要理解網(wǎng)絡(luò)目錄如何工作，很大程度上意味著必須理解用于設(shè)計(jì)目錄的X.500建議標(biāo)準(zhǔn)。X.500不規(guī)定網(wǎng)絡(luò)目錄的實(shí)現(xiàn)方法，和OSI（Open Systems Interconnection）一樣，它只是一種模型，在此之上，各廠商建造自已的產(chǎn)品。X.500的技術(shù)規(guī)范目的是提供一種機(jī)制，以保證不同廠商的產(chǎn)品可以相互訪問(wèn)信息的通用方法————也就是說(shuō)，規(guī)定了目錄技術(shù)用以實(shí)現(xiàn)互操作性而采用的模式。

???? X.500季員會(huì)設(shè)想了目錄的三種基本用途，人與人之間的通信(Interpersonal Communication)、系統(tǒng)間通信(Intersystem communication)、認(rèn)證服務(wù)(Authentication Services)。任何網(wǎng)絡(luò)目錄結(jié)構(gòu)的設(shè)計(jì)都有兩個(gè)主要目的：對(duì)象識(shí)別和對(duì)象組織！對(duì)象識(shí)別保證結(jié)構(gòu)內(nèi)的每個(gè)對(duì)象都有某種惟一識(shí)別符。每個(gè)惟一識(shí)別符都對(duì)應(yīng)某個(gè)資源。惟一識(shí)別符允許讀者在目錄數(shù)庫(kù)中指定特定的對(duì)象。對(duì)象組織允許目錄中的數(shù)據(jù)被分成子集。X.500結(jié)構(gòu)規(guī)定了給對(duì)象進(jìn)行惟一命令的通用辦法，還提供了一旦對(duì)象創(chuàng)建后組織這些對(duì)象可使用的框架。它還提供其他必要的服務(wù)：在多臺(tái)服務(wù)器上分布數(shù)據(jù)，復(fù)制數(shù)據(jù)庫(kù)部分到多臺(tái)服務(wù)器，以及訪問(wèn)目錄時(shí)使用的多種協(xié)議。它采用和DOS類似的“樹(shù)”型結(jié)構(gòu)。在X.500樹(shù)中，對(duì)象被稱做葉。葉對(duì)象就是不包含其他對(duì)象的任何對(duì)象。定義如下類型的容器：Country(國(guó)家)，用C對(duì)象表示;Organization(組織)用O 對(duì)象表示;Location(位置)用L表示;Organization Unit(組織單位)用OU表示。

輕量協(xié)議就是任何一類針對(duì)在高速互聯(lián)網(wǎng)中使用而設(shè)計(jì)的協(xié)議。 高速傳輸協(xié)議 (HSTP)、Xpress 傳輸協(xié)議 (XTP)、以及輕量目錄訪問(wèn)協(xié)議 (LDAP) 都是這類協(xié)議。

??? 輕量協(xié)議采用比傳統(tǒng)的網(wǎng)絡(luò)和傳輸層協(xié)議更簡(jiǎn)單而有效的方式將路由和傳輸服務(wù)集成起來(lái)。 這樣就使以更高的效率在 ATM 或 FDDI 等高速網(wǎng)絡(luò)和光纜等媒體上進(jìn)行傳輸成為可能。

???? 輕量協(xié)議采用多種措施和改進(jìn)方法使傳輸簡(jiǎn)化和加速，例如采用 TCP/IP 等面向連接的傳輸以及固定報(bào)頭和報(bào)尾大小，進(jìn)而能節(jié)省隨每個(gè)數(shù)據(jù)包傳輸目的地地址的開(kāi)銷。

??? 輕量目錄訪問(wèn)協(xié)議 (LDAP) 是 X.500 協(xié)議中DAP協(xié)議的一個(gè)子集。 LDAP 獨(dú)立于廠家，并可與 X.500 配合使用，但非一定要求與 DAP 配合使用。 DAP（目錄訪問(wèn)協(xié)議）被專門(mén)設(shè)計(jì)為通過(guò)將大量功能轉(zhuǎn)移到客戶計(jì)算機(jī)以減少目錄服務(wù)器的工作量。另一項(xiàng)功能是限制服務(wù)器的資源使用，可以從時(shí)間、容量、范圍和搜索的優(yōu)先級(jí)主面限制用戶的查詢。LDAP提供DAP的多數(shù)功能，對(duì)客戶設(shè)備的要求較低，其次，通過(guò)使LDAP成為更以服務(wù)器為中心的服務(wù)，可以使用這個(gè)標(biāo)準(zhǔn)與廠商特定的目錄通信。所以，LDAP 客戶機(jī)與 DAP客戶機(jī)相比，規(guī)模更小、速度更快、實(shí)現(xiàn)更簡(jiǎn)單。
????? 與 X.500 相反，LDAP 支持進(jìn)行任何類型的 Internet 訪問(wèn)所必須的 TCP/IP。 LDAP 是一種開(kāi)放式協(xié)議，而應(yīng)用程序則獨(dú)立于主持目錄的服務(wù)器平臺(tái)。 LDAP的一些特定服務(wù)，其基本過(guò)過(guò)程：1.客戶向網(wǎng)絡(luò)服務(wù)器的LDAP服務(wù)發(fā)出讀取請(qǐng)求。2.如有必要，LDAP服務(wù)器可以向操作系統(tǒng)進(jìn)行用戶識(shí)別。3.然后，LDAP服務(wù)將請(qǐng)求轉(zhuǎn)換成被訪問(wèn)目錄適合的格式。4.LDAP服務(wù)將請(qǐng)求提交目錄服務(wù)器的DUA。5.目錄服務(wù)器將請(qǐng)求的信息傳回LDAP服務(wù)。6.LDAP服務(wù)將請(qǐng)求的信息返回給客戶。?????????????

Active Directory 不是一種 X.500 目錄。 相反，它采用 LDAP 作為訪問(wèn)協(xié)議，且支持 X.500 信息模式，而不要求系統(tǒng)承擔(dān)所有的 X.500 開(kāi)銷。 這樣做就可以提供較高的互操作性，而這種互操作性恰恰是管理現(xiàn)實(shí)生活中的異機(jī)種網(wǎng)絡(luò)所必須的。

Active Directory 可支持從任何使用 LDAP 的客戶端通過(guò) LDAP 協(xié)議進(jìn)行的訪問(wèn)。 LDAP 名稱不如 Internet 名稱那樣直觀，但是 LDAP 命名的復(fù)雜性通常被應(yīng)用程序所掩蓋。 LDAP 名稱采用被稱作“屬性命名”的 X.500 命名規(guī)則。

LDAP URL 給主持 Active Directory 服務(wù)的服務(wù)器以及對(duì)象的屬性名稱命名。 例如：??? ,
?? OU=Division,O=myco,C=US
LDAP C API (RFC 1823) 是一種指導(dǎo)性的 RFC，是編寫(xiě) LDAP 應(yīng)用程序 C 語(yǔ)言編程的事實(shí)上的標(biāo)準(zhǔn)。

??? 通過(guò)將 DNS 和 X.500 命名標(biāo)準(zhǔn)、LDAP、其他關(guān)鍵協(xié)議以及豐富的 API 的最佳功能結(jié)合起來(lái)，Active Directory 可對(duì)所有資源進(jìn)行集中管理，這些資源包括： 文件、外圍設(shè)備、主機(jī)連接、數(shù)據(jù)庫(kù)、Web 訪問(wèn)、用戶、以及其它對(duì)象、服務(wù)、和網(wǎng)絡(luò)資源。

在NT網(wǎng)絡(luò)中的三種服務(wù)器類型：1.主域控制器（PDC）2.備份域控制器（BDC）3.成員服務(wù)器

????? 成員服務(wù)器（member server）是采用NT服務(wù)器作為操作計(jì)算機(jī)，但些操作系統(tǒng)不包含域賬戶數(shù)據(jù)的復(fù)本。PDC和BDC的工作方式：NT域的域賬戶數(shù)據(jù)庫(kù)復(fù)本在單主域環(huán)境(sing-master environment)中組織。數(shù)據(jù)庫(kù)的改動(dòng)只在其中一個(gè)復(fù)本進(jìn)行——PDC保存復(fù)本。PDC和BDC數(shù)據(jù)庫(kù)的同步過(guò)程：數(shù)據(jù)庫(kù)中每個(gè)目標(biāo)都有一個(gè)屬性，稱做版本ID。每次數(shù)據(jù)庫(kù)發(fā)生變化，版本ID就會(huì)增加，PDC創(chuàng)建了一份日志文件，記錄數(shù)據(jù)庫(kù)每次變化時(shí)的版本ID。每5分鐘，PDC會(huì)檢查數(shù)據(jù)庫(kù)，看看是否有更新，如果有，它會(huì)對(duì)上次更新檢查每臺(tái)BDC版本ID的值。

