Active Directory Domain services

Active Directory Domain services

Dengan menggunakan Active Directory ® Domain Services (AD DS) peran server, Anda dapat menciptakan infrastruktur scalable, aman, dan dikelola untuk pengguna dan manajemen sumber daya, dan Anda dapat menyediakan dukungan untuk aplikasi direktori-enabled, seperti Microsoft ® Exchange Server.
Pada bagian berikut, mempelajari lebih lanjut tentang AD DS, fitur di AD DS, dan pertimbangan perangkat lunak dan perangkat keras. Untuk informasi lebih lanjut tentang perencanaan, penggelaran, dan operasi peran AD DS Server, lihat Directory Services Domain Aktif (http://go.microsoft.com/fwlink/?LinkID=48547 [Link ini berada di luar Wiki TechNet. Ini akan membuka di jendela baru])..Apa itu Direktori sebuah?
Suatu direktori, dalam arti paling umum, adalah daftar lengkap dari objek. Sebuah buku telepon adalah jenis direktori yang menyimpan informasi tentang orang, bisnis, dan organisasi pemerintah. Buku telepon biasanya mencatat nama, alamat, dan nomor telepon. AD DS ini mirip dengan buku telepon dalam beberapa cara, dan itu jauh lebih fleksibel. AD DS akan menyimpan informasi tentang organisasi, situs, komputer, pengguna, saham, dan hampir semua objek jaringan lain yang dapat Anda bayangkan. Tidak semua objek adalah sebagai mirip satu sama lain seperti yang disimpan dalam buku telepon, jadi AD DS mencakup kemampuan untuk merekam berbagai jenis informasi tentang objek yang berbeda.Lightweight Directory Access Protocol (LDAP)
AD DS mencerminkan tren Microsoft menuju mengandalkan protokol standar. Akses Protokol Direktori Ringan (LDAP) adalah produk dari IETF (Internet Engineering Task Force). Ini mendefinisikan bagaimana klien dan server bertukar informasi tentang direktori. LDAP versi 2 dan versi 3 digunakan dalam AD DS.Distinguished Nama
Hal ini sangat penting untuk memahami struktur nama terhormat, karena Anda akan menyebut mereka sering dalam perjalanan pekerjaan Anda. Membedakan nama saya adalah / O = Internet / DC = COM / DC = Microsoft / DC = MSPress / CN = Users / CN = Tony Northrup. Perhatikan gambar berikut, yang menunjukkan bagaimana saya masuk ke dalam pohon sampel AD DS. Nama yg saya berikan mulai membuat beberapa akal-itu mengidentifikasi setiap kontainer dari puncak sampai ke objek tertentu saya. Setiap wadah dipisahkan dengan garis miring dan identifier. Sebagai contoh, COM, Microsoft, dan MSPress masing-masing diawali dengan / DC =. DC singkatan Komponen Domain, yang mengidentifikasi domain DNS.
Bb742424.f11ih09 (id, TechNet.10). GifNama Distinguished menggambarkan lokasi sebuah objek di pohon.
Untuk menyederhanakan nama terhormat, nama yg relatif juga dapat digunakan. Nama dibedakan relatif dari contoh sebelumnya adalah CN = Tony Northrup, mengidentifikasi nama pengguna tetapi tidak konteks di mana ia berada. Konteksnya harus diketahui sudah untuk membedakan nama relatif menjadi pengenal yang efektif.Pengguna Kepala Sekolah Nama
Nama Distinguished yang besar untuk komputer tapi terlalu rumit bagi orang untuk mengingat. Orang-orang telah terbiasa dengan e-mail, sehingga AD DS menyediakan alamat-alamat sebagai jalan pintas untuk nama objek penuh. Dalam Gambar 11-9, Tony Northrup adalah pengguna dari domain mspress.microsoft.com. Seorang administrator dapat membuat nama pengguna utama dalam domain microsoft.com untuk memungkinkan akses mudah untuk account pengguna saya terus tempat untuk alamat e-mail saya, seperti northrup@microsoft.com.
Pengguna akan mengandalkan nama pengguna utama mereka untuk masuk ke komputer mereka. Dengan kata lain, nama pengguna utama akan menggantikan nama pengguna digunakan dalam jaringan Windows yang lebih tua. Jelas, ini membantu pengguna dengan menyimpannya kesulitan mengetik nama dibedakan mereka. Namun, juga menguntungkan pengguna karena nama pengguna utama akan tetap sama bahkan jika administrator memindahkan atau mengubah nama akun pengguna yang mendasarinya.Apa peran AD DS Server?
