IDC资讯中心
windows2000的目录服务
active directory提供集中组织、管理和控制对网络资源访问的方法。
1.active directory命名规范:
 distinguished name: dc=com,dc=contoso,cn=users,cn=james smith 表示用户对象james smith在contoso.com
域中
 relative distinguished name: 是distinguished name的一部分
 user principal name: 由用户登录名和域名组成,如 jamess@contoso.com
 guid: active directory中的每一个对象都有唯一的guid
2.active directory的逻辑结构:
 domain:安全边界,每个域有自己的安全策略 active directory复制的 单元 有mixed mode和native mode
(域控制器都是win2000)
 organizational units:用于存放对象的容器,如用户账号、组、计算机等 可容纳对象和其他ou 可按地理或逻
辑需要创建ou
 tree:共享连续的命名空间,管理员可在树中任何一个域进行管理
 forest:一组树构成了森林,但不共享连续的命名空间 trust
 relationship:支持单向、非传递性的和双向、传递性的信任关系 双向信任在win2000中是缺省的
3.active directory的物理结构:
 site:一个或多个通过高速连接的ip子网构成了site site允许配置目录访问和复制的拓扑结构 创建site是为了
优化复制流量和允许用户更好地访问域控制器
 domain controller: active directory使用多主复制模型,不存在主域控制器, 域控制器之间相互复制目录数
据
 global catalog: 包含active directory中对象属性的子集,最常访问的属性 被存放在global catalog中
4.active directory复制组件:
 knowledge consistency checker(kcc): active directory通过kcc自动配置域控制器之间的复制连接 kcc是
域控制器的内建进程,它创建连接以保持复制拓扑的完整性
 server object: 当创建域控制器时,会自动创建一个server object,它和域控制器 的computer object不一
样,尽管都指向同一个计算机。server object 主要用于域控制器的复制和站点管理。 server object是site object的子
对象。site object应包含域控制 器所在的子网。
 ntds setting object: 包含connection object对象的容器
 connection object: 两个server object之间复制的一个单向连接 可由kcc自动创建或管理员手动创建
5.在一个站点内复制:
当域控制器的对象发生了变化,产生一个change notification进程,缺省 等5分钟后发送消息给复制伙伴。而且复制流量
是未压缩的。复制采用的协议 是rpc over ip(remote procedure call)—提供高速、一致的连接性。
6.在多个站点之间复制:
通过schedule、interval等值来进行配置。例如,schedule决定什么时候开始 复制,而interval决定多长时间间隔域控制
器检查改变是否发生。而且,复制 流量是被压缩的,压缩比大约为10%-15% 。复制采用的协议是rpc over ip或 smtp,但
smtp只能用于不同域的域控制器之间的复制,大多数情况下,采用rpc over ip。
7.连接多个sites:
需要额外的对象—site links和site link bridges
 site links—表示两个site之间的连接的对象。缺省时创建defaultipsitelink。 可以为site link指定一些
value:
 cost—反映连接的带宽。值从1到32767。值越大表示连接速度 越满,缺省时为100。另外,应保证cost的选择
是成比例的。
 interval—复制的时间间隔。
 schedule—定义什么时候可以复制,缺省时,所用时间段均可。
 site link bridges—表示一组采用相同复制协议的site links。缺省时,所有 采用相同复制协议的site
links属于某个site link bridge, 而且在完全路由的网络中,不需手工配置。
