Active Directory-Dienst und Windows 2000 oder Windows Server 2003-Domänen (Teil 1)

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 310996 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Die in diesem Artikel behandelten Informationen teilweise von: Microsoft Press.

Dieser Artikel ist Teil 1 einer Serie von zwei Artikeln, in denen Active Directory Services und Windows 2000- oder Windows Server 2003-Domänen. Teil 2 anzeigen möchten, klicken Sie auf den folgenden Link:
310997Active Directory-Dienst und Windows 2000 oder Windows Server 2003-Domänen (Teil 2)
In Teil 1 werden die folgenden Themen behandelt:
  • Die Domain-Hierarchie
    • Windows 2000 und Windows Server 2003-Domänen
      • Domänen
      • Strukturen
      • Gesamtstrukturen
  • Vertrauensstellungen
    • Transitive Vertrauensstellungen
    • Unidirektionale Vertrauensstellungen
    • Querverbindung entsteht Vertrauensstellungen
In Teil 2 werden die folgenden Themen behandelt:
  • Administrative Grenzen
    • Domänen
    • Organisationseinheiten
  • Active Directory-Aktivität
    • Emuliert die Domain-Hierarchie
    • Katalogisieren von die Domäne (das Verzeichnis Partition)
    • Das Verzeichnis Partitionierung
    • Abrufen von Informationen zu Objekten in einer anderen Domäne
      • Verteilen das Verzeichnis
      • Das Verzeichnis replizieren
    • Katalogisieren von Enterprise (GC)
  • Schlussfolgerungen
Diese Informationen ist ein Auszug aus dem Buch Active Directory Services for Microsoft Windows 2000 Technical Reference , Kapitel 3: Active Directory-Dienste und Windows 2000-Domänen. Weitere Informationen zu Active Directory Services for Microsoft Windows 2000 Technical Reference. Es wurde aktualisiert, Informationen zu Microsoft Windows Server 2003 enthält.

Weitere Informationen

Die Microsoft Windows 2000 oder Windows Server 2003-Domänenstruktur und ihre zugeordneten Objekte werden erheblich geändert von Ihrer Windows NT 4-Variationen reflektieren zentrale Rolle in Windows 2000 oder Windows Server 2003 und die Entwurfsanforderungen, die einen skalierbaren, Unternehmen Verzeichnisdienst Active Directory-Dienst. Einige dieser Änderungen sind offensichtlich, wie z. B. die Bewegung auf Modell für eine transitive Vertrauensstellung Beziehung, während andere subtileres, z. B. die Einführung von Organisationseinheiten sind. Ob die Probleme bei der offensichtliche oder feine sind, ist die Erläutern Sie zentraler Verständnis der Interaktion und Abhängigkeiten zwischen Windows 2000 oder Windows Server 2003-Domänen und Active Directory-Dienste. Active Directory emuliert die Windows 2000 und Windows Server 2003-Domänenmodell-- oder umgekehrt umgekehrt, wenn Sie es auf diese Weise betrachten möchten. In beiden Fällen Windows 2000- oder Windows Server 2003-Domänen und Active Directory sind voneinander abhängig und sogar durch des jeweils anderen Merkmale definiert. Die Beziehung schließende und indivisible zwischen Windows 2000 oder Windows Server 2003-Domänen und Active Directory-Dienste erfordert eine Erklärung für das Windows 2000 oder Windows Server 2003-Domänenmodell und Interaktion mit Active Directory-Dienste. Daher dieses Kapitel beginnt mit einer Erläuterung der Windows 2000 und Windows Server 2003-Domänenmodell und untersucht, warum dieses Modell so Windows NT-Domäne-Sicherheitsmodell unterscheidet.

