windows 2000/xp网络组建与系统管理
DESCRIPTION
Windows 2000/XP网络组建与系统管理. 李燕. 中南分校. 活动目录的逻辑结构. Acitive Directory (活动目录)是用于 Windows 2000 Server 的目录服务。它 存储着网络上各种对象的有关信息,并使这些信息易于被管理员和用户查找及使用 。对于 Windows 2000 Server 网络管理员来说,活动目录起着十分重要和关键的作用。所以,学习并掌握活动目录域、树和树林的作用与管理是非常重要的。 本章主要阐述的是 Windows 2000 Server 中 活动目录的功能 、 逻辑结构 和 物理结构 。. - PowerPoint PPT PresentationTRANSCRIPT
Windows 2000/XP 网络组建与系统管理
李燕李燕中南分校
活动目录的逻辑结构
Acitive Directory (活动目录)是用于 Windows
2000 Server 的目录服务。它存储着网络上各种对象的有关信息,并使这些信息易于被管理员和用户查找及使用。对于 Windows 2000 Server 网络管理员来说,活动目录起着十分重要和关键的作用。所以,学习并掌握活动目录域、树和树林的作用与管理是非常重要的。
本章主要阐述的是 Windows 2000 Server 中活动目录的功能、逻辑结构和物理结构。
Windows 2000 活动目录概述
活动目录的基本概念 什么是活动目录( Acitive Directory ) ? 从字面上来看活动目录由“活动”和“目录”两部
分组成,其中“活动”是用来修饰“目录”,其核心是“目录”两个字,而目录代表的是目录服务( Directory Service )。
当拿到一本新书时首先看到的就是目录,通过目录能知道书中有哪些具体内容。目录服务与目录不同,目录服务是一种网络服务,它存储网络资源的信息并使用户和应用程序能访问这些资源。
活动目录中的“目录”的理解包括两个方面:目录和目录服务。
目录负责存储、组织并检索网络中的对象。这意味着它包含用户和组、工作站和服务器、策略和脚本、打印机和队列、交换机和路由器,以及所有与计算机有关的设备。
目录服务使系统管理员能够定义和管理对象及其特征,以便它们能被用户和应用程序使用。
活动目录的基本概念
简单点说,目录是不同种类的对象的物理存储容器。
例如: 电话薄是一个目录,它包含电话号码和地址; 服务是使目录中的所有信息和资源可用; 例如: 允许用户查询电话薄的应用程序就是目录服务的
一个例子。
活动目录的基本概念
“ 活动”说明这个目录是动态的、可以扩展的,具体体现如下:
( 1 )活动目录中对象的数量是没有限制的。 Windows NT 4.0的域中对象的数目不能超过四万
个,域中没有活动目录的概念,如果一个域中超过了四万个对象就必须使用多域进行管理了。
Windows 2000 Server的活动目录中对象的数目是没有限制的,可以是十万、百万甚至更多。
活动目录的基本概念
( 2 )活动目录中对象的属性是可以增加的。 每一个对象都是用它的属性进行描述的,活动目录
对象的管理实际上就是对对象属性的管理,而对象的属性是可能发生变化的。
比如:联系方式这个属性可以是通信地址、手机号、 BP机号、 Email地址等。随着时间的推移,人们的属性会越来越多。此时,管理员可以通过修改活动目录架构来增加一个属性,然后活动目录的用户就可以在活动目录中使用这个属性了。
活动目录的基本概念
( 3 )可以方便地添加或删除域。
利用活动目录可以方便地创建域、域树、域目录林的逻辑结构。对域树来说,把域树中的某个子域删除不会影响其他子域和父域的运行,还能在子域下再创建其他子域。因此,活动目录在组织资源时非常灵活。
而通常域结构总是和企业的组织机构是相互映射的,因此能够灵活的添加 / 删除域可以更好的去反映企业组织结构的变化。
活动目录的基本概念
什么是架构( Scheme) ? 架构就是活动目录的基本结构,是组成活动目录的
规则。包括对象类和类属性。 类是用来定义在活动目录中可以创建的所有可能的
目录对象,如:用户、组和组织单位等。 类属性是用来定义每个对象可以有哪些属性来标识
该对象,如:用户可以有登录名、电话号码等属性。
活动目录的基本概念
活动目录架构用来定义数据类型、语法规则、命名约定和其他更多的内容,是活动目录和结构的正式定义。
注意: ( 1 )当在活动目录中创建对象时,必须遵守这个架
构规则。只有在活动目录架构中定义了一个对象的属性才可以在活动目录中使用该属性。
活动目录的基本概念
注意:
( 2 )活动目录架构具有可扩展性。活动目录架构存储在活动目录的架构表中,当需要活动目录架构,比如增加活动目录中对象的属性时,只要在架构表中进行修改即可。但要注意,活动目录架构的扩展和变更要符合编程和管理的规则。
活动目录的基本概念
活动目录的基本概念
什么是全局目录( Global Catalog )?
