全局编录服务器(GC)

域控制检查操作步骤：1、检查域控服务器的SYSVOL①检查“SYSVOL”文件夹是否被共享。

可以通过以下两种方法：方法一：我的电脑——右键——计算机管理——共享文件夹——共享——在右边窗口中查看“SYSVOL”是否被共享。

方法二：开始——运行——输入“cmd”——确定——进入命令提示符下——输入“net share”——查看“SYSVOL”是否被共享②检查SYSVOL的共享权限，打开SYSVOL文件夹的属性对话框（文件夹的缺省路径为“C:\WINDOWS\SYSVOL\sysvol”）——共享——权限——检查权限是否和下表的权限设置相同：Administrators：完全控制、更改、读取Authenticated Users：完全控制、更改、读取Everyone：读取③检查SYSVOL的NTFS权限，打开SYSVOL文件夹的属性对话框（文件夹的缺省路径为“C:\WINDOWS\SYSVOL\sysvol”）——安全——高级————检查各个用户的NTFS权限是否和下表中的权限设置相同。

Authenticated Users：遍历文件夹/运行文件、列出文件夹/读取数据，读取属性，读取扩展属性Server Operators：遍历文件夹/运行文件、列出文件夹/读取数据，读取属性，读取扩展属性Administrators：完全控制SYSTEM：完全控制CREATOR OWNER：完全控制注：通常情况下“SYSVOL”文件夹的NTFS权限是从上层文件夹继承下来的，最简单的办法是查看该文件夹的的权限勾选框是否为灰色（及继承权限），如果权限设置有问题，也不要马上进行修改这些权限，应该参阅具体KB再进行适宜操作。

④检查SYSVOL的状态情况。

开始——运行——输入regedit——确定——打开注册表编辑器——查看“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SysvolRea dy”键值是否为1，如为1则表示“SYSVOL”状态正常。

FSMOFSMO是Flexible single master operation的缩写，意思就是灵活单主机操作。

营运主机（Operation Masters，又称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定角色信息的网域控制站，在每一个活动目录网域中，至少会存在三种营运主机的角色。

但对于大型的网络,整个域森林中,存在5种重要的FSMO角色.而且这些角色都是唯一的。

1、森林级别(一个森林只存在一台DC有这个角色):(1)、Schema Master(也叫Schema Owner):架构主控(2)、Domain Naming Master:域命名主控2、域级别(一个域里面只存一台DC有这个角色):(1)、PDC Emulator :PDC仿真器(2)、RID Master :RID主控(3)、Infrastructure Master :基础架构主控对于查询FSMO主机的方式有很多,本人一般在命令行下,用netdom query fsmo命令查询.要注意的是本命令需要安装windows 的Support Tools.五种角色空间有什么作用1、Schema Master作用是修改活动目录的源数据。

我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对象和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Master，如果大家部署过Exchange的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema Master进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在Schema Master上进行扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

Windowsserver域下全局组,本地域组,通⽤组之间的关系详解Windows server 2003域下全局组，本地域组，通⽤组之间的关系详解WINDOWS SERVER 2003组的简介：定义：组（Group）是⽤户帐号的集合。

