AD基本概念+jLDAPAPI

一、基本概念

对象：这是一个代表网络资源的已命名的特定属性集。对象属性是目录中对象的特征。对象也可以按类进行分组，类是对象的逻辑分组。比如：用户、组和计算机是不同对象类的例子。

叶对象：在最低一层，某些对象代表网络上的单个实体，如用户或计算机。这些实体称为叶对象，它们不能包含其它对象。

容器对象：为了简化目录的管理和组织，可以将叶对象放在容器对象内部。容器对象也可以采用嵌套（或层次）形式包含其它容器。

组织单元（OU）：可以使用 OU 将对象进行分类，并将域变成某种类型的逻辑管理分组。

域：是 Active Directory 数据库的物理分区。每个域表示一个安全边界。对每个域中对象的访问是由访问控制项 (ACE) 控制的，后者包含在访问控制列表 (ACL) 中。这些安全设置并不跨越域边界。在 Active Directory 中，域也可以称为“分区”。

目录树：可以包含一个域或将多个域分成一组以便共享全局资源的数据形式。

全局编录（Global Directory）：GC 是目录树中对象的中央储存库。

架构：目录树中的所有域共享所有对象类型的定义结构。

子域：如果公司的根域为“company.com”，则可以给销售和技术支持部门创建单独的域，它们的域名分别为“sales.company.com”和“support.company.com”。这些域称为子域。

目录林：可使用目录林，将组织中的不同部门，甚至不同组织组合到一起。这些部门不必共享相同的命名架构并且独立运作，但彼此之间可以进行通信。目录林中的所有目录树共享相同的架构、全局编录和配置容器。



域控制器：

在 Windows 2000 环境中，将所有参与网络管理的服务器均看作是域控制器。并且彼此之间没有主次之分。域控制器 (DC) 存储目录数据库的复制副本，并且域中控制器之间的复制是自动完成的。



复制：

对于 Active Directory，所有 DC 在站点中自动复制，并支持多主机复制，以复制所有域控制器的 Active Directory 信息。由于引入了多主机复制，管理员可以更新域中任何 Windows 2000 域控制器上的 Active Directory。

问题一、如何保持数据的同步复制？

       多主机数据库复制还有助于控制何时将更改同步，哪些信息是最新的，以及何时停止数据复制以避免重复和冗余。为确定哪些信息需要更新，Active Directory 使用 64 位更新顺序号 (USN)。这些号码创建后与所有的属性相关联。每次更改一个对象之后，其 USN 都会递增并与属性一起保存。每个 Active Directory 服务器都保留站点内所有复制伙伴的最新 USN 的表格。该表格包括每个属性的最高 USN。 当达到复制时间间隔时，则每个服务器只请求那些 USN 比列在自己表格中的 USN 大的更改。

问题二、如何解决数据同步的冲突问题？

       有时，在复制所有的更改之前，可能在两个不同的 Active Directory 服务器上对同一属性进行了更改。这就会导致复制冲突。必须将其中一个更改声明为更准确的更改，并将此更改用作所有其他复制伙伴的复制源。为解决这种潜在的问题，Active Directory 使用了整个站点的属性版本号 (PVN) 值。当发生起始写入操作时，PVN 就会递增。起始写入操作就是直接在某个特定 Active Directory 服务器上发生的写入操作。 当在不同位置的具有相同的 PVN 的两个或多个属性值被更改时，接收更改的 Active Directory 服务器就会对每个更改的时间戳进行检查，并使用最新的一个进行更新。此问题的最重要分枝是网络中心时钟的安装和维护。

问题三、如何解决复制循环的问题？

       Active Directory 可使管理员配置多个路径以达到冗余的目的。为了避免更改无止境地更新下去，Active Directory 在每个服务器上创建 USN 对的列表。这些列表被称为最新矢量 (UDV)。它们保存每个起始写入操作的最高USN。每个UDV 均列出在其所在的站点中的所有其他服务器。当发生复制时，请求服务器就把自己的 UDV 发送到发送服务器。每个起始写入操作的最高USN 都可用来确定是否仍需要复制更改。如果 USN 号码相同或更高，则不需要进行更改，因为请求的服务器已经被更新了。



站点：就是一个基于 Internet 协议 (IP) 子网且连接状况良好的计算机集合。由于站点控制着进行复制的方式，因此使用“站点和服务”管理单元所做的更改将影响域内相隔很远的域控制器 (DC) 之间的通讯效率。

站点与域的区别：

一个站点可以跨越多个域，而一个域也可以跨越多个站点。站点并不属于域名称空间的一部分。站点控制着域信息的复制，并可以帮助确定资源位置的远近。例如，工作站在其站点内选择一个 DC 来进行验证。



名称空间：在逻辑层次上，Windows 2000 Active Directory 只不过是另一个名称空间。在 Active Directory 中，两个主要信息类型存储：

•对象的逻辑位置。
•有关该对象的属性列表。
目录树中的每个容器和对象都有一个唯一的名称。这些名称空间是目录树中所有容器和对象、或分支和叶对象的完全路径。对象在目录树中的位置决定了其可分辨的名称。

全局编录：

       全局编录包含目录中每个 Windows 2000 域的部分副本，它是由 Active Directory 复制系统自动创建的。这样，只要给出目标对象的一个或几个属性，用户和应用程序就可以在 Active Directory 域目录树中找到这些对象。全局编录还包含目录分区的架构和配置。这就是说，全局编录存储 Active Directory 中每个对象的副本，但只存储它们的很少一部分属性。全局编录中的属性是搜索操作中那些最常使用的属性（如用户的名和姓、登录名等等），这些属性是查找对象完整副本位置所必需的。

       使用这种公用信息，用户可以很快找到要找的对象，而无需知道这些对象在哪个域中，也不要求知道企业中相邻的扩展名称空间。如果在全局编录中找不到该对象，则搜索功能将查询本地域分区以获得信息。


DNS 与 AD 的集成
DNS 域和 Active Directory 域对不同的名称空间使用完全相同的域名。即使两个名称空间共享相同的域结构，它们也是不同的名称空间。每个名称空间存储不同的数据并管理不同的对象。DNS 使用区域和资源记录，而 Active Directory 使用域和域对象。

Active Directory 与 DNS 的集成是这样实现的：每个 Active Directory 服务器将自己的地址发布在 DNS 主机上的服务资源记录中。


全球唯一标识符

Active Directory 通过将全局唯一标识符 (GUID) 与每个对象关联起来实现网络中的每个对象必须用唯一的属性来标识这一特点。即使对象的逻辑名称被更改，也应保证这个号码是唯一的且永远不会被目录数据库更改。当用户或应用程序首次在目录中创建可分辨的名称 (DN) 时，就会生成 GUID。


二、原则：
1. 所有网络对象只能在一个域中存在（无论是叶对象还是容器对象）。

2. 在域中可维护的对象数量的上限为一百万。


j LDAP API
http://developer.novell.com/documentation/jldap/jldapenu/api/index.html