停更十餘天后,從今天開始繼續爲你們帶來Windows Server 2016 Active Directory系列更新,本章爲你們介紹有關Active Directory複製相關概念內容,有關Active Directory概念性內容不論是老版本2000仍是2016基礎概念仍是一致的,本章概念介紹中以Windows 2000 Active Directory爲例介紹,有關Windows 2016 Active Directory新增功能請參考(http://www.cnblogs.com/wenzhongxiang/p/8448421.html), 但願能夠幫到你們。html
概念:算法
目錄服務是一種分佈式數據庫,用於存儲與網絡資源有關的信息,以便於查找和管理。Microsoft Active Directory 是用於 Windows 2000的最新目錄服務實現。涉及目錄服務的基本問題圍繞着能夠將哪些信息存儲在數據庫中,存儲的方式是什麼,如何查詢特定的信息,以及如何對結果進行處理。Active Directory 包含目錄服務自己,以及容許訪問支持 X.500 命名規則的數據庫的從屬服務。數據庫
可使用某個用戶名來查詢目錄,以獲取相關信息,如用戶的電話號碼或者電子郵件地址。目錄服務也是很是靈活的,能夠進行概括查詢("打印機在什麼位置?"或"服務器的名稱是什麼?"),以查看可用打印機或服務器的概括列表。安全
目錄服務還具備給用戶提供到整個企業網絡的單個入口點的優勢。用戶能夠查找和使用整個網絡資源,而無需瞭解資源的確切名稱或位置。也可使用統一的網絡組織及其資源邏輯視圖來管理整個網絡。服務器
爲確保設計出最有效、最可靠的 Active Directory,必須瞭解網絡的邏輯結構和物理結構。研究和了解組織的業務結構和操做也是很是重要的。Active Directory 將域的邏輯結構從實際物理結構中獨立出來。微信
邏輯結構:
網絡
網絡的邏輯結構是由無形的項目組成的,如對象、域、目錄樹和目錄林。架構
Active Directory 的基本結構塊是對象,這是一個表明網絡資源的已命名特定屬性集。對象屬性是目錄中對象的特徵。對象也能夠按類進行分組,類是對象的邏輯分組。用戶、組和計算機是不一樣對象類的例子。分佈式
在最低一層,某些對象表明網絡上的單個實體,如用戶或計算機。這些實體稱爲葉對象,它們不能包含其它對象。可是,爲了簡化目錄的管理和組織,能夠將葉對象放在其它對象(稱爲容器對象)內部。容器對象也能夠採用嵌套(或層次)形式包含其它容器。工具
容器對象最經常使用的類型是組織單元 (OU)。可使用 OU 將對象進行分類,並將域變成某種類型的邏輯管理分組。尤爲要注意的是,域中 OU 的結構和層次與任何其它域的結構無關。
全部網絡對象只能在一個域中存在(不管是葉對象仍是容器對象)。爲反映組織網絡的特色,可使用域將相關對象分紅一組。每一個建立的域僅存儲所包含對象的信息,而不存儲其它對象的信息。目前,在域中可維護的對象數量的上限爲一百萬。
每一個域表示一個安全邊界。對每一個域中對象的訪問是由訪問控制項 (ACE) 控制的,後者包含在訪問控制列表 (ACL) 中。這些安全設置並不跨越域邊界。在 Active Directory 中,域也能夠稱爲"分區"。由於域是 Active Directory 數據庫的物理分區,因此您既能夠按照業務功能(人力資源、銷售或財務),也能夠按照位置(地理或相對)創建其結構。
當將相關域分紅一組以便共享全局資源時,您就建立了"目錄樹"。儘管目錄樹能夠只包含一個域,可是您能夠將層次結構中相同名稱空間的多個域合併在一塊兒。可使用基於 Kerberos 的安全功能,經過雙向信任關係將目錄樹中的域透明地鏈接在一塊兒。這些信任關係能夠是永久性的(不能被刪除),也能夠是暫時的。換句話說,若是域 A 信任域 B,而域 B 信任域 C,則域 A 信任域 C。
