網(wǎng)管寶典6.ppt

1、第六章 IDS與IPS,本章將較全面地介紹Windows Server 2003系統(tǒng)的活動目錄管理內(nèi)容。 本章重點如下： Active Directory的主要內(nèi)容 Active Directory訪問控制 域功能級別 Active Directory域重命名、域功能級別提升 從Windows 2000域升級到Windows Server 2003域 利用Active Directory域控制器的重命名、域控制器的刪除 創(chuàng)建和配置域信任 Active Directory目錄復制原理及配置 “Active Directory架構”管理單元的安裝,6.1 Active Directory基礎,6.

2、1.1 Active Directory目錄數(shù)據(jù)存儲 Active Directory目錄包含與Active Directory對象有關的信息。這些對象通常包括共享資源，如服務器、卷、打印機、網(wǎng)絡用戶和計算機賬戶。Active Directory目錄服務使用所有目錄信息的數(shù)據(jù)存儲，該數(shù)據(jù)存儲通常稱為目錄。 Active Directory使用了4種不同的目錄分區(qū)類型來存儲和復制不同類型的數(shù)據(jù)，它們是域、配置、架構和應用程序數(shù)據(jù)。 具體內(nèi)容參見書中介紹。,6.1.2 Active Directory的內(nèi)容,Active Directory的基本內(nèi)容包括如下幾個方面。 一套規(guī)則 包含目錄中每個對象

3、信息的全局編錄 查詢和索引機制 通過網(wǎng)絡分發(fā)目錄數(shù)據(jù)的復制服務 支持Active Directory客戶端軟件具體內(nèi)容參見書中介紹。,6.1.3 Active Directory安全性,Active Directory通過使用對象和用戶憑據(jù)的訪問控制提供了對用戶賬戶和組信息的保護存儲。由于Active Directory不僅存儲用戶憑據(jù)，還存儲訪問控制信息，所以登錄到網(wǎng)絡的用戶將同時獲得訪問系統(tǒng)資源的身份驗證和授權。 Windows Server 2003家族安全模型的主要包括“用戶身份驗證”和“訪問控制”兩個大的方面。 具體內(nèi)容參見書中介紹。,6.1.4 Active Directory中的

4、訪問控制,在Active Directory中，訪問控制是通過為對象設置不同的訪問級別或權限，在對象級別進行管理的。Active Directory 中的訪問控制定義了不同的用戶可如何使用Active Directory對象。在Active Directory對象上定義訪問控制權限的元素包括安全描述符、對象繼承和用戶身份驗證。安全描述符包含隨機訪問控制列表（DACL）和系統(tǒng)訪問控制列表（SACL）兩個方面。 具體內(nèi)容參見書中介紹。,6.1.5 Active Directory 客戶端,通過使用Active Directory客戶端，在Windows2000 Professional或Windo

5、wsXP Professional上提供的許多Active Directory功能都可用于運行Windows95、Windows98和WindowsNT4.0的計算機。這些功能包括： 站點識別 Active Directory服務接口 分布式文件系統(tǒng)（DFS） NTLM版本2身份驗證 Active Directory Windows通信簿（WAB）屬性頁 Active Directory搜索功能具體內(nèi)容參見書中介紹。,6.2 有關Active Directory的操作建議,6.2.1 “Active Directory用戶和計算機”的操作建議 在“Active Directory用戶和計算機”

6、安全性方面，建議不要使用管理憑據(jù)登錄到的計算機。如果在沒有管理憑據(jù)的情況下登錄到計算機，可用“運行方式”完成管理任務。在本地計算機上，建議將域用戶賬戶僅添加到Users組（而非Administrators組），以執(zhí)行例行任務，包括運行程序和訪問Internet站點。當需要在本地計算機或Active Directory中執(zhí)行管理任務時，請通過管理憑據(jù)使用運行方式啟動程序。 除了內(nèi)置的“運行方式”功能，runas命令也提供了相同的功能。它的語法格式如下：runas /profile | /noprofile /env /netonly /savedcreds /smartcard /showtru

