亿动网
LDAP(轻量目录访问协议)服务器是一个重要的组件,它提供对目录服务(如 Active Directory)的访问。LDAP 用于身份验证、授权和其他基于目录的服务。随着用户和应用程序数量的增加,LDAP 服务器可能会变慢,从而导致身份验证和授权延迟。
影响 LDAP 服务器性能的因素
- 用户数量
- 应用程序数量
- 查询复杂性
- 网络延迟
- 硬件性能
优化 LDAP 服务器性能的方法
有几种方法可以优化 LDAP 服务器的性能,包括:
1. 索引优化
创建覆盖所有必需属性的索引。优化索引顺序,将最常用的属性放在最前面。定期重建索引以提高性能。
2. 查询优化
使用范围查询代替子树查询。使用过滤来限制返回结果的大小。缓存常用查询以减少延迟。
3. 服务器配置
增加连接池大小以处理更多并发请求。调整服务器内存和处理器设置以优化性能。启用负载平衡以分布 LDAP 请求。
4. 网络优化
减少网络延迟通过优化网络基础设施。使用 VPN 或专用网络以提供更可靠的连接。限制广播流量以提高性能。
5. 硬件升级
升级到更快的处理器和更多内存以提高处理能力。使用固态硬盘 (SSD) 以减少磁盘 I/O 延迟。考虑使用硬件加速器以提高特定任务的性能。
6. 其他优化
禁用不必要的服务和功能以减少资源消耗。定期进行性能监控以识别瓶颈。考虑使用 LDAP 代理或网关来提高可扩展性和安全性。
LDW 显示逻辑优化
LDW(轻量目录窗口)显示逻辑是 LDAP 服务器中影响性能的关键组件。以下是优化 LDW 显示逻辑的一些方法:启用显示日志以诊断性能问题。调整显示筛选器以提高效率。缓存显示结果以减少重复查询。使用并发处理以提高响应能力。通过实施这些优化,可以显著提高 LDAP 服务器的性能,从而缩短身份验证和授权时间。这对于具有大量用户和应用程序的大型组织至关重要,这些组织依赖于 LDAP 服务来提供无缝的用户体验。
结论
优化 LDAP 服务器性能对于提高用户身份验证和授权速度至关重要。通过实施上面概述的优化,可以显著提高 LDAP 服务器的效率和可扩展性。通过优化 LDW 显示逻辑,可以进一步提高性能,从而为用户提供更快的响应时间。
负载均衡器都有哪些牌子
主流的负载均衡f5radwarearraya10等
服务器防火墙的选择
关于服务器安全,新手最常遇到的一个问题就是:该选择哪种防火墙?面对种类如此繁多的服务器防火墙,在选择的时候,是考虑厂商的知名度还是防火墙本身的性能?是选择国内防火墙好还是国外防火墙?该使用收费的企业级防火墙还是尝试免费的防火墙?这些问题,都让人十分头痛。
不同应用环境和不同的使用需求,对防火墙性能的要求各不一样。
所以要真正找到一款合适的服务器防火墙,重点便是在选择服务器防火墙的时候,认真分析自身的需求,综合考虑各种不同类型的服务器防火墙的优缺点。
为了帮助新手在选择服务器防火墙的时候,能够有一个比较大概的方向,我们将介绍服务器防火墙的大致分类,以及不同类型服务器防火墙各自的优缺点。
一、按照组成结构划分,服务器防火墙的种类可以分为硬件防火墙和软件防火墙。
硬件防火墙本质上是把软件防火墙嵌入在硬件中,硬件防火墙的硬件和软件都需要单独设计,使用专用网络芯片来处理数据包,同时,采用专门的操作系统平台,从而避免通用操作系统的安全漏洞导致内网安全受到威胁。
也就是说硬件防火墙是把防火墙程序做到芯片里面,由硬件执行服务器的防护功能。
因为内嵌结构,因此比其他种类的防火墙速度更快,处理能力更强,性能更高。
软件防火墙,顾名思义便是装在服务器平台上的软件产品,它通过在操作系统底层工作来实现网络管理和防御功能的优化。
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。
软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
硬件防火墙性能上优于软件防火墙,因为它有自己的专用处理器和内存,可以独立完成防范网络攻击的功能,不过价格会贵不少,更改设置也比较麻烦。
而软件防火墙是在作为网关的服务器上安装的,利用服务器的CPU和内存来实现防攻击的能力,在攻击严重的情况下可能大量占用服务器的资源,但是相对而言便宜得多,设置起来也很方便。
二、除了从结构上可以把服务器防火墙分为软件防火墙和硬件防火墙以外,还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类。
一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。
1. 包过滤型包过滤是最早使用的一种防火墙技术,它的第一代模型是静态包过滤,工作在OSI模型中的网络层上,之后发展出来的动态包过滤则是工作在OSI模型的传输层上。
包过滤防火墙工作的地方就是各种基于TCP/IP协议的数据报文进出的通道,它把这网络层和传输层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃。
