|
恍枰疃柯季涂梢云鹱饔谩?
活动目录是一种目录服务,活动目录通过域控制器接受请求查询活动目录数据库来把域对象名字解析为对象记录。活动目录用户是通过LDAP协议(一种进入目录服务的协议)向活动目录服务器发送请求,为了定位活动目录数据库,需要借助于DNS,也就是说,活动目录把DNS作为定位服务,把活动目录服务器解析为IP地址,活动目录不能没有DNS的帮助。DNS可以独立于活动目录,但是活动目录必须有DNS的帮助才能工作。为了活动目录能够正常的工作,DNS服务器必须支持服务定位(SRV)资源记录,资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址。
除了要求WIN2K网络的DNS服务器支持SRV资源记录外,微软还建议DNS服务器提供对DNS的动态升级。DNS动态升级定义了一个DNS服务器在一定值内自动升级的协议,如果没有此协议,管理员不得不手动配置域控制器产生的新的记录。新的WIN2K的 DNS服务既支持SRV资源记录,又支持动态升级。如果你选择其它的非WIN2K为基础的DNS服务器,那么你必须证实它支持SRV资源记录。对于一个合法的支持SRV资源记录但是不支持动态升级的DNS服务器,在你把WIN2K服务器升级为域控制器时,必须使它的资源记录手动升级。这些可以用Netlogon.dns文件来完成,该文件是由活动目录智能安装向导创建的,存在于文件夹%systemroot%\System32\config中。
2.两者的结合方法
既然DNS和活动目录有如此大的区别,那么它们是怎样结合在一起的呢?主要有以下几种途径:
(1)、活动目录域和DNS域使用一样的层次结构,
虽然功能和目的不一样,一个组织的DNS名字空间和活动目录空间有着一样的结构。
(2)、DNS区可以存储在活动目录中
如果你使用WIN2K DNS服务,那么主域可以存储在活动目录中为其它活动目录域控制器提供复制服务,并且为DNS服务提供增强的安全措施。
(3)、活动目录客户使用DNS定位域控制器
对于一个特定的域,为了定位域控制器,活动目录客户向它们设定的DNS服务器请求资源记录。当一个公司使用WIN2K服务器版作为它们的网络操作系统时,活动目录被认为是注册的法定DNS名字根域下的一个或多个层次结构的WIN2K域。
根据DNS的命名规则,DNS名字的被句点(.)分开的每一部分代表DNS树型层次结构的一个节点,并且代表WIN2K域树型层次结构的一个潜在的活动目录域。DNS的根节点以空白表示(“”),活动目录名字空间的根节点没有父域,它提供活动目录的LDAP进入点。
二、站点(Site)在活动目录中的 应用
我们在利用WINNT4.0来规划设计我们的企业网络系统时,要根据企业构建的具体情况设计相应的域模型,如单域、多主域或单主域模型等。我们可以利用这些种类的域模型来规划企业的网络环境,实现对企业网络的组织、管理和控制。当我们去实现这种网络规划时,常常要根据企业内部的组织结构形式,作出符合实际需求的规划设计。如果是一个集团性质的大公司,我们常常需要把某一部门或一些工作关联性较大的部门设计成一个域,以方便组织和管理。这就给我们设计人员提出了一个很棘手的问题,如果这样一个域是由地理上分布在不同位置的计算机通过慢速连接构成的,那么通过慢速连接的PDC和BDC的信息同步就会因占据大量网络流量,影响网络的整体性能,面对这样一个问题,我们只能束手无策,根本没有任何控制方法。
当我接触到WIN2K之后,活动目录的强大功能和人性化设计思想,令我们今后的网络规划设计更加方便和灵活。而WIN2K活动目录中Site概念的提出和实现,为管理和控制DC之间的信息同步提供强大工具,从而有效的解决了我们前面提出的那个曾令我们束手无策的难题。
所谓Site,是指在物理上有较好的线路连接的能实现较快通讯速率的计算机的集合,一般是指一个LAN。而Site之间一般是通过慢速连接来实现信息通讯。可见Site 是对网络上计算机的实际的物理分布的一种客观反映。有了Site这个概念之后,我们就可以将一个域中的计算机根据地理位置的分布分装在几个Site之中。在一个Site当中,活动目录利用复制组件和KCC形成一个DC之间复制同步的双向的环形,每个DC都有两个复制伙伴,它们之间形成完全的信息同步。当一个DC中的目录数据库发生变化,它会等待一段时间间隔后向它的复制伙伴发送变更通知,复制伙伴接到变更通知后,会从发生变化的DC上拷贝目录数据的变化信息。同样复制伙伴还会把变更信息发送给它的复制伙伴,从而实现整个Site内的DC的同步。由于Site内采用快速而可靠的网络连接,因此Site内DC之间的复制数据是不压缩的,这虽然增加了复制信息的要求的带宽,但减少了DC的处理数据的负担。一般情况下Site内DC的信息同步采用RPC协议,使数据复制快速、统一,使DC之间保持了较高的数据一致性。