???? 域間的委托：Microsoft將域定義為“出于管理需要進(jìn)行的用戶和計(jì)算機(jī)邏輯分組”。在域中，用戶賬戶是在中心數(shù)據(jù)庫(kù)中被存儲(chǔ)和管理，該數(shù)據(jù)庫(kù)被稱做安全賬戶管理器(Security Accounts Manager)SAM.因此，我們更好的域定義為：通過(guò)單一數(shù)據(jù)庫(kù)定義和管理的用戶和計(jì)算機(jī)的管理分組！

?? 數(shù)據(jù)庫(kù)的分區(qū)：把用戶和資源分成多個(gè)域的做法稱為數(shù)據(jù)庫(kù)分區(qū)(Partitioning the Datebase)。

?? 建立委托關(guān)系：默認(rèn)每個(gè)域都只是一個(gè)單獨(dú)的實(shí)體，即域之間不共享信息。委托關(guān)系可以定義為兩個(gè)域之間的通信聯(lián)系，只涉及兩個(gè)域：一個(gè)域中包含需要訪問(wèn)資源的用戶賬戶;另一個(gè)域包含訪問(wèn)的資源！有用戶賬戶的域稱為受托域（trustea domain)，有資源的域稱為委托域(trusting domain)。委托關(guān)系并不總是雙向的，一個(gè)雙向委托實(shí)際上是兩個(gè)單向委托。

??? A(Accounts)--G(Golbal Groups)--L(Local Groups)--P(Permissions)說(shuō)明了通過(guò)委托關(guān)系授權(quán)資源訪問(wèn)權(quán)限的基本過(guò)程。

四種域模型

?? 一。單域模型：為四種域模型中最便于實(shí)現(xiàn)的一種，所有用戶和計(jì)算機(jī)和資源都在一個(gè)域中定義

?? 二。單主域模型：包含至少兩個(gè)域，其中所有用戶賬戶都在主域主定義，其它域用于管理物理資源。該模型中，每個(gè)域資源與主域建立了一個(gè)單向委托關(guān)系。

?? 三。多主域模型：這是四程模型中縮放性最好的模型。它看似單主域模型。在WAN環(huán)境中，可能需要多域來(lái)減少跨廣域鏈接的網(wǎng)絡(luò)通信量。說(shuō)明：主域之間有雙向委托關(guān)系。而每個(gè)資源域和每個(gè)含有需要訪問(wèn)其資源的用戶的主域之間是單向委托關(guān)系。可以用M*(M-1)+(R*M)這個(gè)公式來(lái)計(jì)算機(jī)多主域結(jié)構(gòu)中委托的數(shù)目。M是主域的個(gè)數(shù)，R是資源的個(gè)數(shù)。分配權(quán)限，用AGLP方法，但可能在每個(gè)主域中都要?jiǎng)?chuàng)建全局組。

四。完全委托模型：在此模型中，每個(gè)域既有用戶賬戶，也有資源。每個(gè)域必須委托所有其他的域。說(shuō)明：事實(shí)上，完全委托環(huán)境是偶然發(fā)生的。每個(gè)部門(mén)都安裝了NT，使用過(guò)程中，他們發(fā)現(xiàn)如可以共享資源就更好了。這時(shí)只有兩個(gè)選擇：所有域控制器中備份所有數(shù)據(jù)，用其它域模型從0開(kāi)始;或者實(shí)現(xiàn)完全委托模型，管理大量的委托關(guān)系。在該模型中，所有域委托所有其它域。用D*(D-1)，D表示網(wǎng)絡(luò)中域的個(gè)數(shù)。分配權(quán)限，必須在每個(gè)域創(chuàng)建本地組和全局組。

穿過(guò)式認(rèn)證：一種叫做穿過(guò)式認(rèn)證（Pass-Through Anthentication）的過(guò)程保持用戶可以從沒(méi)有賬戶的計(jì)算機(jī)或域上登錄。當(dāng)一位用戶使用一臺(tái)在域中定義并被委托成“主”域的計(jì)算機(jī)。他可以從一份下拉列表中選擇自己的域。

發(fā)生的過(guò)程如下：

??? 1.當(dāng)Windows NT啟動(dòng)時(shí)，它的Netlogon服務(wù)會(huì)找到域2中的一個(gè)域控制器。此過(guò)程中，計(jì)算機(jī)會(huì)收到一份列有所有受托域的清單，顯示在登陸屏幕上。

?? 2.當(dāng)用戶證明自己是域1的BOB時(shí)，Netlogon程序?qū)⒄?qǐng)求會(huì)心給域2中的一個(gè)域控制器。

3.域2中的域控制器識(shí)別出該請(qǐng)求是來(lái)自受托域定義的用戶，因此，將請(qǐng)求傳給域1中的域控制器。

4.域1中的域控制器檢查它的數(shù)據(jù)庫(kù)賬戶，以保證用戶名合法，并且輸入的口令正確。

?? 5.如果登陸請(qǐng)求合法，域1的域控制器將用戶的SID和組信息會(huì)心給域2的域控制器。

6.域2中的域控制器相信認(rèn)證已正確完成，因此，將有關(guān)用戶BOB的信息傳給BOB想的登陸NT機(jī)器，登陸過(guò)程結(jié)束。

全局組、域本地組、通用組到底有什么區(qū)別？它們之間的關(guān)系如何??? [轉(zhuǎn)貼 2005-10-18 11:20:04 | 發(fā)表者: yuan615]????

問(wèn)：全局組、域本地組、通用組到底有什么區(qū)別？它們之間的關(guān)系如何？

答：很多初級(jí)網(wǎng)管員對(duì)全局組、域本地組、通用組之間區(qū)別、關(guān)系比較模糊。對(duì)于這個(gè)問(wèn)題我們首先要明確全局組、域本地組、通用組的的作用范圍。

全局組：可以全局使用。即：可在本域和有信任關(guān)系的其它域中使用，體現(xiàn)的是全局性。MS建議的規(guī)則：基于組織結(jié)構(gòu)、行政結(jié)構(gòu)規(guī)劃。

域本地組：只能在本域的域控制器DC上使用。MS建議的規(guī)則：基于資源（夾、打印機(jī)……）規(guī)劃。

在域的混合模式下，只能把全局組加入到域本地組，即AGDLP原則。

注意：2000/03域的默認(rèn)模式為：混合模式。則域本地組：只能在本域的域控制器DC上使用。若域功能級(jí)別轉(zhuǎn)成本機(jī)模式（或稱2000純模式），甚至03模式，域本地組可在全域范圍內(nèi)使用。

說(shuō)明：全局組和域本地組的關(guān)系，非常類似于域用戶帳號(hào)和本地帳號(hào)的關(guān)系。域用戶帳號(hào)，可以全局使用，即在本域和其它關(guān)系的其它域中都可以使用，而本地帳號(hào)只能在本地機(jī)上使用。下面我來(lái)舉兩個(gè)例子來(lái)進(jìn)一步說(shuō)明（以混合模式下為例）：
　　例1：將用戶張三（域帳號(hào)Z3）加入到域本地組administrators中，并不能使Z3對(duì)非DC的域成員計(jì)算機(jī)有任何特權(quán)，但若加入到全局組Domain Admins中，張三就是域管理員了，可以在全局使用，對(duì)域成員計(jì)算機(jī)是有特權(quán)的。
　　例2：只有在域的DC上，對(duì)資源（如：文件/夾）設(shè)置權(quán)限，你可以指派域本地組administrators；但在非DC的域成員計(jì)算機(jī)上，你是無(wú)法設(shè)置域本地組administrators的權(quán)限的。因?yàn)樗怯虮镜亟M，只能在DC上使用。

通用組：組的成員情況，記錄在全局目錄GC中，非常適于林中跨域訪問(wèn)使用。集成了全局組和域本地組的長(zhǎng)處。

使用AD最基本的好處：對(duì)所有網(wǎng)絡(luò)資源的單次登陸;對(duì)態(tài)映射網(wǎng)絡(luò)資源;網(wǎng)絡(luò)上一組一致的服務(wù)，通過(guò)一個(gè)中心數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)所有用戶的參數(shù)信息。策略和其他惟一的配置信息。AD可以重新創(chuàng)建一個(gè)用戶環(huán)境，無(wú)論他在哪里登陸網(wǎng)絡(luò)。

????? 而AD對(duì)管理員來(lái)說(shuō)有以下好處：對(duì)每個(gè)用戶實(shí)現(xiàn)單點(diǎn)管理;管理多廠商的單一界面。由于AD可以擴(kuò)展存儲(chǔ)任何類型對(duì)象的配置信息，因此可以使用一套工具管理任何在數(shù)據(jù)庫(kù)中表現(xiàn)為一個(gè)對(duì)象的資源。能夠?yàn)橐患?jí)類似的資源提供統(tǒng)一的配置;能夠?yàn)檎麄€(gè)網(wǎng)絡(luò)提供一個(gè)標(biāo)準(zhǔn)策略;在樹(shù)型結(jié)構(gòu)中對(duì)象位置的基礎(chǔ)上，能夠選擇性分配管理職責(zé);在對(duì)象屬性的基礎(chǔ)上，能夠選擇性分配管理職責(zé);能夠從中心位置發(fā)布打印驅(qū)動(dòng)程序。

