Active Directory Services dan Windows 2000 atau Windows Server 2003 domain (bagian 1)

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 310996 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Informasi yang dibahas dalam artikel ini disediakan dalam bagian oleh: Microsoft Tekan.

Artikel ini adalah bagian 1 dari seri dua artikel yang menjelaskan Active Directory Services dan Windows 2000 atau Windows Server 2003 domain. Untuk melihat bagian 2, klik link berikut:
310997 Active Directory Services dan Windows 2000 atau Windows Server 2003 domain (bagian 2)
Berikut topik yang dibahas dalam Bagian 1:
  • Hirarki Domain
    • Windows 2000 dan Windows Server 2003 domain
      • Domain
      • Pohon
      • Hutan
  • Percaya hubungan
    • Transitif Trust
    • Satu arah Trust
    • Cross-link Trust
Berikut topik yang dibahas dalam bagian 2:
  • Batas-batas administratif
    • Domain
    • Unit organisasi
  • Interaksi direktori aktif
    • Meniru hirarki Domain
    • Katalogisasi Domain (direktori Partisi)
    • Partisi direktori
    • Mendapatkan informasi tentang benda-benda di Domain lain
      • Mendistribusikan direktori
      • Mereplikasi direktori
    • Katalogisasi Enterprise (Global Katalog)
  • Kesimpulan
Informasi ini adalah kutipan dari Active Directory Services untuk Microsoft Windows 2000 Technical Reference buku, bab 3: Active Directory Services dan Windows 2000 Domain. Pelajari lebih lanjut tentang Aktif Layanan direktori untuk Microsoft Windows 2000 Technical Reference. Telah diperbarui untuk menyertakan informasi tentang Microsoft Windows Server 2003.

INFORMASI LEBIH LANJUT

Microsoft Windows 2000 atau Windows Server 2003 domain struktur dan benda-benda terkait yang berubah secara signifikan dari mereka Windows NT 4 inkarnasi, mencerminkan peran sentral layanan direktori aktif di Windows 2000 atau Windows Server 2003 dan persyaratan desain yang membuat layanan direktori scalable, perusahaan-siap. Beberapa perubahan ini jelas, seperti gerakan untuk model hubungan kepercayaan transitif, sementara orang lain lebih halus, seperti pengenalan unit organisasi. Apakah isu-isu jelas atau halus, menjelaskan mereka merupakan pusat pemahaman interaksi dan dependensi antara Windows 2000 atau Windows Server 2003 domain dan direktori aktif layanan. Active Directory mengemulasi Windows 2000 dan model domain Windows Server 2003--atau vice versa, jika Anda ingin melihat itu seperti itu. Either way, Windows 2000 atau domain Windows Server 2003 dan Active Directory bergantung pada satu sama lain dan bahkan didefinisikan oleh satu sama lain karakteristik. Dekat dan terpisahkan hubungan antara Windows 2000 atau Domain Windows Server 2003 dan layanan direktori aktif memerlukan penjelasan dari model domain Windows 2000 atau Windows Server 2003 dan bagaimana itu berinteraksi dengan layanan direktori aktif. Oleh karena itu, bab ini dimulai dengan penjelasan tentang model domain Windows 2000 dan Windows Server 2003 dan meneliti mengapa model sangat berbeda dari model domain Windows NT.

Windows 2000 dan Windows Server 2003 domain

Model domain Windows NT 4 tidak baik skala. Ada yang lain cara untuk menyatakan fakta ini yang akan sugarcoat kebenaran, tapi fakta sederhana masalah adalah bahwa model domain Windows NT 4--dengan yang satu arah nontransitive percaya--diperlukan banyak administrasi overhead dalam perusahaan besar implementasi. Hal ini tidak terjadi dengan Windows 2000 atau Windows Server 2003 dan mereka domain model, sebagian besar karena baru pendekatan untuk percaya, tetapi juga karena konsep seluruh domain telah dirubah untuk menyelaraskan dengan standar industri seperti Lightweight Directory Access Protocol (LDAP) dan layanan Nama Domain (DNS).