Windows 2000 und Windows Server 2003-Domänen

Domänenmodelle für Windows NT 4 skalieren nicht gut. Es gibt andere Möglichkeiten, diese Tatsache, die die Wahrheit sugarcoat würde, die besagt, aber die einfache Tatsache die Frage ist, dass die Windows NT 4-Domäne ? mit seiner unidirektionalen nicht transitiven Vertrauensstellungen--erforderliche viel Verwaltungsaufwand in großen Unternehmen Implementierungen Modell. Dies ist nicht mehr bei Windows 2000 oder Windows Server 2003 und deren Domänenmodelle größtenteils wegen der neue Ansatz zur Vertrauensstellungen, sondern auch da das gesamte Domäne Konzept überarbeitet hat Industriestandards wie (LIGHTWEIGHT Directory Access Protocol) und DNS-ausgerichtet.

Die Domain-Hierarchie

In Windows 2000 und Windows Server 2003-Netzwerken werden Domänen in einer Hierarchie organisiert. Bei diesem neuen hierarchische Ansatz zu Domänen wurden die Konzepte von Gesamtstrukturen und Strukturen erstellt. Diese neue Konzepte zusammen mit dem vorhandenen Konzept der Domänen, helfen Organisationen, die weitere effektiv verwalten die Netzwerkstruktur von Windows 2000 und Windows Server 2003.
Domänen
Die Windows 2000 und Windows Server 2003-Domänenmodell atomare Einheit noch nicht geändert; ist es immer noch der Domäne. Eine Domäne ist eine administrative Grenze und in Windows 2000 und Windows Server 2003 stellt einen Namespace (der in Kapitel 4 erläutert wird), der die eine DNS-Domäne entspricht, eine Domäne dar. Finden Sie in Kapitel 6, "Active Directory Services und DNS," Weitere Informationen zu Active Directory- und DNS-Interaktion. ?

Die erste Domäne in einer Windows 2000 oder Windows Server 2003 Bereitstellung erstellt heißt der Stammdomäne, und wie der Name schon sagt, ist es der Stamm aller anderen Domänen, die in der Domänenstruktur erstellt werden. (Domänenstrukturen werden im nächsten Abschnitt erläutert.) Da Windows 2000 und Windows Server 2003-Domänenstrukturen zu DNS-Domäne Hierarchien verheiratet sind, ähnelt die Struktur der Windows 2000- und Windows Server 2003-Domänen Struktur der Hierarchien der DNS-Domäne vertraut. Domains sind Domänen wie microsoft.com oder iseminger.com, sondern die Stämme Ihrer DNS-Hierarchien und den Stämmen der Domänenstruktur Windows 2000 und Windows Server 2003.

In einer bestimmten Windows 2000 und Windows Server 2003-Domänenhierarchie nachfolgend erstellte Domänen sind untergeordnete Domänen der Stammdomäne. Wenn Msdn eine untergeordnete Domäne von microsoft.com ist, wird die Msdn-Domäne z. B. msdn.microsoft.com.

Wie Sie sehen können, muss Windows 2000 und Windows Server 2003-Domänen entweder eine Stammdomäne oder eine untergeordnete Domäne in eine Domänenhierarchie sein. Windows 2000 und Windows Server 2003 auch erfordern, dass Domänennamen eindeutig einer bestimmten übergeordneten Domäne; z. B. Sie können nicht zwei Domänen namens Msdn, die direkte untergeordnete Domänen der Stamm Domäne microsoft.com. Allerdings haben Sie zwei Domänen namens Msdn in der gesamten Domänenhierarchie. Angenommen, Sie konnte haben msdn.microsoft.com sowie msdn.devprods.microsoft.com; der microsoft.com-Namespace enthält nur eine untergeordnete Domäne namens Msdn und der devprods.microsoft.com-Namespace enthält auch nur eine untergeordnete Domäne namens Msdn.

