บริการไดเรกทอรีที่ใช้งานอยู่ และ Windows 2000 หรือการโดเมน Windows Server 2003 (ตอนที่ 1)

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 310996 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

รายละเอียดที่ครอบคลุมอยู่ในบทความนี้ให้ไว้ในส่วนโดย:ข่าวของ Microsoft.

บทความนี้มีส่วนที่ 1 ของชุดรายการของบทความที่สองที่อธิบายถึงบริการไดเรกทอรีที่ใช้งานอยู่และโดเมน Windows 2000 หรือ Windows Server 2003 เมื่อต้องดูส่วน 2 คลิกการเชื่อมโยงต่อไปนี้:
310997บริการไดเรกทอรีที่ใช้งานอยู่ และ Windows 2000 หรือการโดเมน Windows Server 2003 (ตอนที่ 2)
หัวข้อต่อไปนี้จะครอบคลุมในส่วนที่ 1:
  • ลำดับชั้นของโดเมน
    • windows 2000 และโดเมน Windows Server 2003
      • โดเมน
      • trees
      • forests
  • ความสัมพันธ์ที่เชื่อถือ
    • Trusts transitive
    • Trusts เดียว(one-way)
    • Trusts cross-link
หัวข้อต่อไปนี้จะครอบคลุมในส่วนที่ 2:
  • ขอบเขตของผู้ดูแล
    • โดเมน
    • หน่วยองค์กร
  • โต้ตอบไดเรกทอรีที่ใช้งานอยู่
    • emulating ลำดับชั้นของโดเมน
    • จัดแค็ตตาล็อกของโดเมน (ไดเรกทอรีพาร์ติชัน)
    • พาร์ไดเรกทอรี
    • การเรียกดูข้อมูลเกี่ยวกับวัตถุในโดเมนอื่น
      • การกระจายในไดเรกทอรี
      • replicating ไดเรกทอรี
    • จัดแค็ตตาล็อกขององค์กร(แค็ตตาแบบสากลล็อก)
  • ข้อสรุป
ข้อมูลนี้จะมี excerpt จากนั้นบริการไดเรกทอรีใช้งานอยู่สำหรับ Microsoft การอ้างอิงทางเทคนิคของ Windows 2000มูลค่า บทที่ 3: บริการไดเรกทอรีที่ใช้งานอยู่และโดเมน 2000 Windows เรียนรู้เพิ่มเติมเกี่ยวกับได้ใช้งานบริการไดเรกทอรีสำหรับ Microsoft การอ้างอิงทางเทคนิคของ Windows 2000. จะมีการปรับปรุงการรวมข้อมูลเกี่ยวกับการ Microsoft Windows Server 2003

ข้อมูลเพิ่มเติม

โครงสร้างโดเมนของ Microsoft Windows 2000 หรือ Windows Server 2003 และของวัตถุที่เชื่อมโยงถูกเปลี่ยนแปลงมากจาก incarnations ของ Windows NT 4 เพื่อสะท้อนถึงการบทบาทกลางของบริการ Active Directory ใน Windows 2000 หรือ Windows Server 2003 และความต้องการออกแบบที่ให้บริการไดเรกทอรี scalable พร้อมองค์กร การเปลี่ยนแปลงเหล่านี้บางอย่างจะเห็นได้ชัดเจน เช่นการย้ายไปยังรูปแบบความสัมพันธ์ของความน่าเชื่อถือ transitive ในขณะที่ผู้อื่น subtler นี้เช่นการแนะนำของหน่วยงาน ว่าปัญหาจะเห็นได้ชัดเจน หรือ subtle อธิบายเหล่านั้นเป็นกลางทำความเข้าใจเกี่ยวกับการโต้ตอบและการอ้างอิงระหว่างโดเมน Windows 2000 หรือ Windows Server 2003 และบริการไดเรกทอรีที่ใช้งานอยู่ ไดเรกทอรีที่ใช้งานอยู่ emulates Windows 2000 และ รุ่นของโดเมน Windows Server 2003-- หรือ vice ทางกลับ ถ้าคุณต้องการดูที่วิธีนั้น เป็นวิธี โดเมน Windows 2000 หรือ Windows Server 2003 และ Active Directory จะขึ้นกับรายการอื่น และแม้แต่ที่กำหนด โดยลักษณะอื่นของ ปิด และ indivisible ความสัมพันธ์ระหว่างโดเมน Windows Server 2003 หรือ Windows 2000 และบริการไดเรกทอรีที่ใช้งานอยู่ต้องมีคำอธิบายเกี่ยวกับรุ่นโดเมน Windows 2000 หรือ Windows Server 2003 และวิธีดังกล่าว interacts กับบริการไดเรกทอรีที่ใช้งานอยู่ ดังนั้น บทนี้เริ่มต้น ด้วยคำอธิบายเกี่ยวกับรุ่นโดเมน Windows 2000 และ Windows Server 2003 และสาเหตุที่รุ่นที่อยู่อื่น ๆ ที่แตกต่างจากรูปแบบโดเมนของ Windows NT ตรวจสอบ

