前幾篇我們講了活動目錄的基本原理和安裝配置，著重講了一些活動目錄的優(yōu)越性，但它并不是一個(gè)獨(dú)立的服務(wù)，它是在結(jié)合以前的一些協(xié)議和服務(wù)之后才得以成功實(shí)現(xiàn)，如DNS、LDAP協(xié)議與活動目錄的完美結(jié)合、站點(diǎn)概念的應(yīng)用等都是非常突出的明證。下面我們就分別介紹一下這幾個(gè)應(yīng)用技術(shù)。 一、DNS在活動目錄中的應(yīng)用 WIN2K作為一個(gè)嶄新的操作系統(tǒng)，它的最大特點(diǎn)就是引入了活動目錄，而活動目錄的一個(gè)最大的特點(diǎn)就是把DNS和活動目錄緊密結(jié)合在了一起。活動目錄使用域名服務(wù)DNS 作為它的定位服務(wù)，同時(shí)對標(biāo)準(zhǔn)的DNS作了擴(kuò)充。由于DNS 是使用最為廣泛的定位服務(wù)，所以不僅在Internet 上， 甚至在許多企業(yè)內(nèi)部網(wǎng)絡(luò)中也使用DNS 作為定位服務(wù)。在利用WINNT4.0 構(gòu)建的網(wǎng)絡(luò)系統(tǒng)中，對每一臺主機(jī)的唯一標(biāo)識信息是它的NetBIOS名，系統(tǒng)是利用WINS服務(wù)、信息廣播方式及Lmhost文件等多種模式將NetBIOS名解析為相應(yīng)IP地址，從而實(shí)現(xiàn)信息通訊。在內(nèi)部網(wǎng)絡(luò)系統(tǒng)中（也就是通常我們所說的局域網(wǎng)中），利用NetBIOS名實(shí)現(xiàn)信息通訊是非常方便、快捷的。但是在Internet上對一臺主機(jī)的唯一標(biāo)識信息是它的FQDN格式的域名（如www.163.com），在Internet是利用DNS標(biāo)準(zhǔn)來實(shí)現(xiàn)將域名解析為相應(yīng)IP地址。如果WINNT4.0 構(gòu)建的網(wǎng)絡(luò)系統(tǒng)同Internet連通，則NT網(wǎng)絡(luò)中的每一臺主機(jī)也都有相應(yīng)域名，其域名的解析是通過WINNT4.0 所支持的DNS 服務(wù)來實(shí)現(xiàn)的。在WINNT4.0 中配置和實(shí)現(xiàn)DNS完全由人為手工來規(guī)劃、設(shè)計(jì)和實(shí)現(xiàn)，由上述可見，在WINNT4.0 網(wǎng)絡(luò)系統(tǒng)中，每一臺主機(jī)既有NetBIOS名又由域名，而實(shí)際意義基本相同，這在一定程度上增加了網(wǎng)管人員的管理負(fù)擔(dān)，同時(shí)出使整個(gè)網(wǎng)絡(luò)管理顯得更加混亂。 在WIN2K的活動目錄中，最基本的單位是域（Domain），通過父域和子域的模式將域組織起來形成樹，父域和子域之間是完全雙向的信任關(guān)系，且信任關(guān)系傳遞，其組織結(jié)構(gòu)同DNS系統(tǒng)類似。在活動目錄中命名策略基本按照Internet標(biāo)準(zhǔn)來實(shí)現(xiàn)，遵照DNS和LDAP3.0兩種標(biāo)準(zhǔn)，活動目錄中的域和DNS系統(tǒng)中的域采用完全相同的命名方式，即活動目錄中的域名就是DNS域名。那么在活動目錄中依賴于DNS作為定位服務(wù)，實(shí)現(xiàn)將名字解析為IP地址。所以當(dāng)我們利用WIN2K 構(gòu)建活動目錄時(shí)，必須同時(shí)安裝配置相應(yīng)的DNS，無論用戶實(shí)現(xiàn)IP地址解析還是登錄驗(yàn)證，都利用DNS在活動目錄中定位服務(wù)器。