shù)，鏈接何時(shí)可用以及鏈接使用頻度等信息確定應(yīng)使用哪個(gè)站點(diǎn)來復(fù)制信息，以及何時(shí)使用該站點(diǎn)。定制復(fù)制計(jì)劃使復(fù)制在特定時(shí)間（諸如網(wǎng)絡(luò)傳輸空閑時(shí)）進(jìn)行會(huì)使復(fù)制更為有效。通常，所有域控制器都可用于站點(diǎn)間信息的交換，但也可以通過指定橋頭堡服務(wù)器優(yōu)先發(fā)送和接收站間復(fù)制信息的方法進(jìn)一步控制復(fù)制行為。當(dāng)擁有希望用于站間復(fù)制的特定服務(wù)器時(shí)，寧愿建立一個(gè)橋頭堡服務(wù)器而不使用其他可用服務(wù)器。或在配置使用代理服務(wù)器時(shí)建立一個(gè)橋頭堡服務(wù)器，用于通過防火墻發(fā)送和接收信息。2、域控制器域控制器是指運(yùn)行WIN2KServer版本的服務(wù)器，它保存了活動(dòng)目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個(gè)域中的其他域控制器上，使各域控制器上的目錄信息處于同步。域控制器也負(fù)責(zé)用戶的登錄過程以及其他與域有關(guān)的操作，比如身份鑒定、目錄信息查找等一個(gè)域可以有多個(gè)域控制器。規(guī)模較小的域可以只需要兩個(gè)域控制器，一個(gè)實(shí)際使用，另一個(gè)用于 容錯(cuò)性檢查。規(guī)模較大的域可以使用多個(gè)域控制器。WIN2K的域結(jié)構(gòu)與WINNT的域結(jié)構(gòu)不同的是，活動(dòng)目錄中的域控制器沒有主次之分，活動(dòng)目錄采用了多主機(jī)復(fù)制方案，每一個(gè)域控制器都有一個(gè)可寫入的目錄副本，這為目錄信息 容錯(cuò)帶來了無盡的好處。盡管在某一個(gè)時(shí)刻，不同的域控制器中的目錄信息可能有所不同，但一旦 活動(dòng)目錄中的所有域控制器執(zhí)行同步操作之后，最新的變化信息就會(huì)一致。盡管活動(dòng)目錄支持多主機(jī)復(fù)制方案，然而由于復(fù)制引起的通信流量以及網(wǎng)絡(luò)潛在的沖 突，變化的傳播并不一定能夠順利進(jìn)行。因此有必要在域控制器中指定全局目錄服務(wù)器以及操 作主機(jī)。--全局目錄是一個(gè)信息倉(cāng)庫(kù)，包含活動(dòng)目錄中所有對(duì)象的一部分屬性，往往是在查詢過 程中訪問最為頻繁的屬性。利用這些信息，可以定位到任何一個(gè)對(duì)象實(shí)際所在的位置，而全局目 錄服務(wù)器是一個(gè)域控制器，它保存了全局目錄的一份副本，并執(zhí)行對(duì)全局目錄的查詢操作。全局 目錄服務(wù)器可以提高活動(dòng)目錄中大范圍內(nèi)對(duì)象檢索的性能，比如在域林中查詢所有的打印機(jī)操 作。如果沒有一個(gè)全局目錄服務(wù)器，那么這樣的查詢操作必須要調(diào)動(dòng)域林中每一個(gè)域的查詢過 程。如果域中只有一個(gè)域控制器，那么它就是全局目錄服務(wù)器如果有多個(gè)域控制器，那么管理員 必須把一個(gè)域控制器配置為全局目錄控制器。 理解了活動(dòng)目錄的原理之后，現(xiàn)在我們就可以進(jìn)行活動(dòng)目錄的安裝與配置了，活動(dòng)目錄的安裝配置過程并不是很復(fù)雜，因?yàn)閃IN2K中提供了安裝向?qū)?，只需按照提示一步步按系統(tǒng)要求設(shè)定即可。但安裝前的準(zhǔn)備工作顯得比較復(fù)雜，只有充分理解了活動(dòng)目錄的前提下才能正確地安裝配置活動(dòng)目錄。下面我就詳細(xì)地介紹一下活動(dòng)目錄的安裝與配置及其準(zhǔn)備了。 一、活動(dòng)目錄的安裝前的準(zhǔn)備 在前面我們知道“活動(dòng)目錄”是整個(gè)WIN2K系統(tǒng)中的一個(gè)關(guān)鍵服務(wù)，它不是孤立的，它與許多協(xié)議和服務(wù)有著非常緊密和關(guān)系，還涉及到整個(gè)WIN2K系統(tǒng)的系統(tǒng)結(jié)構(gòu)和安全。安裝“活動(dòng)目錄”不是安裝一般Windows組件那么簡(jiǎn)單，在安裝前要進(jìn)行一系列的策劃和準(zhǔn)備。否則輕則根本無法享受到活動(dòng)目錄所帶來的優(yōu)越性，重則不能正確安裝“活動(dòng)目錄”這項(xiàng)服務(wù)。 1、首先在 安裝活動(dòng)目錄之前，必須保證已經(jīng)有一臺(tái)機(jī)器安裝了WIN2K Server 或者Advanced Server，且至少有一個(gè)NTFS分區(qū)， 而且已經(jīng)為TCP/IP 配置了DNS協(xié)議，并且DNS服務(wù)支持SRV記錄和動(dòng)態(tài)更新協(xié)議。