目錄樹中的全部域共享全部對象類型的正式定義(稱爲"架構")。此外,任何給定目錄樹中的全部域還共享全局編錄 (GC)。GC 是目錄樹中對象的中央儲存庫。
每一個目錄樹也能夠由鄰接的名稱空間表示。例如,若是公司的根域爲"azureyun.com",則能夠給銷售和技術支持部門建立單獨的域,它們的域名分別爲"sales.azureyun.com"和"support.azureyun.com"。這些域稱爲子域。與 Windows NT 4.0 不一樣,每一個域自動生成信任關係。
在最高一級,能夠將單獨的目錄樹分紅一組造成"目錄林"。可以使用目錄林,將組織中的不一樣部門,甚至不一樣組織組合到一塊兒。這些部門沒必要共享相同的命名架構而且獨立運做,但彼此之間能夠進行通訊。目錄林中的全部目錄樹共享相同的架構、全局編錄和配置容器。再者,基於 Kerberos 的安全功能在目錄樹之間提供了信任關係。
Windows 2000 目錄服務的另外一個優勢是,無需從新安裝整個服務器操做系統,便可卸載 Active Directory。要想使一個成員服務器成爲 DC,您只需運行 DCPROMO 工具來添加 Active Directory 服務器便可。要想刪除 Active Directory 服務器,您一樣只需運行 DCPROMO 工具便可。
物理結構:
域控制器和站點是處理局域網配置物理結構的兩個基本組件。
與 Windows NT 4.0 不一樣,僅由運行 Windows 2000 的計算機組成的網絡沒有主域控制器 (PDC) 和備份域控制器 (BDC)。在 Windows 2000環境中,將全部參與網絡管理的服務器均看做是域控制器。域控制器 (DC) 存儲目錄數據庫的複製副本,而且域中控制器之間的複製是自動完成的。
對於跨多個地理位置的企業網絡,要了解目錄數據庫複製對域控制器和網絡性能的影響,瞭解廣域網設計和結構的含義是很是重要的。
名稱空間:
名稱空間是有特定邊界的指定區域,能夠在此處解析分配給計算機的邏輯名稱。名稱空間的主要用途是組織資源的說明,使用戶按其特性或屬性來查找資源。可使用給定名稱空間的目錄數據庫找到某個對象,而無需知道它的名稱。若是用戶知道某個資源的名稱,就能夠查詢有關該對象的有用信息。
尤爲要注意的是,名稱空間的設計最終決定了:隨着目錄數據庫的增加,它對用戶到底有多大用處。排序和搜索算法不能解決邏輯目錄設計中的缺陷
在邏輯層次上,Windows 2000 Active Directory 只不過是另外一個名稱空間。在 Active Directory 中,兩個主要信息類型存儲:
- 對象的邏輯位置。
- 有關該對象的屬性列表。
能夠給這些對象分配屬性(如電話號碼、房間位置等等),並可用這些屬性查找目錄數據庫中對象的位置。隨着 Active Directory 架構的擴大(修改),使用屬性進行搜索就變得愈來愈重要了。當將對象、對象類和/或這些對象的屬性添加到目錄數據庫中時,對於目錄用戶而言,它們的結構決定了它們的用途。
目錄樹中的每一個容器和對象都有一個惟一的名稱。這些名稱空間是目錄樹中全部容器和對象、或分支和葉對象的徹底路徑。對象在目錄樹中的位置決定了其可分辨的名稱。
對象的可分辨名稱 (DN) 包含從特定名稱空間的頂層到整個目錄樹層次結構的完整路徑。由於 DN 對於組織目錄數據庫很是有用,但對於記住該對象沒有幫助,因此在 Active Directory 中也使用相對可分辨的名稱 (RDN)。RDN 是對象名的一部分,也是對象自己的一個屬性。