??? 活動(dòng)目錄數(shù)據(jù)庫(kù)的主要性能之一是可以擴(kuò)展成包含在特定環(huán)境中需要的任何信息。在WIN2K/WIN2K3中，DHCP服務(wù)與AD集成。首先，IP地址的DHCP數(shù)據(jù)庫(kù)被 移至活動(dòng)目錄數(shù)據(jù)庫(kù)中。這樣允許對(duì)所有DHCP服務(wù)的集中控制，更重要的是，這樣消除了實(shí)現(xiàn)DHCP中繼代理的必要，也不必配置路由器來(lái)傳遞BOOTP包。

與DNS集成：DNS最大缺陷是它的靜態(tài)性質(zhì)，每個(gè)資源或服務(wù)的各條目必須手工建立。但該限制對(duì)于電子郵件服務(wù)器和WEB服務(wù)器來(lái)說(shuō)是很棒的，但是作為全面的資源定位符就不那么棒了。AD與DNS集成后，資源就可以在DNS數(shù)據(jù)庫(kù)中動(dòng)態(tài)注冊(cè)。這將DNS變成了一個(gè)活動(dòng)資源的動(dòng)態(tài)維護(hù)數(shù)據(jù)庫(kù)。

全局目錄服務(wù)器(Global Catalog Server)

?? 為了減輕網(wǎng)絡(luò)通信的負(fù)荷，WIN2K/WIN2K3包含了一種部件稱為全局目錄。該服務(wù)默認(rèn)安裝在環(huán)境中的第一個(gè)域控制器上。全局目錄包含林中每個(gè)域定義的每個(gè)對(duì)象的部分復(fù)本，即，有一個(gè)清單列出環(huán)境中的任何事物，但只是實(shí)際數(shù)據(jù)的一部分。全局目錄只存儲(chǔ)每個(gè)對(duì)象的選定屬性，尤其是那些可能經(jīng)常被搜索的屬性。

基于策略的屬性

???? 在WIN2K/WIN2K3中，策略被擴(kuò)展以用于從活動(dòng)目錄數(shù)據(jù)庫(kù)中定義的站點(diǎn)，域或組織單位。控制也被擴(kuò)展，管理員現(xiàn)在幾乎可以控制用戶環(huán)境的各個(gè)方面。

?????? 在AD目錄中，每個(gè)對(duì)象在結(jié)構(gòu)中都有一個(gè)惟一的名字。根據(jù)執(zhí)行的功能，有三種不同類型的名字：識(shí)別名(Distinguished Names);關(guān)聯(lián)名(Relative Names);用戶主名(User Principal Names)

識(shí)別名：對(duì)象的識(shí)別名（DN）表明AD結(jié)構(gòu)中找到該對(duì)象的完整路徑。如katie 。katie king是AD數(shù)據(jù)庫(kù)中指定的真正的名字，Sales是Reno容器中的一個(gè)OU;reno是kingtech容器中的一個(gè)OU;Kingtech是結(jié)構(gòu)頂部的組織;COM代表Kingtech名字空間在因特網(wǎng)上定義的容器

關(guān)聯(lián)名：由對(duì)象的部分DN構(gòu)成，也是對(duì)象屬性的一部分。對(duì)于Katie,她的RN是Katie king,因?yàn)檫@是惟一顯示她的DN的部分。名字的其他部分是由組成DN的容器的RN構(gòu)成。

用戶主名（UPN）：是用戶用來(lái)登陸網(wǎng)絡(luò)的名字。

WIN2K/WIN2K3結(jié)構(gòu)中的活動(dòng)目錄

?? 活動(dòng)目錄子系統(tǒng)存在于NT的安全子系統(tǒng)中，更具體地講，是在安全環(huán)境的本地安全授權(quán)機(jī)構(gòu)(Local Security Authority,LSA)子系統(tǒng)中。在LSA中包含活動(dòng)目錄的具體模塊是目錄服務(wù)模塊（Directory Service module）。WIN2K/WIN2K3的模塊設(shè)計(jì)意味著每個(gè)部件是單獨(dú)和特別的部分，負(fù)責(zé)特定功能的完成。這些部件一起工作，執(zhí)行操作系統(tǒng)任務(wù)。活動(dòng)目錄是安全子系統(tǒng)部件的一部分，在用戶模式下運(yùn)行。用戶模式是執(zhí)行應(yīng)用程序的內(nèi)存的單獨(dú)部分。使用用戶模式運(yùn)行的應(yīng)用程序不能直接訪問(wèn)操作系統(tǒng)或硬件;每 個(gè)訪問(wèn)資源的請(qǐng)求必須通過(guò)不同部件傳送，以確定請(qǐng)求是否合法，基中部件之一就是安全子系統(tǒng)。訪問(wèn)控制清單（Access Control Lists,ACL）將保護(hù)活動(dòng)目錄結(jié)構(gòu)中的對(duì)象。ACL中列明誰(shuí)或什么有權(quán)訪問(wèn)該資源。任何訪問(wèn)AD對(duì)象或?qū)傩缘钠髨D都須通過(guò)ACL由WINDOWS2000/WIN 2003訪問(wèn)確認(rèn)功能。Windows 2000/Windows 2003安全基礎(chǔ)結(jié)構(gòu)包括四個(gè)主要功能：存儲(chǔ)安全策略和賬戶信息；為所有對(duì)象實(shí)施和加強(qiáng)安全模型;認(rèn)證對(duì)AD對(duì)象的訪問(wèn)請(qǐng)求;存儲(chǔ)委托關(guān)系信息

????????? 說(shuō)明：WIN2K/WIN2K3的NT總體結(jié)構(gòu)有了一些改變：增加了即插即用和電源管理模塊，還增加服務(wù)質(zhì)量（Quality of Service,QOS），異步傳輸模式和其他一些I/O管理器驅(qū)動(dòng)程序;還有一些針對(duì)操作系統(tǒng)內(nèi)核的低級(jí)別更改。

安全子系統(tǒng)

??? 活動(dòng)目錄是LSA的子部件，而LSA是安全子系統(tǒng)的子部件。LSA是受保護(hù)的模塊，它維護(hù)本地計(jì)算機(jī)的安全，保證用戶享有系統(tǒng)訪問(wèn)的權(quán)限。LSA有四個(gè)主要功能：生成包含用戶和工作級(jí)信息的令牌，并為特別用戶授予安全特權(quán);管理本地安全策略;為用戶登陸提供互動(dòng)過(guò)程;管理系統(tǒng)審計(jì)。LSA本身由不同部件構(gòu)成，每個(gè)部件負(fù)責(zé)不同的功能

?????????? Netlogon.dll維護(hù)與域控制器的安全連接。它將用戶機(jī)密信息傳給一個(gè)域控制器，并把域安全識(shí)別符和用戶權(quán)限返回給該用戶。在win2k/win2k3中，Netlogon服務(wù)使用DNS定位域控制器，如果是在NT4.0的混合環(huán)境中，Netlogon服務(wù)還控制PDC和BDC之間的復(fù)制過(guò)程。

????????? Msv1_0.dll????? Windows NT LAN Manager（NTLM）認(rèn)證協(xié)議

????????? Schannel.dll??? Secure Sockets Layer(SSL)認(rèn)證協(xié)議

????????? Kerberos.dll???? Kerberos v5認(rèn)證協(xié)議

????????? Lsasrv.dll??????? LSA服務(wù)器服務(wù)，加強(qiáng)安全策略

????????? Samsrv.dll?????? Security Accounts Manager(SAM)，加強(qiáng)存儲(chǔ)的策略

???????? Ntdsa.dll???? Directory Service module，支持LDAP查詢和管理數(shù)據(jù)分區(qū)

???????? Secur32.dll????? 多種認(rèn)證提供都，管理其余部件

目錄服務(wù)模塊

???? 目錄服務(wù)模塊本身由多部件構(gòu)成，這些部件一起工作，提供目錄服務(wù)。這些模塊分布在三層中：代理層（Agents layer）;目錄系統(tǒng)代理層（Diectory System Agent layer）;數(shù)據(jù)庫(kù)層（Datebase layer）這三層控制對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)，稱為可擴(kuò)充存儲(chǔ)引擎（Extensible Storage Engine,ESE）