作⽤：通过向⼀组⽤户分配权限从⽽不必向每个⽤户分配权限，简化管理。

就是为⽤户和嵌套在⾥⾯的组等单元提供对⽹络资源访问的权限。

资料个⼈收集整理，勿做商业⽤途类型：1）安全组，管理员在⽇常⼯作中不必要去为单个⽤户帐号设置⾃⼰独特的访问权限，⽽是将⽤户帐号加⼊到相对应的安全组中。

管理员通过给相对的安全组访问权限就可以了，这样所有加⼊到安全组的⽤户帐号都将有同样的权限。

使⽤安全组⽽不是单个的⽤户帐号可以⽅便，简化⽹络的维护和管理⼯作。

资料个⼈收集整理，勿做商业⽤途2）通讯组，只能⽤在电⼦邮件通讯。

提⽰：在windows server 2000的域中，通讯组的名称是：“分布组”和通讯组功能想似。

注意：⼀般情况下，管理Active Directory使⽤的都是安全组。

安全组和通讯组在有些时候是可以互转的，这要取决于Active Directory中域的模式。

资料个⼈收集整理，勿做商业⽤途组的作⽤域：安全组下可创建3种作通知域组：如下图所⽰。

注意：2K/2003安装之后，域的默认模式为：混合模式。

（安装了windows server 2003域控后，域的模式为“windows 2000混合模式“）则本地域组只能在本域的控制器DC 上使⽤。

若域功能级别转成本机模式（或称为2K纯模式），或是03模式，本地域组才可在全域范围内使⽤。

资料个⼈收集整理，勿做商业⽤途1．本地域组。

（local domain group）Windows 2000 混合模式⽤户范围：任何域中的⽤户帐户和全局组。

森林中任何域中的⽤户帐户，全局组和通⽤组以及本地域中的本地域组。

资料个⼈收集整理，勿做商业⽤途可加⼊的组：不能是任何组成员，只能是本域中的本地域组。

Windows Server 2008 R2之10_全局编录服务器（GC）GC是一台DC，它是一台特殊的DC，它存储森林中所有对象部分只读信息的特殊DC。

在森林可以有多台GC，全局编录是一库，它包含了在活动目录中所有对象连续请求信息的子集，例如用户登录的ID等。

GC的主要作用有：1、存储森林对象的信息副本。

2、存储能用组成员身份信息。

3、提高用户主体（UPN）名称身份验证信息。

4、验证林内的对象参考。

一、全局编辑服务器的规划GC在AD中十分重要，如果GC出现了问题，会造成用户不能登录到域访问资源。

但由于GC存储的是林中所有域的副本，如果域的数据很多，AD对象很多情况下，GC数据库会很大。

在规划GC时，需遵循以下原则：每个站点是否拥有GC。

提升GC可能带来影响。

DC提升为GC，会对GC服务器的性能、网络带宽、安全性、数据库的大小都提出更高要求，所以一般来说，每个站放置一台GC即可。

是否将所有DC提升为GC，那就整个森的网络带宽、DC 的性能来决定。

二、查看、提升、删除GC注意：设置完成，并不代表GC已经提升完成，因为Gc同步需要时间。

删除GC时，GC会对数据库进行清理，清理时间的长短和森中对象的多少有关三、验证GC的提升GC的提升完成，并不代表GC可以工作。

运行LDP，依次进行如下操作可以看isGlobalCatalogReady=TRUE同时，DNS服务器记录得到了更新。

三、验证GC服务器正常工作使用注册表和端口状态可以确认GC是否正常工作1、注册表2、端口验证由于GC正常工作时要用3268、3269（SSL），所以通过端口的状态验证是否正常运行。

深入理解全局编录服务器GC概述：在Win2003AD域环境中，除了FSMO操作主机角色外，全局编录服务器(GC)也是有着特殊含义的域控制器。

通过GC，可以提高在活动目录中搜索对象的速度，可以加快用户登录验证等。

简单的说，GC是森林中所有对象的只读调整缓冲存储器( Read Only Cache),目录只用于搜索。

GC服务器存储本域中所有对象的所有属性，同时会存储林中其它域中所有对象的部分属性。

一般来说，属性是否存储在GC中，取决于该属性在搜索中使用的频率,由系统自动进行决定。

但AD架构管理员也可以定义对象的哪些属性保存的GC中，同时决定该属性是否可以进行索引。

本文拟就与GC相关的内容一一阐述，希望能起抛砖引玉作用，与有兴趣的朋友一起更好的了解和熟悉全局编录服务器。

GC出现的原因GC的作用查看当前环境中GC服务器提升DC为全局编录服务器验证全局编录服务器的提升验证全局编录服务器是否工作正常删除全局编录服务器使用AdsiEdit工具查看全局编录服务器中的数据一：GC出现的原因在Win2003活动目录中有两种目录服务，分别是DNS以及LDAP，两个目录服务互为补充。

