收藏 分享(赏)

《网络工程设计与实践》课件第4章.ppt

上传人:bubibi 文档编号:24175601 上传时间:2024-11-28 格式:PPT 页数:262 大小:1.26MB
下载 相关 举报
《网络工程设计与实践》课件第4章.ppt_第1页
第1页 / 共262页
《网络工程设计与实践》课件第4章.ppt_第2页
第2页 / 共262页
《网络工程设计与实践》课件第4章.ppt_第3页
第3页 / 共262页
《网络工程设计与实践》课件第4章.ppt_第4页
第4页 / 共262页
《网络工程设计与实践》课件第4章.ppt_第5页
第5页 / 共262页
亲,该文档总共262页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

1、第4章 Internet/Intranet应用的建立 第4章 Internet/Intranet应用的建立 4.1 活动目录概述活动目录概述 4.2 WWW和和FTP服务的配置与管理服务的配置与管理 4.3 DHCP的安装与配置的安装与配置4.4 DNS的安装与配置的安装与配置 第4章 Internet/Intranet应用的建立 4.1 活动目录概述活动目录概述4.1.1 活动目录的概念与特点活动目录的概念与特点1.活动目录的概念活动目录的概念1)什么是目录服务简单地说,目录是指用来存储网络中对象的分层信息结构。这里指的目录与我们已熟悉的文件系统中的目录是有区别的,文件目录只能存储一类对象文

2、件对象的信息,事实上,在Windows中文件目录的正式名称是文件夹,而这里所指的目录范围要更加广泛。它可以用来存储包括用户、用户组、打印机、应用程序等多种网络对象。第4章 Internet/Intranet应用的建立 目录服务包括目录数据本身及其对目录所作的服务。目录服务为应用程序、用户和分布式环境中的客户提供了一种命名、存储和重组信息的方法。目录通常由两个主要部分组成:一个是存储目录信息的数据库;另一个是为用户访问存储数据提供服务的一个或多个协议。例如,数据库分布在多个机器上,并通过一个称为计划(Schema)的规则集来定义它能存储的信息类型。目录服务具有丰富的应用价值。例如,可以利用目录服

3、务来查找用户的E-mail地址或者验证E-mail该发往哪台机器;也可以利用目录服务存储用户的帐号信息,如用户名、密码;还可以跟踪有关应用程序的信息,如应用所在的位置、文件的位置等。第4章 Internet/Intranet应用的建立 如果分布式环境中缺乏一个统一的目录服务,那么每个需要目录的应用都需要自己提供一个方案。例如在Windows NT Server 4.0中,Microsoft Exchange使用了一个目录,而用户帐号信息则存于另一个目录中,Microsoft Message Queue(MSMQ)等分布式组件又使用其他的目录,其结果是对同一个问题形成了许多不同的解决方案。较好的

4、方法应该是建立一个公共的目录服务,它提供了存储信息的空间、描述对象属性的公共计划以及命名习惯,并且每个用户和应用都可以使用该目录服务,使用非常方便。第4章 Internet/Intranet应用的建立 目录服务已经成为网络计算环境中的一个重要组成部分。在实际使用中,用户和管理员通常并不知道他们感兴趣的对象的确切名字,而仅仅知道对象的一个或者多个属性,目录服务能够根据对象的一个或者多个属性,帮助用户查找所需的对象。目录服务既是管理工具又是终端用户可使用的工具。随着基于Internet技术的分布式计算的广泛使用,人们对目录服务提出了更高的要求。一个成熟的目录服务需要提供如下功能:(1)用户及网络资

5、源管理。(2)安全认证和授权服务。(3)目录合并。(4)基于目录的基础结构。(5)基于目录的应用。第4章 Internet/Intranet应用的建立 2)什么是活动目录活动目录是Windows 2003等服务器版操作系统内置的目录服务。活动目录服务以轻目录访问协议(LDAP,Lightweight Directory Access Protocol)作为基础,支持X.500中定义的目录体系结构,并具有可复制、可分区以及分布式等特点。对于管理员还是对于一般的用户来说,活动目录都是易于使用和管理的,活动目录能够顺利地管理从只有数百个对象的单一服务器到具有数百万个对象的上千个服务器组成的集群系统中

