第十一次课森林和域结构课件

Slide Title,Body Text,Second level,Third level,Fourth level,Fifth level,微软系统工程师、微软企业架构专家课程（,13,期）,第十一次课程,微软系统工程师、微软企业架构专家课程（13期）第十一次课程,实现,Active Directory,森林和域结构,实现Active Directory森林和域结构,Overview,Active Directory,介绍,Active Directory,的逻辑结构,Active Directory,的物理结构,管理,Windows2003,网络的方法,OverviewActive Directory介绍,Lesson1:Active Directory,介绍,Active Directory,的概念,Active Directory,对象,Active Directory,架构,轻量级目录访问协议（,LDAP,）,Lesson1:Active Directory介绍Act,Active Directory的概念,AD,存储着整个网络上的资源（用户、组、共享目录等）信息，并且可以很方便地让用户查找、管理和使用这些资源。,AD,是由多个组件组成的,AD,的组件：,对像,架构,LDAP,AD,提供目录服务,集中式管理,Active Directory的概念AD存储着整个网络上的,Domain,OU1,Computers,Computer1,Users,User1,Users,User2,OU2,Printers,Printer1,什么是目录服务？,有关人员和组织中的资源的信息的结构化存储库,KimYoshida,Attributes,Values,Name,Building,Floor,Kim Yoshida,117,1,DomainOU1ComputersComputer1Use,Active Directory对象,AD,存储着网络对象的信息。,AD,对象（,Objects,）代表着网络资源，例如：用户、组、计算机和打印机。而且网络中所有的服务器、域和站点都被表示为对象,。,当创建对象时，对象的属性或特性（,Attributes,）存储着用来描述对象的信息。用户可以在整个,AD,中通过搜索特定的属性来定位对像。例用户可以通过查找打印机的位置属性来确定打印机的确切位置。,Active Directory对象AD存储着网络对象的信息,什么是架构？,对象的类和可以扩展的属性的全林性定义,架构更改可以重新定义或停用,对像,类的示例,User,Computer,Printer,属性的示例,accountExpires,department,distinguishedName,directReports,dNSHostName,operatingSystem,repsFrom,repsTo,firstName,lastName,什么是架构？对象的类和可以扩展的属性的全林性定义对像 类的示,轻量级目录访问协议（LDAP）,轻量级目录访问协议（,LDAP,，,Lightweight Directory Access Protocol,）是用于查询和更新,AD,的目录服务协议。,LDAP,协议规范表明，,AD,对象可以由一系列域组件、组织单位（,OU,）和公用名来代表，它们在,AD,里创建了,LDAP,命名路径。,LDAP,命名路径被用于访问,AD,对象，并包括下面两类：,可分辨的名称,相对可分辨的名称,轻量级目录访问协议（LDAP）轻量级目录访问协议（LDAP，,可分辨的名称,在,AD,中每一个对象都有一个可分辨的名称。可分辨的名称（,distinguished name,）用于标识对象所在的域和到达该对象完整路径。下面是可分辨的名称的典型例子,CN=Sunzan Fine,、,OU=Sales,、,DC=contoso,、,DC=msft,关键字,属性,描述,DC,域组件,DNS,名称的域组件，例如：,com,OU,组织单位,组织单位可以用来包含其他的对象,CN,公用名,除了域组件和组织单位的所有对象，如用户和计算机对象,可分辨的名称在AD中每一个对象都有一个可分辨的名称。可分辨的,什么是相对的可辨的名称？,可分辨的名称标识对象的域和路径到达它,Contoso.msft,Finance,Sales,Suzan Fine,CN=Suzan Fine,OU=Sales,OU=Finance,DC=contoso,DC=msft,相对的可分辨的名称,什么是相对的可辨的名称？可分辨的名称标识对象的域和路径到达它,Lesson2:,Active Directory,的逻辑结构,多媒体：,Active Directory,逻辑结构,域,组织单位,树和树林,全局编录,Lesson2:Active Directory的逻辑结构,多媒体：,Active Directory,逻辑结构,Domain,Domain,Domain,Domain,Domain,Domain,OU,OU,OU,域树,Domain,森林,组织单位,对像,多媒体：Active Directory 逻辑结构Doma,Active Directory,逻辑结构,AD,的逻辑结构具有伸缩性，并且提供了一种在,AD,中层次结构的方法，该方法对于用户和管理员来说是易于理解的。,AD,结构的逻辑组件包括,域,组织单位,树与树林,全局编录,Active Directory 逻辑结构AD的逻辑结构具有,域,域是,AD,中逻辑结构的核心单位。域是由管理员定义的计算机集合，它共享一个公用的目录数据庫。域有惟一的名称，并提供对由域管理员集中维护的用户帐户和组账户的访问。,安全边界,复制单位,域域是AD中逻辑结构的核心单位。域是由管理员定义的计算机集合,组织单位,OU,是一个容器对象，该容器对象用来在一个域中组织对象。,OU,可以包含的对象包括用户账户、组、计算机、打印机和其他,OU,。