1Window域详解.docx
《1Window域详解.docx》由会员分享,可在线阅读,更多相关《1Window域详解.docx(13页珍藏版)》请在冰豆网上搜索。
1Window域详解
一、域结构简介
1、域的含义:
域是由一群以网络连接在一起的计算机所组成的,它们将计算机内的资源共享给其他人使用。
2、与工作组结构网络区别:
域内所有的计算机共享一个集中式的目录数据库,它包括整个域内的用户与安全数据。
而工作组结构的网络,每台计算机的位置平等。
可以相互的共享。
3、域中的计算机类型:
A、域控制器:
只有WIN2000SERVER或WIN2003才可以做域控制器,域控制器在一个网络中可以有多个。
一台的目录数据库可以自动复制到别一个域服务器的目录数据库中,域可以审核登录用户的用户名和密码。
多台域服务器共同审核用户的登录可以提高效率。
B、成员服务器:
域内的WIN2000服务器如果不是域控制器,就是成员服务器,如果不加入域就是独立服务器,成员服务器没有活动目录,不能审核域用户的登录,但它们都有自己的本地安全数据库。
以审核本地用户。
C、其他计算机:
其他计算机可以用来访问这些计算机的资源。
二、活动目录定义
1、概述:
目录:
举例来说一个电话本:
其中有姓名、与姓名相对应的又有电话号码、通讯地址等,这些就是目录,我可以很容易从找到所需的数据。
目录服务:
就让用户很容易在目录中查找所要的数据。
而在WIN2000或WIN2003中,存储用户、组、打印机等对象相关数据的位置称为目录数据库,负责提供目录服务的组件称为活动目录。
2、适用范围
应用范围很广,可以在一台计算机、一个计算机网络,大至数据广域网的组合。
3、名称空间
A、名称空间的含义:
就是一块划好的区域。
在这个区域内,可以利用某个名字来找到与这个名字有关的信息。
B、WIN2000或WIN2003中的活动目录就是“名称空间”,可以利用对象名称找到相关的数据。
C、WIN2000或WIN2003的名称结构采用了DNS的结构。
4、对象与属性
WIN2000或WIN2003中的资源都是以对象的形式存在,而一个对象通过属性来描述其特征。
如用户就是一个对象类别。
用户的姓、名、电话,就是用户的属性。
5、容量与组织单位
A、容量与对象相似,也有自己的名称,也有自己的属性,但它不是一个实体,而可以一组对象和其它容量。
B、组织单位,就是一个容量,可以包括其他对象和组织单位。
6、域目录树
A、域目录树:
对一个包含多个域的网络,则可以将网络设置成域目录树的结构,也就是说这些域以树状的形式存在。
B、域目录树中的子域名包含着父域的域名
C、域目录树中的所有的域共享一个活动目录。
但活动目录中的数据分散地存储在各个域内。
将各个域内的数据合并为一个活动目录。
7、信任
两个域之间,必须建立信任关系,才可以访问对方域内的资源,一个域加入到一个域目录树中后,这个域会自动信任其上一层域,并且这些信任关系具备双传递性。
8、域目录林
如果一个网络设置成多个域目录树的结构,那么可以让这些域目录树合并为一个域目录林。
如A域与域。
9、架构
在活动目录内的对象类别等数据定义在架构内,如定义了用户这个对象类别内饮食了哪些属性等。
在一个域目录林中的所有域目录树共享一个架构。
10、全局编录
A、全局编录的原因:
活动目录内的数据分散存储在各个域内,而每一个域只存储与些域本身相关数据。
WIN2000将存储在各个域内的数据合并为一个活动目录。
为了让WIN2000用户可以快速找到其它域内的资源,WIN2000才设计了“全局编录”。
B、“全局编录”内包含着目录服务器中的每一个对象,不过只存储每个对象的部分属性,而不是全部属性。
C、“全局编录”的数据存储在全局编录服务器,系统默认第一台域控制器就是全局编录服务器。
在域目录林共享一个全局编录服务器。
11、站点
A、站点的含义:
指的是一个或多个IP子网,这些子网之间是通过高速(512K)网络互连的,这些子网就是站点。
B、站点与域的区别:
域是实体的分组,而站点是实体的分组,、每个站点可能会包含多个域,而一个域也可以同时属于多个站点。
12、名称
活动目录内,每个对象都有一个名称,并且利用名称来识别每个对象。
A、可分辨的名称(ND):
它包含对象所在的完整路径,\north\sales\bobyong.