Hirarki Domain

Di jaringan Windows 2000 dan Windows Server 2003, domain adalah diatur dalam hirarki. Dengan pendekatan hirarkis ini baru untuk domain, konsep hutan dan pohon-pohon itu dibuat. Konsep-konsep baru ini, bersama dengan ada konsep domain, organisasi-organisasi bantuan yang lebih efektif mengelola Struktur jaringan Windows 2000 dan Windows Server 2003.
Domain
Unit atom Windows 2000 dan Windows Server 2003 domain model belum berubah; Hal ini masih domain. Domain adalah Batas administratif, dan dalam Windows 2000 dan Windows Server 2003, domain mewakili namespace (yang dibahas dalam bab 4) yang sesuai dengan DNS domain. Lihat Bab 6, "Active Directory Services dan DNS," untuk lebih informasi tentang bagaimana Active Directory Services dan DNS berinteraksi.

The domain pertama yang dibuat di Windows 2000 atau Windows Server 2003 penyebaran disebut akar domain, dan seperti namanya, itu adalah akar dari semua yang lain domain yang dibuat di domain pohon. (Domain pohon dijelaskan dalam bagian berikutnya.) Karena struktur domain Windows 2000 dan Windows Server 2003 menikah dengan DNS domain hirarki, struktur Windows 2000 dan Windows Domain Server 2003 mirip dengan struktur akrab DNS domain hirarki. Domain akar adalah domain microsoft.com atau iseminger.com; mereka adalah akar hierarki DNS mereka dan akar Windows 2000 dan struktur domain Windows Server 2003.

Domain kemudian dibuat dalam diberikan Windows 2000 dan Windows Server 2003 domain hierarki menjadi anak domain domain akar. Sebagai contoh, jika msdn adalah domain anak Microsoft.com, msdn domain menjadi msdn.microsoft.com.

Anda dapat Lihat, Windows 2000 dan Windows Server 2003 mengharuskan bahwa domain menjadi akar baik domain atau domain anak dalam hierarki domain. Windows 2000 dan Windows Server 2003 juga memerlukan nama domain menjadi unik dalam domain induk tertentu; untuk contoh, Anda tidak bisa memiliki dua domain disebut msdn yang langsung anak domain dari akar domain microsoft.com. Namun, Anda dapat memiliki dua domain yang disebut msdn dalam hirarki domain secara keseluruhan. Sebagai contoh, Anda bisa memiliki msdn.microsoft.com serta msdn.devprods.microsoft.com; microsoft.com namespace telah hanya satu anak domain disebut msdn, dan devprods.microsoft.com namespace juga telah domain hanya satu anak yang disebut msdn.

Ide di balik domain adalah salah satu Partisi logis. Sebagian besar organisasi yang cukup besar untuk memerlukan lebih dari satu Domain Windows 2000 atau Windows Server 2003 telah logis struktur membagi tanggung jawab atau fokus kerja. Dengan membagi sebuah organisasi ke beberapa unit (kadang-kadang disebut Divisi di perusahaan Amerika), manajemen organisasi dibuat lebih mudah. Akibatnya, organisasi ini dipartisi untuk memberikan struktur yang lebih logis dan mungkin untuk membagi bekerja di antara berbagai bagian dari organisasi. Untuk melihat cara lain ini, ketika unit logis bisnis (Divisi) dikumpulkan secara kolektif di bawah payung satu entitas yang lebih besar (mungkin sebuah perusahaan), ini secara logis Divisi berbeda membuat entitas yang lebih besar. Meskipun bekerja dalam yang berbeda Divisi mungkin terpisah dan sangat berbeda, Divisi kolektif membentuk entitas yang lebih besar tapi secara logis lengkap. Konsep ini juga berlaku untuk Koleksi dari domain Windows 2000 dan Windows Server 2003 ke salah satu yang lebih besar, namespace bersebelahan entitas yang dikenal sebagai pohon.
Pohon
Pohon - kadang-kadang disebut domain pohon--adalah koleksi Windows 2000 dan domain Windows Server 2003 yang membentuk namespace bersebelahan. Domain pohon terbentuk segera setelah domain anak dibuat dan terkait dengan tertentu akar domain. Definisi teknis, sebuah pohon adalah DNS bersebelahan penamaan hirarki; untuk tokoh konseptual, pohon domain seperti pohon terbalik (dengan akar domain di bagian atas), dengan cabang-cabang (anak domain) Moe keluar di bawah ini.