windows 2000 และโดเมน Windows Server 2003

รูปแบบโดเมนของ windows NT 4 ไม่ได้มาตราส่วนด้วย มีวิธีอื่น ๆ ที่ระบุนี้ข้อเท็จจริงที่จะ sugarcoat truth แต่ข้อเท็จจริงอย่างง่ายของเรื่องถูกว่า โดเมนของ Windows NT 4 รุ่น--ด้วย trusts nontransitive ของเดียว(one-way)--ล็อตจำเป็นของค่าผลิตที่ผู้ดูแลระบบในองค์กรขนาดใหญ่ implementations เป็นอีกกรณีนี้กับ Windows 2000 หรือ Windows Server 2003 และ รุ่นของโดเมน มากเนื่องจากของวิธีการใหม่เพื่อ trusts แต่ยังได้เนื่องจากได้ถูก revamped แนวคิดของโดเมนทั้งหมดในการจัดชิดกับมาตรฐานอุตสาหกรรมเช่นโพรโทคอลการเข้าถึงไดเรกทอรีของ Lightweight (LDAP) และบริการชื่อโดเมน (DNS)

ลำดับชั้นของโดเมน

ในเครือข่าย Windows 2000 และ Windows Server 2003 โดเมนถูกจัดในลำดับชั้น ด้วยนี้ใหม่ตามลำดับชั้นวิธีกับโดเมน แนวคิดของ forests และ trees ถูกสร้าง แนวเหล่านี้ใหม่คิด พร้อมกับแนวคิดที่มีอยู่ของโดเมน ช่วยองค์กรเพิ่มเติมได้อย่างมีประสิทธิภาพจัดการโครงสร้างเครือข่ายของ Windows 2000 และ Windows Server 2003
โดเมน
หน่วย atomic รุ่นโดเมน Windows 2000 และ Windows Server 2003 ยังไม่มีการเปลี่ยนแปลง จะยังคงโดเมน โดเมนมีขอบเขตของผู้ดูแล และใน Windows 2000 และ Windows Server 2003 โดเมนใน namespace (ซึ่งจะกล่าวถึงในบทที่ 4) ที่สอดคล้องกับโดเมน DNS ที่แสดงถึง ดูบท 6, "Active Directory Services และ DNS ข้อมูลเพิ่มเติมเกี่ยวกับการบริการไดเรกทอรีที่ใช้งานอยู่และ DNS ติดต่อ

โดเมนแรกที่สร้างขึ้นในการปรับใช้ Windows 2000 หรือ Windows Server 2003 จะเรียกว่าโดเมนหลัก และเป็นชื่อที่แนะนำ เป็นรากของโดอื่น ๆ เมนทั้งหมดที่สร้างขึ้นในทรีของโดเมน (trees โดเมนจะอธิบายในส่วนถัดไป) เนื่องจากโครงสร้างโดเมน Windows 2000 และ Windows Server 2003 มี married ไปยังลำดับชั้นของโดเมน DNS โครงสร้างของโดเมน Windows 2000 และ Windows Server 2003 จะคล้ายกับโครงสร้างลำดับชั้นของโดเมน DNS คุ้นเคย โดเมนหลักคือ โดเมนเช่น microsoft.com หรือ iseminger.com มีรากของลำดับชั้นของ DNS และรากของโครงสร้างโดเมน Windows 2000 และ Windows Server 2003

โดเมนที่สร้างขึ้นในภายหลังในลำดับกำหนดให้ Windows 2000 และ Windows Server 2003 โดเมนชั้นกลายเป็น โดเมนลูกของโดเมนหลัก ตัวอย่างเช่น ถ้า msdn โดเมนลูกของ microsoft.com โดเมนของ msdn กลาย msdn.microsoft.com

ตามที่คุณสามารถดู Windows 2000 และ Windows Server 2003 ต้องว่า โดเมนอยู่ในโดเมนหลักหรือโดเมนลูกในลำดับชั้นของโดเมน windows 2000 และ Windows Server 2003 ยังต้องให้ชื่อโดเมนไม่ซ้ำกันภายในโดเมนหลักที่กำหนดค่า ตัวอย่างเช่น คุณไม่มีโดสองเมนเรียก msdn ที่โดเมนลูกโดยตรงของ microsoft.com ของโดเมนหลัก อย่างไรก็ตาม คุณสามารถมีโดเมนสองที่เรียกว่า msdn ในลำดับชั้นของโดเมนโดยรวม ตัวอย่างเช่น คุณอาจมี msdn.microsoft.com ตลอดจน msdn.devprods.microsoft.com; microsoft.com namespace มีโดเมนลูกเดียวเท่านั้นที่เรียกว่า msdn และ devprods.microsoft.com namespace ยังโดเมนลูกเดียวเท่านั้นที่เรียกว่า msdn