6、的资源。活动目录把过去的Windows的目录结构发展成一种能够满足从企业Intranet到商业Internet各种需求的、可扩展的、具有良好伸缩性的目录服务。第4章 Internet/Intranet应用的建立 活动目录仍采用域(Domain)作为基本管理单位,但增加了许多新的功能。域模式的最大好处就是它的单一网络登录能力,任何用户只要在域中有一个帐户,就可以漫游网络,即域用户可从任意客户机上登录到网络中的域帐号中。由于以前域的信任关系,过分强调安全性会导致可调整性不够。新一代的活动目录服务扩展了域目录树的灵活性,增强了信任关系,把一个域作为一个完整的目录,域之间能够通过一种基于Kerbero

7、s认证的可传递的信任关系建立起树状连接,从而使单一帐户在该树状结构中的任何地方都有效,减轻了管理员在网络管理和扩展时的工作量。第4章 Internet/Intranet应用的建立 活动目录在Windows中具有许多不同的用途。操作系统自身使用活动目录存储有关用户帐号、打印机、网络中的计算机等信息;Windows的管理体系利用活动目录来定位应用组件的服务器位置;Microsoft Exchange利用活动目录来存储如用户地址簿和认证证书等信息;利用分布式组件对象模型(DCOM)和Microsoft事务处理服务器(MTS)所建立的应用依赖活动目录来定位远程对象,活动目录替代了以前在Windows

8、NT 4.0中使用的MSMQ目录服务。由于活动目录所存储的信息类型是可扩展的,因此无论对家用软件开发商还是商用软件开发商,都可以利用它的服务来建立自己的应用。第4章 Internet/Intranet应用的建立 2.活动目录的特点活动目录的特点1)灵活快速的查询用户和管理员能根据对象的属性利用搜索菜单、网上邻居或“活动目录用户和计算机”插件快速找到网络中的对象。例如,可以根据用户的姓、名、E-mail地址、办公室位置及其他个人信息来查找此用户。信息的查找通过利用全局目录编号(Global Catalog)进行优化,全局目录编号是由活动目录创建的、运行在支持活动目录的计算机上的、客户能根据提供的

9、菜单选项查询到的全局目录编号信息。第4章 Internet/Intranet应用的建立 2)基于策略的管理活动目录的目录服务包括数据存储以及逻辑分层结构。作为逻辑结构,为策略应用程序提供上下文分层结构。作为目录,存储指定给特定上下文的策略(又称为组策略)。组策略表达一组业务规则,包含应用于上下文的设置,它可确定:(1)对目录对象和域资源的访问。(2)用户可使用哪些域资源(诸如应用程序)。(3)这些域资源是如何配置的。第4章 Internet/Intranet应用的建立 3)丰富的信息安全服务活动目录与安全性完全集成在一起,不仅可以针对目录中的每个对象定义访问控制,而且可以针对每种属性进行操作。

10、例如,可以授予所有用户查看网络中用户姓名和电话号码的权限,而与此同时却限制对用户对象所有其他属性的访问。活动目录为安全策略提供应用程序的存储和范围。安全策略包括帐户信息(如域宽口令限制或对某特定域资源的权利)。安全策略通过组策略执行。管理员可将某些特殊管理权分派到其他个人和组。这种权限分派明确了谁具有管理部分网络的权限。可以将特殊部分的管理分派给单个管理员,而不必分配过多的管理权限。第4章 Internet/Intranet应用的建立 Windows 2003支持多种网络安全协议,如Kerberos v5、SSL(Secure Sockets Layer)、分布式密码验证(DPA)、Windo

11、ws NT NTLM等,这提供了有效的安全机制与外界实体(如Internet)进行的互操作,并与现有的客户兼容。第4章 Internet/Intranet应用的建立 4)可靠的信息复制在同一个域内,目录信息会被复制到运行活动目录的每一个服务器上。即如果一个域中包含了多个域控制器,则该域的目录信息会被复制到各个服务器上,从而使每个域控制器中都存储并保持了这个域的目录信息的完整副本。复制能带来容错、负载平衡等多方面的好处。在一个域中的所有域控制器都能提供容错和负载平衡,例如,如果域内的某个域控制器的运行速度减慢到某个阈值、停止或者出错,那么域内的其他域控制器就能替换它,其原因是它们包含了相同的目录

12、信息。在一个域内设置多个物理站点(Site)可改善目录性能,这样就能在离客户机最近的服务器上进行目录访问。第4章 Internet/Intranet应用的建立 活动目录使用多主(Multi-master)复制,因而信息的改变可在包含此目录的任一个服务器上进行,这些变化会被自动地复制到其他服务器上。即使复制暂时失败了,也没有必要人工复制主服务器中的目录。5)可缩放性活动目录的域支持的范围从最小的网络到最大的网络。由于活动目录并不需要大的目录数据库,因此一个网络中可以包含一个或多个域,每个域中都有自己的带有配置信息的目录,这些配置信息描述了包含域控制器在内的网络站点,同时方便了存储在域控制器中的目