Penciptaan pohon domain memungkinkan organisasi untuk membuat struktur logis domain dalam organisasi mereka dan memiliki struktur yang mematuhi dan cermin DNS namespace. Sebagai contoh, David Iseminger dan perusahaan bisa memiliki domain DNS yang disebut micromingers.iseminger.com dan bisa memiliki berbagai divisi yang logis dalam perusahaan, seperti penjualan, akuntansi, manufaktur, dan sebagainya. Dalam situasi seperti ini, pohon domain mungkin terlihat seperti pohon domain dalam gambar 3-1.

Perkecil gambar iniPerbesar gambar ini
 Gambar

		  pohon domain untuk micromingers.iseminger.com

Gambar 3-1. The domain pohon untuk micromingers.iseminger.com

CATATAN: Oleh sekarang Anda telah memperhatikan bahwa iseminger.com sedang digunakan seluruh tempat. Ini bukan kesombongan di bagian penulis; ini adalah pertimbangan hukum penerbit menegaskan atas. "Tidak ada domain yang berpotensi perdebatan Tolong,"kata mereka. "Hanya milik penulis domain atau benar-benar, benar-benar membosankan orang." Penulis memiliki di di www.iseminger.com sehingga nama domain yang digunakan di mana-mana dalam buku ini. Aku punya nama lebih inventif, tapi sayangnya, kami harus menyenangkan pengacara.

Organisasi ini pembagian logis dalam perusahaan besar yang bekerja untuk perusahaan yang memiliki satu domain DNS, tapi masalah perusahaan yang mungkin memiliki lebih dari satu "perusahaan" dalam perusahaan besar mereka harus diatasi. Masalah ini diatasi melalui penggunaan dari Windows 2000 dan Windows Server 2003 hutan.
Hutan
Beberapa organisasi mungkin memiliki beberapa domain akar, seperti iseminger.com dan microsoft.com, namun organisasi itu sendiri adalah satu entitas (seperti fiksi David Iseminger dan perusahaan dalam contoh ini). Sedemikian kasus, pohon-pohon ini beberapa domain dapat membentuk namespace noncontiguous disebut hutan. Hutan adalah satu atau beberapa domain bersebelahan pohon hierarki yang membentuk perusahaan tertentu. Logis, ini juga berarti bahwa sebuah organisasi yang memiliki hanya satu domain pada pohon domain juga merupakan hutan. Ini perbedaan menjadi lebih penting kemudian dalam bab ini, kita membahas cara yang Active Directory berinteraksi dengan Windows 2000 atau Windows Server 2003 domain dan hutan.

Model hutan memungkinkan organisasi yang tidak bentuk namespace bersebelahan untuk menjaga kesinambungan seluruh organisasi di struktur agregat domain. Sebagai contoh, jika David Iseminger dan Perusahaan--iseminger.com--mampu mengumpulkan cukup uang untuk membeli perusahaan lain yang disebut Microsoft yang memiliki struktur direktori sendiri, domain struktur dari dua entitas dapat digabungkan ke dalam hutan. Ada adalah tiga keuntungan utama memiliki hutan tunggal. Pertama, hubungan kepercayaan lebih mudah dikelola (memungkinkan pengguna di satu domain pohon untuk mendapatkan akses ke sumber daya dalam pohon yang lain). Kedua, katalog Global menggabungkan objek informasi untuk seluruh hutan, yang membuat pencarian dari seluruh perusahaan mungkin. Ketiga, skema Active Directory yang berlaku untuk seluruh hutan. (Lihat Bab 10 untuk informasi teknis tentang skema.) Gambar 3-2 menggambarkan menggabungkan iseminger.com dan Microsoft domain struktur, dengan garis antara domain akar mereka menunjukkan Kerberos percaya bahwa ada antara mereka dan membentuk hutan. (Protokol Kerberos adalah dijelaskan secara rinci dalam bab 8.)

