互联网技术网络相对明确名字[1]

通信工程师考试在线辅导招生

通信工程师专业培训面授班招生

阅读2013年通信工程师考试大纲

了解2013年通信工程师考试指定教材

通信工程师报名及通信工程师成绩查询专题

2012年全国初级中级通信工程师考试成绩查询

相对明确名字:

对象的相对明确名字（RDN）是属于对象本身属性的名字的一部分。在前面的例子中用户对象“JamesSmith”的RDN是CN=JamesSmith.父对象的RDN是CN=Users。

（1）命名上下文和分区

活动目录由一个或多个命名上下文或分区构成。命名环境是目录的任意临近的子树。命名上下文是复制的单位。

在活动目录中，一个单独的服务器通常最少包括3个命名上下文：模式、配置（复制拓扑和相关的元数据）以及一个或多个用户命名上下文（在目录中包括实际对象的子树）。

　　（2）域

域是WindowsNT或Windows2000计算机网络的独立安全范围。要了解域的更多信息，of参见Windows文档。活动目录由一个或多个域构成。一个域可以跨越不止一个物理地点。每一个域都有它自己的安全策略及域与其他域间的安全关系。当多个域通过信任关系连接起来，而且拥有共同的模式、配置和全局目录时，您就拥有了一个域树。多个域树可以连接起来形成一个森林。

（3）域树

域树是由若干具有共同的模式、配置的域构成的，形成了一个临近的名字空间。在树屮的域也是通过信任关系连接起来的。活动目录是一个或更多树的集合。

树可以通过两种途径表示。一种表示是域之间的关系，另一种表示是域树的名字空间。

　　（4）表示信任关系

可以在个别域及它们如何相互信任的基础上画出一幅域树的图画。

Windows2000域之间信任关系建立在Kerberos安全协议上。Kerberos信任是可传递的和分层次分层结构的，如果域A信任域B,域B信任域C,域A也信任域C。

（5）表示名字空间

可以在名字空间的基础上绘制一幅域树的图画。可以通过跟随域树的名字空间确定一个对象的显着性名称。这种表示对于把对象编为逻辑层次分层结构是很有益的。分层结构临近名字空间的主要优点在于从名字空间的深入査找可以查找整个分层结构。表示一个域树为名字空间如图6-8所示。

（6）森林

森林是一个或多个不形成临近名字空间树的集合。森林中的树具有相同的模式、配置和全局目录。给定森林中的所有树通过及物的分层结构Kerberos信任关系相互信任。与树不同，一个森林不需要明确名字。森林作为相关对象的集合而存在，而且Kerberos信任关系对所有树成员来讲都是己知的。森林中的树为了Kerberos信任的目的形成了分层结构；位于信任树根部的树的名称可以用来确定一个给定的森林。森林中的多个树如图6-9所示。

（7）站点

站点是网络中包括活动目录服务器的地点。站点定义为一个或多个良好连接的TCP/IP子网。“良好连接的”意思是网络连接高度可靠而且迅速（例如，LAN速度为10,000,000bit/s或更高）。定义站点为子网的集合使得管理员能够快速、简单地配置活动目录使用权及复制拓扑，从而有利于利用物理网络。当一个用户登录时，活动目录客户端在用户的同一站点查找活动目录服务器。由于从网络上讲在同一站点上的机器是靠近的，因此机器间的通信是可靠的、迅速的和有效的。在登录时确定当地站点是容易实现的，因为用户的工作站已经知道它在哪一个TCP/IP子网上，并且直接转换为活动目录站点。

（8）数据模型

活动目录数据模型来自于X.500数据模型。目录包括以属性描述的表征各类事物的对象。可以存入目录的对象的范围在模式中定义。对于每一个对象种类，模式定义了该种类一定要具有什么属性，可以具有什么附加属性，以及什么对象种类可以是现有对象种类的父本。

　　（9）模式

活动目录模式作为存储于目录中的对象种类情况的集合而应用。这与很多具有模式的目录不同，在它们的情况下。模式存储为文本文件以在启动时阅读。在目录中存储模式有很多优点。例如，用户应用程序可以阅读模式来确定什么对象和性质是可以得到的。

活动目录模式可以动态升级。也就是说，一个应用程序可以扩展模式的新属性和种类，而且可以立刻使用扩展的部分。模式的升级通过建立或改变目录中的模式对象实现。与活动目录中的所有对象相同，模式对象受访问控制列表（ACL）所保护，所以只有授权的用户可以改变模式。

（10）安全模型

目录是Windows2000TrustedComputingBase的一部分，而且是Windows2000安全基本构造的完全参加者。ACLs保护了活动目录中的所有对象。Windows2000访问验证历程采用ACL来确认任何对活动目录中对象或属性访问的尝试。

（11）管理模型

授权的用户在活动目录中进行管理。一个经更高权限授权的用户可以对目录中某些确定子树中指定的对象及对象种类进行指定的操作。这称为委托管理。委托管理可以完全地控制谁能够做什么，而且可以确立授权的委托而不必授予提高的特权。

目录系统代理（DSA）是管理目录物理存储的过程。客户采用一种支持的界面连接DSA,进而査找、阅读及写入目录对象和它们的属性。DSA使得客户与物理存储格式的目录数据孤立。

（12）DNS集成

活动目录与DomainNameSystem（DNS）紧密地集成在一起。DNS是分布式名字空间，用于Internet上来根据计算机和服务名称来确定TCP/IP地址。大多数拥有Intranet的公司把DNS作为名称解析服务来应用。活动目录把DNS作为站点服务来应用。Windows2000域名就是DNS的域名。例如，“Microsofl.com”是一个有效的DNS域名，也可以是一个Windows2000的域名。紧密的DNS集成表明活动目录自然地适用于Internet和Intranet环境。用户可以快速、简单地找到服务器。公司可以直接将活动目录服务器连接于Imernet.从而为安全通信及与顾客、合作伙伴之间的电子商务提供便利。

（13）定位服务

活动目录服务器公布它们的地址，这样客户在只知道域名的情况下也可以找到它们。活动目录服务器通过DNS中的ServiceResourceRecords（SRVRR）来公布。SRVRR是DNS的一个记录，用来描述一种服务及提供这种服务的服务器的地址。SRVRR的名称是这种形式：

<service>.<protocol>.<domain>ldap.tcp.<domain>

活动目录服务器通过TCP提供LDAP服务，这样公布的名称是这种形式：

ldap.tcp.<domain>这样，为了Microsoft.com的SRVRR是ldap.tcp.microsofl.com?SRVRR中的附加信息指出了服务器的优先权及重要度，使得客户可以选择他们所需要的服务器。

在活动目录服务器安装好时，它通过动态DNS（下面介绍）公布它自己。由于TCP/IP地址随时间变化而改变，所以服务器周期性地检査它们的注册来保证地址的正确性，并在需要的情况下将它们升级。

（14）动态DNS

动态DNS是对DNS标准的一个增加。动态DNS定义了一个协议，来满足采用新的或变化了的数值动态升级DNS服务器的需要。在拥有动态DNS之前，管理员需要人工配置DNS服务器的存储记录。

[1]  [2]  [3]  [4]