05 WindowsServer2008-站点复制、域数据库维护

第05部

本章重点

AD域的定义及功能

域控制器

多域的架构

站点与GC之间

何谓域

简言之,共享同一份AD数据库之计算机所组成的集合便是一个域！

由于AD数据库里头包含了用户帐户、用户密码、计算机帐户、权限设定等等资讯,所以同域内的计算机和使用者,都是由同一份AD数据来决定谁可以存取哪些资源、谁可以做哪些工作等等。说实在的,管理网络并非一定要有域不可－－但是有域可以省下很多工夫！

域－中央集权的架构

要管理分散于各服务器的帐户数据库,是一件让人头痛的事,不如选一部计算机专门负责管理帐户资料,让其它的计算机都以它的帐户数据库为准。

如此一来,无论使用者或服务器的数量增加多少,网络管理员都只要维护一个数据库即可。

同样以10部服务器和100位使用者的环境为例,假设我们将10部服务器的帐户数据库整合成一个,储存在A服务器。

域－中央集权的架构

域名

在不同的应用场合,我们会使用不同的格式来表示域名称,其中较常用到的2种格式,便是DNS域名和LDAP域名：

DNS域名

AD域的命名方式与DNS相同,例如：

LDAP域名

DNS域名利用『.』来区隔域,但是LDAP则是以『DC』 (Domain Component,域组件)来代表每一层域。

因此用LDAP域名将http://www.77cn.com.cn表示如下：

DC=FLAG,DC=COM,DC=CN

域控制器DC

先前曾介绍过,存放AD数据库、管理域中的AD对象,并提供身分验证服务的计算机称为域控制器（DC, Domain Controller）。

倘若不用『域控制器』这个微软发明的术语,我们可以称它为『身分验证服务器』

（AuthenticationServer）－－因为它主要用来执行身分验证工作。

又因为通常是在登入时执行验证,所以也可以称为『登入服务器』（Logon Server）。

建立多部DC的考虑

因为单靠一部DC的话,万一它无法提供服务（关机、当机或断线）,会导致所有使用者都无法登入,整个域形同瘫痪。

如果有其它DC,便可以照常提供服务,域功能不会停摆,等于提供了『容错』（FaultTolerance）机制。

此外,由于域可涵盖多个区域网路,而这些局域网络之间可能透过低带宽的因特网连线,为了避免登入迟缓或失败,便可在各局域网络中架设DC,以提升效率。

DC之间的复制机制

当域中有多部DC时,为了使每个AD数据库有相同的内容,每部DC会将异动的数据复制给其它DC,这种机制称为『复制』（Replication） 。然而复制并非只是单存地将整个数据库复制（Copy）过去,而是会遵循以下的基本原则来运作：

采用局部复制减低数据量

当两部DC进行AD数据的同步化时,并不会复制全部的AD资料库,而只是复制变动的部份。

DC复制时会自动协调出合适的方式,其中直接相互复制的对象称为『复制伙伴』（Replication Partner）。

DC之间的复制-更新序号

每部DC各有自己的更新序号（USN, Update Sequence Number）,当AD数据库更新完毕后,即自动将本身的更新序号加1。

而每部DC也记录复制伙伴的更新序号。

因此,当某部DC的更新序号变动时,其复制伙伴随即就会知道,然后开始执行复制动作。

复制动作会沿既定的顺序执行,直到所有的AD数据库内容都同步为止。

DC之间的复制-冲突

发生冲突时以『更新戳记』决定优先级由于在域的每部DC都可修改AD资料库,因此若两位使用者分别在不同DC上修改同一对象的属性,在复制过程即会造成冲突。

此时系统会以『更新戳记』（Stamp）判定以何者的资料为准。

更新戳记中包括版本、时刻和GUID等3项资讯,系统首先比较版本,版本数字愈高者愈优先。

若版本相同则比较时刻,愈晚修改者愈优先；

万一连时刻都一样（虽然这种机会微乎其微）,就以GUID较大者为优先

域树

域树是由多个域以阶层式组织成树状,如下图：

域树域树：域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间。树中的域通过信任关系连接起来，活动目录包含一个或多个域树。域树中的域层次越深级别越低，一个“.”代表一个层次http://www.77cn.com.cn http://www.77cn.com.cn

http://www.77cn.com.cn

域林域林是指由一个或多个没有形成连续名字空间的域树组成，它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。

何谓域的信任关系？

假设A域信任B域,代表A域的资源开放给B域的使用者来使用；同理, B域若要提供自己的资源给A域的使用者,就必须信任A域。

这种信任机制从Windows NT时代就存在。

将AD域加入域树或林时,各域彼此会自动建立信任关系,这种预设建立的信任关系具有以下的特色：

单向性

双向性（Two-way）

单向信任

单向信任是两个域之间创建的单向身份验证路径，即受信任域中的用户账户可以使用信任域上的身份验证方式，并访问域中的资源，

但反之则无法实现。