Active Directory en Windows 2000- of Windows Server 2003-domeinen (deel 1)

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 310996 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

De informatie die in dit artikel wordt verstrekt, is deels afkomstig van: Microsoft Press.

Dit artikel vormt deel 1 uit een reeks van twee artikelen waarin Active Directory-services en Windows 2000- of Windows Server 2003-domeinen worden beschreven. Klik op de volgende koppeling om deel 2 weer te geven:
310997 Active Directory en Windows 2000- of Windows Server 2003-domeinen (deel 2)
In deel 1 komen de volgende onderwerpen aan bod:
  • De domeinhiërarchie
    • Windows 2000- en Windows Server 2003-domeinen
      • Domeinen
      • Trees
      • Forests
  • Vertrouwensrelaties
    • Transitieve vertrouwensrelaties
    • Eénrichtingsvertrouwensrelaties
    • Kruislings gekoppelde vertrouwensrelaties
In deel 2 komen de volgende onderwerpen aan bod:
  • Begrenzingen van beheer
    • Domeinen
    • Organisatie-eenheden
  • Interactie met Active Directory
    • De domeinhiërarchie emuleren
    • Het domein catalogiseren (de directorypartitie)
    • De map partitioneren
    • Informatie ophalen over objecten in een ander domein
      • De directory distribueren
      • De directory repliceren
    • De onderneming catalogiseren (de globale catalogus)
  • Conclusies
De informatie in dit artikel is een uittreksel van hoofdstuk 3 van de publicatie Active Directory Services for Microsoft Windows 2000 Technical Reference, Active Directory Services and Windows 2000 Domains. Klik hier voor meer informatie over Active Directory Services for Microsoft Windows 2000 Technical Reference. Het artikel is bijgewerkt met informatie over Microsoft Windows Server 2003.

Meer informatie

De domeinstructuur plus bijbehorende objecten van Microsoft Windows 2000 en Windows Server 2003 zijn sterk gewijzigd ten opzichte van de Windows NT 4-versies. Dit komt voort uit de centrale rol die Active Directory speelt in Windows 2000 en Windows Server 2003 en uit de ontwerpvereisten die Active Directory tot een schaalbare, op bedrijfstoepassingen gerichte directoryservice maken. Een aantal van deze wijzigingen zijn voor de hand liggend, zoals de overgang naar een model van transitieve vertrouwensrelaties. Andere zijn subtieler, zoals de introductie van organisatie-eenheden. Ongeacht of de wijzigingen voor de hand liggend of subtiel zijn, een uitleg ervan is belangrijk voor een juist begrip van de interactie en afhankelijkheidsrelaties tussen Windows 2000- of Windows Server 2003-domeinen en Active Directory. Active Directory emuleert het Windows 2000- en Windows Server 2003-domeinmodel. Of vice versa, als u het zo wilt zien. Hoe dan ook, de Windows 2000- of Windows Server 2003-domeinen en Active Directory zijn van elkaar afhankelijk en worden zelfs gedefinieerd door elkaars kenmerken. De hechte en ondeelbare relatie tussen Windows 2000- of Windows Server 2003-domeinen en Active Directory vraagt om een verklaring van het Windows 2000- of Windows Server 2003-domeinmodel en de wijze waarop dit samenwerkt met Active Directory. Dit hoofdstuk begint daarom met een beschrijving van het Windows 2000- en Windows Server 2003-domeinmodel en onderzoekt waarom dat model zo afwijkt van het Windows NT-domeinmodel.

Windows 2000- en Windows Server 2003-domeinen

Windows NT 4-domeinmodellen konden niet goed worden geschaald. Er zijn misschien subtielere manieren om dit probleem te berde te brengen, maar het blijft een feit dat het Windows NT 4-domeinmodel met zijn niet-transitieve éénrichtingsvertrouwensrelaties leidde tot een grote hoeveelheid overhead op het gebied van beheer bij grootschalige implementaties. Dat is niet meer het geval bij de domeinmodellen van Windows 2000 en Windows Server 2003, met name dankzij de nieuwe benadering van vertrouwensrelaties, maar ook omdat het volledige domeinconcept is vernieuwd in overeenstemming met industriestandaarden zoals LDAP (Lightweight Directory Access Protocol) en DNS (Domain Name Service).

