Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Dịch vụ Active Directory và Windows 2000 hoặc Windows Server 2003 tên miền (phần 1)

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:310996
TÓM TẮT
Thông tin được bảo hiểm trong bài viết này cung cấp một phần bởi: Microsoft Báo chí.

Bài viết này là phần 1 của một loạt hai bài viết mà giải thích dịch vụ Active Directory và Windows 2000 hoặc Windows Server 2003 tên miền. Để xem phần 2, nhấp vào liên kết sau đây:
310997 Dịch vụ Active Directory và Windows 2000 hoặc Windows Server 2003 tên miền (phần 2)
Các chủ đề sau đây được bảo hiểm trong phần 1:
  • Hệ thống phân cấp tên miền
    • Windows 2000 và Windows Server 2003 (en)
      • Tên miền
      • Cây
      • Rừng
  • Tin tưởng mối quan hệ
    • Transitive tín thác
    • Tín thác một chiều
    • Tín thác Cross-Link
Các chủ đề sau đây được bảo hiểm trong phần 2:
  • Ranh giới hành chính
    • Tên miền
    • Đơn vị tổ chức
  • Hoạt động thư mục tương tác
    • Thi đua phân cấp tên miền
    • Làm catalô tên miền (thư mục Phân vùng)
    • Phân vùng thư mục
    • Nhận được thông tin về các đối tượng trong vùng khác
      • Phân phối thư mục
      • Sao chép thư mục
    • Làm catalô Enterprise (các Global Danh mục)
  • Kết luận
Thông tin này là một đoạn trích từ các Dịch vụ Active Directory cho Microsoft Windows 2000 Technical Reference cuốn sách, chương 3: dịch vụ Active Directory và Windows 2000 Tên miền. Tìm hiểu thêm về Hoạt động Dịch vụ thư mục cho Microsoft Windows 2000 Technical Reference. Nó đã được cập nhật để bao gồm các thông tin về Microsoft Windows Server 2003.
THÔNG TIN THÊM
Microsoft Windows 2000 hoặc Windows Server 2003 tên miền cấu trúc và các đối tượng liên quan được thay đổi đáng kể từ của họ Windows NT 4 hóa thân, phản ánh vai trò trung tâm dịch vụ Active Directory trong Windows 2000 hoặc Windows Server 2003 và các yêu cầu thiết kế làm cho nó một dịch vụ thư mục khả năng mở rộng, doanh nghiệp sẵn sàng. Một số những thay đổi này là rõ ràng, chẳng hạn như phong trào mô hình mối quan hệ tin tưởng transitive, trong khi những người khác là subtler, chẳng hạn như sự ra đời của các đơn vị tổ chức. Cho dù những vấn đề là rõ ràng hay tinh tế, giải thích họ là trung tâm của sự hiểu biết tương tác và quan hệ phụ thuộc giữa Windows 2000 hoặc Windows Server 2003 tên miền và các dịch vụ thư mục hoạt động. Hoạt động thư mục giả lập các cửa sổ năm 2000 và Windows Server 2003 tên miền mô hình--hoặc phó versa, nếu bạn muốn tìm nó như vậy. Dù bằng cách nào, Windows 2000 hoặc Windows Server 2003 tên miền và Active Directory đang phụ thuộc vào nhau và thậm chí được xác định bởi lẫn nhau đặc điểm. Mối quan hệ gần gũi và chia giữa Windows 2000 hoặc Windows Server 2003 tên miền và các dịch vụ thư mục hoạt động đòi hỏi một lời giải thích của mô hình miền Windows 2000 hoặc Windows Server 2003 và làm thế nào nó tương tác với Active Directory dịch vụ. Vì vậy, chương này bắt đầu với một lời giải thích của mô hình miền Windows 2000 và Windows Server 2003 và kiểm tra tại sao mô hình đó là rất khác với mô hình miền Windows NT.