全局目录是网络中有关对象的信息的中心仓库,它包含 Windows 2000 目录中所有域中的全部对象以及每个对象所有属性的一个子集 ( 即部分属性 ) ,在内部实现了一个与域结构相同的层次。
活动目录的基本概念
全局目录相当于一个总目录,就像一套系列丛书有一个总目录一样,在全局目录中存储已有活动目录对象的子集。在默认情况下,存储在全局目录中的对象属性是那些经常用到的内容,而非全部属性。整个目录林会共享相同的全局目录信息。活动目录通过同步复制过程,从组成目录的域自动生成全局目录。
存放全局目录数据库的服务器称作全局目录服务器,它保存着所在域的数据库的完全拷贝和域树中所有对象的部分拷贝。全局目录服务器实现了与目录树使用的名字空间结构相同的名字空间。
活动目录的基本概念
当在第一台域控制器上安装活动目录时,该域控制器便自动成为全局目录服务器,用户也可以通过“活动目录站点和服务器”管理器将附属域控制器设置为全局目录服务器。
全局目录服务器越多,对用户查询的反应就越快,而同步复制通信量就越大,因此用户需要根据网络结构及查询通信量进行决策。在每个站点上至少建立一个全局目录服务器是一个很好的想法,这样客户总是有一个用于查找操作的存储库。
活动目录的基本概念
全局目录与系统关系
活动目录的基本概念
什么是信任关系? 域是一个安全边界,通常如果希望去访问这个安全边界之内的资源,必须先得到这个域的域控制器的身份验证,验证合法方可进入域。
信任关系存在于域与域之间,目的是为了实现跨域(即跨越安全边界)的访问。
域信任关系使得一个域中的用户可由另一域中的域控制器进行验证,从而使得用户能去访问另一个域中的资源。
活动目录的基本概念
所有域信任关系中只有两种域:信任关系域和被信任关系域。
例如: 域 A 信任域 B ,则域 B 中的用户可以通过域 A 中
的域控制器进行身份验证后访问域 A 中的资源。 本例中,域 B 被域 A 信任,域 A 信任域 B ,其
结果就是域 B 中用户能实现跨越域 A 的安全边界访问域 A 中资源。
活动目录的基本概念
域信任关系按以下特征进行描述 :
单向 单向信任是域 A 信任域 B 的单一信任关系。所
有的单向关系都是不可传递的,并且所有的不可传递信任都是单向的。常见的单向信任关系有 : 不同树林中的 Windows 2000 域 、 Windows NT 4.0 域 、 Kerberos V5 领域。 双向
Windows 2000 树林中的所有域信任都是双向可传递信任。建立新的子域时,双向可传递信任在新的
活动目录的基本概念
子域和父域之间自动建立。 可传递
Windows 2000 树林中的所有域信任都是可传递的。可传递信任始终为双向,此关系中的两个域相互信任。
可传递信任不受信任关系中的两个域的约束。每次当用户建立新的子域时,在父域和新子域之间就隐含地 ( 自动 ) 建立起双向可传递信任关系。这样,可传递信任关系在域树中按其形成的方式向上流动,并在域树中的所有域之间建立起可传递信任。
活动目录的基本概念
NT 和 2000 中常见的信任关系 活动目录服务支持两种形式的信任关系: ( 1 )单向不可传递信任 (One-Way Nontransitive
Trusts)
在单向信任关系中,如果域 A 信任域 B ,域 B 并不自动地信任域 A 。
( 2 )双向可传递信任 (Two-Way Transitive Trusts)
在双向信任关系中,如果域 A 信任域 B ,那么域 B 就信任域 A 。在可传递的信任关系中,如果域 A 信任域 B,并且域 B 信任域 C ,那么域 A 就信任域 C 。
活动目录的基本概念
活动目录的基本概念
Windows 2000 支持双向可传递的信任关系,并且是作为一种缺省的信任关系。当用户建立一个新的子域时,系统会自动地建立这个子域与其父域之间的这种信任关系。
如果在两个域之间存在一个双向可传递信任关系,可以在一个域中授予用户使用资源的权限而在另一个域中把权限授予组帐号,反之亦可。
活动目录的基本概念
下面是关于信任关系的实际应用的一个实例,在两棵独立的树之间如何建立信任关系,才能使得所有的域都能通过其他域的身份验证后访问其他域中的资源呢?
