前幾篇我們講了活動目錄的基本原理和安裝配置，著重講了一些活動目錄的優越性，但它并不是一個獨立的服務，它是在結合以前的一些協議和服務之后才得以成功實現，如DNS、LDAP協議與活動目錄的完美結合、站點概念的應用等都是非常突出的明證。下面我們就分別介紹一下這幾個應用技術。 一、DNS在活動目錄中的應用 WIN2K作為一個嶄新的操作系統，它的最大特點就是引入了活動目錄，而活動目錄的一個最大的特點就是把DNS和活動目錄緊密結合在了一起。活動目錄使用域名服務DNS 作為它的定位服務，同時對標準的DNS作了擴充。由于DNS 是使用最為廣泛的定位服務，所以不僅在Internet 上， 甚至在許多企業內部網絡中也使用DNS 作為定位服務。在利用WINNT4.0 構建的網絡系統中，對每一臺主機的唯一標識信息是它的NetBIOS名，系統是利用WINS服務、信息廣播方式及Lmhost文件等多種模式將NetBIOS名解析為相應IP地址，從而實現信息通訊。在內部網絡系統中（也就是通常我們所說的局域網中），利用NetBIOS名實現信息通訊是非常方便、快捷的。但是在Internet上對一臺主機的唯一標識信息是它的FQDN格式的域名（如www.163.com），在Internet是利用DNS標準來實現將域名解析為相應IP地址。如果WINNT4.0 構建的網絡系統同Internet連通，則NT網絡中的每一臺主機也都有相應域名，其域名的解析是通過WINNT4.0 所支持的DNS 服務來實現的。在WINNT4.0 中配置和實現DNS完全由人為手工來規劃、設計和實現，由上述可見，在WINNT4.0 網絡系統中，每一臺主機既有NetBIOS名又由域名，而實際意義基本相同，這在一定程度上增加了網管人員的管理負擔，同時出使整個網絡管理顯得更加混亂。 在WIN2K的活動目錄中，最基本的單位是域（Domain），通過父域和子域的模式將域組織起來形成樹，父域和子域之間是完全雙向的信任關系，且信任關系傳遞，其組織結構同DNS系統類似。在活動目錄中命名策略基本按照Internet標準來實現，遵照DNS和LDAP3.0兩種標準，活動目錄中的域和DNS系統中的域采用完全相同的命名方式，即活動目錄中的域名就是DNS域名。那么在活動目錄中依賴于DNS作為定位服務，實現將名字解析為IP地址。所以當我們利用WIN2K 構建活動目錄時，必須同時安裝配置相應的DNS，無論用戶實現IP地址解析還是登錄驗證，都利用DNS在活動目錄中定位服務器。活動目錄與DNS系統的這種緊密集成，意味著活動目錄同時非常適合于Internet和Intranet環境，這也是微軟創建適用于Internet的網絡操作系統的思想的一種體現。企業可以把活動目錄直接連接到Internet以簡化與客戶和合作伙伴之間的信息通訊。另外WIN2K中的DNS服務允許客戶使用DNS動態更新協議（RFC 2136）來動態更新資源記錄，通過縮短手工管理這些相同記錄的時間，提高DNS管理的性能。運行WIN2K的計算機能動態地注冊他們的DNS名稱和IP地址。 由于活動目錄與DNS已經集成在一起，因此在WIN2K中NetBIOS名已經逐漸失去意義，與此相對應的WINS服務也處于慢慢被淘汰的過程中。在WINNT中為了有效的發揮WINS的動態特性，我們通常將DNS與WINS 進行集成，這樣能獲得更準確的解析結果。但是，WINS并不是Internet標準協議，而DNS解決動態維護機器名與IP地址對照表的方案是動態DNS。動態DNS并不需要用到WINS，因為它允許動態分配IP地址的客戶可以直接注冊到DNS服務器上，即時更新DNS對照表。 WIN2K支持動態DNS，運行活動目錄服務的機器可動態地更新DNS表。WIN2K網絡中可以不再需要WINS服務，但是WIN2K仍然支持WINS，這是由于向后兼容的原因。那么如果網絡系統不再使用WINS，用戶登錄到網絡時，客戶機如何找到域控制器呢？