2、其次是要規(guī)劃好整個(gè)系統(tǒng)的域結(jié)構(gòu)，活動(dòng)目錄它可包含一個(gè)或多個(gè)域，如果整個(gè)系統(tǒng)的目錄結(jié)構(gòu)規(guī)劃得不好，層次不清就不能很好地發(fā)揮活動(dòng)目錄的優(yōu)越性。在這里選擇根域（就是一個(gè)系統(tǒng)的基本域）是一個(gè)關(guān)鍵， 根域名字的選擇可以有以下幾種方案：1）可以使用一個(gè)已經(jīng)注冊(cè)的DNS 域名作為活動(dòng)目的根域名，這樣的好處在于企業(yè)的公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)使用同樣的DNS名字。2）我們還可使用一個(gè)已經(jīng)注冊(cè)的DNS域名的子域名作為活動(dòng)目錄的根域名。3）為活動(dòng)目錄選擇一個(gè)與已經(jīng)注冊(cè)的DNS域名完全不同 的域名。這樣可以使企業(yè)網(wǎng)絡(luò)在內(nèi)部和互聯(lián)網(wǎng)上呈現(xiàn)出兩種完全不同的命名結(jié)構(gòu)。4）把企業(yè)網(wǎng)絡(luò)的公共部分用一個(gè)已經(jīng)注冊(cè)的DNS域名進(jìn)行命名，而私有網(wǎng)絡(luò)用另一個(gè)內(nèi)部域名，從名字空間上把兩部分分開，這樣做就使得每一部分要訪問另部時(shí)必須使用對(duì)方的名字空間來標(biāo)識(shí)對(duì)象。3、再一個(gè)就是要進(jìn)行域和帳戶命名策劃，因?yàn)槭褂没顒?dòng)目錄的意義之一就在于使內(nèi)、外部網(wǎng)絡(luò)使用統(tǒng)一的目錄服務(wù)，采用統(tǒng)一的命名方案，以方便網(wǎng)絡(luò)管理和商務(wù)往來?；顒?dòng)目錄域名通常是該域的完整DNS名稱，但是為確保向下兼容，每個(gè)域最好還有一個(gè)WIN2K以前版本的名稱，以便在運(yùn)行WIN2K以前版本的操作系統(tǒng)的計(jì)算機(jī)上使用。用戶帳戶在活動(dòng)目錄中，每個(gè)用戶帳戶都有一個(gè)用戶登錄名、一個(gè)WIN2K以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個(gè)用戶主要名稱后綴。在創(chuàng)建用戶帳戶時(shí)，管理員輸入其登錄名并選擇用戶主要名稱，活動(dòng)目錄建議 WIN2K 以前版本的用戶登錄名使用此用戶登錄名的前 20 個(gè)字節(jié)。活動(dòng)目錄命名策略是企業(yè)規(guī)劃網(wǎng)絡(luò)系統(tǒng)的第一個(gè)步驟，命名策略直接影 響到網(wǎng)絡(luò)的基本結(jié)構(gòu)，甚至影響網(wǎng)絡(luò)的性能和可擴(kuò)展性?；顒?dòng)目錄為現(xiàn)代企業(yè)提供了很好的參考模型，既考慮到了企業(yè)的多層次結(jié)構(gòu)，也考慮到了企業(yè)的分布式特性，甚至為直接接入Internet提供完全一致的命名模型。所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 WIN2K 域的標(biāo)準(zhǔn)用法。標(biāo)準(zhǔn)格式為：[email protected] (象個(gè)人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號(hào)?；顒?dòng)目錄 在創(chuàng)建用戶主要名稱時(shí)自動(dòng)添加此符號(hào)。包含多個(gè) @ 號(hào)的用戶主要名稱是無效的。在活動(dòng)目錄中，默認(rèn)的用戶主要名稱后綴是域樹中根域的 DNS名。如果用戶的單位使用由部門和區(qū)域組成的多層域樹，則對(duì)于底層用戶的域名可能很長(zhǎng)。對(duì)于該域中的用戶，默認(rèn)的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認(rèn)的登錄名可能是 [email protected] 。這要一來用戶登錄時(shí)就要輸入的用戶名可能太長(zhǎng)，輸入起來就非常不方便，WIN2K為了解決這一問題，規(guī)定在創(chuàng)建主要名稱后用戶只要在根域后加上相應(yīng)的用戶名， 使同一用戶使用更簡(jiǎn)單的登錄名 [email protected] 就可以登錄，而不是前面所提到的那一長(zhǎng)串。