Foresta: implementazione di tutti gli alberi

()

Una foresta è una raccolta di uno o più alberi di Active Directory di Windows 2000, organizzati come peer e collegati da relazioni di trust transitive e bidirezionali Un singolo dominio costituisce un albero di un dominio e un singolo albero costituisce una foresta di un albero. Pertanto, una foresta è sinonimo di Active Directory, ovvero l’insieme di tutte le partizioni di directory in una particolare istanza del servizio directory (che include tutti i domini e tutte le informazioni sulla configurazione e sullo schema) costituisce una foresta.

Gli alberi nella stessa foresta non formano uno spazio dei nomi contiguo. Formano uno spazio dei nomi non contiguo basato su diversi nomi di dominio radice DNS. Tuttavia, gli alberi in una foresta condividono uno schema di directory, una configurazione e un catalogo globale comuni. Questa condivisione di schemi comuni e dati di configurazione, oltre alle relazioni di fiducia tra le loro radici, distingue una foresta da un insieme di alberi non correlati. Sebbene le radici degli alberi separati abbiano nomi non contigui tra loro, gli alberi condividono un unico spazio dei nomi generale perché i nomi degli oggetti possono ancora essere risolti dalla stessa Active Directory. Una foresta esiste come un insieme di oggetti di riferimento incrociato e relazioni di trust noti agli alberi membri. I trust transitivi nel dominio principale di ogni spazio dei nomi forniscono accesso reciproco alle risorse.

Importante

Le gerarchie di alberi e foreste sono specifiche dei domini Windows 2000. Un dominio Windows NT 4.0 configurato per essere considerato attendibile o considerato attendibile da un dominio Windows 2000 non fa parte della foresta Windows 2000 a cui appartiene il dominio Windows 2000.

La struttura forestale offre alle aziende la possibilità di costruire la propria impresa da spazi dei nomi separati, distinti e non contigui. Avere uno spazio dei nomi separato è auspicabile in alcune condizioni in cui, ad esempio, lo spazio dei nomi di un’azienda acquisita dovrebbe rimanere intatto. Se disponi di unità aziendali con nomi DNS distinti, puoi creare alberi aggiuntivi per ospitare i nomi. Un esempio di questo tipo di organizzazione è mostrato nella Figura 1.7.

Cc978004.DSBB09(it-it,TechNet.10).gif

Figura 1.7 Esempio di una foresta con due alberi

I domini all’interno di una foresta di Active Directory condividono uno schema di directory, informazioni di configurazione e un catalogo globale comuni. Hanno anche relazioni di trust transitive che consentono agli utenti di ciascun dominio di accedere alle risorse disponibili in tutti gli altri domini nell’albero.

Nota

Lo schema della directory ei dati di configurazione sono condivisi perché sono archiviati in partizioni di directory logiche separate che vengono replicate nei controller di dominio in ogni dominio della foresta. (Per ulteriori informazioni sulle partizioni di directory, vedere “Archiviazione dati di Active Directory” in questo manuale.) I dati relativi a un particolare dominio vengono replicati solo sui controller di dominio nello stesso dominio. 

Il catalogo globale è un controller di dominio che archivia tutti gli oggetti di tutti i domini in una foresta di Active Directory, il che rende possibile la ricerca di oggetti a livello di foresta piuttosto che a livello dell’albero.

Dominio radice della foresta

Il primo dominio creato nella foresta è denominato dominio radice della foresta. Il dominio radice della foresta non può essere eliminato, modificato o rinominato. Quando si crea un nuovo albero, si specifica il dominio radice dell’albero iniziale e viene stabilita una relazione di trust tra il dominio radice del secondo albero e il dominio radice della foresta. Se si crea un terzo albero, viene stabilita una relazione di attendibilità tra il dominio radice del terzo albero e il dominio radice della foresta. Poiché una relazione di fiducia è transitiva e bidirezionale, il dominio radice del terzo albero ha anche una relazione di fiducia a due vie con il dominio radice del secondo albero.

Il nome distinto del dominio radice della foresta viene utilizzato per individuare la configurazione e le partizioni della directory dello schema nello spazio dei nomi. I nomi distinti per i contenitori Configurazione e Schema in Active Directory mostrano sempre questi contenitori come oggetti figlio nel dominio radice della foresta. Ad esempio, nel dominio figlio noam.reskit.com, il nome distinto del contenitore di configurazione è cn=configuration,dc=reskit,dc=com. Il nome distinto del contenitore Schema è cn=schema,cn=configuration,dc=reskit,dc=com. Tuttavia, questa convenzione di denominazione fornisce solo una posizione logica per questi contenitori. I contenitori non esistono come oggetti figlio del dominio radice della foresta, né la partizione della directory dello schema fa effettivamente parte della partizione della directory di configurazione. Sono partizioni di directory separate.

Quando Active Directory viene installato su un computer basato su Windows 2000 Server, le informazioni sulla configurazione e sullo schema della directory vengono copiate dal dominio padre al nuovo server. Gli aggiornamenti alla configurazione e alle informazioni sullo schema della directory vengono replicati in tutti i controller di dominio nella foresta. La distribuzione di questa configurazione e delle informazioni sullo schema di directory garantisce che ogni controller di dominio sia a conoscenza di tutti gli altri domini relativi all’attendibilità e della topologia di replica, il che rende possibile la ricerca e l’utilizzo di risorse in altri domini. (Per ulteriori informazioni sulla ricerca di informazioni in Active Directory, vedere “Risoluzione dei nomi in Active Directory” in questo libro.)

Nota

Il rootDSE di Active Directory è un oggetto figurativo che non dispone di un nome distinto LDAP; non è una “voce” nella directory ma è rappresentato come un nome distinto nullo (” “). Tuttavia, ha attributi ed è noto a LDAP come rootDSE. RootDSE è richiesto da LDAP come punto di ingresso alla directory. La distinzione deve essere chiara tra questa radice, l’insieme di attributi che LDAP utilizza per connettersi a una parte particolare della directory su un determinato controller di dominio, e il dominio radice della foresta. Inoltre, entrambe queste “radici” sono distinte dalla radice della gerarchia DNS, che è lo spazio vuoto nella parte superiore dello spazio dei nomi rappresentato da un punto (” . “) e che è richiesto come punto di ingresso per la gerarchia DNS.

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?