基于包过滤技术的防火墙的优点是对于小型的、不太复杂的站点,比较容易实现。
但是其缺点是很显著的,首先面对大型的,复杂站点包过滤的规则表很快会变得很大而且复杂,规则很难测试。
随着表的增大和复杂性的增加,规则结构出现漏洞的可能性也会增加。
其次是这种防火墙依赖于一个单一的部件来保护系统。
如果这个部件出现了问题,或者外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机。
2. 应用代理型应用代理防火墙,实际上就是一台小型的带有数据检测过滤功能的透明代理服务器,但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为应用协议分析的新技术。
应用代理防火墙能够对各层的数据进行主动的,实时的监测,能够有效地判断出各层中的非法侵入。
同时,这种防火墙一般还带有分布式探测器, 能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
应用代理型防火墙基于代理技术,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能。
3. 状态监视型这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。
状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施。
三、主流服务器软件防火墙推荐在选择软件防火墙的时候,应该注意软件防火墙本身的安全性及高效性。
同时,要考虑软件防火墙的配置及管理的便利性。
一个好的软件防火墙产品必须符合用户的实际需要,比如良好的用户交互界面,既能支持命令行方式管理、又能支持GUI和集中式管理等。
以下我们推荐几款比较知名的软件防火墙供大家参考:1. 卡巴斯基软件防火墙 Anti-Hacker这是卡巴斯基公司出品的一款非常优秀的网络安全防火墙,它和著名的杀毒软件AVP是同一个公司的产品。
所有网络资料存取的动作都会经由它对用户产生提示,存取动作是否放行都由用户决定,而且可以抵挡来自于内部网络或网际网络的黑客攻击。
此软件的另一特色就是病毒库更新的及时。
卡巴斯基公司的病毒数据库每天更新两次,用户可根据自己的需要任意预设软件的更新频率。
此款产品唯一不足的是,其无论是杀毒还是监控,都会占用较大的系统资源。
2. 诺顿防火墙企业版诺顿防火墙企业版,适用于企业服务器、电子商务平台及VPN环境。
此款可以提供安全故障转移和最长的正常运转时间等。
这款软件防火墙采用经过验证的防火墙管理维护、监测和报告来提供细致周到的周边保护,其灵活的服务能够支持任意数目的防火墙,既可以支持单个防火墙,也可以支持企业的全球范围防火墙部署。
同时,软件还提供了包括 Windows NT Domain、Radius、数字认证、LDAP、S/Key、Defender、SecureID 在内的一整套强大的用户身份验证方法,使管理员可以从用户环境中灵活地选择安全数据。
3. 服务器安全狗服务器安全狗是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统。
是一款集DDOS防护、ARP防护、查看网络连接、网络流量、IP过滤为一体的服务器安全防护工具。
具备实时的流量监测,服务器进程连接监测,及时发现异常连接进程监测机制。
同时该防火墙还具备智能的DDOS攻击防护,能够抵御 CC攻击、UDP Flood、TCP Flood、SYN Flood、ARP等类型的服务器恶意攻击。
该防火墙还提供详尽的日志追踪功能,方便查找攻击来源。
4. KFW傲盾服务器版KFW傲盾防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。
它根据系统管理者设定的安全规则(Security Rules)把守企业网络,提供强大的访问控制、状态检测、网络地址转换(Network Address Translation)、信息过滤、流量控制等功能。
提供完善的安全性设置,通过高性能的网络核心进行访问控制。
5. McAfee Firewall EnterpriseMcAfee Firewall Enterprise 的高级功能如应用程序监控、基于信誉的全球情报、自动化的威胁更新、加密流量检测、入侵防护、病毒防护以及内容过滤等,能够及时拦截攻击使其无法得逞。
6. 冰盾专业抗DDOS防火墙软件冰盾防火墙软件具备较好的兼容性、稳定性和增强的抗DDOS能力,适用于传奇服务器、奇迹服务器、网站服务器、游戏服务器、音乐服务器、电影服务器、聊天服务器、论坛服务器、电子商务服务器等多种主机服务器。
该防火墙软件能够智能识别各种DDOS攻击和黑客入侵行为。
在防黑客入侵方面,软件可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为。
WINDOWS2000 中活动目录的功能是什么?