De domeinhiërarchie

In Windows 2000- en Windows Server 2003-netwerken zijn domeinen ingedeeld in een hiërarchie. Met deze nieuwe, hiërarchische benadering van domeinen werd het concept van forests en trees gecreëerd. Naast het bestaande concept van domeinen helpen deze nieuwe concepten organisaties om de Windows 2000- en Windows Server 2003-netwerkstructuur doeltreffender te beheren.
Domeinen
De kerneenheid van het Windows 2000- en Windows Server 2003-domeinmodel blijft ongewijzigd: dat is het domein. Een domein is een begrenzing voor beheer. In Windows 2000 en Windows Server 2003 staat een domein bovendien voor een naamruimte (dit wordt besproken in hoofdstuk 4) die overeenkomt met een DNS-domein. Zie hoofdstuk 6, 'Active Directory Services and DNS', voor meer informatie over de interactie tussen Active Directory en DNS.

Het eerste domein dat in een Windows 2000- of Windows Server 2003-implementatie wordt gemaakt, wordt het hoofddomein genoemd. Zoals de naam al aangeeft, is dit de basis van alle andere domeinen die in de domein-tree worden gemaakt. (Domein-trees worden beschreven in het volgende gedeelte.) Aangezien de domeinstructuren van Windows 2000 en Windows Server 2003 nauw gerelateerd zijn aan DNS-domeinhiërarchieën, is de structuur van Windows 2000- en Windows Server 2003-domeinen vergelijkbaar met de bekende structuur van DNS-domeinhiërarchieën. Hoofddomeinen zijn domeinen zoals microsoft.com of iseminger.com.. Deze liggen aan de basis van de bijbehorende DNS-hiërarchieën en aan de basis van de Windows 2000- en Windows Server 2003-domeinstructuur.

Domeinen die daarna worden gemaakt in een bepaalde Windows 2000- en Windows Server 2003-domeinhiërarchie, worden het onderliggende domein van het hoofddomein. Als msdn bijvoorbeeld een onderliggend domein is van microsoft.com, wordt het msdn-domein msdn.microsoft.com.

Het is duidelijk dat Windows 2000 en Windows Server 2003 nu vereisen dat domeinen ofwel een hoofddomein, ofwel een onderliggend domein in een domeinhiërarchie vormen. Windows 2000 en Windows Server 2003 vereisen bovendien dat domeinnamen binnen een bepaald bovenliggend domein uniek zijn. Er kunnen bijvoorbeeld geen twee domeinen met de naam msdn aanwezig zijn als onderliggend domein direct onder het hoofddomein microsoft.com. Het is echter wel mogelijk om twee domeinen met de naam msdn in de algehele domeinhiërarchie te gebruiken. Het is bijvoorbeeld mogelijk om zowel msdn.microsoft.com als msdn.devprods.microsoft.com te gebruiken, omdat zowel de naamruimte microsoft.com als de naamruimte devprods.microsoft.com slechts één onderliggend domein met de naam msdn heeft.

Het idee achter domeinen is dat van logische partitionering. De meeste organisaties die groot genoeg zijn om meer dan één Windows 2000- of Windows Server 2003-domein te vereisen, hebben een logische structuur die de verantwoordelijkheden of werkfocus verdeelt. Door een organisatie op te delen in meerdere eenheden (ook wel afdelingen genoemd), wordt het beheer van de organisatie vereenvoudigd. De organisatie wordt opgedeeld om een logischere structuur te bieden en wellicht ook om het werk over verschillende onderdelen van de organisatie te verdelen. Anders gezegd, wanneer logische bedrijfseenheden (afdelingen) collectief worden overkoepeld door één grotere eenheid (mogelijk een bedrijf), vormen deze logisch verschillende afdelingen een grotere entiteit. Hoewel het werk binnen de verschillende afdelingen op zich staand en geheel verschillend kan zijn, vormen de afdelingen samen een grotere, maar logisch volledige eenheid. Dit concept is ook van toepassing op de verzameling van Windows 2000- en Windows Server 2003-domeinen in een grotere, aaneengesloten naamruimte die 'tree' wordt genoemd.
Trees
Trees, ook wel domein-trees genoemd, zijn verzamelingen Windows 2000- en Windows Server 2003-domeinen die een aaneengesloten naamruimte vormen. Een domein-tree wordt gevormd zodra een onderliggend domein wordt gemaakt en verbonden wordt met een bepaald hoofddomein. Als technische definitie is een tree een aaneengesloten DNS-naamhiërarchie. Conceptueel ziet een domein-tree eruit als een omgekeerde boom (het hoofddomein bevindt zich bovenaan) met vertakkingen (de onderliggende domeinen) onder het hoofddomein.

