互聯(lián)網(wǎng)技術(shù)網(wǎng)絡(luò)相對(duì)明確名字[1]

通信工程師考試在線輔導(dǎo)招生

通信工程師專業(yè)培訓(xùn)面授班招生

閱讀2013年通信工程師考試大綱

了解2013年通信工程師考試指定教材

通信工程師報(bào)名及通信工程師成績(jī)查詢專題

2012年全國(guó)初級(jí)中級(jí)通信工程師考試成績(jī)查詢

相對(duì)明確名字:

對(duì)象的相對(duì)明確名字（RDN）是屬于對(duì)象本身屬性的名字的一部分。在前面的例子中用戶對(duì)象“JamesSmith”的RDN是CN=JamesSmith.父對(duì)象的RDN是CN=Users。

（1）命名上下文和分區(qū)

活動(dòng)目錄由一個(gè)或多個(gè)命名上下文或分區(qū)構(gòu)成。命名環(huán)境是目錄的任意臨近的子樹(shù)。命名上下文是復(fù)制的單位。

在活動(dòng)目錄中，一個(gè)單獨(dú)的服務(wù)器通常最少包括3個(gè)命名上下文：模式、配置（復(fù)制拓?fù)浜拖嚓P(guān)的元數(shù)據(jù)）以及一個(gè)或多個(gè)用戶命名上下文（在目錄中包括實(shí)際對(duì)象的子樹(shù)）。

　?。?）域

域是WindowsNT或Windows2000計(jì)算機(jī)網(wǎng)絡(luò)的獨(dú)立安全范圍。要了解域的更多信息，of參見(jiàn)Windows文檔?；顒?dòng)目錄由一個(gè)或多個(gè)域構(gòu)成。一個(gè)域可以跨越不止一個(gè)物理地點(diǎn)。每一個(gè)域都有它自己的安全策略及域與其他域間的安全關(guān)系。當(dāng)多個(gè)域通過(guò)信任關(guān)系連接起來(lái)，而且擁有共同的模式、配置和全局目錄時(shí)，您就擁有了一個(gè)域樹(shù)。多個(gè)域樹(shù)可以連接起來(lái)形成一個(gè)森林。

（3）域樹(shù)

域樹(shù)是由若干具有共同的模式、配置的域構(gòu)成的，形成了一個(gè)臨近的名字空間。在樹(shù)屮的域也是通過(guò)信任關(guān)系連接起來(lái)的?；顒?dòng)目錄是一個(gè)或更多樹(shù)的集合。

樹(shù)可以通過(guò)兩種途徑表示。一種表示是域之間的關(guān)系，另一種表示是域樹(shù)的名字空間。

　?。?）表示信任關(guān)系

可以在個(gè)別域及它們?nèi)绾蜗嗷バ湃蔚幕A(chǔ)上畫(huà)出一幅域樹(shù)的圖畫(huà)。

Windows2000域之間信任關(guān)系建立在Kerberos安全協(xié)議上。Kerberos信任是可傳遞的和分層次分層結(jié)構(gòu)的，如果域A信任域B,域B信任域C,域A也信任域C。

（5）表示名字空間

可以在名字空間的基礎(chǔ)上繪制一幅域樹(shù)的圖畫(huà)?？梢酝ㄟ^(guò)跟隨域樹(shù)的名字空間確定一個(gè)對(duì)象的顯著性名稱。這種表示對(duì)于把對(duì)象編為邏輯層次分層結(jié)構(gòu)是很有益的。分層結(jié)構(gòu)臨近名字空間的主要優(yōu)點(diǎn)在于從名字空間的深入査找可以查找整個(gè)分層結(jié)構(gòu)。表示一個(gè)域樹(shù)為名字空間如圖6-8所示。