Microsoft® Active Directory® 服务是Windows® 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。
通过在Windows 2000操作系统的基础之上进行扩展,Windows Server 2003产品家族改进了Active Directory的易管理性,并且简化了迁移和部署工作的复杂程度。
特别地,对于应用程序开发人员以及独立软件开发商(ISV),他们会发现 Windows Server 2003中的Active Directory将是他们开发基于目录的应用程序的最佳选择。
Active Directory已经得到了增强,以便降低企业的整体拥有成本(TCO)和操作的复杂性。
各种新的功能和改进特性被添加到了产品的各个层面上,以提高系统的通用性,简化管理以及提升可靠性。
利用Windows Server 2003,组织可以在受益于成本节省的同时,提高各类不同企业要素的共享和管理效率。
本文面向IT管理员,网络系统设计人员或者任何渴望了解Windows Server 2003中的Active Directory所具有的主要增强和新增功能的人员。
本文首先介绍了Active Directory的基本概念,然后重点讲述了Windows Server 2003产品家族中的Active Directory所拥有的新增特性和改进功能:•集成和生产力•性能和伸缩性•系统管理和配置管理•组策略功能•安全性增强Active Directory 的基本概念Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows target=_blank>参阅 Microsoft Windows 资源工具包 。
Active Directory不支持架构对象的删除;但是,对象可以被标记为“非激活”,以便实现与删除同等的诸多益处。
属性属性和分类单独进行定义。
每一个属性仅仅定义一次,但是可以在多个分类中使用。
例如,“Description”(描述)属性可以使用在多个分类中,但是只需在架构中定义一次即可,以保持数据的一致性。
属性用来描述对象。
每一个属性都拥有它自己的定义,定义则描述了特定于该属性的信息类型。
架构中的每一个属性都可以在“Attribute-Schema”分类中指定,该分类决定了每一个属性定义所必须包含的信息。
能够应用到某个特殊对象上的属性列表由分类(对象是该分类的一个实例)以及对象分类的任何超类所决定。
属性仅仅定义一次,但是可以多次使用。
这确保了共享同一个属性的所有分类能够保持一致性。
多值属性属性可以是单值的也可以是多值的。
属性的架构定义指定了属性的实例是否必须是多值的。
单值属性的实例可以为空,也可以包含一个单值。
多值属性的实例可以为空,也可以包含一个单值或多值。
多值属性的每一个值都必须是唯一的。
索引属性索引应用于属性,而不是分类。
对属性进行索引有助于更快地查询到拥有该属性的对象。
当您将一个属性标记为“已索引”之后,该属性的所有实例都会被添加到该索引,而不是仅仅将作为某个特定分类成员的实例添加到索引。
添加经过索引的属性会影响Active Directory的复制时间、可用内存以及数据库大小。
因为数据库变得更大了,所以需要花费更多的时间进行复制。
多值属性也可以被索引。
同单值属性的索引相比,多值属性的索引进一步增加了Active Directory的大小,并且需要更多的时间来创建对象。
在选择需要进行索引的属性时,请确信所选择的共用属性,而且能够在开销和性能之间取得平衡。
一个经过索引的架构属性还可以被用来存储属性的容器所搜索,从而避免了对整个Active Directory数据库进行搜索。
这样不仅缩短了搜索所需花费的时间,而且减少了在搜索期间需要使用的资源数量。
全局编录的角色全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。
此外,全局编录还存储了每个对象最常用的一些可搜索的属性。
全局编录存储了它所在域的所有目录对象的完整副本,以及森林中其它域中所有目录对象的部分副本,所以您不必咨询域控制器即可实施有效的搜索操作。
全局编录在森林中最初的一台域控制器上自动创建。
您可以为任何一台域控制器添加全局编录功能,或者将全局编录的默认位置修改到另一台域控制器上。
全局编录担当了以下目录角色:•查找对象 全局编录允许用户搜索森林所有域的目录信息,而不管数据存储在何处。
森林内部的搜索可以利用最快的速度和最小的网络流量得以执行。
在您从“开始”菜单搜索人员或打印机,或者在某个查询的内部选择了“整个目录”选项的时候,您就是在对全局编录进行搜索。
在您输入搜索请求之后,请求便会被路由到默认的全局编录端口3268,以便发送到一个全局编录进行解析。