7、stlevels /trustlevel /user:UserAccountName program 具體內(nèi)容參見書中介紹。,6.2.2 指派Active Directory對象權限的操作建議,指派Active Directory對象權限的一些操作建議如下： 如果可能，應避免更改Active Directory對象的默認權限 避免在對象或組織單位上授予“完全控制”權限 最小化應用于子對象的訪問控制項的數(shù)目 盡可能為多個對象指派相同的權限集 盡可能指派寬泛的訪問權利，而不是個別用戶權限 盡可能為組指派權限而不是用戶具體內(nèi)容參見書中介紹。,6.3 利用Active Directory發(fā)布資源,為了

8、幫助用戶找到他們需要的網(wǎng)絡資源，可以在Active Directory中公布有關這些資源的可搜索信息。可公布的資源包括用戶、計算機、打印機、共享文件夾和網(wǎng)絡服務。當創(chuàng)建對象時，在默認情況下會公布一些常用的目錄信息，如用戶或計算機名稱。其他目錄信息（如有關共享文件夾的信息）必須手動公布。 6.3.1 發(fā)布用戶和計算機 使用“Active Directory用戶和計算機”管理工具可將用戶和計算機賬戶添加到目錄中，并且在創(chuàng)建時自動發(fā)布到該目錄中。在默認情況下將發(fā)布常用的賬戶信息，如賬戶名稱。其他信息（如賬戶安全信息）只有管理員才能看到。具體參見本書第2章相關內(nèi)容。,6.3.2 發(fā)布共享打印機,可以使

9、用“Active Directory用戶和計算機”管理工具手動發(fā)布共享打印機信息。但這里又要區(qū)分兩種情況：如果打印機是連接在Windows 2000以后版本系統(tǒng)計算機上，則可直接在打印機的共享屬性中配置自動發(fā)布；而如果打印機是連接在非Windows 2000以前版本系統(tǒng)計算機上，則需要在“Active Directory用戶和計算機”管理工具中手動發(fā)布。 1手動發(fā)布打印機 方法是在 “Active Directory用戶和計算機”控制臺窗口左邊導航欄窗格中選擇要在其中發(fā)布打印機的容器對象文件夾，單擊鼠標右鍵，在彈出菜單中選擇“新建”下的“Printer”選項，打開如下左圖所示對話框。在文本框中

10、輸入想在目錄中發(fā)布的打印機的共享路徑和名稱即可。發(fā)布完成后，則相應容器中的對象就可以共享這臺打印機了。 2自動發(fā)布打印機與打印機的訪問控制配置,在Windows 2000以后版本系統(tǒng)中共享的打印機的信息，將在創(chuàng)建共享打印機時自動發(fā)布到目錄中，一般無須手動發(fā)布即所有Active Directory對象都可以使用。在Windows 2000以后版本系統(tǒng)中的打印機發(fā)布只需在如下右圖所示打印機屬性對話框中“共享”選項卡中選擇“列入目錄”復選框即可。 具體內(nèi)容參見書中介紹。,6.3.3 發(fā)布共享文件夾,默認情況下，Windows Server 2003家族、Windows XP和Windows 2000

11、 Server家族共享的文件夾的信息，將在創(chuàng)建共享文件夾時自動發(fā)布到目錄中，一般無須手動發(fā)布即所有Active Directory對象都可以使用。如果只想對部分對象使用，則需要手動發(fā)布。,手動發(fā)布共享的方法是在“Active Directory用戶和計算機”控制臺左邊導航欄窗格中選擇要在其中發(fā)布打印機的容器對象文件夾，單擊鼠標右鍵，在彈出菜單中選擇“新建”下的“共享文件夾”選項，打開如右圖所示對話框。在其中輸入相應共享文件夾的網(wǎng)絡路徑和名稱即可。 具體內(nèi)容參見書中介紹。,6.4 利用Active Directory管理域控制器,Active Directory在域控制器的管理方面則主要是創(chuàng)建額