Windows 2000 và Windows Server 2003 (en)

Các mô hình miền Windows NT 4 không quy mô tốt. Có những khác cách thức để nói điều này thực tế sẽ sugarcoat thật, nhưng thực tế đơn giản của vấn đề là có mô hình tên miền Windows NT 4--với một chiều của nó nontransitive tín thác--yêu cầu rất nhiều hành chính trên cao trong việc triển khai doanh nghiệp lớn. Điều này không còn là trường hợp với Windows 2000 hoặc Windows Server 2003 và mô hình tên miền của họ, chủ yếu vì của các mới cách tiếp cận với tín thác, mà còn bởi vì khái niệm toàn bộ tên miền đã Tân trang để align với tiêu chuẩn công nghiệp như Lightweight Directory Access Giao thức (LDAP) và dịch vụ tên miền (DNS).

Hệ thống phân cấp tên miền

Trong các mạng Windows 2000 và Windows Server 2003, tên miền là tổ chức trong một hệ thống phân cấp. Với mới phương pháp phân cấp tên miền, các khái niệm về rừng và cây được tạo ra. Những khái niệm mới, cùng với các hiện có khái niệm về tên miền, các tổ chức giúp đỡ nhiều hơn nữa hiệu quả quản lý các Windows 2000 và Windows Server 2003 cấu trúc mạng.
Tên miền
Các đơn vị nguyên tử của Windows 2000 và Windows Server 2003 mô hình tên miền vẫn không thay đổi; nó vẫn là các tên miền. Một tên miền là một ranh giới hành chính, và trong Windows 2000 và Windows Server 2003, một tên miền đại diện cho một không gian tên (trong đó được thảo luận trong chương 4) tương ứng với một Tên miền DNS. Xem chương 6, "Hoạt động thư mục dịch vụ và DNS," để biết thêm thông tin về cách dịch vụ Active Directory và DNS tương tác.

Các đầu tiên tên miền tạo trong Windows 2000 hoặc Windows Server 2003 triển khai là gọi là tên miền gốc, và như tên cho thấy, đó là gốc rễ của tất cả các tên miền được tạo ra trong cây tên miền. (Miền cây được giải thích trong các phần kế tiếp.) Kể từ khi cơ cấu miền Windows 2000 và Windows Server 2003 kết hôn với DNS tên miền phân cấp, cấu trúc của Windows 2000 và Windows Tên miền máy chủ 2003 là tương tự như cấu trúc quen thuộc của tên miền DNS phân cấp. Tên miền gốc là tên miền như microsoft.com hay iseminger.com; họ là gốc rễ của họ phân cấp DNS và rễ của Windows 2000 và cấu trúc tên miền Windows Server 2003.

Tên miền sau đó tạo trong phân một cho Windows 2000 và Windows Server 2003 tên miền cấp trở thành tên miền con của tên miền gốc. Ví dụ, nếu msdn là một tên miền con của Microsoft.com, tên miền msdn sẽ trở thành msdn.microsoft.com.

Như bạn có thể thấy, Windows 2000 và Windows Server 2003 yêu cầu tên miền là hoặc là một gốc tên miền hoặc tên miền con trong một hệ thống phân cấp tên miền. Windows 2000 và Windows Server 2003 cũng yêu cầu tên miền là duy nhất trong một tên miền phụ huynh cho trước; cho Ví dụ, bạn không thể có hai tên miền được gọi là msdn là tên miền trực tiếp con của microsoft.com tên miền gốc. Tuy nhiên, bạn có thể có hai tên miền được gọi là msdn trong hệ thống phân cấp tổng thể tên miền. Ví dụ, bạn có thể có msdn.microsoft.com cũng như msdn.devprods.microsoft.com; không gian tên microsoft.com đã chỉ một đứa trẻ tên miền được gọi là msdn, và không gian tên devprods.microsoft.com cũng có đứa trẻ chỉ có một tên miền được gọi là msdn.