•提供了根据用户主名的身份验证。
在进行身份验证的域控制器不知道某个账户是否合法时,全局编录便可以对用户的主名进行解析。
例如,如果用户的账户位于域,而用户决定利用这个用户主名从位于的一台计算机上进行登录,那么的域控制器将无法找到该用户的账户,然后,域控制器将于全局编录服务器联系,以完成整个登录过程。
•在多域环境下提供通用组的成员身份信息。
和存储在每个域的全局组成员身份不同,通用组成员身份仅仅保存在全局编录之中。
例如,在属于一个通用组的用户登录到一个被设置为Windows 2000本机域功能级别或者更高功能级别的域的时候,全局组将为用户账户提供通用组的成员身份信息。
如果在用户登录到运行在Windows 2000本机或者更高级别中的域的时候,某个全局编录不可用并且用户先前曾经登录到该域,计算机将使用缓存下来的凭据让用户登录。
如果用户以前没有在该域登录过,用户将仅仅能够登录到本地计算机。
说明:即便全局编录不可用,“Domain Administrators”(域管理员)组的成员也可以登录到网络中。
查找目录信息正如前面所介绍的,Active Directory的设计目的在于为来自用户或应用程序的查询提供有关目录对象的信息。
管理员和用户可以使用“开始”菜单中的“搜索”命令轻松对目录进行搜索和查找。
客户端程序也可以使用Active Directory服务接口(ADSI)访问Active Directory中的信息。
Active Directory的主要益处就在于它能够存储有关网络对象的丰富信息。
在Active Directory中发布的有关的用户、计算机、文件和打印机的信息可以被网络用户所使用。
这种可用性能够通过查看信息所需的安全权限加以控制。
网络上的日常工作涉及用户彼此之间的通信,以及对已发布资源的连接和访问。
这些工作需要查找名称和地址,以便发送邮件或者连接到共享资源。
在这方面, Active Directory就像是一个在企业中共享的地址簿。
例如,您可以按照姓、名、电子邮件地址、办公室位置或者其它用户账户属性查找用户。
如前所述,信息的查找过程由于使用了全局编录而得到了优化。
高效的搜索工具管理员可以使用“Active Directory用户和计算机”管理单元中的高级“查找”对话框高效率地执行管理工作,并且轻松定制和筛选从目录取得的数据。
此外,管理员还可以向组中快速添加对象,并且通过无需浏览的查询帮助查找可能的成员,从而将对网络的影响降低到最小限度。
Active Directory的复制复制为目录信息提供了可用性、容错能力、负载平衡以及性能优势。
Active Directory 使用多主控复制,您可以在任何一台域控制器上更新目录,而不是只能在一台特定的主域控制器上进行更新。
多主控模式具有更出色的容错能力,因为使用了多台域控制器,即使在某一台域控制器停止工作的情况下,复制依然能够继续。
域控制器可以存储和复制:•架构信息。
架构信息定义了可以在目录中创建的对象,以及每隔对象所能够拥有的属性。
这些信息是森林中所有域的共用信息。
架构数据被复制到森林中的所有域控制器上。
•配置信息。
配置信息描述了您的部署的逻辑结构,其中包括诸如域结构或者复制拓扑这样的信息。
这些信息是森林中所有域的共用信息。
配置数据被复制到森林中的所有域控制器上。
•域信息。
域信息描述了域中所有的对象。
数据特定于具体的域,而且不会被分发到其它的任何域中。
为了在整个域树或者森林中查找信息,所有域中的所有对象的属性的一个子集被保存在全局编录中。
域数据将被复制到域中的所有域控制器上。
•应用程序信息。
存储在应用程序目录分区中的信息旨在满足用户对这些信息的复制需要,但是这些信息并不是在任何情况下都需要。
应用程序数据可以被明确地重新路由到森林中特定于管理用途的域控制器上,以防止产生不必要的复制流量。
或者,您可以进行设置,将这些信息复制到域中的所有域控制器上。
站点在复制过程中的角色站点提高了目录信息的复制效率。
目录架构和配置信息在整个森林范围内进行复制,而域数据则在域的所有域控制器之间进行复制,并且会被部分地复制到全局编录上。
通过有策略地减少复制流量,网络的通信压力也会得到相应的减轻。
域控制器使用站点和复制变化控制从以下方面对复制实施优化:•通过对所使用的连接不时进行重新评估,Active Directory可以始终使用最有效的网络连接。
•Active Directory使用多条路由复制发生变化的目录数据,从而提供了容错能力。
•由于仅仅需要复制发生了变化的信息,复制开销降到了最小。
如果某个部署没有按照站点加以组织,域控制器以及客户机之间的信息交换将是混乱和无序的。
站点可以改善网络的利用效率。
Active Directory在站点内部复制目录信息的频度比在站点间的复制频度要更高。
