鸿 网 互 联 www.68idc.cn

Windows的域和活动目录

来源:互联网 作者:佚名 时间:2015-06-04 21:18
本文缩略词语 MS Microsoft 微软公司 Windows Windows XP Windows XP NT Windows NT Server Windows Server Windows Server S Server AS Advanced Server AD Active Directory 即活动目录 DC Domain Controller 即域控制器 GC Global Catalog 全局编录 TS Te

  本文缩略词语
  
  MSMicrosoft 微软公司
  Windows
  Windows
  XPWindows XP
  NTWindows NT Server
  Windows Server
   Windows Server
  SServer
  ASAdvanced Server ADActive Directory 即活动目录
  DCDomain Controller 即域控制器
  GCGlobal Catalog 全局编录
  TSTerminal Service 终端服务
  PDCWindows NT Server域中的主域控制器
  BDCWindows NT Server域中的备份控制器
  SAM库安全帐号管理器数据库
  FQDN完全有效域名
  NetBIOS名称形如mcse
  
  本文的目的是作为域和AD的一篇入门文章使没有安装过域或刚刚接触域的年轻网管能对域和AD有一个全面的了解并利用此文入门将所管理的网络实现一个基于域的管理模式
  
  认识Windows的域
  
  本小节重点从理论上阐述域的概念作用和Windows中域的产生
  
  一台Windows计算机它要么隶属于工作组要么隶属于域所以说到域我们就不得不提一下工作组工作组是MS的概念一般的普遍称谓是对等网工作组通常是一个由不多于台计算机组成的逻辑集合如果要管理更多的计算机MS推荐你使用域的模式进行集中管理这样的管理更有效你可以使用域活动目录组策略等等各种功能使你网络管理的工作量达到最小当然这里的台只是一个参考值台甚至如果你不想进行集中的管理那么你仍然可以使用工作组模式
  
  工作组的特点就是实现简单不需要域控制器DC每台计算机自己管理自己适用于距离很近的有限数目的计算机另外工作组名并没有太多的实际意义只是在网上邻居的列表中实现一个分组而已再就是对于计算机浏览服务每一个工作组中会自动推选出一个主浏览器负责维护本工作组所有计算机的NetBIOS名称列表用户可以使用默认的workgroup也可以任意起个名字同一工作组或不同工作组在访问时也没有什么分别
  
  域(Domain)是一个共用目录服务数据库的计算机和用户的集合实现起来要复杂一些至少需要一台计算机安装NT// Server版本使其充当DC来实现集中式的管理
  
  若考虑到容错的话至少需要两台对于NT域就是一台PDC(具有唯一性)一至多台BDC对于/已经没有PDC和BDC的概念要容错就需要两至多台DC
  
  域是逻辑分组与网络的物理拓扑无关可以很小比如只有一台DC也可以很大包括遍布世界各地的计算机比如大型跨国公司网络上的域(当然实际中他们多采用多域结构还可以利用AD站点来优化AD复制)
  
  这个目录服务数据库在NT保存用户帐号名称和密码等安全安全信息以及安全规则设置又被称作安全帐号管理(SAM)数据库简称SAM库在非DC上的本地的SAM库与DC上域所用的SAM库类似只不过对于NT域的SAM库文件保存有整个域的用户和计算机域用户管理器服务器管理器来管理本地的SAM库文件保存有本地机的用户用户管理器来管理
  
  从开始MS引入了活动目录ADDC通过AD来提供目录的服务例如它负责维护AD数据库审核用户的账户和密码是否正确将AD数据库复制到其它的DC等AD库的核心文件就是winnt\ntds\ntdsdit文件注意组策略的具体设置值并不存在这个文件中而是保存在winnt\sysvol\sysvol这个共享夹下用于向其它DC复制传播给域成员来生效但需要说明的是/XP/的非DC域成员计算机上仍使用和NT一样的SAM库文件来保存本地帐号
  
  正是由于所有域成员计算机和域用户都共用这个域的目录服务数据库域管理员就可以基于域的目录服务数据库来进行集中管理共享资源如用户计算机帐号权限设置组策略设置等等目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力目录服务也为用户提供唯一的用户名和密码用户只需一次登录即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行)而不需要多次提供用户名和密码登录
  
  构建Windows 的域
  
  这个过程简单说就是选一台S/AS计算机运行AD安装向导在其上安装活动目录使其成为DC然后将其它的计算机加入到这个域
  
  说明至于是用S还是用AS对于一般的用户差别不大S支持最多个CPU最大G内存AS支持最多个CPU最大内存G还支持群集功能但这些我们一般用户都用不到所以对于普通用户来说选择S或AS都是一样的
  
