在03中域一直是最重要的核心地位,但很多人却没弄清楚何谓域。下个简单的定义便是:共享同一个AD数据库的电脑所构成的集合是一个域。
1、域与AD的关系:从域角度来看,AD是由至少一个域所构成的集合,若以AD为主角,从AD的角度来看,域则是AD的分区单位。
AD是域的集合:AD可由单一或多重域组成。
域为AD的分区单位:域各自存储本身所拥有的AD对象,因此域亦是AD中一组对象的集合,或这样说为AD的逻辑分区的单位。
域的功能:1、形成独立的管理单元:即是有独立的帐户、网管人员、安全设置、组策略等等,域之间可以通过信任关系结合起来。2、组策略与委派控制的应用单位:即委派控制与组策略也可应用于域或站点上。前面也提到组织单元(OU),它是将域划分为更小的单元进行管理。便可知其两的关系了吧。3、可跨越地域限制:其实域呢是一个逻辑概念,不同地区都可以加入同一个域中。
域名称:较常见的是DNS和LDAP两种格式。DNS这个大家非常熟悉了,在这里就不讲了,注意的是这里域只是命名方式与DNS相同,并非域的定义都和DNS相同。LDAP DN格式:由于域是构成AD层次的一部分,因此对象的DN必然会包含对象所在的域名称。AD利用DC(DOMAIN COMPONENT)来表示DNS名称中的层次。如上例可写成:CN=FRANKIE KE,OU=SECT1,OU=PRODUCT,DC=MING,DC=COM,DC=US。大家可以看到,实际上DNS域名称转换成对象DN最右边的三个元素。
多重域的结构:再重复说一下,域内可由组织单位来形成层次式结构,使域具有更好的可扩展性。多重域即是域树状目录或林两种结构。域树是由多个域组成,域之间是通过住处信任关系,以层次式加以组织的。特别注意:域树中的域虽然有层次关系,但这是仅限于命名方式,并不代表上层域对下层域具有管辖的权限。域树中各人域都是独立的管理个体,所以上层域的网管人员与下层域的网管人员基本上是处于平等地位,后面介绍过程中会体现。虽然在现实生活中可能有从属关系,AD中是没有的。域林:是多个域树的集合,通过信任关系通信。建立这样的关系是方便查找。
下面作个域的简单规划,会对域加深了解,达到灵活运用。
1、单一域:微软的建议,企业应尽可能使用单一域结构,以简化管理的工作。
假如51CTO公司采用单一域结构。公司内各部门形成组织单位,以便管理。
域树:接上例,假如PRODUCT部门因为本身作业的机密性,需要有独立管理权,则可以将PRODUCT部门独立成域。因此该部门即可设置专用的用户帐户、安全设置、组策略等。
假设51CTO公司并购了POLICE公司,呵呵,并保留POLICE已有的POLICE。COM域名,且要将新公司加入现有的AD中,最理想的方式就是将域POLICE。COM与域51CTO。COM结合成林。
2、
域控制器DC(DOMAIN CONTROLLER)
各域至少必需有一台DC,存储此域中的目录信息(AD对象),并提供相关的服务。在我们安装03时,默认是独立服务器,可以适时将其升级为DC,升级的时候可选择此DC加入现有的域,或作为新域中的第一台DC。也可设置多台DC,提供容错能力。 当修改其中一台DC时,DC之间必须有复制机制,才能维持AD数据的一致性。
注同一个域中的DC有着相同的数据库,但不同域之间不是全部相同,有一些是相同的。
3、
AD目录的复制
局部复制、利用更新序号(USN):每台DC会选定至少两台相邻的DC,作为复制伙伴,DC增加,其也随着增加。当一台更新后,序号增加一,其它便检测得到跟着更新。发生冲突时心GLOBAL UNIQUE STAMP叛定优先级。
4、
站点(SITE)
在这是引用岳老师的解释来理解会更好,呵呵。“站点是高速相连的一组计算机集合,因此,站点从物理角度管理计算机,而域则是共享同一个活动目录的计算机集合,所以域是从逻辑角度管理计算机。微软管理很多大型服务器都使用这种逻辑+物理的方式,例如Exchange中的路由组和管理组,因此,千万别问域和站点哪个大,这两者本身不是包含与被包含的关系。
s_
|L1J S"M[a*l8G
如果域中的计算机都在一个高速网络中,站点的作用倒不是太明显,如果计算机之间有低速连接,那站点就重要了。例如你们公司的域控制器在北京,上海,广州各有三台,北京和上海连接的速度是2M,北京到广州的速度是512k,广州到上海的速度是5M,这时你就要考虑三地之间的Ad复制了,例如北京的AD发生更改,最理想的结果是先在北京的三台DC间复制,然后再复制到上海的三台DC,最后再从上海复制到广州的三台DC,这样效率最高。最差的结果就是北京的一台DC发生更改后,先复制到广州的一台DC,然后再从广州的DC复制到北京的DC。。。。这时候如果把北京,上海,广州分为三个站点,然后设定三个站点间站点链接器的开销,就有助于KCC避免这种槽糕的复制拓扑出现。划分站点的好处还很多,例如避免上海的用户到广州的DC去登录等。
|L1J S"M[a*l8G
如果域中的计算机都在一个高速网络中,站点的作用倒不是太明显,如果计算机之间有低速连接,那站点就重要了。例如你们公司的域控制器在北京,上海,广州各有三台,北京和上海连接的速度是2M,北京到广州的速度是512k,广州到上海的速度是5M,这时你就要考虑三地之间的Ad复制了,例如北京的AD发生更改,最理想的结果是先在北京的三台DC间复制,然后再复制到上海的三台DC,最后再从上海复制到广州的三台DC,这样效率最高。最差的结果就是北京的一台DC发生更改后,先复制到广州的一台DC,然后再从广州的DC复制到北京的DC。。。。这时候如果把北京,上海,广州分为三个站点,然后设定三个站点间站点链接器的开销,就有助于KCC避免这种槽糕的复制拓扑出现。划分站点的好处还很多,例如避免上海的用户到广州的DC去登录等。
补充:同一个站点DC之间的复制是不压缩的,站点与站点之间的复制是经过压缩传输的,压缩到15%左右。所以要可靠的一组计算机组合才比较合适划站点。这是针对站内来说。但对于站点与站点之间的链路传输速度来讲,如果是低速那就站点作用起比较在作用了。KCC是保存着整个林的复制拓朴,当有其它服务器加入时会自动更新。
5、
全局编录(GC-CLOBAL CATALOG)
能包含多个站点,若用户查询的对象位于远程站点时,必然会影响查询的效率。GC包含林中所有对象的部分信息,各站点至少应有一台GC服务器,用户AD所发出的信号,首先会送到就近的GC服务器。通常GC服务器即可满足绝大多数的查询。所以网管人员可设置经常访问的对象属性存储在GC中。实际上GC存储着两类信息:1、所在域中所有对象的完整信息,2、其它域中所有对象的部分信息(属性)。注意GC是最顶级,包含整个林中的对象。其实在我们创建的时候每一台DC会自动建立GC。
下一章来开始实践了,呵呵,看了这么多重要的概念,下面实践中就可以体会得到其中的道理,只有理解清楚了原理,一切都好办,不管出现什么问题。
本文转自yangming1052 51CTO博客,原文链接:http://blog.51cto.com/ming228/93699
,如需转载请自行联系原作者