域 3
域 2
域 1域 A
域 B
域 C
域 D
域 E
活动目录的基本概念
什么是名字空间? 从本质上讲,活动目录就是一个名字空间,我们可以把名字空间理解为任何给定名字的解析边界,这个边界就是指这个名字所能提供或关联、映射的所有信息范围。
通俗地说就是我们在服务器上通过查找一个对象可以查到的所有关联信息总和,如一个用户,如果我们在服务器已给这个用户定义了诸如 : 用户名、用户密码、工作单位、联系电话、家庭住址等,那上面所说的总和广义上理解就是“用户”这个名字的名字空间,因为我们只输入一个用户名即可找到上面所列的一切信息。
活动目录的基本概念
名字解析是把一个名字翻译成该名字所代表的对象或者信息的处理过程。
举例来说,在一个电话目录形成一个名字空间中,我们可以从每一个电话户头的名字可以被解析到相应的电话号码。
名字空间是层次结构的,有了这样的分层次名字空间,活动目录从原来的域模型向前发展为一种新的“树的树”模型。通过把名字空间分裂为层次结构,再也不需要在一个平铺列表上观察上万个用户了。
活动目录的基本概念
目录服务和活动目录概述
技术需求 随着网络技术的迅速发展,局域网 (LAN)和广域网(WAN)的规模越来越大,系统的结构越来越复杂,并且还需要将企业内部网连接到其他系统,在网络中需要运行的应用程序也越来越多,网络中的资源越来越丰富,数据量越来越大,需要管理和共享的数据分布在网络系统的各个服务器和工作站中,给信息管理带来了很大的困难。因此需要网络操作系统具有目录服务的功能,将更多的用户与网络上的资源连接在一起,为用户提供更强大的、透明的、紧密集成的目录服务的能力。
目录服务是扩展的计算机系统最重要的组件之一,它的作用是将物理上分布的数据变成逻辑上集中的数据进行管理,并为管理员提供方便的网络管理界面。
活动目录的功能提供了为分布式网络环境而设计的目录服务 。使得组织机构可以有效地共享和管理关于网络资源和用户的信息。
使得操作系统可以验证用户的身份,并控制用户对网络资源的访问。
是将各种功能集成在一起的集成平台。
目录服务和活动目录概述
活动目录的关键特性 (l) 分层次和可扩展的名字空间 分层次的名字空间提高了存储能力,支持多达一千
万个对象,并且提高了查找和管理对象的速度。 名字空间的可扩展性使得管理员可以将新的对象类
添加到架构中,而且可将新的属性添加到现有的对象类中。
(2) 可调整性 活动目录可包括多个域,每个域中可有多个域控制
器,这使得可以调整目录以便满足任何网络的要求。
目录服务和活动目录概述
通过将域连入一棵可传递信任的层次结构的树,可以构成一棵域的树。因为域树使用双向可传递信任,所以通过简单的对树的“连接”,就能进行域的管理。用户帐户在树的任何地方都是有效的。
(3) 多主复制 Windows 2000的活动目录使用多主复制模型,每个域控制器都存储和保留活动目录的完整拷贝。可以在域中的任何一个域控制器上对目录进行修改,并由该域控制器把修改复制给它的复制伙伴。
目录服务和活动目录概述
多主复制提供了信息的有效性、容错性、加载平衡和性能优点。如果某个域控制器减慢、停止或失败,则同一域中的其他域控制器仍然可以提供必要的目录访问,因为它们包含着相同的目录数据。
(4) 与 DNS 集成 活动目录使用 DNS为域完成命名和定位服务,域名
同时也是 DNS名, Windows 2000 Server使用动态 DNS,这使得动态分配地址的客户机可以直接注册到 DNS服务器并自动更新 DNS数据库。
目录服务和活动目录概述
(5) 灵活的查询 用户和管理员可使用“开始”→“搜索”命令搜索各
种资源,包括网络邻居活动目录用户、计算机,并可使用对象属性进行搜索。例如,可通过名字、姓氏、 E-
mail名称、办公室位置或用户帐户等属性搜索资源。 (6) 在线备份和恢复 为了使域控制器实现更高的可用性,活动目录允许在线的域控制器备份。
目录服务和活动目录概述
(7) 自动可扩展结构 活动目录允许用户扩充结构,创建新的属性和对象。开发者可以利用这一特性在应用软件目录下创建自己的数据结构,从而把目录作为一个数据存储来使用。
(8) 以轻量目录访问协议 (LDAP) 作为互操作性的核心协议
LDAP是用于查询和检索活动目录信息的目录访问协议。以信息目录的形式存在,在该目录中可只定义一次用户和组,而在多台机器和多个应用程序间共享它们。
目录服务和活动目录概述
使用 LDAP的程序可以与其他目录服务共享活动目录信息,这些目录服务同样支持 LDAP。
LDAP询问通常以一个平铺的记录集合或列表的形式返回结果,这样就允许全局目录被用作一个功能与全局地址簿相似的存储库。