4、最后就是要注意設(shè)置規(guī)劃好域間的信任關(guān)系，對(duì)于WIN2K計(jì)算機(jī)，通過基于 Kerberos V5 安全協(xié)議的雙向、可傳遞信任關(guān)系啟用域之間的帳戶驗(yàn)證。在域樹中創(chuàng)建域時(shí)，相鄰域（父域和子域）之間自動(dòng)建立信任關(guān)系。在域林中，在樹林根域和添加到樹林的每個(gè)域樹的根域之間自動(dòng)建立信任關(guān)系。如果這些信任關(guān)系是可傳遞的，則可以在域樹或域林中的任何域之間進(jìn)行用戶和計(jì)算機(jī)的身份驗(yàn)證。如果將 WIN2K 以前版本的 Windows域升級(jí)為WIN2K域時(shí)，WIN2K域?qū)⒆詣?dòng)保留域和任何其他域之間現(xiàn)有的單向信任關(guān)系。包括WIN2K以前版本的Windows域的所有信任關(guān)系。如果用戶要安裝新的WIN2K域并且希望與任何WIN2K以前版本的域建立信任關(guān)系，則必須創(chuàng)建與那些域的外部信任關(guān)系。二、活動(dòng)目錄的安裝所有的新安裝都是安裝成為Member Server，如果您在新安裝WIN2K SERVER時(shí)選擇安裝了“活動(dòng)目錄”選項(xiàng)，則系統(tǒng)就會(huì)出現(xiàn)類似于“如果您此時(shí)安裝活動(dòng)目錄則系統(tǒng)中的所有域名就不能再次改變……”之類的提示。一般情況下我們?cè)谛掳惭b系統(tǒng)時(shí)不選擇安裝活動(dòng)目錄，以便我們有時(shí)間來具體規(guī)劃與活動(dòng)目錄有關(guān)的協(xié)議和系統(tǒng)結(jié)構(gòu)。目錄服務(wù)都需要事后用 Dcprom o的命令特別安裝。目錄服務(wù)還可以卸載，而不用象在安裝Windows NT 4.0那樣，一開始就要定終身，系統(tǒng)會(huì)區(qū)分域控制器還是Member Server，兩者之間不可轉(zhuǎn)換。Dcpromo是一個(gè)圖形化的向?qū)С绦颍龑?dǎo)用戶一步一步地建立域控制器，可以新建一 個(gè)域森林，一棵域樹，或者僅僅是域控制器的另一個(gè)備份，非常方便。很多其他的網(wǎng)絡(luò)服 務(wù)，比如DNS Server、DHCP Server和 Certificate Server等，都可以在以后與活動(dòng)目錄 集成安裝，便于實(shí)施策略管理等。 這個(gè)圖形化界面向?qū)С绦蛞矝]有什么特別之處，只要我們?cè)谇懊胬斫夂昧嘶顒?dòng)目錄的含義，并進(jìn)行了安裝前的一系列規(guī)劃，則可以很容易完成所有的安裝任務(wù)。在活動(dòng)目錄安裝之后，主要有三個(gè)活動(dòng)目錄的微軟管理界面（MMC），一個(gè)是活動(dòng)目 錄用戶和計(jì)算機(jī)管理，主要用于實(shí)施對(duì)域的管理；一個(gè)是活動(dòng)目錄的域和域信任關(guān)系的管 理，主要用于管理多域的關(guān)系；還有一個(gè)是活動(dòng)目錄的站點(diǎn)管理，可以把域控制器置于不 同的站點(diǎn)。一般局域網(wǎng)的范圍內(nèi)，為一個(gè)站點(diǎn)，站點(diǎn)內(nèi)的域控制器之間的復(fù)制是自動(dòng)進(jìn)行 的；站點(diǎn)間的域控制器之間的復(fù)制，需要管理員設(shè)定，以優(yōu)化復(fù)制流量，提高可伸縮性。 從活動(dòng)目錄管理界面，還可以在站點(diǎn)、域和組織單元中用鼠標(biāo)右鍵點(diǎn)擊，啟動(dòng)組策略 （Group Policy）的管理界面，實(shí)施對(duì)對(duì)象的細(xì)致管理。對(duì)于站點(diǎn)、域和組織單元，管理員還可以方便地進(jìn)行管理授權(quán)。右鍵點(diǎn)擊它們就可以啟動(dòng)'管理授權(quán) 向?qū)?，一步一步地設(shè)定哪些管理員對(duì)于哪些對(duì)象有什么樣的管理權(quán)限。比如說企業(yè)內(nèi)部 技術(shù)支持中心的管理員，只有復(fù)位用戶口令的權(quán)限，沒有創(chuàng)建和刪除用戶賬號(hào)的權(quán)限。這 種更細(xì)致的管理方法，成為'顆?；?。另外，活動(dòng)目錄還充分地考慮到了備份和恢復(fù)目錄服務(wù)的需要，WIN2K備份工具中有專門備份活動(dòng)目錄的選項(xiàng)，在出現(xiàn)意外事故的時(shí)候，可以在機(jī)器啟動(dòng)時(shí)按F8進(jìn)入安全恢復(fù)模式，保證減少災(zāi)難的惡性影響。 