12、外域控制器、降級域控制器、重命名域控制器等幾個方面。額外域控制器的創(chuàng)建在本系列叢書的網(wǎng)管員必讀網(wǎng)絡組建（第2版）一書中有全面的介紹，在此不再贅述。 6.4.1 Active Directory服務器角色 在域中作為服務器的計算機可以充當任何一種角色：成員服務器或域控制器。不在域中的服務器是獨立服務器。有關這三種服務器角色的具體說明參見書中介紹。,6.4.2 重命名域控制器,這是Windows Server 2003系統(tǒng)的新功能，在Windows 2000 Server家族服務器系統(tǒng)中，域控制器不可重命名的。 重命名域控制器的方法有兩種：一是直接在“系統(tǒng)屬性”對話框進行，另一種是通過netdom

13、工具進行。 1通過“系統(tǒng)屬性”對話框重命名域控制器 它是在如下面左圖所示對話框中單擊【更改】按鈕，然后打開如下面右圖所示對話框中輸入新的域控制器名稱進行的。,2通過Netdom工具重命名域控制器 要使用Netdom工具重命名域控制器，其域功能級別也必須設置為Windows Server2003。重命名的具體方法是先在命令提示符下輸入：netdom computername CurrentComputerName /add:NewComputerName，然后確保計算機賬戶更新和DNS注冊完成之后，輸入：netdom computername CurrentComputerName /makep

14、rimary:NewComputerName。在重新啟動計算機。在命令提示符下，輸入：netdom computername NewComputerName /remove:OldComputerName 以上具體步驟參見書中介紹。,6.4.3 刪除域控制器,刪除域控制器的方法有兩種：一是通過“配置您的服務器向?qū)А边M行，另一種是通過運行“Active Directory用戶和計算機”控制臺的dcpromo命令。 “配置您的服務器向?qū)А狈ㄊ窃谌缦伦髨D所示對話框中選擇“域控制器（Active Directory）”選項進行的。 dcpromo命令法是在命令行或者“運行”對話框中輸入dcpromo命

15、令，打開如下面右圖所示向?qū)нM行的。 具體方法參見書中介紹。,6.4.4 降級失敗后的Active Directory數(shù)據(jù)刪除,如果通過上節(jié)介紹的方法未能正確刪除“NTDS設置”對象而導致降級失敗，管理員還可以利用Ntdsutil.exe實用工具手動刪除“NTDS設置”對象，以實現(xiàn)降級目的。 具體步驟參見書中介紹。,6.5 利用Active Directory管理域,6.5.1 域樹和林 1域樹與林簡介 在DNS中，域樹用來索引域名的反向分層樹狀結構。域樹按用途和概念來說，與用于磁盤存儲的計算機文件歸檔系統(tǒng)使用的目錄樹類似。在Active Directory中，域樹是由一個或多個Windows

16、2000或Windows Server 2003域通過傳遞、雙向信任，共享公用架構、配置和全局分類連接起來。 林是共享公用架構、配置和全局分類，并用雙向可傳遞信任鏈接的一個或多個Windows 2000或Windows Server 2003域的集合。,2域樹與林的關系 林包括多個域樹，林中的域樹不形成鄰接的名稱空間。其關系如右圖所示。 以上具體內(nèi)容參見書中介紹。,6.5.2 域和林功能級別,域功能是具有一個或多個運行Windows Server 2003域控制器的Active Directory域的功能級別?？商嵘虻墓δ芗墑e，以便啟用將只應用于該域的Active Directory新增功能

17、。共有4個域功能級別：Windows 2000混合、Windows 2000本機、Windows Server 2003過渡及Windows Server 2003。默認域功能級別為Windows 2000混合。 林功能是具有一個或多個運行Windows Server 2003域控制器的Active Directory林的功能級別?？商嵘虻墓δ芗墑e，以便啟用將只應用于該域的Active Directory新增功能。共有3個林功能級別：Windows 2000、Windows Server 2003過渡及Windows Server 2003。默認林功能級別為Windows 2000。 有關域

18、與林功能級別對應的功能范圍和所支持的域控制，參見書中介紹。,6.5.3 提升域功能級別,域功能級別的提升可以采取兩種不同的方式。 如果是要對當前域功能級別進行提升，最簡單的方法是直接在“Active Directory用戶和計算機”管理單元控制臺的相應域上單擊鼠標右鍵，在彈出菜單中選擇【提升域功能級別】命令，打開如下頁左圖所示對話框。在“選擇一個可用的域功能級別”下拉列表選擇要提升到的域功能級別，然后單擊【提升】按鈕即可完成。 如果網(wǎng)絡中有多個域，管理員則可以通過“Active Directory域和信任關系”管理單元，對所有需要提升域功能級別的域進行集中提升。方法與在“Active Dire