(9) 信息安全性 安全性完全与活动目录集成。不仅可以在目录中的每个对象上定义访问控制,而且还可以在每个对象的属性上定义。
目录服务和活动目录概述
活动目录提供安全策略的存储和应用范围。安全策略可以包含账户信息,如域范围内的密码限制或对特定域资源的访问权。通过组策略设置执行安全策略。
Windows 2000支持多种网络安全协议,使用这些协议能获得更强大、更有效的安全性,实现对Internet安全协议的支持。
目录服务和活动目录概述
活动目录的逻辑结构
活动目录可以用一个逻辑结构来描述。不必考虑硬件和连接问题,用户可以设计活动目录以适应自己所在组织的商务和管理结构。这些逻辑概念包括 :
(1) 活动目录对象的唯一名字。 (2) 逻辑结构的组件对象。 (3) 逻辑结构对象在活动目录中是如何被组织的。 活动目录中的每个对象必须被唯一的名字所标识,这是
因为在活动目录中,所有信息或资源被定义为对象或对象属性,而命名协议允许不同的客户把唯一的名字解析为对象或它们代表的信息。
逻辑结构组件
活动目录包括如下的逻辑组件 :
(1) 对象 (Object) 。这些是用户创建的对象类的真实实例。例如,用户创建一个用户对象,该对象应遵循用户类的定义。
(2) 属性 (Attribute) 。这些是所有对象的特征。给定类型的所有对象具有相同的属性,但有不同的值。每个对象具有的属性以及它们可以包含的值都在对象类中定义。
逻辑结构组织
在活动目录中,对象在逻辑上按层次结构进行组织。活动目录中创建总体结构化层次的对象有域、组织单元、树和森林。
活动目录逻辑结构,主要反映企业的管理层次和组织划分。
活动目录的逻辑结构的的四个层次对应的企业组织机构对象有一些可参考的原则,罗列如下:
森林:用来映射一个拥有多项独立业务的大型集团公司。例如:跨国集团 P&G 。
树: 可以用来映射拥有一个独立业务的大中型公司。例如:大型集团下的某业务公司。
逻辑结构组织
域:映射企业 /公司中业务或管理比较集中的部门。(数据集中、业务集中、管理集中、职能集中)例如:大学中的学院、企业中的处、部、分厂等,这些部门信息集中,管理权限集中。
组织单元:映射的对象由域的映射关系决定,通常用来映射域所映射的部门下的分支或组。
例如:财务处为域,则财务处各科室就为组织单元。
逻辑结构组织
域( Domain )
域是活动目录中逻辑结构的核心单元,它是由管理员定义的共享公共目录数据库的计算机集合。
一个域是对象(如计算机、用户等)的容器,这些对象具有相同的安全需求、复制过程和管理,都在这个域中被其它对象共享。
逻辑结构组织
域的作用表现在下述三个方面: 安全界限( Security Boundary ) 域定义了一个安全边界,每个域只保存属于本域的
对象,所有的对象都在这个安全的范围内接受统一的管理。同时,域管理员只能管理本域。
安全边界的作用就是保证域的管理者只能在该域内拥有必要的管理权限,如果要让一个域的管理员去管其他域,除非他能事先得到其他域管理员的明确授权。
逻辑结构组织
复制单元 (Unit of Replication)
域是企业中进行数据复制的单元。目前企业的管理不再是一种围墙式的管理,而是分布在全球范围内的一个物理上分离、逻辑上耦合的整体。为了避免网络上海量的数据传送,需要将域做为一个复制的单元来进行数据的拷贝。
企业中设定了一个域,但这个域中设定的数个域控制器可能不在一个物理的位置上。此时,域中所有域控制器都拥有一个本域的所有目录信息的完全拷贝并且在企业范围内参与复制。
逻辑结构组织
域是一种逻辑的组织形式,因此一个域能跨越多个物理位置。 例如:北京和上海的两个网段同属一个域,北京和上海之间用 WAN
相连,如果两地各有一台域控制器,则需要这两台域控制器之间实现数据同步,而同步的内容就是域的信息。 因此域是复制的单元。
北京
上海shanght.com
逻辑结构组织
注: 活动目录、域和域控制器的关系: 域是一种逻辑上的资源的组织形式。这种形式对网
络中的资源进行了集中的统一管理,并且有严格的安全边界。另外一种常见的网络资源的管理方式就是工作组模式,它对网络资源进行了松散管理。
要想实现域的管理,必须在一台计算机上安装活动目录才能实现,而安装了活动目录的计算机就称为域控制器。
逻辑结构组织
域模式 (Domain Modes)
域模式是指对域的管理方法,分为混合模式 (Mixed Mode) 和本机模式 (Native Modes) 两种。