Ý tưởng đằng sau tên miền là một trong những phân vùng hợp lý. Hầu hết các tổ chức lớn, đủ để yêu cầu nhiều hơn một Windows 2000 hoặc Windows Server 2003 tên miền có một hợp lý cơ cấu tổ chức mà divides trách nhiệm hoặc công việc tập trung. Bằng cách chia một tổ chức thành nhiều đơn vị (đôi khi được gọi là phân cấp trong công ty Mỹ), các quản lý của tổ chức được thực hiện dễ dàng hơn. Trong thực tế, các tổ chức là đang được phân vùng để cung cấp một cơ cấu hợp lý hơn và có lẽ để chia làm việc trong số các phần khác nhau của tổ chức. Để xem xét này cách khác, khi logic kinh doanh đơn vị (đơn vị) đang tụ tập chung dưới các ô dù của một thực thể lớn hơn (có lẽ là một công ty), các logic đơn vị khác nhau tạo ra một thực thể lớn hơn. Mặc dù làm việc trong các khác nhau đơn vị có thể riêng biệt và rất khác nhau, các đơn vị tập thể hình một thực thể lớn hơn nhưng một cách hợp lý hoàn chỉnh. Khái niệm này cũng áp dụng cho các bộ sưu tập của Windows 2000 và Windows Server 2003 tên miền thành một lớn hơn, lục địa không gian tên thực thể được biết đến như một cây.
Cây
Cây - đôi khi được gọi là miền cây--là bộ sưu tập của Windows năm 2000 và Windows Server 2003 tên miền đó tạo thành một không gian tên tiếp giáp. Một tên miền cây được hình thành ngay sau khi một tên miền con được tạo ra và liên kết với một nhất định tên miền gốc. Đối với một định nghĩa kỹ thuật, một cây là một lục địa DNS đặt tên hệ thống phân cấp; Đối với một con số khái niệm, một tên miền cây trông giống như một cây ngược (với gốc miền ở đầu trang), với các chi nhánh (tên miền con) mọc ra dưới đây.

Việc tạo ra một cây tên miền cho phép các tổ chức để tạo ra một cơ cấu hợp lý của các tên miền trong tổ chức của họ và có cấu trúc đó tuân theo và nhân bản không gian tên DNS. Ví dụ, David Iseminger và công ty có thể có một tên miền DNS được gọi là micromingers.iseminger.com và có thể có nhiều đơn vị hợp lý trong công ty, chẳng hạn như bán hàng, kế toán, sản xuất, và như vậy. Trong tình huống một, cây tên miền có thể hình như tên miền cây trong hình 3-1.

 Hình ảnh của		  cây tên miền cho micromingers.iseminger.com
Hình 3-1. Các tên miền cây cho micromingers.iseminger.com

LƯU Ý: Bởi bây giờ bạn đã nhận thấy rằng iseminger.com đang được sử dụng trên tất cả các nơi. Đây không phải là vanity trên một phần của tác giả; nó là một việc xem xét pháp lý nhà xuất bản khẳng định khi. "Không có tên được tiềm tàng gô Xin vui lòng,"họ nói. "Chỉ thuộc sở hữu của tác giả tên miền hoặc thực sự, thực sự chán ngắt những người." Tác giả có một trong lúc www.iseminger.com do đó, rằng tên miền đã được sử dụng ở khắp mọi nơi trong cuốn sách này. Tôi đã có nhiều sáng tạo tên, nhưng alas, chúng ta phải xin các luật sư.

Tổ chức này của đơn vị hợp lý trong các công ty công trình lớn cho các công ty có một tên miền DNS, nhưng vấn đề các công ty có thể có nhiều hơn một "công ty" trong doanh nghiệp lớn hơn phải được giải quyết. Vấn đề được giải quyết thông qua việc sử dụng của Windows 2000 và Windows Server 2003 rừng.
Rừng
Một số tổ chức có thể có nhiều tên miền gốc, chẳng hạn như iseminger.com và microsoft.com, tuy nhiên, các tổ chức chính nó là một thực thể duy nhất (ví dụ như các hư cấu David Iseminger và công ty trong ví dụ này). Trong đó trường hợp, những cây nhiều tên miền có thể tạo thành một không gian tên noncontiguous được gọi là một rừng. Rừng là một hoặc nhiều tên miền tiếp giáp cây song đã hình thành một doanh nghiệp cho trước. Logic, điều này cũng có nghĩa là một tổ chức có chỉ một tên miền duy nhất trong cây tên miền cũng được xem xét một khu rừng. Điều này sự phân biệt trở nên quan trọng sau này trong chương này, khi chúng tôi thảo luận về các cách thức hoạt động thư mục tương tác với Windows 2000 hoặc Windows Server 2003 tên miền và các khu rừng.

