AD学习笔记6——活动目录下的目录服务

Active Directory提供集中组织、管理和控制对网络资源访问的方法。

1.Active Directory命名规范：

Distinguished Name: DC=com,DC=contoso,CN=Users,CN=James Smith表示用户对象James Smith在contoso.com域中
Relative Distinguished Name: 是Distinguished Name的一部分
User Principal Name: 由用户登录名和域名组成，如JamesS@contoso.com
GUID: Active Directory中的每一个对象都有唯一的GUID
2.Active Directory的逻辑结构：

Domain：安全边界，每个域有自己的安全策略 Active Directory复制的单元有Mixed Mode和Native Mode（域控制器都是Win2000）
b Organizational Units：用于存放对象的容器，如用户账号、组、计算机等 可容纳对象和其他OU 可按地理或逻辑需要创建OU
Tree：共享连续的命名空间,管理员可在树中任何一个域进行管理
Forest：一组树构成了森林，但不共享连续的命名空间 Trust
Relationship：支持单向、非传递性的和双向、传递性的信任关系 双向信任在Win2000中是缺省的
3.Active Directory的物理结构：

Site：一个或多个通过高速连接的IP子网构成了Site Site允许配置目录访问和复制的拓扑结构 创建Site是为了优化复制流量和允许用户更好地访问域控制器
Domain Controller： Active Directory使用多主复制模型,不存在主域控制器，域控制器之间相互复制目录数据
Global Catalog： 包含Active Directory中对象属性的子集，最常访问的属性 被存放在Global Catalog中
4.Active Directory复制组件:

Knowledge Consistency Checker（KCC）： Active Directory通过KCC自动配置域控制器之间的复制连接KCC是域控制器的内建进程，它创建连接以保持复制拓扑的完整性
Server Object： 当创建域控制器时，会自动创建一个Server Object，它和域控制器的Computer Object不一样，尽管都指向同一个计算机。Server Object主要用于域控制器的复制和站点管理。Server Object是Site Object的子对象。Site Object应包含域控制 器所在的子网。
NTDS Setting Object：包含Connection Object对象的容器
Connection Object：两个Server Object之间复制的一个单向连接可由KCC自动创建或管理员手动创建
5.在一个站点内复制：

当域控制器的对象发生了变化，产生一个Change notification进程，缺省等5分钟后发送消息给复制伙伴。而且复制流量是未压缩的。复制采用的协议 是RPC over IP（remote procedure call）---提供高速、一致的连接性。

6.在多个站点之间复制：

通过schedule、interval等值来进行配置。例如，schedule决定什么时候开始复制，而interval决定多长时间间隔域控制器检查改变是否发生。而且，复制流量是被压缩的，压缩比大约为10%-15% 。复制采用的协议是RPC over IP或 SMTP，但SMTP只能用于不同域的域控制器之间的复制，大多数情况下，采用RPC over IP。

7.连接多个Sites：

需要额外的对象---Site links和Site link bridges

Site Links---表示两个Site之间的连接的对象。缺省时创建DefaultIPSiteLink。 可以为Site link指定一些Value：
Cost---反映连接的带宽。值从1到32767。值越大表示连接速度 越满，缺省时为100。另外，应保证Cost的选择是成比例的。
Interval---复制的时间间隔。
Schedule---定义什么时候可以复制，缺省时，所用时间段均可。
Site Link Bridges---表示一组采用相同复制协议的Site Links。缺省时，所有采用相同复制协议的Site Links属于某个Site Link Bridge， 而且在完全路由的网络中，不需手工配置。