????? 代理層：有五個(gè)接口代理，通過(guò)內(nèi)部功能獲得對(duì)目錄的訪問(wèn)：LDAP; REPL（Intersite and Intrasite Replication）站點(diǎn)間和站點(diǎn)內(nèi)復(fù)制，對(duì)AD數(shù)據(jù)庫(kù)的更新必須在整個(gè)環(huán)境中復(fù)制; Name Service Provider Interface該接口為給對(duì)象命名提供統(tǒng)一方法; Exchange Directory Service交換目錄服務(wù)（XDS）該接口直接連接Exchange Email系統(tǒng)； Security Accounts Manager（SAM）該接口訪問(wèn)AD數(shù)據(jù)庫(kù)，仿佛它是NT環(huán)境中的賬戶數(shù)據(jù)庫(kù)

?? 目錄代理層：DSA負(fù)責(zé)在已有的平面名字空間的基礎(chǔ)上創(chuàng)建一個(gè)分層樹(shù)型名字空間，使得可以用更邏輯化的方式查看對(duì)象，而不是在平面列表中列出。DSA有如下職責(zé)：執(zhí)行所有目錄服務(wù)語(yǔ)義;進(jìn)程處理；執(zhí)行普通方案；支持AD服務(wù)器間的復(fù)制;提供全局目錄服務(wù);傳播安全描述符。

?? 數(shù)據(jù)庫(kù)層：數(shù)據(jù)庫(kù)層提供訪問(wèn)和搜索目錄數(shù)據(jù)庫(kù)所需的功能。所有數(shù)據(jù)庫(kù)訪問(wèn)都通過(guò)數(shù)據(jù)層選擇路徑。它控制數(shù)據(jù)被查閱的方式。

可擴(kuò)充存儲(chǔ)引擎：ESE是用于存儲(chǔ)活動(dòng)目錄數(shù)據(jù)庫(kù)的實(shí)際數(shù)據(jù)庫(kù)。它是用于MICROSOFT EXCHANGE版本4和版本5的JET數(shù)據(jù)庫(kù)的修改版本。ESE允許創(chuàng)建一個(gè)17TB的數(shù)據(jù)庫(kù)，理論上可存儲(chǔ)將近1000萬(wàn)個(gè)對(duì)象。

???? 活動(dòng)目錄模塊的內(nèi)部結(jié)構(gòu)

????????? RootDSA對(duì)象位于目錄服務(wù)模塊中的DSA內(nèi)部，在AD數(shù)據(jù)庫(kù)定義的邏輯名字空間的頂端，因此，也在LDAP搜索樹(shù)的頂部。RootDSA對(duì)象包含一個(gè)配置容器，該容器存儲(chǔ)著整個(gè)AD網(wǎng)絡(luò)的數(shù)據(jù)。配置容器中存儲(chǔ)的信息提供了復(fù)制目錄數(shù)據(jù)庫(kù)所需的數(shù)據(jù)，服務(wù)器如何聯(lián)系總體名字空間的數(shù)據(jù)和數(shù)據(jù)庫(kù)如何分區(qū)的數(shù)據(jù)。該信息被稱做不同類型信息的名字環(huán)境（name context）。配置容器一有四個(gè)名字環(huán)境：Schema（方案）包所有對(duì)象類及其屬性的定義;Sites（站點(diǎn)）包含企業(yè)網(wǎng)絡(luò)所有站點(diǎn)信息，站點(diǎn)中域控制器信息和復(fù)制拓?fù)湫畔?Partitions（分區(qū)）包含目錄數(shù)據(jù)庫(kù)所有分區(qū)的指針;Service(服務(wù))存儲(chǔ)整個(gè)網(wǎng)絡(luò)范圍服務(wù)的配置信息，如遠(yuǎn)程訪問(wèn)服務(wù)、系統(tǒng)文件卷和DNS

第五篇AD筆記－設(shè)計(jì)活動(dòng)目錄環(huán)境- -
??????????????????????????????????????

???? AD結(jié)構(gòu)是從一些最基本的組件開(kāi)始：AD域。然后AD域可以被組合創(chuàng)建更復(fù)雜的環(huán)境，叫做AD樹(shù)。AD樹(shù)可以連在一起，形成AD林。NT早期對(duì)域的定義：通過(guò)一個(gè)中央安全賬戶數(shù)據(jù)庫(kù)管理的計(jì)算機(jī)和用戶的邏輯分組。根據(jù)此定義，域是：邏輯上，資源的結(jié)構(gòu)分組，允許對(duì)資源的集中管理;物理上，是一個(gè)數(shù)據(jù)庫(kù)，含有這些資源的信息。將邏輯性和物理性組合起來(lái)，就有了一個(gè)管理或安全界限。

?? DNS和AD域的不同：DNS域是為了尋找資源;AD域是為了組織資源。DNS在活動(dòng)目錄中最重要的用途之一就是定位域控制器。記住，采用基于DNS名字解析方式的目這一就是減低或消除對(duì)NetBios廣播技術(shù)的依賴。尋找域控制器的登陸過(guò)程：1.首先，客戶運(yùn)行一個(gè)叫做“Locator（定位器）”的程序，在本地NetLogon服務(wù)開(kāi)始一次DsGetDcName查詢。該查詢由Remote Procedure Call (RPC)完成，將客戶的配置信息（域成員關(guān)系和IP配置）傳給Netlogon服務(wù)。2.Netlogon服務(wù)利用這些信息查找一個(gè)特定域的域控制器。這一步可以用幾種不同的方法完成，取決于所提交的名字的類型是DNS還是NetBIOS：如果是NetBIOS名字，就采用老式的名字解析方式，在沒(méi)有升級(jí)到水運(yùn)目錄的環(huán)境中允許向后兼容的能力。記住，我們是要努力拋棄基于NetBIOS的程序;如果是一個(gè)DNS主機(jī)名，那么，Netlogon服務(wù)向DNS服務(wù)器查詢SRV，并且為相應(yīng)的域查詢A記錄。查詢格式如下：_service._protocol.DnsDomainName;因?yàn)榛顒?dòng)目錄服務(wù)在TCP上使用輕便目錄訪問(wèn)協(xié)議LDAP，查詢識(shí)別該服務(wù)和協(xié)議：_ldap._tcp.DnsDomainName. 3.從DNS服務(wù)器上收到域控制器的清單后，Netlogon服務(wù)向每個(gè)域控制器發(fā)送一個(gè)數(shù)據(jù)報(bào)。4.域控制器通過(guò)向客戶計(jì)算機(jī)上的Netlogon服務(wù)發(fā)送操作狀態(tài)來(lái)做出回復(fù)。該信息由Netlogon服務(wù)緩存，使得后續(xù)請(qǐng)求不再需要執(zhí)行該過(guò)程。這有助于保證相同域控制器的一致使用。5.客戶與域控制器建立一個(gè)LDAP對(duì)話。作為該 過(guò)程的一部分，域控制器要識(shí)別計(jì)算機(jī)屬于哪 個(gè)AD站點(diǎn)（以客戶的IP子網(wǎng)為基礎(chǔ)）。如果域控制器與客戶在同一個(gè)站點(diǎn)，那么誰(shuí)就開(kāi)始了。如果不是，客戶再一次查詢DNS，目的是查找該站點(diǎn)的一個(gè)域控制呂。該查詢的格式如下：_ldap._tcp.dc.msdcs.domainname

?? 那么我們更好的域可以定義為：域代表一個(gè)數(shù)據(jù)庫(kù)。該數(shù)據(jù)庫(kù)存有網(wǎng)絡(luò)資源的記錄，資源包括計(jì)算機(jī)、用戶、工作組、和其他網(wǎng)絡(luò)上存在或被 使用、被支持的事物。在WIN2K/WIN2K3和以后的版本中，域數(shù)據(jù)庫(kù)其實(shí)就是活動(dòng)目錄

?? 與域相關(guān)必須考慮的某些關(guān)鍵概念。包括：對(duì)象數(shù)目、復(fù)制通信量、域作為安全邊界、語(yǔ)言、安全策略。域作為安全邊界（Domains As Sercurty Boundaries）既名域代表一個(gè)單獨(dú)的數(shù)據(jù)庫(kù)，域邊界通常被 看做是一個(gè)內(nèi)部安全邊界。

??? 如果讀者的環(huán)境中有多個(gè)區(qū)域需要不同的策略要素，那么可能不得不創(chuàng)建多個(gè)域。

???? 活動(dòng)目錄樹(shù)：有一些特定的情況必須要求多個(gè)域的存在。X.500建議確定了將數(shù)據(jù)庫(kù)拆分成小部分的方法，叫做分區(qū)，并在多個(gè)服務(wù)器上分布。從邏輯上講，我們?nèi)钥梢詫?shù)據(jù)庫(kù)看成是一個(gè)相連的整體，存有整個(gè)網(wǎng)絡(luò)資源的信息。但是從物理上講，每個(gè)域都是作為總體“邏輯”數(shù)據(jù)庫(kù)的一個(gè)分區(qū)。將數(shù)據(jù)庫(kù)拆分成較小的部分，這樣就減輕了每臺(tái)活動(dòng)目錄服務(wù)器上的工作量。同時(shí)還允許管理員能夠更多地控制數(shù)據(jù)庫(kù)復(fù)制過(guò)程產(chǎn)生的通信量和路由。需要記住的是，在域中的所有對(duì)數(shù)據(jù)庫(kù)的更改都必須復(fù)制到所有域控制器。相反，不同域中的域控制器之間沒(méi)有復(fù)制過(guò)程。限制域的范圍將限制所發(fā)生的更改的影響。