这样,拥有最佳连接条件的域控制器——它们很可能需要特殊的目录信息——可以首先得到复制。
其它站点中的域控制器则可以获得所有发生了变化的目录信息,但是它们进行复制的频率要低一些,以便节省网络带宽。
另外,由于数据在站点间进行复制时经过了压缩处理,所以复制操作所占用的带宽进一步得到了降低。
为了实现高效复制,只有在添加或修改了目录信息之后才进行目录的更新。
如果目录更新始终被分发到域中的所有其它域控制器上,它们将占用大量的网络资源。
虽然您可以手动添加或配置连接,或者强迫通过某条特定的连接进行复制,复制仍然可以根据您在“Active Directory Sites and Services”管理工具中提供的信息,通过Active Directory知识一致性检查程序(Knowledge Consistency Checker,KCC)得到自动优化。
KCC负责构建和维护Active Directory的复制拓扑。
特别地,KCC可以决定何时进行复制,以及每台服务器必须同哪些服务器开展复制。
Active Directory客户端利用Active Directory客户端,Windows 2000 Professional 或者 Windows XP Professional所拥有的众多Active Directory特性可以被运行Windows 95、Windows 98以及Windows NT® 4.0操作系统的计算机所使用:•站点感知。
您可以登录到网络中距离客户端最近的一台域控制器上。
•Active Directory 服务接口(ADSI)。
您可以使用它为Active Directory编写脚本。
ADSI还为Active Directory编程人员提供了一个公共的编程API。
•分布式文件系统(DFS)容错客户端。
您可以访问Windows 2000 以及运行Windows DFS 容错和故障转移文件共享的服务器,这些文件共享在Active Directory中指定。
•NTLM version 2 身份验证。
您可以使用NT LanMan (NTLM) version 2中经过改进的身份验证特性。
有关启用NTML version 2的更多信息,请参阅Microsoft 知识库文章,“如何启用NTLM 2 身份验证” :•Active Directory Windows 地址簿(WAB)属性页。
您可以修改用户对象页上的属性,例如电话号码和地址。
•Active Directory的搜索能力。
您可以通过“开始”按钮,查找Windows 2000 Server 或者Windows 域中的打印机和人员。
有关在Active Directory中发布打印机的更多信息,请参阅Microsoft 知识库文章,“在 Windows 2000 Active Directory中发布打印机”:2000 Professional 和 Windows XP Professional 提供了Windows 95、Windows 98和Windows NT 4.0上的Active Directory客户端所没有的一些功能,例如:对Kerberos version 5的支持;对组策略或者IntelliMirror® 管理技术的支持;以及服务主名或者相互验证。
通过升级到Windows 2000 Professional或Windows XP Professional,您可以对这些附加特性加以充分利用。
更多信息,请参看:•升级到Windows 2000•Windows XP Professional 升级中心为了安装Active Directory客户端,请参阅Active Directory 客户端页面:Directory的新增功能和改进特性•本白皮书的剩余部分概括了Windows Server 2003产品家族中的Active Directory在以下方面所拥有的一些新增功能和改进特性:•集成和生产力•性能和伸缩性•系统管理和配置管理•组策略特性•安全性增强Active Directory 的集成和生产力作为管理企业标识、对象和关系的主要手段,Active Directory中的接口(包括编程接口和用户界面)已经得到了改进,以提高管理工作的效率和系统的集成能力。
让Active Directory更加易于使用和管理Active Directory包含了众多增强特性,例如对MMC管理单元的改进以及对象选择工具组件等,它们让Active Directory变得更加易于使用。
MMC插件方便了多个对象的管理。
管理员可以:•编辑多个用户对象。
一次选择并编辑多个对象属性。
•保存查询。
将针对Active Directory服务的查询保存下载以便今后使用。
结果可以用XML格式导出。
•使用经过改进的对象选择工具组件快速选择对象。