在混合模式中,一个域中的多台域控制器上安装的操作系统可以是不同的,既能支持运行 Windows 2000 Server的域控制器,又能支持运行 Microsoft Windows NT的域控制器。两种不同的域控制器都能在网络上被其他的机器识别。
本机模式中,所有域控制器上都运行 Windows 2000 Server。
逻辑结构组织
域的两种模式
逻辑结构组织
活动目录在混合模式下安装是为了支持已有的还没升级到 Windows 2000的域控制器。用户能无限期地在混合模式下管理它的域,这就允许用户按满足其组织要求的时间表来升级运行 Windows NT的域控制器。
如果用户的网络没有运行 Windows NT的域控制器或所有域控制器都被升级到了 Windows 2000,那么用户就可以把域从混合模式转换到本机模式。
从混合模式改变到本机模式是一单向过程,用户不能从本机模式改变到混合模式。
逻辑结构组织
组织单元 (OU , Organizational Units )
容器,是活动目录中一个重要的概念,包括域、 OU、站点等,它能容纳一些东西,比如用户、计算机等。
组织单元是活动目录中的一个特殊容器,它可以把用户、组、计算机和打印机等对象组织起来。
与一般的容器仅能容纳对象不同, OU 不仅可以包含对象,而且可以进行策略设置和委派管理,这是普通容器不能办到的。
逻辑结构组织
(1) OU层次结构 OU的作用是让用户根据自己业务管理的特点,来把对
象组成某种逻辑层次结构,能符合本部门的基本结构和反映出本部门的某一特点。这些特点往往是 :
①基于部门或地理界线的组织结构。 比如:一个业务特点突出的部门或者分布在某一地理
位置的分支,可以设定为一个 OU。
②基于管理责任的网络管理模型。
逻辑结构组织
例如:根据管理权限,一个管理员负责所有用户的管理,另外一个管理员则负责所有计算机的管理,那么就可根据这种情况设定两个 OU 。
逻辑结构组织
(2) OU 的管理控制 基于安全边界的原理,用户对资源有不同的访问权利,
可以被委派不同的权限来对 OU 中各个对象进行不同程度的管理和控制。
管理者可以授予一个或多个用户和组对 OU和其中的对象不同的权限。这些权限包括完全管理控制 ( 例如,对OU中所有对象的完全控制 ) 或者有限管理控制 ( 例如,修改 OU中用户对象的 e-mail信息的能力 ) 。
逻辑结构组织
(3) OU 和单域模型
在一个域中可以建立多个 OU , OU 下还能再创建OU ,层次没有限制。
用户能够很容易地在一个域中不同的 OU之间移动对象、将 OU互相嵌套并在需要的时候创建新的 OU
。
逻辑结构组织
单域模型是所有域模型中最便于实现的一种,所有用户、计算机和资源都在一个域中定义。 在一个域中再 设定多个OU来映 射企业的管理关 系。
逻辑结构组织
使用 OU 结构的好处
用户可以采用最适合其公司要求的组织方式来把域资源结合到 OU中,而不必创建和管理多个域。这样能简化必须在域水平进行的管理,如一些安全技术。
一个中小型企业,比较通常的做法是建立一个单域,再在这个域里面建立几个 OU, 可以对应几个主要的业务部门。同一类型的用户和计算机放在一个 OU 中。
OU 没有域那么大的权力,但是更为灵活。是建立一个域还是一个 OU的判定条件是根据企业的具体情况来进行,量体裁衣,效率最大化。
树和森林 现实生活中,面对一些庞大的结构复杂的企业时,仅仅
使用域已经无法完全准确的映射这种逻辑关系或者满足应用需求,如:
1 )组织间不同的口令要求; 2 )大量的对象; 3 )不同的 Internet域名; 4 )对复制进行控制
; 5 )分布式的网络管理 此时就必须采用多域结构如树和森林,它们多用来表现
管理集中的中、大型企业 /单位,内部采取信任关系来描述其相互之间的联系。
逻辑结构组织
在 Windows 2000 系统中,用户创建的第一个域是根域,在这里设置该森林的基本配置和模板。以后将按照域名的要求,分别添加子域或者附加域控制器,来形成树形结构和森林结构。
逻辑结构组织
树 树由若干个域组成,是对共享连续名字空间的
Windows 2000 域的分层排列,这种分层关系反映了组织机构或业务的隶属关系。当用户在已有树上加上一个域时,新的域是已有父域的子域。子域的域名和父域的域名结合在一起构成它的 DNS名。
树是由多个域集成而得到,不同的集成方法得到的域名也不一样。比如沿着一个方向不断延伸的集成方法得到的树的叶节点的域名非常的长,而完全树形结构的集成方法得到的树的叶节点的域名就长度适中。
逻辑结构组织
