域服务器的配置与应用

部署 Active Directory 目录服务

Active Directory 存储了网络对象大量的相关信息，网络用户和应用程序

可根据不同的授权使用在 Active Directory 中发布的有关用户、计算机、文件

和打印机等信息。Active Directory 支持 LDAP v2 和 LDAP v3，能够与其他

供应商的目录服务互操作。Active Directory 实际上是一种用于组织、管理和

定位网络资源的企业级工具。对于 Windows 网络来说，规模越大，需要管理

的资源越多，建立 Active Directory 目录服务也就越有必要。

Active Directory 基础

而与目录中实际包含数据的域无关。

l 查询和索引机制的建立，可以使网络用户或应用程序发布并查找这些对象

及其属性。

l 通过网络分发目录数据的复制服务。对目录数据所做的任何更改都被复制

到域中的所有域控制器。

l 与网络安全登录过程的安全子系统的集成，以及对目录数据查询和数据修

改的访问控制。

l 提供安全策略的存储和应用范围，支持组策略来实现网络用户和计算机的

集中配置和管理。

2．Active Directory 对象

称引用。Active Directory 根据对象创建或修改时提供的信息，为每个对象创

建 RDN 和规范名称。例如，在 abc.com 域、unit1 组织单位中名为

mycomputer 的计算机的 DN 是“CN=mycomputer, OU=unit1, DC=abc,

DC=com”。如果采用规范名称（DN 的另一种表示方法），则表示为

“abc.com/unit/1mycomputer”。除此之外，用户账户还具有一个称为

UPN（用户主体名称）的名称。UPN 是一个友好的名称，比 DN 短并且容易记

忆。UPN 包括一个用户登录名称和该用户所属域的 DNS 名称，如

user1@abc.com，该名称不依赖于 DN。

3．Active Directory 架构

Active Directory 中的每个对象都是在架构中定义的类的实例。AD 架构包

和控制，目录信息存储在域控制器上的 Active Directory 数据库中。Active

Directory 以域为基础，具有伸缩性，包含一个或多个域，每个域具有一个或

多个域控制器，可调整目录的规模以满足任何网络的需要。多个域可合并为域

树，多个域树可合并为林。Active Directory 是一个典型的树状结构，按自上

而下的顺序，依次为林→树→域→组织单位。而在实际应用中，通常是按自下

而上的方法来设计 Active Directory 结构的。

l 域：Active Directory 的基本单位和核心单元，是 Active Directory 的

分区单位，Active Directory 中必须至少有一个域。共享同一个 AD 数据库的

计算机组成一个域。一个典型的域包括域控制器、成员服务器和工作站等类型

的计算机。

5．Active Directory 站点

Active Directory 站点可以看作是一个或多个 IP 子网中的一组计算机定义。

同一站点中的计算机需要很好地连接，尤其是子网内的计算机。如果站点包括

多个子网，由于相同原因那些子网也必须具有良好的网络连接。站点与域不同，

站点反映网络的物理结构，而域通常反映整个单位的逻辑结构。逻辑结构和物

理结构相互独立，可能相互交叉。Active Directory 允许单个站点中有多个域，

单个域中有多个站点。Active Directory 站点的主要作用是使 Active

Directory 适应复杂的网络连接环境，一般只有在有多种网络连接的网络环境

（如广域网）中才规划站点。

6．Active Directory 目录复制

体现在以下 3 个方面。

l Active Directory 和 DNS 有相同的层次结构。

l DNS 区域可存储在 Active Directory 中。

l Active Directory 将 DNS 作为定位服务使用。要登录到 Active

Directory 域，Active Directory 客户端应向配置的 DNS 服务器查询在指定

域的域控制器上运行的 LDAP 服务的 IP 地址。DNS 用于将 AD 域、站点和服

DNS 是一种名称解析服务，为 DNS 客户端提供 DNS 名称解析，不需要

Active Directory 也能运行。Active Directory 是一种目录服务，提供信息储

存库并让用户和应用程序访问信息的服务。为了定位域控制器，Active

Directory 客户端需查询 DNS，Active Directory 需要 DNS 才能工作。

8．Active Directory 管理工具

安装 Active Directory

部署 Active Directory 目录服务的关键是安装和配置域控制器，前提是做

好 Active Directory 的规划。

1．规划 Active Directory

主要是规划 DNS 名称空间和域结构，必要时还要规划组织单位或 AD 站点。

选择域结构的总的原则是应尽可能减少域的数量，微软建议企业网应尽可能

使用单一域结构，以简化管理工作。组织单位的规划很重要，在域内可依据多

种标准划分组织单位。如果各个分支机构或部门有大量的对象，或者分支机构

或部门相对分散独立，或者企业网络分成几个独立部分，就可以考虑创建多个

域。对于多域的情况，又有两种选择：域树或林。一般来说，分支机构或部门

外部 DNS 名称使用诸如“external.abc.com”的名称。

适当建立站点可以优化复制效率并减少网络的管理开销。站点的数量取决于

网络的物理设计和网络连接带宽。多数情况下只需一个 AD 站点，如一个包含

单个子网的局域网，或者以高速主干线连接的多个子网。如果网络分布在多个

地理位置并通过广域网连接，应当为每个地理位置建立单独的站点。

2．安装域控制器

域中的服务器要么充当域控制器，要么充当成员服务器。使用 Active

Directory 安装向导，可以在独立服务器上安装域控制器，或者将成员服务器

升级至域控制器，也可以将域控制器降级为成员服务器。Windows Server

2003 或 Windows 2000 Server 服务器在 Active Directory 环境中可分为域

如果网络上没有 DNS 服务器，可在安装 Active Directory 时选择自动安装

和配置本地 DNS 服务器。DNS 服务器将安装在运行 Active Directory 安装向