B、相对可分辨的名称(RDN):
RDN是DN的完整路径中。
C、全局标识符:
GUID是一个128的数值,所建立的任何一个对象,系统都会自动给这个对象指定一个唯一的GUID。
GUID永远不会改变的。
D、用户主体名称{VPN}:
todayhero@这是一个用户的主体名称。
活动目录介绍
(一)目录服务
目录,是一个数据库,存贮了网络资源相关的信息,包括了资源的位置、管理等信息。
目录服务是一种网络服务,目录服务标记管理网络中的所有实体资源(比如计算机、用户、打印机、文件、应用等),并且提供了命名、描述、查找、访问以及保护这些实体信息的一致的方法,使网络中的所有用户和应用都能访问到这些资源。
(二)活动目录(ActiveDirectory)
活动目录是Windows2000完全实现的目录服务,也是Windows2000网络体系的基本结构模型,是Windows2000网络操作系统的核心支柱,也是中心管理机构。
Microsoft在Windows2000中提供的活动目录是一个全面的目录服务管理方案,也是一个企业级的目录服务,具有很好的可伸缩性。
活动目录采用了Internet的标准协议,它与操作系统紧密地集成在一起。
活动目录不仅可以管理基本的网络资源,比如计算机对象、用户账户、打印机等,它也充分考虑了现代应用的业务需求,为这些应用提供了基本的管理对象模型,比如用户账户对象具有办公电话、手机、呼机、住址、上司、下属、电子邮件等属性。
几乎所有的应用可以直接利用系统提供的目录服务结构,而且活动目录也具有很好的扩充能力,允许应用程序定制目录中对象的属性或者添加新的对象类型。
(三)活动目录的用处
利用AD的优点:
● 简化管理提供对用户、应用程序和设备的单一、一致性的管理点。
● 加强安全性向用户提供单一的网络资源登录,为管理员提供强大、一致性的工具以使他们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。
● 扩展的互操作性向所有活动目录特性提供基于标准的存取方式以及对通用目录的同步支持。
(四)活动目录的逻辑结构
活动目录的逻辑结构非常灵活,它为活动目录提供了完全的树状层次结构视图,逻辑结构与前面我们讨论过的名字空间有直接的关系。
逻辑结构为用户和管理员查找、定位对象提供了极大的方便。
活动目录中的逻辑单元包括:
域、组织单元(OrganizationalUnit,简称OU)、域树、域森林。
1、域(Domain)
域既是Windows网络系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows2000系统中,域是安全边界。
域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域。
每个域都有自己的安全策略,以及它与其他域的安全信任关系。
2、OU(OrganizationalUnit)
OU是一个容器对象,我们可以把域中的对象组织成逻辑组,所以OU纯粹是一个逻辑概念,它可以帮助我们简化管理工作。
OU可以包含各种对象,比如用户账户、用户组、计算机、打印机,甚至可以包括其他的OU。
所以我们可以利用OU把域中的对象形成一个完全逻辑上的层次结构,对于一个企业来讲,我们可以按部门把所有的用户和设备组成一个OU层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个OU层次结构。
由于OU层次结构局限于域的内部,所以一个域中的OU层次结构与另一个域中的OU层次结构完全独立。
3、树
当多个域通过信任关系连接起来之后,所有的域共享公共的表结构(schema)、配置和全局目录(globalcatalog),从而形成域树。
域树由多个域组成,这些域共享同一个表结构和配置,形成一个连续的名字空间。
树中的域通过信任关系连接起来。
活动目录包含一个或多个域树。
4、森林
域森林是指一个或多个没有形成连续名字空间的域树。
域林中的所有域树共享同一个表结构、配置和全局目录。
域林中的所有域树通过Kerberos信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同域树可以交叉引用其他域树中的对象。
(五)其它
(1)域控制器(DomainController)
域控制器是指运行Windows2000Server版本的服务器,它保存了活动目录信息的副本。
域控制器管理目录信息的变化,并把这些变化复制到同一个域中的其他域控制器上。