Meskipun hutan dapat terdiri dari beberapa domain pohon, ini mewakili satu perusahaan. Penciptaan hutan memungkinkan semua anggota domain untuk berbagi informasi (melalui ketersediaan Katalog Global). Anda mungkin bertanya-tanya bagaimana domain pohon dalam hutan membangun hubungan yang memungkinkan seluruh perusahaan (diwakili oleh hutan) untuk berfungsi sebagai unit. Pertanyaan bagus; jawaban terbaik disediakan oleh penjelasan tentang hubungan kepercayaan.

Percaya hubungan

Mungkin paling penting perbedaan antara Windows NT 4 domain dan domain Windows 2000 atau Windows Server 2003 adalah aplikasi dan konfigurasi hubungan kepercayaan antara domain di organisasi yang sama. Alih-alih membangun mesh dari satu arah percaya (seperti dalam Windows NT 4), Windows 2000 dan Windows Server 2003 menerapkan transitif Trust yang mengalir ke atas dan ke bawah struktur pohon domain (baru). Model ini menyederhanakan jaringan Windows administrasi, karena saya akan menunjukkan dengan menyediakan contoh numerik. The Setelah dua persamaan (beruang dengan saya--persamaan lebih untuk ilustrasi daripada menghafal merangsang rasa sakit) mencontohkan manajemen overhead diperkenalkan dengan setiap pendekatan; Persamaan mewakili jumlah hubungan kepercayaan diperlukan oleh setiap pendekatan kepercayaan domain, di mana n mewakili jumlah domain:
Windows NT 4 domain--)n * (n-1))
Windows 2000 atau Windows Server 2003 domain--)n-1)
Hanya untuk tujuan ilustrasi, mari kita Pertimbangkan jaringan yang memiliki beberapa domain dan melihat bagaimana pendekatan ke domain Model membandingkan. (Dengan asumsi bahwa domain yang sesuai di tangan diberikan, n = 5 dalam rumus berikut.)
Windows NT 4 domain: (5 * (5 - 1)) = 20 hubungan kepercayaan
Domain Windows 2000 atau Windows Server 2003: (5 - 1) = 4 hubungan kepercayaan
Perkecil gambar iniPerbesar gambar ini
 Gambar

		  menggabungkan domain pohon untuk Iseminger.com dan Microsoft

Gambar 3-2. Menggabungkan domain pohon untuk Iseminger.com dan Microsoft

Itulah perbedaan yang signifikan dalam jumlah kepercayaan hubungan yang harus dikelola, tetapi bahwa pengurangan tidak bahkan yang paling kekuatan menarik pendekatan baru untuk domain. Dengan Windows 2000 dan Domain Windows Server 2003, percaya diciptakan dan dilaksanakan secara default. Jika administrator tidak apa-apa tapi menginstal pengontrol domain, Trust yang sudah di tempat. Pembentukan hubungan kepercayaan ini otomatis terikat untuk kenyataan bahwa domain Windows 2000 dan Windows Server 2003 (tidak seperti Windows NT 4 domain) hirarki dibuat; itu adalah, ada akar domain dan anak domain dalam pohon domain tertentu, dan tidak ada yang lain. Yang memungkinkan Windows 2000 dan Windows Server 2003 untuk secara otomatis tahu domain yang termasuk dalam Mengingat domain pohon, dan ketika hubungan kepercayaan didirikan antara akar domain, secara otomatis tahu pohon domain yang termasuk dalam hutan.

Sebaliknya, administrator harus membuat (dan kemudian mengelola) percaya hubungan antara Windows NT domain, dan mereka harus ingat yang cara hubungan kepercayaan (dan bagaimana yang mempengaruhi pengguna hak di salah satu domain). Perbedaan signifikan, manajemen overhead iris untuk sebagian kecil, dan pelaksanaan Trust seperti lebih intuitif - semua karena untuk model kepercayaan baru dan pendekatan hirarkis domain dan domain pohon.