Die Idee hinter Domänen ist eine logische Partitionieren. Ausreicht, um mehr als eine Windows 2000- oder Windows Server 2003-Domäne benötigen die meisten Organisationen eine logische Struktur, die Zuständigkeiten teilt oder den Fokus. Aufteilen einer Organisation in mehrere Einheiten (manchmal auch Abteilungen in Unternehmen Amerika genannt), erfolgt die Verwaltung der Organisation einfacher. Die Organisation wird wirksam, um eine weitere logische Struktur bereitzustellen, und vielleicht Arbeit zwischen verschiedenen Abschnitten der Organisation Teilen partitioniert wird. Auf diese Weise einen anderen betrachten, wenn logische Unternehmenseinheiten (Abteilungen) zusammenfassend unter Regenschirm eine größere Einheit (vielleicht einem Unternehmen) gesammelt werden, erstellen diese logisch unterschiedliche Bereiche eine größere Einheit. Obwohl arbeiten in verschiedenen Abteilungen separaten und unterschiedlichen möglicherweise, die Unterteilungen bilden zusammen eine größere aber logisch vervollständigen Entität. Dieses Konzept gilt auch für die Auflistung der Windows 2000- und Windows Server 2003-Domänen in einer größeren, zusammenhängenden Namespace Entität als eine Struktur bezeichnet.
Strukturen
--Bezeichnet Domänenstrukturen--Strukturen sind Sammlungen von Windows 2000- und Windows Server 2003-Domänen, die einen zusammenhängenden Namespace bilden. Eine Domänenstruktur wird gebildet, sobald Sie eine untergeordnete Domäne erstellt und einen bestimmten Stammdomäne zugeordnet. Eine technische Definition eine Struktur einen zusammenhängenden DNS Namenshierarchie; eine grundlegende Abbildung sieht eine Domänenstruktur wie eine Invertierte Struktur (mit der Stammdomäne oben) mit den Verzweigungen (untergeordnete Domänen) unter sprouting.

Die Erstellung einer Domänenstruktur ermöglicht Organisationen, um eine logische Struktur von Domänen innerhalb Ihrer Organisation erstellen und diese Struktur einhalten und spiegeln Sie den DNS-Namespace. Beispielsweise konnte David Iseminger und Unternehmen eine DNS-Domäne micromingers.iseminger.com aufgerufen, verschiedene logische Bereiche innerhalb des Unternehmens, wie z. B. Verkauf, Buchhaltung, Produktion und usw.. In einem solchen Fall sieht die Domänenstruktur wie der Domänenstruktur in Abbildung 3-1.

Bild minimierenBild vergrößern
 Picture of
		  the domain tree for micromingers.iseminger.com

Abbildung 3-1. Die Domänenstruktur für micromingers.iseminger.com

Hinweis : nach jetzt haben Sie bemerkt, dass iseminger.com alle über den Bereich verwendet wird. Diese Vanity auf den Autor nicht, sondern ein rechtliche Aspekt der Verleger bei besteht. "Keine Domänen, die Sie potenziell strittige sind," sagte Sie. "Nur Autor gehören Domänen oder mattes Sie diejenigen wirklich, wirklich." Der Autor hat eine in am www.iseminger.com daher diesen Domänennamen überall in diesem Handbuch verwendet werden. Weitere inventive Namen musste, aber leider wir müssen Sie die Rechtsanwälte auf.

Diese Organisation der logischen Unterteilungen innerhalb des Unternehmens funktioniert sehr gut für Unternehmen, die eine DNS-Domäne, aber das Problem der Unternehmen, die mehr als eine "Unternehmen" in größeren Unternehmen möglicherweise behoben werden muss. Dieses Problem wird durch die Verwendung von Windows 2000 und Windows Server 2003-Gesamtstrukturen behandelt.
Gesamtstrukturen
Einige Organisationen möglicherweise mehrere Stammdomänen wie iseminger.com und microsoft.com, noch die Organisation selbst ist eine einzelne Entität (z. B. die fiktive David Iseminger und Unternehmen in diesem Beispiel). In solchen Fällen können diese mehrere Domänenstrukturen einen als Gesamtstruktur bezeichneten nicht fortlaufenden Namespace bilden. Eine Gesamtstruktur ist eine oder mehrere zusammenhängende Domänen Struktur Hierarchien, die eine bestimmte Organisation bilden. Logisch bedeutet dies auch, eine Organisation mit nur eine einzelne Domäne in der Domänenstruktur eine Gesamtstruktur ebenfalls berücksichtigt wird. Diese Unterscheidung wird weiter unten in diesem Kapitel noch wichtiger, wenn besprochen, die Möglichkeit, die Active Directory mit Windows 2000 oder Windows Server 2003-Domänen und Gesamtstrukturen interagiert.