域控制器也负责用户的登录过程,以及其他与域有关的操作,比如身份认证、目录信息查找等。
一个域可以有多个域控制器。
规模较小的域可以只需要两个域控制器,一个实际使用,另一个用于容错性检查;规模较大的域可以使用多个域控制器。
Windows2000的域结构与WindowsNT4的域结构不同的是,活动目录中的域控制器没有主次之分,活动目录采用了多主机复制方案,每一个域控制器都有一个可写入的目录副本。
在某一个时刻,不同的域控制器中的目录信息可能有所不同,一旦活动目录中的所有域控制器执行同步操作之后,最新的变化信息就会一致。
(2)活动目录与DNS
活动目录使用域名服务DNS作为它的定位服务,同时也对标准的DNS作了扩充。
在活动目录中使用DNS的最大好处在于,我们可以使Windows2000域与Internet上的域统一起来,即Windows域名也是DNS域名。
(3)ActiveDirectory命名规范
a.辨别名(distinguishedname(DN))
活动目录中的每一个对象都会有一个唯一的辨别名DN。
DN由域名、对象名组成:
DC=com/DC=contoso/OU=Users/OU=Teacher/CN=JamesSmith表示用户对象JamesSmith在域中的Users组织单元中的Teacher单元中.
b.UserPrincipalName:
由用户登录名和域名组成,如JamesS@。
(4)域运行模式
(1)混合模式。
混合模式的域既可以有Windows2000的域控制器,也可以有WindowsNT4的域控制器。
这是一个过渡模式,利用这种模式,我们可以对现有的系统逐步升级。
但是,在混合模式下,活动目录中有些功能不能很好地发挥出来。
(2)准模式。
活动目录的标准模式要求所有的域控制器都必须运行Windows2000。
只有在这个时候,活动目录的所有功能和特性才能充分体现出来。
活动目录的安装
运行ActiveDirectory安装向导将Windows2000Server计算机升级为域控制器会创建一个新域或者向现有的域添加其他域控制器。
创建域控制器可以:
§ 创建网络中的第一个域。
§ 在树林中创建其他的域。
§ 提高网络可用性和可靠性。
§ 提高站点之间的网络性能。
要创建Windows2000域,必须在该域中至少创建一个域控制器。
创建域控制器也将创建该域。
不可能有没有域控制器的域。
如果确定用户的单位需要一个以上的域,则必须为每个附加的域至少创建一个域控制器。
树林中的附加域可以是:
新的子域、新域树的根。
安装步骤示例
1、安装域中第一台域控制器
在安装ActiveDirectory前首先确定DNS服务正常工作,下面用户来安装根域为的域中第一台域控制器。
步骤1利用配置服务器启动位于%Systemroot%\system32中的ActiveDirectory安装向导程序DCPromo.exe。
如图1单击"下一步"
步骤2由于用户所建立的是域中的第一台域控制器所以选择"新域的域控制器"单击"下一步"
步骤3选择"创建一个新域的域目录树",单击"下一步"
步骤4选择"创建一个新域的域目录林",单击"下一步"
步骤5在"新域的DNS全名"中输入要创建得域名,如图2单击"下一步"
步骤6安装向导自动将域控制器的NetBIOS名设置为"nt2000",单击"下一步"
步骤7显示数据库、目录文件及Sysvol文件的保存位置,一般不必作修改。
单击"下一步"
步骤8配置DNS服务,单击"下一步",(如果在安装ActiveDirectory之前未配置DNS服务器可以在此让安装向导配置DNS,推荐使用这种方法。
)
步骤9为用户和组选择默认权限,考虑到现在大多数单位中仍然需要使用Windows2000的以前版本,所以选择"与Windows2000服务器之前版本相兼容的权限"
如图3单击"下一步"
步骤10输入以目录恢复模式下的管理员密码,单击"下一步"
步骤11安装向导显示摘要信息,单击"下一步"开始安装如图4
步骤12安装完成之后,重新启动计算机。
检验安装结果
在安装完成后,可以通过以下方法检验ActiveDirectory安装正确,在安装过程中一项最重要的工作是在DNS数据库中添加服务记录(SRV记录)。
1.检查DNS文件的SRV记录
用文本编辑器打开%systemroot%/system32/config/中的Netlogon.dns文件,察看LDAP服务记录,在本例中为
_ldap._.600INSRV0100389n2k_.