คิดหลังโดเมนคือหนึ่งพาร์ลอจิคัล องค์กรโดยส่วนใหญ่ที่มีขนาดใหญ่พอที่จะต้องใช้โดเมน Windows 2000 หรือ Windows Server 2003 มากกว่าหนึ่งมีโครงสร้างแบบลอจิคัลที่ divides ความรับผิดชอบ หรือโฟกัสที่ทำงาน ด้วยการหารองค์กรเป็นหน่วยหลาย (บางครั้งเรียกว่าส่วนในบริษัทอเมริกา), การบริหารขององค์กรที่ทำได้ง่ายขึ้น แบ่งพาร์ติผล องค์กรจะถูกชันให้เป็นโครงสร้างแบบลอจิคัลมาก และอาจ จะแบ่งงานระหว่างส่วนต่าง ๆ ขององค์กร เมื่อต้องการดูที่วิธีอื่นนี้ เมื่อหน่วยธุรกิจที่เชิงตรรกะ (ส่วน) จะรวบรวม collectively ภายใต้ umbrella ขององค์กรขนาดใหญ่หนึ่ง (ตัวอาจองค์กร), ส่วนที่แตกต่างกัน logically เหล่านี้สร้างเอ็นติตี้ที่ใหญ่ขึ้น แม้ว่าการทำงานภายในส่วนอื่นอาจแยกต่างหาก และแตกต่างกันมาก ส่วน collectively แบบฟอร์มมีขนาดใหญ่ แต่ logically เสร็จสมบูรณ์เอนทิตี แนวคิดนี้ยังใช้กับคอลเลกชันของโดเมน Windows 2000 และ Windows Server 2003 ลงในเอนทิตี namespace ที่มีขนาดใหญ่ ที่อยู่ติดกันหนึ่งที่เรียกว่าแบบแผนภูมิ
trees
trees--บางครั้งเรียกว่าโดเมน trees--เป็นคอลเลกชันของโดเมน Windows 2000 และ Windows Server 2003 ที่ฟอร์ม namespace ที่อยู่ติดกัน ทรีของโดเมนถูกต้องทันทีที่สร้างขึ้น และเชื่อมโยงกับโดเมนหลักที่ระบุโดเมนลูก สำหรับคำนิยามทางเทคนิค แบบแผนภูมิเป็นลำดับชั้นตั้งชื่อ DNS อยู่ติดกัน มีสำหรับตัวเลขแนวคิด แบบแผนภูมิโดเมนลักษณะมีแผนภูมิกลับ (ด้วยโดรากเมนด้านบน), ด้วยสาขา (โดเมนลูก) sprouting ออกจากด้านล่าง

การสร้างแผนภูมิโดเมนช่วยให้องค์กร เพื่อสร้างโครงสร้างแบบลอจิคัลของโดเมนภายในองค์กรของตนเอง และมีโครงสร้างที่สอดคล้องกับ และ DNS namespace ที่ทำมิเรอร์ ตัวอย่างเช่น David Iseminger และ บริษัทอาจทำให้เกิดการเรียกใช้โดเมน DNS ที่เรียกว่า micromingers.iseminger.com และอาจมีส่วนต่าง ๆ แบบลอจิคัลภายในบริษัท เช่นการขาย บัญชี ผลิต และอื่น ๆ ในสถานการณ์เช่นการเช่น ทรีของโดเมนอาจดูเหมือนทรีของโดเมนใน 3 รูป-1

ยุบรูปภาพนี้ขยายรูปภาพนี้
รูปภาพของแผนภูมิโดเมนสำหรับ micromingers.iseminger.com

ภาพประกอบ 3-1 ทรีของโดเมนสำหรับ micromingers.iseminger.com

หมายเหตุ:: ด้วยในขณะนี้ คุณได้ noticed iseminger.com นั้นกำลังถูกใช้อยู่เหนือตำแหน่งทั้งหมด นี่ไม่ใช่ vanity ในส่วนของผู้เขียน ถูกพิจารณาตามกฎหมายที่ผู้เผยแพร่ insists เมื่อ "โดไม่มีเมนที่อยู่กรุณา contentious อาจ พวกเขา said "โดเมนที่เป็นเจ้าของผู้สร้างเฉพาะ หรือจริง ๆ จริง ๆ dull ก็" มีผู้เขียนมีในที่ www.iseminger.com ดังนั้นชื่อโดเมนได้ที่จะใช้ทุกในสมุดบัญชีเล่มนี้ ฉันจะมีชื่อเพิ่มเติม inventive แต่ alas เราต้องกรุณาทนาย

องค์กรนี้ของส่วนแบบลอจิคัลภายในบริษัททำงาน great ของบริษัทที่มีโดเมน DNS แต่ปัญหาของบริษัทที่อาจมีมากกว่าหนึ่ง "บริษัท" ในองค์กรขนาดใหญ่ของพวกเขา ต้องมีความสำคัญ ปัญหาที่ได้รับการจัดการโดยใช้ของ Windows 2000 และ Windows Server 2003 forests
forests
บางองค์กรอาจทำให้เกิดการเรียกใช้โดเมนหลักหลาย การเช่น iseminger.com และ microsoft.com ได้องค์กรเองมีเอนทิตีเดียว (เช่นการ fictional David Iseminger และ บริษัทในตัวอย่างนี้) ในกรณีเช่น trees โดเมนเหล่านี้หลายสามารถฟอร์ม namespace noncontiguous ที่เรียกว่าฟอเรสต์ ฟอเรสต์เป็นอย่าง น้อยหนึ่งโดเมนที่อยู่ติดกันทรีชั้นที่แบบฟอร์มระดับองค์กรที่กำหนด หมาย logically ยังความ ที่เป็นหน่วยงานที่มีเฉพาะโดเมนเดียวในทรีของโดเมนจะถือเป็นฟอเรสต์ยัง ไม่ distinction นี้เป็นสิ่งสำคัญมากขึ้นในภายหลังในบทนี้เมื่อเรากล่าวถึงวิธีการที่ Active Directory interacts กับโดเมน Windows 2000 หรือ Windows Server 2003 และ forests