活動目錄與DNS系統(tǒng)的這種緊密集成，意味著活動目錄同時(shí)非常適合于Internet和Intranet環(huán)境，這也是微軟創(chuàng)建適用于Internet的網(wǎng)絡(luò)操作系統(tǒng)的思想的一種體現(xiàn)。企業(yè)可以把活動目錄直接連接到Internet以簡化與客戶和合作伙伴之間的信息通訊。另外WIN2K中的DNS服務(wù)允許客戶使用DNS動態(tài)更新協(xié)議（RFC 2136）來動態(tài)更新資源記錄，通過縮短手工管理這些相同記錄的時(shí)間，提高DNS管理的性能。運(yùn)行WIN2K的計(jì)算機(jī)能動態(tài)地注冊他們的DNS名稱和IP地址。 由于活動目錄與DNS已經(jīng)集成在一起，因此在WIN2K中NetBIOS名已經(jīng)逐漸失去意義，與此相對應(yīng)的WINS服務(wù)也處于慢慢被淘汰的過程中。在WINNT中為了有效的發(fā)揮WINS的動態(tài)特性，我們通常將DNS與WINS 進(jìn)行集成，這樣能獲得更準(zhǔn)確的解析結(jié)果。但是，WINS并不是Internet標(biāo)準(zhǔn)協(xié)議，而DNS解決動態(tài)維護(hù)機(jī)器名與IP地址對照表的方案是動態(tài)DNS。動態(tài)DNS并不需要用到WINS，因?yàn)樗试S動態(tài)分配IP地址的客戶可以直接注冊到DNS服務(wù)器上，即時(shí)更新DNS對照表。 WIN2K支持動態(tài)DNS，運(yùn)行活動目錄服務(wù)的機(jī)器可動態(tài)地更新DNS表。WIN2K網(wǎng)絡(luò)中可以不再需要WINS服務(wù)，但是WIN2K仍然支持WINS，這是由于向后兼容的原因。那么如果網(wǎng)絡(luò)系統(tǒng)不再使用WINS，用戶登錄到網(wǎng)絡(luò)時(shí)，客戶機(jī)如何找到域控制器呢？這是因?yàn)閃IN2K在實(shí)現(xiàn)DNS時(shí)，對標(biāo)準(zhǔn)的DNS進(jìn)行了擴(kuò)展，在DNS表中增加了一種新的記錄類型SRV記錄，它指向活動目錄的域控制器。所以如果網(wǎng)絡(luò)系統(tǒng)已經(jīng)全面升級到WIN2K，那么就可以不再使用WINS 服務(wù) 了。而在WIN2K中，由于支持動態(tài)更新協(xié)議（RFC 2136），這種集成也變得沒有必要了。DNS這個(gè)由一系列解釋請求（RFCs）標(biāo)準(zhǔn)組成的在Internet上廣泛采用開放的協(xié)議，已經(jīng)成為網(wǎng)絡(luò)技術(shù)中的統(tǒng)一的標(biāo)準(zhǔn)化的規(guī)范。WIN2K的目標(biāo)是在Internet和Intranet環(huán)境中得到廣泛應(yīng)用，那么它的名稱解析模式就應(yīng)該完全遵守單一的DNS標(biāo)準(zhǔn)。 上面主要講了一下DNS在活動目錄中的應(yīng)用情況，但或許有人要問原來在WINNT4.0中沒有用活動目錄，只用DNS來解析域名，到底活動目錄與DNS之間有什么區(qū)別，它們之間又是如何結(jié)合的呢？下面就來具體講一下。 1、活動目錄與DNS的區(qū)別 (1)、存儲的對象不同 DNS和活動目錄的結(jié)合是Windows2000服務(wù)器的最主要特點(diǎn)，DNS域和活動目錄域?qū)Σ煌拿挚臻g使用同一樣的域名。但它們各自存儲不同的數(shù)據(jù)，因此管理不同的對象。DNS存儲它的區(qū)域和資源記錄，活動目錄存儲域和域中的對象。對DNS來說，域名是以DNS的層命名結(jié)構(gòu)為基礎(chǔ)的，是一種倒樹型結(jié)構(gòu)：一個(gè)根域，下面的域既是父域又是子域。