前幾篇我們講了活動(dòng)目錄的基本原理和安裝配置，著重講了一些活動(dòng)目錄的優(yōu)越性，但它并不是一個(gè)獨(dú)立的服務(wù)，它是在結(jié)合以前的一些協(xié)議和服務(wù)之后才得以成功實(shí)現(xiàn)，如DNS、LDAP協(xié)議與活動(dòng)目錄的完美結(jié)合、站點(diǎn)概念的應(yīng)用等都是非常突出的明證。下面我們就分別介紹一下這幾個(gè)應(yīng)用技術(shù)。 一、DNS在活動(dòng)目錄中的應(yīng)用 WIN2K作為一個(gè)嶄新的操作系統(tǒng)，它的最大特點(diǎn)就是引入了活動(dòng)目錄，而活動(dòng)目錄的一個(gè)最大的特點(diǎn)就是把DNS和活動(dòng)目錄緊密結(jié)合在了一起?；顒?dòng)目錄使用域名服務(wù)DNS 作為它的定位服務(wù)，同時(shí)對(duì)標(biāo)準(zhǔn)的DNS作了擴(kuò)充。由于DNS 是使用最為廣泛的定位服務(wù)，所以不僅在Internet 上， 甚至在許多企業(yè)內(nèi)部網(wǎng)絡(luò)中也使用DNS 作為定位服務(wù)。在利用WINNT4.0 構(gòu)建的網(wǎng)絡(luò)系統(tǒng)中，對(duì)每一臺(tái)主機(jī)的唯一標(biāo)識(shí)信息是它的NetBIOS名，系統(tǒng)是利用WINS服務(wù)、信息廣播方式及Lmhost文件等多種模式將NetBIOS名解析為相應(yīng)IP地址，從而實(shí)現(xiàn)信息通訊。在內(nèi)部網(wǎng)絡(luò)系統(tǒng)中（也就是通常我們所說的局域網(wǎng)中），利用NetBIOS名實(shí)現(xiàn)信息通訊是非常方便、快捷的。但是在Internet上對(duì)一臺(tái)主機(jī)的唯一標(biāo)識(shí)信息是它的FQDN格式的域名（如www.163.com），在Internet是利用DNS標(biāo)準(zhǔn)來實(shí)現(xiàn)將域名解析為相應(yīng)IP地址。如果WINNT4.0 構(gòu)建的網(wǎng)絡(luò)系統(tǒng)同Internet連通，則NT網(wǎng)絡(luò)中的每一臺(tái)主機(jī)也都有相應(yīng)域名，其域名的解析是通過WINNT4.0 所支持的DNS 服務(wù)來實(shí)現(xiàn)的。在WINNT4.0 中配置和實(shí)現(xiàn)DNS完全由人為手工來規(guī)劃、設(shè)計(jì)和實(shí)現(xiàn)，由上述可見，在WINNT4.0 網(wǎng)絡(luò)系統(tǒng)中，每一臺(tái)主機(jī)既有NetBIOS名又由域名，而實(shí)際意義基本相同，這在一定程度上增加了網(wǎng)管人員的管理負(fù)擔(dān)，同時(shí)出使整個(gè)網(wǎng)絡(luò)管理顯得更加混亂。在WIN2K的活動(dòng)目錄中，最基本的單位是域（Domain），通過父域和子域的模式將域組織起來形成樹，父域和子域之間是完全雙向的信任關(guān)系，且信任關(guān)系傳遞，其組織結(jié)構(gòu)同DNS系統(tǒng)類似。在活動(dòng)目錄中命名策略基本按照Internet標(biāo)準(zhǔn)來實(shí)現(xiàn)，遵照DNS和LDAP3.0兩種標(biāo)準(zhǔn)，活動(dòng)目錄中的域和DNS系統(tǒng)中的域采用完全相同的命名方式，即活動(dòng)目錄中的域名就是DNS域名。那么在活動(dòng)目錄中依賴于DNS作為定位服務(wù)，實(shí)現(xiàn)將名字解析為IP地址。所以當(dāng)我們利用WIN2K 構(gòu)建活動(dòng)目錄時(shí)，必須同時(shí)安裝配置相應(yīng)的DNS，無論用戶實(shí)現(xiàn)IP地址解析還是登錄驗(yàn)證，都利用DNS在活動(dòng)目錄中定位服務(wù)器?；顒?dòng)目錄與DNS系統(tǒng)的這種緊密集成，意味著活動(dòng)目錄同時(shí)非常適合于Internet和Intranet環(huán)境，這也是微軟創(chuàng)建適用于Internet的網(wǎng)絡(luò)操作系統(tǒng)的思想的一種體現(xiàn)。企業(yè)可以把活動(dòng)目錄直接連接到Internet以簡(jiǎn)化與客戶和合作伙伴之間的信息通訊。另外WIN2K中的DNS服務(wù)允許客戶使用DNS動(dòng)態(tài)更新協(xié)議（RFC 2136）來動(dòng)態(tài)更新資源記錄，通過縮短手工管理這些相同記錄的時(shí)間，提高DNS管理的性能。運(yùn)行WIN2K的計(jì)算機(jī)能動(dòng)態(tài)地注冊(cè)他們的DNS名稱和IP地址。由于活動(dòng)目錄與DNS已經(jīng)集成在一起，因此在WIN2K中NetBIOS名已經(jīng)逐漸失去意義，與此相對(duì)應(yīng)的WINS服務(wù)也處于慢慢被淘汰的過程中。