第 7 章 创建和管理树和树林,介绍树和树林创建树和树林树和树林间的信任关系全局编录在树和树林间使用组的策略创建管理树和树林错误诊断Active Directory 复制介绍复制组件和过程 复制拓扑 使用站点优化 Active Directory 复制实现站点来管理 Active Directory 复制监视复制流量 最佳实践,7.1 介绍树和树林,树树林树林根域多域的特征,7.1.1 树,7.1.2 树林,7.1.3 树林根域,在树林中创建的第一 个域就是树林的根域,,,,,,,树林,树林根域,,树,树的根域,,全局编录,配置和架构,Enterprise Admins组,Schema Admins组,,,树,7.1.4 多域的特征,减少复制流量,维护分离的、清晰的安全设定,保留早期的 Windows NT 域结构的需要,实现分离的管理控制,,7.2 创建树和树林,创建一个新的子域 创建一棵新树 创建一个树林,7.2.1 创建一个新的子域,,Active Directory 安装向导创建一个新的子域提升这台计算机成为子域的 DC 子域和父域之间形成可传递的双向信任关系,新的子域的域控制器,sales. ,,当前的树林,新的子域,父域(树林根域),,,创建一个新的子域(续),7.2.2 创建一棵新树,创建一棵新树(续),7.2.3 创建一个树林,创建一个树林(续),7.3 树和树林间的信任关系,Windows 2003 中的可传递信任关系 信任关系的工作方式 KERBEROS V5 的工作方式Windows 2003 的快捷信任 Windows 2003 的不可传递的信任关系 验证和撤销信任,7.3.1 Windows 2003 中的可传递信任关系,7.3.2 信任关系的工作方式,7.3.3 KERBEROS V5 的工作方式,,,,,,树林根域,KDC,,,客户,KDC,Kerberos 验证,2,会话票证,7.3.4 Windows 2003 的快捷信任,多媒体演示 创建快捷信任,7.3.5 Windows 2003 的不可传递的信任关系,7.3.6 验证和撤销信任,多媒体演示 验证和撤销信任,7.4 全局编录,全局编录和登录过程 创建全局编录服务器,10.4 全局编录,7.4.1 全局编录和登录过程,7.4.2 创建全局编录服务器,7.5 在树和树林间使用组的策略,通用组和复制 使用通用组时的嵌套策略 课堂讨论 在树和树林间使用组,7.5.1 通用组和复制,7.5.2 使用通用组时的嵌套策略,,,课堂讨论 在树和树林间使用组,课堂讨论 在树和树林间使用组(续),课堂讨论 在树和树林间使用组(续),课堂讨论 在树和树林间使用组(续),创建一个对特定资源有适当权限的域本地组,域 B,域 C,域 A,DLG,DLG,DLG,完全控制权限,,,,课堂讨论 在树和树林间使用组(续),将通用组添加到域本地组,域 B,域 C,域A,DLG,DLG,DLG,,,,课堂讨论 在树和树林间使用组(续),课堂讨论 在树和树林间使用组(续),创建一个域本地组并且赋予权限,课堂讨论 在树和树林间使用组(续),将通用组添加到域本地组中,课堂讨论 在树和树林间使用组(续),创建管理树和树林错误诊断,最佳实践,使用 A-G-G-U-DL-P 策略原则创建快捷信任关系,减少用户验证等待时间和通信流量在有许多用户登录的站点上放置全局编录服务器,7.6 管理 Active Directory 复制,Active Directory 复制介绍复制组件和过程 复制拓扑 使用站点优化 Active Directory 复制实现站点来管理 Active Directory 复制监视复制流量 调节 Active Directory 复制Active Directory 复制错误诊断最佳实践,7.6.1 Active Directory 复制介绍,7.6.2 复制组件和过程,复制的工作方式复制延迟 解决复制冲突 优化复制,复制的工作方式,Active Directory 更新添加对象移动对象编辑对象删除对象,复制延迟,解决复制冲突,7.6.3 优化复制,,始发更新,复制更新,GUID,更新序列号,更新,更新,,域控制器 A,域控制器 B,复制更新,GUID,USN,域控制器 C,,,复制拓扑,目录分区 复制拓扑 全局编录和复制分区 复制拓扑的自动生成 使用连接对象,目录分区,复制拓扑,全局编录和复制分区,复制拓扑的自动生成,使用连接对象,连接对象可以自动或手工生成 连接对象创建在每台域控制器上 可以使用“Active Directory 站点和服务”手工创建、删除、 调整连接对象可以使用“立即复制 ”手动发起复制,,,连接对象,连接对象,域控制器 A1,域控制器 A2,,,使用站点优化 Active Directory 复制,站点 站点内复制 站点间复制 复制协议,站点,第一个站点是自动创建的,称为“Default-First-Site-Name”站点包含数量不等的 IP 子网使用站点可以控制复制流量和登录流量 站点包含着服务器对象,这些服务器对象是根据 IP 子网而集合在一个站点中的,站点内复制,发生在同一个站点的域控制器之间 适用于链路状况良好的情况不压缩复制流量 采用更新通告机制,站点间复制,,站点间复制根据手工设定的时间发起复制被用于优化带宽使用每个站点中的一台或多台域控制器将充当连接另一个站点的桥头,,站点,IP 子网,IP 子网,桥头服务器,,,复制,,站点,IP 子网,IP 子网,桥头服务器,,,复制,,,复制,,,复制协议,7.6.4 实现站点来管理 Active Directory 复制,创建站点和子网 创建和配置站点间链接创建站点间链接桥,创建站点和子网,,创建和配置站点间链接,,,创建和配置站点间链接(续),创建站点间链接桥,创建站点间链接桥(续),7.6.5 监视复制流量,复制监视 使用复制监视器监视复制流量 使用 REPADMIN 监视复制流量,复制监视,查看复制伙伴 查看每一个 USN 值、出错重试次数、原因、标记 按管理员设定的时间间隔查询服务器统计信息 监视、计算复制错误次数 显示尚未复制的对象 在两台域控制器之间同步 触发 KCC 重新计算复制拓扑,使用复制监视器监视复制流量,使用 REPADMIN 监视复制流量,调节 Active Directory 复制,建立附加的连接对象减少域控制器复制间的跃点数如出现某个连接对象不可用,则可以自动绕开 配置首选桥头服务器,Active Directory 复制错误诊断,最佳实践,,回顾,学习完本章后,将能够:了解在 Windows 2003 网络上复制的重要性了解复制组件和复制进程了解如何启用复制拓扑以及如何优化整个网络的复制了解站点如何优化 Active Directory 复制使用站点管理 Active Directory 复制监视复制通信调整复制操作以提高复制性能解决 Active Directory 复制过程中经常遇到的问题应用最佳操作来管理 Active Directory复制,回顾,学习完本章后,将能够:了解 Microsoft Windows 2000 中树和树林的作用在 Windows 2000 中创建并管理树和树林在树和树林中使用信任关系使用全局编录登录 Windows 2000 网络实现最有效的组策略来获得对树和树林中资源的访问权解决在 Windows 2000 中创建和管理树和树林的过程中出现的疑难问题应用在 Active Directory 中创建并管理树和树林的最佳操作,。