19、ctory用戶和計算機”管理單元控制臺中基本一樣，只是操作的控制臺此處是“Active Directory域和信任關系”管理單元控制臺，如下頁右圖所示。,然后在相應域上單擊鼠標右鍵，在彈出菜單中選擇【提升域功能級別】命令，同樣會打開如下頁左圖所示對話框。 具體內(nèi)容參見書中介紹。,6.5.4 使用不同域控制器管理域,當域中有多個域控制器時，有時為了減輕當前域控制器的負擔，或者當前域控制器的某些功能不能正常工作，則可以選擇其他域控制器來管理域。 方法是在“Active Directory域和信任關系”控制臺樹中的“Active Directory用戶和計算機”選項上單擊鼠標右鍵，在彈出菜單中選擇【

20、連接到域控制器】命令，在打開的對話框中選擇一個當前可用的域控制器，或者在“輸入另一個域控制器的名稱”文本框中輸入域控制器的名稱，單擊【確定】按鈕后即可使用所選的域控制器來管理域了。 具體內(nèi)容參見書中介紹。,6.5.5 管理不同域,在林中的任何一臺信任域中的域控制器上，都可以通過“Active Directory用戶和計算機”管理工具來實現(xiàn)對林中其他信任域的管理。這樣在大型的網(wǎng)絡中，管理員就不必為了管理其他域而四處奔波，僅在一個域控制器上就可以實現(xiàn)林中所有信任域的管理了，這大大提高了林網(wǎng)絡的管理。方法是在“Active Directory域和信任關系”控制臺樹中的“Active Director

21、y用戶和計算機”選項上單擊鼠標右鍵，在彈出菜單中選擇【連接到域】命令，打開如下圖所示對話框。在“域”文本框中輸入要連接的域名即可(域名中包含該域的所有父域)。 具體示例內(nèi)容參見書中介紹。,6.5.6 重命名域,重命名域的功能也是Windows Server 2003系統(tǒng)的新功能，但它的整個過程非常復雜。域的重命名允許用戶： 更改林中任何域的域名系統(tǒng)（DNS）和NetBIOS名稱。 重新構建林中任何域（除了林根域）的位置。1重命名域前的準備 下面是一些必須進行的準備工作。 備份當前域中所有域控制器的系統(tǒng)狀態(tài)數(shù)據(jù)數(shù)據(jù) 提升域中所有域控制器和林的功能級別均為Windows Server 2003 在

22、現(xiàn)有域DNS服務器控制臺中新建一個新的DNS區(qū)域2正式重命名域 域重命名的命令工具是rendom.exe 具體內(nèi)容參見書中介紹。,6.5.7 從Windows NT 4.0域升級,1升級概述 Active Directory目錄服務與Windows NT系統(tǒng)相兼容，它支持混合操作，可支持運行Windows NT 4.0、Windows 2000和Windows Server 2003的域控制器。 Active Directory的升級可逐步進行，并在執(zhí)行時無中斷操作。升級Windows NT域時，必須首先將主域控制器升級。之后，可在任何時間升級成員服務器和工作站。 2從WindowsNT域升級

23、 升級主要步驟包括（1）規(guī)劃和實施名稱空間和DNS結構；（2）確定林的功能；升級主域控制器；升級其余的任何備份域控制器；完成域的升級；在舊的客戶端計算機上安裝Active Directory客戶端軟件。具體內(nèi)容參見書中介紹。,6.5.8 從Windows 2000域升級,1升級前的檢查 在將運行Windows 2000的域控制器升級至Windows Server 2003或者在第一個運行Windows Server 2003的域控制器上安裝Active Directory之前，請確保準備好服務器、林和域。此過程包括檢查服務器的升級兼容性、準備林和準備域，所有這些工作均可使用命令行工具完成。 要

