【51CTO獨家特稿】微軟活動目錄中，物理結(jié)構(gòu)與邏輯結(jié)構(gòu)有很大的不同，它們是彼此獨立的兩個概念。邏輯結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)資源的管理，而物理結(jié)構(gòu)則側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化?；顒幽夸浀奈锢斫Y(jié)構(gòu)主要著眼于活動目錄信息的復(fù)制和用戶登錄網(wǎng)絡(luò)時的性能優(yōu)化。物理結(jié)構(gòu)的兩個重要概念是站點和 域控制器。

1、站點

站點是由一個或多個IP子網(wǎng)組成，這些子網(wǎng)通過高速網(wǎng)絡(luò)設(shè)備連接在一起。站點往往由企業(yè)的物理位置分布情況決定，可以依據(jù)站點結(jié)構(gòu)配置活動目錄的訪問和復(fù)制拓?fù)潢P(guān)系，這樣能使得網(wǎng)絡(luò)更有效地連接，并且可使復(fù)制策略更合理，用戶登錄更快速， 活動目錄中的站點與域是兩個完全獨立的概念，一個站點中可以有多個域，多個站點也可以位于同一域中。

活動目錄站點和服務(wù)可以通過使用站點提高大多數(shù)配置目錄服務(wù)的效率?？梢酝ㄟ^使用活動目錄站點和服務(wù)向活動目錄發(fā)布站點的方法提供有關(guān)網(wǎng)絡(luò)物理結(jié)構(gòu)的信息，活動目錄使用該信息確定如何復(fù)制目錄信息和處理服務(wù)的請求。計算機(jī)站點是根據(jù)其在子網(wǎng)或一組已連接好子網(wǎng)中的位置指定的，子網(wǎng)提供一種表示網(wǎng)絡(luò)分組的簡單方法，這與我們常見的郵政編碼將地址分組類似。將子網(wǎng)格式化成可方便發(fā)送有關(guān)網(wǎng)絡(luò)與目錄連接物理信息的形式，將計算機(jī)置于一個或多個連接好的子網(wǎng)中充分體現(xiàn)了站點所有計算機(jī)必須連接良好這一標(biāo)準(zhǔn)，原因是同一子網(wǎng)中計算機(jī)的連接情況通常優(yōu)于網(wǎng)絡(luò)中任意選取的計算機(jī)。使用站點的意義主要在于：

（1）、提高了驗證過程的效率

當(dāng)客戶使用域帳戶登錄時，登錄機(jī)制首先搜索與客戶處于同一站點內(nèi)的域控制器，使用客戶站點內(nèi)的域控制器首先可以使網(wǎng)絡(luò)傳輸本地化，加快了身份驗證的速度，提高了驗證過程的效率。

（2）、平衡了復(fù)制頻率

活動目錄信息可在站點內(nèi)部或站點與站點之間進(jìn)行信息復(fù)制，但由于網(wǎng)絡(luò)的原因，活動目錄在站點內(nèi)部復(fù)制信息的頻率高于站點間的復(fù)制頻率。這樣做可以平衡對最新目錄信息需求和可用網(wǎng)絡(luò)帶寬帶來的限制。您可通過站點鏈接來定制活動目錄如何復(fù)制信息以指定站點的連接方法，活動目錄使用有關(guān)站點如何連接的信息生成連接對象以便提供有效的復(fù)制和容錯。

（3）、可提供有關(guān)站點鏈接信息

活動目錄可使用站點鏈接信息費用，鏈接使用次數(shù)，鏈接何時可用以及鏈接使用頻度等信息確定應(yīng)使用哪個站點來復(fù)制信息，以及何時使用該站點。定制復(fù)制計劃使復(fù)制在特定時間（諸如網(wǎng)絡(luò)傳輸空閑時）進(jìn)行會使復(fù)制更為有效。通常，所有域控制器都可用于站點間信息的交換，但也可以通過指定橋頭堡服務(wù)器優(yōu)先發(fā)送和接收站間復(fù)制信息的方法進(jìn)一步控制復(fù)制行為。當(dāng)擁有希望用于站間復(fù)制的特定服務(wù)器時，寧愿建立一個橋頭堡服務(wù)器而不使用其他可用服務(wù)器。或在配置使用代理服務(wù)器時建立一個橋頭堡服務(wù)器，用于通過防火墻發(fā)送和接收信息。

2、域控制器

域控制器是指運行WIN2KServer版本的服務(wù)器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個域中的其他域控制器上，使各域控制器上的目錄信息處于同步。域控制器也負(fù)責(zé)用戶的登錄過程以及其他與域有關(guān)的操作，比如身份鑒定、目錄信息查找等一個域可以有多個域控制器。規(guī)模較小的域可以只需要兩個域控制器，一個實際使用，另一個用于 容錯性檢查。規(guī)模較大的域可以使用多個域控制器。

WIN2K的域結(jié)構(gòu)與WINNT的域結(jié)構(gòu)不同的是，活動目錄中的域控制器沒有主次之分，活動目錄采用了多主機(jī)復(fù)制方案，每一個域控制器都有一個可寫入的目錄副本，這為目錄信息 容錯帶來了無盡的好處。盡管在某一個時刻，不同的域控制器中的目錄信息可能有所不同，但一旦活動目錄中的所有域控制器執(zhí)行同步操作之后，最新的變化信息就會一致。

盡管活動目錄支持多主機(jī)復(fù)制方案，然而由于復(fù)制引起的通信流量以及網(wǎng)絡(luò)潛在的沖 突，變化的傳播并不一定能夠順利進(jìn)行。因此有必要在域控制器中指定全局目錄服務(wù)器以及操作主機(jī)。全局目錄是一個信息倉庫，包含活動目錄中所有對象的一部分屬性，往往是在查詢過程中訪問最為頻繁的屬性。利用這些信息，可以定位到任何一個對象實際所在的位置，而全局目錄服務(wù)器是一個域控制器，它保存了全局目錄的一份副本，并執(zhí)行對全局目錄的查詢操作。全局目錄服務(wù)器可以提高活動目錄中大范圍內(nèi)對象檢索的性能，比如在域林中查詢所有的打印機(jī)操作。如果沒有一個全局目錄服務(wù)器，那么這樣的查詢操作必須要調(diào)動域林中每一個域的查詢過程。如果域中只有一個域控制器，那么它就是全局目錄服務(wù)器；如果有多個域控制器，那么管理員必須把一個域控制器配置為全局目錄控制器。

【51CTO獨家特稿，合作站點轉(zhuǎn)載請注明原文譯者和出處。】

【編輯推薦】

1. Windows 2008數(shù)據(jù)挖掘與活動目錄快照
2. Windows 2008之活動目錄權(quán)限管理服務(wù)
3. 升級Windows 2003到Windows 2008活動目錄
4. 活動目錄管理：拆分雙用途域控制器