13、录的存储、复制和访问。活动目录支持多个域的使用,从而可以适应从最小的组织到最大组织的不同需要。单域方便管理,较小的组织可以采用单域,通常多域则应用于大组织中。第4章 Internet/Intranet应用的建立 6)可扩充性活动目录的可扩充性是指管理员能在目录中增加任何类型的对象,并能给现有对象增加属性。例如可在用户对象中增加购买权属性,然后将每个用户的购买权存储到用户帐号中。通过使用活动目录中的计划管理工具或者编写程序,用户能在目录中增加对象和对象属性,也可以写一个命令行脚本来管理活动目录中的对象。书写脚本的脚本语言是由活动目录服务界面(ADSI,Active Directory Servi

14、ce Interfaces)提供的。第4章 Internet/Intranet应用的建立 7)与DNS的集成活动目录使用域名系统(DNS)作为域的命名服务。由于活动目录使用DNS,因此Windows的域名就是DNS名。例如,既是DNS名又是Windows 2003的域名。Windows 2003 Server支持DNS分层命名结构,这个分层结构可反映到DNS和Windows 2003域名中。例如,域名可以认为是域的名为computer的子域。第4章 Internet/Intranet应用的建立 配置了活动目录的Windows 2003 Server支持由Internet RFC2136定义的动

15、态DNS,动态DNS能对已注册的计算机在启动的时候动态赋予IP地址。除此之外,动态DNS还能提供动态网络服务,这意味着网络服务能在网络上动态地开始,同时客户能定位这些网络服务。活动目录就是能被DNS动态标识和定位的服务。第4章 Internet/Intranet应用的建立 8)同其他目录的相互操作除了DNS外,活动目录支持其他工业标准,如LDAP的第二版和第三版、名字服务提供商界面(NSPI,Name Service Provider Interface)和超文本传输协议(HTTP,Hypertext Transfer Protocol)。LDAP是活动目录的核心协议,可从活动目录中查询和获得

16、信息。LDAP是一个基于工业标准的服务协议,能使活动目录与支持LDAP的其他目录服务共享信息。除此以外,活动目录还支持用在Exchange 4.0和5.x的客户机中的NSPI,以实现与其他产品的向下兼容。通过对这些标准的支持,活动目录能越过多个名字空间来扩展它的服务,可以处理位于Internet上、其他操作系统中和其他目录里的信息和资源。第4章 Internet/Intranet应用的建立 3.活动目录的组成活动目录的组成活动目录由以下四个主要部分组成:(1)数据储藏室(即目录):用来存放在网络上发布对象的信息。这些对象主要包括用户帐号、计算机、打印机等。(2)规则集(即计划):定义了包含在目

17、录中的对象及特性、对象的限制及命名格式。(3)查询和索引机制:使得用户和应用程序可以快速地查找到目录中的对象及其特性。(4)复制服务:能复制目录数据,并让分布式网络中的目录客户使用。活动目录同时还集成了安全特性,提供了访问安全性检查,对目录数据的查询和修改都进行了访问检查,并与Windows 2003安全子系统紧密地结合在一起。第4章 Internet/Intranet应用的建立 1)目录数据储藏室活动目录是一个用来存放网络中对象的数据储藏室,这个数据储藏室被称为目录。目录包含了对象(如用户、组、计算机、域、组织单元和安全策略等)的信息,这些信息通过活动目录服务被用户和管理员使用。目录被存储在

18、域控制器中,并能被网络应用或网络服务访问。在一个域中可以有一个或多个域控制器。每个域控制器中都有目录的一个拷贝。对目录的修改会从原始的域控制器复制到它所在的域、域目录树和域目录林中的其他域控制器中。目录复制使得每个域控制器中都有一份目录的拷贝。第4章 Internet/Intranet应用的建立 目录使用一个可扩展的存储引擎(SSE,Scalable Storage Engine)存储目录数据。私有数据会被安全地存储,只有公有数据被存储在共享系统卷中,公有数据会被复制到域中的其他域控制器中。目录由三个作为命名上下文的子树组成,其中一个包含了域数据,另一个包含了配置域目录树或域目录林的描述,第三