24、檢查服務器的升級兼容性，并復制任何更新的安裝文件，請使用winnt32/ checkupgradeonly命令來運行winnt32命令。要準備林，請使用adprep/forestprep命令在架構操作主機上運行adprep命令。在架構主機上運行adprep命令將更新架構，這些更新將依次復制到林中的所有其他域控制器。根據(jù)單位的復制安排，復制這些更改所用的時間將有所不同。 2升級準備（略） 以上具體內(nèi)容參見書中介紹。,6.6 管理信任,6.6.1 域信任基礎 信任是域之間建立的關系，它可使一個域中的用戶由處在另一個域中的域控制器來進行驗證。Windows NT中的信任關系與Windows 2000

25、和Windows Server 2003操作系統(tǒng)中的信任關系不同。 在Windows NT 4.0及其以前版本中，信任僅限于兩個域之間，而且信任關系是單向和不可傳遞的。在下面左圖所示的例子中，指向受信任域的直箭頭顯示了非傳遞的單向信任。Windows 2000和Windows Server 2003林中的所有信任都是可傳遞的雙向信任，因此，信任關系中的兩個域都是受信任的。如下面右圖所示，如果域A信任域B，且域B信任域C，則域C中的用戶可以訪問域A中的資源。只有Domain Admins組的成員可以管理信任關系。 具體內(nèi)容參見書中介紹。,6.6.2 域信任類型,域和域之間的通信是通過信任發(fā)生的。

26、信任是為了使一個域中的用戶訪問另一個域中的資源而必須存在的身份驗證管道。使用“Active Directory安裝向?qū)А睍r，將會創(chuàng)建兩個默認信任。使用“新建信任向?qū)А被騈etdom命令行工具可創(chuàng)建另外4種類型的信任。即外部信任、領域信任、林信任和快捷信任。兩種默認信任類型的介紹參見書中表6-5。其他新建的信任的介紹參見書中表6-6。 具體內(nèi)容參見書中介紹。,6.6.3 驗證信任,在Windows Server 2003系統(tǒng)中，驗證域信任關系有“Windows界面”和“命令行”兩種方式。 1Windows界面方式 驗證方法是在“Active Directory域和信任關系”控制臺樹中，在要驗證的

27、信任的域上單擊鼠標右鍵，然后選擇【屬性】命令，在打開的如下左圖對話框列表框中選擇要信任的域，單擊【屬性】按鈕，打開如下右圖所示對話框。然后單擊【驗證】按鈕即可。,2命令行方式 信任驗證是通過如下命令進行的：netdom trust TrustingDomainName /d:TrustedDomainName /add具體內(nèi)容參見書中介紹。,6.6.4 刪除信任,刪除信任也有“Windows界面”和“命令行”兩種方式。 1Windows界面方式 刪除信任的方法是在 “Active Directory域和信任關系”控制臺要刪除信任的域上單擊鼠標右鍵，然后選擇【屬性】命令， 在打開的對話框中單擊選

28、擇“信任”選項卡 ,然后在“受此域信任的域（外向信任）”或“信任此域的域（內(nèi)向信任）”列表中選擇要刪除的信任，單擊【刪除】按鈕。 2命令行方式 命令行方式是先進入命令提示符狀態(tài)，然后輸入以下命令：netdom trust TrustingDomainName /d:TrustedDomainName /add /twoway進行刪除。 具體內(nèi)容參見書中介紹。,6.6.5 創(chuàng)建快捷信任,快捷信任是指在相同林內(nèi)兩個域之間手動創(chuàng)建的信任?？旖菪湃蔚哪康氖峭ㄟ^縮短信任路徑來優(yōu)化域內(nèi)的身份驗證進程?？旖菪湃问强蓚鬟f的，可以為單向或雙向。 快捷信任可有效地縮短在兩個不同樹中的域之間進行身份驗證所要經(jīng)過的路