Mô hình rừng cho phép các tổ chức mà Đừng hình thức một không gian tên lục địa để duy trì liên tục tổ chức toàn trong cơ cấu tổ hợp tên miền của họ. Ví dụ, nếu David Iseminger và Công ty--iseminger.com--đã có thể để cạo cùng nhau đủ đồng xu mua một công ty khác được gọi là Microsoft cũng có cấu trúc thư mục riêng của mình, các cấu trúc tên miền của hai thực thể có thể được kết hợp thành một khu rừng. Có có ba lợi thế chính của việc có một rừng duy nhất. Đầu tiên, các mối quan hệ tin cậy được dễ dàng quản lý (cho phép người sử dụng trong một tên miền cây để truy cập vào tài nguyên trong cây khác). Thứ hai, các cửa hàng toàn cầu kết hợp đối tượng thông tin cho toàn bộ rừng, mà làm cho tìm kiếm của toàn bộ doanh nghiệp có thể. Thứ ba, lược đồ Active Directory áp dụng cho toàn bộ rừng. (Xem chương 10 cho thông tin kỹ thuật về giản đồ.) Hình 3-2 minh họa kết hợp của iseminger.com và các cấu trúc tên miền Microsoft, với một dòng giữa các tên miền gốc chỉ ra các Kerberos tin tưởng rằng tồn tại giữa chúng và thiết lập các rừng. (Giao thức Kerberos là» giải thích chi tiết trong chương 8.)

Mặc dù một khu rừng có thể bao gồm nhiều tên miền cây, nó đại diện cho một doanh nghiệp. Việc tạo ra của rừng cho phép tất cả các thành viên tên miền để chia sẻ thông tin (thông qua sự sẵn có của Danh mục toàn cầu). Bạn có thể tự hỏi làm thế nào tên miền cây trong một khu rừng thiết lập mối quan hệ đó cho phép các doanh nghiệp toàn bộ (được đại diện bởi các rừng) hoạt động như một đơn vị. Câu hỏi tốt; câu trả lời tốt nhất được cung cấp bởi một giải thích về các mối quan hệ tin tưởng.

Tin tưởng mối quan hệ

Có lẽ là sự khác biệt quan trọng nhất giữa Windows NT 4 tên miền và tên miền Windows 2000 hoặc Windows Server 2003 là việc áp dụng và cấu hình của các mối quan hệ tin cậy giữa tên miền trong tổ chức tương tự. Chứ không phải là việc thiết lập một lưới của một chiều tín thác (như trong Windows NT 4), Windows năm 2000 và Windows Server 2003 thực hiện tín thác transitive chảy lên và xuống cấu trúc tên miền cây (mới). Mô hình này đơn giản hoá mạng Windows chính quyền, như tôi sẽ chứng minh bằng cách cung cấp một số ví dụ. Các Sau hai phương trình (gấu với tôi - các phương trình nhiều hơn nữa để minh hoạ hơn đau-inducing ghi nhớ) sao lục quản lý trên không giới thiệu với mỗi phương pháp tiếp cận; các phương trình đại diện cho số lượng các mối quan hệ tin cậy yêu cầu của mỗi phương pháp tiếp cận tin tưởng tên miền, nơi n đại diện cho nhiều miền:
Windows NT 4 tên miền--)n * (n-1))
Windows 2000 hoặc Windows Server 2003 tên miền--)n-1)
Chỉ cho mục đích minh hoạ, chúng ta hãy xem xét một mạng lưới này có một số ít các tên miền và xem như thế nào các phương pháp tiếp cận đến tên miền so sánh các mô hình. (Giả định rằng năm tên miền phù hợp trong một bàn tay cho trước, n = 5 trong công thức sau đây.)
Tên miền Windows NT 4: (5 * (5 - 1)) = 20 ủy thác các mối quan hệ
Windows 2000 hoặc Windows Server 2003 tên miền: (5 - 1) = 4 ủy thác các mối quan hệ
 Hình ảnh của các		  kết hợp của các tên miền cây cho Iseminger.com và Microsoft
Hình 3-2. Kết hợp của tên miền cây cho Iseminger.com và Microsoft