（6）森林

森林是一個(gè)或多個(gè)不形成臨近名字空間樹(shù)的集合。森林中的樹(shù)具有相同的模式、配置和全局目錄。給定森林中的所有樹(shù)通過(guò)及物的分層結(jié)構(gòu)Kerberos信任關(guān)系相互信任。與樹(shù)不同，一個(gè)森林不需要明確名字。森林作為相關(guān)對(duì)象的集合而存在，而且Kerberos信任關(guān)系對(duì)所有樹(shù)成員來(lái)講都是己知的。森林中的樹(shù)為了Kerberos信任的目的形成了分層結(jié)構(gòu)；位于信任樹(shù)根部的樹(shù)的名稱可以用來(lái)確定一個(gè)給定的森林。森林中的多個(gè)樹(shù)如圖6-9所示。

（7）站點(diǎn)

站點(diǎn)是網(wǎng)絡(luò)中包括活動(dòng)目錄服務(wù)器的地點(diǎn)。站點(diǎn)定義為一個(gè)或多個(gè)良好連接的TCP/IP子網(wǎng)?！傲己眠B接的”意思是網(wǎng)絡(luò)連接高度可靠而且迅速（例如，LAN速度為10,000,000bit/s或更高）。定義站點(diǎn)為子網(wǎng)的集合使得管理員能夠快速、簡(jiǎn)單地配置活動(dòng)目錄使用權(quán)及復(fù)制拓?fù)?，從而有利于利用物理網(wǎng)絡(luò)。當(dāng)一個(gè)用戶登錄時(shí)，活動(dòng)目錄客戶端在用戶的同一站點(diǎn)查找活動(dòng)目錄服務(wù)器。由于從網(wǎng)絡(luò)上講在同一站點(diǎn)上的機(jī)器是靠近的，因此機(jī)器間的通信是可靠的、迅速的和有效的。在登錄時(shí)確定當(dāng)?shù)卣军c(diǎn)是容易實(shí)現(xiàn)的，因?yàn)橛脩舻墓ぷ髡疽呀?jīng)知道它在哪一個(gè)TCP/IP子網(wǎng)上，并且直接轉(zhuǎn)換為活動(dòng)目錄站點(diǎn)。

（8）數(shù)據(jù)模型

活動(dòng)目錄數(shù)據(jù)模型來(lái)自于X.500數(shù)據(jù)模型。目錄包括以屬性描述的表征各類事物的對(duì)象?？梢源嫒肽夸浀膶?duì)象的范圍在模式中定義。對(duì)于每一個(gè)對(duì)象種類，模式定義了該種類一定要具有什么屬性，可以具有什么附加屬性，以及什么對(duì)象種類可以是現(xiàn)有對(duì)象種類的父本。

　?。?）模式

活動(dòng)目錄模式作為存儲(chǔ)于目錄中的對(duì)象種類情況的集合而應(yīng)用。這與很多具有模式的目錄不同，在它們的情況下。模式存儲(chǔ)為文本文件以在啟動(dòng)時(shí)閱讀。在目錄中存儲(chǔ)模式有很多優(yōu)點(diǎn)。例如，用戶應(yīng)用程序可以閱讀模式來(lái)確定什么對(duì)象和性質(zhì)是可以得到的。

活動(dòng)目錄模式可以動(dòng)態(tài)升級(jí)。也就是說(shuō)，一個(gè)應(yīng)用程序可以擴(kuò)展模式的新屬性和種類，而且可以立刻使用擴(kuò)展的部分。模式的升級(jí)通過(guò)建立或改變目錄中的模式對(duì)象實(shí)現(xiàn)。與活動(dòng)目錄中的所有對(duì)象相同，模式對(duì)象受訪問(wèn)控制列表（ACL）所保護(hù)，所以只有授權(quán)的用戶可以改變模式。

（10）安全模型

目錄是Windows2000TrustedComputingBase的一部分，而且是Windows2000安全基本構(gòu)造的完全參加者。ACLs保護(hù)了活動(dòng)目錄中的所有對(duì)象。Windows2000訪問(wèn)驗(yàn)證歷程采用ACL來(lái)確認(rèn)任何對(duì)活動(dòng)目錄中對(duì)象或?qū)傩栽L問(wèn)的嘗試。

