企业大型网络的一片冰心(ICE)

　　Windows 2000系列谈之三

　　进入到1999年，网络系统中的目录服务逐渐深入人心。与传统的大型主机的模式相比，客户机/服务器的模式更加优越，因为在这一模式下，网络管理员和用户具有了更大的灵活性，有了更好的扩展性，和更加广泛的应用软件选择性。但是客户机/服务器模式的灵活性，也有一定的弊病，比如用户经常性地在网络中迷失自己，找不到诸如打印机之类的网络资源；网络管理员也没有一个统一的网络资源管理方法，往往充当救火员的角色，宏观的疏导和配置能力不够。

　　微软在Windows NT Server 4.0中就已经贯彻了目录服务的思想。NT的"域（domain ）"的概念是目录服务的一个基本单元。"一次登录，Single Logon"在Windows NT Server 的环境下有了具体的应用，比如Internet Information Server、Exchange Serv er、SQL Server等都可以与Windows NT Server的账号验证集成起来，用户一次登录就可以获得Web、Email和数据库等多种多样的网络服务。

　　Windows 2000 Server在Windows NT Server 4.0的基础上，进一步发展了"活动目录（Active Directory）"。活动目录充分体现了微软产品的"ICE"，即集成性（Inte gration），深入性(Comprehensive)，和易用性(Ease of Use)等优点。活动目录是一个完全可扩展，可伸缩的目录服务，既能满足商业ISP的需要，又能满足企业内部网和外联网的需要。

　　活动目录的由来

　　活动目录是从一个数据存储开始的。它采用的是Exchange Server的数据存储，称为：Extens ible Storage Service （ESS）。其特点是不需要事先定义数据库的参数，可以做到动态地增长，性能非常优良。这个数据存储之上已建立索引的，可以方便快速地搜索和定位。活动目录的分区是"域（Domain）"，一个域可以存储上百万的对象。域之间还有层次关系，可以建立域树和域森林，无限地扩展。

　　在数据存储之上，微软建立了一个对象模型，以构成活动目录。这一对象模型对LDAP有纯粹的支持，还可以管理和修改Schema。Schema包括了在活动目录中的计算机、用户和打印机等所有对象的定义，其本身也是活动目录的内容之一，在整个域森林中是唯一的。通过修改Schema的工具，用户或开发人员可以自己定义特殊的类和属性，来创建所需要的对象和对象属性。

　　活动目录包括两个方面：一个目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器；而目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一个分布式的目录服务。信息可以分散在多台不同的计算机上，保证快速访问和容错；同时不管用户从何处访问或信息处在何处，都对用户提供统一的视图。

　　活动目录的集成性(Integration)

　　微软的活动目录生动了结合了三个方面的管理内容：用户和资源管理、基于目录的网络服务，和基于网络的应用管理。而且活动目录广泛地采纳了Internet标准，把众多的Internet服务都集成在一起，提供了革命性的价值。

　　目录管理的基本对象是用户和计算机，还包括文件、打印机等资源。举例来说，用户对象的属性非常丰富，不但有常见的账号名、口令等，还包括邮件信箱和个人主页地址、在公司中的职位关系等，可以在活动目录中右键点击用户对象发送邮件和访问其个人主页等。其职位关系可以在公司的内部网上有Web组织结构图的方式动态地显示出来，也可以为内部采购、费用报销等应用程序利用来实施业务逻辑。在活动目录中，支持全局性的查找，比如查找在整个网络中的双面打印的彩色打印机等。

　　活动目录彻底地采用了Internet标准协议，比如用户账号可以用

　　User@bj.yourcom.com或User@yourcom.com的快捷方式来表征，来登录网络等。在此bj.yourcom.com和yourcom.com就是两个不同的域。但是这两个域之间有信任关系，因为y ourcom.com是一个根域，bj.yourcom.com是一个子域。子域之下还可以有子域，比如sales. bj.yourcom.com，相互之间都是可传递的信任关系，构成一棵域树。如果你的公司兼并了一家其他的公司，你的域树可以和它们的域树hiscom.com建立起整个的域森林来。DNS (domain name servic e)在此充当了名字解析的功能，我们建议使用与活动目录集成的DNS Server，来保证动态更新域名和更好的复制能力。整个域森林的所有对象，只要安全性管理许可，都可以用LDAP协议访问到。

　　在当今的Internet时代，微软活动目录这种基于Internet标准的做法，给用户带来了几乎无穷尽的益处。活动目录集成了关键服务，如DNS、MSMQ（消息队列服务）；集成了关键应用，如电子邮件、网管、ERP等；集成了关键数据访问，如ADSI、OLE DB等；还集成了关键的安全性，如Kerberos第五版本和公开密钥基础设施等。

　　基于活动目录的网络基础设施服务(Directory-Enabled Networking, DEN)是微软和思科公司共同提出来的，旨在提高网络可管理性和提高网络服务质量的倡议。在Windows 2000活动目录中，可以做到根据不同的用户或应用分配网络带宽等高级的网络管理任务，以及支持ATM网络和QoS协议等。

　　基于活动目录的应用服务(Directory-Enabled Application)是在Windows 2000平台上的新一代的应用程序。应用开发员可以扩展活动目录的Schema 和 UI，通过ADSI/ADO编程，在活动目录中发布service 绑定信息，通过Group Policy配置应用程序，进行Just In Ti me应用下载和应用改变的自动通知等。比较典型的一个基于目录的应用的例子，是NetMeeting。在活动目录的环境中，你只要在NetMeeting中敲入同事的Email别名，就可以通过活动目录中的定位服务，与其进行对话和桌面协作等，非常方便。

　　活动目录的深入性(Comprehensive)

　　活动目录的深入性体现在企业级的可伸缩性，安全性，互操作性，编程能力和升级能力上。活动目录既可以存储极少的几个对象，也可以存储上亿万的对象。活动目录通过为每个域创建一个目录存储的方法来获得伸缩性。这一个目录存储中仅仅包括了这个域中的所有对象。当域树建立起来之后，每个域有能力搜索整个域树中所有的目录存储。这种划分整个域树的方法，使用户所需要的信息离用户最近，响应最好。域的目录存储还可以有很多的副本，副本之间自动地做同步，进一步提高响应速度和服务可获得性。