รุ่นของฟอเรสต์ช่วยให้องค์กรที่ไม่ฟอร์ม namespace ที่อยู่ติดกันเพื่อรักษา continuity ทั้งองค์กรในโครงสร้างของโดเมนที่รวม ตัวอย่างเช่น ถ้า David Iseminger และ บริษัท--iseminger.com--สามารถ scrape pennies เพียงพอเพื่อซื้อบริษัทอื่นที่เรียกว่า Microsoft ที่มีโครงสร้างไดเรกทอรีของคุณเองร่วมกันได้ โครงสร้างโดเมนของเอนทิตีที่สองอาจถูกรวมเข้าไปในฟอเรสต์ ข้อดีหลักสามของมีฟอเรสต์เดียวกัน แรก ความสัมพันธ์ที่เชื่อถือได้ได้ง่ายขึ้นจัดการ (เปิดใช้งานผู้ใช้ในแผนภูมิโดเมนหนึ่งเพื่อเข้าถึงทรัพยากรในแผนภูมิอื่น) ประการที่สอง แค็ตตาล็อกสากล incorporates ข้อมูลวัตถุสำหรับทั้งฟอเรสต์ ซึ่งทำให้ค้นหาของเว็บไซต์องค์กรทั้งหมดที่เป็นไปได้ สาม แบบแผน Active Directory ใช้กับทั้งฟอเรสต์ (โปรดดูบทที่ 10 สำหรับข้อมูลทางเทคนิคเกี่ยวกับ schema) รูปที่ 3-2 แสดงการรวมของการ iseminger.com และโครง Microsoft โดเมนสร้าง ด้วยเส้นระหว่างโดเมนหลักของตนเองเพื่อบ่งชี้ Kerberos เชื่อถือที่มีอยู่ระหว่างกัน และสร้างฟอเรสต์ (โพรโทคอล Kerberos จะอธิบายรายละเอียดในบทที่ 8)

แม้ว่าฟอเรสต์สามารถมีหลาย trees ของโดเมน แสดงองค์กรหนึ่ง การสร้างของฟอเรสต์ช่วยให้โดเมนสมาชิกทั้งหมดที่ใช้ร่วมกันข้อมูล (ผ่านทางมีอยู่ของแค็ตตาล็อกสากล) คุณอาจสามารถ wondering วิธี trees โดเมนในฟอเรสต์สร้างความสัมพันธ์ที่ช่วยให้องค์กรทั้งหมดที่ (แสดง โดยฟอเรสต์) ไปยังฟังก์ชันเป็นหน่วย คำถามที่ดี คำตอบดีที่สุดให้ไว้ ด้วยคำอธิบายเกี่ยวกับความสัมพันธ์ที่เชื่อถือ

ความสัมพันธ์ที่เชื่อถือ

ส่วนอาจสำคัญต่างระหว่าง Windows NT 4 โดเมนและโดเมน Windows 2000 หรือ Windows Server 2003 เป็นแอพลิเคชันและการตั้งค่าคอนฟิกของความสัมพันธ์ที่เชื่อถือระหว่างโดเมนในองค์กรเดียวกัน แทนที่กำหนด mesh ของ trusts เดียว(one-way) (เหมือนใน Windows NT 4), Windows 2000 และ Windows Server 2003 ใช้ trusts transitive ที่ไหลขึ้นและลงโครงสร้างแผนภูมิโดเมน (ใหม่) รูปแบบจำลองนี้ simplifies การจัดการเครือข่าย Windows ตามที่ฉันจะแสดงให้เห็นถึง โดยการนำเสนอตัวอย่างที่ตัวเลข สมการที่สองต่อไปนี้ (bear กับฉัน--สมการที่มีมากกว่าสำหรับภาพ pain inducing memorization) exemplify การบริหารที่นำมาใช้กับแต่ละวิธี overhead สมการที่แสดงถึงจำนวนของความสัมพันธ์ที่เชื่อถือตามวิธีความน่าเชื่อถือแต่ละโดเมน ที่ใดnแสดงหมายเลขของโดเมน:
windows NT 4 โดเมน--(n* (n-1))
windows 2000 หรือ Windows Server 2003 โดเมน--(n-1)
เพียงแค่ประสงค์ภาพ ลองพิจารณาเครือข่ายที่มี handful โดเมน และดูวิธีการเปรียบเทียบ approaches กับรุ่นของโดเมน (สันนิษฐานว่าโดเมนห้าพอดีกับมือข้างที่กำหนดn= 5 ในสูตรต่อไปนี้)
โดเมนของ Windows NT 4: (5 * (5 - 1)) =ความสัมพันธ์ที่เชื่อถือ 20
โดเมน Windows 2000 หรือ Windows Server 2003: (5 - 1) = 4 ความสัมพันธ์ที่เชื่อถือ
ยุบรูปภาพนี้ขยายรูปภาพนี้
รูปภาพของการรวมของโดเมน trees Iseminger.com และ Microsoft