Door het maken van een domein-tree kan een organisatie een logische structuur van domeinen binnen de organisatie creëren en ervoor zorgen dat de structuur voldoet aan de DNS-naamruimte en een mirror daarvan vormt. Zo zou het bedrijf David Iseminger en co. een DNS-domein met de naam micromingers.iseminger.com kunnen hebben en zouden er binnen het bedrijf verschillende logische afdelingen kunnen bestaan, zoals verkoop, boekhouding, productie, enzovoort. De domein-tree zou er dan uitzien zoals in figuur 3-1.

Deze afbeelding samenvouwenDeze afbeelding uitklappen
 Afbeelding van de domein-tree voor micromingers.iseminger.com

Figuur 3-1. De domein-tree voor micromingers.iseminger.com

Opmerking U zult intussen hebben vastgesteld dat overal de naam iseminger.com voorkomt. Dit is geen ijdelheid van de auteur maar een wettelijke overweging die door de uitgever wordt vereist. 'Liever geen domeinen die mogelijk controversieel kunnen zijn', aldus de uitgever. 'Alleen domeinen in eigendom van auteurs, of heel erg saaie domeinen.' De auteur heeft www.iseminger.com in eigendom en deze domeinnaam moet dus overal in deze publicatie worden gebruikt. Ik zou creatievere namen kunnen bedenken, maar helaas, we moeten de advocaten tevreden houden.

Deze indeling van logische afdelingen binnen het bedrijf werkt prima voor bedrijven die maar één DNS-domein hebben, maar het is van belang om ook het geval te bespreken van bedrijven die deel uitmaken van een grotere onderneming met meerdere bedrijven. Deze kwestie komt aan de orde bij het gebruik van forests in Windows 2000 en Windows Server 2003.
Forests
Sommige organisaties hebben meerdere hoofddomeinen, zoals iseminger.com en microsoft.com, terwijl de organisatie zelf één eenheid is (zoals het fictieve David Iseminger en co. in dit voorbeeld). In dergelijke gevallen kunnen meerdere domein-trees een niet-aaneengesloten naamruimte vormen die 'forest' wordt genoemd. Een forest bestaat uit een of meer aaneengesloten domein-tree-hiërarchieën die een onderneming vormen. Logisch gezien betekent dit dat ook een organisatie die maar één enkel domein in de domein-tree heeft, als forest wordt beschouwd. Dit onderscheid wordt verderop in dit hoofdstuk belangrijker, wanneer wordt besproken hoe Active Directory samenwerkt met Windows 2000- of Windows Server 2003-domeinen en -forests.

Door het forest-model kunnen organisaties die geen aaneengesloten naamruimte vormen, een organisatie-omvattende continuïteit in hun geaggregeerde domeinstructuur onderhouden. Stel dat David Iseminger en co. (iseminger.com) voldoende geld bij elkaar zou kunnen brengen voor de aankoop van een bedrijf met de naam Microsoft, dat zijn eigen directorystructuur had, dan zou de domeinstructuur van de twee entiteiten kunnen worden gecombineerd in een forest. Het werken met één forest heeft drie belangrijke voordelen. Ten eerste is het beheer van vertrouwensrelaties gemakkelijker (waardoor gebruikers in de ene domein-tree toegang krijgen tot bronnen in de andere tree). Ten tweede bevat de globale catalogus objectinformatie voor het gehele forest, waardoor zoekbewerkingen in de gehele onderneming mogelijk worden. Ten derde is het Active Directory-schema van toepassing op het volledige forest. (Zie hoofdstuk 10 voor technische informatie over het schema.) Figuur 3-2 illustreert de combinatie van de domeinstructuren iseminger.com en Microsoft met een lijn tussen de hoofddomeinen ter aanduiding van de Kerberos-vertrouwensrelatie tussen beide. Zo wordt het forest tot stand gebracht. (Het Kerberos-protocol wordt uitvoerig besproken in hoofdstuk 8.)