Đó là một sự khác biệt đáng kể trong số các sự tin tưởng mối quan hệ đó phải được quản lý, nhưng mà giảm không phải là ngay cả nhất hấp dẫn sức mạnh của các phương pháp mới để tên miền. Với Windows 2000 và Windows Server 2003 tên miền, các tín thác được tạo ra và thực hiện theo mặc định. Nếu người quản trị không có gì nhưng cài đặt bộ điều khiển vùng, tín thác đã tại chỗ. Điều này tạo ra tự động của các mối quan hệ tin tưởng được gắn với một thực tế rằng Windows 2000 và Windows Server 2003 tên miền (không giống như Windows NT 4 tên miền) hierarchically được tạo ra; đó là, đó là một tên miền gốc và trẻ em tên miền trong một tên miền nhất định cây, và không có gì khác. Mà cho phép Windows 2000 và Windows Server 2003 tự động biết tên miền đó được bao gồm trong một cho tên miền cây, và khi các mối quan hệ tin tưởng được thiết lập giữa gốc tên miền tự động biết những cây miền được bao gồm trong các rừng.

Ngược lại, quản trị viên đã có để tạo ra (và sau đó quản lý) tin tưởng mối quan hệ giữa tên miền Windows NT, và họ đã phải Hãy nhớ rằng đó là cách các mối quan hệ tin tưởng chảy (và làm thế nào mà ảnh hưởng đến người dùng quyền tại tên miền hoặc là). Sự khác biệt là đáng kể, việc quản lý trên cao là thái lát để một phần nhỏ, và thực hiện như vậy tín thác nhiều trực quan--tất cả nhờ mô hình sự tin tưởng mới và các phương pháp phân cấp để tên miền và tên miền cây.

Trong Windows 2000 và Windows Server 2003, có ba loại hình của các mối quan hệ tin tưởng, mỗi trong số đó điền vào một số cần trong cơ cấu tên miền. Các mối quan hệ tin tưởng có sẵn cho Windows năm 2000 và Windows Server 2003 tên miền là sau đây:
  • Transitive tín thác
  • Tín thác một chiều
  • Tín thác Cross-Link
Transitive tín thác
Transitive tín thác thiết lập mối quan hệ tin cậy giữa hai tên miền mà có thể chảy qua để các tên miền khác, như vậy mà nếu miền a tín thác miền B, và tên miền tên miền tín thác B C, miền a vốn tín thác tên miền c và ngược lại, như hình 3-3 minh hoạ.

Hình ảnh của sự tin tưởng transitive trong số ba tên miền
Hình 3-3. Transitive tin tưởng trong số ba tên miền

Transitive tín làm giảm đáng kể chi phí hành chính liên quan với việc duy trì độ tin cậy các mối quan hệ giữa tên miền vì không còn một lưới của một chiều nontransitive tín thác để quản lý. Trong Windows 2000 và Windows Server 2003, Transitive ủy thác các mối quan hệ giữa các tên miền phụ huynh và con em có tự động thiết lập bất cứ khi nào tên miền mới được tạo trong miền cây. Transitive tín thác được giới hạn trong Windows 2000 hoặc Windows Server 2003 tên miền và tên miền trong cùng một tên miền cây hoặc rừng; bạn không thể tạo một Transitive tin tưởng mối quan hệ với xuống cấp (Windows NT 4 và trước đó) tên miền, và bạn không thể tạo ra một sự tin tưởng transitive giữa hai Windows 2000 hoặc hai Windows Server 2003 tên miền mà cư trú trong các khu rừng khác nhau.
Tín thác một chiều
Tín thác một cách là không transitive, do đó, họ xác định một niềm tin mối quan hệ giữa chỉ là các tên miền tham gia, và họ không phải là hai chiều. Bạn có thể, tuy nhiên, tạo mối quan hệ tin tưởng một cách riêng biệt hai (một trong hai hướng) để tạo ra một mối quan hệ tin tưởng hai chiều, cũng giống như bạn sẽ ở một hoàn toàn là môi Windows NT 4 trường. Lưu ý, tuy nhiên, mà ngay cả như vậy reciprocating tín thác một cách không đánh đồng với một sự tin tưởng transitive; mối quan hệ tin tưởng trong tín thác một cách có hiệu lực giữa chỉ các tên miền hai tham gia. Tín thác một chiều trong Windows 2000 và Windows Server 2003 là chỉ giống như một cách tín thác trong Windows NT 4--và được dùng trong Windows 2000 hoặc Windows Server 2003 trong một số ít tình huống. Một vài tình huống phổ biến nhất được mô tả dưới đây.