DNS的目的比较简单，用于简单快速的定位域控制器，但定位到具体的域控制器后，对活动目录信息的更细致访问，如活动目录中关于用户，计算机，打印机等对象信息搜索，DNS就无能为力。

此时就需要通过LDAP服务来访问。

如果用户知道某个对象处于哪个域，也知道对象的标识名，那么用LDAP搜索对象就非常容易。

但如果用户只知道某个对象的某个属性，根本不知道对象所处的域，也不知道该对象的标识名，那么使用LDAP来搜索对象是一件非常困难的事，AD不得不对当前环境中每一个域的每个对象都搜索一遍。

为了解决这个问题，活动目录提供了全局编录服务器(GC，到Global Catalog)。

GC中包含了当前林中每个域中所有对象的副本，如果在一次LDAP搜索中，涉及到搜索中多个域的名称上下文时，AD会选择搜索GC服务器，从而实现加快搜索速度，减少网络通信量的目的。

ADDS概述统一管理用户、计算机、网络资源授权（Authorization）ADDS 由物理组件和逻辑组件物理组件：1、数据存储：NTDS.DITA、AD数据库：AD对象B、日志文件：ADDB改变数据C、S/SVOL文件夹：组策略相关的数据2、域控制器3、全局编录服务器（GC）：提供信息资源的查找，GC数据库存储在DC中4、只读域控制器（RODC）：DC不一定是GC，但是GC一定是DCExchange中的通讯簿是从GC中来a)只读不可写b)只做入站复制，不做出战复制c)只能在2008和2008 R2中实现d)域功能级别必须在2003或者以上才能实施RODCe)认证缓存f)RODC不做任何用户名和密码的身份验证但是通过认证缓存保存用户信息到RODC中g)角色分离逻辑组件：1、分区2、架构：ADSI编辑器3、域4、域树由一个或多个域组成5、林6、站点进行数据库的复制7、组织单元（OUS）应用组策略AD架构：在一个林中架构是唯一的AD是一种网络架构，来进行统一管理，和工作组对立A域信任B域1.B可以访问A资源2.A是信任域，B是受信任域3.A是资源域，B是账户域4.A传出信任，B传入信任5.A外传，B内传信任的传递性（只能从上到下）信任的类型：1、父子信任2、林信任3、根域信任4、快捷方式信任5、外部信任6、领域信任（和非Windows系统之间的信任）UPN就是电子邮件账户在林中是唯一的站点：一、域控制器安装方法：1.在服务器管理器上面添加角色ADDS————〉运行dcpromo2.直接在开始运行里面输入dcpromo有标准模式和高级模式（创建子域、额外域控、第二个域树时使用dcpromo /adv）两种模式二、应答文件Cmd——〉dcpromo /unattend：”C:\应答文件”三、验证安装1、services2、检查DNS3、事件查看器4、DCdiag /v5、net share查看netlogon和sysvol有没有共享备份ADDS数据库信息1、netsutil2、activate instance ntds3、ifm4、create full（RODC）C：\NDTS离线加域命令：DJOIN条件：1、必须是ws2008R2的DC+win7的Client2、创建的计算机名称和即将要加域的计算机名称必须一致修改域控的计算机名称Netdom来实现修改域控制器的计算机名称dom computername （oldname）/add：newnamedom computername （oldname）/makeprimary：newname3.重启域控dom computername （newname）/remove：oldname5.