AD DS menyediakan database terdistribusi yang menyimpan dan mengelola informasi tentang sumber daya jaringan dan aplikasi-spesifik data dari aplikasi direktori-enabled. Administrator dapat menggunakan AD DS untuk mengatur elemen jaringan, seperti pengguna, komputer, dan perangkat lain, menjadi struktur penahanan hirarkis. Struktur hirarkis penahanan termasuk AD DS hutan, domain di hutan, dan unit organisasi (OU) di setiap domain. Sebuah server yang menjalankan AD DS disebut domain controller.
Pengorganisasian elemen jaringan ke dalam struktur hirarki penahanan memberikan manfaat berikut ini:

    Hutan berperan sebagai pembatas keamanan bagi suatu organisasi dan mendefinisikan ruang lingkup kewenangan untuk administrator. Secara default, hutan berisi satu domain, yang dikenal sebagai domain root hutan.
    Domain tambahan dapat dibuat di hutan untuk menyediakan partisi data AD DS, yang memungkinkan organisasi untuk replikasi data hanya tempat yang membutuhkan. Hal ini memungkinkan untuk AD DS untuk skala global melalui jaringan yang telah membatasi bandwidth yang tersedia. Sebuah domain AD DS juga mendukung sejumlah fungsi inti lainnya yang terkait dengan administrasi, termasuk jaringan-lebar identitas pengguna, otentikasi, dan hubungan kepercayaan.
    OU menyederhanakan pendelegasian wewenang untuk memfasilitasi pengelolaan sejumlah besar objek. Melalui delegasi, pemilik dapat mengalihkan kekuasaan penuh atau terbatas atas objek untuk pengguna lain atau kelompok. Delegasi adalah penting karena membantu untuk mendistribusikan pengelolaan sejumlah besar objek untuk sejumlah orang yang dipercaya untuk melakukan tugas manajemen.
Fitur di AD DS
Keamanan terintegrasi dengan AD DS melalui otentikasi logon dan kontrol akses ke sumber daya dalam direktori. Dengan logon jaringan tunggal, administrator dapat mengelola data direktori dan organisasi di seluruh jaringan mereka. Pengguna jaringan yang berwenang juga dapat menggunakan logon jaringan tunggal untuk mengakses sumber daya di mana saja dalam jaringan. Kebijakan Administrasi berbasis memudahkan pengelolaan bahkan jaringan yang paling kompleks.
Tambahan AD DS fitur termasuk berikut ini:

    Satu set aturan, skema, yang mendefinisikan kelas dari objek dan atribut yang tercantum dalam direktori, kendala dan batasan pada contoh benda-benda, dan format nama mereka.
    Sebuah katalog global yang berisi informasi tentang setiap objek dalam direktori. User dan administrator dapat menggunakan katalog global untuk menemukan informasi direktori, terlepas dari domain dalam direktori benar-benar berisi data.
    Sebuah query dan mekanisme indeks, sehingga benda-benda dan sifat mereka dapat dipublikasikan dan ditemukan oleh pengguna jaringan atau aplikasi.
    Sebuah layanan replikasi yang mendistribusikan data direktori di dalam jaringan. Semua kontroler domain dapat ditulis dalam domain berpartisipasi dalam replikasi dan berisi salinan lengkap dari semua informasi direktori untuk domain mereka. Setiap perubahan data direktori direplikasi ke semua domain controller dalam domain tersebut.
    Operasi tuan peran (juga dikenal sebagai fleksibel operasi penguasa tunggal atau FSMO). Domain controller yang memegang peran operasi master ditunjuk untuk melakukan tugas khusus untuk memastikan konsistensi dan menghilangkan entri yang saling bertentangan dalam direktori.
Identity Management untuk UNIX
Identity Management untuk UNIX adalah layanan peran AD DS yang dapat diinstal hanya pada kontroler domain. Dua Identity Management untuk UNIX teknologi, Server untuk Sinkronisasi NIS dan Password, membuatnya lebih mudah untuk mengintegrasikan komputer yang menjalankan Microsoft Windows ® menjadi perusahaan yang ada UNIX Anda. AD DS administrator dapat menggunakan Server untuk NIS untuk mengelola Network Information Service (NIS) domain. Sinkronisasi password secara otomatis mensinkronisasikan password antara Windows dan sistem operasi UNIX.Baru AD DS fitur di Windows Server 2008 R2Fitur Deskripsi
Direktori Aktif Pusat Administrasi

Direktori Aktif Pusat Administrasi menyediakan pengguna dan administrator jaringan dengan pengalaman manajemen data ditingkatkan dan user interface yang kaya grafis (GUI) untuk melakukan tugas umum objek Direktori Manajemen aktif. Dibangun pada Windows PowerShell ™ teknologi, Direktori Aktif Pusat Administrasi memungkinkan pengguna dan administrator jaringan untuk mengelola objek direktori layanan melalui kedua navigasi berbasis data dan berorientasi pada tugas navigasi.