19、个包含了存储于目录中的对象和属性的定义。第4章 Internet/Intranet应用的建立 2)活动目录客户活动目录客户是指管理活动目录的网络客户软件。配置有活动目录客户的计算机通过定位域控制器能登录到网络上,然后访问活动目录中的信息。含有活动目录客户的计算机包括:(1)运行了Windows 2000/2003等服务器版操作系统的计算机。(2)运行了Windows XP/Vista7等个人版操作系统的计算机。第4章 Internet/Intranet应用的建立 3)活动目录中的DNS基于Windows 2003的计算机同样被组织成域,域的主要作用是定义管理边界和为用户提供帐号,每个域中必须具

20、有一个或多个作为域控制器的计算机。Windows 2003与Windows 2000操作系统相似,域的命名使用DNS名。4)活动目录对象的访问在Windows 2003中,每个域控制器都包含有该域的活动目录数据库的一个完整拷贝,活动目录依靠两个不同的协议使客户能查找和访问这个数据库中的信息。首先用DNS找到域控制器,然后使用轻目录访问协议LDAP访问活动目录中的数据。第4章 Internet/Intranet应用的建立 LDAP是一个用于定义目录客户访问目录服务器、执行目录操作和共享目录数据方法的通信协议。LDAP定义了如何安全地访问、查询和修改目录中信息的方法,能有效地满足目录服务的各种需要

21、,且没有其他目录服务协议的复杂性。活动目录同时支持由RFC1777定义的第二版LDAP协议和由RFC2251定义的第三版LDAP协议。活动目录通过使用LDAP完成查询、修改和管理等任务;通过使用LDAP,能与Microsoft和其他开发商的目录服务器进行互操作。LDAP运行在TCP/IP上,主要定义了客户如何访问目录。同时,还定义了目录中数据的命名方法以及信息的结构。对客户来说,在LDAP数据库中的数据是以层次结构的方式组织的,在层次结构中的每个节点既可以是容器也可以是树叶,容器的下面还有其他的节点,而树叶则没有。第4章 Internet/Intranet应用的建立 活动目录的计划中包含了大量

22、的对象类和对象类中的属性类型。下面是一些对象类的例子:(1)User:用来定义域中的用户,其属性包括公共名、用户主名、地址、电话号码及图片等。(2)Print-Queue:允许客户寻找打印,其属性包括位置、打印机状态和打印语言。(3)Computer:定义域中的计算机,在该类中的属性包括操作系统、操作系统服务包、域名系统主机名和机器规则(表明机器是一个域控制器、一个普通的成员服务器还是工作站)等。(4)Organizational-Unit(OU):定义一个域的分支机构,最重要的属性是组织单元名,OU在域内的信息组织中扮演十分重要的角色。第4章 Internet/Intranet应用的建立 活

23、动目录中的对象以及对象的属性都有一个访问控制列表(ACL,Access Control Lists),ACL控制了允许哪些用户访问对象或对象的属性,以及确定允许用户做的事件。例如,一个对象的ACL设置可以允许某个用户读它的所有属性,而另一个用户只可以读写其中的某些属性,而不允许访问其他属性。由于访问控制需要好的审计支持,因此活动目录隐含地使用了Kerberos验证客户的身份。事实上,Kerberos是Windows 2003分布安全的核心技术。第4章 Internet/Intranet应用的建立 5)活动目录对象的命名每个Windows 2003域都有一个DNS名,但DNS名不能用来命名活动目

24、录数据库中的对象,需要用LDAP来定义对象的名字,一般可以选择对象中的某个属性作为对象名,例如对象可以使用对象类的Common-Name属性的值定义,组织单元可以使用Organizational-Unit-Name属性值定义。图4.1给出了Acme公司的一个简单的Windows 2003域的目录结构。假设Acme公司的产品是各种软件产品和硬件产品,域的DNS名为。事实上,每个活动目录域都将使用组织单元类的对象细分它的名字空间。下面域的根有两个OU:一个是给雇员而另一个是给产品。这两个OU的名字是用Organizational-Unit-Name属性的值。第4章 Internet/Intrane

25、t应用的建立 图4.1 一个简单Windows 2003域的目录结构第4章 Internet/Intranet应用的建立 6)域目录林和域目录树Windows 2003域中的目录数据库中的对象比Windows 2000域中的对象更多,因此可以将多个Windows 2000的域组织成单个Windows 2003域。但在有些情况下,还是需要为一个组织创建多个域,活动目录允许以各种方式组织这些域。拥有相邻DNS名的域能被组织到一棵域目录树中。图4.2是一棵域目录树的例子,它表明Acme公司分别为其accounting和sales分别创建了不同的域。由于每个新域都有一个位于下的DNS名,所以这些域就可