Hoewel een forest meerdere domein-trees kan omvatten, staat het forest voor één onderneming. Door een forest te maken, kunnen alle domeinen die lid zijn van het forest informatie delen (via de beschikbaarheid van de globale catalogus). U vraagt zich wellicht af hoe domein-trees binnen een forest relaties tot stand brengen waardoor de volledige onderneming (voorgesteld door het forest) kan werken als een eenheid. Een goede vraag, waarop het beste antwoord een nadere uitleg van vertrouwensrelaties is.

Vertrouwensrelaties

Misschien wel het belangrijkste verschil tussen Windows NT 4-domeinen en Windows 2000- of Windows Server 2003-domeinen is de toepassing en configuratie van vertrouwensrelaties tussen domeinen binnen dezelfde organisatie. In plaats van een netwerk van éénrichtingsvertrouwensrelaties (zoals in Windows NT 4), implementeren Windows 2000 en Windows Server 2003 transitieve vertrouwensrelaties die omhoog en omlaag door de (nieuwe) domeinstructuur stromen. Dit model zorgt voor een eenvoudiger netwerkbeheer onder Windows, zoals ik in een numeriek voorbeeld zal aantonen. De volgende twee vergelijkingen (schrik niet, de vergelijkingen zijn bedoeld ter illustratie en niet om te onthouden) illustreren de overhead op het gebied van beheer die door elke benadering wordt ingebracht. De vergelijkingen staan voor het aantal vertrouwensrelaties die voor elke benadering van domeinvertrouwensrelaties nodig zijn, waarbij n staat voor het aantal domeinen:
Windows NT 4-domeinen: (n * (n-1))
Windows 2000- of Windows Server 2003-domeinen: (n-1)
Laten we ter illustratie een netwerk met een handvol domeinen als uitgangspunt nemen en bekijken hoe de benaderingen van domeinmodellen zich laten vergelijken. (Uitgaande van vijf domeinen in een hand, is n = 5 in de volgende formules.)
Windows NT 4-domeinen: (5 * (5-1)) = 20 vertrouwensrelaties
Windows 2000- of Windows Server 2003-domeinen: (5 - 1) = 4 vertrouwensrelaties
Deze afbeelding samenvouwenDeze afbeelding uitklappen
 Afbeelding van de combinatie van domein-trees voor Iseminger.com en Microsoft

Figuur 3-2. De combinatie van domein-trees voor Iseminger.com en Microsoft

Dit is een belangrijk verschil in het aantal vertrouwensrelaties dat beheerd moet worden, maar deze vermindering is niet eens de grootste kracht van de nieuwe benadering van domeinen. Met Windows 2000- en Windows Server 2003-domeinen worden de vertrouwensrelaties standaard gemaakt en geïmplementeerd. Als de beheerder niet verdergaat dan het installeren van domeincontrollers, zijn er al vertrouwensrelaties aangebracht. Het automatisch maken van vertrouwensrelaties hangt samen met het feit dat Windows 2000- en Windows Server 2003-domeinen (in tegenstelling tot Windows NT 4-domeinen) hiërarchisch worden gemaakt. Dat wil zeggen, een bepaalde domein-tree bevat een hoofddomein en onderliggende domeinen, en verder niets. Hierdoor weten Windows 2000 en Windows Server 2003 automatisch welke domeinen in een bepaalde domein-tree zijn opgenomen en wanneer vertrouwensrelaties tussen hoofddomeinen tot stand worden gebracht, zodat automatisch bekend is welke domein-trees in het forest zijn opgenomen.

In Windows NT daarentegen, moesten beheerders vertrouwensrelaties tussen de domeinen aanbrengen (en vervolgens beheren) en onthouden hoe de stroom van de relaties verliep (en welk effect dit had op gebruikersrechten in elk domein). Het verschil is aanzienlijk: dankzij het nieuwe model van vertrouwensrelaties en de hiërarchische benadering van domeinen en domein-trees is de overhead op beheergebied nog maar een fractie van wat die voorheen was en is de implementatie van dergelijke vertrouwensrelaties intuïtiever.

In Windows 2000 en Windows Server 2003 zijn er drie typen vertrouwensrelaties die elk een bepaalde behoefte binnen de domeinstructuur vervullen. Windows 2000- en Windows Server 2003-domeinen kunnen de volgende vertrouwensrelaties bevatten:
  • Transitieve vertrouwensrelaties
  • Eénrichtingsvertrouwensrelaties
  • Kruislings gekoppelde vertrouwensrelaties
Transitieve vertrouwensrelaties
Transitieve vertrouwensrelaties brengen een relatie tussen twee domeinen tot stand die kan doorstromen naar andere domeinen. Als domein A een vertrouwensrelatie heeft met domein B en domein B met domein C, dan heeft domein A automatisch een vertrouwensrelatie met C en vice versa (zie figuur 3-3).

