進入到1999年,網絡管理的目錄服務逐漸深入人心。與傳統的大型主機的模式相比,客戶機/服務器的模式更加優越,因為在這一模式下,網絡管理員和用戶具有了更大的靈活性,有了更好的擴展性,和更加廣泛的應用軟件選擇性。但是客戶機/服務器模式的靈活性,也有一定的弊病,比如用戶經常性地在網絡中迷失自己,找不到諸如打印機之類的網絡資源;網絡管理員也沒有一個統一的網絡資源管理方法,往往充當救火員的角色,宏觀的疏導和配置能力不夠。
微軟在Windows NT Server 4.0中就已經貫徹了目錄服務的思想。NT的"域,domain"的概念是目錄服務的一個基本單元。"一次登錄,Single London"在Windows NT Server的環境下有了具體的應用,比如Internet Information Server、Exchange Server、SQL Server等都可以與Windows NT Server的賬號驗證集成起來,用戶一次登錄就可以獲得Web、Email和數據庫等多種多樣的網絡服務。
Windows 2000 Server在Windows NT Server 4.0的基礎上,進一步發展了"活動目錄(Active Directory)"。
活動目錄的特征
Microsoft Windows 2000把現在的Windows NT目錄發展為一個完全可擴展,可伸縮的目錄服務,既能滿足商業ISP的需要,又能滿足企業內聯網和外聯網的需要。
目錄服務的六大關鍵特征是:
Windows NT 4.0 的存儲能力最大可以達到每域40兆字節(MB)的對象,這一存儲能力允許在安全帳目管理器 (SAM)中最大達到每域40,000 個用戶。由於Windows NT 4.0 為名字空間使用一個平鋪列表結構,它管理一個巨大的域比較困難。管理工具,例如域的用戶管理器,不能迅速地啟動和顯示所有對象。而且, 因為平鋪列表的數據形式,難以從中尋找一個特定的對象。
為了使得管理更簡單靈活, Windows 2000 目錄使用了一個結構化數據庫,這一數據庫基於Microsoft Exchange目錄存儲庫作為其數據存儲庫。可擴展存儲引擎 (ESE) 的使用使得目錄可以在一個單一數據存儲中攀升到1千萬個對象,克服了Windows NT 4.0中基於注冊表的SAM 數據庫的限制。目錄服務代理 (DSA) 運行於平鋪數據庫之上,實現了一個分層次的名字空間。有了這樣的分層次名字空間,活動目錄從現有的域模型向前發展為一種新的 "樹和森林" 模型。 通過把名字空間分裂為層次結構, 再也不需要在一個平鋪列表上觀察上萬個用戶了。 在一個Windows 2000 域中可以創建組織單位(OU),它們是活動目錄中裝對象的容器。OU 中包含用戶、組、打印機等對象,這些對象能夠被組織成一種邏輯結構, 這種邏輯結構與你運轉和組織業務的方式相適應。另外,你可以利用組織單位來設定管理權。
活動目錄為訪問控制許可提供了豐富的模式,這些模式在許多方面類似於文件和目錄的許可管理。你可以通過隨意設定ACL(訪問控制列表)來設定對任何組織單位中的對象的管理。例如,你可以授權一個電腦管理員重新設置密碼,但不把增加或刪除帳號的權力授給他。
通過給一個管理人員僅只在一個容器中創建或修改對象的權力, 就把他限制那個容器中。這種許可的顆粒化管理允許你提供對管理職責和邊界的很精細的控制。目錄層次中組織單位的使用減少了域的數量,同時能夠達到需要的管理層次。
除了可以在一個域中構成組織單位的樹之外,還可以構成一棵域的樹。這些域被連入一棵使用Kerberos 可傳遞信任的層次樹。可傳遞信任僅僅通過一個簡單的對樹的"連接",就能進行域的管理。基於Windows NT的用戶帳號在樹的任何地方都是有效的,並為單個的用戶提供了登錄,這種登錄對管理網絡應用軟件非常重要,因此它在分布式環境中需要被證明和認可。
多主復制
Windows NT 4.0 實現了一個單主復制模型。根域控制器 (PDC)是唯一具有域數據庫讀寫復制的域控制器。所有其它的域控制器都是備份域控制器 (BDC)。PDC把域數據庫中的所有變化復制給BDC。