Das Gesamtstrukturmodell ermöglicht Organisationen, die einen zusammenhängenden Namespace unternehmensweite Kontinuität in Ihren aggregierten Domänenstruktur beibehalten nicht. Beispielsweise konnte David Iseminger und Unternehmen--iseminger.com--konnten zusammen scrape genügend Pfennig erwerben Sie ein anderes Unternehmen namens Microsoft, die eigene Verzeichnisstruktur hatte, die Domänenstrukturen von den beiden Entitäten in einer Gesamtstruktur kombiniert. Es gibt drei wesentliche Vorteile der mit eine einzelne Gesamtstruktur. Zunächst werden Vertrauensstellungen einfacher verwaltet werden (Benutzer in einer Domänenstruktur Zugriff auf Ressourcen in der anderen Struktur aktivieren). Zweitens enthält der globale Katalog Objektinformationen für die Gesamtstruktur, wodurch Suchvorgänge des gesamten Unternehmens möglich. Drittens-Active Directory-Schema auf der ganzen Gesamtstruktur angewendet wird. (Technische Informationen zum Schema finden Sie in Kapitel 10.) Abbildung 3-2 veranschaulicht das Verbinden von der iseminger.com und Microsoft Domänenstrukturen mit einer Linie zwischen deren Stammdomänen, die das Kerberos angibt, besteht zwischen Ihnen und richtet die Gesamtstruktur vertrauen. (Das Kerberos-Protokoll wird detailliert in Kapitel 8 erläutert.)

Obwohl eine Gesamtstruktur mehrere Domänenstrukturen umfassen kann, stellt einem Unternehmen dar. Die Erstellung von der Gesamtstruktur ermöglicht allen Member Domänen Informationen (über die Verfügbarkeit von den globalen Katalog) gemeinsam nutzen. Fragen Sie sich vielleicht, wie Domänenstrukturen innerhalb einer Gesamtstruktur Beziehungen einzurichten, die das gesamte Unternehmen (dargestellt durch die Gesamtstruktur) aktivieren an Funktion als eine Einheit. Gute Frage; die Antwort wird am besten durch eine Erläuterung der Vertrauensstellungen bereitgestellt.

Vertrauensstellungen

Möglicherweise der wichtigste Unterschied zwischen Windows NT 4 und Windows 2000 oder Windows Server 2003-Domänen ist die Anwendung und die Konfiguration von Vertrauensstellungen zwischen Domänen in derselben Organisation. Implementieren anstelle ein Gitters unidirektionale Vertrauensstellungen (wie in Windows NT 4) einrichten, Windows 2000 und Windows Server 2003 transitive Vertrauensstellungen, die oben und unten (neu) Domänenstruktur. Dieses Modell vereinfacht die Windows-Netzwerkverwaltung, wie ich zeigen wird, indem Sie ein Beispiel für numerische. Die folgenden beiden Gleichungen (bear mit mir--die Formeln sind mehr zur Veranschaulichung als Schwierigkeiten inducing Memorization) exemplify die Verwaltung Aufwand mit jeder Ansatz eingeführt; die Formeln darstellen der Anzahl von Vertrauensstellungen von jeder Domäne vertrauen Ansatz, wobei n die Anzahl von Domänen steht benötigt:
Windows NT 4-Domänen--(n * (n-1))
Windows 2000 oder Windows Server 2003-Domänen--( n -1)
Nur Veranschaulichung wir sollten Sie ein Netzwerk mit eine Handvoll Domänen und unter wie Vergleichen der Ansätze für Domänenmodelle. (Vorausgesetzt, fünf Domänen in einer bestimmten Hand, n passen = 5 in den folgenden Formeln.)
Windows NT 4-Domänen: (5 * (5 - 1)) = 20 Vertrauensstellungen
Windows 2000- oder Windows Server 2003-Domänen: (5 - 1) = 4 Vertrauensstellungen
Bild minimierenBild vergrößern
 Picture of the
		  combining of domain trees for Iseminger.com and Microsoft