在WINNT中為了有效的發(fā)揮WINS的動(dòng)態(tài)特性，我們通常將DNS與WINS 進(jìn)行集成，這樣能獲得更準(zhǔn)確的解析結(jié)果。但是，WINS并不是Internet標(biāo)準(zhǔn)協(xié)議，而DNS解決動(dòng)態(tài)維護(hù)機(jī)器名與IP地址對(duì)照表的方案是動(dòng)態(tài)DNS。動(dòng)態(tài)DNS并不需要用到WINS，因?yàn)樗试S動(dòng)態(tài)分配IP地址的客戶可以直接注冊(cè)到DNS服務(wù)器上，即時(shí)更新DNS對(duì)照表。WIN2K支持動(dòng)態(tài)DNS，運(yùn)行活動(dòng)目錄服務(wù)的機(jī)器可動(dòng)態(tài)地更新DNS表。WIN2K網(wǎng)絡(luò)中可以不再需要WINS服務(wù)，但是WIN2K仍然支持WINS，這是由于向后兼容的原因。那么如果網(wǎng)絡(luò)系統(tǒng)不再使用WINS，用戶登錄到網(wǎng)絡(luò)時(shí)，客戶機(jī)如何找到域控制器呢？這是因?yàn)閃IN2K在實(shí)現(xiàn)DNS時(shí)，對(duì)標(biāo)準(zhǔn)的DNS進(jìn)行了擴(kuò)展，在DNS表中增加了一種新的記錄類型SRV記錄，它指向活動(dòng)目錄的域控制器。所以如果網(wǎng)絡(luò)系統(tǒng)已經(jīng)全面升級(jí)到WIN2K，那么就可以不再使用WINS 服務(wù) 了。而在WIN2K中，由于支持動(dòng)態(tài)更新協(xié)議（RFC 2136），這種集成也變得沒有必要了。DNS這個(gè)由一系列解釋請(qǐng)求（RFCs）標(biāo)準(zhǔn)組成的在Internet上廣泛采用開放的協(xié)議，已經(jīng)成為網(wǎng)絡(luò)技術(shù)中的統(tǒng)一的標(biāo)準(zhǔn)化的規(guī)范。WIN2K的目標(biāo)是在Internet和Intranet環(huán)境中得到廣泛應(yīng)用，那么它的名稱解析模式就應(yīng)該完全遵守單一的DNS標(biāo)準(zhǔn)。上面主要講了一下DNS在活動(dòng)目錄中的應(yīng)用情況，但或許有人要問原來在WINNT4.0中沒有用活動(dòng)目錄，只用DNS來解析域名，到底活動(dòng)目錄與DNS之間有什么區(qū)別，它們之間又是如何結(jié)合的呢？下面就來具體講一下。1、活動(dòng)目錄與DNS的區(qū)別(1)、存儲(chǔ)的對(duì)象不同DNS和活動(dòng)目錄的結(jié)合是Windows2000服務(wù)器的最主要特點(diǎn)，DNS域和活動(dòng)目錄域?qū)Σ煌拿挚臻g使用同一樣的域名。但它們各自存儲(chǔ)不同的數(shù)據(jù)，因此管理不同的對(duì)象。DNS存儲(chǔ)它的區(qū)域和資源記錄，活動(dòng)目錄存儲(chǔ)域和域中的對(duì)象。對(duì)DNS來說，域名是以DNS的層命名結(jié)構(gòu)為基礎(chǔ)的，是一種倒樹型結(jié)構(gòu)：一個(gè)根域，下面的域既是父域又是子域。每一個(gè)DNS域中的計(jì)算機(jī)可以通過完全合格域名（FQDN）進(jìn)行識(shí)別。每一個(gè)與因特網(wǎng)連接的WIN2K域都有一個(gè)DNS名字，并且每一個(gè)WIN2K域中的計(jì)算機(jī)也都有一個(gè)DNS名字。因此，域和計(jì)算機(jī)即代表活動(dòng)目錄對(duì)象，又代表域節(jié)點(diǎn)。(2)、解析所用的數(shù)據(jù)庫(kù)不同DNS是一種名字解析服務(wù)，DNS是通過DNS服務(wù)器接受請(qǐng)求查詢DNS數(shù)據(jù)庫(kù)來把域或計(jì)算機(jī)解析為IP地址的。DNS客戶發(fā)送DNS名字查詢到它們?cè)O(shè)定的DNS服務(wù)器，DNS服務(wù)器接受請(qǐng)求后或通過本地DNS數(shù)據(jù)庫(kù)解析名字，或查詢因特網(wǎng)上的DNS數(shù)據(jù)庫(kù)，DNS不需要活動(dòng)目錄就可以起作用。活動(dòng)目錄是一種目錄服務(wù)，活動(dòng)目錄通過域控制器接受請(qǐng)求查詢活動(dòng)目錄數(shù)據(jù)庫(kù)來把域?qū)ο竺纸馕鰹閷?duì)象記錄?；顒?dòng)目錄用戶是通過LDAP協(xié)議（一種進(jìn)入目錄服務(wù)的協(xié)議）向活動(dòng)目錄服務(wù)器發(fā)送請(qǐng)求，為了定位活動(dòng)目錄數(shù)據(jù)庫(kù)，需要借助于DNS，也就是說，活動(dòng)目錄把DNS作為定位服務(wù)，把活動(dòng)目錄服務(wù)器解析為IP地址，活動(dòng)目錄不能沒有DNS的幫助。