每一個(gè)DNS域中的計(jì)算機(jī)可以通過完全合格域名（FQDN）進(jìn)行識別。每一個(gè)與因特網(wǎng)連接的WIN2K域都有一個(gè)DNS名字，并且每一個(gè)WIN2K域中的計(jì)算機(jī)也都有一個(gè)DNS名字。因此，域和計(jì)算機(jī)即代表活動目錄對象，又代表域節(jié)點(diǎn)。 (2)、解析所用的數(shù)據(jù)庫不同 DNS是一種名字解析服務(wù)，DNS是通過DNS服務(wù)器接受請求查詢DNS數(shù)據(jù)庫來把域或計(jì)算機(jī)解析為IP地址的。DNS客戶發(fā)送DNS名字查詢到它們設(shè)定的DNS服務(wù)器，DNS服務(wù)器接受請求后或通過本地DNS數(shù)據(jù)庫解析名字，或查詢因特網(wǎng)上的DNS數(shù)據(jù)庫，DNS不需要活動目錄就可以起作用。 活動目錄是一種目錄服務(wù)，活動目錄通過域控制器接受請求查詢活動目錄數(shù)據(jù)庫來把域?qū)ο竺纸馕鰹閷ο笥涗洝；顒幽夸浻脩羰峭ㄟ^LDAP協(xié)議（一種進(jìn)入目錄服務(wù)的協(xié)議）向活動目錄服務(wù)器發(fā)送請求，為了定位活動目錄數(shù)據(jù)庫，需要借助于DNS，也就是說，活動目錄把DNS作為定位服務(wù)，把活動目錄服務(wù)器解析為IP地址，活動目錄不能沒有DNS的幫助。DNS可以獨(dú)立于活動目錄，但是活動目錄必須有DNS的幫助才能工作。為了活動目錄能夠正常的工作，DNS服務(wù)器必須支持服務(wù)定位（SRV）資源記錄，資源記錄把服務(wù)名字映射為提供服務(wù)的服務(wù)器名字。活動目錄客戶和域控制器使用SRV資源記錄決定域控制器的IP地址。

除了要求WIN2K網(wǎng)絡(luò)的DNS服務(wù)器支持SRV資源記錄外，微軟還建議DNS服務(wù)器提供對DNS的動態(tài)升級。DNS動態(tài)升級定義了一個(gè)DNS服務(wù)器在一定值內(nèi)自動升級的協(xié)議，如果沒有此協(xié)議，管理員不得不手動配置域控制器產(chǎn)生的新的記錄。新的WIN2K的 DNS服務(wù)既支持SRV資源記錄，又支持動態(tài)升級。如果你選擇其它的非WIN2K為基礎(chǔ)的DNS服務(wù)器，那么你必須證實(shí)它支持SRV資源記錄。對于一個(gè)合法的支持SRV資源記錄但是不支持動態(tài)升級的DNS服務(wù)器，在你把WIN2K服務(wù)器升級為域控制器時(shí)，必須使它的資源記錄手動升級。這些可以用Netlogon.dns文件來完成，該文件是由活動目錄智能安裝向?qū)?chuàng)建的，存在于文件夾％systemroot%System32config中。

2．兩者的結(jié)合方法 既然DNS和活動目錄有如此大的區(qū)別，那么它們是怎樣結(jié)合在一起的呢？主要有以下幾種途徑： (1)、活動目錄域和DNS域使用一樣的層次結(jié)構(gòu)， 雖然功能和目的不一樣，一個(gè)組織的DNS名字空間和活動目錄空間有著一樣的結(jié)構(gòu)。 (2)、DNS區(qū)可以存儲在活動目錄中 如果你使用WIN2K DNS服務(wù)，那么主域可以存儲在活動目錄中為其它活動目錄域控制器提供復(fù)制服務(wù)，并且為DNS服務(wù)提供增強(qiáng)的安全措施。 (3)、活動目錄客戶使用DNS定位域控制器 對于一個(gè)特定的域，為了定位域控制器，活動目錄客戶向它們設(shè)定的DNS服務(wù)器請求資源記錄。