Abbildung 3-2. Die Kombination von Domänenstrukturen für Iseminger.com und Microsoft

Das ist ein wesentlicher Unterschied der Anzahl von Vertrauensstellungen, die verwaltet werden müssen, aber, dass Verringerung nicht selbst die leistungsfähigsten Stärke der der neue Ansatz zur Domänen ist. Mit Windows 2000 und Windows Server 2003-Domänen sind die Vertrauensstellungen erstellt und standardmäßig implementiert. Wenn der Administrator lediglich Installation führt sind die Domänencontroller Vertrauensstellungen bereits vorhanden. Diese automatische Erstellung von Vertrauensstellungen ist die Tatsache gebunden, Windows 2000- und Windows Server 2003-Domänen (im Gegensatz zu Windows NT 4 Domänen) werden hierarchisch erstellt; es ist eine Stammdomäne und untergeordneten Domänen innerhalb einer bestimmten Domänenstruktur und sonst nichts. Mit dem Windows 2000 und Windows Server 2003 automatisch wissen, welche Domänen in einer bestimmten Domänenstruktur enthalten sind, und zwischen Stammdomänen Vertrauensstellungen eingerichtet sind, automatisch wissen, welche Domäne Strukturen sind enthalten in der Gesamtstruktur.

Im Gegensatz dazu Administratoren musste Vertrauensstellungen erstellen (und später verwalten) zwischen Windows NT-Domänen und mussten, wie Beachten Sie die Vertrauensstellungen geleiteten (und, wie die Benutzerrechte in beiden Domänen betroffen). Der Unterschied ist von Bedeutung, der Verwaltungsaufwand in einen Bruch Slices aufgeteilt wird und die Implementierung von solchen Vertrauensstellungen ist intuitiver--alle aufgrund von neuen Vertrauensmodell und der hierarchischen Ansatz zur Domäne und deren Untergliederungen.

In Windows 2000 und Windows Server 2003 gibt es drei Typen von Vertrauensstellungen, von die jeder bestimmte müssen innerhalb der Domänenstruktur füllt. Die Vertrauensstellungen für Domänen mit Windows 2000 und Windows Server 2003 verfügbar sind:
  • Transitive Vertrauensstellungen
  • Unidirektionale Vertrauensstellungen
  • Querverbindung entsteht Vertrauensstellungen
Transitive Vertrauensstellungen
Transitive Vertrauensstellungen eine Vertrauensstellung zwischen zwei Domänen, die über an andere Domänen übertragen können, wenn Domäne A vertraut Domäne B und Domäne B vertraut Domäne C Domäne A Domäne C grundsätzlich vertraut und umgekehrt als Abbildung 3.3 veranschaulicht hergestellt.

