啥都玫说之网路篇-6.4域

说域之前，就不得不先说说“工作组”这个概念，工作组的英文是：WorkGroup，工作组的网络是对等的（peer-to-peer，P2P）也就是很多资料中写的对等网，这种网络技术在局域网更多的是在广域网中应用。它能够根据用户自定义的分组特点（如不同部门、不同爱好、不同操作系统类型等）把网络中的许多用户计算机分门别类地归纳到不同工作组中。划分工作组的主要目的主要是为了便于浏览、查找，另外就是用户计算机的自由度比较高。

工作组的主要特点是：

我在这里不想对工作组网络的优缺点进行讨论，因为主要问题集中在管理工作组网络的时间成本和技术成本上，通常来说普通的IT从业者，甚至一般少有兴趣的爱好者都可以管理一个有一定规模的工作组网络，只是浪费时间罢了，但是技术成本需要的很低啊。那么需要技术成本高的网络是什么呢？没错，就是我们后边要说的“域”。

域的英文是Domain，域其实是微软借鉴了互联网中的域名技术，是目前局域网中最广泛的一种网络管理模式。域可以理解为一个网络边界的概念，也可以理解为一个由某台服务器控制网络上的计算机能否加入的计算机组合。域是一个金字塔结构，金字塔最顶端的当时是能够控制整个域的服务器，这种服务器在每各域中，至少有一台，它是这个域的管理者，称为“域控制器”，英文是DomainController，缩写为DC。

简单地说，域是一种基于对象和策略的分布式数据库系统。之所以说是基于对象和策略，那就是因为域网络的最，大特点就是可以实现用户、计算机等对象账户及策略的集中管理和部署。所谓数据库是指域中的信息（如用户信息、配置信息等）不是以独立文件形式存在，而是以字段信息之类的数据形式存在的。微软在域网络中最显著的特点就是引入了“活动目录”这一技术，英文称之为ActiveDirectory，缩写为AD。而AD本身就是一种目录数据库系统。之所以称为活动目录，是因为在域网络中的目录是始终呈激活可用，动态更新的状态，而不是像普通目录一样静态地使用。这样做的目的就是方便系统中各种服务器自身进行的，或用户操作的查询、更新、增加、删除、同步等，也提高了各服务器间数据复制的性能。

在活动目录数据库中包括了三个表：

活动目录是域的基础，一般情况下，我们可以简单的认为活动目录安装在域控制器上，或者说，活动目录是一个应用，域控制器就是作为承载这个应用的服务器。当然，实际应用当中还会有更复杂的情况出现。

一个域就是一个网络边界，当然这是一种逻辑的组织形式上来说的，如果从逻辑结构上来说，也就是从活动目录的逻辑结构来说，毕竟活动目录是实现域的方法，所以严格点说必须是活动目录的逻辑结构，就包括了域，域树，域林和组织单元。

我们先说组织单元，英文OrganizationalUnit，简称OU，它是一个容器对象，可以把域中的对象组织成逻辑上的组，以简化工作。OU可以包含各种域中的对象，比如用户、用户组、计算机、打印机等等，甚至可以包括其他的组织单元，所以可以利用OU把域中的对象组成一个完全逻辑上的层次结构。OU可用来匹配一个实际的组织结构，域的管理员可以指定某个用户去管理某个OU。OU也可以像域一样做成树状的结构，即OU下面还可以有OU，但是这种情况我总是觉得有点不伦不类，个人比较讨厌。前边也说过OU是域下面的容器对象，所以它是逻辑结构上的最小的管理单元。

从Windows2000server时代起，域树的概念开始出现，域树中的域以树型结构出现，最上层的是根域，然后它可以由自己的子域，子域下又可以有自己的子域。在域树中父域和子域的信任关系是可以双向传递的，因此域树中的一个域隐含地信任域树中所有的域。但是在这里必须对比强调一下，两个不属于同一根域的两个独立域（或多个），这个时候域和域之间的信任关系是不可传递的。如果需要，那就必须创建信任关系。

再说说域林是个什么鬼，在多个网域的环境下，可能在不同的网域之间会需要交换与共享资料，在这个时候需要有一个角色来做为不同网域间的资讯交换角色，同时又必须要符合树状结构的规范，因此微软在多网域之间建立了一个中介用的角色，称为森林（Forest），一个组织中最多只能有一个域林，在域林下则是各自的域树系，而在域林下的域或网域树系间，可以共享资讯。

说说域的主要特点吧：

[x]集中管理

[x]默认信任

[x]集中存储

[x]单点登陆

[x]支持漫游配置

至于优缺点么，我觉得它和工作组网络就是相对的了。技术成本略高，但是时间成本相对也低很多。

到这里就不得不说一个类似于“先有鸡，现有蛋”的哲学问题，我不打算深入探讨，就当抛砖引玉了。这个问题是，域和工作组两种网络结构，哪种更安全？仁者见仁，智者见智喽，我智能说，我会根据实际情况考量，完全没有办法直接进行比较。

说说一台计算机在域中，可以成为哪种角色？一般有三种吧：

[x]域控制器：负责域内所有资源的管理，访问权限的分配，用户访问域的验证工作。

[x]成员服务器：提供其他应用服务的服务器，如邮件服务器、文件服务器、打印服务器等，它只是加入了域的服务器，不是域控也不是额外的域控。

[x]工作站：就是需要访问域内服务器上的资源的普通计算机

那么什么时候会用到域呢？我还是觉得这个事情看需求，我见过16位掩码的对等网，同样也见过24位掩码的域，网络结构这个东西，没有一定之规，因地制宜，只是此时此地的选择罢了。

说完了Windows域的活动目录，再来说一个它的近亲LDAP，英文是LightDirectoryAccessPortocol，也就是轻量目录访问协议。它是基于标准的，但是简单多了并且可以根据需要定制。与不同，LDAP支持TCP/IP，这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPmanRFC网页中找到。

这里所说的LDAP是一个协议，那么AD就是这个协议的一个实例。因为AD局限在Windows系统中，所以大部分没有使用Windows的网络目前都在是用LDAP的其他服务。具体LDAP和AD先有的谁，我真是懒得考证了，毕竟这种历史知识不影响我们使用，如果是Windows域那么毫无疑问使用AD，如果不是，那也智能是LDAP的其他实例化的服务了。

其实说到LDAP，很多厂商也都有这种服务SUN公司的SUNONEDirectoryServer，IBM的IBMDirectoryServer，以及开源项目OpenLDAP。说到OpenLDAP有人说这个东西是一个非主流应用。这也难免，因为作为活动目录服务器，当然是越专业的越好，SUN和IBM毕竟都是巨头，提供的系统又都是稳定性高的solaris或者UNIX，以这些系统为基础，硬件平台又是小型机，稳定性和速度自然要比运行Linux或者FreeBSD的服务器搭配OpenLDAP要可靠很多。不过说实话，我真的不知道SUN和IBM的LDAP服务运行环境是什么系统，在这里得承认，免得误导大家。不过话又说回来，作为开源拥趸来说，OpenLDAP哪里非主流了？开源怎么了？虽然没用过，但是我表示不服！