Deze afbeelding samenvouwenDeze afbeelding uitklappen
 Afbeelding van een transitieve vertrouwensrelatie tussen drie domeinen

Figuur 3-3. Transitieve vertrouwensrelatie tussen drie domeinen

Transitieve vertrouwensrelaties zorgen voor een aanzienlijke vermindering van de overhead op het gebied van beheer die betrekking heeft op het onderhoud van vertrouwensrelaties tussen domeinen. De reden daarvan is dat niet langer een netwerk van niet-transitieve éénrichtingsvertrouwensrelaties hoeft te worden beheerd. In Windows 2000 en Windows Server 2003 worden transitieve vertrouwensrelaties tussen hoofddomeinen en onderliggende domeinen automatisch tot stand gebracht wanneer nieuwe domeinen in de domein-tree worden gemaakt. Transitieve vertrouwensrelaties zijn beperkt tot Windows 2000- of Windows Server 2003-domeinen en domeinen binnen dezelfde domein-tree of hetzelfde forest. U kunt geen transitieve vertrouwensrelatie tot stand brengen met domeinen uit oudere versies (Windows NT 4 en eerder) en u kunt geen transitieve vertrouwensrelatie tot stand brengen tussen twee Windows 2000-domeinen of twee Windows Server 2003-domeinen die zich in verschillende forests bevinden.
Eénrichtingsvertrouwensrelaties
Eénrichtingsvertrouwensrelaties zijn niet transitief en definiëren dus alleen een vertrouwensrelatie tussen de betrokken domeinen. Bovendien werken ze niet in twee richtingen. U kunt echter twee afzonderlijke éénrichtingsvertrouwensrelaties (één in elke richting) aanbrengen om een tweerichtingsvertrouwensrelatie tot stand te brengen, net zoals in een zuivere Windows NT 4-omgeving. Bedenk echter wel dat zelfs zo'n wederzijdse éénrichtingsvertrouwensrelatie niet kan worden vergeleken met een transitieve vertrouwensrelatie. De relatie in éénrichtingsvertrouwensrelaties geldt alleen tussen de twee betrokken domeinen. Eénrichtingsvertrouwensrelaties in Windows 2000 en Windows Server 2003 zijn hetzelfde als éénrichtingsvertrouwensrelaties in Windows NT 4 en worden in een aantal verschillende situaties gebruikt. De meest voorkomende situaties worden hieronder beschreven.

Ten eerste worden éénrichtingsvertrouwensrelaties vaak gebruikt wanneer nieuwe vertrouwensrelaties tot stand moeten worden gebracht met domeinen uit oudere versies, bijvoorbeeld Windows NT 4-domeinen. Aangezien domeinen uit oudere versies niet kunnen deelnemen aan een omgeving van transitieve vertrouwensrelaties in Windows 2000 en Windows Server 2003 (zoals trees of forests), moeten éénrichtingsvertrouwensrelaties tot stand worden gebracht om een vertrouwensrelatie te bewerkstelligen tussen een Windows 2000- of Windows Server 2003-domein en een domein uit een oudere versie van Windows NT.

Opmerking Deze situatie voor éénrichtingsvertrouwensrelaties is niet van toepassing op het migratieproces (bijvoorbeeld een upgrade van een bestaand Windows NT 4-domeinmodel naar het Windows 2000- of Windows Server 2003-domein/tree/forest-model). Tijdens het hele verloop van het migratieproces van Windows NT 4 naar Windows 2000 of Windows Server 2003 blijven aanwezige vertrouwensrelaties behouden, tot aan het punt waarop alle domeinen Windows 2000- of Windows Server 2003-domeinen zijn geworden en een omgeving met transitieve vertrouwensrelaties tot stand is gebracht. Het migratieproces komt zeer uitgebreid aan bod in hoofdstuk 11, 'Migrating to Active Directory Services'.