在Windows NT 4.0中, 為了能夠對用戶帳號、組等進行修改,PDC 必須總處於可用狀態。如果PDC 服務器壞了或網絡不通,目錄就難以被修改。
Windows 2000 和活動目錄實現了一個多主復制模型。使用多主復制,可以在域中的任何一個域控制器上對目錄進行修改。然後,這個域控制器把修改復制給它的復制伙伴。這樣,即使個別域控制器不能使用,目錄還是百分之百可以被修改。
在線備份和恢復
為了使域控制器實現很高的可用性,活動目錄允許在線的域控制器備份。Windows 2000也提供了一系列的手段,來進行域控制器的恢復。
動態可擴展結構
目錄的結構定義了該目錄中可以被創建的對象和屬性。在活動目錄中,結構由三張表組成,每張表對應下面的一項:
活動目錄允許你擴充結構,創建新的屬性和對象。開發者可以利用這一可擴展性(ADSI)在應用軟件目錄下創建他們自己的數據結構,從而把目錄作為一個數據存儲來使用。例如,一個人力資源應用軟件已經在目錄中找到了關於一個職員的大量信息,這些信息包括這個職員的姓名、電話號碼、辦公室號和家庭住址。在活動目錄下,這個應用 軟件可以通過擴展結構來增加一些必要的屬性,例如這個職員的薪水屬性。
此外,活動目錄的擴展安全模型允許你非常精細地定義安全度。在剛才提到的人力資源應用軟件的例子中,主管人力資源的職員能夠訪問用戶對象,因為這對他們的工作非常重要,而管理人員盡管可以創建或刪除用戶,卻不能夠訪問對象的薪水屬性。
LDAP 作為互操作性的核心協議
為了確保Windows 2000 能夠支持多個操作系統和目錄下的目錄同步和互操作性,活動目錄使用輕量目錄訪問協議 (LDAP)作為客戶訪問協議。 微軟公司正在實施這一目錄訪問的標准協議,同時也是IETF內部的LDAP 標准化進程的推動者之一。微軟還推出了許多建議,包括一些有關目錄復制的建議。這證明了微軟對基於標准的協議和與其他目錄提供商協同工作的承諾。
在活動目錄中實施了用於客戶訪問 的LDAP 版本2 和版本3 。因為復制的標准化進程還沒有最後定稿,活動目錄在第一個版本中實施了一個獨有的復制協議。一旦有了可以使用的標准復制協議,後面的版本將馬上使用用於目錄復制的LDAP。
遷移到活動目錄的三大優點:
許多公司現今在Windows NT上有巨大的投資。因此,所有遷移的最主要目的都是讓顧客的現有投資平緩地,逐漸地從Windows NT 4.0遷移到活動目錄,以此保護顧客的現有投資。 遷移的三大優點是:
Windows NT 支持Windows 2000 活動目錄域控制器與Windows NT 4.0 域控制器組成的混合環境。顧客可以基於業務的需要,以自己的步調來進行遷移。低版本的客戶可以認為他們在訪問Windows NT 4.0 的域控制器。還沒有安裝活動目錄訪問軟件的Windows NT 工作站和Windows 95 的客戶,可以通過使用Windows NT LAN 管理器 (NTLM) 詢問/答復鑒定,登錄到活動目錄控制器上去。
因為活動目錄具有百分之百的向後兼容性,所以企業可以先遷移它們的域控制器,再遷移它們的客戶,或混合遷移服務器與客戶。在遷移過程中決不需要同時把大量的服務器或客戶遷移到新的操作系統中。也決沒有必要為了遷移域控制器或客戶而讓整個域離線。單個的域控制器僅只在它們的操作系統更新的時候才不可使用。這樣就確保了公司可以在不打斷它們業務的情況下遷移到活動目錄。
活動目錄既允許對集中化的Windows NT 4.0 域模型進行簡單遷移,又允許對分散化的Windows NT 4.0 域模型進行簡單遷移。典型的主域或多主域模型可以被容易地遷移進一個活動目錄樹或活動目錄森林。
活動目錄與改進的安全模型相結合,顧客就可以減少企業中域的數目。企業選擇一個主域模型的主要原因是,這樣可以允許地方職員管理地方資源域,同時不用把地方資源域的用戶管理權給予主域中的用戶帳號。這既對中心信息技術(99v) 部門有益,又對地方用戶有益。中心99v 職員不必再去遙遠的地區,或在緩慢的廣域網線路上實現管理操作。同時,地方用戶可以更快地從地方支持職員那裡得到支持。而且,地方支持職員往往對他們當地用戶的日常工作有一個更好的理解。