Dalam Windows 2000 dan Windows Server 2003, ada tiga jenis hubungan kepercayaan, masing-masing yang mengisi tertentu perlu dalam struktur domain. Hubungan kepercayaan yang tersedia untuk Windows 2000 dan domain Windows Server 2003 berikut:
  • Transitif Trust
  • Satu arah Trust
  • Cross-link Trust
Transitif Trust
Transitif Trust mendirikan hubungan kepercayaan antara dua domain yang dapat mengalir melalui ke domain lainnya, sehingga jika domain a Trust domain B, dan domain domain Trust B C, domain a inheren percaya domain c dan sebaliknya, sebagai gambar 3-3 menggambarkan.

Perkecil gambar iniPerbesar gambar ini
Gambar transitif kepercayaan di antara tiga domain

Gambar 3-3. Transitif kepercayaan di antara tiga domain

Transitif Trust sangat mengurangi Administrasi overhead yang terkait dengan pemeliharaan kepercayaan hubungan antara domain karena tidak lagi mesh dari satu arah nontransitive Trust untuk mengelola. Dalam Windows 2000 dan Windows Server 2003, transitif kepercayaan hubungan antara orangtua dan anak domain didirikan secara otomatis setiap kali domain baru dibuat di domain pohon. Transitif Trust terbatas pada domain Windows 2000 atau Windows Server 2003 dan untuk domain dalam pohon domain yang sama atau hutan; Anda tidak dapat membuat hubungan kepercayaan transitif dengan tingkat bawah (Windows NT 4 dan sebelumnya) domain, dan Anda tidak dapat membuat sebuah transitif kepercayaan antara dua Windows 2000 atau dua domain Windows Server 2003 yang berada di hutan yang berbeda.
Satu arah Trust
Satu arah Trust tidak transitif, sehingga mereka define kepercayaan hubungan antara hanya domain terlibat, dan mereka tidak bidirectional. Anda dapat, namun, membuat dua hubungan kepercayaan satu arah terpisah (satu di kedua arah) untuk membuat hubungan kepercayaan dua arah, sama seperti Anda akan di murni Windows NT 4 lingkungan. Catatan, bagaimanapun, bahwa bahkan seperti reciprocating satu arah Trust tidak menyamakan untuk kepercayaan transitif; hubungan kepercayaan dalam satu arah Trust ini berlaku antara hanya dua domain terlibat. Satu arah Trust di Windows 2000 dan Windows Server 2003 yang sama seperti satu arah Trust di Windows NT 4--dan yang digunakan dalam Windows 2000 atau Windows Server 2003 di beberapa situasi. Beberapa situasi yang paling umum dijelaskan di bawah ini.

Pertama, satu arah Trust sering digunakan ketika baru percaya hubungan harus ditetapkan dengan domain tingkat bawah, seperti Windows NT 4 domain. Karena tingkat bawah domain tidak dapat berpartisipasi dalam Windows 2000 dan Windows Server 2003 transitif kepercayaan lingkungan (seperti pohon atau hutan), satu arah Trust harus didirikan untuk mengaktifkan hubungan kepercayaan terjadi antara Windows 2000 atau domain Windows Server 2003 dan Windows down-tingkat NT domain.

CATATAN: Situasi kepercayaan satu arah ini tidak berlaku untuk migrasi proses (seperti upgrade dari model domain Windows NT 4 yang ada untuk Windows 2000 atau Windows Server 2003 domain/pohon/hutan model). Sepanjang Tentu saja migrasi dari Windows NT 4 untuk Windows 2000 atau Windows Server 2003, hubungan kepercayaan yang Anda telah menetapkan dihormati sebagai migrasi proses bergerak ke arah penyelesaian, hingga saat ketika semua domain Windows 2000 atau Windows Server 2003 dan lingkungan transitif kepercayaan didirikan. Ada jauh lebih detail dikhususkan untuk proses migrasi dalam bab 11, "Migrasi ke Active Directory Services."

