网络操作系统大作业.docx

1、网络操作系统大作业多校区windows域管理方案书课程 网络操作系统院 系：计算机科学学院专业班级：网络10902 学 号：200905957 姓 名：徐鹏班级序号：32 目录一、 项目需求与分析 3二、 域的创建与设计 41、活动目录（AD）设计 42、组织单元结构63、DNS设计74、组策略95、域的创建10三、 域的管理 10四、 项目总结 12一、 项目的需求分析工程名称：长江大学校园网域管理 拟订：学校现有3个校区，共有19个行政部门和28个院系，另有科研骨干团队16个，每队最多20人，学生社团32个。采用域管理方式，制定各部门访问权限和管理策略。要求设计详细解决方案，提交主要的策略

2、文档，安装配置过程文档等材料，形成完整的设计报告。 通过对项目的需求分析，可以将这三个校区设为三个根域，而由于行政部门、学院、研究团队、社团分别属于各个校区，可以在各个校区下面分别建立子域，这样就形成了三个林，再将这三个根域分别互相信任，以达到可以互访的目的。再将行政部门、学院等这些部门、团体建在校区根域下面，作为其子域，而每个PC机通过建立域模式组的方式来实现管理，PC机用户可以访问多个工作组，但也可以设置权限，使其不能访问。这就是设计的总体思路，然后只需确定互访问题，就可以解决项目。下面是具体的分析在多个地区都建立了自己的校区，用户账户和各种资源比较多，不同的校区对用户的要求不一样（比如说

3、密码策略，访问权限的设置等等），大量的活动目录给管理造成了一定的麻烦，域之间的复制负担过重等等，而学校又需要统一管理，这在单域环境下是很难完成的，维护起来也是相当的困难。因此，多域环境便应运而生，大规模学校通过多个区域管理学校内部的用户和资源，而各个区域之间又存在有科研骨干团队16个，每队最多20人，学生社团32个。对内提供先进的宽带网络平台，对外建立优秀的站点门户，并进行相应的网上资源配备和应用软件开发，为师生访问因特网和教学、管理向网络化过渡提供坚实的基础，并实现各个校区互联。一个学校只有一个校区，在单域环境下是可以实现大部分用户的需求的；但是，学校的规模扩大，在多个地区都建立了自己的校区

4、，用户账户和各种资源比较多，不同的校区对用户的要求不一样（比如说密码策略，访问权限的设置等等），大量的活动目录给管理造成了一定的麻烦，域之间的复制负担过重等等，而学校又需要统一管理，这在单域环境下是很难完成的，维护起来也是相当的困难。因此，多域环境便应运而生，大规模学校通过多个区域管理学校内部的用户和资源，而各个区域之间又存在上下级之间的关系，相当于主校区和分校区之间的关系，这样更有利于层次规划管理，从而提高了学校整体办公效率。主校区和分校区之间通过建立树根信任或者父子信任关系，进行单向或者双向的网络资源互访，不同两个校区之间可以通过建立外不信任或者林信任进行单单向或者双向的网络资源互访，最终

5、实现多个校区之间的网络互连和资源共享。采用域管理方式，制定各部门访问权限和管理策略。规划单位和用户账户在跨校区各部门的部署及分级管理，内容包括：域管理，限权分配，资源共享、WEB服务器，FTP服务器，动态主机配置、虚拟专用网等解决方案。合理分配域和单位、用户的安全策略。二、域的创建与设计1.活动目录域（AD）设计1.1.活动目录管理模式设计1.1.1基本概念Active Directory的逻辑结构提供了灵活的方法来设计目录层次结构，逻辑机构包含了三个组件：域（Domain）、组织单元（Organizational Unit）、树和森林（Tree and Forest）。树和森林设计树树是Wi

6、ndows 2003域的层次排列，共享相同的命名空间。当在树里增加一个域，那么新的域是存在父域的一个子域，子域的名称要结合父域的DNS的域名。例如公司当前域是，它新增的分支机构的域是branch. 。森林森林是一组不共享命名空间的树。在森林中所有的树都共享相同的配置、架构和全局分类。森林是域的集合，是一套目录系统的边界。森林有两种主要用途：简化用户与目录的交互过程和简化对多个域的管理。 森林中的域之间互相信任开始规划森林模式时，从单一森林着手。在很多情况下，单一森林就足够了。建立多个森林的理由为： 不能信任其它的管理员 不能就Forest变化策略达成一致 Schema变化, Configura

7、tion变化,添加新域对整个Forest带来的影响。 共同决定Schema administrators, enterprise administrators 的成员多个Forest带来的不好影响： 增加管理费用 域数目增多；各个森林分别管理森林级的服务 手工管理和维护森林之间的信任关系 有一些功能在多Forest的环境中失效 UPN logon (如a)1.1.2 多域 将其化为多域，且将每个多域划为互相信任，使得能够互访。 主要优点： 数据库细化 每个地区分布部署不会引起全网数据流量的突变 支持未来管理模式变化为：各地区独立管理：服务和数据 主要缺点： AD域数目过多 域数目增多，重复的管