活動目錄的改進的復制引擎允許你區分兩種復制:使用局域網線路的復制與發生在緩慢的廣域網線路上的復制。它允許你創建站點,這些站點是IP 子網的聚集,具有很好的連通性。在同一個站點中,復制在一段延時之後開始,這段延時是可配置的。站點之間的復制被預先安排,只能在選定時間內使用廣域網帶寬。
一般而言,在對象數目相同的情況下,活動目錄中的復制流量比Windows NT 4.0中的復制流量要小。盡管活動目錄定義了更多的對象,每個對象有更多的屬性,但因為活動目錄中的復制在單個屬性的層次上發生,所以復制變得更精細了。如果你僅僅改變了一個對象中的一個屬性,將只有這個屬性被復制給它的復制伙伴,而不是把這個對象作為一個整體復制給它的復制伙伴。
進入到1999年,網絡系統中的目錄服務逐漸深入人心。與傳統的大型主機的模式相比,客戶機/服務器的模式更加優越,因為在這一模式下,網絡管理員和用戶具有了更大的靈活性,有了更好的擴展性,和更加廣泛的應用軟件選擇性。但是客戶機/服務器模式的靈活性,也有一定的弊病,比如用戶經常性地在網絡中迷失自己,找不到諸如打印機之類的網絡資源;網絡管理員也沒有一個統一的網絡資源管理方法,往往充當救火員的角色,宏觀的疏導和配置能力不夠。
微軟在Windows NT Server 4.0中就已經貫徹了目錄服務的思想。NT的"域(domain)"的概念是目錄服務的一個基本單元。"一次登錄,Single Logon"在Windows NT Server的環境下有了具體的應用,比如Internet Information Server、Exchange Server、SQL Server等都可以與Windows NT Server的賬號驗證集成起來,用戶一次登錄就可以獲得Web、Email和數據庫等多種多樣的網絡服務。
Windows 2000 Server在Windows NT Server 4.0的基礎上,進一步發展了"活動目錄(Active Directory)"。活動目錄充分體現了微軟產品的"ICE",即集成性(Integration),深入性(Comprehensive),和易用性(Ease of Use)等優點。活動目錄是一個完全可擴展,可伸縮的目錄服務,既能滿足商業ISP的需要,又能滿足企業內部網和外聯網的需要。
活動目錄的由來
活動目錄是從一個數據存儲開始的。它采用的是Exchange Server的數據存儲,稱為:Extensible Storage Service (ESS)。其特點是不需要事先定義數據庫的參數,可以做到動態地增長,性能非常優良。這個數據存儲之上已建立索引的,可以方便快速地搜索和定位。活動目錄的分區是"域(Domain)",一個域可以存儲上百萬的對象。域之間還有層次關系,可以建立域樹和域森林,無限地擴展。
在數據存儲之上,微軟建立了一個對象模型,以構成活動目錄。這一對象模型對LDAP有純粹的支持,還可以管理和修改Schema。Schema包括了在活動目錄中的計算機、用戶和打印機等所有對象的定義,其本身也是活動目錄的內容之一,在整個域森林中是唯一的。通過修改Schema的工具,用戶或開發人員可以自己定義特殊的類和屬性,來創建所需要的對象和對象屬性。
活動目錄包括兩個方面:一個目錄和與目錄相關的服務。目錄是存儲各種對象的一個物理上的容器;而目錄服務是使目錄中所有信息和資源發揮作用的服務。活動目錄是一個分布式的目錄服務。信息可以分散在多台不同的計算機上,保證快速訪問和容錯;同時不管用戶從何處訪問或信息處在何處,都對用戶提供統一的視圖。
活動目錄的集成性(Integration)
微軟的活動目錄生動了結合了三個方面的管理內容:用戶和資源管理、基於目錄的網絡服務,和基於網絡的應用管理。而且活動目錄廣泛地采納了Internet標准,把眾多的Internet服務都集成在一起,提供了革命性的價值。
目錄管理的基本對象是用戶和計算機,還包括文件、打印機等資源。舉例來說,用戶對象的屬性非常豐富,不但有常見的賬號名、口令等,還包括郵件信箱和個人主頁地址、在公司中的職位關系等,可以在活動目錄中右鍵點擊用戶對象發送郵件和訪問其個人主頁等。其職位關系可以在公司的內部網上有Web組織結構圖的方式動態地顯示出來,也可以為內部采購、費用報銷等應用程序利用來實施業務邏輯。在活動目錄中,支持全局性的查找,比如查找在整個網絡中的雙面打印的彩色打印機等。