做相关DNS名称的修改RODC的安装方式有2种1、委派安装----创建预安装RODC，然后再server执行安装在cmd中运行dcpromo.Exe /UseExistingAccount：attach2、直接在server上安装创建子域创建林中第二个域树为这个域树选择适当的DNS架构1、能够通过DNS找到林中的域命名主机2、不同的DNSA、使用条件转发B、辅助区域作用：保证让一个域内的用户和计算机能够找到另外一个域内的用户和计算机（包括DC）创建林中的第二个域树，一定得是用高级安装创建模式Dcpromo /adv修改GC是在ADDS的站点和服务中修改2008 R2中有活动目录管理中心Client来管理ADUC操作主机一共有五种：林级别：架构主机域命名主机架构主机和域命名主机每个林内只有一台域级别：PDC模拟器RID主机基础结构主机PDC主DCBDC辅DCFSMO操作主机操作主机Netdom query fsmo架构主机（Schema）Regsvr32 schmmgmt.dll——〉MMC——〉添加删除管理单元——〉添加AD架构、域命名主机作用：添加删除域查找域命名主机：右键AD域和信任关系——〉域命名主机RID主机颁发RID主机给域内所有DC查找RID主机：管理工具——〉活动目录——〉ADUC——〉右键域名操作主机——〉RID主机PDC仿真器主机为2000之前的旧客户机更新密码最小化用户的密码跟新延迟同步域中域控制器的时间基础结构主机角色查找：管理工具——〉活动目录——〉ADUC——〉右键域名操作主机——〉基础结构主机转移DC角色有两种方式：1、图形化界面2、命令行界面传送角色Ntdsutil——〉roles——〉connections——〉connections to server ——〉quit ——〉transfer夺取角色：命令行：Ntdsutil——〉roles——〉connections——〉connections to server ——〉quit ——〉Seize PDC如何将WS2003的DC迁移到WS2008R21、备份系统NTbackup2、考虑应用服务3、功能级别要2003或者以上4、扩展AD架构成为2008R2（需要插入WS2008R2的光盘）5、扩展步骤：1）cmd命令进入光盘的盘符然后cd \support\adprep然后运行adprep /forestprep（准备林）如果win2003是32位系统运行adprep32 /forestprep2）之后按C+Enter继续3）adprep /domainprep（准备域）《如果2003是32位系统则adprep后都要加32》4）adprep /rodcprep（准备RODC）6、将WS2008R2的工作组计算机变成额外域控运行dcpromo7、等待2台DC的所有信息都同步8、角色转移（将2003DC的角色转移到2008R2上）——〉将2008R2的域控变成主域控9、微软建议最好保证03DC和08R2DC一起运行一个月左右的时间10、将2003DC降级—dcpromoDcpromo /forceremoval 强制降级11、修改DNS1）DNS地址保留原有的2）DNS地址使用最新的配置域名服务支持活动目录服务LADP是对象信息查找ADDS对象的类型1、用户账户2、计算机账户3、组账户4、InetOrgPerson5、组织单位6、打印机7、共享文件夹用户登录域计算机的方式：1、UPN登录，整个林内这个名称是唯一的。

第一章活动目录(Active Directory)综述内容摘要Windows 2000 操作系统的功能非常强大，用户要了解如何实现这些功能，以及它对完成企业目标能够提供哪些帮助,首先必须了解其核心：活动目录目录服务。

活动目录在实施组织的网络，进而实现组织的商业目标中占有重要地位。

通过本章学习,您将了解到以下一些主要内容：目录服务和活动目录的概念活动目录的优点活动目录的逻辑结构组织信息在逻辑结构中的流通活动目录的安全机制活动目录的目录服务模块考点提示本章主要概括了活动目录中的主要概念性知识，读者应重点熟悉以下内容：逻辑结构/物理结构的作用和区别信任关系1.1 目录和目录服务一般来说，目录是用来存储信息的信息源,如电话簿用来存储电话号码、文件系统用来存放文件信息。

而在计算机网络上下文环境中，目录（又称数据存储区）是存储网络对象信息的分层结构。

对象包括共享资源，如服务器、共享卷和打印机；网络用户和计算机帐户；域、应用程序、服务、安全策略，以及网络上的其他所有内容。

以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例：一般情况下，目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。