Kedua, satu arah Trust dapat digunakan jika hubungan kepercayaan harus dibuat antara domain yang tidak di hutan sama Windows 2000 atau Windows Server 2003. Anda dapat menggunakan satu arah kepercayaan hubungan antara domain di Windows berbeda 2000 atau Windows Server 2003 hutan untuk mengisolasi hubungan kepercayaan domain yang hubungan dibuat dan dikelola, daripada menciptakan hubungan kepercayaan yang mempengaruhi seluruh hutan. Let me menjelaskan dengan contoh.

Bayangkan organisasi Anda telah manufaktur Divisi dan Divisi penjualan. Divisi manufaktur ingin berbagi beberapa informasi proses (disimpan di server yang berada pada Windows 2000 atau domain Windows Server 2003) dengan badan standar. Divisi penjualan, Namun, ingin menjaga sensitif penjualan dan pemasaran informasi itu toko di server di domain pribadi dari badan standar. (Mungkin yang penjualan begitu baik bahwa badan standar ingin untuk menggagalkan mereka oleh menangis, "Monopoli!") Menggunakan kepercayaan satu arah membuat informasi penjualan aman. Untuk memberikan akses yang diperlukan untuk standar tubuh, Anda membangun kepercayaan satu arah antara domain manufaktur dan badan standar domain, dan sejak satu arah Trust tidak transitif, hubungan kepercayaan didirikan hanya antara dua domain berpartisipasi. Juga, sejak mempercayai domain manufaktur domain, tidak ada sumber daya di badan standar domain akan tersedia bagi pengguna di domain manufaktur.

Tentu saja dalam salah satu skenario satu arah kepercayaan yang dijelaskan di sini, Anda dapat membuat dua arah kepercayaan dari dua hubungan kepercayaan satu arah terpisah.
Cross-Link Trust
Cross-link Trust digunakan untuk meningkatkan kinerja. Dengan Cross-link percaya, jembatan virtual kepercayaan-verifikasi dibuat dalam hirarki pohon atau hutan, memungkinkan konfirmasi hubungan kepercayaan lebih cepat (atau penyangkalan) untuk dicapai. Baik untuk versi pendek dari penjelasan, tetapi untuk benar-benar memahami bagaimana dan mengapa cross-link Trust digunakan, yang Anda harus terlebih dahulu untuk memahami bagaimana interdomain authentications ditangani dalam Windows 2000 dan Windows Server 2003.

Ketika Windows 2000 atau Windows Server 2003 domain kebutuhan untuk mengotentikasi pengguna (atau jika tidak memverifikasi otentikasi meminta) untuk sumber daya yang tidak berada di domain sendiri, itu tidak begitu di cara yang sama untuk permintaan DNS. Windows 2000 dan Windows Server 2003 pertama menentukan apakah sumber terletak dalam domain yang di mana permintaan adalah sedang dibuat. Jika sumber daya tidak terletak dalam domain lokal, domain (secara khusus, kunci distribusi layanan [KDC] pada domain controller controller) melewati klien arahan ke kontroler domain selanjutnya domain dalam hirarki (atas atau bawah, sebagai sesuai). Domain berikutnya controller berlanjut dengan cek "sumber daya lokal" ini sampai domain yang sumber tinggal tercapai. (Arahan proses ini akan dijelaskan secara rinci dalam bab 8.)

Sementara ini hanya "berjalan pohon domain" fungsi baik-baik saja, bahwa virtual berjalan melalui domain hirarki membutuhkan waktu, dan mengambil waktu dampak kinerja respon permintaan. Untuk menempatkan ini dalam istilah yang mungkin lebih mudah dimengerti, mempertimbangkan krisis berikut:

