域服务器的配置与应用

部署ActiveDirectory目录服务ActiveDirectory存储了网络对象大量的相关信息，网络用户和应用程序可根据不同的授权使用在ActiveDirectory中发布的有关用户、计算机、文件和打印机等信息。ActiveDirectory支持LDAPv2和LDAPv3，能够与其他供应商的目录服务互操作。ActiveDirectory实际上是一种用于组织、管理和定位网络资源的企业级工具。对于Windows网络来说，规模越大，需要管理的资源越多，建立ActiveDirectory目录服务也就越有必要。ActiveDirectory基础1．ActiveDirectory的功能ActiveDirectory提供了一种组织方式并简化了计算机网络系统中资源的访问。作为一种增强性目录服务，它具有下列功能。l数据存储，也称为目录，它存储着与ActiveDirectory对象有关的信息。这些对象包括共享资源，如服务器、文件、打印机、网络用户和计算机账户。l包含目录中每个对象信息的全局编录。允许用户和管理员查找目录信息，而与目录中实际包含数据的域无关。l查询和索引机制的建立，可以使网络用户或应用程序发布并查找这些对象及其属性。l通过网络分发目录数据的复制服务。对目录数据所做的任何更改都被复制到域中的所有域控制器。l与网络安全登录过程的安全子系统的集成，以及对目录数据查询和数据修改的访问控制。l提供安全策略的存储和应用范围，支持组策略来实现网络用户和计算机的集中配置和管理。2．ActiveDirectory对象与其他目录服务器一样，ActiveDirectory以对象为基本单位，采用层次结构来组织管理对象。这些对象包括网络中的各项资源，如用户、计算机、打印机和应用程序等。AD对象以层次结构组织，可分为两种类型。一类是容器对象，即可以包含下层对象的对象；另一类是非容器对象，即不能包含下层对象的对象。每个对象均有一组属性，用来记录该对象的特性。对象与属性的关系相当于数据库中的记录和字段之间的关系。每个对象都可通过多种不同的名称引用。ActiveDirectory根据对象创建或修改时提供的信息，为每个对象创建RDN和规范名称。例如，在abc.com域、unit1组织单位中名为mycomputer的计算机的DN是“CN=mycomputer,OU=unit1,DC=abc,DC=com”。如果采用规范名称（DN的另一种表示方法），则表示为“abc.com/unit/1mycomputer”。除此之外，用户账户还具有一个称为UPN（用户主体名称）的名称。UPN是一个友好的名称，比DN短并且容易记忆。UPN包括一个用户登录名称和该用户所属域的DNS名称，如user1@abc.com，该名称不依赖于DN。3．ActiveDirectory架构ActiveDirectory中的每个对象都是在架构中定义的类的实例。AD架构包含目录中所有对象的定义。架构的英文名称为Schema，也可译为模式，实际上就是对象类。在LDAP目录服务中，Schema一般以文本方式来存储，在ActiveDirectory中却将其作为一种特殊的对象。架构对象由对象类和属性组成，是用来定义对象的对象。4．ActiveDirectory结构AD目录服务建立在域的基础上，由域控制器对网络中的资源实行集中管理和控制，目录信息存储在域控制器上的ActiveDirectory数据库中。ActiveDirectory以域为基础，具有伸缩性，包含一个或多个域，每个域具有一个或多个域控制器，可调整目录的规模以满足任何网络的需要。多个域可合并为域树，多个域树可合并为林。ActiveDirectory是一个典型的树状结构，按自上而下的顺序，依次为林→树→域→组织单位。而在实际应用中，通常是按自下而上的方法来设计ActiveDirectory结构的。l域：ActiveDirectory的基本单位和核心单元，是ActiveDirectory的分区单位，ActiveDirectory中必须至少有一个域。共享同一个AD数据库的计算机组成一个域。一个典型的域包括域控制器、成员服务器和工作站等类型的计算机。l组织单位：将域再进一步划分成多个组织单位（简称OU）以便于管理。组织单位是可将用户、组、计算机和其他组织单位放入其中的ActiveDirectory容器。每个域的组织单位层次都是独立的，组织单位不能包括来自其他域的对象。组织单位相当于域的子域，本身也具有层次结构。l域树：可将多个域组合成为一个域树。l林：一个或多个域树的集合。5．ActiveDirectory站点ActiveDirectory站点可以看作是一个或多个IP子网中的一组计算机定义。同一站点中的计算机需要很好地连接，尤其是子网内的计算机。如果站点包括多个子网，由于相同原因那些子网也必须具有良好的网络连接。站点与域不同，站点反映网络的物理结构，而域通常反映整个单位的逻辑结构。逻辑结构和物理结构相互独立，可能相互交叉。ActiveDirectory允许单个站点中有多个域，单个域中有多个站点。ActiveDirectory站点的主要作用是使ActiveDirectory适应复杂的网络连接环境，一般只有在有多种网络连接的网络环境（如广域网）中才规划站点。6．ActiveDirectory目录复制复制目录提供了信息可用性、容错、负载平衡和性能优势。通过复制，AD目录服务在多个域控制器上保留目录数据的副本，从而确保所有用户的目录可用性和性能。ActiveDirectory使用一种多主机复制模型，允许在任何域控制器上（而不只是委派的主域控制器上）更改目录。7．ActiveDirectory与DNS集成ActiveDirectory与DNS集成并且共享相同的名称空间结构，两者的集成体现在以下3个方面。lActiveDirectory和DNS有相同的层次结构。lDNS区域可存储在ActiveDirectory中。lActiveDirectory将DNS作为定位服务使用。