域管理安装详细介绍，常见故障解决方法_怎样安装网络适配器的驱动程序资源-CSDN文库

服务器安装

需积分: 9 58 浏览量 2011-06-15 21:43:00 上传评论收藏 647KB PDF 举报

资源推荐

资源详情

资源评论

第六章活动目录的安装、校验与管理

Windows 2000 Server

Active Directory

）。它存储着网络上各种对象的有

关信息，并使该信息易于管理员和用户查找及使用。Active Directory使用结构化的数据存储作为目录信息

的逻辑层次结构的基础。

Active Directory

的优点：信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、

与

DNS

集成、与其他目录服务的互操作性、灵活的查询。

6.1

活动目录的概念

6.1.1

活动目录概念

活动目录

Windows 2000

中的活动目录是一个目录服务，只要我们明白了目录服务也就明白了活动目录。

目录服务由两部分内容构成，一部分是目录；一部分是服务，在目录部分决定了我们的目录服务系统

里都能放那些东西、放那些对象，这些对象如何来进行存放等等。我们的目录决定了这样一些信息，就好

像你是一个库房管理员，由你决定库房里存放什么东西，如桌子、工具、及其零部件等等，作为库房管理

员来说你当然要合理的摆放这些东西，如果有人要求存放爆炸物品，你会说对不起我的库房不适合存放爆

炸物品。这就和我们的目录类似，目录决定了存储的问题。

服务（Service）是对我们提出要求的正确响应。活动目录的最终目的是方便用户使用其上的内容，目

录是放置存储信息，服务是按我们的要求来提取信息。

当前的操作系统中目录服务有多种，如

Netware

，

UNIX

等都有自己的目录服务，大型多用户操作系统

的特性之一是具有目录服务结构。活动目录是所有目录服务的一种，用它来对网络进行管理。

对活动目录的要求

•

最简单的可扩展性

• 基于Internet标准

•

灵活并且足够的安全性

•

可以增加升级和迁移

•

更灵活的支持组织结构的变化

活动目录的组件

（

）简单的用户管理

包括用户和组织的管理和用户设备管理，用户和组织管理是以前NT4中就有的，用户设备管理是

Windows 2000

新增加的，我们可以在活动目录中对打印机、共享文件夹等进行管理。这样的好处是在设备

和用户之间增加了一道墙，这道墙就是活动目录，使用户不知道、也不关心网络设备的运行情况，网络管

理员也不需要让用户知道这些情况。

（2）验证和授权服务

在活动目录中我们首先要实现的是对活动目录中数据的保护，在保护的前提下，使得数据易于我们访

问。

Windows 2000

的验证和授权服务是基于互联网标准。

（

）目录管理

包括目录合并和目录同步问题，如我们在Windows 2000系统中安装了邮件系统（

Exchange Server

5.5

），我们希望在

Windows 2000

系统中创建一个用户的同时，自动在邮件系统中创建一个邮箱；在邮

件系

统创建一个邮箱的同时，自动在

Windows 2000

系统中创建一个用户。活动目录就可以帮助我们实现这一

点，因为它有接口可以供我们来用，因此我们才能实现这样的目标，这些接口都是由目录管理来负责的。

（4）结构服务

页码，1/29第一章

2007-2-3file://D:\网络操作系统优秀课\多用户操作系统打印稿20030325.htm

包括目录激活的网络和目录激活的服务。我们可以举一个简单的例子来说明，网络管理员可以为每一

个用户指定它可以使用的网络带宽，如网络管理员因为他的管理维护工作量较大，可以为自己保留一个1

兆的带宽，对普通用户可以指定

10K

或

50K

的带宽，这里注意除

Windows 2000

支持以外，还需网络硬件支

持。

（

）应用程序管理

主要是发布客户需要的应用程序和基于策略的应用程序配置，由于活动目录实现了对应用程序的管

理，对一个

Windows 2000

的网络管理员来说，如果用户应用程序发生故障，管理员可以把一个好的计算机

安装到用户那里，打开计算机电源开关后，管理员就可以走了，回去慢慢研究用户的计算机到底出了什么

故障，而用户只需要坐在那台新的计算机旁等待鼠标不再处于忙的状态的时候，就可以使用计算机了，

用

户会发现他以前存储的文件和数据及安装的应用程序都存在。这就是应用程序管理给我们带来的目标。当

我们的网络真正升级到

Windows 2000

并且部署完毕之后，一个管理员要做的日常工作时非常少的。

活动目录支持的技术

活动目录支持的技术包括

TCP/IP

、

DHCP

、

DNS

、

X.509

（验证机制）、

Kerberos

（身份验证机制）、

LDIF

、

LDAP

等。

6.1.2

活动目录的逻辑结构

活动目录的逻辑结构包括域（Domain）、树（Trees）、森林（Forests）和组织单元（

Organization

Units

）。

域（

Domain

）

域的概念是随着网络技术的发展而提出的一个新概念，最初的计算机是没有管理的，随着联网的计算

机数量越来越多，我们越来越需要对联网的计算机进行管理。我们可以使用“工作组”方式来对计算机进

行管理，一般情况下这种方法管理的计算机数少（不超过

台）；对于一个企业或公司，随着它的发展和

信息化的普及，网络上的计算机会越来越多，这种“工作组”的管理方式渐渐的不再适应我们的需求，

于

是我们就开始使用域这样的概念。

域和工作组都是对计算机进行逻辑组织的方式，即都管理网络的方式。但是，实现的方法目的是不一

样的。

用域对计算机进行管理具有这样几个特点：

（

）域是一个安全的边界

其含义就是说在域中，所有的对象是处于一个安全的堡垒之内，域和域之间是不同的安全堡垒之间的

关系，任何一个对象都不可以穿越安全堡垒，这一点是和

Windows NT

是一样的。无论什么时候，我们都

是登录到域上，在域中进行身份验证，而不是在任何其他的地方。Windows 2000只在域中有安全性设计，

其它地方都没有，域是活动目录中最基本的组件和结构，域和域之间有信任关系。

(2)

