Active Directory基础之二
Active Directory的物理结构
=====================
跟逻辑结构相对照来看, 逻辑结构对管理需求和商业流程进行了建模, 而物理逻辑却通过确定何时何地进行数据复制以及何时何地产生登陆通信的方式优化了网络通信. 为了优化Active Directory对网络带宽的应用, 你必须理解它的物理结构. Active Directory的物理结构包括:
- 域控制器(domain controllers)
- 站点(sites)
Active Directory中的域控制器
====================
域控制器运行在安装了Active Directory的Microsoft® Windows® Server 2003 或者是 Windows 2000 Server上. 任何一个domain controller都会执行存储, 数据复制, 还有认证的功能. 一个域控制器只能支持一个域. 为了确保Active Directory的持续服务能力, 每一个域应该至少含有两个域控制器.
Active Directory中的站点
====================
站点(Sites)是良好连接的计算机组的一种定义. 当你建立站点的时候, 单个站点内的域控制器之间会频繁地发生通信. 这些通信会最小化site内的延迟, 这里的延迟指的是一个域控制器上进行的修改被复制到其他域控制器上所需要的时间. 你可以创建如下图所示的sites来优化不同地区内的域控制器之间的通信带宽.
一个Active Directory的Site是一个共享本地局域网连接的IP子网的集合, 机器的实际物理位置并不重要. 举例说明, 一个site可能被定义为包括子网192.168.10.X 和192.168.50.X, 但192.168.10.X内的机器可能在纽约市, 而192.168.50.X内的机器却在英国伦敦. 因为网络在这两个物理位置之间有足够好的带宽, 所以他们可以被配置在同一个Active Directory的site中. 域控制器的物理位置对于用户来说同样是透明的.
对于site的定义可以满足两个主要的特性:
- 它给予了管理员优化他们的网络内部的数据复制的流量, 通过高速连接的机器们可以被放置在相同的site里, 这样数据复制就可以更加频繁的发生; 而通过缓慢的广域网连接的机器就可以放在在另外的site里, 而这样的site的数据复制发生的时间是可以被控制的. 通过把本地子网分组定义为sites, 管理员可以控制在子网之间(也就是sites之间)的数据复制了.
- 它协助客户端来发现域控制器, 还会协助验证登陆凭据(logon credentials)的合法性. 因为客户端第一次会试图向它所在的site内的域控制器索求验证(根据它们的IP子网信息来确定域控), 这样做会加快登陆的时间.这还可以帮助我们控制其他的(比如说试图通过运行登录脚本等)经过慢速连接的登录功能.
域可以有一个或多个Active Directory的site组成. 站点还可以包括相同forest内的其他域的域控制器.
当你计划或者考虑创建新的站点的时候, 良好带宽是否存在, 可用带宽的代价, 还有预期的复制数据的量都是管理员需要考虑和检查的因素. 如同前面提到的, 站点可以被用来高效的控制数据复制的时间间隔, 用户合法性验证, 还有domain内部的数据复制的代价.
Active Directory的分区(partition)
=================
每一个域控制器都包含以下的Active Directory partition:
- domain partition(域分区)包含那个域中的所有的objects的复制品. 域分区只能被相同于内的其他域控制器复制.
- configuration partition(配置分区)包含forest的拓扑逻辑. 拓扑逻辑(topology)是一份forest内的所有域控制器和以及他们之间的连接的记录.
- schema partition(概要分区)包含forest内的轮廓概要. 每一个forest都有一份概要, 这样每个对象的类才会有一致性. 配置分区和概要分区会被复制给forest内的每一台域控制器.
注意, Windows Server 2003里还包含可选的application partition(应用程序分区), 其中包含被一个或多个应用程序使用的与安全无关的对象. 应用程序分区会被复制到forest内的指定的计算机上.