,Domain,OU1,Computers,Computer1,Users,User1,Users,User2,OU2,Printers,Printer1,（,1,）,OU,层次结构,可以使用,OU,把对象分组成一个最适应公司需求的逻辑层次结构。,（,2,）管理控制,可以把管理控制权委派给,OU,内的对象。要委派,OU,的管理控制权，必须把,OU,及,OU,包含的对象的特殊权限指派给一个或多个用户和组。对,OU,来说，既可以给它指派全部管理控制权。,组织单位OU是一个容器对象，该容器对象用来在一个域中组织对象,树和树林,asia.,Nwtraders.msft,OU,OU,OU,asa.,conoso.msft,(,根,),conoso.msft,au.,conoso.msft,nwtraders.msft,au.,Nwtraders.msft,树林,树,树,双向可传递信任,树和树林asia.OUOUOUasa.(根)au.nwtra,树,树（,tree,）是,Windows2003,域的层次结构排列，这些域共享连续的名称空间。把一个域添加到现存的树中时，这个新的域就是现存的父域的域名相结合形成它的,DNS,域名。每个域和父域之间都有一个双向，可传递的信任关系。,树具有以下共同特征,遵循,DNS,标准，子域的域名是子域附加其父域名的相对名,在一个树中所有的域共享一个公用的架构，它是可以存储在,AD,配置中的对象类型的正式定义,在一个树中的所有的域共享一个公用的全局编录，该全局编录是树中对象的中心信息庫。,树树（tree）是Windows2003域的层次结构排列，,双向、可传递信任,双向、可传递信任关系是Windows2003域之间的默认信任关系。双向、可传递信任是可传递信任和双向信任的结合。,可传递信息是指扩展到一个域的信任关系也会自动扩展到信任该域所有其他域。,双向信任是指在两个域之间存在着两条方向相反的信任路径。,在Windows2003的域中，双向可传递信任的优点是在AD域层次结构的所有域之间存在着完全信任关系。这样，由这种信任关系链接起来的树就形成了树林。,双向、可传递信任双向、可传递信任关系是Windows2003,树林（forest）,树林是一个或多个树，树林中的树并不共享连续的名称空间，然而，树林中的树共享公共架构和全局编录。一个不与其他树相关联的单一树组成一个只有一个树的树林。这样，每个树的根域与树林根域之间存在着可传递信任关系。树林根域的名称用于表示给定的树林。,树林中的每个树都有它自己惟一的名称空间,树林具有下列特点,树林中的所有树共享一个公共的架构,根据树林中树所在的域不同，树有不同的命名结构,树林中的所有域共享一个全局编录,虽然树林中的域是独立操作的，然而树林去能使通信遍布整个个公司,在域和域树之间存在隐含的双向、可传递信任,树林（forest）树林是一个或多个树，树林中的树并不共享,什么是全局编录？,全局编录（,Global,catalog,）是一个信息库，它包含的,Active Directory,中的所有对象的属性子集。,Global Catalog,Read Only,什么是全局编录？全局编录（Globalcatalog）是一,全局编录,全局编录使用户能够执行下列两种重要的功能：,无论数据在什么位置，都可以通过整个树林中,AD,信息进行查找,使用能用组成员身份登录网络,全局编录服务器是一个域控制器，可以存储查询的副本并奖其整理到全局编录中。在,AD,中建立的第一个域控制器会自动成为全局编录服务器。用户可以通过配置额外的全局编录服务器平衡来自于登录身份验证和查询的通信量,对于正在,AD,中搜索某个对像的用户来说，全局编录使树林内的目录结构变得透明,全局编录还包含存储在全局编录中每个对象和属性的访问权限。,全局编录全局编录使用户能够执行下列两种重要的功能：,Lesson3:Active Directory,的物理结构,多媒体：,Active Directory,物理结构,域控制器（,DC,）,站点,Lesson3:Active Directory的物理结构,多媒体：,Active Directory,物理结构,站点,域控制器,WAN 链接,Site,Domain Controllers,WAN Link,Site,多媒体：Active Directory 物理结构站点Si,Active Directory,物理结构,在,AD,中，逻辑结构与物理结构不，并且是相互独立的。逻辑结构一般用来组织网络资源，而物理结构一般用来配置和管理网络通信。域控,A,制器和站点构成了,AD,的物理结构,AD,的物理结构定义了复制和登录发生的时间和地点。理解,AD,物理组件对于优化网络通信和登录处理是很重要的。同进，知道物理结构将有助于复制和登录问题的疑难解答,组件包括：,域控制器（,DC,）,站点（,site,）,Active Directory 物理结构在AD中，逻辑结构,域控制器（DC）,域控制器是一台运行,Windows2003server,的计算机，用来存储目录的副本。同时，域控制器管理目录信息的变化，并把这些变化自制给该域上的其他域控制器域控制器负责存储目录数据，管理用户登录、验证和目录搜索。,一个域可以有一个或多个域控制器。使用单个局域网（,LAN,）的小公司只需要一个有两个域控制器的域来提供合适的有效性和容错性，而一个跨越许多地理位置的大公司在每个区域都需要一个或多个域控制器来提供合适的有效性和容错性。,域控制器（DC）域控制器是一台运行Windows2003se,（续）域控制器（DC）,（,1,）,Active Directory,复制,域或树林中的域控制器能够把,AD,数据庫的变化自动自制给对方。复制确保了,AD,中的所有信息对于整个网络上所有的域控制器和客户端计算机都是可用的。,AD,的物理结构决定了复制发生的时间和复制是如何发生的。,AD,使用的是多主机复制模型。在多主机复制模型