DNS可以獨(dú)立于活動(dòng)目錄，但是活動(dòng)目錄必須有DNS的幫助才能工作。為了活動(dòng)目錄能夠正常的工作，DNS服務(wù)器必須支持服務(wù)定位（SRV）資源記錄，資源記錄把服務(wù)名字映射為提供服務(wù)的服務(wù)器名字。活動(dòng)目錄客戶和域控制器使用SRV資源記錄決定域控制器的IP地址。 除了要求WIN2K網(wǎng)絡(luò)的DNS服務(wù)器支持SRV資源記錄外，微軟還建議DNS服務(wù)器提供對(duì)DNS的動(dòng)態(tài)升級(jí)。DNS動(dòng)態(tài)升級(jí)定義了一個(gè)DNS服務(wù)器在一定值內(nèi)自動(dòng)升級(jí)的協(xié)議，如果沒有此協(xié)議，管理員不得不手動(dòng)配置域控制器產(chǎn)生的新的記錄。新的WIN2K的 DNS服務(wù)既支持SRV資源記錄，又支持動(dòng)態(tài)升級(jí)。如果你選擇其它的非WIN2K為基礎(chǔ)的DNS服務(wù)器，那么你必須證實(shí)它支持SRV資源記錄。對(duì)于一個(gè)合法的支持SRV資源記錄但是不支持動(dòng)態(tài)升級(jí)的DNS服務(wù)器，在你把WIN2K服務(wù)器升級(jí)為域控制器時(shí)，必須使它的資源記錄手動(dòng)升級(jí)。這些可以用Netlogon.dns文件來完成，該文件是由活動(dòng)目錄智能安裝向?qū)?chuàng)建的，存在于文件夾％systemroot%System32config中。 2．兩者的結(jié)合方法既然DNS和活動(dòng)目錄有如此大的區(qū)別，那么它們是怎樣結(jié)合在一起的呢？主要有以下幾種途徑：(1)、活動(dòng)目錄域和DNS域使用一樣的層次結(jié)構(gòu)，雖然功能和目的不一樣，一個(gè)組織的DNS名字空間和活動(dòng)目錄空間有著一樣的結(jié)構(gòu)。(2)、DNS區(qū)可以存儲(chǔ)在活動(dòng)目錄中如果你使用WIN2K DNS服務(wù)，那么主域可以存儲(chǔ)在活動(dòng)目錄中為其它活動(dòng)目錄域控制器提供復(fù)制服務(wù)，并且為DNS服務(wù)提供增強(qiáng)的安全措施。(3)、活動(dòng)目錄客戶使用DNS定位域控制器對(duì)于一個(gè)特定的域，為了定位域控制器，活動(dòng)目錄客戶向它們?cè)O(shè)定的DNS服務(wù)器請(qǐng)求資源記錄。當(dāng)一個(gè)公司使用WIN2K服務(wù)器版作為它們的網(wǎng)絡(luò)操作系統(tǒng)時(shí)，活動(dòng)目錄被認(rèn)為是注冊(cè)的法定DNS名字根域下的一個(gè)或多個(gè)層次結(jié)構(gòu)的WIN2K域。根據(jù)DNS的命名規(guī)則，DNS名字的被句點(diǎn)（.）分開的每一部分代表DNS樹型層次結(jié)構(gòu)的一個(gè)節(jié)點(diǎn)，并且代表WIN2K域樹型層次結(jié)構(gòu)的一個(gè)潛在的活動(dòng)目錄域。DNS的根節(jié)點(diǎn)以空白表示（“”），活動(dòng)目錄名字空間的根節(jié)點(diǎn)沒有父域，它提供活動(dòng)目錄的LDAP進(jìn)入點(diǎn)。二、站點(diǎn)（Site）在活動(dòng)目錄中的應(yīng)用我們?cè)诶肳INNT4.0來規(guī)劃設(shè)計(jì)我們的企業(yè)網(wǎng)絡(luò)系統(tǒng)時(shí)，要根據(jù)企業(yè)構(gòu)建的具體情況設(shè)計(jì)相應(yīng)的域模型，如單域、多主域或單主域模型等。我們可以利用這些種類的域模型來規(guī)劃企業(yè)的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)的組織、管理和控制。當(dāng)我們?nèi)?shí)現(xiàn)這種網(wǎng)絡(luò)規(guī)劃時(shí)，常常要根據(jù)企業(yè)內(nèi)部的組織結(jié)構(gòu)形式，作出符合實(shí)際需求的規(guī)劃設(shè)計(jì)。如果是一個(gè)集團(tuán)性質(zhì)的大公司，我們常常需要把某一部門或一些工作關(guān)聯(lián)性較大的部門設(shè)計(jì)成一個(gè)域，以方便組織和管理。