不少網絡使用的名稱空間是基於當前 Internet 上使用的域名系統 (DNS)。這種 DNS 關係有助於肯定 Active Directory 目錄樹的形狀以及對象彼此之間的關係。域控制器項目是可分辨名稱中列出的域,而公用名稱 (CN) 項目則是針對目錄中用戶對象的特定路徑。
全局編錄:
全局編錄包含目錄中每一個 Windows 2000 域的部分副本,它是由 Active Directory 複製系統自動建立的。這樣,只要給出目標對象的一個或幾個屬性,用戶和應用程序就能夠在 Active Directory 域目錄樹中找到這些對象。全局編錄還包含目錄分區的架構和配置。這就是說,全局編錄存儲 Active Directory 中每一個對象的副本,但只存儲它們的不多一部分屬性。全局編錄中的屬性是搜索操做中那些最常使用的屬性(如用戶的名和姓、登陸名等等),這些屬性是查找對象完整副本位置所必需的。
使用這種公用信息,用戶能夠很快找到要找的對象,而無需知道這些對象在哪一個域中,也不要求知道企業中相鄰的擴展名稱空間。若是在全局編錄中找不到該對象,則搜索功能將查詢本地域分區以得到信息。
您可使用架構管理器工具更改架構,並定義在全局編錄中存儲哪些屬性。因爲對全部全局編錄服務器進行的更改都要複製全局編錄,因此出於性能和維護的目的,最好限制本地分區中存儲的屬性數量。
DNS與AD的集成:
DNS 和 Active Directory 的集成是 Windows 2000 Server 的一個核心特徵。DNS 域和 Active Directory 域對不一樣的名稱空間使用徹底相同的域名。即便兩個名稱空間共享相同的域結構,它們也是不一樣的名稱空間,瞭解這一點是很是重要的。每一個名稱空間存儲不一樣的數據並管理不一樣的對象。DNS 使用區域和資源記錄,而 Active Directory 使用域和域對象。
例如,若是對象的某個屬性是服務器的徹底合格域名(如 SERVER1.SALES.AZUREYUN.COM),Active Directory 就會向 DNS 查詢該服務器的 TCP/IP 地址,Windows 2000 請求者隨後能夠創建與該服務器的 TCP/IP 會話。
Active Directory 與 DNS 的集成是這樣實現的:每一個 Active Directory 服務器將本身的地址發佈在 DNS 主機上的服務資源記錄中。
全球惟一標識符:
由於網絡中的每一個對象必須用惟一的屬性來標識,因此 Active Directory 經過將全局惟一標識符 (GUID) 與每一個對象關聯起來實現這一點。即便對象的邏輯名稱被更改,也應保證這個號碼是惟一的且永遠不會被目錄數據庫更改。當用戶或應用程序首次在目錄中建立可分辨的名稱 (DN) 時,就會生成 GUID。
複製:
雖然 Windows NT 4.0 中的網絡結構基於 PDC 和 BDC 模型,可是 Windows 2000 網絡上的全部服務器均用做域控制器 (DC),而且彼此之間沒有主次之分。對於 Active Directory,全部 DC 在站點中自動複製,並支持多主機複製,以複製全部域控制器的 Active Directory 信息。因爲引入了多主機複製,管理員能夠更新域中任何 Windows 2000 域控制器上的 Active Directory。
多主機數據庫複製還有助於控制什麼時候將更改同步,哪些信息是最新的,以及什麼時候中止數據複製以免重複和冗餘。爲肯定哪些信息須要更新,Active Directory 使用 64 位更新順序號 (USN)。這些號碼建立後與全部的屬性相關聯。每次更改一個對象以後,其 USN 都會遞增並與屬性一塊兒保存。