??? 域間的委托關(guān)系 域不僅可以作為數(shù)據(jù)庫(kù)的分區(qū)邊界，它們還是不同管理職能的邊界。簡(jiǎn)單地講，委托關(guān)系是兩個(gè)域之間的安全聯(lián)系。沒(méi)有某種委托關(guān)系，域間無(wú)法通信，也不能共享資源。委托關(guān)系的創(chuàng)建并不意味著任何特殊權(quán)限，而只是授權(quán)的能力。委托本身并不授權(quán)任何權(quán)利。它所做的就是允許委托域的管理員訪問(wèn)受托域的域賬戶數(shù)據(jù)庫(kù)。在NT4和早期版本中，委托關(guān)系是不可傳遞的。

???? WIN2K/WIN2K3中的委托關(guān)系，樹(shù)中的每個(gè)域與其父域之間都可以建立一個(gè)雙向的委托關(guān)系，并且都成為可傳遞的委托關(guān)系。換言之，如果A委托B，并且B委托C，那么A委托C。

??? 直接委托只應(yīng)創(chuàng)建于某個(gè)域的資源定期被 其他域的用戶訪問(wèn)的情況下。外部委托的主要用途有兩個(gè)：用于在新AD和老式NT域之間創(chuàng)建委托;另一個(gè)就是授權(quán)外部環(huán)境對(duì)AD資源的訪問(wèn)。

??? Win2k/win2k3可以增長(zhǎng)到含有100萬(wàn)個(gè)對(duì)象，或者直到數(shù)據(jù)庫(kù)需要17TB的存儲(chǔ)空間。創(chuàng)建附加域的可能原因：1.在管理員不想共享域的控制處，讀者需要分散對(duì)用戶和資源的管理。2.當(dāng)讀者想在多樣化環(huán)境中使授權(quán)更容易時(shí)。3.如果惟一，域級(jí)安全策略是必須的。特定的安全策略作為整體適用于域：口令、賬戶鎖定和Kerberos策略必須適用于整個(gè)域，而不是域的子集。4.當(dāng)想控制目錄復(fù)制通信量時(shí)。復(fù)制通信量只發(fā)生在同一個(gè)域的域控制器之間。如果想限制通過(guò)一條鏈路的復(fù)制通信量，需讓各站點(diǎn)的服務(wù)器成為不同域的成員。5.如果數(shù)據(jù)庫(kù)中對(duì)象超過(guò)100萬(wàn)時(shí)，需要附加域。6.當(dāng)從配置成多域環(huán)境的早期NT版本進(jìn)行升級(jí)時(shí)。7.如果默認(rèn)委托關(guān)系不符合需要時(shí)。

??? 活動(dòng)目錄林：兩個(gè)單獨(dú)的AD樹(shù)之間可以建立某種關(guān)系，從而形成一個(gè)AD林。林是分享共同的方案和全局目錄服務(wù)器的樹(shù)的集合。樹(shù)的根域之間建立了雙向可傳遞的委托關(guān)系。一旦建立了這樣的關(guān)系，就形成了一個(gè)林。林可以：通過(guò)共同的全局目錄服務(wù)器搜索所有域;維護(hù)現(xiàn)有的DNS名字

?? 全局目錄服務(wù)器：全局目錄服務(wù)器就是在整個(gè)樹(shù)的部分復(fù)本的AD服務(wù)器。復(fù)本保存了林中每個(gè)對(duì)象的一定數(shù)量的信息，通常是網(wǎng)絡(luò)功能必要的屬性，或是經(jīng)常被 查詢或搜索的屬性。當(dāng)用戶在域外查找對(duì)象時(shí)，會(huì)參照全局目錄，從而避免調(diào)用目的地域的域控制器。全局目錄是用于執(zhí)行活動(dòng)目錄數(shù)據(jù)庫(kù)的搜索。可以更改全局目錄中的屬性，可以加速搜索查詢。但是，在Win2k中，會(huì)造成一次所有對(duì)象屬性的完全同步，這種一次同步過(guò)程會(huì)造成大量的網(wǎng)絡(luò)通信量！在Win2k3中只會(huì)復(fù)制新的信息。從長(zhǎng)遠(yuǎn)來(lái)看，靜態(tài)數(shù)據(jù)比經(jīng)常更新的數(shù)據(jù)產(chǎn)生的同步能信量要少。全局目錄的內(nèi)容由MMC的活動(dòng)目錄方案（Active Directory Schema）插件管理，從％systemroot％\system32下運(yùn)行Adminpak.msi來(lái)安裝此插件。打開(kāi)此界面，會(huì)注意到Index This Attribute in Active Directory，對(duì)于多數(shù)數(shù)據(jù)庫(kù)，AD能夠?yàn)樘囟ā白侄巍弊鏊饕?#xff0c;這樣增加了查詢的效率。如果將屬性添加到全局目錄中，那么選擇的屬性是會(huì)被經(jīng)常查詢的屬性，可以通過(guò)該選項(xiàng)增加查詢的效率。WIN2K和Win2k3中的全局目錄最重要的不同點(diǎn)之一就大影響了登陸過(guò)程中全局目錄服務(wù)器的使用。在Win2k環(huán)境中，全局對(duì)登陸過(guò)程十分關(guān)鍵。當(dāng)用戶登陸網(wǎng)絡(luò)時(shí)，就為他創(chuàng)建了安全令牌。該令牌包含了用戶成員關(guān)系所屬的工作組的信息。如果在登陸過(guò)程中，全局目錄器不可用，則用戶不能登陸網(wǎng)絡(luò)，他們被限于只能登陸本地計(jì)算機(jī)。但在WIN2K3中聯(lián)系全局目錄的需要被去掉了。離用戶最近的域控制器緩存用戶完整的組成員關(guān)系。緩存發(fā)生在第一次登陸時(shí)，而后續(xù)的登陸使用經(jīng)緩存的信息。緩存信息定期從全局刷新。

????? 有一臺(tái)服務(wù)器被指定作為操作主服務(wù)器。所有更新或改變都在操作主服務(wù)器上出現(xiàn)，該服務(wù)器負(fù)責(zé)將變化都同步到所有其他服務(wù)器上。因?yàn)檫@些責(zé)任可以從一臺(tái)服務(wù)器移至另一臺(tái)服務(wù)，Microsoft把它們稱做靈活的單主操作（flexible single-master operations,FSMO）.

???? 有兩種林范圍的操作主角色：方案主（Schema master）;域命名主（Domain maning master）。方案主控制AD數(shù)據(jù)庫(kù)的結(jié)構(gòu)。任何對(duì)數(shù)據(jù)庫(kù)結(jié)構(gòu)的更新或修改都必須先在這臺(tái)服務(wù)器上執(zhí)行。它會(huì)復(fù)制這些理性到林中其他AD服務(wù)器上，保證所有AD服務(wù)器的內(nèi)容保持一致。默認(rèn)情況下，在活動(dòng)目錄林中安裝的第一臺(tái)域控制器被 認(rèn)定為方案主。要更換正在執(zhí)行該角色的服務(wù)器，使用MMC的活動(dòng)目錄方案插件。

??? 域特定的功能：有三種域范圍的操作主角色：1.相關(guān)ID主（Relative ID master）2.主域控制器（Primary domain controller,PDC）仿真器。3.基礎(chǔ)設(shè)施主（Infrastructure master）。相關(guān)ID主為域中新建的對(duì)象控制其安全I(xiàn)D的建立。每 個(gè)對(duì)象都有一個(gè)安全I(xiàn)D，由域識(shí)別符和惟一相關(guān)ID組成。為保證這些ID真正惟一，域中只有一臺(tái)服務(wù)器產(chǎn)生該ID。PDC仿真器主能夠在非WIN2K/WIN2K3客戶和NT版本BDC中作為PDC。當(dāng)用戶更改口令時(shí)，接受更改的域控制器會(huì)先將更改傳給PDC仿真器操作主，然后，服務(wù)器使用高優(yōu)先權(quán)功能將更改復(fù)制到域中所有其他域控制器上。基礎(chǔ)設(shè)施主負(fù)責(zé)在工作組成員的重新命名或定位時(shí)更新組到用戶的引用（Group-to-user references）它更新了組對(duì)象以知曉成員的新名字和位置。在管理工具組中的活動(dòng)目錄用戶和計(jì)算機(jī)應(yīng)用程序可確認(rèn)和更改所有域特定功能操作的主服務(wù)器。如查原來(lái)的主服務(wù)器不可以，其角色并不自動(dòng)轉(zhuǎn)給備用服務(wù)器，讀者必須手動(dòng)更改。