用户通过目录服务来使用目录中的信息，如用户可能需要使用网络中的某样资源，如打印机，但不知道它在网络上确切位置，有了目录服务，用户只要了解该打印机的一项属性，就可以通过查询活动目录来使用它。

我们可以把目录服务看作既是一个管理工具，同时也是一个面向最终用户的工具。

系统管理员用它可以定义、安排和管理对象（如打印机、用户）及其特征，以使它们能被用户和应用程序使用；而用户可以用它来获得感兴趣的信息。

换一个角度，理解目录服务就是要理解它和目录的不同之处：它既是目录信息源，又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。

理想情况下，目录服务会使物理拓扑和协议（两个服务间传输数据所用的格式）透明化；这样，即使用户不知道资源的物理连接位置和连接方法，也能够访问资源。

域中的第一个域控制器往往比其他的域控制器承担了更多的任务，如果损坏了往往域内会出现一些异常，例如无法创建域用户账号，无法安装Exchange，无法部署子域等等。

原因很简单，第一个域控制器承担的任务并没有被转嫁到其他的域控制器上。

一、操作主机角色共有五种：分别是PDC主机，RID主机，结构主机，域命名主机和架构主机1、PDC主机：（1）微软为了保护用户的前期投资，允许NT4服务器称为Win2003域中的额外域控制器，但NT4充当域控制器时一定要和域中的PDC联系，这种情况下PDC 主机就要挺身而出，以主域控制器的身份和NT4的域控制器通讯。

（2）PDC主机的第二个用途是可以优先成为主浏览器，我们都知道打开网上邻居后可以看到当前网络中有多少台计算机，双击计算机名还可以看到这台计算机提供的共享资源。

这些网络资源列表是由谁来提供呢，在微软网络中被一种称为主浏览器的计算机来提供。

只要操作系统的版本在Windows workgroup 3.1以上的计算机都有机会成为主浏览器。

如果一个网络中的多台计算机都希望成为主浏览器，那么这些计算机就会通过“选举”来解决问题，如果一个广播域内有多个域，而且有多个PDC操作主机，那么它们之间又如何进行主浏览器的选举呢？它们之间会通过GUID来选出最后的胜利者。

（3）PDC主机的第三个用途就是Active Directory的优先复制权，正常情况下，Active Directory的复制周期是5分钟，但如果Active Directory中发生了一些紧急事件，例如修改了用户口令。

这种情况下源域控制器就会在最短时间内通知PDC 主机，由PDC主机来统一管理这些Active Directory的紧急事件。

（4）还可用于充当域内的权威时间源，同时PDC主机也是组策略的首选存储地点。

顺便提一下，PDC主机的作用级别是域级别，也就是说，在一个域中只能有一台域控制器充当PDC主机。

2、RID主机：RID是SID的一部分，什么是SID呢？SID是安全标识符（S ecurity Id entify）的缩写，当我们在域中创建用户账号或计算机账号时，操作系统会为被创建的账号建立一个对应的SID，也就是说，SID真正对应了用户账号或计算机账号。

AD复制故障检查顺序及所需工具故障现象：组策略无法更新SYSVOL共享无法复制到其他DC所需工具:Dcdiag.exe 域控制器诊断工具Netdiag.exe 网络诊断工具Repadmin.exe 复制诊断实用工具Ntfrsutil.exe 文件复制服务实用工具Replmon.exe Active Directory 复制监视器在尝试解决此类问题时需要遵循的基本步骤：１、确保域名服务 (DNS) 配置正确。