Tín thác đầu tiên, một cách thường xuyên được sử dụng khi mới tin tưởng các mối quan hệ phải được thành lập với tên miền cấp xuống, chẳng hạn như Windows NT 4 tên miền. Kể từ khi tên miền cấp xuống không thể tham gia trong Windows 2000 và Windows Server 2003 môi trường tin tưởng transitive (như cây hay rừng), tín thác một cách phải được thiết lập để cho phép các mối quan hệ tin tưởng xảy ra giữa một Windows 2000 hoặc một tên miền Windows Server 2003 và Windows xuống cấp NT miền.

LƯU Ý: Tình trạng tin tưởng một cách này không áp dụng cho việc di chuyển quá trình (ví dụ như một bản nâng cấp của một mô hình miền Windows NT 4 hiện tại để các Windows 2000 hoặc Windows Server 2003 tên miền/cây/rừng mô hình). Trong suốt các khóa học của một di chuyển từ Windows NT 4 sang Windows 2000 hoặc Windows Server 2003, mối quan hệ tin tưởng bạn đã thiết lập được vinh danh là di chuyển quá trình di chuyển về hướng hoàn thành, cho đến thời điểm khi tất cả các tên miền là Windows 2000 hoặc Windows Server 2003 và môi trường transitive tin tưởng là được thành lập. Đó là rất nhiều toàn bộ chi tiết hơn dành cho quá trình di chuyển trong chương 11, "Di chuyển sang dịch vụ thư mục Active."

Thứ hai, tín thác một cách có thể được sử dụng nếu một mối quan hệ tin tưởng phải được thiết lập giữa tên miền mà không phải là trong cùng một Windows 2000 hoặc Windows Server 2003 rừng. Bạn có thể sử dụng một cách tin tưởng mối quan hệ giữa lĩnh vực trong cửa sổ khác nhau 2000 hoặc Windows Server 2003 rừng để cô lập mối quan hệ tin tưởng để các tên miền mà mối quan hệ được tạo ra và duy trì, thay vì tạo ra một mối quan hệ tin tưởng mà ảnh hưởng đến toàn bộ rừng. Hãy để tôi làm rõ với một ví dụ.

Hãy tưởng tượng tổ chức của bạn có một sản xuất sư đoàn và một bộ phận bán hàng. Bộ phận sản xuất muốn chia sẻ một số của nó xử lý thông tin (được lưu trữ trên máy chủ mà cư trú trong các Windows 2000 hoặc tên miền Windows Server 2003) với một tiêu chuẩn cơ thể. Bộ phận bán hàng, Tuy nhiên, muốn giữ các thông tin tiếp thị và bán hàng nhạy cảm mà nó các cửa hàng trên các máy chủ trong tên miền của mình tư nhân từ cơ quan tiêu chuẩn. (Có lẽ của nó bán hàng là tốt như vậy là cơ quan tiêu chuẩn muốn để ngăn chặn chúng bởi khóc, "Monopoly!") Bằng cách sử dụng một sự tin tưởng một cách giữ các thông tin bán hàng an toàn. Cung cấp việc tiếp cận cần thiết để cơ thể các tiêu chuẩn, bạn thiết lập một sự tin tưởng một cách giữa miền sản xuất và tên miền của cơ thể các tiêu chuẩn, và từ tín thác một cách không transitive, mối quan hệ tin tưởng được thành lập chỉ giữa hai tên miền tham gia. Ngoài ra, kể từ khi tin tưởng các tên miền là các sản xuất tên miền, không ai trong số các nguồn tài nguyên trong tên miền của cơ thể các tiêu chuẩn sẽ có sẵn cho người dùng thuộc về phạm vi sản xuất.