當(dāng)一個(gè)公司使用WIN2K服務(wù)器版作為它們的網(wǎng)絡(luò)操作系統(tǒng)時(shí)，活動目錄被認(rèn)為是注冊的法定DNS名字根域下的一個(gè)或多個(gè)層次結(jié)構(gòu)的WIN2K域。 根據(jù)DNS的命名規(guī)則，DNS名字的被句點(diǎn)（.）分開的每一部分代表DNS樹型層次結(jié)構(gòu)的一個(gè)節(jié)點(diǎn)，并且代表WIN2K域樹型層次結(jié)構(gòu)的一個(gè)潛在的活動目錄域。DNS的根節(jié)點(diǎn)以空白表示（“”），活動目錄名字空間的根節(jié)點(diǎn)沒有父域，它提供活動目錄的LDAP進(jìn)入點(diǎn)。 二、站點(diǎn)（Site）在活動目錄中的 應(yīng)用 我們在利用WINNT4.0來規(guī)劃設(shè)計(jì)我們的企業(yè)網(wǎng)絡(luò)系統(tǒng)時(shí)，要根據(jù)企業(yè)構(gòu)建的具體情況設(shè)計(jì)相應(yīng)的域模型，如單域、多主域或單主域模型等。我們可以利用這些種類的域模型來規(guī)劃企業(yè)的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)對企業(yè)網(wǎng)絡(luò)的組織、管理和控制。當(dāng)我們?nèi)?shí)現(xiàn)這種網(wǎng)絡(luò)規(guī)劃時(shí)，常常要根據(jù)企業(yè)內(nèi)部的組織結(jié)構(gòu)形式，作出符合實(shí)際需求的規(guī)劃設(shè)計(jì)。如果是一個(gè)集團(tuán)性質(zhì)的大公司，我們常常需要把某一部門或一些工作關(guān)聯(lián)性較大的部門設(shè)計(jì)成一個(gè)域，以方便組織和管理。這就給我們設(shè)計(jì)人員提出了一個(gè)很棘手的問題，如果這樣一個(gè)域是由地理上分布在不同位置的計(jì)算機(jī)通過慢速連接構(gòu)成的，那么通過慢速連接的PDC和BDC的信息同步就會因占據(jù)大量網(wǎng)絡(luò)流量，影響網(wǎng)絡(luò)的整體性能，面對這樣一個(gè)問題，我們只能束手無策，根本沒有任何控制方法。 當(dāng)我接觸到WIN2K之后，活動目錄的強(qiáng)大功能和人性化設(shè)計(jì)思想，令我們今后的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)更加方便和靈活。而WIN2K活動目錄中Site概念的提出和實(shí)現(xiàn)，為管理和控制DC之間的信息同步提供強(qiáng)大工具，從而有效的解決了我們前面提出的那個(gè)曾令我們束手無策的難題。 所謂Site,是指在物理上有較好的線路連接的能實(shí)現(xiàn)較快通訊速率的計(jì)算機(jī)的集合，一般是指一個(gè)LAN。而Site之間一般是通過慢速連接來實(shí)現(xiàn)信息通訊。可見Site 是對網(wǎng)絡(luò)上計(jì)算機(jī)的實(shí)際的物理分布的一種客觀反映。有了Site這個(gè)概念之后，我們就可以將一個(gè)域中的計(jì)算機(jī)根據(jù)地理位置的分布分裝在幾個(gè)Site之中。在一個(gè)Site當(dāng)中，活動目錄利用復(fù)制組件和KCC形成一個(gè)DC之間復(fù)制同步的雙向的環(huán)形，每個(gè)DC都有兩個(gè)復(fù)制伙伴，它們之間形成完全的信息同步。當(dāng)一個(gè)DC中的目錄數(shù)據(jù)庫發(fā)生變化，它會等待一段時(shí)間間隔后向它的復(fù)制伙伴發(fā)送變更通知，復(fù)制伙伴接到變更通知后，會從發(fā)生變化的DC上拷貝目錄數(shù)據(jù)的變化信息。