森林 森林是不共享连续名字空间的一组树。 森林中的树共享共同的配置、模板和全局目录。在缺省状态下,根树的名字或森林中第一个被创建的树被用来代表给定的森林。
森林中的每棵树都有它自己的惟一的名字空间。 虽然通过在已有森林中加入作为新树的新的活动目录
域并不能使这两个公司共享共同的名字空间,但是它们将能共享资源和管理功能。
逻辑结构组织
在一个域名空间(一棵树)中,域名必须唯一。树内是连续的域名空间,而森林的两颗树之间没有连续的域名空间。不同的树中名称允许出现重复。
在设计树和森林的时候要注意森林的设定要慎重,用来映射一个企业,不要轻易用森林,只有大型的集团公司才考虑用森林会比较贴切。
业务上不打交道的两个组织可以做成两棵树,这两棵树之间基本没有数据往来,数据库也基本不共享。
逻辑结构组织
信息在逻辑结构中的传递
一个网络系统在运行的时候,在不同的层次里面都有信息的传递。有时因为信息的特殊要求也带来了数据同步性的工作,比如:在一个域中只能有一个全局目录,但是却允许有多个全局目录服务器存在。有时为了保证查询的效率,可以设定多个域服务器为全局目录服务器,在这些服务器上都保存有一个全局目录,它们的数据内容也应该总保持一致。
在活动目录这个环境里面,信息和其他资源由活动目录管理,信息主要是以复制和查询两种形式在传递。
信息复制 Windows 2000的活动目录使用多主复制模型,在新创
建好的网络中,活动目录存储在第一个域控制器中,随着使用情况的变化,目录信息可以复制到域、树或森林中的每一个域里面。管理员在任何一台域控制器中所做的更改和设置都可能被复制到所有的域控制器中。 复制可以避免发生那些不可预见的、可能要破坏数据完整性的错误。但在设定的时候也要考虑复制周期的问题。
信息在逻辑结构中的传递
信息查询 客户能够查询一个全局目录服务器,获取活动目录的另一棵树中的任何对象的信息,而不需要知道该对象位于何处。
信息在逻辑结构中的传递
活动目录的物理结构 站点( Site )
在活动目录中,逻辑结构和物理结构是两个截然不同的概念。
逻辑结构面向用户和管理,是用来组织资源的; 物理结构面向系统连接,是用来设置和管理网络流量的
。 活动目录的物理结构分为两层,是由站点和域控制器组
成,有的时候也认为是由站点和 IP 子网构成。 注意: 1)站点之间的信息沟通都是通过域控制器来进行
的,而在一个域控制器上必定存有关于本地范围内 IP子网的静态 IP表,因此域控制器就代表了一个 IP子网。
…
…
…145.13.3.10
145.13.3.11145.13.3.101
145.13.7.34
145.13.7.35
145.13.7.56
145.13.21.23145.13.21.9
145.13.21.8所有到网络 145.13.0.0 的分组均到达此路由器
我的网络地址是 145.13.0.0
R1
R3
R2
网络145.13.0.0
一个未划分子网的 B 类网络145.13.0.0
划分为三个子网后对外仍是一个网络
145.13.3.10145.13.3.11
145.13.3.101 145.13.7.34
145.13.7.35
145.13.7.56
145.13.21.23145.13.21.9
145.13.21.8
…
…
…
子网 145.13.21.0
子网 145.13.3.0
子网 145.13.7.0
所有到达网络 145.13.0.0
的分组均到达此路由器
网络145.13.0.0
R1
R3
R2
站点
注意: 2 ) IP子网和子网的区别在于 IP子网是在子网的物理连通的基础上强调了各台机器都有自己的静态 IP地址,且该网络能够在 Internet上被识别到。
站点一般与地理位置相对应,是由高速连接链接起来的一个或多个 IP 子网的组合。
用户创建站点的主要作用有两个 :
(1) 优化复制流量。 (2) 使用户能通过可靠、高速连接连到域控制器上。 有了站点, Windows 2000 Server 可以通过 Internet
组建跨省甚至跨越全球的企业局域网。
例: 某个企业在全国有分支机构, Windows 2000 Server 在逻辑上形成内部网,在物理上,北京是一个站点,上海是一个站点等等。
站点
站点的理解 站点的划分主要是考虑地理位置相对遥远、每个位置独立集中的 IP 子网的集合。
比如都在一个域中,域控制器分散在两个遥远的位置处,这时可以看成是有两个站点。
但在设计的时候要注意,不是满足地理位置分离的条件的就可以划分成两个站点,比如:将一栋楼中的每一层都设定为是一个站点的做法就是错误的。
站点