Active Directory modul untuk Windows PowerShell

Modul Active Directory untuk Windows PowerShell adalah antarmuka baris perintah yang administrator dapat digunakan untuk mengkonfigurasi dan mendiagnosa semua contoh Active Directory Domain Services (AD DS) dan Active Directory Services Directory Ringan (AD LDS) di lingkungan mereka.
Fitur ini mencakup seperangkat cmdlets Windows PowerShell dan penyedia. Penyedia menghadapkan database Active Directory melalui sistem navigasi hirarkis, yang sangat mirip dengan sistem file. Seperti drive di sistem file (C:, D :), Anda dapat menghubungkan drive Windows PowerShell ke domain Active Directory dan LDS AD kasus, serta foto Active Directory.
Active Directory Recycle Bin

Active Directory Recycle Bin meminimalkan downtime layanan direktori dengan meningkatkan kemampuan untuk melestarikan dan mengembalikan sengaja menghapus objek Active Directory tanpa harus mengembalikan data Active Directory dari backup, restart AD DS, atau restart kontroler domain. Ketika atribut Active Directory Recycle Bin diaktifkan, semua link-dihargai dan non-link-nilai dari objek dihapus yang diawetkan dan objek dikembalikan secara utuh ke negara logis yang sama konsisten bahwa mereka dalam segera sebelum penghapusan. Sebagai contoh, account pengguna dikembalikan secara otomatis mendapatkan kembali semua grup dan hak akses yang sesuai yang mereka punya di dalam dan di domain segera sebelum penghapusan. Active Directory Recycle Bin fungsional untuk kedua AD DS dan AD LDS lingkungan.
Active Directory Recycle Bin memerlukan Windows Server 2008 R2 tingkat fungsional hutan, dan dinonaktifkan secara default. Untuk mengaktifkannya, Anda dapat menggunakan Ldp.exe atau Windows PowerShell Aktifkan-ADOptionalFeature cmdlet.
Aktif Web Directory Services (ADWS)

ADWS adalah layanan Windows yang menyediakan antarmuka layanan Web untuk AD DS dan kasus AD LDS dan layanan direktori Active Directory untuk snapshot yang berjalan pada server Windows Server 2008 R2 yang sama sebagai ADWS. ADWS terinstal secara otomatis saat Anda menambahkan AD DS atau AD LDS peran server ke Server Anda Windows server 2008 R2.
Otentikasi Mekanisme Jaminan

Otentikasi Mekanisme Jaminan paket informasi tentang jenis metode logon (kartu pintar atau nama pengguna / kata sandi) yang digunakan untuk otentikasi pengguna domain di dalam setiap pengguna Kerberos token. Bila fitur ini diaktifkan dalam lingkungan jaringan yang telah menyebarkan identitas federasi infrastruktur manajemen, seperti Active Directory Federation Services (AD FS), informasi dalam token kemudian dapat diekstraksi setiap kali pengguna mencoba untuk mengakses aplikasi-klaim menyadari bahwa telah dikembangkan untuk menentukan otorisasi berdasarkan metode logon pengguna.
Otentikasi Mekanisme Jaminan memerlukan Windows Server 2008 R2 domain tingkat fungsional.
Domain Offline bergabung

Domain yang online sekarang bergabung adalah sebuah proses baru bahwa komputer yang menjalankan Windows ® 7 atau Windows Server 2008 R2 yang dapat digunakan untuk bergabung sebuah domain. Situs online sekarang gabung proses dapat menyelesaikan domain tersebut bergabung dengan operasi tanpa konektivitas jaringan.Instalasi peran AD DS Server
Setelah Anda selesai menginstal sistem operasi, Anda dapat menggunakan Tugas Konfigurasi Awal atau Server Manager untuk menginstal peran server. Untuk menginstal peran AD DS Server, klik Add peran untuk memulai Wisaya Peran Add, kemudian klik Layanan Domain Direktori Aktif. Ikuti langkah-langkah dalam Wizard Peran Tambahkan ke menginstal file untuk peran server AD DS. Setelah Anda menyelesaikan Wizard Peran Add, klik link untuk memulai wizard Active Directory Domain Jasa Instalasi.