Anda berada di sebuah bandar udara yang terletak dekat terminal yang dua sayap bentuk V. Terminal A menghuni sisi kiri dari V, dan Terminal B hidup kanan. Gerbang diberi nomor secara berurutan, seperti Terminal A dan Terminal B gerbang 1s adalah dekat basis V (di mana dua terminal yang terhubung) dan 15s gerbang kedua adalah pada ujung V. Semua gerbang terhubung ke dalam V. Anda telah bergegas untuk menangkap penerbangan Anda, dan tiba di Terminal Gate 15 (di ujung V) hanya untuk menyadari bahwa penerbangan Anda benar-benar meninggalkan dari Terminal B. Anda melihat ke luar jendela dan dapat melihat pesawat di Terminal B gerbang 15, tetapi dalam untuk membuat gerbang itu Anda harus berjalan (OK, menjalankan) sepanjang perjalanan kembali ke atas Terminal a ke basis v dan kemudian joging (sekarang, kau lelah) sepanjang jalan bawah Terminal B untuk mendapatkan dengan gerbang 15--hanya di waktu untuk menonton penerbangan Anda meninggalkan tanpa Anda. Ketika Anda duduk di ruang tunggu, menanti waktu Anda selama dua jam sampai penerbangan berikutnya menjadi tersedia dan menatap di v ke Terminal A, dari yang Anda pikir penerbangan Anda berangkat, Anda datang dengan besar ide: membangun langit jembatan antara ujung terminal jadi bahwa penumpang seperti diri sendiri dengan cepat bisa dari Terminal Gate 15 ke Terminal B gerbang 15. Apakah ini masuk akal? Masuk akal hanya jika ada banyak lalu lintas yang akan antara terminal gerbang 15s.

Demikian pula, akan menghubungkan lintas Trust dapat melayani sebagai otentikasi jembatan antara domain yang logis jauh dari satu sama lain di hutan atau pohon hirarki dan memiliki sejumlah besar otentikasi lalu lintas. Apa jumlah banyak otentikasi lalu lintas? Pertimbangkan dua cabang pohon domain Windows 2000 atau Windows Server 2003. The cabang pertama terdiri dari domain A, B, C, dan D. A adalah orangtua b, B adalah orangtua C, dan c adalah orangtua D. Cabang kedua terdiri dari domain A, M, N, dan P. A adalah orangtua m, M adalah orang tua dari N, dan n orangtua P. Yang agak rumit, jadi memeriksa keluar gambar 3-4 untuk representasi bergambar dari struktur ini.

Perkecil gambar iniPerbesar gambar ini
 Gambar sampel

		  domain hirarki

Gambar 3-4. Domain sampel hirarki

Sekarang bayangkan bahwa Anda memiliki pengguna di domain d yang secara teratur menggunakan sumber daya yang, untuk alasan apa pun, berada dalam domain P. Ketika seorang pengguna dalam domain d ingin menggunakan sumber daya dalam domain P, Windows 2000 dan Windows Server 2003 menyelesaikan permintaan oleh berjalan jalan arahan yang naik kembali ke akar dari pohon (domain a dalam kasus ini), dan kemudian berjalan mundur cabang sesuai dengan domain pohon sampai mereka mencapai domain P. Jika ini authentications sedang berlangsung, pendekatan ini menciptakan sejumlah besar lalu lintas. Pendekatan yang lebih baik adalah untuk menciptakan sebuah cross-link kepercayaan antara domain d dan P, yang memungkinkan authentications antara domain terjadi tanpa harus berjalan domain pohon kembali ke akar (atau domain dasar di mana cabang-cabang pohon terbelah). Hasilnya adalah kinerja yang lebih baik dari segi otentikasi.

REFERENSI

Informasi di dalam artikel ini adalah kutipan dari Active Directory Services untuk Microsoft Windows 2000 Technical Reference buku, diterbitkan oleh Microsoft Press.

Perkecil gambar iniPerbesar gambar ini
Gambar dari Active Directory Services untuk Microsoft Windows 2000 teknis

		  Referensi buku


Pelajari lebih lanjut tentang Aktif Layanan direktori untuk Microsoft Windows 2000 teknis Referensi

Untuk informasi lebih lanjut tentang publikasi ini dan judul Microsoft Press lainnya, lihat http://mspress.Microsoft.com.

Properti

ID Artikel: 310996 - Kajian Terakhir: 24 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Kata kunci: 
kbinfo kbmt KB310996 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:310996

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com