《2003域与活动目录配置(非常详细)》由会员分享,可在线阅读,更多相关《2003域与活动目录配置(非常详细)(67页珍藏版)》请在金锄头文库上搜索。
1、网络操作系统,Windows Server 2003 管理与配置,第3章域与活动目录,域、域树和域林活动目录安装域控制器活动目录的管理,本章要点,3.1 域、域树和域林,工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。工作组名并没有太多的实际意义,只是在“网上邻居”的列表中实现一个分组而已。 “工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。在主从式网络中,资源集中存放在一台或者几台服务器上,如果仅仅只有一台服务器,问题就很简单,在服务器上为每一位员工建立一个账户即可,用户只需登录该服务器就可以
2、使用服务器中的资源。然而如果资源分布在多台服务器上呢?如图所示3-1所示,要在每台服务器分别为每一员工建立一个账户(共MN个),用户需要在每台服务器上(共M台)登录,感觉又回到了对等网的模式。,3.1 域、域树和域林,图3-1 资源分布在多台服务器上,图3-2 域的模式,3.1 域、域树和域林,域(Domain)是一个安全的边界,也可以理解为服务器控制网络上的计算机能否加入的计算机组合。在使用了域之后,如图3-2所示,服务器和用户的计算机都在同一域中,用户在域中只要拥有一个账户,用账户登录后即取得一个身份,有了该身份便可以在域中漫游,访问域中任一台服务器上的资源。在“域”模式下,至少有一台服务
3、器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”,它包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。,3.1 域、域树和域林,图3-3多域的模式,随着网络的不断发展,有的企业的网络大的惊人,当网络有十万个用户甚至更多时,域控制器存放的用户数据量很大,更为关键的是如果用户频繁登录,域控制器可能因此不堪重负。在实际的应用中,我们在网络中划分多个域,每个域的规模控制在一定的范围内,同时也是出
4、于管理上的要求,将大的网络划分成小的网络,每个小的网络管理员管理自己所属的账户,如图3-3所示。,3.1 域、域树和域林,图3-4信任关系,为了解决用户跨域访问资源的问题,可以在域之间引入信任,有了信任关系,域A的用户想要访问B域中的资源,让域B信任域A就行了。信任关系分为单向和双向,如图3-4所示。图中是单向的信任关系,箭头指向被信任的域,即域A信任域B,域A称为信任域,域B被称为被信任域,因此域B的用户可以访问域A中的资源。图中是双向的信任关系,域A信任域B的同时域B也信任域A,因此域A的用户可以访问域B的资源,反之亦然。,3.1 域、域树和域林,图3-5多个域的资源互访需要多个信任关系,
5、微软的网络操作系统是考虑在大型企业构建网络和扩展网络的需要而设计的。在一个企业中可能会有分布在全世界的分公司等,分公司下又有各个部门存在,资源的访问常常可能跨过许多域。在Windows NT 4.0时,域和域之间的信任关系是不可传递的,如果要实现多个域中的用户可以跨域访问资源,必须创建多个双向信任关系:n(n-1)/2,如图3-5所示。,3.1 域、域树和域林,图3-6域树,从Windows 2000 Server起,域树(Domain Tree)开始出现,如图3-6所示。域树中的域以树的出现,最上层的域名为,是这个域树的根域,根域下有两个子域:和, 子域下又有自己的子域。在域树中,父域和子域