域是一个复制的单元

在

Windows 2000

中，域控制器的地位基本上是平等的。如果一个域的内部有多个域控制器，在任何一

个域控制器上都可以进行用户的添加、修改和删除工作，因此我们就会有了这样的问题，如果在一个域控

制器上创建了用户账户的话，那么当这个用户登录时，经过其它域控制器进行身份验证是否能通过？当然

我们说它本来就属于这个域，无论找到域中的任何一个域控制器进行身份验证都是可以通过的。这

件事是

依赖于复制单元来实现的，活动目录的复制保证了同一个域内的所有域控制器上的内容完全一致。那么当

我们在一个域控制器上创建一个用户时，很快域内的所有域控制器都可以得到这个用户的信息，因此，当

这个用户登录域时，无论找到那一个域控制器都是没有问题的。这是复制单元的第一个方面。

复制单元的第二个方面是指在域和域之间进行复制。

（

）域的模型：

Windows 2000域的模型有二种：混合模式（Mix Mode）和私有模式（Native Mode）。

混合模式是指在

Windows 2000

的域中包含有

Windows NT

的备份域控制器（

BDC

）

这样的一个域我们

就称为混合域模式。换句话说就是，一个

Windows 2000

的域控制器不能在一个

NT4.0

中作备份域控制器，

意味着它必须做主域控制器。

页码，2/29第一章

2007-2-3file://D:\网络操作系统优秀课\多用户操作系统打印稿20030325\06.htm

混合模式从设置上，我们很容易想到是为了一步一步地从

Windows NT

升级到

Windows 2000

。当我们

需要将Windows NT升级到Windows 2000时，我们可以先将Windows NT的主域控制器升级到

Windows

2000

的域控制器，让

Windows NT

的域和

Windows 2000

的域共存一段时间，当我们感觉系统都很稳定、一

切都正常时，再将

Windows NT

的备份域控制器升级到

Windows 2000

，这时我们可以将混合模式转化为私

有模式。缺省情况的域模式是混合模式，

私有模式：Windows 2000域的默认模式是私有模式，当域中只有Windows 2000的域控制器时，我们可

以将域的混合模式转换为私有模式，注意这种转换是一个不可逆的过程。只有在私有模式才能全部发挥

Windows 2000

域的全部功能。

域树（

Trees

）

域树是一个或多个与根域有信任关系的域的集合。在域树中我们首先要理解的是信任关系（

Trust

Relation Ship

）概念。

信任关系是两个域之间安全信息的通信连接。这里需要我们理解两层含义，一是信任关系是一个通信

连接，如果两个域之间没有信任关系，则这两个域之间是没有这种通信连接的，没有这种通信连接并不是

说这两个域之间不能拷贝数据；二是这个通信连接上传输的是安全信息，如用户名、口令等就是安全信

息，两个域之间拷贝数据是不需要信任关系的。

Windows 2000

中域的信任关系具有以下特点：

• 双向性：如果A域信任B，则B域就信任A域。

•

可传递性：如果

域信任

，

域信任

域，则

域就信任

域。

• Kerberos

：使用

Kerberos

作为身份验证的机制。

Kerberos

采用

DES

（数据加密标准）在网上保护由系

统和用户发送的信息。

信任关系是Windows 2000内置自动创建的，在安装活动目录时，如果含有多个域，那么系统会提示创

建信任关系。在

Windows 2000

的活动目录里，任何两个域之间都是信任的，任何两个域之间都可以创建信