正确的目录复制需要有正确的 DNS 配置。

２、确保您可以使用 Ping.exe 实用工具从域控制器的网络中心伙伴通过主机名和 IP 地址来“ping”该域控制器。

３、确保网络分支中的计算机能够解析网络中心中的名称。

例如，“ping”。

４、确保您能够通过事件日志中所列的服务器的全局唯一识别符 (GUID) 来 ping 服务器。

如果您能够通过服务器的主机名来成功地 ping 服务器，但不能通过其 GUID 来成功地ping 服务器，则存在 DNS 配置问题。

５、运行 Dcdiag.exe 实用工具。

此实用工具会运行一系列测试，结果不是“通过”就是“失败”。

确保所有测试均顺利通过。

６、在您遇到问题的网络分支上查看事件查看器的目录服务日志。

研究并解决所有错误。

７、通过将 Repadmin.exe 实用工具与 /showreps 开关配合使用来验证站点链接正确。

８、通过将 Repadmin.exe 实用工具与 /showconn 开关配合使用来验证入站连接。

９、查看 Winnt/Debug 文件夹中的所有日志文件。

特定的症状及故障排除步骤注意：在下列各节中，将报告问题的域控制器称为“目的服务器”。

将目的服务器尝试从中复制内容的域控制器称为“源服务器”。

“Access Denied”（拒绝访问）错误当您将 Repadmin.exe 工具与 /showreps 开关配合使用时，所返回的复制状态信息中会列出一条或多条“Access Denied”（拒绝访问）错误信息。

AD域服务简介和使⽤——其实都是配置dns和域控服务器，各pc 加⼊域，然后设置账号，⽤AD。

CN：为可辨别名。

OU：为组织单元。

DC：为从属于哪个域默认端⼝是TCP、UDP为389OU\DC为图1，分解为 dc=adtest,dc=comOU为组织名称 ou=测试部CN是你⾃⼰设为管理员的⼀个⽤户名称如:lihb 密码为lihb的密码如a123456⼀、前⾔1.1 AD 域服务什么是⽬录（directory）呢？⽇常⽣活中使⽤的电话薄内记录着亲朋好友的姓名、电话与地址等数据，它就是 telephone directory（电话⽬录）；计算机中的⽂件系统（file system）内记录着⽂件的⽂件名、⼤⼩与⽇期等数据，它就是 file directory（⽂件⽬录）。

如果这些⽬录内的数据能够由系统加以整理，⽤户就能够容易且迅速地查找到所需的数据，⽽ directory service（⽬录服务）提供的服务，就是要达到此⽬的。

在现实⽣活中，查号台也是⼀种⽬录；在 Internet 上，百度和⾕歌提供的搜索功能也是⼀种⽬录服务。

Active Directory 域内的 directory database（⽬录数据库）被⽤来存储⽤户账户、计算机账户、打印机和共享⽂件夹等对象，⽽提供⽬录服务的组件就是 Active Directory （活动⽬录）域服务（Active Directory Domain Service，AD DS），它负责⽬录数据库的存储、添加、删除、修改与查询等操作。

⼀般适⽤于⼀个局域⽹内。

在 AD 域服务（AD DS）内，AD 就是⼀个命名空间（Namespace）。

利⽤ AD，我们可以通过对象名称来找到与这个对象有关的所有信息。

在 TCP/IP ⽹络环境内利⽤ Domain Name System（DNS）来解析主机名与 IP 地址的对应关系，也就是利⽤ DNS 来解析来得到主机的 IP 地址。

使用AdsiEdit工具查看GC数据全局编录服务器并不是一个独立的实体，域控制器也没有单独为GC准备一个独立的DIT文件，GC服务器与当前的域公用同一个NTDS.DIT文件，两者的区别只是使用的端口号不同，前者使用3268端口，后者使用389端口。

理解了这一点，也就理解了如何来查看GC数据。

AdsiEdit工具是一个超级强大的AD查看与编辑工具，我们可以使用这个工具做一些其它工具无法实现的功能。

比如本文准备阐述的查看全局编录服务器中的数据等。

为了更好的说明如何使用AdsiEdit工具查看GC数据，先介绍一下当前的演示环境：两个域，父域为,子域为,其中域中有一台DC(),同时担任GC角色，子域中有一台DC(),非GC。