這是因為WIN2K在實現DNS時，對標準的DNS進行了擴展，在DNS表中增加了一種新的記錄類型SRV記錄，它指向活動目錄的域控制器。所以如果網絡系統已經全面升級到WIN2K，那么就可以不再使用WINS 服務 了。而在WIN2K中，由于支持動態更新協議（RFC 2136），這種集成也變得沒有必要了。DNS這個由一系列解釋請求（RFCs）標準組成的在Internet上廣泛采用開放的協議，已經成為網絡技術中的統一的標準化的規范。WIN2K的目標是在Internet和Intranet環境中得到廣泛應用，那么它的名稱解析模式就應該完全遵守單一的DNS標準。 上面主要講了一下DNS在活動目錄中的應用情況，但或許有人要問原來在WINNT4.0中沒有用活動目錄，只用DNS來解析域名，到底活動目錄與DNS之間有什么區別，它們之間又是如何結合的呢？下面就來具體講一下。 1、活動目錄與DNS的區別 (1)、存儲的對象不同 DNS和活動目錄的結合是Windows2000服務器的最主要特點，DNS域和活動目錄域對不同的名字空間使用同一樣的域名。但它們各自存儲不同的數據，因此管理不同的對象。DNS存儲它的區域和資源記錄，活動目錄存儲域和域中的對象。對DNS來說，域名是以DNS的層命名結構為基礎的，是一種倒樹型結構：一個根域，下面的域既是父域又是子域。每一個DNS域中的計算機可以通過完全合格域名（FQDN）進行識別。每一個與因特網連接的WIN2K域都有一個DNS名字，并且每一個WIN2K域中的計算機也都有一個DNS名字。因此，域和計算機即代表活動目錄對象，又代表域節點。 (2)、解析所用的數據庫不同 DNS是一種名字解析服務，DNS是通過DNS服務器接受請求查詢DNS數據庫來把域或計算機解析為IP地址的。DNS客戶發送DNS名字查詢到它們設定的DNS服務器，DNS服務器接受請求后或通過本地DNS數據庫解析名字，或查詢因特網上的DNS數據庫，DNS不需要活動目錄就可以起作用。 活動目錄是一種目錄服務，活動目錄通過域控制器接受請求查詢活動目錄數據庫來把域對象名字解析為對象記錄。活動目錄用戶是通過LDAP協議（一種進入目錄服務的協議）向活動目錄服務器發送請求，為了定位活動目錄數據庫，需要借助于DNS，也就是說，活動目錄把DNS作為定位服務，把活動目錄服務器解析為IP地址，活動目錄不能沒有DNS的幫助。DNS可以獨立于活動目錄，但是活動目錄必須有DNS的幫助才能工作。為了活動目錄能夠正常的工作，DNS服務器必須支持服務定位（SRV）資源記錄，資源記錄把服務名字映射為提供服務的服務器名字。活動目錄客戶和域控制器使用SRV資源記錄決定域控制器的IP地址。

除了要求WIN2K網絡的DNS服務器支持SRV資源記錄外，微軟還建議DNS服務器提供對DNS的動態升級。DNS動態升級定義了一個DNS服務器在一定值內自動升級的協議，如果沒有此協議，管理員不得不手動配置域控制器產生的新的記錄。新的WIN2K的 DNS服務既支持SRV資源記錄，又支持動態升級。如果你選擇其它的非WIN2K為基礎的DNS服務器，那么你必須證實它支持SRV資源記錄。對于一個合法的支持SRV資源記錄但是不支持動態升級的DNS服務器，在你把WIN2K服務器升級為域控制器時，必須使它的資源記錄手動升級。這些可以用Netlogon.dns文件來完成，該文件是由活動目錄智能安裝向導創建的，存在于文件夾％systemroot%System32config中。