Bild minimierenBild vergrößern

		  Picture of transitive trust among three domains

Abbildung 3-3. Transitive Vertrauensstellung zwischen drei Domänen

Transitive Vertrauensstellungen werden erheblich der administrative Aufwand, die die Verwaltung von Vertrauensstellungen zwischen Domänen zugeordnet, da es nicht mehr ein Netz von unidirektionalen nicht transitive Vertrauensstellungen zum Verwalten von ist reduziert. Transitive Vertrauensstellungen zwischen übergeordneten und untergeordneten Domänen werden in Windows 2000 und Windows Server 2003 automatisch eingerichtet immer neue Domänen in der Domänenstruktur erstellt werden. Transitive Vertrauensstellungen sind beschränkt, um Windows 2000- oder Windows Server 2003-Domänen und Domänen innerhalb der gleichen Domänenstruktur oder Gesamtstruktur; Sie können keine transitive Vertrauensstellung mit Domänen ab-Ebene (Windows NT 4 und früher) erstellen, und Sie können keine transitive Vertrauensstellung zwischen zwei Windows 2000 oder zwei Windows Server 2003-Domänen, die in verschiedenen Gesamtstrukturen befinden erstellen.
Unidirektionale Vertrauensstellungen
Unidirektionalen Vertrauensstellungen sind nicht transitiv, damit Sie eine Vertrauensstellung Beziehung zwischen nur die beteiligten Domänen definieren und sind nicht bidirektional. Um eine bidirektionale Vertrauensstellung zu erstellen wie in einer reinen Windows NT 4-Umgebung können Sie jedoch zwei separate unidirektionale Vertrauensstellung Beziehungen (eine in beide Richtungen) erstellen. Beachten Sie dass, jedoch auch solche Hubkolben-unidirektionale Vertrauensstellungen nicht um eine transitive Vertrauensstellung gleichsetzen; die Vertrauensstellung in unidirektionale Vertrauensstellungen zwischen nur zwei Domänen beteiligt gültig ist. Unidirektionale Vertrauensstellungen in Windows 2000 und Windows Server 2003 sind nur die gleichen als unidirektionale Vertrauensstellungen in Windows NT 4-- und werden in Windows 2000 oder Windows Server 2003 in wenigen Situationen verwendet. Eine Reihe von den am häufigsten auftretenden Situationen werden unten beschrieben.

Erste, unidirektionale Vertrauensstellungen werden häufig verwendet, wenn neue Vertrauensstellungen mit Domänen ab-Ebene, z. B. Windows NT 4 eingerichtet werden müssen Domänen. Da Down-Level-Domänen Windows 2000 und Windows Server 2003 transitiv vertrauenswürdigen Umgebungen (z. B. Strukturen oder Gesamtstrukturen) Teilnahme können nicht müssen unidirektionale Vertrauensstellungen eingerichtet werden, um Vertrauensstellungen zwischen einer Windows 2000 oder Windows Server 2003-Domäne und einer kompatiblen Windows NT-Domäne zu aktivieren.

Hinweis : Diese Situation unidirektionale Vertrauensstellung gilt nicht für den Migration-Prozess (z. B. eine Aktualisierung von einer vorhandenen Windows NT 4-Domänenmodell zum Modell Domäne/Struktur/Gesamtstruktur Windows 2000 oder Windows Server 2003). Im gesamten Kurs von einem Migration aus Windows NT 4, Windows 2000 oder Windows Server 2003 ist Vertrauensstellungen, die Sie eingerichtet haben berücksichtigt werden, der Migration-Prozess geht nach Abschluss, wenn alle Domänen Windows 2000 oder Windows Server 2003 und der Umgebung transitive Vertrauensstellungen sind, Zeitpunkt hergestellt. Es gibt eine ganze Menge gewidmet näher an den Prozess Migration in Kapitel 11, "Migrieren nach Active Directory-Dienste".

Wenn eine Vertrauensstellung zwischen Domänen eingerichtet werden muss, die nicht in derselben Windows 2000 oder Windows Server 2003-Gesamtstruktur sind, können zweite, unidirektionale Vertrauensstellungen verwendet werden. Sie können unidirektionale Vertrauensstellungen zwischen Domänen in verschiedenen Windows 2000 oder Windows Server 2003-Gesamtstrukturen, die Vertrauensstellung zur Domäne zu isolieren, mit dem die Beziehung erstellt und verwaltet, statt eine Vertrauensstellung erstellen, wirkt sich auf die ganze Gesamtstruktur. Lassen Sie mich mit einem Beispiel verdeutlichen.