??? 操作主的簡(jiǎn)要指導(dǎo)：Microsoft進(jìn)行以下推薦：1.將相關(guān)ID和PDC仿真器角色設(shè)置在同一個(gè)域控制器上。2.如果由于工作量的關(guān)系，需要將相關(guān)ID和PDC仿真器角色放置于不同的域控制器上，那么必須保證兩臺(tái)計(jì)算機(jī)都在同一AD站點(diǎn)，并且二者之間的連接可靠。3.總體來(lái)說(shuō)，基礎(chǔ)設(shè)施主角色不應(yīng)被置于全局目錄服務(wù)器上。4.在單域林中，所有域控制器將通過(guò)AD復(fù)制程序更新的，所以，在何處放置該角色沒(méi)有關(guān)系。5.在所有域控制器都是全局目錄服務(wù)器的多域林中，該角色可以任意放置。6.方案主和域命名主角色應(yīng)放置 在同一服務(wù)器上。

AD組織單位：OU用于組織實(shí)際資源。OU的用途：OU形成邏輯管理單位，用于在域中分配管理優(yōu)先權(quán)。和在現(xiàn)有結(jié)構(gòu)中添加另一個(gè)域相比 ，創(chuàng)建另一個(gè)OU來(lái)組織對(duì)象更有優(yōu)越性。為域設(shè)計(jì)OU結(jié)構(gòu)時(shí)，必須提前做出計(jì)劃。如果準(zhǔn)備使用它們作為管理邊界（便于管理優(yōu)先權(quán)的分配），那么在創(chuàng)建該結(jié)構(gòu)之前，讀者必須知道誰(shuí)將負(fù)責(zé)什么資源。如果讀者設(shè)計(jì)的OU結(jié)構(gòu)要便于GPO分配，同樣，在創(chuàng)建OU并裝入對(duì)象之前，必須知道計(jì)劃使用什么GPO，以及誰(shuí)會(huì)受影響。創(chuàng)建容器便于為分配管理控制權(quán)，允許某個(gè)人能添加，刪除或修改樹(shù)中有限部分的對(duì)象;將對(duì)象分組以便于管理;控制對(duì)象的可見(jiàn)性;使管理更簡(jiǎn)單，為各對(duì)象一次分配權(quán)限到OU，而不用多次進(jìn)行;限制一個(gè)大容器中的對(duì)象數(shù)量;為了控制策略的應(yīng)用。;作為其他OU的存儲(chǔ)容器使用;了為替代NT域。基于目錄的網(wǎng)絡(luò)需要管理員在設(shè)計(jì)系統(tǒng)前了解公司的商業(yè)動(dòng)作和工作流程就可以建造好的OU模型。Microsoft建議了OU結(jié)構(gòu)的七個(gè)基本模型：1.地理模型。2.對(duì)象模型。3.成本中心模型 4.項(xiàng)目模型。5.分公司或商業(yè)實(shí)體模型。6.管理模型。7.混合模型。

如何用定位器查找域控制器

下面介紹如何用定位器查找域控制器：
? 在客戶機(jī)（搜索域控制器的計(jì)算機(jī)）上，定位器的啟動(dòng)是以對(duì)本地 Netlogon 服務(wù)執(zhí)行遠(yuǎn)程過(guò)程調(diào)用 (RPC) 的形式執(zhí)行的。定位器 DsGetDcName 應(yīng)用程序編程接口 (API) 調(diào)用是通過(guò) Netlogon 服務(wù)實(shí)現(xiàn)的。
? 客戶機(jī)收集在選擇一個(gè)域控制器時(shí)所需的信息，并使用 DsGetDcName 調(diào)用將這些信息傳遞到 Netlogon 服務(wù)。
? 客戶機(jī)上的 Netlogon 服務(wù)使用收集的這些信息從一個(gè)域控制器中查找指定的域，采用的是下面兩種方法之一：
? 對(duì)于 DNS 名稱，Netlogon 通過(guò)使用 IP/DNS 兼容定位器查詢 DNS--即在 DNS 將域名附加到指定 SRV 記錄的適當(dāng)?shù)淖址?#xff0c;DsGetDcName 調(diào)用 DnsQuery 調(diào)用從 DNS 讀取“服務(wù)資源”(SRV) 記錄和“A”記錄。
登錄到基于 Windows 的域的工作站向 DNS 查詢一般形式的 SRV 記錄：
_service._protocol.DnsDomainName
Active Directory 服務(wù)器通過(guò) TCP 協(xié)議提供“輕量目錄訪問(wèn)協(xié)議”(LDAP) 服務(wù)。因此，客戶機(jī)通過(guò)向 DNS 查詢以下形式的一條記錄找到一個(gè) LDAP 服務(wù)器：
_ldap._tcp.DnsDomainName
? 對(duì)于 NetBIOS 名稱，Netlogon 通過(guò)使用 Microsoft Windows NT 4.0 版兼容定位器來(lái)執(zhí)行域控制器發(fā)現(xiàn)（即通過(guò)使用特定于傳輸?shù)臋C(jī)制，例如 WINS）。

在 Windows NT 4.0 及更早版本中，“discovery”是在主域或受信域中用于定位一個(gè)用于身份驗(yàn)證的域控制器的過(guò)程。

? Netlogon 服務(wù)將一個(gè)數(shù)據(jù)報(bào)發(fā)送到注冊(cè)該名稱的計(jì)算機(jī)。對(duì)于 NetBIOS 域名，數(shù)據(jù)報(bào)是作為一個(gè)mailslot消息實(shí)現(xiàn)的。對(duì)于 DNS 域名，數(shù)據(jù)報(bào)是作為一個(gè) LDAP 用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 搜索實(shí)現(xiàn)的。（UDP 是無(wú)連接數(shù)據(jù)報(bào)傳輸協(xié)議，它是 TCP/IP 協(xié)議組的一部分。TCP 是一個(gè)面向連接的傳輸協(xié)議。）
? 每個(gè)可用的域控制器都響應(yīng)此數(shù)據(jù)報(bào)，表明它當(dāng)前處于運(yùn)行狀態(tài)，并將該信息返回到 DsGetDcName。

? Netlogon 服務(wù)緩存域控制器信息，以便后續(xù)請(qǐng)求不必重復(fù)此發(fā)現(xiàn)過(guò)程。緩存此信息有利于保證使用同一域控制器時(shí)的一致性和 Active Directory 視圖的一致性。
當(dāng)一個(gè)客戶機(jī)登錄或加入網(wǎng)絡(luò)時(shí)，它必須能夠找到一個(gè)域控制器。此客戶機(jī)向 DNS 發(fā)送一個(gè)“DNS 查找”查詢以搜索域控制器，并優(yōu)先在當(dāng)前子網(wǎng)內(nèi)查詢。因此，客戶機(jī)通過(guò)向 DNS 查詢以下形式的一條記錄找到一個(gè)域控制器：
_LDAP._TCP.dc._msdcs.domainname

在客戶機(jī)找到一個(gè)域控制器后，它將使用 LDAP 建立通訊，以獲得對(duì) Active Directory 的訪問(wèn)權(quán)。作為此協(xié)商的一部分，域控制器根據(jù)客戶機(jī)的 IP 子網(wǎng)來(lái)確定此客戶機(jī)所在的站點(diǎn)。如果此客戶機(jī)正在與一個(gè)不在最近（最佳）站點(diǎn)的域控制器通訊，此域控制器將返回此客戶機(jī)的站點(diǎn)名稱。
如果此客戶機(jī)已經(jīng)嘗試在此站點(diǎn)中查找域控制器（例如，當(dāng)客戶機(jī)向 DNS 發(fā)送“DNS 查找”查詢以在此客戶機(jī)的子網(wǎng)內(nèi)查找域控制器時(shí)），則此客戶機(jī)將使用這個(gè)并非最佳的域控制器。否則，此客戶機(jī)將使用此新的最佳站點(diǎn)名稱重新執(zhí)行一個(gè)特定于站點(diǎn)的 DNS 查找。域控制器使用一些目錄服務(wù)信息來(lái)標(biāo)識(shí)站點(diǎn)和子網(wǎng)。

在客戶機(jī)找到一個(gè)域控制器后，此域控制器的條目將被緩存。如果此域控制器不在最佳站點(diǎn)，此客戶機(jī)在十五分鐘后將刷新緩存并丟棄緩存條目。然后它將嘗試在它自己所在的站點(diǎn)內(nèi)查找一個(gè)最佳的域控制器。