2．兩者的結合方法 既然DNS和活動目錄有如此大的區別，那么它們是怎樣結合在一起的呢？主要有以下幾種途徑： (1)、活動目錄域和DNS域使用一樣的層次結構， 雖然功能和目的不一樣，一個組織的DNS名字空間和活動目錄空間有著一樣的結構。 (2)、DNS區可以存儲在活動目錄中 如果你使用WIN2K DNS服務，那么主域可以存儲在活動目錄中為其它活動目錄域控制器提供復制服務，并且為DNS服務提供增強的安全措施。 (3)、活動目錄客戶使用DNS定位域控制器 對于一個特定的域，為了定位域控制器，活動目錄客戶向它們設定的DNS服務器請求資源記錄。當一個公司使用WIN2K服務器版作為它們的網絡操作系統時，活動目錄被認為是注冊的法定DNS名字根域下的一個或多個層次結構的WIN2K域。 根據DNS的命名規則，DNS名字的被句點（.）分開的每一部分代表DNS樹型層次結構的一個節點，并且代表WIN2K域樹型層次結構的一個潛在的活動目錄域。DNS的根節點以空白表示（“”），活動目錄名字空間的根節點沒有父域，它提供活動目錄的LDAP進入點。 二、站點（Site）在活動目錄中的 應用 我們在利用WINNT4.0來規劃設計我們的企業網絡系統時，要根據企業構建的具體情況設計相應的域模型，如單域、多主域或單主域模型等。我們可以利用這些種類的域模型來規劃企業的網絡環境，實現對企業網絡的組織、管理和控制。當我們去實現這種網絡規劃時，常常要根據企業內部的組織結構形式，作出符合實際需求的規劃設計。如果是一個集團性質的大公司，我們常常需要把某一部門或一些工作關聯性較大的部門設計成一個域，以方便組織和管理。這就給我們設計人員提出了一個很棘手的問題，如果這樣一個域是由地理上分布在不同位置的計算機通過慢速連接構成的，那么通過慢速連接的PDC和BDC的信息同步就會因占據大量網絡流量，影響網絡的整體性能，面對這樣一個問題，我們只能束手無策，根本沒有任何控制方法。 當我接觸到WIN2K之后，活動目錄的強大功能和人性化設計思想，令我們今后的網絡規劃設計更加方便和靈活。而WIN2K活動目錄中Site概念的提出和實現，為管理和控制DC之間的信息同步提供強大工具，從而有效的解決了我們前面提出的那個曾令我們束手無策的難題。 所謂Site,是指在物理上有較好的線路連接的能實現較快通訊速率的計算機的集合，一般是指一個LAN。而Site之間一般是通過慢速連接來實現信息通訊。可見Site 是對網絡上計算機的實際的物理分布的一種客觀反映。有了Site這個概念之后，我們就可以將一個域中的計算機根據地理位置的分布分裝在幾個Site之中。在一個Site當中，活動目錄利用復制組件和KCC形成一個DC之間復制同步的雙向的環形，每個DC都有兩個復制伙伴，它們之間形成完全的信息同步。當一個DC中的目錄數據庫發生變化，它會等待一段時間間隔后向它的復制伙伴發送變更通知，復制伙伴接到變更通知后，會從發生變化的DC上拷貝目錄數據的變化信息。同樣復制伙伴還會把變更信息發送給它的復制伙伴，從而實現整個Site內的DC的同步。由于Site內采用快速而可靠的網絡連接，因此Site內DC之間的復制數據是不壓縮的，這雖然增加了復制信息的要求的帶寬，但減少了DC的處理數據的負擔。一般情況下Site內DC的信息同步采用RPC協議，使數據復制快速、統一，使DC之間保持了較高的數據一致性。 在Site之間一般是通過慢速連接，只有有限的可用帶寬并且數據傳輸不可靠。為了不影響慢速連接線路上的其它數據通訊，以及確保DC間目錄復制的可靠性，Site間的DC的復制不采用Site內DC間復制的變更通知方式，而是采用復制調度的方式。在Site之間可以設定一個時間表和時間間隔，時間表決定在哪些時間允許復制發生，時間間隔指定在允許復制的時間內DC多久檢查一次數據變更。這樣我們就可以將Site間DC復制同步的時間表設定在網絡流量較少的時候（比如午夜）。這時網絡不擁擠相對而言也較可靠。而且在Site間DC的目錄復制采用壓縮的方法，復制信息可以被壓縮至10%到15%，這樣可以有效地優化網絡帶寬。 可見，我們通過合理地規劃活動目錄上的Site，可以有效地控制活動目錄中DC的同步，優化網絡帶寬，提高網絡性能。由于在WIN2K的活動目錄中，DC之間的同步不但涉及一個域內DC之間大量數據的同步，同時不同域的DC之間也有少量信息需要同步。