每一個 Active Directory 服務器都保留站點內全部複製夥伴的最新 USN 的表格。該表格包括每一個屬性的最高 USN。 當達到複製時間間隔時,則每一個服務器只請求那些 USN 比列在本身表格中的 USN 大的更改。
有時,在複製全部的更改以前,可能在兩個不一樣的 Active Directory 服務器上對同一屬性進行了更改。這就會致使複製衝突。必須將其中一個更改聲明爲更準確的更改,並將此更改用做全部其餘複製夥伴的複製源。爲解決這種潛在的問題,Active Directory 使用了整個站點的屬性版本號 (PVN) 值。當發生起始寫入操做時,PVN 就會遞增。起始寫入操做就是直接在某個特定 Active Directory 服務器上發生的寫入操做。
當在不一樣位置的具備相同的 PVN 的兩個或多個屬性值被更改時,接收更改的 Active Directory 服務器就會對每一個更改的時間戳進行檢查,並使用最新的一個進行更新。此問題的最重要分枝是網絡中心時鐘的安裝和維護。
另外一個複製問題就是循環。Active Directory 可以使管理員配置多個路徑以達到冗餘的目的。爲了不更改無止境地更新下去,Active Directory 在每一個服務器上建立 USN 對的列表。這些列表被稱爲最新矢量 (UDV)。它們保存每一個起始寫入操做的最高 USN。每一個 UDV 均列出在其所在的站點中的全部其餘服務器。當發生複製時,請求服務器就把本身的 UDV 發送到發送服務器。每一個起始寫入操做的最高 USN 均可用來肯定是否仍須要複製更改。若是 USN 號碼相同或更高,則不須要進行更改,由於請求的服務器已經被更新了。
組的更改:
Active Directory 的邏輯規劃過程的另外一個方面就是組的概念。在 Windows NT 4.0 中,管理員可使用兩個基本的組類型,即本地和全局。考慮到這種結構固有的限制,Windows 2000 爲網絡管理員提供瞭如下組,其功能更強大而且靈活性更高:
- 做用域爲本地的組(也稱爲"本地組")
- 做用域爲域本地的組(也稱爲"域本地組")
- 做用域爲全局的組(也稱爲"全局組")
- 做用域爲通用的組(也稱爲"通用組")
一個值得注意的重要修改是,全局組如今能夠包含其它的全局組。雖然全局組仍用於收集用戶,可是它可以將一個組放在另外一個組以內,從而使管理員能夠將它們放在目錄林的任何地方,使得維護很是方便。可是,全局組只能包括來自 Active Directory 目錄林中某個域的用戶和組。
由於不少網絡混用 Windows 2000 和 Windows NT 4.0 服務器,因此在建立組以前,必須肯定網絡上域的數量和類型以及哪些域是混合模式,哪些域是本地模式:
- 混合模式域。默認狀況下,Windows 2000 操做系統以混合模式網絡配置進行安裝。混合模式域是網絡上的一組計算機,它們同時運行 Windows NT 4.0 和 Windows 2000 域控制器。(混合模式域也能夠只運行 Windows 2000 域控制器。)
- 本地模式域。當域只包含 Windows 2000 Server 域控制器時,能夠將該域轉換成本地模式。
通用組(Windows 2000 的新增功能)能夠包含目錄林中任何目錄樹中的全部其它組和用戶,而且能夠與目錄林中任何訪問控制列表 (ACL) 一塊兒使用。
能夠組合使用全局組、域本地組和通用組,以控制對網絡資源的訪問。全局組的基本用途是把用戶組織到表明其相應域的管理容器之中。通用組能夠用於包括來自各類域的全局組,進而在授予權限時進一步管理域層次結構。能夠全局組添加到通用組中,而後給資源在物理上所在域本地組分配權限。使用這些方法建立組,管理員就能夠在每一個域的全局組中添加或刪除用戶,對整個企業資源的訪問進行控制,而無需在多個位置進行更改。
歡迎關注微信公衆號:小溫研習社