域结构如下：因为父域DC，同时又为GC，所以在PriDomDemo AD数据库中，应该包含有子域数据。

那么如何在PriDomDemo中查看子域数据，同时验证GC相关的概念，比如GC是森林中所有对象的只读调整缓冲存储器包含有子域所有对象的部分属性。

自定义对象的哪些属性保存的GC中，同时决定该属性是否可以进行索引等等。

本文利用AdsiEdit工具，分别连接GC以及域，通过比较标准的Sub域数据与保存在GC中Sub域数据，就上述问题做深入阐述!具体操作如下一：使用AdsiEdit查看AD数据1：连接到GC服务器在AdsiEdit中,连接到GC服务器很简单，唯一需要注意的是，需要在“高级”中指定使用Global Catalog协议具体如下：在“运行”窗口输入“AdsiEdit.msc",打开AdsiEdit编辑器。

选中"AdsiEdit",右键选择”Connect to“在"Connection Setting"弹出框，输入相应的名称上下文输入名称上下文后，打开"Advanced "按钮，选择”Global Catalog"协议选择两次OK按钮，确定输入无误后，就可以正确连接到GC服务器2：新建一个连接到域操作与连接到GC步骤类似，保留“Advanced"中默认的LDAP协议建立好上述两个连接后，AdsiEdit工具窗口中存在两个连接，分别是GC服务器数据和Sub子域数据。

全局编录（GC）一、GC简介全局编录服务器是域控制器，但不是一个普通的域控制器，而是一个存储了森林中所有对象部分只读信息的特殊域控制器。

全局编录存储了对象最常用的属性子集，应用程序和用户可以直接通过GC查询这些属性，例如用户的First Name、Last Name、Email Address等。

全局编录所在的域控制器就叫全局编录服务器。

在网络上创建的第一个林的第一台域控制器会自动创建全局编录。

可以在其他域控制器上添加全局编录功能。

二、GC的作用全局编录服务器具有如下作用：1）存储对象信息副本。

全局编录存储了林中所有对象的部分常用属性，供用户搜索，同时也提高了搜索速度，降低了网络通信；2）存储通用组成员身份信息。

通用组成员身份只存储在全局编录中，所以当通用组成员用户登录域时，全局编录会提供此用户账户的通用组成员身份信息，如果全局编录不可用，该用户将无法登陆；3）提供用户主体名称（UPN）身份验证。

利润，如果用户在域中使用用户主体名称（UPN）test@登录，由于的域控制器上找不到用户信息，因此他将联系全局编录来完成登录过程。

4）验证林内的对象参考。

域控制器使用全局编录验证对林内其他域的对象的参考三、查看全局编录服务器1、“AD站点和服务”中查看1)打开“Active Directory Sites and Services”，依次展开“Sites”—“Default-First-Site-Name”—“Servers”—服务器名（如“HZDC01”）—右键单击“NTDS Settings”，选择“Properties”；2）出现如下“NTDS Settings Properties”对话框，如果“Global Catalog”复选框被选中，表示该域控制器是一台全局编录服务器，如果为被选中，表示该域控制器不是一台全局编录服务器。

2、命令行方式查看1）使用命令dsquery server –domain DomainName –isgc可以查看指定域中的GC，如下图四、将域控制器提升为全局编录服务器1)打开“Active Directory Sites and Services”，依次展开“Sites”—“Default-First-Site-Name”—“Servers”—服务器名（如“HZDC01”）—右键单击“NTDS Settings”，选择“Properties”；2）出现如下“NTDS Settings Properties”对话框，选择“Global Catalog”复选框，将该域控制器提升为全局编录服务器，单击“OK”;注意：设置完成，并不代表全局编录服务器提升完成，需要待全局编录数据库同步完成。