Ten tweede kunnen éénrichtingsvertrouwensrelaties worden gebruikt als een vertrouwensrelatie tot stand moet worden gebracht tussen domeinen die zich niet in hetzelfde Windows 2000- of Windows Server 2003-forest bevinden. U kunt éénrichtingsvertrouwensrelaties gebruiken tussen domeinen in verschillende Windows 2000- of Windows Server 2003-forests om de vertrouwensrelatie te beperken tot het domein waarmee de relatie werd aangebracht en onderhouden, in plaats van een vertrouwensrelatie tot stand te brengen die betrekking heeft op het volledige forest. Dit zullen we verduidelijken aan de hand van een voorbeeld.

Stel dat uw organisatie een productieafdeling en een verkoopafdeling heeft. De productieafdeling wil bepaalde procesgegevens (opgeslagen op servers die zich binnen het Windows 2000- of Windows Server 2003-domein van de afdeling bevinden) delen met een algemene afdeling. De verkoopafdeling echter wil gevoelige verkoop- en marketinggegevens die zijn opgeslagen op servers in het domein van de afdeling, buiten het bereik van de algemene afdeling houden. (Misschien is de verkoopafdeling wel zo succesvol dat de algemene afdeling de verkoopafdeling zou kunnen dwarsbomen!) Door een éénrichtingsvertrouwensrelatie te gebruiken, blijven de verkoopgegevens vertrouwelijk. De benodigde toegang tot de algemene afdeling bewerkstelligt u door een éénrichtingsvertrouwensrelatie tot stand te brengen tussen het productiedomein en het domein van de algemene afdeling. Aangezien éénrichtingsvertrouwensrelaties niet transitief zijn, wordt de vertrouwensrelatie uitsluitend tussen de twee deelnemende domeinen tot stand gebracht. Bovendien is het productiedomein binnen deze constructie het domein van waaruit de vertrouwensrelatie tot stand wordt gebracht, waardoor geen van de bronnen in het domein van de algemene afdeling beschikbaar zijn voor gebruikers in het productiedomein.

Natuurlijk is het in de beide hier beschreven scenario's voor éénrichtingsvertrouwensrelaties mogelijk om een tweerichtingsvertrouwensrelatie samen te stellen op basis van twee afzonderlijke éénrichtingsvertrouwensrelaties.
Kruislings gekoppelde vertrouwensrelaties
Kruislings gekoppelde vertrouwensrelaties worden gebruikt om de prestaties te verhogen. Met kruislings gekoppelde vertrouwensrelaties wordt een virtuele vertrouwen-verificatie-brug gemaakt binnen de tree- of forest-hiërarchie, waardoor snellere bevestigingen (of ontkenningen) van vertrouwensrelaties kunnen worden bewerkstelligd. Hiermee hebt u een korte versie van de uitleg, maar om echt te begrijpen hoe en waarom kruislings gekoppelde vertrouwensrelaties worden gebruikt, moet u eerst weten hoe de verificatie tussen domeinen wordt afgehandeld in Windows 2000 en Windows Server 2003.

Wanneer een Windows 2000- of Windows Server 2003-domein een gebruiker moet verifiëren (of anderszins een verificatieverzoek moet afhandelen) voor een bron die zich niet in het eigen domein bevindt, gebeurt dit op ongeveer dezelfde wijze als bij DNS-query's. Windows 2000 en Windows Server 2003 stellen eerst vast of de bron aanwezig is binnen het domein waarin het verzoek wordt gedaan. Als de bron zich niet binnen het lokale domein bevindt, geeft de domeincontroller (dat wil zeggen, de KDC [Key Distribution Service] in de domeincontroller) de client een verwijzing door naar een domeincontroller in het volgende domein in de hiërarchie (hoger of lager, al naar gelang van toepassing). De volgende domeincontroller gaat verder met deze controle van lokale bronnen totdat het domein wordt bereikt waarin de bron zich bevindt. (Dit verwijzingsproces wordt uitvoerig besproken in hoofdstuk 8.)

Hoewel dit 'doorlopen van de domein-tree' prima werkt, neemt deze virtuele wandeling door de domeinhiërarchie tijd in beslag, hetgeen consequenties heeft voor de responstijd van de query. Wellicht kan dit worden verduidelijkt aan de hand van de volgende crisissituatie.

