Active Directory管理和构架-第5部分(域信任关系 、域功能级别、配置AD站点复制)

IP Subnet B1 IP Subnet Redmond-Site
IP Subnet
A1
Default-First-Site-Name
什么是站点链接?
A1
一个站点连接:
启用站间的复制通讯 展现站点间的物理连接
IP Subnet
A2
Site
IP Subnet
B1
B2
Site Link
IP Subnet
A5
KCC
全局编录Global Catalog 和分区的复制
Partial Directory A1 Partition Replica
A2
B2
B1
Schema Configuration
A3 contoso.msft namerica.contoso.msft Global Catalog Server A4 B3 Holds read only copy of all domain directory partitions
议题
域信任关系
配置AD站点复制
第5部分 域信任关系 、 配置AD站点复制
内容
信任
信任方向
Windows NT信任关系 Win2000 win 2003信任关系
理解功能级别
信任
信任是在域间建立的一种关系，可让域中的域控制 器来验证另一个域中的使用者。Windows NT中的信 任关系和Windows 2000及Windows Server 2003服务器 操作系统中的不一样。
Windows NT中的信任
在Windows NT 4.0及先前的版本中，信任只限于两 个域之间，而且信任关係是单向且不可转移的。在 下图中，不可转移信任及单向信任会由指向信任域 的直线箭头表示。
Win 2003与Win2000服务器的信任
Windows 2000与Windows Server 2003树系中的所有信 任都是可转移、双向信任。因此信任关系中的两个 域都是受信任的。如下列图例所示，这意味着如果 域A信任域B而且域B信任域C，则来自域C的使用者 (已授与适当的使用权限)即可存取域A的资源。只有 Domain Admins群组中的成员可以管理信任关系。
A->B的连接对象,在DC B的NTDS Setting中 B->A的连接对象,在DC A的NTDS Setting中
复制拓扑结构的自动生成
KCC
A1
KCC
A2
KCC
A3
A8
Automatic Generation of Replication Topology
KCC
A4
A7
A6
KCC KCC KCC
Is designated for each partition in the site
IP Subnet IP Subnet
Bridgehead Server
A1
Replication
IP Subnet IP Subnet
B1
Bridgehead Server
什么是站内拓扑生成器Intersite Topology Generator?
域林是指由一个或多个没有形成连续名字空间的域 树组成，它与上面所讲的域树最明显的区别就在于 这些域树之间没有形成连续的名字空间，而域树则 是由一些具有连续名字空间的域组成。但域林中的 所有域树仍共享同一个表结构、配置和全局目录。
1.com
域的信任关系
root.com 2.1.com 2.2.com 3.2.1.com grandchild.child.root.com child.root.com
站点和子网 站点链接
站点复制故障排除
域
域是WIN2K3网络系统的安全性边界,是活动目录最 基本的单元
Domain OU1 Computers Computer1 Users 域控制器 OU2 User1
OU1
域
OU2
Users
User2
Printers Printer1
User1 Computer1 User2 Printer1
A1
IP Subnet
IP Subnet
Replication
A2
B1
IP Subnet
Replication
IP Subnet
Replication
B2
什么是桥头堡服务器Bridgehead Server?
A bridgehead server:
Sends and receives replicated data
域树
域树：域树由多个域组成，这些域共享同一表结构 和配置，形成一个连续的名字空间。树中的域通过 信任关系连接起来，活动目录包含一个或多个域树。 域树中的域层次越深级别越低，一个“.”代表一个 层次
root.com child.root.com
grandchild.child.root.com
域林
域功能
Windows 2000混合模式
Windows 2000纯模式


启用的特性
从媒体安装 通用组缓存
域支持的域控制器
Windows NT4.0 Windows 2000 Windows2003 Windows 2000 Windows 2003
混合模式全部特性，外加 组嵌套 通用组 SID历史 Windows 与Windows 2000混合/纯模 2003 Server过 式相同，取决于域是处于混 渡混合/纯模式 合还是纯模式 Windows Windows 2000纯模式全部 2003 Server 特性，外加
在林/域中所有域控制器升级时，管理员手动提 升功能级别级别只能提升，不能降低
禁止老式域控制器的加入/启动
考虑Windows 2000纯模式++
可用的功能级别 Windows 2003 Server林功能 Windows 2003 Server过渡林功能 Windows 2003 Server域功能
域功能级别
B3
Cost
IP Subnet
Site
站内复制 vs. 站间复制
A 1
IP Subnet
IP Subnet
Replicatio n
A 2
站内复制 : 假定快速和可靠的网络连接 不压缩复制通信 使用更改通知机制(15s) 站间复制: 假定受限的可用带宽和不可 靠的网络连接 在站点间压缩所有的复制通 信 产生一个手工的时间安排 schedule
Domain A Topology Domain A Topology Domain B Topology Schema/Config Topology Schema and Configuration Topology
什么是站点和子网对象?
Active Directory Sites and Services Console Window Help Active View Tree Active Directory Sites and Services Sites Default-First-Site-Name Servers DENVER NTDS Settings Inter-Site Transports Redmond-Site Subnets Name Default-First-Site-Name Inter-Site Transports Redmond-Site Subnets Type Site Inter-Site Transport Container Site Subnets Container