ภาพประกอบ 3-2 รวมโดเมน trees Iseminger.com และ Microsoft

นั่นคือผลต่างที่สำคัญในจำนวนของความสัมพันธ์ที่เชื่อถือที่ต้องถูกจัดการ แต่ว่าลดไม่สนใจเข้ม compelling มากที่สุดของวิธีการใหม่ไปยังโดเมน กับโดเมน Windows 2000 และ Windows Server 2003, trusts สร้างขึ้น และมีการใช้งาน โดยค่าเริ่มต้น ถ้าผู้ดูแลที่มีสิ่งใดแต่การติดตั้ง ตัวควบคุมโดเมน trusts มีอยู่ในตำแหน่ง สร้างความสัมพันธ์ที่เชื่อถือนี้โดยอัตโนมัติถูกยึดกับข้อเท็จจริงว่าโดเมน Windows 2000 และ Windows Server 2003 (แตกต่างจาก Windows NT 4 โดเมน) hierarchically สร้าง นั่นคือ ไม่มีโดเมนหลักและโดเมนลูกภายในแผนภูมิในโดเมนที่ระบุ และไม่มีรายการอื่น ซึ่งช่วยให้ Windows 2000 และ Windows Server 2003 ต้องทราบโดเมนที่จะรวมอยู่ในแผนภูมิในโดเมนที่กำหนดโดยอัตโนมัติ และเมื่อมีสร้างความสัมพันธ์ที่เชื่อถือระหว่างโดเมนหลัก โดยอัตโนมัติให้ทราบว่าโดเมนที่ trees จะรวมอยู่ในฟอเรสต์

ใน contrast ผู้ดูแลระบบได้เพื่อสร้าง (และจัดการในภายหลัง) ความสัมพันธ์ที่เชื่อถือระหว่างโดเมนของ Windows NT และจะมีการจดจำวิธีที่ความสัมพันธ์ที่เชื่อถือ flowed (และวิธีที่ได้รับจากสิทธิ์ของผู้ใช้ในโดเมนอย่างใดอย่างหนึ่ง) มีความแตกต่างที่สำคัญ ค่าผลิตที่จัดการอยู่ sliced ไปเป็นเศษส่วน และใช้งานของ trusts เช่นมาก intuitive--ทั้งหมดเนื่องจากการจำลองความน่าเชื่อถือใหม่และวิธีการลำดับชั้นโดเมนและ trees โดเมน

ใน Windows 2000 และ Windows Server 2003 มีอยู่สามชนิดของความสัมพันธ์ของความน่าเชื่อถือ แต่ละที่กรอกข้อมูลต้องภายในโครงสร้างโดเมน ความสัมพันธ์ที่เชื่อถือพร้อมใช้งานสำหรับโดเมน Windows 2000 และ Windows Server 2003 มีต่อไปนี้:
  • transitive trusts
  • trusts เดียว(one-way)
  • cross-link trusts
Trusts transitive
transitive trusts สร้างความสัมพันธ์ที่เชื่อถือระหว่างโดเมนที่สองที่สามารถไหลผ่านโดเมนอื่น ซึ่ง ถ้าโดโดเมน A trusts โดเมน B และโดเมน trusts ของโดเมน B C เมน A inherently trusts โดเมน C และกลับ เป็น รูปที่ 3-3 แสดง