8、理任务增多。包括：域级的安全策略、域内的组策略配置、域内第一级组织单元的建立等。 硬件服务器数目增多，每个地区的域中域控制器的数目不能少于2个 在目前的管理模式下，总部服务管理要将所有域的权限收上来，做法需要维护一张管理员表，从已有AD客户的使用来看，不方便和安全 其它应用系统与目录集成时会增加工作量和难度。2.组织单元结构2.1.1 组织单元（OU）的概念组织单元（OU）是一个容器对象，它也是活动目录的逻辑结构的一部分，我们可以把域中的对象组织成逻辑组，它可以帮助我们简化管理工作。OU可以包含各种对象，比如用户账户、用户组、计算机、打印机等，甚至可以包括其他的OU，所以我们可以利用OU把域中

9、的对象形成一个完全逻辑上的层次结构。对于企 业来讲，可以按部门把所有的用户和设备组成一个OU层次结构，也可以按地理位置形成层次结构，还可以按功能和权限分成多个OU层次结构。很明显，通过组织单元的包容，组织单元具有很清楚的层次结构，这种包容结构可以使管理者把组织单元切入到域中以反应出企业的组织结构并且可以委派任务与授权。建立包容结构的组织模型能够帮助我们解决许多问题，同时仍然可以使用大型的域、域树中每个对象都可以显示在全局目录，从而用户就可以利用一个服务功能轻易地找到某个对象而不管它在域树结构中的位置。设计规则确定如何建立OU，可以从以下的一个考虑思路来确定是否需要建立OU, 建立什么样的OU：

10、 划分管理任务 用来配置组策略 用来隐藏一些对象2.1.2 OU设计 总部AD服务管理 总部OU结构的建立 各站点的管理员实现 各站点组织单元内用户和计算机的增、删、改；包括口令管理 各站点组织单元的策略控制可以看出，OU的主要作用是管理任务的划分和配置组织单元的策略。在OU中存放的资源包括： 用户 所有用户 总部管理员组 各站点管理员组 客户端机器 Windows客户端 服务器 域控制器，邮件服务器、数据库服务器 打印机 文件共享2.1.3结合实际可以将每个校区的学院、行政部门、研究团队等各作为一个组织单元来进行管理，然后在各个组织单元之间设置访问权限，以便各个用户能对其进行互访。3.DNS

11、（域名系统）设计3.1 基本概念 DNSDNS 是计算机域名系统 (Domain Name System) 的缩写，它是由解析器和域名服务器组成的。DNS服务器在域名解析过程中的查询顺序为：本地缓存记录、区域记录、转发域名服务器、根域名服务器。 Windows 2003 DNS服务 目录服务集成1.以 Active Directory 能力为基础的多主机更新和增强的安全性2.通过将 DNS 区域数据库的存储集成到 Active Directory 中，可以简化针为网络规划的数据库复制过程3.与标准 DNS 复制相比，目录复制更快捷、更有效 Windows 2003DNS 服务器支持老化和清除功

12、能 WINS 搜索的集成1.对使用 Windows Internet 命名服务 (WINS) 的支持可用于搜索不能通过查询 DNS 域名称空间来解析的 DNS 名称。要完成 WINS 搜索2.该功能对未使用 DNS 注册的客户机的名称解析非常有用，如 Windows 95 或 Windows98 计算机不会在与Windows 2003集成的DNS服务中自动注册，此时查找这些计算机就需要WINS服务。 Unicode 字符支持：Windows 2003 DNS Server 提供了超出 RFC 1035 规范之上的扩展 DNS 字符支持能力。对于这个版本，DNS 服务现在已为 UTF-8（Uni

13、code 转换格式）提供了增强的默认支持， 目录服务与DNS在 Windows 20003中，用 DNS 名称命名目录服务。选择遵照DNS命名规则是因为DNS结构扩展性很好，而且已经在Internet 使用中得到证明。每一个Windows 2003目录服务域由它的DNS名称标识，以及一个相应的向下兼容的NT 域名目录服务对DNS Server 的要求： 必须支持Service Location resource 记录。DNS server 一定要支持Service Location (SRV) resource record type. (RFC 2052) 应当支持DNS 动态更新协议。维持

14、目录服务区域记录的主服务器应当支持 DNS动态更新协议，由RFC 2136定义.虽然不是一个必备要求，但强烈建议支持这个协议。Windows 2003 域控制器注册和使用的一系列DNS记录，配置的改变可以不必由管理员手工进行。Windows 2003提供的DNS服务满足以上的两个条件。以下是一些定义域名的规则 为只使用标准的Internet字符 保持名字短而有意义. 3.2 DNS设计Windows 2003提供的DNS服务是与活动目录集成的动态DNS服务，在域中注册的服务器自动注册DNS配置。3.3 DNS名字空间设计建立内部DNS名称，并与Internet上的DNS名字相同，即，采用活动目录集成的动态更新方式，正常工作时不需要管理员手工干预。3.4 安全性 低安全性:与Internet完全DNS通讯 定义正常的DNS名字解析方法 用 root hints 指向Internet Root Servers 防火墙对任何源和目的地址开放53端口 适度安全性：与Internet之间有限的DNS通讯 用forwarders指向内部有限的几台DNS服务器 在防火墙上，将这几台DNS服务器与外部DNS服务器的通讯打开(允许端口53在有限的源和目的地址之间通讯) 外部DNS 可以连接到Internet Root Servers 最安全：与Internet之间没有DN