• 指DNS的AD集成区域
10-5活动目录中的DNS角色介绍
• 名字解析（正向，反向）
– DNS将计算机名称转化为IP地址 – 计算机使用DNS在网络中互相查找
• Windows 2003域的命名协定
– 2003AD使用DNS的域名命名标准 – DNS域和AD域共享一公共的分层命名结构
• 如
Computer2
FQDN = Windows 2003 计算机名 = Computer1
• DNS主机名与AD中计算机帐号是相同的
– 计算机名可认为是特殊的域名
• FQDN：完全有效域名
– 计算机的全称域名 – 计算机的全名
10-7活动目录中DNS名字解析
DNS域名空间 Internet
―.‖
com.
（DNS根域）
AD域名空间
microsoft
training

sales
training.
computer1
= DNS节点(域/计算机)
sales. = AD域
• 要点：
– 使域和计算机成为
对象 属性 打印机名 打印机位置 Users Don Hall Suzan Fine 活动目录 Printers Printer1 Printer2 Printer3 属性 名 姓 登录名 属性值
打印机
用户
• 对象：网络资源
• 属性：关于对象的信息
目录服务使用用户可以通过查找对象的一个或多 个具体属性来确定对象的位置
DNS主机名称和Windows 2003计算机名称
DNS
―.‖
com. microsoft sales training computer1

DNS的主机记录和AD计算机对象对应 同一物理计算机

DNS允许计算机查找AD中的DC
活动目录
Builtin Computers Computer1
10-2活动目录的逻辑结构(logic
Structure)
• 具有伸缩性，包括下列组件：
– 域Domain：核心单元 – 组织单元OU – 域目录树与目录树Tree\Forest – 全局目录GC
逻辑结构:组织网络资源
• 活动目录使你能够通过名字（属性）找到资源，而 不是物理位置,这样使网络的物理结构对用户透明 域Domains 组织单元OU 树Tree和林Forest
• 查找活动目录的物理成分
– DNS通过提供的服务来验证域服务器 – 计算机使用DNS来查找DC和GC
10-6 DNS和活动目录
• DNS域和AD域使用相同的
– 分层命名结构和域名 – 但实际上域名空间是不同的
• 好处：
– 使2003网络计算机能够利用DNS
• 查找提供AD相关服务的DC和计算机
DNS和活动目录的域名空间
• DNS的节点 • AD的对象 • 并相对应
• 活动目录和Internet
– 如DNS的.com服务器中包含 – 使别的域利用Internet来查找 – 反之，你也可通过—.com来查找 Internet上的域名服务器的资源记录
MCSE:Windows2003
周建波
Email:zjb58@
10
Windows 2003中的 活动目录介绍
10-1活动目录介绍
• 活动目录存储整个网络上资源的信 息
– 便于用户查找、管理和使用这些资源
– 小型网络：UNC(通一命名标准）路 径 – 大型网络：难以确定资源位置、名称 – 所以需要目录服务快速定位资源
组织单元OU（Organizational Units）
网络管理模式 组织结构
Sales Users
Vancouver Sales
Computers
Repair
• 利用OU可以把对象组织到一个逻辑结构中，使 其最好地适应你的组织需求 • 可以把管理控制权委派给OU内的对象，通过指 定权限到一个或几个用户和组
建立一个GC服务器
AD Sites and Services Console Window Help
Active View
Tree Name Type New Active Directory Connection Active Directory Sites and Services Sites New Default-First-Site-Name All Tasks Servers ATLANTA LONDON Inter-Site Transports Subnets New Window from Here Delete Refresh 属性 Help Description: Domain Controller Query Policy: Default Query Policy Description
对象属性
Domain
Domain
Domain
Domain
全局目录
查询 利用通用组成员身 份的信息登录网络
GC服务器 Domain Domain
GC和登录过程
GC服务器
•User登录
•域
•域
•域
•域
•域
•GC提供 • 为用户帐号提供通用 组权利信息 • 当用户登录用一个用 户主要名称UPN（如： www@）时， 提供域信息
_gc._tcp.DnsForestName.
_gc._tcp.站点名._sites. Dns林名. _kerberos._tcp. DNS域名. _kerberos._tcp.站点名. _sites.DNS域名.

运行Windows 2003的域控制器额外注册SRV记录 _msdcs 子 域，格式如下:
• 定义复制和登录发生的时间和地点
• 域控制器DC
– 存储AD的副本，管理信息的变化和复制 – 一至多个，建议最少两个容错
10-4概述
• DNS和AD集成—2003关键特性
– 使用相同的分层命名结构 – 域、计算机成为AD的对象/DNS资源记录 – 客户机可通过查询DNS找到DC（或其它对 象） – 使DNS主区域结构存储于AD，并随AD复制
用户
打印机
轻型目录访问协议（LDAP）
• 为活动目录中的对象标识LDAP命名路径 • 标识名DN（完整路径）
– 如：CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft
• 相对标识名RDN
– 如： CN=Suzan Fine • DC 域组件 • OU 组织单元 • CN 普通名字
组织结构

通过组织OU，可建立一个层次结构
ou
ou
ou
ou
ou
ou
ou
ou
深层次/浅层次的结构
ou
ou
目录树和目录林
双向可传递信任关系

目录林
目录树

china.
japan.
Tree
china. japan.
查找标准
允许计算机在该域中查找LDAP服务器，所有 DC配置这个记录 允许计算机查找该域控制器和该站点，所有 DC配置这个记录 允许计算机DNS域名查找该林全局目录服务 器，仅GC且为2003DC配置这个记录 允许计算机查找该林该站点的的全局目录服 务器，仅GC且为2003DC配置这个记录 允许计算机在该域中查找KDC服务器，所有 K5DC配置这个记录 允许计算机查找该域该站点的KDC服务器， 所有K5DC配置这个记录
单向不可传递信任关系
域 Windows NT 4.0
什么是目录树
目录树根 域
父域
父域
contoso.msft
子域
子域
sales.contoso.msft 连续的名字空间，
（域后缀延续 ）
sales.contoso.msft
新域
什么是目录林?
一个目录林是一个或多个目录树 在目录林中的目录树不共同一个连 续的名字空间
NTDS Settings Properties
General Object Security
NTDS Settings
启用或者禁用 全局编录GC
全局编录
10-3活动目录的物理结构（Physical Structure）
– 与逻辑结构相互独立，之间没有必然的联系 – 一般用来配置管理网络交流 – DC和站点组成活动目录的物理结构
Protocol
Name Ttl
Class
Priority Weight
Port
Target
_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft.
由域控制器配置的服务记录
SRV记录
ldap._tcp.DNS域名. _ldap._tcp.站点名._sites.dc. _msdcs.DNS域名.
7
8
客户发送请求到域 控制器 运行在DC上的 LDAP服务器
10-8活动目录的集成区域
在活动目录中存储主要区域 DNS区域复制随AD复制进行
AD集成区域
区域 数据库 DNS服务器 活动目录
一个建立的域
目录林
目录树根域
目录林根域 全局目录
配置和架构
nwtraders.msft
目录树
企业Enterprise Admins contoso.msft sales.contoso.msft Schema Admins
目录树
marketing.nwtraders.msft
全局目录服务器（GC服务器）
活动目录架构（Schema）
对象类 例如： • • • • 活动目录架构 动态获得 动态更新 通过DACLs保护对象和属性 属性 例如：