在客戶機(jī)建立到域控制器的通訊路徑之后，它就可以建立登錄和身份驗(yàn)證憑證，而且，對(duì)于基于 Windows 的計(jì)算機(jī)，在必要時(shí)還可以建立一個(gè)安全通道。然后此客戶機(jī)就可以在目錄中執(zhí)行常規(guī)查詢和搜索信息了。

客戶機(jī)建立一個(gè)到域控制器的 LDAP 連接以便登錄。此登錄過(guò)程要使用“安全帳戶管理器”。因?yàn)橥ㄓ嵚窂绞褂昧?LDAP 接口，且此客戶機(jī)是由一個(gè)域控制器進(jìn)行身份驗(yàn)證的，所以此客戶帳戶在得到驗(yàn)證后通過(guò)“安全帳戶管理器”傳遞到目錄服務(wù)代理，然后到數(shù)據(jù)庫(kù)層，最后到“可擴(kuò)展存儲(chǔ)引擎”(ESE) 中的數(shù)據(jù)庫(kù)。

以上內(nèi)容譯自kb314861 http://support.microsoft.com/kb/314861

下面介紹如何用定位器查找域控制器：
? 在客戶機(jī)（搜索域控制器的計(jì)算機(jī)）上，定位器的啟動(dòng)是以對(duì)本地 Netlogon 服務(wù)執(zhí)行遠(yuǎn)程過(guò)程調(diào)用 (RPC) 的形式執(zhí)行的。定位器 DsGetDcName 應(yīng)用程序編程接口 (API) 調(diào)用是通過(guò) Netlogon 服務(wù)實(shí)現(xiàn)的。
? 客戶機(jī)收集在選擇一個(gè)域控制器時(shí)所需的信息，并使用 DsGetDcName 調(diào)用將這些信息傳遞到 Netlogon 服務(wù)。
? 客戶機(jī)上的 Netlogon 服務(wù)使用收集的這些信息從一個(gè)域控制器中查找指定的域，采用的是下面兩種方法之一：
? 對(duì)于 DNS 名稱，Netlogon 通過(guò)使用 IP/DNS 兼容定位器查詢 DNS--即在 DNS 將域名附加到指定 SRV 記錄的適當(dāng)?shù)淖址?#xff0c;DsGetDcName 調(diào)用 DnsQuery 調(diào)用從 DNS 讀取“服務(wù)資源”(SRV) 記錄和“A”記錄。
登錄到基于 Windows 的域的工作站向 DNS 查詢一般形式的 SRV 記錄：
_service._protocol.DnsDomainName
Active Directory 服務(wù)器通過(guò) TCP 協(xié)議提供“輕量目錄訪問(wèn)協(xié)議”(LDAP) 服務(wù)。因此，客戶機(jī)通過(guò)向 DNS 查詢以下形式的一條記錄找到一個(gè) LDAP 服務(wù)器：
_ldap._tcp.DnsDomainName
? 對(duì)于 NetBIOS 名稱，Netlogon 通過(guò)使用 Microsoft Windows NT 4.0 版兼容定位器來(lái)執(zhí)行域控制器發(fā)現(xiàn)（即通過(guò)使用特定于傳輸?shù)臋C(jī)制，例如 WINS）。

在 Windows NT 4.0 及更早版本中，“discovery”是在主域或受信域中用于定位一個(gè)用于身份驗(yàn)證的域控制器的過(guò)程。

? Netlogon 服務(wù)將一個(gè)數(shù)據(jù)報(bào)發(fā)送到注冊(cè)該名稱的計(jì)算機(jī)。對(duì)于 NetBIOS 域名，數(shù)據(jù)報(bào)是作為一個(gè)mailslot消息實(shí)現(xiàn)的。對(duì)于 DNS 域名，數(shù)據(jù)報(bào)是作為一個(gè) LDAP 用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 搜索實(shí)現(xiàn)的。（UDP 是無(wú)連接數(shù)據(jù)報(bào)傳輸協(xié)議，它是 TCP/IP 協(xié)議組的一部分。TCP 是一個(gè)面向連接的傳輸協(xié)議。）
? 每個(gè)可用的域控制器都響應(yīng)此數(shù)據(jù)報(bào)，表明它當(dāng)前處于運(yùn)行狀態(tài)，并將該信息返回到 DsGetDcName。

? Netlogon 服務(wù)緩存域控制器信息，以便后續(xù)請(qǐng)求不必重復(fù)此發(fā)現(xiàn)過(guò)程。緩存此信息有利于保證使用同一域控制器時(shí)的一致性和 Active Directory 視圖的一致性。
當(dāng)一個(gè)客戶機(jī)登錄或加入網(wǎng)絡(luò)時(shí)，它必須能夠找到一個(gè)域控制器。此客戶機(jī)向 DNS 發(fā)送一個(gè)“DNS 查找”查詢以搜索域控制器，并優(yōu)先在當(dāng)前子網(wǎng)內(nèi)查詢。因此，客戶機(jī)通過(guò)向 DNS 查詢以下形式的一條記錄找到一個(gè)域控制器：
_LDAP._TCP.dc._msdcs.domainname

在客戶機(jī)找到一個(gè)域控制器后，它將使用 LDAP 建立通訊，以獲得對(duì) Active Directory 的訪問(wèn)權(quán)。作為此協(xié)商的一部分，域控制器根據(jù)客戶機(jī)的 IP 子網(wǎng)來(lái)確定此客戶機(jī)所在的站點(diǎn)。如果此客戶機(jī)正在與一個(gè)不在最近（最佳）站點(diǎn)的域控制器通訊，此域控制器將返回此客戶機(jī)的站點(diǎn)名稱。
如果此客戶機(jī)已經(jīng)嘗試在此站點(diǎn)中查找域控制器（例如，當(dāng)客戶機(jī)向 DNS 發(fā)送“DNS 查找”查詢以在此客戶機(jī)的子網(wǎng)內(nèi)查找域控制器時(shí)），則此客戶機(jī)將使用這個(gè)并非最佳的域控制器。否則，此客戶機(jī)將使用此新的最佳站點(diǎn)名稱重新執(zhí)行一個(gè)特定于站點(diǎn)的 DNS 查找。域控制器使用一些目錄服務(wù)信息來(lái)標(biāo)識(shí)站點(diǎn)和子網(wǎng)。

在客戶機(jī)找到一個(gè)域控制器后，此域控制器的條目將被緩存。如果此域控制器不在最佳站點(diǎn)，此客戶機(jī)在十五分鐘后將刷新緩存并丟棄緩存條目。然后它將嘗試在它自己所在的站點(diǎn)內(nèi)查找一個(gè)最佳的域控制器。

在客戶機(jī)建立到域控制器的通訊路徑之后，它就可以建立登錄和身份驗(yàn)證憑證，而且，對(duì)于基于 Windows 的計(jì)算機(jī)，在必要時(shí)還可以建立一個(gè)安全通道。然后此客戶機(jī)就可以在目錄中執(zhí)行常規(guī)查詢和搜索信息了。

客戶機(jī)建立一個(gè)到域控制器的 LDAP 連接以便登錄。此登錄過(guò)程要使用“安全帳戶管理器”。因?yàn)橥ㄓ嵚窂绞褂昧?LDAP 接口，且此客戶機(jī)是由一個(gè)域控制器進(jìn)行身份驗(yàn)證的，所以此客戶帳戶在得到驗(yàn)證后通過(guò)“安全帳戶管理器”傳遞到目錄服務(wù)代理，然后到數(shù)據(jù)庫(kù)層，最后到“可擴(kuò)展存儲(chǔ)引擎”(ESE) 中的數(shù)據(jù)庫(kù)。

活動(dòng)目錄的日常管理之聽(tīng)課筆記- -
??????????????????????????????????????

主講人：微軟mvp 胡義 時(shí)間：2005年1月10日

一、活動(dòng)目錄的安裝
1、活動(dòng)目錄的基本邏輯單元

森林（一個(gè)或多個(gè)域樹(shù)，邊界概念）、域樹(shù)（domain tree）、域（domain）:一個(gè)數(shù)據(jù)庫(kù)、組織單元（ou）、對(duì)象（object）

2、規(guī)劃活動(dòng)目錄安裝

（1）是否已經(jīng)部署？

（2）是否滿足您的業(yè)務(wù)需求？

?

a.可靠性/可用性需求(存放域數(shù)據(jù)庫(kù)的服務(wù)器dc，單dc,服務(wù)器宕機(jī)，通過(guò)增加dc數(shù)量)；

b.安全性需求（總公司/分公司管理模式不同,建立全新的子域，延續(xù)父域的名稱空間，但管理基本獨(dú)立，即子域的管理員不能管理父域，父域的管理員也不能管理子域，父域的管理員在子域只相當(dāng)于一個(gè)普通用戶）；

c.物理環(huán)境的需求；

d.其他各種非技術(shù)需求。。。（代價(jià)cost）

（3）調(diào)整或規(guī)劃活動(dòng)目錄結(jié)構(gòu)以適應(yīng)企業(yè)的需求

3、安裝活動(dòng)目錄的四種情況

（1）安裝新森林；

（2）安裝新域樹(shù)（企業(yè)中已有活動(dòng)目錄，且和待建的ad無(wú)任何聯(lián)系，需要在父域中新創(chuàng)建一個(gè)dns區(qū)域，和待裝dns一致）；

（3）安裝新子域（創(chuàng)建了新的子公司）；

（4）安裝額外dc(解決可用性/可靠性/復(fù)制問(wèn)題)；

4、活動(dòng)目錄安裝的準(zhǔn)備工作

（1）準(zhǔn)備dns環(huán)境

（2）準(zhǔn)備安裝中需要提供的信息

a.提供足夠的用戶權(quán)限；

b.新建立域的名字；

c.活動(dòng)目錄數(shù)據(jù)庫(kù)文件的存放路徑（若放在c盤(pán)，可能會(huì)造成磁盤(pán)i/o瓶頸）；

d.活動(dòng)目錄數(shù)據(jù)庫(kù)日志文件的存放路徑；

e.sysvol共享文件夾的存放路徑；

f.活動(dòng)目錄還原模式密碼；

5、活動(dòng)目錄與dns的關(guān)系

（1）ad為什么需要dns?