6、的信任关系是双向可传递的,因此域树中的一个域隐含地信任域树中所有的域。图3-6中共有七个域,所有域相互信任,也只需要六个信任关系,远比图3-5中所示的7(71)/2=21个信任关系要少得多。,3.1 域、域树和域林,图3-7域林,域和DNS域的关系非常密切,因为域中的计算机使用DNS来定位域控制器和服务器以及其它计算机、网络服务等,实际上域的名字就是DNS域的名字。在图3-6中,企业向Internet组织申请了一个DNS域名,所以根域就采用了该名。然而,企业可能同时拥有和两个域名,如果某个域用作为域名,将无法挂在域树中,这个时候只能单独创建另一个域树,如图3-7所示,新的域树根域为,这两个域树
7、共同构成了域林(Domain Forest)。,3.2 活动目录,活动目录(Active Directory)是一种目录服务,它存储有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息,并将结构化数据存储作为目录信息逻辑和分层组织的基础,使管理员比较方便地查找并使用这些网络信息。活动目录是在Windows 2000 Server就推出的新技术,它最大的突破性和成功之一也就在于它全新引入了活动目录服务,使 Windows 2000 Server与Internet上的各项服务和协议更加联系紧密。通过在Windows 2000 Server的基础上进一步扩展,Windows Serv
8、er 2003提高了活动目录的多功能性、可管理性及可靠性。,3.2 活动目录,活动目录结构主要是指网络中所有用户、计算机以及其他网络资源的层次关系,就像是一个大型仓库中分出若干个小的储藏间,每一个小储藏间分别用来存放不同的东西一样,通常情况下活动目录的结构可以分为逻辑结构和物理结构。活动目录的逻辑结构:包括域、域树、域林和组织单元。 组织单元(Organizational Unit,OU)是一个容器对象,可以把域中的对象组织成逻辑组,以简化管理工作。组织单元可以包含各种对象,比如用户账户、用户组、计算机、打印机等,甚至可以包括其它的组织单元,所以可以利用组织单元把域中的对象组成一个完全逻辑上的
9、层次结构。对于企业来讲,可以按部门把所有的用户和设备组成一个组织单元层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个组织层次结构。,活动目录结构,3.2 活动目录,活动目录的物理结构与逻辑结构有很大不同,它们是彼此独立的两个概念。逻辑结构侧重于网络资源的管理,而物理结构则侧重于网络的配置和优化。活动目录的物理结构,主要着眼于活动目录信息的复制和用户登录网络时的性能优化。物理结构的两个重要概念是站点和域控制器。站点由一个或多个IP子网组成,这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定,可以依据站点结构配置活动目录的访问和复制拓扑关系,这样能使得网络更
10、有效地连接,并且可使复制策略更合理,用户登录更快速。活动目录中的站点与域是两个完全独立的概念,一个站点中可以有多个域,多个站点也可以位于同一域中。,活动目录结构,3.2 活动目录,域控制器是指运行Windows Server 2003的服务器,它保存了活动目录信息的副本。域控 制器管理目录信息的变化,并把这些变化复制到同一个域中的其它域控制器上,使各域控制器上的目录信息同步。域控制器也负责用户的登录过程以及其它与域有关的操作,比如身份鉴定、目录信息查找等。活动目录支持多主机复制方案,然而由于复制引起的通信流量以及网络潜在的冲突,变化的传播并不一定能够顺利进行,因此有必要在域控制器中指定全局目录
11、服务器以及操作主机。全局目录是一个信息仓库,包含活动目录中所有对象的一部分属性,往往是在查 询过程中访问最为频繁的属性。利用这些信息,可以定位到任何一个对象实际所在的位置。,活动目录结构,3.2 活动目录,有了域林之后,同一域林中的域控制器共享一个活动目录,这个活动目录是分散存放在各个域的域控制器上的,每个域中的域控制器存有该域的对象的信息。如果一个域的用户要访问另一个域中的资源,这个用户要能够查找到另一个域中的资源才行。为了让每一用户能够快速查找到另一个域内的对象,微软设计了全局编录(Global Catalog,GC)。全局编录包含了整个活动目录中每一个对象的最重要属性(即部分属性,而不是