Ikuti langkah-langkah di Direktori Domain Wizard Aktif Jasa Instalasi untuk menyelesaikan instalasi dan konfigurasi kontroler domain Anda. Halaman penyihir paling memiliki link Bantuan untuk informasi lebih lanjut tentang pengaturan yang dapat dikonfigurasi.
Untuk mengotomatisasi instalasi domain controller, Anda dapat menggunakan file jawaban atau Anda dapat menentukan parameter instalasi tanpa pengawasan pada baris perintah. Untuk informasi lebih lanjut tentang menginstal AD DS, lihat Instalasi AD DS dan Penghapusan Langkah-Langkah Panduan (http://go.microsoft.com/fwlink/?LinkId=110897 [Link ini berada di luar Wiki TechNet. Ini akan membuka di jendela baru])..Mengelola peran AD DS Server
Anda dapat mengelola peran server dengan Microsoft Management Console (MMC) snap-in. Untuk mengelola domain controller (yaitu, sebuah server yang menjalankan AD DS), klik Mulai, klik Panel Kontrol, klik Alat Administratif, kemudian klik dua kali tepat snap-in:

    Untuk mengelola objek Active Directory dengan menggunakan alat GUI terbaru, dengan pilihan ditingkatkan untuk melihat dan mengelola data Active Directory, klik Active Directory Pusat Administrasi.
    Untuk mengelola objek Active Directory dengan menggunakan satu set standar dari Windows PowerShell cmdlets dan penyedia, klik Modul Active Directory untuk Windows PowerShell.
    Untuk mengelola pengguna dan account komputer, klik Active Directory User dan Komputer (dsa.msc).
    Untuk mengelola kepercayaan Active Directory, tingkat fungsional, dan hutan-lebar peran operasi master, klik Domain dan Trust Direktori Aktif (domain.msc).
    Untuk mengelola situs Active Directory dan link situs, klik Active Directory Situs dan Jasa (dssite.msc).
Sebagai alternatif, Anda dapat mengklik dua kali snap-in yang sesuai pada halaman Layanan Domain Direktori Aktif di Server Manager.Keamanan
AD DS memainkan peran penting dalam masa depan jaringan Windows. Administrator harus mampu melindungi direktori mereka dari penyerang dan pengguna, sementara mendelegasikan tugas kepada administrator lain yang diperlukan. Ini semua mungkin menggunakan AD DS model keamanan, yang rekan sebuah daftar kontrol akses (ACL) dengan masing-masing kontainer, objek, dan atribut objek dalam direktori. Gambar berikut menunjukkan langkah dari Delegasi Pengendalian wizard, utility yang sangat membantu untuk menetapkan hak akses untuk objek AD DS.
Bb742424.f11ih01 (id, TechNet.10). GifDelegasi Pengendalian Wizard memudahkan untuk memberikan izin ke obyek.
Ini tingkat kontrol yang tinggi memungkinkan administrator untuk memberikan pengguna individu dan kelompok berbagai tingkat izin untuk objek dan sifat mereka. Administrator bahkan dapat menambahkan atribut untuk objek dan menyembunyikan atribut-atribut dari kelompok-kelompok tertentu dari pengguna. Sebagai contoh, administrator bisa mengatur ACL sehingga manajer hanya bisa melihat nomor telepon rumah dari pengguna lain. Nonmanagers bahkan tidak akan tahu bahwa atribut ada.
Sebuah konsep baru untuk Windows Server didelegasikan administrasi. Hal ini memungkinkan administrator untuk menetapkan tugas-tugas administrasi ke pengguna lain, sementara tidak memberi kuasa para pengguna lebih dari yang diperlukan. Administrasi didelegasikan dapat diberikan atas benda tertentu atau sub pohon bersebelahan direktori. Ini adalah metode yang jauh lebih efektif memberikan otoritas atas jaringan; bukan pemberian seseorang semua hak akses Administrator Domain kuat, ia dapat diberikan izin hanya untuk komputer-komputer dan pengguna dalam subtree tertentu. AD DS mendukung warisan, sehingga setiap objek baru mewarisi ACL wadah mereka.