26、组织成一棵域目录树。在同一棵域目录树中的每个域必须共享公共的计划,它们的DNS名必须形成一个层级结构。第4章 Internet/Intranet应用的建立 图4.2 不同的域能够组织成一个域目录树第4章 Internet/Intranet应用的建立 将域组织成层次结构的好处是什么呢?显而易见的是,在根域中发布的查询也能检查树中低层的其他域中的对象,并且将域组织成域目录树能自动在域之间建立双向的信任关系,从而减轻了管理员的责任。也可以将名字不相邻的域组织成域集合,其结果就产生了域目录林。域目录林组成域组或者域目录树。正如域目录树一样,域目录林中的所有域也都建立了双向的信任关系,并共享相同的计划。

27、域目录树与域目录林的主要不同点是:域目录树中的所有域必须具有相邻的DNS名,而域目录林就不必这样。第4章 Internet/Intranet应用的建立 7)查找信息:索引和全局编号如果客户知道对象所在的域,并且知道对象的可辨认名,则可以很方便地使用LDAP访问这个对象。如果客户知道对象所在的域和对象的某些属性值,但不知道对象的可辨认名,则活动目录可以通过单独的属性进行查找。例如,一个目录查询可以找到所有带有名“Smith”的对象。但是这种查找方式可能会很慢,这是因为它需要查询大量的对象。为了加快速度,活动目录允许定义特别的属性作为索引,这样就可以更快地找到需要的信息。第4章 Internet/

28、Intranet应用的建立 最坏的情形是客户知道要查询的域目录林,但并不知道域目录林的哪个域中包含了所需的对象。这样,即使属性是按索引编排的,对域目录林中某个域的查询仍需花费大量的时间。为解决此问题,活动目录提供了全局目录编号(GC)。域目录树或域目录林中的所有域共享单个GC,并且GC中包含了域的每一个对象的复制。不过GC中只包含每一对象的一部分属性。Microsoft定义了常位于GC中的不同的标准属性,管理员也可定义自己所需要的属性。GC中属性的类型可按索引方式编排,以便查找起来更快。第4章 Internet/Intranet应用的建立 8)复制对目录数据的复制(将其复制存储到多于一个机器上

29、)改善了性能,提高了其可用性。正如所有其他目录服务一样,活动目录允许其数据的复制。图4.3显示了当客户改变目录中的入口时,这种改变就被复制到域内的所有其他域控制器中。但由于LDAP没有定义复制协议,因此活动目录就使用Microsoft所定义的其他协议来执行此操作。第4章 Internet/Intranet应用的建立 图4.3 域控制器的同步复制过程第4章 Internet/Intranet应用的建立 Windows 2003的目录复制机制与Windows 2000同样使用了多主复制,即每个域控制器不仅包含了整个域数据库,而且还可以对它进行读写操作。在Windows 2003中,客户可以修改目录

30、信息的任何一份拷贝,该修改会自动地被传播到该域的其他域控制器中。如果两个不同的客户同时在两个不同地方修改同一个对象中的相同属性,那么以最后所作的修改为准。第4章 Internet/Intranet应用的建立 4.活动目录的管理工具活动目录的管理工具Windows 2003提供了更丰富的目录服务。活动目录的管理工具能支持复杂的目录服务,它们简化了Windows 2003的管理任务。对活动目录的管理,可使用微软管理控制台(MMC)中的为活动目录而设计的插件,也可根据主机的需要建立一个使用活动目录服务界面(ADSl)的脚本程序来管理。Windows 2003中自带的管理插件可以满足绝大部分用户的需要

31、。第4章 Internet/Intranet应用的建立 活动目录管理控制台中的插件有:(1)活动目录用户和计算机管理器:在活动目录中对用户、组、联系、组织单元等对象进行增加、修改、删除操作。(2)活动目录域和信任管理器:对基于活动目录中的域和域关系进行增加、修改、移走操作。(3)活动目录站点及服务管理器:通过位于基于活动目录网络站点中的域控制器来增加或修改复制行为和服务发布。第4章 Internet/Intranet应用的建立(4)活动目录计划管理器:创建修改对象类和属性、为全局目录编号的索引选择属性。它是活动目录管理器操作的扩展,而活动目录管理器允许管理员操作域数据,活动目录计划管理器能够管