Tất nhiên trong một trong các kịch bản sự tin tưởng một cách nêu ở đây, bạn có thể tạo ra một hai cách tin tưởng trong số hai mối quan hệ tin tưởng một cách riêng biệt.
Tín thác cross-Link
Cross-Link tín thác được sử dụng để làm tăng hiệu suất. Với Cross-Link tín thác, một cây cầu xác minh sự tin tưởng ảo được tạo ra trong các hệ thống phân cấp cây hay rừng, tạo điều kiện cho giấy tờ xác nhận mối quan hệ tin cậy nhanh hơn (hoặc bị bác) phải đạt được. Đó là tốt cho một phiên bản ngắn của những lời giải thích, nhưng thực sự hiểu như thế nào và tại sao cross-link tín thác được sử dụng, bạn trước tiên cần để hiểu làm thế nào interdomain authentications được xử lý trong Windows 2000 và Windows Server 2003.

Khi một Windows 2000 hoặc Windows Server 2003 tên miền cần phải xác thực người dùng (hoặc nếu không xác minh một xác thực yêu cầu) đến một nguồn tài nguyên không nằm trong phạm vi của riêng của nó, nó có phải vì vậy, trong một thời trang tương tự để truy vấn DNS. Windows 2000 và Windows Server 2003 đầu tiên xác định cho dù tài nguyên này nằm trong phạm vi mà yêu cầu không đang được thực hiện. Nếu tài nguyên không nằm trong phạm vi địa phương, tên miền bộ điều khiển (cụ thể, các phím Distribution Service [KDC] trên tên miền bộ điều khiển) đi máy sử dụng một giới thiệu lên bộ kiểm soát miền trong kế tiếp tên miền trong phân cấp (thích lên hoặc xuống, như hợp). Tên miền kế tiếp bộ điều khiển tiếp tục với kiểm tra "địa phương tài nguyên" này cho đến khi tên miền mà tài nguyên sống được đạt tới. (Quá trình giới thiệu này được giải thích chi tiết trong chương 8.)

Trong khi điều này "đi bộ của cây tên miền" chức năng chỉ tiền phạt, rằng ảo đi bộ lên thông qua các tên miền phân cấp cần có thời gian, và thời gian lấy tác động hiệu suất phản ứng truy vấn. Để đặt này vào điều khoản được có lẽ dễ dàng hơn dễ hiểu, hãy xem xét các cuộc khủng hoảng sau đây:

Bạn đang ở một sân bay có hai nhà ga cánh dưới hình thức một nhà ga V. A inhabits các bên trái của v và nhà ga b sinh quyền. Các cổng được đánh số tuần tự, chẳng hạn cả hai nhà ga a và thiết bị đầu cuối b cổng 1s đang ở gần các cơ sở của V (nơi mà hai nhà ga được kết nối) và cả hai cửa khẩu 15s là lúc cuối đến nay của V. Tất cả các cổng kết nối vào bên trong của V. Bạn đã vội vã để bắt chuyến bay của bạn, và đi đến nhà ga A Gate 15 (lúc cuối đến nay của các V) chỉ để nhận ra rằng chuyến bay của bạn là thực sự để lại từ nhà ga sinh Bạn nhìn ra cửa sổ và có thể nhìn thấy của bạn máy bay tại nhà ga B Gate 15, nhưng trong để bạn để có được đến cổng đó bạn phải đi bộ (OK, chạy) tất cả các cách sao lưu Thiết bị đầu cuối a đến các căn cứ của v và sau đó jog (bởi bây giờ, bạn đang mệt mỏi) tất cả các cách xuống nhà ga b để có được của nó 15 Gate--chỉ trong thời gian để xem chuyến bay của bạn để lại mà không có bạn. Khi bạn ngồi trong khu vực chờ đợi, biding thời gian của bạn trong hai giờ cho đến khi các chuyến bay tiếp theo sẽ trở thành có sẵn và staring trên v a Terminal, từ đó bạn nghĩ rằng chuyến bay của bạn đã khởi hành, bạn tìm ra một tuyệt vời ý tưởng: xây dựng một bầu trời thu hẹp giữa các kết thúc của các thiết bị đầu cuối như vậy mà hành khách chẳng hạn như bản thân bạn có thể nhanh chóng có được từ nhà ga A Gate 15 Terminal B Gate 15. Điều này làm cho cảm giác? Nó làm cho cảm giác chỉ khi có rất nhiều lưu lượng truy cập sẽ giữa các ga đầu cuối Gate 15s.