Windows NT4.0 Windows 2003 Windows 2003
更新登录时间戳属性 Kerberos KDC版本 INetOrgPerson上的用户密码
林功能级别
林功能
Windows 2000 Windows 2003 Server 过渡模式 Windows 2003 Server
现在 Workstation1 具备了服务票证。它将把服务 票证发送给 FileServer1，而 FileServer1 将读取用 户的安全凭据并相应地建立访问令牌。
6.
7.
demo
实验5-1 建立两个域间的林信任
实现站点以管理Active Directory复制
内容
域、域树、域林
复制拓扑结构

启用的特性
从媒体安装 通用组缓存
林中的域控制器
Windows NT4.0 Windows 2000 Windows 2003 Windows 2000的全部特性， Windows NT4.0 外加 Windows 2003 LVR复制 经过改良的ISTG Windows 2003 Server过渡 Windows 2003 模式的全部特性，外加 动态辅助类 从用户到INetOrgPerson 的改变 停用/激活架构 域重命名 跨林信任
demo
实验5-0 启用通用组成员身份缓存
跨域访问资源工作原理3-1
跨域访问资源工作原理3-2
1.
User1 使用来自 child1.microsoft.com 域的凭据登录 到 Workstation1。在此过程中，负责进行验证的域 控制器将为 User1 颁发一张票证授予式票证 (TGT)。 在进行资源访问身份验证时，需要提供此票证。 此后，用户尝试访问 child2 域中文件服务器上的 共享资源 (\\fileserver1\share)。 Workstation1 联系其所在域中的某个域控制器 (ChildDC1) 上的密钥发行中心 (KDC)，并针对 FileServer1 的服务主体名称 (SPN) 申请服务票证。
理解功能级别
混合模式&纯模式
作为Active Directory版本修订架构的功能级别
域功能级别概述 林功能级别概述
混合模式和纯模式域
混合模式域
允许Windows NT 4.0域控制器（DC）
用户和组管理局限于Windows NT4.0域控制器可以 理解的范围内
无通用组 无嵌套组 无SID历史
Windows 2003 Server域控制器允许混合模式域的 存在
双向信任
在Windows Server 2003树系中全部的域信任都是双 向可转移的信任。建立一个新的子域时，在新增子 域及父域之间会自动建立双向可转移的信任。在双 向信任中，Domian A信任Domain B，且Domain B信 任Domain A。这表示验证要求可以在两个域之间以 两个方向方传送。某些双向关系可以是不可转移或 可转移的，这会视所建立的信任而定。
信任方向
信任路径是身份验证请求必须符合域之间的一系列 信任关系。 域控制器上的安全系统必须确定信任域与受信域之 间是否具有信任关系之后，用户才可以访问另一个 域的资源。
单向信任
单向信任是两个域间建立的单方向验证路径。这表 示Domain A与Domain B之间的单向信任，Domain A 的使用者可以存取Domain B中的资源。但是， Domain B的使用者无法存取Domain A的资源。
什么是复制拓扑结构?
A1 A2 B2
B1
A3
A4
B3
Domain Controllers from the Same Domain Various Domains
Domain A Topology Domain A Topology Domain B Topology Schema and Configuration Schema and Configuration Topology Topology
2.
3.
ChildDC1 没有在自身域数据库中找到该 SPN，因 而继续查询全局编录，看林中是否有任何域包含 此 SPN。全局编录将所请求的信息发送回 ChildDC1。
跨域访问资源工作原理3-3
4. 5.
ChildDC1 将引用发送给 Workstation1。
Workstation1 联系 ForestRootDC1（它的父域）中 的域控制器，以便获取访问 Child2 域中的域控制 器 (ChildDC2) 时所需的引用。ForestRootDC1 将引 用发送给 Workstation1。 Workstation1 联系 ChildDC2 上的 KDC 并协商访问 FileServer1 时所需的票证。
Windows 2003 Server PDC将复制到NT 4.0 BDC 甚至无需任何Windows 2000域控制器
混合模式和纯模式域
纯模式域
又称为“无Windows NT 4.0域控制器”模式
启用所有组/用户管理特性 可以有Windows 2000和2003 Server域控制器
Hale Waihona Puke Baidu 功能级别
因非向后兼容特性的引入而必不可少