在Site之间一般是通过慢速连接,只有有限的可用带宽并且数据传输不可靠。为了不影响慢速连接线路上的其它数据通讯,以及确保DC间目录复制的可靠性,Site间的DC的复制不采用Site内DC间复制的变更通知方式,而是采用复制调度的方式。在Site之间可以设定一个时间表和时间间隔,时间表决定在哪些时间允许复制发生,时间间隔指定在允许复制的时间内DC多久检查一次数据变更。这样我们就可以将Site间DC复制同步的时间表设定在网络流量较少的时候(比如午夜)。这时网络不拥挤相对而言也较可靠。而且在Site间DC的目录复制采用压缩的方法,复制信息可以被压缩至10%到15%,这样可以有效地优化网络带宽。
可见,我们通过合理地规划活动目录上的Site,可以有效地控制活动目录中DC的同步,优化网络带宽,提高网络性能。由于在WIN2K的活动目录中,DC之间的同步不但涉及一个域内DC之间大量数据的同步,同时不同域的DC之间也有少量信息需要同步。当我们用Site来实现活动目录中DC之间的复制布局时可以借助于 Site link 和Site link Bridge两种设置来帮助我们实现,从而形成一个更合理、更有效、更可靠的活动目录中DC的复制布局,最大限度优化我们的网络系统。
三、LDAP在活动目录中的应用
LDAP的英文全称是Lightweight Directory Access Protocol,简称为LDAP。它是基于X.500标准的,但是又比它简单许多,并且可以根据需要定制的一种目录服务协议。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
目录服务的工作模型是客户机/服务器模型。1988年,CCITT组织首先创建了X.500标准全面描述了这一模型,包括目录服务器的目录结构、命名方法、搜索机制以及用于客户机与服务器通信的协议DAP(Directory Access Protocol)。此标准很快被ISO组织引用,编号为ISO 9594。但是,在实际应用的过程中,X.500存在着不少障碍。由于DAP这种应用层的协议是严格遵照复杂的ISO七层协议模型制定的,对相关层协议环境要求过多,在许多小系统上无法使用,TCP/IP协议体系的普及更使这种协议越来越不适应需要。在这种情况下,DAP的简化版棗LDAP应运而生。早期设计的LDAP服务器不是独立的目录服务器,主要扮演LDAP客户机与X.500服务器间网关的角色,既是LDAP的服务器又是X.500的客户机。如今的LDAP服务器可取代X.500服务器而独立提供服务。
LDAP服务器的目录组织以“条目”为基本单位,结构类似树形,每一个条目即是树上的一个分枝节点或叶子。一个条目由多个“属性”组成,每个属性又由一个“类型”和一到多个“值”组成。LDAP协议直接基于面向连接的TCP协议实现,定义了LDAP客户机和LDAP服务器间的通信过程和信息格式。LDAP服务器在服务端口(缺省端口号为389)监听,收到客户机的请求后,建立连接,开始会话。活动目录与DNS协议的结合的意义在于使内部网与外部网命名方式保持一致,这样便于整个网络的管理。LDAP协议是用于查询和检索活动目录信息的目录访问协议。由于它是基于工业标准的目录服务协议,使用 LDAP 的程序可以发展成与其他目录服务共享活动目录信息,这些目录服务同样支持LDAP。活动目录信息活 动目录使用LDAP 目录访问协议作为它与其他应用或者目录服务交换信息的手段。LDAP 已经成为 目录服务的标准,它比X.500 DAP 协议更为简单实用一些。Microsoft 已经在Exchange Server 系统中提供了LDAP v2 和LDAP v3 的支持, 在WIN2K 的活动目录服 务中将提供更为全面的支持。
值得一提的是LDAP 协议中采用的命名格式, 因为我们需要通过名字信息访问目录对象,所以名字格式对于用户或者应用程序非常重要。活动目录支持大多数的名字格式类型。较为常用的格式有以下两种:
(1) RFC822 命 名 法
这种命名法的标准格式为:object_name@domain_name,形式非常类似于电子邮件地址,比如Myname@mydomain.com。活动目录为所有的用户提供了这种式的好名字,所以用户可以直接使用该友好名字当作电子邮件地址,也可以用作登录系统时的账户名。
(2) LDAP URL 和X.500 名 字
任何一个支持LDAP 的客户都可以利用LDAP名通过LDAP 协议访问活动目录,LDAP 名不像普通的Internet URL 名字那么直观,但是LDAP 名往往隐藏在 应用系统的内部,最终用户很少直接使用LDAP 名。LDAP 名使用X.500 命名规 范,也称为属性化命名法,包括活动目录服务所在的服务器以及对象的属性信息。
上一页 [1] [2] [3] 下一页
|