同樣復(fù)制伙伴還會把變更信息發(fā)送給它的復(fù)制伙伴，從而實(shí)現(xiàn)整個(gè)Site內(nèi)的DC的同步。由于Site內(nèi)采用快速而可靠的網(wǎng)絡(luò)連接，因此Site內(nèi)DC之間的復(fù)制數(shù)據(jù)是不壓縮的，這雖然增加了復(fù)制信息的要求的帶寬，但減少了DC的處理數(shù)據(jù)的負(fù)擔(dān)。一般情況下Site內(nèi)DC的信息同步采用RPC協(xié)議，使數(shù)據(jù)復(fù)制快速、統(tǒng)一，使DC之間保持了較高的數(shù)據(jù)一致性。 在Site之間一般是通過慢速連接，只有有限的可用帶寬并且數(shù)據(jù)傳輸不可靠。為了不影響慢速連接線路上的其它數(shù)據(jù)通訊，以及確保DC間目錄復(fù)制的可靠性，Site間的DC的復(fù)制不采用Site內(nèi)DC間復(fù)制的變更通知方式，而是采用復(fù)制調(diào)度的方式。在Site之間可以設(shè)定一個(gè)時(shí)間表和時(shí)間間隔，時(shí)間表決定在哪些時(shí)間允許復(fù)制發(fā)生，時(shí)間間隔指定在允許復(fù)制的時(shí)間內(nèi)DC多久檢查一次數(shù)據(jù)變更。這樣我們就可以將Site間DC復(fù)制同步的時(shí)間表設(shè)定在網(wǎng)絡(luò)流量較少的時(shí)候（比如午夜）。這時(shí)網(wǎng)絡(luò)不擁擠相對而言也較可靠。而且在Site間DC的目錄復(fù)制采用壓縮的方法，復(fù)制信息可以被壓縮至10%到15%，這樣可以有效地優(yōu)化網(wǎng)絡(luò)帶寬。 可見，我們通過合理地規(guī)劃活動目錄上的Site，可以有效地控制活動目錄中DC的同步，優(yōu)化網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)性能。由于在WIN2K的活動目錄中，DC之間的同步不但涉及一個(gè)域內(nèi)DC之間大量數(shù)據(jù)的同步，同時(shí)不同域的DC之間也有少量信息需要同步。當(dāng)我們用Site來實(shí)現(xiàn)活動目錄中DC之間的復(fù)制布局時(shí)可以借助于 Site link 和Site link Bridge兩種設(shè)置來幫助我們實(shí)現(xiàn)，從而形成一個(gè)更合理、更有效、更可靠的活動目錄中DC的復(fù)制布局，最大限度優(yōu)化我們的網(wǎng)絡(luò)系統(tǒng)。 三、LDAP在活動目錄中的應(yīng)用 LDAP的英文全稱是Lightweight Directory Access Protocol，簡稱為LDAP。它是基于X.500標(biāo)準(zhǔn)的，但是又比它簡單許多，并且可以根據(jù)需要定制的一種目錄服務(wù)協(xié)議。與X.500不同，LDAP支持TCP/IP，這對訪問Internet是必須的。LDAP的核心規(guī)范在RFC中都有定義，所有與LDAP相關(guān)的RFC都可以在LDAPman RFC網(wǎng)頁中找到。 目錄服務(wù)的工作模型是客戶機(jī)/服務(wù)器模型。1988年，CCITT組織首先創(chuàng)建了X.500標(biāo)準(zhǔn)全面描述了這一模型，包括目錄服務(wù)器的目錄結(jié)構(gòu)、命名方法、搜索機(jī)制以及用于客戶機(jī)與服務(wù)器通信的協(xié)議DAP（Directory Access Protocol）。此標(biāo)準(zhǔn)很快被ISO組織引用，編號為ISO 9594。