Cobalah untuk melupakan apa yang telah Anda pelajari tentang kepercayaan domain Windows NT. Mempercayai istilah ini masih digunakan, tetapi trust memiliki fungsi yang sangat berbeda. Tidak ada perbedaan antara satu arah dan dua arah trust karena semua AD DS trust adalah dua arah. Selanjutnya, semua kepercayaan adalah transitif. Jadi, jika Domain domain trust B, dan B mempercayai Domain Domain C, maka ada kepercayaan implisit otomatis antara A dan Domain Domain C. Ini fungsi baru ditunjukkan pada gambar berikut.
Gambar 11-2: Windows 2000 Server adalah kepercayaan dua arah dan transitif.Trust Server Windows adalah dua arah dan transitif.
Lain AD DS fitur keamanan audit. Sama seperti Anda dapat mengaudit partisi NTFS, objek dan wadah dalam AD DS dapat diaudit. Ini adalah cara yang berguna untuk menentukan siapa yang mencoba untuk mengakses obyek, dan apakah mereka berhasil.Penggunaan DNS (Domain Name System)
Domain Name System, atau DNS, diperlukan untuk setiap organisasi yang terhubung ke Internet. DNS menyediakan resolusi nama antara nama umum, seperti mspress.microsoft.com, dan IP baku alamat-alamat jaringan komponen lapisan gunakan untuk berkomunikasi. AD DS ekstensif menggunakan teknologi DNS dan bergantung pada DNS untuk menemukan objek di dalam AD DS. Ini adalah perubahan besar dari sistem operasi Windows yang memerlukan nama NetBIOS harus diselesaikan ke alamat IP sebelumnya, dan mengandalkan WINS atau NetBIOS nama lain teknik resolusi.
AD DS yang terbaik bila digunakan dengan berbasis Windows Server server DNS. Microsoft telah membuat administrator mudah untuk transisi ke Windows Server berbasis server DNS dengan menyediakan penyihir migrasi yang berjalan administrator melalui proses. Lain DNS server dapat digunakan, tetapi administrator akan perlu menghabiskan lebih banyak waktu mengelola database DNS. Jika Anda memutuskan untuk tidak menggunakan Windows Server berbasis server DNS, Anda harus memastikan Anda DNS server sesuai dengan protokol DNS baru yang dinamis update. AD DS server mengandalkan update dinamis untuk memperbarui catatan penunjuk mereka, dan klien mengandalkan catatan-catatan untuk menemukan domain controller. Jika update dinamis tidak didukung, Anda harus memperbarui database secara manual.
Catatan: DNS dinamis pembaruan protokol didefinisikan dalam RFC 2136.
Domain Windows dan domain internet sekarang benar-benar kompatibel. Sebuah nama domain seperti mspress.microsoft.com akan mengidentifikasi AD DS domain controller bertanggung jawab untuk domain, sehingga setiap klien dengan akses DNS dapat menemukan domain controller. AD DS klien dapat menggunakan resolusi DNS untuk menemukan sejumlah layanan karena AD DS server mempublikasikan daftar alamat ke DNS menggunakan fitur baru dari update dinamis. Alamat ini mengidentifikasi baik domain dan layanan yang disediakan dan diterbitkan melalui Layanan Resource Records (SRV RR). RRS SRV mengikuti format ini:
service.protocol.domain
AD DS server menyediakan layanan LDAP untuk lokasi objek, dan LDAP mengandalkan TCP sebagai protokol transport-layer yang mendasarinya. Oleh karena itu, klien mencari sebuah server AD DS dalam domain mspress.microsoft.com akan mencari catatan DNS untuk ldap.tcp.mspress.microsoft.com.Global di katalog
AD DS menyediakan katalog global (GC). Tidak, ini tidak berarti bahwa Anda dapat menemukan setiap bagian dari informasi di planet-tetapi masih sangat signifikan. AD DS menyediakan satu sumber untuk mencari objek apapun dalam jaringan organisasi.
Para katalog global adalah layanan dalam Server Windows yang memungkinkan pengguna untuk menemukan benda yang mereka telah diberikan akses. Fungsi ini jauh melampaui dari aplikasi Komputer Cari disertakan dalam versi Windows sebelumnya, karena pengguna dapat mencari objek dalam AD DS: server, printer, pengguna, dan aplikasi. Sebagai contoh, gambar berikut menunjukkan bagaimana pengguna dapat mencari semua printer warna dalam nya atau bangunan nya yang memiliki kemampuan untuk mencetak dokumen dua sisi.
Bb742424.f11ih03 (id, TechNet.10). GifKatalog global yang membantu pengguna menemukan sumber daya jaringan.