32、理计划。通过活动目录计划管理器,用户能够浏览编辑类和属性定义;通过演变和增加新的特性来扩展类;创建新的类和特性;浏览对象语法,但语法不能被修改或增加;选择和修改全局目录编号中的对象索引。第4章 Internet/Intranet应用的建立 4.1.2 活动目录的建立活动目录的建立1.域控制器域控制器一个域控制器是指一台运行Windows 2003并且安装了活动目录服务的计算机。域控制器管理了活动目录信息以及用户和域之间的交互,包括用户登录、认证和目录查询。一个域中能包含一个或多个域控制器。一个使用单个的局域网(LAN)的小公司可能只需要两个域控制器,而有很多局域网的大公司,在每个区域中需要一个

33、或多个域控制器,从而提供高可用性和容错能力。Windows 2003中的域控制器通过同步每个域控制器上的数据支持多主的复制,以确保信息的一致性。第4章 Internet/Intranet应用的建立 一个域可以包含一个或多个域控制器。下面描述域控制器的功能:(1)每个域控制器中都存放了该域完整的一份活动目录信息的拷贝,域控制器还负责管理信息的变化,并将那些变化复制到同一个域中的其他域控制器上。(2)域控制器会自动将域中的所有对象复制给其他域控制器。当用户执行了一个动作,导致了活动目录更新时,用户实际上是在一台域控制器上做了改动。而后,这台域控制器会将这种改动复制到这个域中的其他所有域控制器上。用

34、户可以指定复制发生的频率以及进行一次复制的数据总量,从而控制域控制器之间的复制工作的通信量。第4章 Internet/Intranet应用的建立(3)活动目录使用多主同步复制,在这种情况下,没有指定哪一个域控制器是主域控制器。而是域中的所有域控制器都有一份目录数据库的拷贝,并且都是可以改写的。除非所有的域控制器都随活动目录同步改变,否则,在某个短时期内,各个域控制器所存放的信息可能是不同的。(4)在一个域中设置多个域控制器可以提供容错性。如果一个域控制器掉线了,另外的域控制器就能提供所需的全部功能,例如记录活动目录的改变。(5)域控制器管理用户和域交互的所有方面,例如定位活动目录对象和验证用户

35、的登录尝试。第4章 Internet/Intranet应用的建立 2.安装域控制器安装域控制器当安装完Windows 2003以后,用户就可以把该计算机配置成为域控制器。Windows 2003是通过域控制器提供目录服务、维护活动目录数据库、验证用户的登录请求并和域中其他的域控制器一起参与目录备份的。用户可以把任意一台安装了Windows 2003的独立计算机或者成员服务器提升为一个域控制器。当用户把一台服务器提升为域控制器时,用户既可以创建一个新的域,并将该服务器作为域的第一个域控制器,也可以在现存的域中额外创建另一个域控制器。当创建一个域时,用户必须确认新域的DNS名称。第4章 Inter

36、net/Intranet应用的建立 当为一个新的域创建第一个域控制器时,用户能够:(1)创建一个新的域目录树。当用户创建一个新的域目录树时,提升一台单机或者成员服务器成为一个域控制器,这就创建了新域目录树中的第一个域。这个新的域成为域目录树中最高层的域(即根域),在这种情况下,创建一个新的域就创建了一个新的域目录树(包含一个域)和一个目录林(包含一棵树)。(2)创建一个新的子域。要创建一个新的子域,用户可以提升单机或成员服务器成为一个新域中的第一个域控制器,这个域已经加入到一个现存的域目录树(父域)中或已属于一个现存的域。第4章 Internet/Intranet应用的建立 在一个域中的所有的

37、域控制器维护着活动目录的一个副本,这些域控制器没有一个本地的安全数据库。当用户把一台单机或者成员服务器提升为一个域控制器时,Windows 2003就把所有本地的用户帐号转换成为域的用户帐号。安装活动目录就把这台服务器的本地数据库升级到新的或现存的域的活动目录数据库中。在一个现存的域中创建另一个域控制器时,我们称加入到一个现存域中的域控制器为后备域控制器。后备域控制器接收域的活动目录数据库的一个副本。用户创建一个后备域控制器是为了通过提供活动目录的一个备份副本来提供错误冗余或通过提供另外一个域控制器来验证用户的登录和响应其他用户的请求是否能够改善登录处理的表现性能。第4章 Internet/I

38、ntranet应用的建立 Windows 2003使用活动目录安装向导来创建新的域控制器。1)创建域控制器的需求条件在用户把一台单机或者成员服务器提升为一个新的域或者一个现存的域中的一个域控制器之前,需要满足以下条件:(1)了解Windows 2003域相关的知识,具体包括:活动目录结构。域控制器的类型和目录复制概念。Windows 2003中的域、域目录树、目录林和组织单元。TCP/IP和DNS。第4章 Internet/Intranet应用的建立(2)注册DNS名。因为Windows 2003采用DNS名称作为域的名称,所以用户在创建一个新的域时需要提供一个完整的DNS名称,在创建一个子域