要登录到ActiveDirectory域，ActiveDirectory客户端应向配置的DNS服务器查询在指定域的域控制器上运行的LDAP服务的IP地址。DNS用于将AD域、站点和服务名称解析成IP地址。DNS是一种名称解析服务，为DNS客户端提供DNS名称解析，不需要ActiveDirectory也能运行。ActiveDirectory是一种目录服务，提供信息储存库并让用户和应用程序访问信息的服务。为了定位域控制器，ActiveDirectory客户端需查询DNS，ActiveDirectory需要DNS才能工作。8．ActiveDirectory管理工具ActiveDirectory管理工具简化了目录服务的管理。可使用标准工具或使用Microsoft管理控制台（MMC）来创建专门执行单项管理任务的自定义工具。在WindowsServer2003域控制器上可直接使用的管理工具有3种：lActiveDirectory用户和计算机；lActiveDirectory域和信任；lActiveDirectory站点和服务。安装ActiveDirectory部署ActiveDirectory目录服务的关键是安装和配置域控制器，前提是做好ActiveDirectory的规划。1．规划ActiveDirectory主要是规划DNS名称空间和域结构，必要时还要规划组织单位或AD站点。选择域结构的总的原则是应尽可能减少域的数量，微软建议企业网应尽可能使用单一域结构，以简化管理工作。组织单位的规划很重要，在域内可依据多种标准划分组织单位。如果各个分支机构或部门有大量的对象，或者分支机构或部门相对分散独立，或者企业网络分成几个独立部分，就可以考虑创建多个域。对于多域的情况，又有两种选择：域树或林。一般来说，分支机构或部门使用相同的顶层DNS名称空间，层次结构清晰，可创建域树来包含多个域；如果使用不同的顶层DNS名称空间，可创建林来包括多个域树和域。ActiveDirectory需要先规划名称空间。ActiveDirectory域使用DNS名称来命名。选择DNS名称用于ActiveDirectory域时通常使用现有域名，以企业保留在Internet上使用的已注册DNS域名后缀开始，并将该名称和企业中使用的地理名称或部门名称结合起来，组成ActiveDirectory域的全名。企业可将内部名称空间与外部名称空间保持一样。微软公司建议将两者分离，对DNS域名进行分组，如内部DNS名称使用诸如“internal.abc.com”的名称，外部DNS名称使用诸如“external.abc.com”的名称。适当建立站点可以优化复制效率并减少网络的管理开销。站点的数量取决于网络的物理设计和网络连接带宽。多数情况下只需一个AD站点，如一个包含单个子网的局域网，或者以高速主干线连接的多个子网。如果网络分布在多个地理位置并通过广域网连接，应当为每个地理位置建立单独的站点。2．安装域控制器域中的服务器要么充当域控制器，要么充当成员服务器。使用ActiveDirectory安装向导，可以在独立服务器上安装域控制器，或者将成员服务器升级至域控制器，也可以将域控制器降级为成员服务器。WindowsServer2003或Windows2000Server服务器在ActiveDirectory环境中可分为域控制器、成员服务器和独立服务器3种角色。使用ActiveDirectory安装向导可安装和配置域控制器。在使用ActiveDirectory安装向导之前，应考虑DNS配置。默认情况下，该安装向导从其已配置的DNS服务器列表中定位新域的权威DNS服务器，该列表将接受服务（SRV）资源记录的动态更新。如果找到可接受动态更新的DNS服务器，则在重新启动域控制器时，所有域控制器的相应记录都自动在DNS服务器上注册。如果网络上没有DNS服务器，可在安装ActiveDirectory时选择自动安装和配置本地DNS服务器。DNS服务器将安装在运行ActiveDirectory安装向导的服务器上，该服务器的首选DNS服务器设置将自动配置为使用新的本地DNS服务器。使用“配置您的服务器向导”工具，根据提示将服务器角色选定为“域控制器（ActiveDirectory）”，可启动ActiveDirectory安装向导，根据提示进行安装操作即可。也可通过运行dcpromo命令直接启动ActiveDirectory安装向导。具体步骤不再赘述。3．将计算机添加到域ActiveDirectory客户端通过LDAP协议向域控制器发送查询，为了定位域控制器，ActiveDirectory客户端查询DNS，ActiveDirectory需要DNS才能工作。域控制器就是一个ActiveDirectory服务器，可由Windows2000Server和WindowsServer2003服务器充当，它存储目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。Windows2000/XP/2003计算机都可作为ActiveDirectory客户端，Windows2000以前版本的计算机，需要安装ActiveDirectory客户端，才能部分支持ActiveDirectory客户功能。运行Windows95、Windows98的计算机可连接到域，在安装附加的ActiveDirectory客户端软件后，可以使用域功能，但是不能加入到域，不能作为计算机账户添加到ActiveDirectory。运行WindowsNT4.0的计算机无需任何更改就可登录到域，只能使用NTLM认证方法。Windows2000/XP/2003计算机需要加入到域，才能享用ActiveDirectory的好处。有两种情况，一种是将独立服务器加入到域，另一种是将工作站添加到域。加入到域的计算机可统称为域成员计算机。在安装Windows2000/XP/2003操作系统时，可以选择加入到域中，或保留在工作组中