Fitur ini sangat penting karena kompleksitas nama LDAP. Versi Windows mengandalkan 15-karakter komputer nama NetBIOS, yang pengguna sering ingat. Hanya sedikit orang akan dapat memanggil kembali nama LDAP, seperti berikut:
/ O = Internet / DC = COM / DC = Microsoft/ DC = MSPress / CN = Komputer / CN = Server1.
Karena pengguna dapat dengan mudah mencari objek, mengingat nama jauh kurang penting.
GC adalah indeks disimpan pada server AD DS. Ini berisi nama semua objek dalam server AD DS, terlepas dari bagaimana server telah dipartisi. GC juga berisi beberapa atribut dicari untuk setiap objek. Sebagai contoh, GC akan menyimpan nama-nama terhormat, nama pertama dan nama terakhir dari semua pengguna-yang memungkinkan seseorang untuk mencari orang bernama Tony dan menemukan nama terkemuka pengguna. Katalog global adalah subset dari AD DS, dan menyimpan hanya atribut yang pengguna cenderung mencari di. Berguna default disediakan oleh Microsoft, dan administrator dapat menentukan atribut lain untuk dapat dicari dengan menggunakan AD DS Schema, dijelaskan kemudian dalam bab ini.
Tidak Semua Indeks Diciptakan Sama!
Jika Anda telah melakukan semua administrasi database, Anda sudah tahu bahwa beberapa jenis informasi yang lebih berguna untuk indeks dibandingkan jenis lainnya. Tentu, Anda harus atribut indeks yang akan dicari sering, tetapi ada faktor lain yang terlibat. Indeks mengambil ruang, sehingga tidak efisien untuk segala sesuatu indeks. Indeks juga memperlambat update dan insert-jika atribut diindeks dimodifikasi, indeks harus diubah juga. Pengindeksan bekerja lebih baik ketika data disimpan bervariasi dari pengguna ke pengguna. Oleh karena itu, tidak pernah indeks atribut benar atau salah atau atribut dengan kurang dari lima nilai yang mungkin. Nama merupakan atribut yang sangat baik untuk indeks sejak mereka hampir unik untuk setiap pengguna. Akhirnya, jangan atribut indeks yang biasanya tidak terisi Jika beberapa pengguna memasukkan nilai untuk nama tengah mereka, pengindeksan atribut yang adalah pemborosan.
Sebagai obyek baru diciptakan di AD DS, mereka diberikan sebuah nomor yang disebut GUID (pengidentifikasi unik secara global). GUID berguna karena tetap sama untuk setiap objek yang diberikan, terlepas dari mana objek tersebut akan dipindahkan. GUID adalah sebuah identifikasi 128-bit, yang tidak terlalu berarti bagi pengguna, tapi aplikasi yang referensi objek inAD DS dapat merekam GUIDs untuk objek dan menggunakan katalog global untuk menemukan mereka bahkan setelah mereka telah pindah.Replikasi
Administrator yang melaksanakan AD DS akan segera menyadari bahwa jaringan mereka sangat bergantung pada layanannya. Ketergantungan ini berarti bahwa AD DS harus tersedia di beberapa server-sehingga jika server tunggal gagal, klien dapat menghubungi server dengan layanan duplikat dan informasi. Berbeda dengan database domain Windows NT yang digunakan dengan versi sebelumnya dari Windows NT, update ke database dapat dikirim ke salah satu server AD DS. Meskipun hal ini mempersulit proses replikasi, menghilangkan kemungkinan bahwa kegagalan kontroler domain tunggal akan menghentikan update ke database. Hal ini juga mengurangi beban tinggi ditempatkan pada Windows NT 4.0 domain controller utama.
AD DS mencakup komponen replikasi yang membuat tugas sederhana untuk administrator. Cukup menambahkan kontroler domain ke AD DS cukup untuk memulai proses replikasi.
Salah satu bagian paling kompleks membuat pekerjaan berlebihan server patut mereplikasi informasi dan memastikan bahwa semua server memiliki paling up-to-date konten. AD DS menggunakan replikasi multimaster, yang merupakan cara lain untuk menyatakan bahwa update dapat terjadi pada setiap server AD DS. Setiap server melacak yang update yang diterima dari yang server, dan cerdas hanya dapat meminta pembaruan yang diperlukan jika terjadi kegagalan.Bagaimana Replikasi AD DS Bekerja
Update Tiap sendiri 64-bit nomor urut unik (USN) dari counter yang bertambah setiap kali perubahan dibuat. Pembaruan ini sistem-spesifik, sehingga setiap server AD DS mempertahankan counter terpisah.