2.验证SRV记录在NSLOOKUP命令工具中运行正常
步骤1在命令提示行下,输入NSLOOKUP
步骤2输入settype=srv
步骤3输入_ldap._
如果返回了服务器名和IP地址,说明SRV记录工作正常
2、安装第二台域控制器
在安装完第一台域控制器后其域名为,在上例中该服务器用于总公司,如果由于公司扩展的需要为其新建的工厂建立自己的域名和域控制器,则用户将工厂的域名定义为,由于此域名与是连续的域名,所以他们组成了一个目录树,今后随着工厂的发展用户还可以在这个目录树下继续逐级添加子域(如:
),如果需要添加的域名与该目录树不连续(如:
)则用户就需要建立一个新的目录树,这样由多个目录树组成了域目录林。
在安装第二台域控制器之前,首先检验它的IP设置和DNS设置,以保证可以访问域控制器(n2k_)。
步骤1利用配置服务器启动位于%Systemroot%\system32中的ActiveDirectory安装向导程序DCPromo.exe。
如上图1击"下一步"
步骤2由于用户所建立的是域中的一台域控制器所以选择"新域的域控制器"单击"下一步"
步骤3选择"在现有域目录树中创建一个新的子域",单击"下一步"
步骤4在"网络凭据"对话框中输入上一级域的域名及具有管理员权限的用户名和密码,单击"下一步"
步骤5在"子域安装"对话框中输入父域域名()和子域域名(man),在下方的子域完整域名中会自动显示,单击"下一步"
步骤6安装向导自动将域控制器的NetBIOS名设置为"man",用户也可以进行修改,单击"下一步"
步骤7显示数据库、目录文件及Sysvol文件的保存位置,一般不必作修改。
单击"下一步"
步骤8为用户和组选择默认权限,考虑到现在大多数单位中仍然需要使用Windows2000的以前版本,所以选择"与Windows2000服务器之前版本相兼容的权限",单击"下一步"
步骤9单击"下一步"开始安装,在重新启动后,在n2k_的"ActiveDirectory域和信任关系"中将显示新建的子域如图5
DHCP服务管理
在一个使用TCP/IP协议的网络中,每一台计算机都必须至少有一个IP地址,才能与其他计算机连接通信。
为了便于统一规划和管理网络中的IP地址,DHCP(DynamicHostConfigureProtocol,动态主机配置协议)应运而生了。
这种网络服务有利于对校园网络中的客户机IP地址进行有效管理,而不需要一个一个手动指定IP地址。
(一)DHCP服务的安装
DHCP指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。
首先,DHCP服务器必须是一台安装有Windows2000Server/AdvancedServer系统的计算机;其次,担任DHCP服务器的计算机需要安装TCP/IP协议,并为其设置静态IP地址、子网掩码、默认网关等内容。
默认情况下,DHCP作为Windows2000Server的一个服务组件不会被系统自动安装,必须把它添加进来:
1.依次点击“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”,打开相应的对话框。
2.用鼠标左键点击选中对话框的“组件”列表框中的“网络服务”一项,单击[详细信息]按钮,出现带有具体内容的对话框。
3.在对话框“网络服务的子组件”列表框中勾选“动态主机配置协议(DHCP)”,单击[确定]按钮,根据屏幕提示放入Windows2000安装光盘,复制所需要的程序。
4.重新启动计算机后,在“开始→程序→管理工具”下就会出现“DHCP”一项,说明DHCP服务安装成功。
(二)DHCP服务器的授权
出于对网络安全管理的考虑,并不是在Windows2000Server中安装了DHCP功能后就能直接使用,还必须进行授权操作,XX操作的服务器无法提供DHCP服务。