Genommen Sie an, Ihre Organisation eine Produktion Division und einen Verkauf Division verfügt. Die Produktion Division möchte einige der Prozessinformationen (gespeichert auf Servern, die in der Windows 2000 oder Windows Server 2003-Domäne befinden) einer Standardisierungsorganisation freigeben. Der Abteilung sales möchte jedoch behalten Sie die vertraulichen Verkauf und marketing Informationen, die auf Servern in Ihrer Domäne aus dem Textkörper Standards private gespeichert. (Vielleicht sind Ihre Verkäufe so gut, dass der Standardisierungsorganisation möchte diese abzuwehren durch Weinendes "Monopoly!") Mit eine unidirektionale Vertrauensstellung behält die Verkaufsdaten sicher. Für den erforderlichen Zugriff auf den Textkörper Standards richten Sie eine unidirektionale Vertrauensstellung zwischen der Produktion Domäne und der Standardisierungsorganisation Domäne, und da unidirektionale Vertrauensstellungen nicht transitiv sind, wird die Vertrauensstellung nur zwischen den beiden beteiligten Domänen eingerichtet. Auch, da die vertrauende Domäne die Domäne Fertigung ist, würden keine Ressourcen in der Standardisierungsorganisation Domäne für Benutzer in der Produktion Domäne verfügbar.

In entweder den hier beschriebenen unidirektionale Vertrauensstellung Szenarien, konnte Sie natürlich eine bidirektionale Vertrauensstellung aus zwei separaten unidirektionale Vertrauensstellungen erstellen.
Cross-Link Vertrauensstellungen
Querverbindung entsteht Vertrauensstellungen werden verwendet, um Leistung zu verbessern. Vertrauensstellungen Querverbindung entsteht wird eine Brücke virtuellen Trust-Überprüfung innerhalb der Hierarchie Struktur oder-Gesamtstruktur aktivieren schnellere Vertrauenswürdige Beziehung Bestätigungen (oder verweigerte) erreicht werden erstellt. Das ist gut für eine kurze Version der die Erklärung, aber um wirklich zu verstehen, wie und warum Querverbindung entsteht Vertrauensstellungen verwendet werden, werden Sie erste müssen verstehen, wie domänenübergreifendes Authentifizierungen in Windows 2000 und Windows Server 2003 behandelt.

Wenn eine Windows 2000- oder Windows Server 2003-Domäne muss Authentifizieren eines Benutzers (oder überprüfen Sie andernfalls eine Authentifizierungsanforderung) auf eine Ressource, das sich nicht in seiner eigenen Domäne befindet, wird es in ähnlicher Weise auf DNS-Abfragen. Windows 2000 und Windows Server 2003 bestimmen zunächst, ob die Ressource in der Domäne gespeichert ist, in dem die Anforderung erfolgt. Wenn die Ressource nicht in der lokalen Domäne befindet, der Domänencontroller (insbesondere die Verteilung Schlüsselverwaltungsdienst [KDC] auf dem Domänencontroller) übergibt dem Client einen Verweis an einen Domänencontroller in die nächste Domäne in der Hierarchie (nach oben oder unten als geeignet). Der nächste Domänencontroller wird mit dieser Prüfung "Lokale Ressource" fortgesetzt, bis die Domäne in der die Ressource befindet erreicht ist. (Diese Verweisverfahren wird ausführlich in Kapitel 8 erläutert.)

Während dieser "Durchlaufen der Domänenstruktur" gut funktioniert, geht die virtuellen Ansichtenvorgängern bis der Domänenhierarchie Notizen Zeit Auswirkungen Antwort Leistung Abfragen und. Diese in Begriffe übertragen, die vielleicht sind leicht verständlich, sollten Sie die folgenden Krise:

Sie sind am Flughafen, deren zwei terminal Flügeln Formular einen Terminalserver V. A am linken Rand der V inhabits, und Terminalserver B inhabits nach rechts. Der Gates sind fortlaufend nummeriert, so, dass sowohl die Terminalserver ein Terminal B Einsen Gate sind in der Nähe der Basis von der V (, in denen zwei Endgeräte verbunden sind) und beide Gate-15 s sind am Ende der V. Alle Gates Verbinden mit der Innenseite der die V. Sie haben Ihre Flight abgefangen, und eintreffen beim Terminalserver ein Gate 15 (am äußersten Ende das S) nur für bemerken, dass Ihre Flight tatsächlich von Terminalserver b verlässt hurried Sie suchen Sie das Fenster und Ihr Flugzeug am Terminalserver B Gate 15 sehen, aber Sie müssen damit Sie auf das Gate durchlaufen (OK, ausführen) ganz wieder Terminal A, um die Basis der V einrichten und dann Joggen (mittlerweile, Sie sind nicht mehr) ganz nach unten Terminal-B, um seine Gate-15--abzurufen nur zu Ihrer Flight ohne lassen ansehen. Wie Sie im Wartebereich sitzen, Ihre Zeit für die zwei Stunden bis nächsten Flug verfügbar sind und über die V, um Terminalserver ein, aus dem Sie den Flug Abfahrt wurde betrachtet staring biding, Sie ausdenken mit eine gute Idee: Himmel Brücke zwischen den Enden der Terminals erstellen, sodass Mitfahrer z. B. selbst von Terminal eine Gate 15 Terminal B Gate 15 schnell abrufen können. Sinnvoll dies? Es ist sinnvoll, nur wenn viel Datenverkehr zwischen den Terminals Gate 15 s.

Querverbindung entsteht Vertrauensstellungen können ebenso als eine Brücke Authentifizierung zwischen Domänen dienen, die logisch voneinander entfernte in einer Gesamtstruktur oder einer Struktur Hierarchie sind und sehr viel Authentifizierungsdatenverkehr. Welche Beträge zu viel Authentifizierungsdatenverkehr? Berücksichtigen Sie zwei Teilstrukturen einer Domänenstruktur Windows 2000 oder Windows Server 2003. Die erste Verzweigung Domänen A, B, C und d besteht aus A ist das übergeordnete Element von B, B ist das übergeordnete Element von C und C das übergeordnete Objekt des d Die zweite Verzweigung Domänen A, M, N und p besteht aus A ist das übergeordnete Element von M, M ist das übergeordnete Objekt des N und N das übergeordnete Objekt des p Ein wenig unübersichtlich, also aus Abbildung 3-4 für eine illustrierte Darstellung dieser Struktur.

Bild minimierenBild vergrößern
 Picture of a sample
		  domain hierarchy

Abbildung 3-4. Eine Beispiel-Domänenhierarchie

Jetzt genommen Sie an, Sie Benutzer in Domäne D, die regelmäßig Ressourcen, die haben verwenden für den Grund in Domäne p befinden Wenn ein Benutzer in Domäne D Ressourcen in Domäne B verwenden möchte, Windows 2000 und Windows Server 2003 die Anforderung durch einen Verweis Pfad, der zurück auf den Stamm der Struktur (Domäne A in diesem Fall) climbs durchlaufen beheben und dann wieder nach unten die entsprechenden Zweig der Domänenstruktur durchlaufen, bis Domäne p Wenn diese Authentifizierungen fortlaufend ausgeführt werden, wird dieser Ansatz sehr viel Datenverkehr erstellt. Ein besserer Ansatz ist die Erstellung eine Querverbindung entsteht Vertrauensstellung zwischen Domänen, D und B Authentifizierungen zwischen den Domänen auftreten, ohne die Domänenstruktur durchlaufen können in das Stammverzeichnis zurück (oder die Basis Domäne, an der die Struktur Zweige aufteilen). Das Ergebnis ist eine bessere Leistung hinsichtlich der Authentifizierung.

Informationsquellen

Die Informationen in diesem Artikel ist ein Auszug aus dem Active Directory Services for Microsoft Windows 2000 Technical Reference -Buch, veröffentlicht von Microsoft Press.

Bild minimierenBild vergrößern

		  Picture of Active Directory Services for Microsoft Windows 2000 Technical
		  Reference book


Weitere Informationen zu Active Directory Services for Microsoft Windows 2000 Technical Reference

Weitere Informationen zu dieser Publikation und anderen Microsoft Press-Titeln finden Sie unter http://mspress.microsoft.com.

Eigenschaften

Artikel-ID: 310996 - Geändert am: Montag, 3. Dezember 2007 - Version: 5.5
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Keywords: 
kbmt kbinfo KB310996 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 310996
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com