Ketika server ulangan update untuk kontroler domain lainnya AD DS, ia akan mengirimkan USN bersama dengan perubahan. Setiap server memelihara daftar internal mitra replikasi dan USN tertinggi terima dari mereka. Server menerima update meminta hanya perubahan-perubahan dengan USNS lebih tinggi dari sebelumnya diterima. Metode ini memiliki manfaat tambahan untuk menghentikan update dari menyebarkan tanpa henti antara kontroler domain AD beberapa DS.
Satu masalah yang melekat dalam skema replikasi multimaster adalah bahwa perubahan kepada satu objek dapat terjadi di banyak tempat pada saat yang sama. Misalnya, jika administrator di Boston mengubah nama pengguna dari "Curt" untuk "Kurt" dan administrator di Chicago secara bersamaan mengubah nama pengguna yang sama dari "Curt" menjadi "Kirk," tabrakan replikasi akan terjadi. Ada dua masalah untuk berurusan dengan ketika tabrakan terjadi: mendeteksi tabrakan dan menyelesaikan tumbukan.
AD DS nomor properti toko versi untuk memungkinkan deteksi replikasi tabrakan. Jumlah ini khusus untuk setiap properti dari setiap objek dalam AD DS dan diperbarui setiap kali properti tersebut dimodifikasi. Nomor-nomor ini disebarkan melalui AD DS bersama dengan perubahan, sehingga server yang menerima dua update yang berbeda untuk properti yang sama dengan nomor versi properti yang sama dapat menyimpulkan bahwa tabrakan telah terjadi replikasi.
AD DS domain controller mengatasi tabrakan dengan menerapkan pembaruan dengan timestamp nanti. Timestamp dibuat oleh server yang diprakarsai perubahan, sehingga sangat penting untuk menjaga waktu sistem disinkronisasi antara server.
Catatan: Gunakan layanan built-in sinkronisasi waktu terdistribusi untuk menyimpan semua server bekerja bersama-sama!Partisi
Jaringan yang besar dapat berisi ratusan ribu objek. Windows NT dibutuhkan beberapa domain untuk memungkinkan bahwa banyak benda untuk dapat diolah. Administrator sering dibagi pengguna dan sumber daya ke dalam domain terpisah dan menciptakan kepercayaan antara domain. Struktur database sama sekali tidak memungkinkan mereka untuk tumbuh hingga ratusan ribu objek. Keterbatasan ukuran kurang faktor dalam domain AD DS, untungnya. Namun, mendukung AD DS yang sangat besar bisa menjadi beban yang luar biasa untuk setiap domain controller tunggal.
Direktori Aktif dapat dipartisi untuk mengurangi beban ini. Partisi memungkinkan kontroler domain yang berbeda untuk mengelola bagian yang berbeda dari database, mengurangi beban pada server individu. Klien dapat menggunakan sumber daya yang terletak di dalam partisi yang berbeda AD DS secara transparan. Oleh karena itu, administrator dapat mengelola AD DS domain besar-besaran tanpa memerlukan pengontrol domain untuk menangani seluruh database.Objek
Banyak orang yang awalnya bingung dengan hubungan antara kelas objek, atribut, dan obyek itu sendiri. Objek diciptakan berdasarkan kelas objek. Atribut menggambarkan kelas objek. Ketika sebuah objek dibuat, itu mewarisi semua atribut kelas obyeknya. Di sinilah ia mendapat rumit: kelas objek dan atribut juga objek di AD DS. Untungnya, antarmuka pengguna yang paling menyembunyikan fakta ini.
Sebuah objek dapat berupa referensi untuk sesuatu yang konkret atau informasi yang berguna itu sendiri. Misalnya, setiap bit informasi tentang user account disimpan di dalam AD DS. Namun, hanya mengacu pada volume disk disimpan di AD CS. Sedangkan referensi tidak berguna dengan sendirinya, itu digunakan untuk menemukan volume pada file server. Ketika membuat kelas objek baru, hati-hati mempertimbangkan apakah objek akan menyimpan referensi ke sesuatu yang eksternal atau apakah semua informasi yang diperlukan akan terkandung dalam atribut objek. Sementara AD DS sangat nyaman, tidak harus digunakan untuk menyimpan sejumlah besar informasi, terus berubah informasi, atau informasi jarang digunakan.
