Domain X
Domain Y
Schema Configuration Domain
Directory Partition 也称为命名上下文 Naming Context or NC
GC DC
Domain Z
用户 1 被改变的信息送到DC 1 DC 2 DC DC 2 DC将变化复制到其他 DC 3 其他DC将变化复制到更 多地DC DC
Site C
多主机复制
所有域控制器参预复制，对等的 任何变化将从一台域控制器复制到所有域控制器 任何变化可从不同的域控制器上产生
Sites 允许预定的复制
Schedule Interval
NTDS.DIT
Schema
Schema
Forest
Configuration Domain
Configuration
Reserved space for EDB.LOG Each file is 10MB
Partition = Naming Context 森林范围内vs. 域范围内 Partitions 域范围
指定域的信息 每个域的DC上包含本域的所有信息
森林范围
存贮2个Partitions – Schema和Configuration 森林中每台DC上都具有完全信息 除了具有Schema Master角色的DC外，Schema在其他所有DC上是只读的 Global Catalog
计算机 用户属性可能包含:
accountExpires department distinguishedName middleName
属性 实例
属性列表
accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName …
一. AD的基本原理和架构
活动目录的基本概念 活动目录的结构及复制 管理操作主机 DNS 与活动目录
二. 日常管理操作
FRS、组策略 管理用户和组 日常管理行为和常用管理工具
三. AD的备份和恢复
备份活动目录 恢复活动目录 恢复操作角色 (Operation Master)
四. 常见故障恢复
活动目录相关的一些常见错误处理 常用排错工具
5
活动目录的基本概念 活动目录的结构 管理操作主机 DNS 与活动目录 活动目录架构最佳实践的讨论
什么是活动目录 活动目录的对象 活动目录的架构（Schema） 活动目录与LDAP
Server1
用户
活动目录服务基于 X.500 数据库结构，用 于在一个层次结构中组 织网络资源
Printer1
所有对象的 属性子集
域
域 域 域 域 域
全局编录
查询
用户登陆时的组 成员
Global Catalog Server
域控制器 站点 活动目录的复制
域控制器:

参与活动目录复制 在域中作为单操作主机角色
复制
域控制器
域控制器
域
= 活动目录数据库的可写拷贝
Seattle Chicago Los Angeles New York
IP 子网
Sites:

Site
IP 子网
优化复制通信量

是用户可以通过可信赖的、高速的连接登录域 控制器
网络速度 应用服务器要求
Exchange
32
Bridgehead Server Site Links Connections
(Schedule & Cost)
Site B
Site A
Site -一个或多个子网 -一个或多个域 Site Link Bridges ISTG
LDAP提供通过制定唯一名字路径来访问 活动目录的每一个对象 LDAP 名字路径包括:
LDAP例子
LDAP://DC=Microsoft,DC=COM
活动目录逻辑结构 活动目录物理结构支持AD Schema 数据存贮
对象类 实例
活动目录 Schema : 随时可用的 可动态更新的 被 DACLs 保护
Inter-Site 复制 RPC or SMTP* Spanning Tree Request/Pull Full
RPC over IP Ring Notify/Pull None
SMTP over IP is only supported for DC of different domains (i.e. Schema, Configuration and GC replication)
Domain X
Full Replica
Domain
Domain Y Domain Z
Domain Controller
Partial Replica
Global Catalog Server
Replica
Schema Configuration Domain Schema
DC
Configuration
用户
打印机
Data Store Components
NTDS.DIT
Active Directory存贮文件 维护3 张表: Data Table, Link Table, Security Descriptor Table
EDB.LOG
Current Transaction Log All Transactions created here before being committed to NTDS.DIT
LDAP
访问目录的协议 提供目录应用开发的API
信息以树状层次结构组织 Schema提供目录的模板 对象由classes和attributes定义
Classes是对象的类别 are categories of objects Attributes是对象的特征
Distinguished name
cn=Kim Akers,ou=department,dc=corp,dc=contoso,dc=com
Application Partitions
应用程序所需的相应数据 Windows Server 2003存贮DNS 数据
域 组织单元 树和森林 全局编录
Domains Organizational Units Trees and Forests Global Catalog
域是一个管理边界
域管理员只能在本域中执行管理操作，除非他 被明确地赋予其他域管理员身份
Vancouver Sales
Computers
用OU来个对象进行分组 管理委派到OU
Repair
用于结构化活动目录
公司的组织结构 公司的管理构架
Paris
Sales Domain
Repair
User1
User2
User3
User4
基于部门 OUs 基于项目 OUs 基于业务功能 OUs 基于管理 OUs 基于对象 OUs 地理位置 OUs
讨论
企业组织架构 IT管理架构 安全策略原则 环境状况 物理位置
演示1：
升级域控制器
森林范围内：
Schema Master Domain Naming Master
域范围内：
PDC Emulator RID Master Infrastructure Master



只有作为操作主机的域控制器才能对活动目录信息作相应改变 在操作主机上作的改变将会复制到其他的域控制器 任何域控制器可以作为操作主机 操作主机角色可以转移
包含用户、组、打印机、计算机、联系人 可应用组策略 嵌套 灵活 – 容易建立、删除、改变
双向传递性信任
contoso.msft
森林 树
nwtraders.msft asia. contoso.msft au. contoso.msft
双向传递性信任
树
asia. nwtraders.msft au. nwtraders.msft
一个域是一个复制单元
域控制器包含域中信息的完整集合，并且参与 域信息的复制
复制
Windows 2000 /2003/2008 Domain
能力 复制单元
NT 4.0 对象
Windows 2000/2003 属性
大小
命名 管理委派
40,000 对象
NetBIOS 建立新域
1,000,000+ 对象 DNS 在域内建立管理委派 到OU
单主机操作
复制
操作主机
森林范围你的角色：
域范围内角色：
Schema master Domain naming master

RID master PDC emulator Infrastructure master

森林中的第一台域控制器
控制所有的Schema更新 复制Schema更新到森林中所有的域控制器 只有在 Schema Admin 组中的成员 才能更该Schema
EDB****.LOG
Logs that are complete and committed to NTDS.DIT
EDB.CHK
Checkpoint file (JET) used to identify committed vs. uncommitted transactions
RES1.LOG and RES2.LOG
对象 属性
打印机名称 打印机位置
活动目录
打印机 Printer1 Printer2 Printer3 属性 姓 名 登录名 用户 Don Hall Suzan Fine 属性值