需要通過(guò)dns將dc的域名轉(zhuǎn)為dc的ip地址；

（2）活動(dòng)目錄域名和dns區(qū)域名有什么關(guān)系？

保持一致

（3）什么是srv紀(jì)錄，有什么用？

dns中一種特殊的紀(jì)錄類型，幫助客戶端定位dc進(jìn)行登錄。

（4）活動(dòng)目錄是否一定需要dns?

（5）是否一定需要微軟提供的dns服務(wù)？

不一定，只要支持srv紀(jì)錄即可，如果支持動(dòng)態(tài)更新和增量傳輸會(huì)更好。

6、安裝活動(dòng)目錄所需的權(quán)限

（1）安裝新域：活動(dòng)目錄森林的企業(yè)管理員（企業(yè)管理員是一個(gè)獨(dú)立的組，不等于父域管理員或根域管理員Enterprise Admins）;

（2）安裝額外dc:活動(dòng)目錄域的域管理員（Domain Admins）

（3）安裝服務(wù)器的本地管理員；

7、活動(dòng)目錄還原模式

（1）什么是？

（2）用途？（dc的安全模式，崩潰時(shí)用）

（3）怎么進(jìn)入？（啟動(dòng)時(shí)按f8鍵）

注：生產(chǎn)環(huán)境中盡量避免并發(fā)安裝dc。

8、安裝后任務(wù)

（1）確認(rèn)"ad站點(diǎn)和服務(wù)"管理工具出現(xiàn)在服務(wù)器對(duì)象；

（2）驗(yàn)證dc已經(jīng)被分配到正確的站點(diǎn)下；

（3）根據(jù)需求調(diào)整dns;

（4）檢查是否存在sysvol共享；

（5）驗(yàn)證是否向dns注冊(cè)了所有的srv紀(jì)錄；

（6）在"活動(dòng)目錄域和信任關(guān)系"管理工具中確認(rèn)新域已經(jīng)出現(xiàn)，并擁有信任關(guān)系。

（7）驗(yàn)證dc能否正常參與復(fù)制；

（8）驗(yàn)證操作主控（FSMO）的存在。

注：可檢查Keboras kdc服務(wù)是否啟動(dòng)

同時(shí)c:\winnt\debug\dcpromoui.txt為詳細(xì)的安裝日志記錄。

二、活動(dòng)目錄的卸載
1、規(guī)劃活動(dòng)目錄卸載

（1）將dc降級(jí)為域中成員服務(wù)器：需要域管理員權(quán)限；

（2）刪除活動(dòng)目錄域：需要企業(yè)管理員權(quán)限；

2、卸載的步驟

（1）檢查待降級(jí)服務(wù)器是否有操作主控角色；

查詢命令：netdom query fsmo /domain:nwtrades.msft

（2）是否為全局編目服務(wù)器；

確保站點(diǎn)內(nèi)還有其他gc

（3）是否能與dns正常通信（本身是否是唯一dns服務(wù)器）；

（4）是否能與其他dc通信；

（5）能否訪問(wèn)操作主控；

（6）刪除活動(dòng)目錄；

（7）在"ad站點(diǎn)和服務(wù)"管理工具中刪除服務(wù)器對(duì)象；

（8）決定是否完全脫離域。

三、dc的重命名
1、修改名稱的過(guò)程

（1）記錄待改名dc的當(dāng)前配置情況：包括是否擁有fsmo，是否是gc，是否是站點(diǎn)首選橋頭堡服務(wù)器。。。

（2）降級(jí)為域成員服務(wù)器；

（3）修改計(jì)算機(jī)名稱；

（4）提升為域額外控制器；

（5）重新對(duì)其進(jìn)行配置，恢復(fù)原有配置信息；

（6）絕對(duì)禁止對(duì)裝有exchange的dc作上述操作。

注：windows server2003可直接支持重命名。

四、全局編目服務(wù)器的管理
1、什么是GC？

存儲(chǔ)有森林中所有對(duì)象部分只讀信息的特殊域控制器，在森林中可以有多臺(tái)。

2、GC的作用

（1）方便最終用戶進(jìn)行搜索；

（2）存儲(chǔ)通用組（Universal group）成員信息，幫助用戶構(gòu)建訪問(wèn)令牌；

（3）用戶使用upn名稱登陸時(shí)決定用戶屬于森林中的哪個(gè)域；

（4）當(dāng)活動(dòng)目錄森林里包含有exchange時(shí)：

a.提供全局地址列表（GAL）-NSPI

b.展開(kāi)郵件列表（Distribution List）協(xié)助郵件投遞；

c.Exchange DSAccess組件訪問(wèn)gc獲取目錄信息；

（5）如果gc不能正常工作。。。

注：如何查詢當(dāng)前域的gc部署情況：nltest /dsgetdc:domain name

3、規(guī)劃GC的使用

（1）是否每一個(gè)站點(diǎn)都擁有一個(gè)gc?

（2）提升為gc后可能的影響

a.性能影響；

b.網(wǎng)絡(luò)帶寬？

c.安全性？

d.數(shù)據(jù)庫(kù)大小影響？

4、GC對(duì)硬件的要求
5、GC的數(shù)據(jù)庫(kù)容量

DC:0.4GB/1000users

GC：會(huì)更大

6、如何確認(rèn)GC開(kāi)始工作

（1）滿足當(dāng)前設(shè)定的復(fù)制占有級(jí)別（Occupancy level 4,復(fù)制本地站點(diǎn)內(nèi)所有對(duì)象sp3以前，sp3以后level達(dá)到6）；

AD admission tool工具，可查看gc是否ready?

ipconfig /registerdns注冊(cè)一條dns紀(jì)錄。

（2）isGlobalCatalogReady屬性值為true;

（3）DNS srv紀(jì)錄已經(jīng)得到更新

當(dāng)滿足下列條件時(shí)gc上的NSPI開(kāi)始工作

（1）gc開(kāi)始工作后，重新啟動(dòng)一次計(jì)算機(jī)；

如何確認(rèn)已經(jīng)開(kāi)始工作

（1）注冊(cè)表鍵值：hklm\system\currentcontrolset\services\ntds\paramater；

（2）開(kāi)放3268/3269 TCP端口；

（3）isGlobalCatalogReady屬性為true

（4）dns中出現(xiàn)相關(guān)srv紀(jì)錄

7、從dc移除gc角色

（1）馬上停止tcp 3268/3269端口接收客戶端請(qǐng)求；

（2）進(jìn)行數(shù)據(jù)庫(kù)清理，大約每小時(shí)清除2000個(gè)對(duì)象。

五、Q&A

1、如何找出域中不用的計(jì)算機(jī)并把它刪除

（1）2003中，Dsquery工具，可以查出活動(dòng)目錄中指定時(shí)間內(nèi)不活動(dòng)的計(jì)算機(jī)

dsquery computer -inactive 4|dsrm

（2）win2k中，需通過(guò)vbs腳本來(lái)實(shí)現(xiàn);

2、利用ntbackup工具來(lái)備份活動(dòng)目錄數(shù)據(jù)庫(kù)（備份系統(tǒng)狀態(tài)即可）；

3、如果是更換服務(wù)器，建議先做額外域控制器，獲取fsmo角色，然后將現(xiàn)有dc降級(jí)；

4、導(dǎo)入導(dǎo)出活動(dòng)目錄中的數(shù)據(jù)：

利用ldifde命令導(dǎo)出，所有和安全相關(guān)的信息都還原不了，可還原信息很有限。

轉(zhuǎn)載于:https://blog.51cto.com/2438911/971734

總結(jié)

以上是生活随笔為你收集整理的关于AD DS 的相关知识的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。