ยุบรูปภาพนี้ขยายรูปภาพนี้
รูปภาพของความน่าเชื่อถือ transitive ระหว่างโดเมนที่สาม

ภาพประกอบ 3-3 ความน่าเชื่อถือ transitive ระหว่างโดเมนที่สาม

transitive trusts ลดค่าผลิตระดับผู้ดูแลที่เกี่ยวข้องกับการบำรุงรักษาของความสัมพันธ์ที่เชื่อถือระหว่างโดเมนได้เนื่องจากมีอีก mesh ของ trusts nontransitive เดียว(one-way)เพื่อจัดการได้อย่างมาก ใน Windows 2000 และ Windows Server 2003 ความสัมพันธ์ที่เชื่อถือ transitive ระหว่างโดเมนหลักและรองได้โดยอัตโนมัติสร้างโดเมนใหม่ถูกสร้างขึ้นเมื่อใดก็ตามในทรีของโดเมน transitive trusts จำกัด กับโดเมน Windows 2000 หรือ Windows Server 2003 และโดเมนภายในทรีของโดเมนเดียวกันหรือฟอเรสต์ คุณไม่สามารถสร้างความสัมพันธ์ที่เชื่อถือ transitive กับโดเมนระดับ (Windows NT 4 ถึงก่อนหน้านี้) และคุณไม่สามารถสร้างความน่าเชื่อถือ transitive ระหว่างสอง Windows 2000 หรือโดเมน Windows Server 2003 สองที่อยู่ใน forests ที่แตกต่างกัน
Trusts one-Way
trusts เดียว(one-way)จะไม่ transitive เพื่อที่จะกำหนดความสัมพันธ์ที่เชื่อถือระหว่างเฉพาะโดเมนเกี่ยวข้อง และจะไม่ bidirectional คุณสามารถ อย่างไรก็ตาม สร้างความสัมพันธ์ไว้วางใจเดียว(one-way)ที่แยกต่างหากสอง (หนึ่งในในทิศทางอย่างใดอย่างหนึ่ง) ในการสร้างความสัมพันธ์ที่เชื่อถือแบบสองทิศทาง เช่นเดียวกับที่คุณต้องการในการเรียง Windows NT 4 ระบบ แม้หมายเหตุ อย่างไรก็ตาม ที่กระทั่งเช่น reciprocating trusts เดียว(one-way) equate ไม่ให้ความเชื่อถือที่ transitive ความสัมพันธ์ที่เชื่อถือใน trusts เดียว(one-way)ไม่ถูกต้องระหว่างโดเท่านั้นสองเมนเกี่ยวข้อง trusts เดียว(one-way)ใน Windows 2000 และ Windows Server 2003 มีเพียงที่ same เป็น trusts เดียว(one-way)ใน Windows NT 4-- และใช้ใน Windows 2000 หรือ Windows Server 2003 ใน handful ของสถานการณ์ สองสถานการณ์ที่พบโดยทั่วไปมากที่สุดที่ได้อธิบายไว้ด้านล่าง

trusts แรก เดียว(one-way)มักใช้เมื่อคุณต้องสามารถสร้างความสัมพันธ์ที่เชื่อถือใหม่กับโดเมนระดับ เช่น Windows NT 4 โดเมน เนื่องจากโดเมนระดับไม่ร่วมใน Windows 2000 และ Windows Server 2003 สำหรับระบบความน่าเชื่อถือ transitive (เช่น trees หรือ forests), trusts เดียว(one-way)ต้องถูกสร้างความสัมพันธ์ที่เชื่อถือจะเกิดขึ้นระหว่างโดเมน Windows Server 2003 หรือ Windows 2000 และโดเมน Windows NT ระดับการเปิดใช้งาน

หมายเหตุ:: สถานการณ์เดียว(one-way)การเชื่อถือนี้ไม่มีการประยุกต์ใช้กับกระบวนการโยกย้าย (เช่นการปรับรุ่นการที่มีอยู่แล้ว Windows NT 4 โดเมน Windows 2000 หรือรุ่นของโดเมน/แผนภูมิ/ฟอเรสต์ Windows Server 2003 รุ่น) ตลอดทั้งหลักสูตรการโยกย้ายจาก Windows NT 4 Windows 2000 หรือ Windows Server 2003 ความสัมพันธ์ที่เชื่อถือที่คุณสร้างจะ honored ตามกระบวนการโยกย้ายเลื่อนไปทางส่วนเสร็จสมบูรณ์ จนถึงเวลาเมื่อโดเมนทั้งหมดเป็น Windows 2000 หรือ Windows Server 2003 และสภาพแวดล้อมของความน่าเชื่อถือ transitive ถูกสร้าง ไม่มีมากทั้งรายละเอียดเพิ่มเติม devoted การโยกย้ายที่ประมวลผลใน 11 บท "ย้ายไปยังบริการไดเรกทอรีที่ใช้งาน

สามารถใช้ trusts สอง เดียว(one-way)ถ้าคุณต้องสามารถสร้างความสัมพันธ์ที่เชื่อถือระหว่างโดเมนที่ไม่ได้อยู่ในฟอเรสต์ Windows 2000 หรือ Windows Server 2003 ที่เหมือนกัน คุณสามารถใช้ความสัมพันธ์ที่เชื่อถือเดียว(one-way)ระหว่างโดเมนใน Windows 2000 หรือ Windows Server 2003 forests ที่แตกต่างกันเพื่อแยกความสัมพันธ์ของความน่าเชื่อถือกับโดเมนที่มีสร้าง และรักษาความสัมพันธ์ มากกว่ากำลังสร้างความสัมพันธ์ที่เชื่อถือที่มีผลต่อทั้งฟอเรสต์ อนุญาตให้ฉัน clarify ด้วยตัวอย่าง

สมมติองค์กรของคุณมีการหารการผลิตและส่วนที่มีการขาย ส่วนการผลิตที่ต้องการใช้ร่วมกันบางข้อมูลกระบวนการ (ที่เก็บอยู่บนเซิร์ฟเวอร์ที่อยู่ในโดเมนของ Windows 2000 หรือ Windows Server 2003) กับเนื้อหาแบบมาตรฐาน อย่างไรก็ตาม หารขาย ธใหม่ต้องการเก็บรักษาขายที่สำคัญและข้อมูลการตลาดที่จะเก็บไว้บนเซิร์ฟเวอร์ในโดเมนของส่วนตัวจากตัวมาตรฐาน (อาจขายมีให้ดีว่า เนื้อหามาตรฐานต้อง thwart โดย crying, "Monopoly) เชื่อถือที่เดียว(one-way)ที่ใช้เก็บข้อมูลการขายปลอดภัย เมื่อต้องการให้การเข้าถึงที่จำเป็นลงในเนื้อความมาตรฐาน คุณสร้างความน่าเชื่อถือเดียว(one-way)ระหว่างโดเมนการผลิตและโดเมนของเนื้อความมาตรฐาน และตั้งแต่ trusts เดียว(one-way)ไม่ transitive ถูกสร้างความสัมพันธ์ที่เชื่อถือระหว่างโดเมนการเข้าร่วมสองเท่านั้น นอกจากนี้ เนื่องจากโดเมน trusting คือ โดเมนการผลิต ไม่มีทรัพยากรในโดเมนของเนื้อความมาตรฐานจะพร้อมใช้งานสำหรับผู้ใช้ในโดเมนการผลิต