  系统要求
  *一台S或AS独立或成员服务器DS只有OEM版随厂商硬件发售平常我们是见不到的
  * 其上必须有一个NTFS 分区用来保存AD的sysvol文件夹注意的NTFS分区是NTFS NT的是NTFS NT必须安装SP才可访问的NTFS分区
  * 网络上必须有可用的DNS服务器并且必须支持SRV记录(Service Locaion Resource Record)和动态更新功能MS WinS DNSUNIX的DNS BIND 及以上版本使用已有的NT DNS是不行的
  
  说明
  构建NT域并不需要DNS的支持域必须有DNS且满足上述要求
  SRV记录的作用是指明域和站点(site)的DCPDC仿真GC是谁动态更新也是DNS的新特色管理员不必再象NT DNS那样手动为计算机创建或修改相应记录在域成员计算机重启或改名改IP时依赖周期性更新自动动态实现
  如果没有DNS服务器的话也不一定非得预装DNS可以在安装AD过程中选择在本机上安装 DNS而且推荐初学者使用这种方法因为系统会根据你提供的FQDN域名自动创建好DNS区域(zone)并配置成AD集成区域仅安全动态更新如果需要向外连或反向解析用户只需配置上转发器和反向区域即可不需要的话直接就可以用了
  如果决定在安装AD过程中在本机安装DNS应在安装前将本机TCP/IP配置/DNS服务器指向自己这样在安装AD完成后重启时SRV记录将被自动注册到DNS服务器的区域当中去的生成四个以下划线开头的文件夹如_msdcsDNS在这里夹的层次结构有所变化但本质没变当然如果忘了指也可以后补上只不过需要多重启一次
  
  安装步骤注意事项常见问题经验技巧
  
  ()启动AD安装向导
  方法一开始/程序/管理工具/配置服务器/ Active Directory /启动AD安装向导
  方法二熟练后一般常用开始/运行dcpromo
  
  ()安装选项指定服务器角色
  三个界面实现四种组合
  
  新域
  附加DC
  
  新树
  子域
  
  新林
  加入林
  
  即
  * 新域—新树—新林
  * 附加DC
  * 新域—子域
  * 新域—新树—加入林
  
  全新安装新域—新树—新林这样来建立第一个域中的第一台DC
  的多域模型采用层次结构不同于NT域的平面结构NT的多个域之间只是通过信任关系关联起来接下来以下图为例的域林进行简要说明
  
  
  /    
  
  这整个是一个林为林根域有两个树一个由和它的子域组成另一个由单独组成林中有三个域相关概念如下
  林根域在林中第一个建立的域
  树共用连续的命名空间的多层域如和
  树根域树最高层的域名最短
  
  说明
  可采用多层域结构但最有效最简便的管理方法仍是单域所以大家在实际工作中要记住一个原则能用单域解决就不用多域
  再者AD是针对大中型网络设计的而我们一般管理的网络也就几百个节点属于小型网络一般来讲用一个单域结构就够用了不要人为将管理环境复杂化在实验中我们甚至可以一个林中只有一个树一个树中只有一个域一个域里只有一台DC
  另外前面已经说过了域是逻辑分组与网络的物理拓扑无关不要总试图规划一个子网一个域当然实际中多个子网一个域子网中若有//NT老计算机无法利用DNS直接登录到域可以安装一台WINS服务器解决问题将所有计算机包括WINS服务器本身的TCP/IP配置中的WINS服务器指向此WINS服务器即可
  
  ()安装选项新域的DNS全名
  说明
  在这里应该输入新域的完全有效域名FQDN形如系统会打算以mcse作为此域的NetBIOS名称并在网络中检查是否存在重名需要等一会儿不重名则设为mcse建议用户不要修改此名重名则设为mcse建议用户最好换个名字这也就是说网络中如果已有一个域名字叫做也会出现NetBIOS名称冲突的问题
  
  ()安装选项为新域指定一个NetBIOS名称
  说明
  NetBIOS名称只是为//NT等老版本用户通过浏览服务或WINS来识别这个域用的如果确信域用户都是及以上系统(它们通过DNS定位域)其实NetBIOS名称冲不冲突都无所谓
  
  ()安装选项指定AD库和日志文件位置
  说明
  如果仅是实验用默认值即可若是在真正的服务器上都会有多块物理硬盘最好分开存放以提高性能另外需要强调的是AD库和日志文件并不要求非得NTFS 分区很多/书在此语焉不详
  <
网友评论
<