當我們用Site來實現活動目錄中DC之間的復制布局時可以借助于 Site link 和Site link Bridge兩種設置來幫助我們實現，從而形成一個更合理、更有效、更可靠的活動目錄中DC的復制布局，最大限度優化我們的網絡系統。 三、LDAP在活動目錄中的應用 LDAP的英文全稱是Lightweight Directory Access Protocol，簡稱為LDAP。它是基于X.500標準的，但是又比它簡單許多，并且可以根據需要定制的一種目錄服務協議。與X.500不同，LDAP支持TCP/IP，這對訪問Internet是必須的。LDAP的核心規范在RFC中都有定義，所有與LDAP相關的RFC都可以在LDAPman RFC網頁中找到。 目錄服務的工作模型是客戶機/服務器模型。1988年，CCITT組織首先創建了X.500標準全面描述了這一模型，包括目錄服務器的目錄結構、命名方法、搜索機制以及用于客戶機與服務器通信的協議DAP（Directory Access Protocol）。此標準很快被ISO組織引用，編號為ISO 9594。但是，在實際應用的過程中，X.500存在著不少障礙。由于DAP這種應用層的協議是嚴格遵照復雜的ISO七層協議模型制定的，對相關層協議環境要求過多，在許多小系統上無法使用，TCP/IP協議體系的普及更使這種協議越來越不適應需要。在這種情況下，DAP的簡化版棗LDAP應運而生。早期設計的LDAP服務器不是獨立的目錄服務器，主要扮演LDAP客戶機與X.500服務器間網關的角色，既是LDAP的服務器又是X.500的客戶機。如今的LDAP服務器可取代X.500服務器而獨立提供服務。 LDAP服務器的目錄組織以“條目”為基本單位，結構類似樹形，每一個條目即是樹上的一個分枝節點或葉子。一個條目由多個“屬性”組成，每個屬性又由一個“類型”和一到多個“值”組成。LDAP協議直接基于面向連接的TCP協議實現，定義了LDAP客戶機和LDAP服務器間的通信過程和信息格式。LDAP服務器在服務端口（缺省端口號為389）監聽，收到客戶機的請求后，建立連接，開始會話。活動目錄與DNS協議的結合的意義在于使內部網與外部網命名方式保持一致，這樣便于整個網絡的管理。LDAP協議是用于查詢和檢索活動目錄信息的目錄訪問協議。由于它是基于工業標準的目錄服務協議，使用 LDAP 的程序可以發展成與其他目錄服務共享活動目錄信息，這些目錄服務同樣支持LDAP。活動目錄信息活 動目錄使用LDAP 目錄訪問協議作為它與其他應用或者目錄服務交換信息的手段。LDAP 已經成為 目錄服務的標準，它比X.500 DAP 協議更為簡單實用一些。Microsoft 已經在Exchange Server 系統中提供了LDAP v2 和LDAP v3 的支持， 在WIN2K 的活動目錄服 務中將提供更為全面的支持。 值得一提的是LDAP 協議中采用的命名格式， 因為我們需要通過名字信息訪問目錄對象，所以名字格式對于用戶或者應用程序非常重要。活動目錄支持大多數的名字格式類型。較為常用的格式有以下兩種：

（1） RFC822 命 名 法 這種命名法的標準格式為：object_name@domain_name，形式非常類似于電子郵件地址，比如[email protected]。活動目錄為所有的用戶提供了這種式的好名字，所以用戶可以直接使用該友好名字當作電子郵件地址，也可以用作登錄系統時的賬戶名。 （2） LDAP URL 和X.500 名 字 任何一個支持LDAP 的客戶都可以利用LDAP名通過LDAP 協議訪問活動目錄，LDAP 名不像普通的Internet URL 名字那么直觀，但是LDAP 名往往隱藏在 應用系統的內部，最終用戶很少直接使用LDAP 名。LDAP 名使用X.500 命名規 范，也稱為屬性化命名法，包括活動目錄服務所在的服務器以及對象的屬性信息。