นอน ในอย่างใดอย่างหนึ่งสถานการณ์ต่าง ๆ น่าเชื่อถือเดียว(one-way)ที่ outlined ที่นี่ คุณสามารถสร้างความน่าเชื่อถือแบบสองทิศทางออกของความสัมพันธ์ที่เชื่อถือเดียว(one-way)ที่แยกต่างหากสอง
Trusts cross-Link
cross-link trusts จะใช้เพื่อเพิ่มประสิทธิภาพการทำงาน ด้วย cross-link trusts บริดจ์เครือข่ายตรวจสอบความน่าเชื่อถือที่เสมือนถูกสร้างขึ้นภายในลำดับแผนภูมิหรือฟอเรสต์ชั้น การเปิดใช้การยืนยันความสัมพันธ์ของความน่าเชื่อถือได้เร็วขึ้น (หรือ denials) เพื่อให้ได้ นั่นคือการที่ดีสำหรับคำอธิบายที่รุ่นสั้น แต่จริง ๆ เข้าใจวิธีการ และเหตุใดจึงมีใช้ cross-link trusts จัดการคุณแรกต้อง authentications interdomain วิธีการทำความเข้าใจใน Windows 2000 และ Windows Server 2003

เมื่อโดเมน Windows 2000 หรือ Windows Server 2003 ต้องการการรับรองความถูกต้องผู้ใช้ (หรือมิฉะนั้น ให้ตรวจสอบการร้องขอการรับรองความถูกต้อง) ให้กับทรัพยากรที่ไม่ได้อยู่ในโดเมนของตนเอง มันดังในต้องเหมือนกับแบบสอบถาม DNS windows 2000 และ Windows Server 2003 ก่อนกำหนดว่า ทรัพยากรที่อยู่ในโดเมนที่กำลังทำการร้องขอ ส่งถ้าทรัพยากรไม่อยู่ในโดเมนท้องถิ่น ตัวควบคุมโดเมน (โดยเฉพาะอย่างยิ่ง คีย์การแจกจ่ายบริการ [KDC บนตัวควบคุมโดเมน) ผ่านไคลเอนต์อ้างอิงไปยังตัวควบคุมโดเมนในโดเมนถัดไปในลำดับชั้น(เหมาะขึ้น หรือลง เป็นสม) ตัวควบคุมโดเมนถัดไปยังคงมีอยู่ ด้วยการกาเครื่องหมาย "ทรัพยากรท้องถิ่น" นี้จนกว่าจะถึงโดเมนที่อยู่ของทรัพยากร (กระบวนการอ้างอิงนี้จะอธิบายรายละเอียดในบทที่ 8)

ในขณะนี้ "walking ของทรีของโดเมน" หน้าที่เช่นเดียวกับ นั้นเสมือน walking อัพถึงลำดับชั้นของโดเมนใช้เวลา และเวลาถ่าย impacts แบบสอบถามประสิทธิภาพการทำงานของการตอบสนอง เมื่อต้องใส่ข้อมูลนี้ไว้ในเงื่อนไขที่อาจเพิ่มเติม readily understandable พิจารณา crisis ที่ต่อไปนี้:

คุณกำลังที่มีฟอร์ม wings เทอร์มินัลที่สองเป็น A เทอร์มินัล V. inhabits ด้านซ้ายของ V ในสนามบิน และ B เทอร์มินัล inhabits ด้านขวา gates มีหมายเลขตามลำดับ ซึ่งของ A เทอร์มินัลและของเทอร์มินัล B Gate 1s จะใกล้ฐานของ V (เชื่อมต่อที่เทอร์มินัลที่สองอยู่) และ 15s Gate ทั้งสองเป็นเมื่อสิ้นสุด V ไกล gates ทั้งหมดที่เชื่อมต่อกับภายในของ V คุณเคย hurried เพื่อตรวจจับ flight ของคุณ และมาถึงที่ 15 Gate A เทอร์มินัล (ส่วนท้ายของ V ไกล) เท่านั้นจะพบว่า flight ของคุณถูกปล่อยให้ฟิลด์จริงจาก B. เทอร์มินัล คุณค้นหาหน้าต่าง และสามารถดู airplane ของคุณที่ 15 Gate B เทอร์มินัล แต่เพื่อให้คุณสามารถเข้าถึง gate ที่ คุณต้องนำ (ตกลง รัน) ทั้งหมดในทางกลับ up A เทอร์มินัลเพื่อฐานของ V และจากนั้น jog (ด้วยในขณะนี้ คุณ tired) ทั้งหมดวิธีลง B เทอร์มินัลการเข้าถึง 15 ของ Gate--เพิ่งในเวลาที่ต้องการดู flight คุณปล่อยให้ โดยที่คุณ ตามที่คุณ sit ในพื้นที่การรอ biding เวลาของคุณสำหรับชั่วโมงที่สองจนกว่า flight ที่ถัดไปจะพร้อมใช้งาน และ staring ข้าม V เพื่อ A เทอร์มินัล ซึ่งคุณ thought flight ของคุณถูก departing คุณมารถเซ็ตอัพความคิดที่ดีมาก: สร้างบริดจ์ sky ระหว่างสิ้นสุดของเทอร์มินัลเพื่อให้ passengers เช่นตัวท่านเองสามารถได้อย่างรวดเร็วจาก 15 Gate A เทอร์มินัลเพื่อ 15 Gate B เทอร์มินัล ซึ่งไม่ทำการควรได้อย่างไร จะทำให้ข้อความแสดงควรเท่านั้นหากมีจำนวนมากการรับส่งข้อมูลไประหว่าง 15s Gate ของเทอร์มินัล