活動目錄徹底地采用了Internet標准協議,比如用戶賬號可以用[email protected]或[email protected]的快捷方式來表征,來登錄網絡等。在此bj.yourcom.com和yourcom.com就是兩個不同的域。但是這兩個域之間有信任關系,因為yourcom.com是一個根域,bj.yourcom.com是一個子域。子域之下還可以有子域,比如sales.bj.yourcom.com,相互之間都是可傳遞的信任關系,構成一棵域樹。如果你的公司兼並了一家其他的公司,你的域樹可以和它們的域樹hiscom.com建立起整個的域森林來。DNS (domain name service)在此充當了名字解析的功能,我們建議使用與活動目錄集成的DNS Server,來保證動態更新域名和更好的復制能力。整個域森林的所有對象,只要安全性管理許可,都可以用LDAP協議訪問到。
在當今的Internet時代,微軟活動目錄這種基於Internet標准的做法,給用戶帶來了幾乎無窮盡的益處。活動目錄集成了關鍵服務,如DNS、MSMQ(消息隊列服務);集成了關鍵應用,如電子郵件、網管、ERP等;集成了關鍵數據訪問,如ADSI、OLE DB等;還集成了關鍵的安全性,如Kerberos第五版本和公開密鑰基礎設施等。
基於活動目錄的網絡基礎設施服務(Directory-Enabled Networking, DEN)是微軟和思科公司共同提出來的,旨在提高網絡可管理性和提高網絡服務質量的倡議。在Windows 2000活動目錄中,可以做到根據不同的用戶或應用分配網絡帶寬等高級的網絡管理任務,以及支持ATM網絡和QoS協議等。
基於活動目錄的應用服務(Directory-Enabled Application)是在Windows 2000平台上的新一代的應用程序。應用開發員可以擴展活動目錄的Schema 和 UI,通過ADSI/ADO編程,在活動目錄中發布service 綁定信息,通過Group Policy配置應用程序,進行Just In Time應用下載和應用改變的自動通知等。比較典型的一個基於目錄的應用的例子,是NetMeeting。在活動目錄的環境中,你只要在NetMeeting中敲入同事的Email別名,就可以通過活動目錄中的定位服務,與其進行對話和桌面協作等,非常方便。 活動目錄的深入性(Comprehensive)
活動目錄的深入性體現在企業級的可伸縮性,安全性,互操作性,編程能力和升級能力上。活動目錄既可以存儲極少的幾個對象,也可以存儲上億萬的對象。活動目錄通過為每個域創建一個目錄存儲的方法來獲得伸縮性。這一個目錄存儲中僅僅包括了這個域中的所有對象。當域樹建立起來之後,每個域有能力搜索整個域樹中所有的目錄存儲。這種劃分整個域樹的方法,使用戶所需要的信息離用戶最近,響應最好。域的目錄存儲還可以有很多的副本,副本之間自動地做同步,進一步提高響應速度和服務可獲得性。
這種域樹和域森林的方法,幫助活動目錄使用容器層次來模擬一個企業的組織結構。組織中的不同部門可以成為不同的域,或者一個域中有層次結構的組織單元(Organizational Unit, OU),從而采用層次化的命名方法來反映組織結構和進行管理授權。順著組織結構進行顆粒化的管理授權可以解決很多管理上的頭疼問題,在加強中央管理的同時,又不失機動靈活性。
Windows NT 4.0中的很多域都可以成為OU,建立起更大的域和更簡化的域關系,借助全局目錄(Global Catalog) ,用戶和管理員仍然能夠迅速地找到對象和管理對象。Windows 2000可以在現存的Windows NT 4.0的環境中工作,保護現有的投資;微軟也提供一系列的工具幫助4.0的用戶遷移到Windows 2000的目錄環境中。微軟提供Directory Connector使活動目錄與Exchange Server 5.5、NDS的目錄服務同步,並且Exchange 6.0干脆就采用了Windows 2000作其目錄服務。