什么是目录?• 在一个组织中关于人和资源的信息的 一个存储仓库• 特点：用一致的方式命名、描述、定位、管理和保证这些信息的安全目录服务是一种组织和简化网络资源的方法。

用户和管理员可能不知道他所所需对象的确切名称，然而，他们可能知道该对象的一个或多个属性。

目录服务中可以基于一个或多个属性，就可以查到具有此属性的对象。

2.什么是活动目录?活动目录基于LDAP (Light Directory Access Protocol ，轻型目录访问协议) ，有效集中地组织查找和管理网络中的资源(包括用户、计算机、共享文件夹和共享打印机等)Computer在Windows server 2003域内的目录是用来存储用户帐户、组、打印机、共享文件夹等对象（object）的，我们把这些对象的存储处称为“目录数据库（directory database）”。

在Windows Server 2003域内负责提供目录服务的组件是Active Directory（活动目录），它负责目录数据库的保存、新建、删除、修改与查询等服务。

说明：如一本很厚的书，它里面的内容很多（即知识点很多），如果需要读者快速地找到书中某一个知识点很不容易，为此作者就会把整本书的内容加以整理，并将每个知识点与相应的页码存储到该书的前几页，称为书的目录。

有了目录读者就可以快速地找到该书中的某一个知识点（即起到了快速查询的目的），由此可见书的目录就是为读者提供的一种查询服务。

在计算机网络中，假设该网络的规模比较大，网络中的资源也比较多（如有多台打印服务器、多个用户、多个组、多个共享文件夹等），如果需要网络中的用户快速地找到某一个网络资源也很不容易。

为此网络的管理员需要将整个网络的资源加以整理，并将网络资源统一的组织起来，集中地存储到一个特殊的位置（即目录数据库），以便网络中的用户快速查询，为网络中的用户提供查询服务。

我们把这个可以为网络用户提供服务的组件称为Active Directory（活动目录），它负责目录数据库的保存、新建、删除、修改与查询等服务。

在森林根域中_msdcs DNS 区域的作用2009-08-12 12:01:17| 分类：Windows | 标签： |字号大中小订阅活动目录使用DNS作为定位来支持活动目录提供的不同的活动目录的服务。

诸如全局编录服务器(GC),Kerberos,和轻量目录负载协议。

其他非微软的服务可在DNS进行公告，包括，但是并不局限于非以微软实现的轻量目录负载协议和全局编录服务器。

然而，有的时候客户端需要联系基于微软的服务。

由于此原因，每个域中的DNS都包含了注册了基于微软服务且包含了DNS的SRV纪录的一个_msdcs子域。

Netlogon进程会在每个域控制器动态注册这些纪录。

_msdcs子域包含在森林中所有域和所有全局编录服务器的GUID.如果你在一个新的森林中安装一台运行windows server 2003的系统，并且使用Dcpromo配置他为DNS,Dcpromo会自动在DNS服务器建立一个名称为_msdcs.的区域。

此区域配置为森林中复制到每个运行DNS的每一个域控制器上的应用目录区域。

此复制使区域在森林的任何地方保持高可用性。

－－－－－－－－－－－－DNS服务中各文件夹的含义：_msdcs：灰色的文件夹，看到灰色文件夹不要认为不正常，这里是将_msdcs域委派给了，我们点开_来看看是些什么，msdcs下包含了四个子域dc，domain，gc和pdc。

dc和gc：其中dc和gc是按照站点来划分的，这也可以让客户机快速的找到想到找的Active Directory服务（kerberse，ldap等）我这个测试环境只有一个site，名字为Default-first-site- name(DFSN)。

那么为什么按照站点来划分？我想应该和客户端登陆过程有关，其登陆使用三种类型的信息来尝试找到域控制器，也就是kerberse 服务器。

这三种类型分别是域名，GUID，站点识别标识。

按照上图，来说明一下什么是SRV记录，看上图中的_kerbers属性。