任关系。我们手工建立的信任关系只是在已经信任的两个域上建立信任关系的快捷方式，有时我们称这种

信任关系为“快捷信任”（

Show a Card

）。

创建“快捷信任”的目的是为了提高访问速度。有时我们也需要在Windows 2000域和Windows NT域

之间手工创建信任关系，它完全符合

Windows NT

信任关系的特点（单向的、不可传递的信任），使用

NTLM

进行身份验证，而不是使用

Kerberos

。

根域

每一个域树都有一个根域，根域的作用是为我们提供了一个连续命名空间的开始。也就是说，域树和

DNS

采用的是同一套命名空间，域树的根域定义了活动目录或者说

DNS

命名空间的开始。

根域下面的所有子域都从根域那里来继承名字。

图

6-1

域树结构

Windows 2000

所有域之间内置的信任关系提供了访问和控制资源的可能，这种可能的实现需要授权，

没有授权这种信任关系的建立也只是形式，达不到资源共享的目的。

域林（

Forest

）

域树的集合称为域林。域林中可以有多棵域树的存在，域林中不会有一个共享的连续命名空间，域林

是将不共享连续命名空间的域树组合在一起。

域林的形成：从DNS的角度来说，任何一个域树都要有一个根域；Windows 2000的网络中也要先定义

页码，3/29第一章

2007-2-3file://D:\网络操作系统优秀课\多用户操作系统打印稿20030325\06.htm

根域再去定义其它的域。域林的最大特点是不连续的命名空间。

域林主要应用于公司合并的情况下，因为每一个公司的域树都有一个连续的命名空间，公司合并后，

为了达到资源共享的目的，需要把这几棵域树合并成域林。

域林的根域：域林中第一棵树的根域叫做域林的根域，这个根域的管理员叫做域林管理员。在域林

中，域林管理员的权利是最大的，他可以做任何事情，由域林管理员来实现公司的统一管理。

在域、域树和域林这三部分中，域和域林都有管理员，域树没有管理员。

6.1.3

域控制器

域服务器

简单的说，活动目录存在的那台计算机就是域服务器，也叫域控制器（

）。活动目录的全部内容

存放在域控制器上，它负责活动目录数据库的维护、用户身份的验证和活动目录的安全性。

Windows 2000域中的任何一台域控制器都有权决定用户是否可以登录到域和用户账户的创建等事情，

域控制器使用复制机制来维护活动目录的完整信息。

域服务器（

）和普通服务器（

Member Server

）的区别

域服务器和普通服务器最主要的区别是在计算机上是否存放了活动目录的数据库文件，如果是就称该

计算机为域服务器，如果不是，则该计算机就是普通服务器。普通服务器一般是为专门的功能而设的，如

数据库服务器、文件服务器、邮件服务器等等。域服务器的最主要的功能是对用户的身份验证并且维护整

个活动目录数据库和对外提供服务，由活动目录提出的服务都是由域服务器来完成。

6.2

活动目录的安装

6.2.1

安装的要求

（

）必须是安装了

Windows 2000 Server

或

Windows 2000 Advanced Server

和

Windows 2000 Datacenter

Server的计算机。

（

）要求硬盘上至少有

200

兆空间用来安装活动目录数据库，至少有

兆空间用来安装日志文件，这

里考虑了活动目录使用后数据的增长。

（

）必须要有

NTFS

文件系统，因为在安装时需要安装

Sysvol

NTFS

5.0的分区上。建议安装完Windows 2000 系统后，最好用Windows 2000系统重新格式化一个NTFS分区。

Windows 2000