Tương tự, cross-link tín thác có thể phục vụ như là một cây cầu xác thực giữa các tên miền đang ở xa một cách hợp lý với nhau trong một khu rừng hoặc cây phân cấp và có một số lượng đáng kể của xác thực lưu lượng truy cập. Những gì số tiền đến rất nhiều lưu lượng truy cập xác thực? Hãy xem xét hai chi nhánh của một cây miền Windows 2000 hoặc Windows Server 2003. Các chi nhánh đầu tiên tạo ra từ các tên miền A, B, C và D. A là phụ huynh của B, B là phụ huynh của C, và c là phụ huynh của D. Chi nhánh thứ hai được tạo thành từ tên miền A, M, N, và P. A là phụ huynh m, M là phụ huynh của n và n là phụ huynh của P. Đó một chút phức tạp, vì vậy hãy kiểm tra ra con số 3-4 cho một minh họa đại diện của cấu trúc này.

 Hình ảnh của một mẫu		  hệ thống phân cấp tên miền
Hình 3-4. Một tên miền mẫu hệ thống phân cấp

Bây giờ hãy tưởng tượng rằng bạn có người dùng ở tên miền d những người thường xuyên sử dụng nguồn tài nguyên đó, đối với bất cứ điều gì lý do, cư trú tại miền P. Khi một người dùng trong tên miền d muốn sử dụng tài nguyên ở miền P, Windows 2000 và Windows Server năm 2003 giải quyết yêu cầu bằng cách đi bộ đường dẫn giới thiệu đó trèo lên quay lại các thư mục gốc của cây (tên miền a trong trường hợp này), và sau đó đi bộ trở lại các chi nhánh thích hợp của cây tên miền cho đến khi chúng đạt đến tên miền P. Nếu những authentications được liên tục, cách tiếp cận này tạo ra một số lượng đáng kể của lưu lượng truy cập. Một cách tiếp cận tốt hơn là để tạo ra một sự tin tưởng cross-link giữa tên miền d và P, cho phép authentications giữa các lĩnh vực để xảy ra mà không có cần phải đi bộ cây tên miền quay lại gốc (hoặc cơ sở tên miền mà các cành cây chia). Kết quả là hiệu suất tốt hơn trong điều khoản của xác thực.
THAM KHẢO
Thông tin trong bài viết này là một đoạn trích từ các Dịch vụ Active Directory cho Microsoft Windows 2000 Technical Reference cuốn sách, được xuất bản bởi Microsoft Press.

Hình ảnh của dịch vụ thư mục Active cho Microsoft Windows 2000 kỹ thuật		  Cuốn sách tham khảo

Tìm hiểu thêm về Hoạt động Dịch vụ thư mục cho Microsoft Windows 2000 kỹ thuật Tham khảo

Để biết thêm thông tin về Ấn phẩm này và các danh hiệu khác của Microsoft Press, xem http://mspress.Microsoft.com.
kbmspressexcerpt inf kbgraphxlinkcritical

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 310996 - Xem lại Lần cuối: 08/27/2011 17:53:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Professional Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbinfo kbmt KB310996 KbMtvi
Phản hồi
osoft.com/c.gif?">