這就給我們?cè)O(shè)計(jì)人員提出了一個(gè)很棘手的問題，如果這樣一個(gè)域是由地理上分布在不同位置的計(jì)算機(jī)通過慢速連接構(gòu)成的，那么通過慢速連接的PDC和BDC的信息同步就會(huì)因占據(jù)大量網(wǎng)絡(luò)流量，影響網(wǎng)絡(luò)的整體性能，面對(duì)這樣一個(gè)問題，我們只能束手無策，根本沒有任何控制方法。當(dāng)我接觸到WIN2K之后，活動(dòng)目錄的強(qiáng)大功能和人性化設(shè)計(jì)思想，令我們今后的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)更加方便和靈活。而WIN2K活動(dòng)目錄中Site概念的提出和實(shí)現(xiàn)，為管理和控制DC之間的信息同步提供強(qiáng)大工具，從而有效的解決了我們前面提出的那個(gè)曾令我們束手無策的難題。所謂Site,是指在物理上有較好的線路連接的能實(shí)現(xiàn)較快通訊速率的計(jì)算機(jī)的集合，一般是指一個(gè)LAN。而Site之間一般是通過慢速連接來實(shí)現(xiàn)信息通訊。可見Site 是對(duì)網(wǎng)絡(luò)上計(jì)算機(jī)的實(shí)際的物理分布的一種客觀反映。有了Site這個(gè)概念之后，我們就可以將一個(gè)域中的計(jì)算機(jī)根據(jù)地理位置的分布分裝在幾個(gè)Site之中。在一個(gè)Site當(dāng)中，活動(dòng)目錄利用復(fù)制組件和KCC形成一個(gè)DC之間復(fù)制同步的雙向的環(huán)形，每個(gè)DC都有兩個(gè)復(fù)制伙伴，它們之間形成完全的信息同步。當(dāng)一個(gè)DC中的目錄數(shù)據(jù)庫(kù)發(fā)生變化，它會(huì)等待一段時(shí)間間隔后向它的復(fù)制伙伴發(fā)送變更通知，復(fù)制伙伴接到變更通知后，會(huì)從發(fā)生變化的DC上拷貝目錄數(shù)據(jù)的變化信息。同樣復(fù)制伙伴還會(huì)把變更信息發(fā)送給它的復(fù)制伙伴，從而實(shí)現(xiàn)整個(gè)Site內(nèi)的DC的同步。由于Site內(nèi)采用快速而可靠的網(wǎng)絡(luò)連接，因此Site內(nèi)DC之間的復(fù)制數(shù)據(jù)是不壓縮的，這雖然增加了復(fù)制信息的要求的帶寬，但減少了DC的處理數(shù)據(jù)的負(fù)擔(dān)。一般情況下Site內(nèi)DC的信息同步采用RPC協(xié)議，使數(shù)據(jù)復(fù)制快速、統(tǒng)一，使DC之間保持了較高的數(shù)據(jù)一致性。在Site之間一般是通過慢速連接，只有有限的可用帶寬并且數(shù)據(jù)傳輸不可靠。為了不影響慢速連接線路上的其它數(shù)據(jù)通訊，以及確保DC間目錄復(fù)制的可靠性，Site間的DC的復(fù)制不采用Site內(nèi)DC間復(fù)制的變更通知方式，而是采用復(fù)制調(diào)度的方式。在Site之間可以設(shè)定一個(gè)時(shí)間表和時(shí)間間隔，時(shí)間表決定在哪些時(shí)間允許復(fù)制發(fā)生，時(shí)間間隔指定在允許復(fù)制的時(shí)間內(nèi)DC多久檢查一次數(shù)據(jù)變更。這樣我們就可以將Site間DC復(fù)制同步的時(shí)間表設(shè)定在網(wǎng)絡(luò)流量較少的時(shí)候（比如午夜）。這時(shí)網(wǎng)絡(luò)不擁擠相對(duì)而言也較可靠。而且在Site間DC的目錄復(fù)制采用壓縮的方法，復(fù)制信息可以被壓縮至10%到15%，這樣可以有效地優(yōu)化網(wǎng)絡(luò)帶寬?？梢?，我們通過合理地規(guī)劃活動(dòng)目錄上的Site，可以有效地控制活動(dòng)目錄中DC的同步，優(yōu)化網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)性能。由于在WIN2K的活動(dòng)目錄中，DC之間的同步不但涉及一個(gè)域內(nèi)DC之間大量數(shù)據(jù)的同步，同時(shí)不同域的DC之間也有少量信息需要同步。當(dāng)我們用Site來實(shí)現(xiàn)活動(dòng)目錄中DC之間的復(fù)制布局時(shí)可以借助于 Site link 和Site link Bridge兩種設(shè)置來幫助我們實(shí)現(xiàn)，從而形成一個(gè)更合理、更有效、更可靠的活動(dòng)目錄中DC的復(fù)制布局，最大限度優(yōu)化我們的網(wǎng)絡(luò)系統(tǒng)。三、LDAP在活動(dòng)目錄中的應(yīng)用LDAP的英文全稱是Lightweight Directory Access Protocol，簡(jiǎn)稱為L(zhǎng)DAP。