39、或者一个后备域控制器时,用户也必须提供父域或者目标的一个DNS名称。(3)验证TCP/IP协议是否被正确安装到计算机上。(4)验证是否有一个DNS服务器对此计算机是可用的。如果没有DNS服务器可用,则需安装DNS服务器到此计算机上,并作为域控制器。第4章 Internet/Intranet应用的建立 在升级过程中,Windows 2003跟DNS服务器联系的目的是:注册一个新的域控制器,这是必要的,这使得在网络上的其他计算机能够找到和确定该域控制器。当用户创建一个域控制器时,找到父域。当用户创建一个后备域控制器时,找到目标域。(5)在某些情况下还需要验证有无其他可用的域控制器。当用户创建一个新

40、的子域时,Windows 2003必须跟父域中的域控制器联系。当用户创建一个后备域控制器时,Windows 2003必须跟目标域中的域控制器联系。第4章 Internet/Intranet应用的建立(6)知道管理员帐号和密码。当用户创建一个子域时,用户需要拥有父域的管理员特权。当用户创建一个后备域控制器时,用户需要目标域的管理员特权。(7)在硬盘中有一个NTFS分区:域控制器需要一个安全的空间来存储活动目录的文件,这些文件将被Windows 2003复制到域中的其他域控制器中去。第4章 Internet/Intranet应用的建立 2)为新的域目录树创建域控制器可以使用活动目录安装向导来把一台

41、独立的服务器升级为新的域目录树中的第一个域控制器,该向导将指导用户完成升级的处理过程,并为用户提示关于怎样配置这个新的域控制器的信息。表4.1描述了这个提升处理过程,还描述了在一个新的域目录树中创建第一个域控制器所需要用到的信息。第4章 Internet/Intranet应用的建立 表表4.1 将单机服务器升级为新的域目录树中的第一个域控制器的过程将单机服务器升级为新的域目录树中的第一个域控制器的过程第4章 Internet/Intranet应用的建立 第4章 Internet/Intranet应用的建立 当用户提供了所有的信息以后,活动目录安装向导将显示带有用户所选择的配置信息的一个确认页。

42、该向导使用用户提供的信息来执行下面的任务,从而创建这个域控制器,安装活动目录的步骤如下:创建Sysvol目录。复制初始的活动目录数据库文件到数据库中。创建和配置活动目录的一些默认对象。配置适当的安全设置使这台计算机能够充当域控制器进行工作。第4章 Internet/Intranet应用的建立 3)向一个域中增加复制域控制器活动目录安装向导也用于创建一个域的复制,但在运行向导之前,必须将目标计算机连接到将被复制的域中。(1)创建域的一个复制。创建域的一个复制的步骤如下:使用本地的管理员帐号登录并运行活动目录安装向导。单击“下一步”按钮。选择“现有域的额外域控制器”,并单击“下一步”按钮。键入域的

43、DNS名的全称,例如“”,并单击“下一步”。第4章 Internet/Intranet应用的建立 键入名字、密码和用户域,表明用户对所要复制的域的管理权限,然后单击“下一步”按钮。对目录林中的第一个域的创建也用同样的方式完成。当重新启动后,该计算机即可作为所指定域的复制域控制器。第4章 Internet/Intranet应用的建立(2)在一个树中增加一个子域。活动目录安装向导也可用来在已现存树中创建一个子域。在运行向导之前,必须将机器连接到有层次关系的父域中的一个域中。增加一个子域的步骤如下:使用本地的管理员帐号登录并运行活动目录安装向导。单击“下一步”按钮。选择“创建一个新的域目录树”,并单

44、击“下一步”按钮。选择“创建一个新的子域”,并单击“下一步”按钮。键入现存的作为父域的域的DNS全名称,例如“”。第4章 Internet/Intranet应用的建立 键入新子域的简略名字,例如“lab”,父域的名字附加在此名字上,以创建子域的DNS全名,如“”。单击“下一步”按钮。向导将验证此名字是否已在使用中。向导将为此域建议一个NetBIOS名字。接受缺省的或者键入一个名字,再单击“下一步”按钮。键入用户名字、密码和域帐号,以标明对父域的管理权限,再单击“下一步”按钮。以相同的方式完成目录林中第一个域的安装向导。当计算机重新启动后,就在新子域中创建了第一个域控制器。第4章 Interne