U bevindt zich op een luchthaven waarvan de twee terminalvleugels een V vormen. Terminal A bevindt zich links en terminal B bevindt zich rechts in de V. De gates zijn opeenvolgend genummerd, zodat zowel gate 1 van terminal A als gate 1 van terminal B zich bij de basis van de V bevindt (waar de twee terminals elkaar ontmoeten) en gate 15 van beide terminals zich aan het einde van de V bevindt. Alle gates zijn verbonden met de binnenkant van de V. U hebt zich gehaast om uw vlucht te halen en komt aan bij gate 15 van terminal A (helemaal boven aan de V). Dan komt u erachter dat uw vlucht vertrekt vanaf terminal B. U kijkt naar buiten en ziet dat het vliegtuig klaarstaat bij gate 15 van terminal B. Maar om daar te komen, moet u helemaal teruglopen (nou ja, rennen) naar het begin van terminal A bij de basis van de V. Vervolgens moet u terminal B helemaal aflopen (u bent intussen behoorlijk moe) om bij gate 15 van terminal B te komen. U komt net op tijd om het vliegtuig voor uw ogen te zien wegtaxiën. Terwijl u twee uur in de wachtruimte zit te wachten totdat de volgende vlucht vertrekt en van daaruit naar de andere kant van de V staart, waar terminal A zich bevindt en waar u tevergeefs bent geweest, krijgt u een lumineus idee: waarom geen luchtbrug bouwen tussen de uiteinden van de terminals, zodat passagiers zoals u snel van gate 15 van terminal A naar gate 15 van terminal B kunnen komen? Logisch toch? Dit is alleen logisch als er veel verkeer is tussen de gates 15 van de terminals.

Zo kunnen kruislings gekoppelde vertrouwensrelaties fungeren als verificatiebrug tussen domeinen die zich logisch gezien ver van elkaar bevinden in een forest- of tree-hiërarchie en waar een beduidende hoeveelheid verificatieverkeer plaatsvindt. Wat is veel verificatieverkeer? Stel u twee vertakkingen van een Windows 2000- of Windows Server 2003-domein-tree voor. De eerste vertakking bestaat uit de domeinen A, B, C en D. A is het bovenliggende domein van B, B is het bovenliggende domein van C en C is het bovenliggende domein van D. De tweede vertakking bestaat uit de domeinen A, M, N en P. A is het bovenliggende domein van M, M is het bovenliggende domein van N en N is het bovenliggende domein van P. Dit lijkt wat ingewikkeld, maar kijkt u eens naar figuur 3-4 voor een voorstelling van deze structuur.

Deze afbeelding samenvouwenDeze afbeelding uitklappen
 Afbeelding van een voorbeeld van een domeinhiërarchie

Figuur 3-4. Voorbeeld van een domeinhiërarchie

Stel nu dat zich in domein D gebruikers bevinden die regelmatig bronnen gebruiken die zich om welke reden dan ook in domein P bevinden. Wanneer een gebruiker in domein D bronnen in domein P wil gebruiken, lossen Windows 2000 en Windows Server 2003 het verzoek op door een verwijzingspad te doorlopen dat teruggaat naar de basis van de tree (in dit geval domein A) en vervolgens omlaag langs de betreffende vertakking van de domein-tree totdat domein P wordt bereikt. Als deze verificaties doorlopend plaatsvinden, zorgt deze benadering voor een beduidende hoeveelheid verkeer. Het is een betere benadering om een kruislings gekoppelde vertrouwensrelatie tussen domein D en P tot stand te brengen, waardoor verificaties tussen de domeinen kunnen plaatsvinden zonder dat de domein-tree moet worden doorlopen tot aan de basis (of tot aan het hoofddomein waar de vertakking van de tree begint). Het resultaat is een beter verificatieproces.

Referenties

De informatie in dit artikel is een uittreksel uit de publicatie Active Directory Services for Microsoft Windows 2000 Technical Reference, uitgebracht door Microsoft Press.

Deze afbeelding samenvouwenDeze afbeelding uitklappen
 Afbeelding van de publicatie Active Directory Services for Microsoft Windows 2000 Technical Reference


Klik hier voor meer informatie over Active Directory Services for Microsoft Windows 2000 Technical Reference.

Meer informatie over deze publicatie en andere titels van Microsoft Press vindt u op http://mspress.microsoft.com.

Eigenschappen

Artikel ID: 310996 - Laatste beoordeling: maandag 3 december 2007 - Wijziging: 5.2
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Trefwoorden: 
kbinfo KB310996

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com