站点映射了网络的物理结构,而域映射了用户组织的逻辑结构。活动目录的逻辑结构和物理结构相互独立,这就带来了下述结果 :
用户的物理结构与它的域结构之间没有必然的相关性。
活动目录允许在一个站点有多个域,允许一个域中的用户分布在多个站点。
在站点和域名空间之间没有必然的相关性。
站点
域控制器
域控制器( Domain Controller , DC ) 是实际存储活动目录的地方,用来管理用户登录进程、验证和目录搜索的任务。
注:站点、域和域控制器的关系 域是逻辑结构的一个单元,站点是物理结构的一个
单元。 逻辑上,每个域必须有一台或一台以上的域控制器
;物理上,每一个站点必须有一台或一台以上的域控制器。
域控制器在逻辑结构中代表域,在物理结构中代表站点。
域和站点之间没有必然的联系,不存在包含关系。 一个域的域控制器、服务器和客户机可能分布在多个站
点; 一个站点可能有多个域的域控制器、服务器和客户机。 例如: 一个企业的财务部(此时用域来映射)的数据和信息可
以分散存储在多个站点的域控制器中。 一个站点(理解为一个分公司)中可以有多个部门(即多个域)的域控制器。
域控制器
特定域控制器角色 全局目录服务器
活动目录支持域中所有域控制器间目录的多主更新。然而,由于复制流量和基本操作中有冲突的可能,一些改变在多主控制形式下操作是不切实际的。
由于这些原因,一些特殊的角色,如全局目录服务器和操作主控服务器,只被分配给了特定的域控制器。
4.4.1 全局目录服务器 全局目录服务器是包含活动目录中所有对象部分属性
的一个子集的信息存储库。
全局目录服务器
在缺省状态下,在全局目录中存储的属性是在查询时最频繁使用的属性 ( 如用户的姓名及登录名 ) 和确定某个对象位置所必需的属性。 可以方便的引导对全局目录的查询。
全局目录扮演以下两个重要的目录角色。 它通过在登录过程开始时为域控制器提供通用的组成员信息使用户能登录到一网络。
它使用户能在整个森林中找到目录信息,无论这些数据位于何处。
特定域控制器角色 操作主控服务器
操作主控服务器是在活动目录域中被分配了一个或多个特殊角色的域控制器。被分配了这些角色的域控制器完成单主控操作或不允许在网络的不同地方同时进行操作。
控制特定操作的域控制器担任了那个操作的操作主服务器的角色。这些操作主服务器的角色可以被传给其他域控制器。但是,在同一时刻,只能有一台域控制器有某一特定操作主服务器角色。
特定域控制器角色
每个活动目录森林中都必须有分别扮演下述五个操作主服务器角色的域控制器。这些角色为 :
模板主控服务器 域名主控服务器 相关标识符 (RID)主控服务器 主域控制器 (PDC)仿真器 基础结构主控服务器
1 、 模板主控服务器 模板主控服务器控制全部对模板的更新和修改。 如果要更新森林的模板,那么用户必须能访问主控服务器。
在任意时刻,整个森林中都只能有一台模板主控服务器。
特定域控制器角色
2 、 域名主控服务器
域名主控服务器控制森林域的添加与删除。
在任意时刻,整个森林中都只能有一台域名主控服务器。
特定域控制器角色
3 、 RID 主控服务器 森林中的每个域中都有一台作为 RID 主控服务器的
域控制器。 RID主控服务器为其域中每个不同的域控制器分配了 RID序列。
当域控制器创建用户、组或计算机对象时,它会为此对象指定唯一的安全标识符 (SID)。
SID包括一个域 SID(在此域中创建的所有 SID都相同 ) 和一个 RID。
特定域控制器角色
4 、 PDC仿真器 森林中的每个域都必须有一台作为 PDC仿真器的域控
制器。 PDC仿真器可以把口令改变和复制更新提交到运行
Windows NT 的各个域控制器。 在本机模式 Windows 2000域中, PDC仿真器接收
域中其他域控制器进行的口令改变的优先复制。如果口令刚刚改变,那么改变复制到域中每个域控制器将花一段时间。如果因为口令的错误将导致在其他域控制器上的登录认证失败,该域控制器将会在拒绝登录请求之前把认证要求提交到 PDC仿真器。
特定域控制器角色
5 、 基础结构主控服务器 在每个域中都必须有一台基础结构主控服务器。 基础结构主控服务器的责任在于当组成员改变时更新
组到用户的引用。 如果用户帐号和组成员的改变是在不同域中进行的,那么在用户重新命名用户帐号和包含用户的组显示此用户帐号名之间会有一段时间间隔。此组所在域的基础结构主控服务器就负责这种更新;它通过多主复制分发此更新。
特定域控制器角色
安装活动目录服务
Windows 2000 Server提供了一个活动目录安装向导来在用户安装活动目录时为创建域控制器和建立域的过程中提供指导。当用户安装活动目录时可以创建下述内容 :