45、t/Intranet应用的建立(3)在目录林中增加一个树。利用活动目录安装向导也能够在现存的目录林中创建一个新树。在目录林中增加一棵树的步骤如下:使用本地的管理员帐号登录并运行活动目录安装向导。单击“下一步”按钮。选择“创建一个新的域目录树”,并单击“下一步”按钮。选择“创建新域目录树”,并单击“下一步”按钮。选择将新的域目录树加入现有的目录林中,并单击“下一步”按钮。键入目录林根域的DNS全名,例如“”。第4章 Internet/Intranet应用的建立 键入新树的DNS全名,例如“”,所键入的名字不能是目录林中现存树的次一级或上一级名字。单击“下一步”按钮。向导将验证此名字是否已在使用中

46、。向导将为此域建议一个NetBIOS名字。接受缺省的或者键入一个名字,再单击“下一步”按钮。键入用户名字、密码和域帐号,以标明对父域的管理权限,再单击“下一步”按钮。11 以相同的方式完成目录林中第一个域的安装向导。当重新启动后,该计算机即可作为新树中的第一个域控制器工作。第4章 Internet/Intranet应用的建立 4)加入域在Windows 2003的目录服务中,将服务器和工作站加入到域中的方法与Windows 2000是相同的。在用户把一台运行有Windows2003计算机加入到一个域之前,必须先满足下面的条件:在用户把计算机添加到域之前或在加入过程中,要创建一个计算机帐号。要把

47、一个计算机帐号添加到目标域中,用户必须具有这个域的管理特权。要确保网络上至少有一台DNS服务器在线可用。这台DNS服务器能够让要加入到域中的那台计算机找到目标域中的一个域控制器。在执行过程中会发生表4.2说明的两种情况中的一种。第4章 Internet/Intranet应用的建立 表表4.2 将运行将运行Windows 2003的计算机加入到一个域中可能发生的情况的计算机加入到一个域中可能发生的情况第4章 Internet/Intranet应用的建立 将Windows 2003服务器或者工作站连接到域中的步骤如下:将Windows 2003服务器或者工作站连接到一个域中。单击“开始”,打开“控

48、制面板”。双击“系统”,打开“系统属性”对话框(另外,可右击桌面上的“我的电脑”,再单击“属性”项)。在系统属性对话框中单击“计算机名”标签。在“隶属于”选择框内单击“域”选项。在“域”选项下的编辑框中,键入需连接的域的DNS全名,例如“”。单击“确定”按钮。第4章 Internet/Intranet应用的建立 键入有足够的权限将计算机加入到域中的域帐号的名字和密码。单击“确定”按钮以提交信任。单击“是”按钮,重启动计算机。当机器重启动后,该计算机就加入到所指定的域中。4.1.3 利用活动目录管理对象利用活动目录管理对象1.活动目录对象活动目录对象在前面的章节中我们已经介绍过,活动目录中可以包

49、含用户、计算机等各种网络对象。这些对象根据它们的创建时机分为两类:一类是在活动目录安装过程中被自动创建的对象;另一类是通过使用活动目录管理工具创建的对象。表4.3描述了在活动目录安装过程中被自动创建的对象。第4章 Internet/Intranet应用的建立 表表4.3 在活动目录安装过程中被自动创建的对象在活动目录安装过程中被自动创建的对象第4章 Internet/Intranet应用的建立 通过使用活动目录管理工具能在活动目录中创建表4.4中的对象。表表4.4 利用活动目录管理工具创建的对象利用活动目录管理工具创建的对象第4章 Internet/Intranet应用的建立 2.活动目录管理

50、器活动目录管理器在Windows 2003中,活动目录管理器被称为“Active Directory用户和计算机”,它是一种Microsoft管理控制台的插件,可以从它自己的控制台启动。它可以满足用户和计算机的日常管理需要,其功能包括在组织单元和组内添加、删除及移动用户帐号和计算机帐号。还可用“Active Directory用户和计算机”修改目录对象的属性,诸如用户与计算机帐号、组、组织单位及共享网络资源的安全属性。第4章 Internet/Intranet应用的建立 启动活动目录管理器的方法是:(1)作为管理员登录。如果登录时使用的帐号不具有管理权限,可能无法管理活动目录。(2)启动“Ac

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区

本站链接:文库   一言   我酷   合作


客服QQ:2549714901微博号:文库网官方知乎号:文库网

经营许可证编号: 粤ICP备2021046453号世界地图

文库网官网©版权所有2025营业执照举报