29、徑。使用單向信任可建立在不同域樹中的兩個域之間的單向快捷信任，減少完成身份驗證請求所需的時間，但只能在一個方向上。 創(chuàng)建快捷信任的途徑也有“Windows界面”和“命令行”兩種。 1Windows界面 創(chuàng)建快捷信任的基本方法是在“Active Directory域和信任關系”控制臺樹中要為其建立快捷信任的域的域節(jié)點上單擊鼠標右鍵，然后選擇【屬性】命令，在打開的對話框中單擊選擇“信任”選項卡（如下左圖所示）。,單擊【新建信任】按鈕，打開如下右圖所示的“新建信任向?qū)А睂υ捒?。然后按向?qū)崾具M行操作即可。 2命令行方式 快捷信任的命令行創(chuàng)建方法是在命令提示符下輸入“netdom trust Trus

30、tingDomainName /d:TrustedDomainName /add”命令進行的。 以上具體方法參見書中介紹。,6.7 Active Directory復制管理,除了非常小的網(wǎng)絡之外，目錄數(shù)據(jù)必須駐留在網(wǎng)絡上的多個位置，以便于所有用戶均等地使用。通過復制，Active Directory目錄服務在多個域控制器上保留目錄數(shù)據(jù)的副本，從而確保所有用戶的目錄可用性和性能。Active Directory依靠站點概念來保持復制的效率，并依靠信息一致性檢查器（KCC）來自動確定網(wǎng)絡的最佳復制拓撲。 6.7.1 Active Directory目錄復制基本思路 Active Diretory目

31、錄復制配置的基本思路如下： 組織復制的數(shù)據(jù) 利用站點提高復制效率 確定復制拓撲 利用在Windows Server2003家族中的復制增強功能 具體內(nèi)容參見書中介紹。,6.7.2 站點概述,Active Directory中的站點代表網(wǎng)絡的物理結構，或稱拓撲。Active Directory使用拓撲信息（在目錄中存儲為站點和站點鏈接對象）來建立最有效的復制拓撲?？墒褂谩癆ctive Directory站點和服務”管理工具以定義站點和站點鏈接。站點是一組有效連接的子網(wǎng)。站點和域不同；站點代表網(wǎng)絡的物理結構，而域代表組織的邏輯結構。 1使用站點 站點有助于簡化Active Directory內(nèi)的多

32、種活動，其中包括：復制、身份驗證、啟用Active Directory的服務。 2利用子網(wǎng)定義站點 在Active Directory中，站點是通過高速網(wǎng)絡（如局域網(wǎng)（LAN）有效連接的一組計算機。同一站點內(nèi)的所有計算機通常放在同一建筑內(nèi)，或在同一校園網(wǎng)絡上。一個站點是由一個或多IP子網(wǎng)組成。,在Active Directory中，站點和子網(wǎng)是通過站點和子網(wǎng)的對象表示的，可通過“Active Directory站點和服務”創(chuàng)建這些對象。每個站點對象與一個或多個子網(wǎng)對象相關聯(lián)。 3將計算機指派給站點 根據(jù)其IP地址和子網(wǎng)掩碼，計算機將被指派給站點。對客戶端和成員服務器與對域控制器處理站點指派的方

33、式是不同的。對于客戶端，站點指派是在登錄期間由其IP地址和子網(wǎng)掩碼動態(tài)決定的。對于域控制器，站點成員身份是由Active Directory中其相關服務器對象的位置決定的。 4站點和域有關系 在Active Directory中，站點反映了網(wǎng)絡的物理結構，而域反映了單位的邏輯或管理結構。這種物理和邏輯結構的區(qū)分提供了下列好處： 可以單獨設計和維護網(wǎng)絡的邏輯和物理結構。 不必使域名稱空間建立在物理網(wǎng)絡基礎之上。 可以為相同站點中的多個域部署域控制器，也可以為多個站點中的相同域部署域控制器。 具體內(nèi)容參見書中介紹。,6.7.3 目錄復制原理,1轉(zhuǎn)移復制數(shù)據(jù) Active Directory使用IP

