● Win2k活动目录常见问题解答 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: Jobs (温少), 信区: WinNT
标  题: Win2k活动目录常见问题解答
发信站: BBS 荔园晨风站 (Wed Jan 12 18:00:35 2000), 转信

          Win2k活动目录常见问题解答

工作站如何确定自己的站点位置？
    工作站通过向自己连接的第一个活动目录服务器通报自己的子网来确定自己
的站点。工作站通过使用子网掩码和IP地址与运算来确定子网位置。子网掩码和
IPO地址能够通过DHCP动态配置或者手工配置来分配。工作站连接的第一个服务器
使用当前的子网来定位工作站所在站点的站点对象。如果当前服务器不在此站点
，则会通报工作站使用另一个更好的站点。

工作站如何寻找一个目录服务器?
   工作站通过查询DNS来找到目录服务器。指定域中的目录服务器在DNS中发布
SRV资源记录，名字如下格式：
LDAP.TCP.<domain name>
    所以当工作站登录到Microsoft.com时，将查询DNS以得到用于
LDAP.TCP.Microsoft.com的SRV记录，从中选出一个服务器并连接。被连接的服务
器将使用工作站发布的子网信息，用上一个问题介绍的方法来决定最优化的服务
器。

我如何登录网络？
    用户能够使用各种名称和各种格式登录到Windows 2000 Professional 的网
络。这些包括Win32应用程序编程接口DsCrackNames支持的名称格式，必要时可以
用它来转换这些名称格式。
   ·域的NETBIOS名称和SAM-Account-Name---这是Windows NT 4.0格式的登录名
     称。域的NETBIOS名称是域在移植前的名称。SAM-Account-Name是用户在移
     植前的帐户名称。
   ·用户主要名称——它的格式是<friendly name>@<dotted-dns-domain-name>
     。如果名称不唯一，则会发生用户未知的错误并导致登录失败。

移植后域资源上的访问控制列表有何变化？
     访问控制列表并不直接受移植影响。如果所有的Windows NT 3.51和Windows
NT 4.0域都被正确移植，从ACL的角度来看没有任何改变。
     如果您将服务器从一个资源域移到一个移植的帐户域的组织单元，并且删除
了资源域，对涉及到被删除域的ACE，您需要编辑任何包含它的ACL。这并不是
Windows 2000移植的功能。如果您删除了Windows NT任何版本中的域，由该域发
布的安全标识符将不可用。
    要减少重新运用ACL资源所带来的影响，如果您在Windows NT 3.51 或者 4.0
系统有一个资源域并打算用OU替换它，而且在Windows 2000中删除它，您不能把
资源域的主群放到ACL中。请注意这并不影响成员服务器中的本地组，它只影响那
些域控制器中的组。
    作为Windows 2000的一部分，Microsoft将提供工具以帮助向资源重新运用
ACL。

当我删除一个域时ACL有什么变化？
     当您在一个域中生成组时，该域要向它发布一个安全标识符（SID）。在您
把这个SID放入ACL时，它就准予那些在他们的令牌中有这个SID的用户访问。用户
们通过登录到发布SID的域来获得它们令牌中的SID。这可以是一个透明的网络登
录。
    当您编辑一个ACL时，则会用SID调用 LookupAccountName  API 。如果您删
除了发布SID的这个域，您将在ACL的用户和组列表中看到“未知用户”。如果您
在Windows NT 3.51 和 Windows NT 4.0系统中删除了一个域或者去掉了一个信任
关系列表时，则会出现这种情况。

本地组有何变化?
这个问题的答案由两部分组成:
·第一部分: 成员服务器上的本地组—  在一个成员服务器上的本地组保持其本
地性，它们仅存在于成员服务器的SAM中并且不能被移植到活动目录中。成员服务
器上本地组的典型用途是保存帐户域中的全局组。服务器管理员将本地组放入服
务器资源中的ACL并将全局组加入到本地组，这些修改并不在Windows 2000中发生
。唯一不同是全局组则变成了普通组并在活动目录中被发布。
·第二部分: 在PDC和BDC上的本地组—备份域控制器有一个只读的SAM，当您在一
个BDC上生成一个本地组时，这个创建操作远程连接到PDC上并复制回所有的BDC。
从字面上来说，这些本地组与成员服务器上的本地组是一样的，但是它们却存在
于PDC和所有的BDC上。当您升级Windows 2000时，升级过程在活动目录中为每一
个组生成了一个域本地组对象。

何时搜索全局编目？
对全局编目的搜寻有以下几种情况：
·      通过查询一个追溯到空的DN（名称空间的根）的子网或一级的LDAP搜索
――这将产生一个全局目录的引用。
·      通过一个GC复制到GC端口的直接引用开始（尽管客户机程序不喜欢用这
种方法）。
·      通过一个到GC ADSI供应者（GC://）的显式引用开始。

我是否必须使用微软的DNS服务器？
    不，您不需要。尽管使用微软的 DNS有很多优点，但是任何RFC兼容的DNS服
务器都能够工作。我们推荐使用动态DNS，这是因为如果有动态DNS服务器，活动
目录服务器则能够自动地注册DNS中必需的记录。静态DNS服务器也可以同样工作
得很好，但是每个活动目录服务器的DNS注册需要人工来完成。

使用微软的DNS服务器的优点是什么？
     包括在Windows 2000中的DNS服务器是一个与RFC和BIND兼容的动态DNS。它
是Windows 2000内在的功能，而不是公共域BIND实现的一个端口。微软DNS服务器
存储在活动目录中得到授权的DNS区域。DNS数据是通过活动目录复制功能在微软
DNS服务器之间复制，而不需要数据区传输。微软 DNS服务器支持标准的DNS数据
区传输以便实现同其它DNS服务器的互操作性。

DHCP有何变化？
    Windows 2000的DHCP服务器基本上不改变。DHCP客户机能够使用DNS并且使用
动态DNS的服务来直接向DNS注册DHCP发布的地址。如果DHCP找到一台WINS服务器
时，DHCP客户机则将继续使用WINS进行注册。

WINS有何变化？
    对Windows 2000来说WINS是不变的。Windows 2000客户机（和升级安装了活
动目录的Windows 95的客户机）不再需要使用NETBIOS名称空间。但仍然需要WINS
以便低级的客户机查找服务器，反之亦然。当企业中不再有低级客户机时，则可
以关闭WINS服务器。

--

   好好学习，天天向上！！！！

※ 来源:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.11.111]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店