(1) 创建新的森林,包括根域 ( 森林中的第一个域 ) 和第一个域控制器。
(2) 创建已有域中的附加域控制器。 (3) 创建己有树中的新的子域和它的域控制器。 (4) 创建己有森林中的新的树及其域控制器。
安装活动目录服务1. 安装活动目录硬件、软件环境要求
安装活动目录必须具备下述条件: (1) 有一台已成功安装了 Windows 2000 Server或Windows 200O Advanced Server或 Windows 2000 Datacenter Server的计算机。
(2) 有一个用 NTFS文件系统格式化的分区或卷。 (3) 要有足够的磁盘空间留给活动目录 ( 建议 1GB)。 (4) 安装了 TCP/IP协议并被配置为使用 DNS。 (5) 有一台支持服务 (SRV)资源记录和 DNS动态更新协议的 DNS服务器。
(6) 必须联网
安装活动目录服务 安装选项
在安装活动目录的过程中,活动目录安装向导会给用户显示如图所示的选项。
配置 3 个域控制器的 IP 地址,并使这 3 台 DC连通。A: 根域控制器 IP 地址: 192.168.49.1
B: 子域控制器 IP 地址: 192.168.49.2
C:附加域控制器 IP 地址: 192.168.49.3
注意: 在即将安装的三台域控制器中,只有第一台安
装活动目录的域控制器 A才是 DNS 服务器。
安装活动目录服务实验演示
安装活动目录服务
因此需要继续配置 3 个域控制器的首选 DNS 的地址,相关参数配置如下:A: 根域控制器 首选 DNS 地址: 127.0.0.1
B: 子域控制器 首选 DNS 地址: 192.168.49.1
C:附加域控制器 首选 DNS 地址: 192.168.49.1
注意:1 、 A 的首选 DNS 地址也可以写成自己的 IP 地址;2 、 B和 C 的首选 DNS 地址绝不能写成 127.0.0.1 。
安装活动目录服务
安装根域域名: lab422-t.znuni.cn
IP 地址: 192.168.49.1
DNS 服务器 : 127.0.0.1 或者 192.168.49.1
注意:1. 安装 AD 时一定要集成安装 DNS 。2.观察安装 AD前后管理工具里的管理单元有何不同。
90安装 AD前的管理工具:
安装 AD后的管理工具:
安装活动目录服务
安装子域
域名: zy.lab422-t.znuni.cn
IP 地址: 192.168.49.2
首选 DNS 地址: 192.168.49.1
注意:
1. 观察安装过程中是否集成安装 DNS 。
2. 观察子域安装后的管理工具与根域的管理工具有何不同之处。
94
根域的管理工具:
子域的管理工具:
安装活动目录服务
安装附加域
域名: lab422-t.znuni.cn
IP 地址: 192.168.49.3
首选 DNS 地址: 192.168.49.1
98
根域的管理工具:
附加域的管理工具:
安装活动目录服务
将客户机 D 添加到根域中
域名: lab422-t.znuni.cn
IP 地址: 192.168.49.4
首选 DNS 地址: 192.168.49.1
此时的客户机 D 的首选 DNS 地址仍然应设置为第一台域控制器 A 的 IP 地址。
观察客户机加入域前后的变化1 、从登陆界面的变化观察
安装活动目录服务
观察客户机加入域前后的变化1 、从登陆界面的变化观察
安装活动目录服务
观察客户机加入域前后的变化2 、从登陆后,客户机“网络邻居”的变化方面观察
安装活动目录服务
观察客户机加入域前后的变化2 、从登陆后,客户机“网络邻居”的变化方面观察
安装活动目录服务
观察客户机加入域前后的变化3 、从客户机加入前后,域控制器的活动目录中对象的
变化来观察
4.6 安装活动目录服务
观察客户机加入域前后的变化3 、从客户机加入前后,域控制器的活动目录中对象的变
化来观察
安装活动目录服务
验证客户机是否加入到根域
安装活动目录服务
删除活动目录
删除顺序:子域→ 附加域→根域。
如果不能正常删除,则采取强制删除。
强制删除活动目录的命令:
dcpromo /forceremoval
安装活动目录服务
思考题:1. 比较建立子域和额外域控制器的异同点,理解根域
、子域和额外域控制器三者的关系。
2. ABCD四台主机中 ,那些是 DNS 服务器 ?它的作用是什么 ?在安装的全过程中能否不建立 DNS 服务器 ?
安装活动目录服务