它是基于X.500標(biāo)準(zhǔn)的，但是又比它簡(jiǎn)單許多，并且可以根據(jù)需要定制的一種目錄服務(wù)協(xié)議。與X.500不同，LDAP支持TCP/IP，這對(duì)訪問Internet是必須的。LDAP的核心規(guī)范在RFC中都有定義，所有與LDAP相關(guān)的RFC都可以在LDAPman RFC網(wǎng)頁(yè)中找到。目錄服務(wù)的工作模型是客戶機(jī)/服務(wù)器模型。1988年，CCITT組織首先創(chuàng)建了X.500標(biāo)準(zhǔn)全面描述了這一模型，包括目錄服務(wù)器的目錄結(jié)構(gòu)、命名方法、搜索機(jī)制以及用于客戶機(jī)與服務(wù)器通信的協(xié)議DAP（Directory Access Protocol）。此標(biāo)準(zhǔn)很快被ISO組織引用，編號(hào)為ISO 9594。但是，在實(shí)際應(yīng)用的過程中，X.500存在著不少障礙。由于DAP這種應(yīng)用層的協(xié)議是嚴(yán)格遵照復(fù)雜的ISO七層協(xié)議模型制定的，對(duì)相關(guān)層協(xié)議環(huán)境要求過多，在許多小系統(tǒng)上無法使用，TCP/IP協(xié)議體系的普及更使這種協(xié)議越來越不適應(yīng)需要。在這種情況下，DAP的簡(jiǎn)化版棗LDAP應(yīng)運(yùn)而生。早期設(shè)計(jì)的LDAP服務(wù)器不是獨(dú)立的目錄服務(wù)器，主要扮演LDAP客戶機(jī)與X.500服務(wù)器間網(wǎng)關(guān)的角色，既是LDAP的服務(wù)器又是X.500的客戶機(jī)。如今的LDAP服務(wù)器可取代X.500服務(wù)器而獨(dú)立提供服務(wù)。LDAP服務(wù)器的目錄組織以“條目”為基本單位，結(jié)構(gòu)類似樹形，每一個(gè)條目即是樹上的一個(gè)分枝節(jié)點(diǎn)或葉子。一個(gè)條目由多個(gè)“屬性”組成，每個(gè)屬性又由一個(gè)“類型”和一到多個(gè)“值”組成。LDAP協(xié)議直接基于面向連接的TCP協(xié)議實(shí)現(xiàn)，定義了LDAP客戶機(jī)和LDAP服務(wù)器間的通信過程和信息格式。LDAP服務(wù)器在服務(wù)端口（缺省端口號(hào)為389）監(jiān)聽，收到客戶機(jī)的請(qǐng)求后，建立連接，開始會(huì)話?；顒?dòng)目錄與DNS協(xié)議的結(jié)合的意義在于使內(nèi)部網(wǎng)與外部網(wǎng)命名方式保持一致，這樣便于整個(gè)網(wǎng)絡(luò)的管理。LDAP協(xié)議是用于查詢和檢索活動(dòng)目錄信息的目錄訪問協(xié)議。由于它是基于工業(yè)標(biāo)準(zhǔn)的目錄服務(wù)協(xié)議，使用 LDAP 的程序可以發(fā)展成與其他目錄服務(wù)共享活動(dòng)目錄信息，這些目錄服務(wù)同樣支持LDAP?；顒?dòng)目錄信息活 動(dòng)目錄使用LDAP 目錄訪問協(xié)議作為它與其他應(yīng)用或者目錄服務(wù)交換信息的手段。LDAP 已經(jīng)成為 目錄服務(wù)的標(biāo)準(zhǔn)，它比X.500 DAP 協(xié)議更為簡(jiǎn)單實(shí)用一些。Microsoft 已經(jīng)在Exchange Server 系統(tǒng)中提供了LDAP v2 和LDAP v3 的支持， 在WIN2K 的活動(dòng)目錄服 務(wù)中將提供更為全面的支持。值得一提的是LDAP 協(xié)議中采用的命名格式， 因?yàn)槲覀冃枰ㄟ^名字信息訪問目錄對(duì)象，所以名字格式對(duì)于用戶或者應(yīng)用程序非常重要?；顒?dòng)目錄支持大多數(shù)的名字格式類型。較為常用的格式有以下兩種：（1） RFC822 命 名 法 這種命名法的標(biāo)準(zhǔn)格式為：object_name@domain_name，形式非常類似于電子郵件地址，比如[email protected]?；顒?dòng)目錄為所有的用戶提供了這種式的好名字，所以用戶可以直接使用該友好名字當(dāng)作電子郵件地址，也可以用作登錄系統(tǒng)時(shí)的賬戶名。（2） LDAP URL 和X.500 名 字 任何一個(gè)支持LDAP 的客戶都可以利用LDAP名通過LDAP 協(xié)議訪問活動(dòng)目錄，LDAP 名不像普通的Internet URL 名字那么直觀，但是LDAP 名往往隱藏在 應(yīng)用系統(tǒng)的內(nèi)部，最終用戶很少直接使用LDAP 名。LDAP 名使用X.500 命名規(guī) 范，也稱為屬性化命名法，包括活動(dòng)目錄服務(wù)所在的服務(wù)器以及對(duì)象的屬性信息。