（11）管理模型

授權(quán)的用戶在活動(dòng)目錄中進(jìn)行管理。一個(gè)經(jīng)更高權(quán)限授權(quán)的用戶可以對(duì)目錄中某些確定子樹(shù)中指定的對(duì)象及對(duì)象種類進(jìn)行指定的操作。這稱為委托管理。委托管理可以完全地控制誰(shuí)能夠做什么，而且可以確立授權(quán)的委托而不必授予提高的特權(quán)。

目錄系統(tǒng)代理（DSA）是管理目錄物理存儲(chǔ)的過(guò)程?？蛻舨捎靡环N支持的界面連接DSA,進(jìn)而査找、閱讀及寫(xiě)入目錄對(duì)象和它們的屬性。DSA使得客戶與物理存儲(chǔ)格式的目錄數(shù)據(jù)孤立。

（12）DNS集成

活動(dòng)目錄與DomainNameSystem（DNS）緊密地集成在一起。DNS是分布式名字空間，用于Internet上來(lái)根據(jù)計(jì)算機(jī)和服務(wù)名稱來(lái)確定TCP/IP地址。大多數(shù)擁有Intranet的公司把DNS作為名稱解析服務(wù)來(lái)應(yīng)用?；顒?dòng)目錄把DNS作為站點(diǎn)服務(wù)來(lái)應(yīng)用。Windows2000域名就是DNS的域名。例如，“Microsofl.com”是一個(gè)有效的DNS域名，也可以是一個(gè)Windows2000的域名。緊密的DNS集成表明活動(dòng)目錄自然地適用于Internet和Intranet環(huán)境。用戶可以快速、簡(jiǎn)單地找到服務(wù)器。公司可以直接將活動(dòng)目錄服務(wù)器連接于Imernet.從而為安全通信及與顧客、合作伙伴之間的電子商務(wù)提供便利。

（13）定位服務(wù)

活動(dòng)目錄服務(wù)器公布它們的地址，這樣客戶在只知道域名的情況下也可以找到它們。活動(dòng)目錄服務(wù)器通過(guò)DNS中的ServiceResourceRecords（SRVRR）來(lái)公布。SRVRR是DNS的一個(gè)記錄，用來(lái)描述一種服務(wù)及提供這種服務(wù)的服務(wù)器的地址。SRVRR的名稱是這種形式：

<service>.<protocol>.<domain>ldap.tcp.<domain>

活動(dòng)目錄服務(wù)器通過(guò)TCP提供LDAP服務(wù)，這樣公布的名稱是這種形式：

ldap.tcp.<domain>這樣，為了Microsoft.com的SRVRR是ldap.tcp.microsofl.com?SRVRR中的附加信息指出了服務(wù)器的優(yōu)先權(quán)及重要度，使得客戶可以選擇他們所需要的服務(wù)器。

在活動(dòng)目錄服務(wù)器安裝好時(shí)，它通過(guò)動(dòng)態(tài)DNS（下面介紹）公布它自己。由于TCP/IP地址隨時(shí)間變化而改變，所以服務(wù)器周期性地檢査它們的注冊(cè)來(lái)保證地址的正確性，并在需要的情況下將它們升級(jí)。

（14）動(dòng)態(tài)DNS

動(dòng)態(tài)DNS是對(duì)DNS標(biāo)準(zhǔn)的一個(gè)增加。動(dòng)態(tài)DNS定義了一個(gè)協(xié)議，來(lái)滿足采用新的或變化了的數(shù)值動(dòng)態(tài)升級(jí)DNS服務(wù)器的需要。在擁有動(dòng)態(tài)DNS之前，管理員需要人工配置DNS服務(wù)器的存儲(chǔ)記錄。

[1]  [2]  [3]  [4]