Setiap kali Anda menambahkan user atau komputer ke AD DS, Anda membuat objek. Menciptakan sebuah objek sering disebut sebagai penerbitan, karena dimulai proses mereplikasi informasi baru di semua kontroler domain AD DS di domain.Skema: Atribut dan Kelas Obyek
Skema adalah satu set atribut yang digunakan untuk menggambarkan kelas objek tertentu dalam AD DS. Berbagai jenis informasi perlu dilacak untuk kelas objek yang berbeda, dan itulah mengapa skema ini begitu penting. Sebagai contoh, kelas objek Pengguna perlu atribut untuk nama depan, nama belakang, nomor telepon, alamat e-mail, dan alamat surat. Kelas objek Printer harus memiliki banyak atribut yang berbeda-pengguna akan ingin tahu seberapa cepat printer adalah dan apakah itu bisa duplex atau mencetak dalam warna. Atribut ini dapat dilihat dan diedit menggunakan AD DS Schema MMC snap-in, seperti ditunjukkan pada gambar berikut.
Programmer berpengalaman dan administrator sistem dapat mengatur skema AD DS, tetapi AD DS Schema snap-in tidak diinstal secara default. Selain itu, file schmmgmt.dll (regsvr32 schmmgmt.dll) harus terdaftar dari command prompt sebelum snap-in dapat diinstal. Skema AD DS tidak memiliki ikon dalam menu Start, Anda harus meluncurkan antarmuka MMC dan menambahkan snap-in bernama AD DS Schema.
Bb742424.f11ih04 (id, TechNet.10). GifSkema AD DS memungkinkan kelas dan atribut untuk dimodifikasi.
Secara default, kelas objek datang dengan satu set logis dari atribut yang sesuai dengan kebutuhan organisasi kebanyakan. Namun, banyak organisasi perlu untuk melacak informasi tambahan tentang kelas-kelas objek tertentu. Misalnya, jika karyawan diberi nomor lencana, hal ini berguna untuk melacak informasi bahwa di kelas objek. Langkah pertama adalah membuat sebuah atribut yang disebut BadgeID, seperti terlihat pada gambar berikut. Langkah kedua adalah membuat atribut baru opsional untuk kelas Pengguna.
Gambar 11-5: Atribut dapat ditambahkan dengan Skema Direktori Aktif snap-in.Atribut dapat ditambahkan dengan AD DS Schema snap-in.
Skema tersebut disimpan dalam AD DS seperti objek lainnya. Oleh karena itu, skema mewarisi kemampuan untuk secara otomatis direplikasi di seluruh domain. Ini juga manfaat dari fitur keamanan dari AD DS, dan memungkinkan administrator untuk mendelegasikan otoritas atas skema untuk pengguna yang berbeda dan kelompok. Dengan mengubah ACL pada objek skema, administrator dapat memungkinkan user untuk menambahkan atau memodifikasi atribut untuk kelas objek. Contoh pada gambar berikut menunjukkan bahwa kelompok East Coast Administrator telah diberikan kontrol penuh atas skema.
Gambar 11-6: Memodifikasi skema dapat didelegasikan kepada kelompok-kelompok dan pengguna.Memodifikasi skema dapat didelegasikan kepada kelompok-kelompok dan pengguna.
Atribut baru memiliki beberapa properti yang harus ditetapkan. User yang membuat atribut baru harus menentukan nama atribut (seperti ID Badge #), jenis data yang akan disimpan (seperti string atau angka), dan batas rentang (seperti panjang string). Sebuah Object Identifier unik (OID) juga harus disediakan. Atribut baru dapat diindeks, yang menambahkan atribut ke katalog global. Indeks harus dibuat untuk atribut yang pengguna akan mencari bersama. Dalam contoh ini, jika keamanan perlu mencari account pengguna dengan jumlah ID Badge, atribut ini harus diindeks. Untuk pencarian terjadi pada atribut nonindexed, beberapa langkah lambat dan prosesor-intensif pohon direktori harus dilakukan.
Mana Identifier Obyek Berasal?
Satu-satunya cara untuk memastikan Identifier Obyek yang unik secara global adalah memiliki lembaga pusat yang memberikan OIDs. Hal ini sudah biasa dilakukan di Internet; InterNIC menugaskan nama domain dan Internet Assigned Numbers Authority (IANA) memberikan subnet IP. Identifier Obyek ditugaskan oleh Otoritas Registrasi Nasional, atau NRA. NRAS bervariasi dari negara ke negara. Di Amerika Serikat, American National Standards Institute (ANSI) menyediakan layanan NRA. Untuk biaya sederhana, ANSI dapat menyediakan organisasi Anda dengan OID root. Setiap benda yang diciptakan oleh organisasi Anda akan memiliki akar OID sebagai awalan, memastikan bahwa Identifier Obyek secara global unik.