互联网技术网络相对明确名字[3]

（25）继承

继承使得一个给定的ACE在可以从它应用的容器传播到其所有子孙的容器。继承可以与委托相结合，从而保证对目录中整个子树的某一单一操作的管理权。

（26）复制

活动目录提供多主版本复制。多主版本复制意味着给定分区的所有拷贝都是可写的。这就使得给定分区的任意拷贝的更新都可以完成。活动目录复制系统将一个给定拷贝的改变传递给所有其他拷贝。复制是自动且透明的。

　　（27）更新传播

一些目录服务采用时间标志来检测和传播改变。在这些系统中，保持所有目录服务器的同步是非常重要的。在网络中保持时间同步是非常困难的。即使在非常好的时间同步网络中，对某一给定目录服务器而言，时间设置也有可能是错误的。这就可能导致更新的遗失。

Windows2000提供分布式时间同步，但是活动目录复制系统并不依靠时间来保证更新传禅。作为替代，活动目录复制系统采用更新序列数（USN）。USN是一个64位数，由每个活动目录服务器保持。当服务器向活动目录写任意属性时，USN更新并且与所写属性共同存储。这一过程是自动完成的，即USN的增加与存储和属性写的成功和失败是作为单一单元工作的。

每一个活动目录服务器还保持由从复制同伴得到的USN表。从每个同伴得到的最髙USN存储于这个表中。当一个给定的同伴通知目录服务器需要复制时。服务器对所有比最近一次收到数值高的USN发出请求。这是一个非常简单的途径，而且不依赖于精确的时间标志。由于接收每次更新时表中存储的USN是自动更新的，所以失败后的恢复也是很简单的。要重新启动复制，服务器只节对其同伴表中比最近一次有效登录值高的USN发出请求。由于当改变有效时表是自动更新的，被打断的复制周期通常可以从它打断的位置重新进行。而不失去任何复制的更新。

（28）冲突检测--版本号

在一个类似于活动目录的多主版本复制系统中，同一个属性更新两个或多个不同的拷贝是可能的，当第二个（或第三个、第四个等）拷贝的改变在第一个拷贝的改变完全传播之前进行时，复制冲突就发生了。冲突是通过采用属性版本号检测的。与USN是服务器确定值不同，属性版本号是由活动目录对象的属性确定的。在活动目录对象的属性第一次写入时，就进行版本号的初始化。

源写入（Originatingwrite）可以更新版本号。源写入是一个在系统初始化改变时向属性进行的写过程。由复制引起的属性写过程不是源写入，而且不更新版本号。例如，当用户更新密码时，源写过程就发生了，版本号也更新了。在其他服务器上发生的改变密码的复制写过程并不改变饭本号。

在一个复制过程中，接收到的属性版本号与本地存储的属性版本号相对应，如果二者不同，那么在接收到通过该复制引起的改变时，就检测到了冲突。当这一过程发生时，接收系统会采用具有较迟时间标志的更新。这是在复制过程中采用时间的情况。

当接收到的版本号比本地存储的版本号低时，就意味着这个更新是过时的，而且是可以放弃的^当接收到的版本号比本地存储的版本号高时，更新就被接受了。

　　（29）传播衰减

活动目录复制系统允许在复制拓扑中的循环。这样就允许管理员在服务器中配置具有多路径的复制拓扑，从而提高效果和有效性。活动目录复制系统采用传播衰减来避免改变的无限传播及对已更新拷贝的冗余传送。

活动目录复制系统采用最新向最来衰减传播。最新向窜：是在每个服务器中存储的Server-USN对列表？在每个服务器中的最新向量表征了从Server-USN对中的服务器得到的定向写过程的较高USN.在给定地址列表中的服务器的最新向埴所有该位置的其他服务器。

当一个复制周期开始时，请求服务器将它的最新向最发送给传送服务器。传送服务器采用最新句煨来过滤发送给请求服务器的改变。如果一个给定定向写过程的高USN大于等于某一特定更新的定向写过程的USN,那么传送服务器就不需要传送改变：请求服务器相对于定向写过程已经是最新的了。

（30）树与森林

Windows2000的域树是Windows2000域的分层结构组织，每一个都由活动目录的一个分区构成。树的形态及树成员之间的关系由域的DNS名决定。在一个树中的域一定要组成一个临近的名字空间，如a.myco.com是myco.com的子代，b.myco.com是a.myco.com的子代，等等。

（31）可传递的双向信任

当一个域加入一个Windows2000域树中时，在加入域与它树中父代之间的可传递双向信任关系就自动建立了。由于信任是可传递的和双向的，所以树成员之间的其他附加信任关系是不需要的。信任分层结构组织作为目录的元数据存储于配罝容器中当一个域加入树时，这些需要的对象都可以在目录中建立。

　　（32）名字空间

Windows2000域树中的域必须构成一个临近的名字空间。缺省值为，每一个域的直接的子代是临近的，而且已经是它们名字空间的一部分。

这意味着，子代域中的每个对象的显着名以父代域的名字作为前缀。不相连贯的树可以结合成森林。父代域和子代域构成的临近名字空间如图6-10所示。

例如，父域，0=Intemet/DC=COM/DC=Microsoft;

子域，0=Intemet/DC=COM/DC=Microsoft/DC=PBS,

构成了临近的命名树，因为根对象在父代域中。

0=lntemet/DC=COM/DC=Microsoft是子代中根对象（0=Intemet/DC=COM/DC=Microsoft/DC=PBS）的直接图6-10父代域和子代域构成的临近名字空间父代。因为父代和子代构成了一个命名树，所以在父代中进行的深入搜索会自动地搜索子代。

　　（33）什么时候构成域树

Windows2000的域树是企业范围的活动目录。在给定企业中的所有Windows2000域都应该属于企业域树。需要支持具有不相连贯的DNS名称域的公司，应该建立森林。

（34）如何建立域树或森林

Windows2000的域在安装的过程中进入到域树中。在安装新的Windows2000服务器时（或者在更新WindowsNT的早期版本时），管理员可以有如下选择：

在一个新森林屮创建第一个树

在一个现存森林中创建一个新树

创建一个现存域的新拷贝

安装子域

要加入域树，选择InstallaChildDomain并且确认新子域的父代域。将来Windows的更新将增加两个（或更多）现存树共同加入某单一、较大树中的功能。在现存树中的域可以自由地移动，从而改变树的总体形态。规划良好的树是非常重要的，但什么是良好的是非常主观的，而且建立在组织的特定需要上。像需要的那样，改造树的能力降低了事先了解正确设计的重要性。

　　（35）站点

站点是网络中假定机器间的连接都非常良好的区域。Windows2000定义一个区域为一个或多个IP子M.这建立在具有相同子网地址的计算机都立即在网络同一部分的假设上，典型地，LAN或其他高带宽环境如FrameRelay,ATM等。

Windows2000采用站点的信息来定位靠近用户的活动目录服务器。当一个用户工作站连接到网上时，它从DHCP服务器接收一个TCP/IP地址，来确认此工作站附属于哪个子网。具有静态配置IP地址的工作站，也具有静态配置子网信息？在任何一种情况下，Windows2000的域控制器（DC）定位器都将在已知的关于工作站的子网信息的基础上，尝试在用户的同一子网内定位一个活动目录服务器。

[1]  [2]  [3]  [4]