12、全部),这使得用户或者应用程序即使不知道对象位于哪个域内,也可以迅速找到被访问的对象。,全局编录,3.3 活动目录的设置,文件系统和网络协议:活动目录必须安装在NTFS分区,因此Windows Server 2003所在的分区必须是NTFS文件系统,同时计算机上要正确安装了网卡驱动程序,并启用了TCP/IP协议。域结构规划:活动目录可包含多个域,只有合理地规划目录结构,才能充分发挥活动目录的优越性。选择根域最为关键,根域名字的选择可以有以下几种方案:使用一个已经注册的DNS域名作为活动目的根域名,使得企业的公共网络和私有网络使用同样的DNS名字。使用一个已经注册的DNS域名的子域名作为活动目录
13、的根域名。 活动目录使用与已经注册的DNS域名完全不同的域名,使企业网络在内部和互联网上呈现出两种完全不同的命名结构。,安装活动目录前的准备,3.3 活动目录的设置,域名策划:目录域名通常是该域的完整DNS名称,如“”。同时,为了确保向下兼容,每个域还应当有一个与Windows 2000 Server以前版本相兼容的名称,如“abc”。注意:在TCP/IP网络中,DNS是用来解决计算机名字和IP地址的映射关系的。活动目录和DNS密不可分,它使用DNS服务器来登记域控制器的IP、各种资源的定位等,因此在一个域林中至少要有一个DNS服务器存在。Windows Server 2003中的域也是采用D
14、NS的格式来命名的。,安装活动目录前的准备,3.3 活动目录的设置,为了本章说明的方便,以图3-8中的拓扑为样本,该拓扑的域林有两个域树:和,其中域树下有子域,在域中有两个域控制器;因域中除了一个域控制器外,还有一个成员服务器。,安装活动目录前的准备,图3-8 网络规划拓扑图,3.3 活动目录的设置,用户要将自己的服务器配置成域控制器,应该首先安装活动目录,以发挥活动目录的作用。安装活动目录具体步骤如下:1)首先确认“本地连接”属性TCP/IP首选DNS是否指向了本机(本例为192.168.1.7),然后在“管理您的服务器”窗口中,单击“添加或删除角色”超级链接,启动“配置您的服务器向导”,单
15、击“下一步”按钮检测所有的设备、操作系统,并搜索网络连接。搜索完成,弹出如图3-9所示“配置选项”窗口,选择“自定义配置”单选按钮。2)单击“下一步”按钮,弹出如图3-10所示“服务器角色”窗口,在“服务器角色”列表框中列出了所有可以安装的服务器,选择“域控制器”选项,将该计算机设置为域控制器,并同时安装活动目录。,安装活动目录,3.3 活动目录的设置,图3-9 配置选项,图3-10 服务器角色,3.3 活动目录的设置,3)单击“下一步”按钮,显示“选择总结”窗口,此处说明将“运行Active Directory安装向导来将此服务器设置成域服务器”,直接单击“下一步”按钮,启动如图3-11所示
16、“ActiveDirectory安装向导”窗口。4)单击“下一步”按钮,弹出如图3-12所示“操作系统兼容性”窗口,此处对安装活动目录以后的情况进行了简单说明。,安装活动目录,3.3 活动目录的设置,图3-11 ActiveDirectory安装向导,图3-12 操作系统兼容性,3.3 活动目录的设置,5)单击“下一步”按钮,弹出如图2-13所示“域控制器类型”窗口,选择此服务器要担任的角色。如果当前服务器未曾安装过Active Directory,并且要保留这个服务器上的所有账户,则建议选择“新域的域控制器”选项。注意:域控制器类似于网络“看门人”,用于管理所有的网络访问,包括登录服务器、访问共享目录和资源。域控制器存储了所有的域范围内的账户和策略信息,包括安全策略、用户身份验证信息和账户信息。在网络中,可以有多台计算机配置为域控制器,以分担用户的登录和访问。多个域控制器可以一起工作,自动备份用户账户和活动目录数据,即使部分域控制器瘫痪后,网络访问仍然不受影响,提高网络安全性和稳定性。,