对DHCP服务器授权操作的过程如下:
1.依次点击“开始→程序→管理工具→DHCP”,打开DHCP控制台窗口。
2.在控制台窗口中,用鼠标左键点击选中服务器名,然后单击右键,在快捷菜单中选中“授权”,此时需要几分钟的等待时间。
注意:
如果系统长时间没有反应,可以按F5键或选择菜单工具中的“操作”下的“刷新”进行屏幕刷新,或先关闭DHCP控制台,在服务器名上用鼠标右键点击。
如果快捷菜单中的“授权”已经变为“撤消授权”,则表示对DHCP服务器授权成功。
此时,最明显的标记是服务器名前面红色向上的箭头变成了绿色向下的箭头。
这样,这台被授权的DHCP服务器就有分配IP的权利了。
(三)添加IP地址范围
当DHCP服务器被授权后,还需要对它设置IP地址范围。
通过给DHCP服务器设置IP地址范围后,当DHCP客户机在向DHCP服务器申请IP地址时,DHCP服务器就会从所设置的IP地址范围中选择一个还没有被使用的IP地址进行动态分配。
添加IP地址范围的操作如下:
1.点击“开始→程序→管理工具→DHCP”,打开DHCP控制台窗口。
2.选中DHCP服务器名,在服务器名上点击鼠标右键,在出现的快捷菜单中选择“新建作用域”,在出现的窗口中单击[下一步]按钮,在出现的对话框中输入相关信息,单击[下一步]按钮,如图1所示。
3.在图1所示的窗口中,根据自己网络的实际情况,对各项进行设置,然后单击[下一步]按钮,出现如图2所示的窗口。
4.在图2所示的窗口中,输入需要排除的IP地址范围。
由于校园网络中有很多网络设备需要指定静态IP地址(即固定的IP地址),如服务器、交换机、路由器等,此时必须把这些已经分配的IP地址从DHCP服务器的IP地址范围中排除,否则会引起IP地址的冲突,导致网络故障。
5.单击[下一步]按钮,在出现的“租约期限”窗口中可以设置IP地址租期的时间值。
一般情况下,如果校园网络中的IP地址比较紧张的时候,可以把租期设置短一些,而IP地址比较宽松时,可以把租期设置长一些。
设置完后,单击[下一步]按钮,出现“配置DHCP选项”窗口。
6.在“配置DHCP选项”窗口中,如果选择“是,我想现在配置这些选项”,此时可以对DNS服务器、默认网关、WINS服务器地址等内容进行设置;如果选择“否,我想稍后配置这些选项”,可以在需要这些功能时再进行配置。
此处,我们选择前者,单击[下一步]按钮。
7.在出现的窗口中,常常输入网络中路由器的IP地址(即默认网关的IP地址)或是NAT服务器(网络地址转换服务器)的IP地址,如WinRoute、SyGate等。
这样,客户机从DHCP服务器那里得到的IP信息中就包含了默认网关的设定了,从而可以接入Internet。
8.单击[下一步]按钮,在此对话框中设置有关客户机DNS域的名称,同时输入DNS服务器的名称和IP地址。
,然后单击[添加]按钮进行确认。
单击[下一步]按钮,在出现的窗口中进行WINS服务器的相关设置,设置完后单击[下一步]按钮。
9.在出现的窗口中,选择“是,我想现在激活此作用域”后,单击[下一步]按钮,在出现的窗口中单击[完成]按钮,设置结束。
此时,就可以在DHCP管理器中看到我们刚刚建好的作用域。
注意:
如果您的网络是以工作组的形式存在的,可以在第6步的“配置DHCP选项”窗口中选择“否,我想稍后配置这些选项”,此时设置过程跳过第7、8步。
如果您的校园网络是以域的形式存在的,建议您的网络配置顺序为:
活动目录的建立→WINS的建立→DNS的建立→DHCP的建立,这样可以减少很多麻烦。
(五)DHCP服务的测试
经过上述设置,DHCP服务已经正式启动,我们需要在客户机上进行测试。
只需把客户机的IP地址选项设为“自动获取IP地址”,随后重新启动客户机。
在客户机的“运行”对话框中键入“Ipconfig/all”,即可看到客户机分配到的动态IP地址。
升级会员 