但是，在實(shí)際應(yīng)用的過程中，X.500存在著不少障礙。由于DAP這種應(yīng)用層的協(xié)議是嚴(yán)格遵照復(fù)雜的ISO七層協(xié)議模型制定的，對相關(guān)層協(xié)議環(huán)境要求過多，在許多小系統(tǒng)上無法使用，TCP/IP協(xié)議體系的普及更使這種協(xié)議越來越不適應(yīng)需要。在這種情況下，DAP的簡化版棗LDAP應(yīng)運(yùn)而生。早期設(shè)計(jì)的LDAP服務(wù)器不是獨(dú)立的目錄服務(wù)器，主要扮演LDAP客戶機(jī)與X.500服務(wù)器間網(wǎng)關(guān)的角色，既是LDAP的服務(wù)器又是X.500的客戶機(jī)。如今的LDAP服務(wù)器可取代X.500服務(wù)器而獨(dú)立提供服務(wù)。 LDAP服務(wù)器的目錄組織以“條目”為基本單位，結(jié)構(gòu)類似樹形，每一個(gè)條目即是樹上的一個(gè)分枝節(jié)點(diǎn)或葉子。一個(gè)條目由多個(gè)“屬性”組成，每個(gè)屬性又由一個(gè)“類型”和一到多個(gè)“值”組成。LDAP協(xié)議直接基于面向連接的TCP協(xié)議實(shí)現(xiàn)，定義了LDAP客戶機(jī)和LDAP服務(wù)器間的通信過程和信息格式。LDAP服務(wù)器在服務(wù)端口（缺省端口號為389）監(jiān)聽，收到客戶機(jī)的請求后，建立連接，開始會話。活動目錄與DNS協(xié)議的結(jié)合的意義在于使內(nèi)部網(wǎng)與外部網(wǎng)命名方式保持一致，這樣便于整個(gè)網(wǎng)絡(luò)的管理。LDAP協(xié)議是用于查詢和檢索活動目錄信息的目錄訪問協(xié)議。由于它是基于工業(yè)標(biāo)準(zhǔn)的目錄服務(wù)協(xié)議，使用 LDAP 的程序可以發(fā)展成與其他目錄服務(wù)共享活動目錄信息，這些目錄服務(wù)同樣支持LDAP。活動目錄信息活 動目錄使用LDAP 目錄訪問協(xié)議作為它與其他應(yīng)用或者目錄服務(wù)交換信息的手段。LDAP 已經(jīng)成為 目錄服務(wù)的標(biāo)準(zhǔn)，它比X.500 DAP 協(xié)議更為簡單實(shí)用一些。Microsoft 已經(jīng)在Exchange Server 系統(tǒng)中提供了LDAP v2 和LDAP v3 的支持， 在WIN2K 的活動目錄服 務(wù)中將提供更為全面的支持。 值得一提的是LDAP 協(xié)議中采用的命名格式， 因?yàn)槲覀冃枰ㄟ^名字信息訪問目錄對象，所以名字格式對于用戶或者應(yīng)用程序非常重要。活動目錄支持大多數(shù)的名字格式類型。較為常用的格式有以下兩種：

（1） RFC822 命 名 法 這種命名法的標(biāo)準(zhǔn)格式為：object_name@domain_name，形式非常類似于電子郵件地址，比如[email protected]。活動目錄為所有的用戶提供了這種式的好名字，所以用戶可以直接使用該友好名字當(dāng)作電子郵件地址，也可以用作登錄系統(tǒng)時(shí)的賬戶名。 （2） LDAP URL 和X.500 名 字 任何一個(gè)支持LDAP 的客戶都可以利用LDAP名通過LDAP 協(xié)議訪問活動目錄，LDAP 名不像普通的Internet URL 名字那么直觀，但是LDAP 名往往隱藏在 應(yīng)用系統(tǒng)的內(nèi)部，最終用戶很少直接使用LDAP 名。LDAP 名使用X.500 命名規(guī) 范，也稱為屬性化命名法，包括活動目錄服務(wù)所在的服務(wù)器以及對象的屬性信息。