ในทำนองเดียวกัน cross-link trusts สามารถทำหน้าที่เป็นบริดจ์การรับรองความถูกต้องระหว่างโดเมนที่ logically distant จากกันในลำดับชั้นฟอเรสต์หรือแผนภูมิ และมียอดเงินที่สำคัญของการรับส่งข้อมูลการรับรองความถูกต้อง สิ่งที่จำนวนการล็อตการรับส่งข้อมูลการรับรองความถูกต้องหรือไม่ พิจารณาสาขาที่สองของทรีโดเมน Windows 2000 หรือ Windows Server 2003 ในสาขาแรกคือขึ้นของโดเมน A, B, C และ D. A คือ แม่ B, B เป็นพาเรนต์ของ C และ C คือ พาเรนต์ของ D. สาขาที่สองคือสร้างโดเมน A, M, N และ P. A มีพาเรนต์ของ M, M มีพาเรนต์ของ N และ N เป็นพาเรนต์ของ P. ที่มีความหมาย convoluted ดังนั้นให้ ตรวจสอบหา 3 รูป 4 สำหรับการแสดง illustrated ของโครงสร้างนี้

ยุบรูปภาพนี้ขยายรูปภาพนี้
รูปภาพของลำดับชั้นของโดเมนตัวอย่าง

ภาพประกอบ 3-4 ลำดับชั้นของโดเมนตัวอย่าง

ตอนนี้ สมมติว่า คุณมีผู้ใช้ในโดเมน D ที่ใช้ทรัพยากรที่ สำหรับสิ่งเหตุผล อยู่ในโดเมน P. อย่างสม่ำเสมอ เมื่อผู้ใช้ในโดเมน D ที่ต้องการใช้ทรัพยากรในโดเมน P, Windows 2000 และ Windows Server 2003 แก้ไขการร้องขอ โดย walking เส้นทางที่อ้างอิงที่ climbs กลับไปยังรากของแผนภูมิ (โดเมน A ในกรณีนี้), และจากนั้น นำกลับลงสาขาที่เหมาะสมของทรีของโดเมนจนกว่าจะถึงโดเมน P. หาก authentications เหล่านี้ไม่ต่อเนื่อง วิธีการนี้สร้างยอดเงินที่สำคัญของปริมาณการใช้งาน วิธีที่ดีที่มีการส ร้าง cross-link ความน่าเชื่อถือระหว่างโดเมน D และ P ซึ่ง authentications ระหว่างโดเมนจะเกิดขึ้นโดยไม่ต้องให้แผนภูมิของโดเมนที่ทำให้ กลับไปยังราก (หรือโดเมนหลักที่สาขาของแผนภูมิแยก) ผลมีประสิทธิภาพที่ดีกว่าในแง่ของการรับรองความถูกต้อง

ข้อมูลอ้างอิง

ข้อมูลในบทความนี้จะมี excerpt จากนั้นบริการไดเรกทอรีใช้งานอยู่สำหรับ Microsoft การอ้างอิงทางเทคนิคของ Windows 2000สมุดบัญชี การเผยแพร่ โดย Microsoft ข่าว

ยุบรูปภาพนี้ขยายรูปภาพนี้
รูปภาพของบริการไดเรกทอรีที่ใช้งานอยู่สำหรับ Microsoft Windows 2000 ทางด้านเทคนิคของการอ้างอิงสมุด


เรียนรู้เพิ่มเติมเกี่ยวกับบริการไดเรกทอรีใช้งานอยู่สำหรับ Microsoft การอ้างอิงทางเทคนิคของ Windows 2000

ดูข้อมูลเพิ่มเติมเกี่ยวกับการเผยแพร่นี้และชื่อเรื่องของข่าว Microsoft อื่นhttp://mspress.microsoft.com.

คุณสมบัติ

หมายเลขบทความ (Article ID): 310996 - รีวิวครั้งสุดท้าย: 19 ตุลาคม 2553 - Revision: 2.0
ใช้กับ
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Keywords: 
kbinfo kbmt KB310996 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:310996

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com