该组件经过重新设计并且得到了加强,能够改善工作流和提高在大目录中查找对象的效率,同时还提供了一种更灵活的查询功能。
各种用户界面均可以使用该组件,并且可以为第三方开发人员所使用。
更多的集成和生产力特性和改进特性描述ACL 列表用户界面的修改ACL用户界面已经得到了增强,以改善其易用性以及继承和特定的对象权限。
扩展性增强那些拥有某个独立软件开发商(ISV)或者原始设备制造商(OEM)所开发的能够利用Active Directory的软件或设备的管理员拥有了更加出色的管理能力,并且可以添加任何对象分类作为组的成员。
来自其它LDAP目录的用户对象在LDAP目录中定义的用户对象使用了RFC 2798中定义的inetOrgPerson类(例如Novell和Netscape),这些对象可以使用Active Directory用户界面进行定义。
这个与Active Directory用户对象配合工作的用户界面可以处理inetOrgPerson对象。
现在,任何需要使用inetOrgPerson类的应用程序或者客户都可以轻松实现它们的目的。
Passport 集成(通过IIS)Passport 身份验证现在可以通过Internet Information Services (IIS) 6.0进行,而且允许Active Directory用户对象被映射到他们相应的Passport标识符上(如果存在该标识)。
本地安全机构(Local Security Authority,LSA)将为用户创建一个令牌,然后IIS 6.0将根据HTTP请求对其加以设置。
现在,拥有相应Passport 标识的Internet用户可以使用他们的Passport访问资源,就如同使用他们的Active Directory凭据一样。
利用ADSI使用终端服务器特定于终端服务器用户的属性可以通过使用Active Directory服务接口(ADSI)编写脚本进行设置。
除了通过目录手动设置之外,用户属性可以利用脚本加以设定。
这样做的一个好处就是:可以通过 ADSI容易地实现属性的批量修改或编程修改。
复制和信任监视WMI提供者Windows管理规范(WMI)类可以监视域控制器之间是否成功地对Active Directory信息进行了复制。
因为众多的Windows 2000组件,例如Active Directory复制,都需要依赖于域间的相互信任,本特性还为监视信任关系是否能够正常工作提供了一种手段。
管理员或者运营队伍可以通过WMI在发生复制问题时轻松获得报警。
MSMQ 分发列表消息队列(Message Queuing,MSMQ)现在支持向驻留在Active Directory中的分发列表(Distribution Lists)发送消息。
MSMQ用户可以通过Active Directory轻松管理分发列表。
Active Directory 性能和伸缩性主要的修改体现在Windows Server 2003对Active Directory信息的复制和同步操作的管理方面。
此外,还围绕安装、迁移和维护添加了新的功能,以便让Active Directory更加灵活、健壮和高效。
改善分支办公室的性能分支办公室部署通常由众多的远程办公室组成,而且每个远程办公室均拥有自己的域控制器——但是一般使用慢速连接与公司连接中心或数据中心保持相连。
在用户登录时,Windows Server 2003不再要求访问中央的全局编录服务器,从而加快了分支办公室的登录过程。
现在,组织无需在拥有不可靠网络的地方为分支办公室部署一台全局编录服务器。
与在用户每次登录到域控制器时要求联系全局编录不同,当网络可用时,域控制器会将先前从该站点或者从离线全局编录服务器登录的用户的通用组成员关系缓存下来。
然后,在登录时,用户无需让域控制器联系全局编录服务器,便可登录到网络上,从而减少了对慢速或者不可靠网络的需求。
如果全局编录发生故障,无法处理用户的登录请求,这项改进还可以提供更多的可靠性。
其它性能特性和改进特性描述禁止对站点间的复制流量进行压缩处理禁止对不同站点的域控制器之间的复制流量进行压缩。
可以减轻域控制器的CPU负担,从而在需要时提高性能。
群集化的虚拟服务器支持群集对象现在也可以被定义为计算机对象。
具有群集意识和Active Directory意识的应用程序可以将它们自己的配置信息与一个经过良好定义的对象建立关联。
并发LDAP绑定出于对用户进行身份验证的目的,您可以对同一个连接上的多个轻量级目录访问协议(LDAP)实施绑定。
应用程序开发人员可以利用本特性,极大提高LDAP绑定的性能,同时对向Active Directory发出的请求实施身份验证。
域控制器超载预防如果域中已经包含大量域成员,而且这些成员已经升级到Windows 2000和Wind