34、上的遠程過程調(diào)用（RPC）服務，在域控制器之間轉(zhuǎn)移復制數(shù)據(jù)。為了保證傳輸中的數(shù)據(jù)安全性，IP上的RPC復制同時使用身份驗證和數(shù)據(jù)加密。 在Active Directory中，站點間復制是指站點間目錄分區(qū)更新的復制。在存儲相同域或應用程序目錄分區(qū)的橋頭服務器之間會發(fā)生站間復制。站點內(nèi)復制是指兩個或多個域控制器之間發(fā)生的目錄分區(qū)更新的復制，這些域控制器存儲了相同的域或應用程序目錄分區(qū)，并駐留在同一個站點。2防止不必要的復制 當域控制器成功處理來自另一個域控制器的目錄更改之后，它不應將這些更改復制回發(fā)送這些更改的域控制器。另外，如果目標域控制器已經(jīng)從不同的復制伙伴接收到同樣的更新，那么該域控制器應避

35、免將這些更新發(fā)送給其他域控制器。為防止發(fā)生此類不必要的復制，Active Directory使用存儲在目錄中的更改跟蹤信息。,3解決沖突的更改 對于兩個不同的用戶，有可能對完全相同的對象屬性進行更改，并在任一更改復制完成之前使這些更改應用到相同域中的兩個不同域控制器上。在這種情況下，兩個更改都會作為新更改來復制，這樣就產(chǎn)生了沖突。為解決此沖突，接收這些沖突更改的域控制器檢查更改中包含的屬性數(shù)據(jù)，每一個上都有一個版本和時間戳。域控制器將接受版本最高的更改，并丟棄其他更改。如果版本相同，域控制器將接受具有更新的時間戳的更改。 4提高復制效率 正如在Windows Server 2003家族中所引入

36、的，鏈接值復制允許多值屬性的個別值單獨復制。在Windows 2000中，當對組的成員進行更改時（具有鏈接值的多值屬性的一個示例），必須復制整個組。使用鏈接值復制，只能復制已更改的組成員，不能復制整個組。要啟用鏈接值復制，必須將林功能級別提升為Windows Server 2003。,6.7.4 站點內(nèi)的復制,Active Directory處理站點內(nèi)的復制與處理站點間的復制所用方法不同。Active Directory信息一致性檢查器（KCC）使用雙向環(huán)式設計建立站內(nèi)復制拓撲。站內(nèi)復制可實現(xiàn)速度優(yōu)化，站點內(nèi)的目錄更新根據(jù)更改通知自動進行。與站點間的復制數(shù)據(jù)不同，在站點內(nèi)復制的目錄更新并不壓縮

37、。 1建立站內(nèi)復制拓撲 每個域控制器上的信息一致性檢查器（KCC）使用雙向環(huán)式設計自動建立站內(nèi)復制的最有效復制拓撲。在Active Directory復制中，復制拓撲是域控制器用來在站點內(nèi)，或（和）站點間的域控制器之間復制目錄更新的物理連接集合。在文件復制服務（FRS）中，復制拓撲是指副本集成員之間的相互連接。這些相互連接確定了當數(shù)據(jù)復制到所有副本集成員時所采用的路徑。 站點內(nèi)的這種雙向環(huán)式拓撲至少將為每個域控制器創(chuàng)建兩個連接，任意兩個域控制器之間不多于3個躍點。為了避免出現(xiàn)多于3個躍點的連接，此拓撲可以包括跨環(huán)的快捷連接，KCC定期更新復制拓撲。,2確定何時發(fā)生站內(nèi)復制 在站點內(nèi)進行的目錄更

38、新可能對本地客戶端產(chǎn)生最直接的影響，因此站內(nèi)復制可實現(xiàn)速度優(yōu)化。站點內(nèi)的復制根據(jù)更改通知而自動進行。當在某個域控制器上執(zhí)行目錄更新時，站內(nèi)復制就開始了。默認情況下，源域控制器等待15秒鐘，然后將更新通知發(fā)送給最近的復制伙伴。如果源域控制器有多個復制伙伴，在默認情況下將以3秒為間隔向每個伙伴相繼發(fā)出通知。當接收到更改通知后，伙伴域控制器將向源域控制器發(fā)送目錄更新請求，源域控制器以復制操作響應該請求。3秒鐘的通知間隔可避免來自復制伙伴的更新請求同時到達而使源域控制器應接不暇。 對于站點內(nèi)的某些目錄更新，不用15秒鐘的等待時間，復制就會立即發(fā)生。這種立即復制稱為緊急復制，應用于重要的目錄更新，包括賬

