Домены, соединенные таким образом, называются деревом доменов. Домены в дереве доменов имеют непрерывное иерархическое пространство имен. Это означает, что имя домена-потомка добавляется к имени домена-предка. Между доменами устанавливаются доверительные отношения, использующие протокол Kerberos.

На следующем рисунке показан корневой домен

, который является также доменом-предком доменов-потомков и . Доверительные отношения задаются между доменами предком и потомком так, чтобы учетные записи одного домена можно было аутентифицировать в другом:

Соединение множества деревьев доменов с помощью общей схемы, общая конфигурация и глобальный каталог без непрерывного пространства имен называется лесом. Лес является множеством деревьев доменов. Лес может иметь место, если у компании есть филиал, где должно применяться другое имя домена. Предположим, что домен

должен быть относительно независимым от домена , но должно быть общее управление, а также возможность пользователям из домена иметь доступ к ресурсам из домена и наоборот. С помощью леса можно создать доверительные отношения между множеством деревьев доменов.

Поиск объекта может охватывать несколько доменов. Если ищется объект определенного пользователя с некоторыми атгрибутами, то необходимо вести поиск в каждом домене. Начиная с

, поиск продолжается в и через медленные соединения, такой поиск может потребовать достаточно много времени.

Чтобы ускорить поиск, все объекты копируются в глобальный каталог. Глобальный каталог реплицируется в каждый домен леса. Существует по крайней мере один сервер в каждом домене, содержащий глобальный каталог. По соображениям производительности и масштабируемости можно иметь в домене более одного сервера с глобальным каталогом. С помощью глобального каталога поиск по всем объектам может вестись на одном сервере.

На следующем рисунке мы видим три домена в дереве доменов. Каждый из этих доменов имеет глобальный каталог. По умолчанию глобальный каталог устанавливается на первом контроллере домена, но могут быть добавлены дополнительные каталоги:

Глобальный каталог является для всех объектов кэш-памятью только для чтения. Каталог может применяться лишь для поиска; для выполнения обновлений должны использоваться контроллеры доменов.

Не все атрибуты объекта хранятся в глобальном каталоге. Можно определить, должен ли он храниться там или нет. Решение о необходимости хранения атрибута в глобальном каталоге зависит от частоты использования его при поиске. Изображение пользователя бесполезно в глобальном каталоге, так как вряд ли поиск будет осуществиться по изображению. Вместо этого полезным добавлением для хранения был бы номер телефона. Атрибут можно также использовать для уточнения того, что он должен быть проиндексирован, с целью ускорения запроса этого атрибута.

Как программисты мы не будем конфигурировать репликацию, но так как она является важным аспектом данных, которые хранятся в активном каталоге, необходимо знать, как она работает. Активный каталог использует архитектуру серверов с несколькими мастерами. Обновления могут и будут происходить на каждом контроллере домена в домене. Задержка репликации определяет, сколько времени потребуется для выполнения обновлений.

□ Конфигурируемое уведомление об изменении происходит внутри сайта по умолчанию каждые 5 минут, если изменяются некоторые атрибуты. Сервер, где происходит изменение, информирует все серверы по очереди с 30-секундным интервалом. В дальнейшем сервер может получать уведомление об изменении через 7 минут. По умолчанию уведомление об изменении между сайтами задается равным 180 минутам. Внутри- и межсайтная репликация может быть сконфигурирована на другие значения.

□ Если никаких изменений не происходит, плановая репликация выполняется каждые 60 минут внутри сайта. Это служит гарантией того, что уведомление об изменении не будет пропущено.

□ Для информации, чувствительной к безопасности, такой как блокирование учетной записи, может происходить немедленное уведомление.

Изменения при репликации копируются в контроллеры доменов. Для каждого изменения атрибута записываются номер версии (USN — номер последовательности обновления) и отметка времени. Они используются для разрешения конфликтов, если обновления происходят в одном и том же атрибуте на различных серверах.

Рассмотрим пример. Атрибут "мобильный телефон" пользователя Джона Доу имеет номер USN 47. Это значение уже реплицировано во все контроллеры доменов. Один системный администратор изменяет телефонный номер. Изменение происходит на сервере DC1, новый USN этого атрибута на сервере DC1 теперь будет 48, а остальные контроллеры доменов по прежнему имеют USN, равным 47. Если кто-то все еще читает атрибут, то он может считать старое значение, так как репликация еще не произошла на всех контроллерах доменов.

Теперь может произойти редкий случай, когда другой администратор изменяет атрибут "телефонный номер", и здесь был выбран другой контроллер домена, так как этот администратор получил более быстрый ответ от сервера DC2. USN этого атрибута на сервере DC2 также изменяется на 48.

Через заданный интервал происходит уведомление, так как USN атрибута изменился, и последний раз репликация происходила со значением USN, равным 47. С помощью механизма репликации теперь обнаруживается, что серверы DC1 и DC2 оба имеют USN, равный 48, для атрибута "номер телефона". Какой сервер будет победителем в действительности не имеет значения, но один сервер должен выиграть. Чтобы разрешить этот конфликт, используется отметка времени изменения. Так как изменение произошло позднее на DC2, то будет реплицировано значение, которое хранится в контроллере домена DC2.