默认的协议是

TCP/IP

，在安装过程中不需要考虑安装

TCP/IP

协议，换句话说，只要安装

好了

Windows 2000

系统，

TCP/IP

协议就已经安装好了。

（

）必需是一个

DNS

的客户端

如果你不希望改变DHCP缺省配置的话，就必需由DHCP服务器把IP地址分发给要安装的域控制器，要

安装

DNS

是我们安装服务器时的必需要求；如果你不想使用

DHCP

，手动来配置

地址，这是在必需配置

地址、子网掩码、缺省网关的同时，还要配置

DNS

服务器的

地址。也就是说域服务器的

DNS

必需指向

一个

DNS

服务器，安装活动目录的计算机必需是一个

DNS

的客户端。从前面我们对

DNS

的讨论可以知道，

如果你想安装一个域控制器的话，你会在DNS服务器上添加若干SRV记录，使用户通过DNS服务器来查找

域控制器的

SRV

记录来进行身份验证。

域控制器可以是

DNS

服务器，也可以不是，只要我们能访问到

DNS

服务器就可以了。也就是说你拿

DNS

服务器的

地址可以

ping

的通就可以了。

（5）特殊的权限

如果安装的域控制器不是网络中的第一台域控制器，还需要相应的权限。

（

）统一的时钟

如果安装的域控制器不止一台，则需要域控制器具有统一的始终。这主要是

Kerberos

验证安全性的要

求，

Kerberos对身份验证数据包有5分钟的时间限制，即由客户端发出的数据包超过了5分钟的话，Kerberos

就认为是一个坏包或被人修改过的包，就将该包丢掉。在默认情况下，系统在安装域控制器时，会自动调

整时钟的一致性，包含时间上的一致和时区上的对应。如果你的网络上的计算机时间误差超过

分钟，网

页码，4/29第一章

2007-2-3file://D:\网络操作系统优秀课\多用户操作系统打印稿20030325\06.htm

剩余28页未读，继续阅读

评论收藏

内容反馈

xcw87

粉丝: 0
资源: 1

域管理安装详细介绍，常见故障解决方法

服务器常见故障的诊断与解决方法介绍

音响有哪些常见故障音响常见故障及其解决方法介绍.docx

电梯监控无线网桥传输方式安装方法及常见故障解决方法.docx

笔记本无线网卡搜索不到无线网络信号怎么办?常见故障及解决方法介绍

视频监控系统安装常见故障解决方法分析

您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。拒绝访问解决方法

网络安全论文：分析企业网络安全管理问题与解决方案.doc

citrix 中文管理操作手册

WINDOWS 内部原理（十）驱动和硬件的管理

安装网卡驱动常见故障及解决方法.docx

网络管理与安全.doc

Linux管理员指南

WCDMA精品原理教材

服务器配置课程学习小结.docx

福禄克网络解决方案目录.pdf

WINDOWS 内部原理 （八）

Windows内部原理（十一）：存储和文件系统

windows 内部原理（一）

WINDOWS 内部原理（九）

WINDOWS 内部原理 （三）

WINDOWS 内部原理（五）

WINDOWS 内部原理（四）

高级软件架构师复习提纲

计算机网络项目教学设计.docx

Dynv6 Updater for Windows by 浅若清风cyf

SwitchHosts 2023最新版

YT8521SH-CA.pdf

iNodeClient_MacOS_7.3 (E0548)

BIND9管理员参考手册-9.18.0

最新资源

WINDOWS 内部原理（八）

WINDOWS 内部原理（三）