39、戶鎖定的指派及賬戶鎖定策略、域密碼策略或域控制器賬戶上密碼的更改。,6.7.5 站點間的復制,Active Directory處理站點之間的復制（或稱站點間復制）與處理站點內(nèi)的復制所用方法不同，因為站點之間的帶寬通常是有限的。Active Directory信息一致性檢查器（KCC）使用開銷最低的跨越樹設計建立站點間復制拓撲。站點間復制被優(yōu)化為最佳的帶寬效率，并且站點之間的目錄更新可根據(jù)可配置的日程安排自動進行。在站點之間復制的目錄更新被壓縮以節(jié)省帶寬。 1建立站點間復制拓撲 Active Directory使用（通過“Active Directory站點和服務”）提供的關于站點連接的信息，自

40、動建立最有效的站點間復制拓撲。該目錄將此信息存儲為站點鏈接對象，每個站點被指派一個域控制器以建立該拓撲。 2確定何時發(fā)生站點間復制 Active Directory通過最小化復制的頻率及允許安排站點復制鏈接的可用性，來節(jié)省站點之間的帶寬。在默認情況下，跨越每個站點鏈接的站點間復制每180分鐘（3小時）進行一次，可以調(diào)整此頻率以滿足的具體需要。,6.7.6 站點建立的適當考慮,通過適當建立站點，可以優(yōu)化復制效率并減少網(wǎng)絡的管理開銷。站點的最有效數(shù)量取決于網(wǎng)絡的物理設計。當最初創(chuàng)建新的林時，將創(chuàng)建一個默認的Active Directory站點（稱為Default-Site-First-Name）代

41、表整個網(wǎng)絡。包含單個站點的林或域是非常有效的，因為它是以高速帶寬完全連接的單位置網(wǎng)絡。如果的林或域包含多個物理位置，它們通過低速廣域網(wǎng)（WAN）連接進行通信，那么建立多個站點就能使更細致地控制復制行為，減少身份驗證滯后時間，并減少WAN上的網(wǎng)絡通信量。 以下是站點建立健全的適當考慮 帶寬為何重要 何時建立單個站點 何時建立多個站點具體內(nèi)容參見書中介紹。,6.8 目錄復制配置,6.8.1 創(chuàng)建站點 站點是一組有效連接的子網(wǎng)，可以在一個域內(nèi)，也可以跨越多個域?？墒褂谩癆ctive Directory站點和服務”管理工具定義站點和站點鏈接。,創(chuàng)建站點的方法是在“Active Directory站點和

42、服務”控制臺窗口“Sites”文件夾上單擊鼠標右鍵，在彈出菜單中選擇【新站點】命令，打開如右圖所示對話框。在“名稱”文本框中輸入新站點的名稱，然后在下面的列表框中選擇一個站點鏈接對象，再單擊【確定】按鈕即可 。 具體步驟參見書中介紹。,6.8.2 創(chuàng)建站點鏈接,創(chuàng)建站點鏈接的目的就是為了配置站點間復制的拓撲。在兩個或兩個以上站點之間創(chuàng)建站點鏈接，是一種影響復制配置的方式。通過創(chuàng)建站點鏈接，可為Active Directory提供了如下信息：哪些連接是可用的、哪一個是首選、可用帶寬是多少。,站點鏈接的創(chuàng)建方法是“Active Directory站點和服務”控制臺希望創(chuàng)建新站點鏈接的站間傳輸協(xié)議選項上單擊鼠標右鍵，在彈出菜單中選擇【新建站點鏈接】命令，打開如右圖所示對話框。在“名稱”文本框中輸入將提供給鏈接的名稱。在左邊“不在此站點鏈接中的站點”列表中選擇要添加的兩個或多個站點，然后單擊【添加】按鈕添加到右邊的“在此站點鏈接中的站點”列表。最后單擊【確定】按鈕完成新站點鏈接的創(chuàng)建。,6.8.3 創(chuàng)建子網(wǎng)并將其與站點關聯(lián),有了站點，也有了站點鏈接，但這個新建的站點并沒有實際的網(wǎng)絡，所以在此需要把這個新建的站點與某個子網(wǎng)關聯(lián)起來。首先就要創(chuàng)建