在活動目錄中,目錄存儲只有一種形式,即域控制器(Domain Controller),包括了完整的域目錄的信息,不再有主域控制器和備份域控制器的區別。所有的域控制器在用戶訪問和提供服務方面都是相同的。它們之間的同步是采用了一種先進的多主復制的技術,稱為Update Sequence Numbers (USN)。每個服務器跟蹤其復制伙伴的最新USN列表,保證及時更新並且更新不會有沖突或相互覆蓋等。
Windows 2000的安全性服務(如Kerberos,PKI和智能卡等)和活動目錄緊密結合。活動目錄存儲了域安全政策的信息,比如域口令的限制政策、系統訪問權限等,實施了基於對象的安全模型和訪問控制機制。在活動目錄中的每個對象都有一個獨有的安全性描述,定義了浏覽或更新對象屬性所需要的訪問權限。但是,當LDAP客戶端訪問活動目錄時,操作系統會實施訪問安全控制,而不是由活動目錄來決定訪問控制的。Windows 2000 安全性和活動目錄相輔相成,可以共同完成任務和協同管理。
活動目錄的易用性(Ease of Use)
一個功能強大的目錄服務如果不能易於使用,也不是一個好的目錄服務。活動目錄的易用性,也是Windows 2000整體Simplicity的一個體現。微軟始終抱著這樣的信仰:必須是大家樂於使用易於使用的技術,才是真正的好技術。因此,微軟的活動目錄也在此下了很大的功夫。
先說一下活動目錄的安裝。Windows NT Server 4.0的用戶可能不習慣Windows 2000 Server的做法:所有的新安裝都是安裝成為Member Server,目錄服務都需要事後用Dcpromo的命令特別安裝。目錄服務還可以卸載,而不用象在安裝Windows NT 4.0那樣,一開始就要定終身:區分域控制器還是Member Server,兩者之間不可轉換。
Dcpromo是一個圖形化的向導程序,引導用戶一步一步地建立域控制器,可以新建一個域森林,一棵域樹,或者僅僅是域控制器的另一個備份,非常方便。很多其他的網絡服務,比如DNS Server、DHCP Server和Certificate Server等,都可以在以後與活動目錄集成安裝,便於實施策略管理等。
在活動目錄安裝之後,主要有三個活動目錄的微軟管理界面(MMC),一個是活動目錄用戶和計算機管理,主要用於實施對域的管理;一個是活動目錄的域和域信任關系的管理,主要用於管理多域的關系;還有一個是活動目錄的站點管理,可以把域控制器置於不同的站點。一般局域網的范圍內,為一個站點,站點內的域控制器之間的復制是自動進行的;站點間的域控制器之間的復制,需要管理員設定,以優化復制流量,提高可伸縮性。從活動目錄管理界面,還可以對SDOU(站點、域和組織單元的統稱)右鍵點擊,啟動組策略(Group Policy)的管理界面,實施對對象的細致管理。
對於SDOU,管理員還可以方便地進行管理授權。右鍵點擊SDOU就可以啟動"管理授權向導",一步一步地設定哪些管理員對於哪些對象有什麼樣的管理權限。比如說企業內部技術支持中心的管理員,只有復位用戶口令的權限,沒有創建和刪除用戶賬號的權限。這種更細致的管理方法,成為"顆粒化"。
另外,活動目錄還充分地考慮到了備份和恢復目錄服務的需要。Windows 2000備份工具中有專門備份活動目錄的選項,在出現意外事故的時候,可以在機器啟動時按F8進入安全模式,來進行目錄服務的恢復,保證減少災難的惡性影響。
結束語:尋找中國企業的大型網絡
通過我上述的介紹,相信您對於活動目錄的出色之處已經有了一個初步的了解。作為產品經理,我們目前的一個工作是在找尋我國企業用戶的大型網絡。因為要發揮活動目錄的企業級性能,需要有使用大型網絡進行關鍵業務的用戶,只有他們才能在實踐中體會活動目錄的優勢。
也經常有人向我詢問活動目錄和NDS的比較情況。活動目錄的集成性、深入性和易用性(ICE),是NDS整體上不能望其項背,比如NDS缺乏對DNS命名、純粹LDAP訪問、新的安全性機制的支持,有全局目錄過於分離等設計缺陷。正如古人所說:一片冰心(ICE)在玉壺,用戶自然有判斷。