计算机网络与配置项目化教程计算机网络与配置项目化教程项目说明目前,般若科技有限公司已经迈入了发展的快车道,专门成立了网络信息管理部门。为此公司领导提出了一些网络管理方面的要求,希望网管部门完成以下项目任务:如图所示,要求建立统一的网络管理规划,要求所有员工在公司ActiveDirectory管理之下,AD的名称为boretech.com,以便于管理网络内其他主机。计算机网络与配置项目化教程项目说明(续)(1)域规模与IP地址规划本项目中IP地址采用192.168.1.0/24网段。计算机默认网关为192.168.1.250~192.168.1.254之间的IP,服务器采用192.168.1.1~192.168.1.20之间的IP,客户机占用192.168.1.30以上的IP。(2)域规划根据网络规模、集中管理与结构简单原则,公司决定先采用单域结构,域名为boretech.com。与多域结构相比,它能实现网络资源集中管理并保障管理上的简单性和低成本。在域内按照部门名称划分组织单位(OU),分别是财务运行部、人力资源部、产品研发部、企业生产部、销售推广部、网络技术部,用于存储和管理各部门的用户资源。整个域结构与公司管理结构相匹配,可以实现网络资源的层次管理。域控制器作为整个域的核心服务器,完成对公司所有员工的账户管理和安全策略的实施。如图所示。计算机网络与配置项目化教程项目说明(续)计算机网络与配置项目化教程项目说明(续)(3)用户账户和组规划在各部门的OU中分别为该部门员工创建唯一的域用户账户,并要求域用户账户在首次登录时更改密码。密码最小长度为8位,并且符合复杂性要求。为每个部门创建全局组,并将同部门的员工账户分别加入各部门的全局组。计算机网络与配置项目化教程项目要求(1)理解活动目录,掌握域、域树、域林、信任关系等重要概念。(2)熟悉域控制器在网络中的作用,了解活动目录的结构、计算机角色等内容。(3)掌握OU、用户等的创建与管理。(4)掌握安装活动目录的过程。(5)掌握创建子域的过程。(6)了解创建域间信任的配置过程。计算机网络与配置项目化教程项目实施一、域(Domain)、域树、域林及其成员关系(1)域域是共享用户账号,计算机账号及安全策略的一组计算机,这个定义是基于逻辑因素考虑的,只要用户和计算机在同一个ActiveDirectory内,就认为他们都在域的安全边界之内。微软对“域”的标准定义是:“域(Domain)既是Windows网络系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域。每个域都有自己的安全策略,以及它与其他域的安全信任关系。”计算机网络与配置项目化教程项目实施一、域(Domain)、域树、域林及其成员关系(2)域控制器在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个行政区域的主管一样,称为“域控制器(DomainController,简写为DC)”,它包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录,不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。计算机网络与配置项目化教程项目实施一、域(Domain)、域树、域林及其成员关系(3)多域然而随着网络的不断发展,有的企业的网络大的惊人,当网络有十万个用户甚至更多时,域控制器存放的用户数据量很大,更为关键的是如果用户频繁登录,域控制器可能因此不堪重负。在实际的应用中,我们在网络中划分多个域,每个域的规模控制在一定的范围内,同时也是出于管理上的要求,将大的网络划分成小的网络,每个小的网络管理员管理自己所属的账户。计算机网络与配置项目化教程项目实施一、域(Domain)、域树、域林及其成员关系(4)域树从Windows2000Server起,域树(DomainTree)开始出现。域树中的域以树的出现,最上层的域名为boretech.com,是这个域树的根域,根域下有两个子域:sh.boretech.com和bj.boretech.com。pd.sh.boretech.com和xh.sh.boretech.com子域下又有自己的子域。在域树中,父域和子域的信任关系是双向可传递的,因此域树中的一个域隐含地信任域树中所有的域。计算机网络与配置项目化教程项目实施一、域(Domain)、域树、域林及其成员关系(5)域信任当然在实际的应用中,一个域中的常常有访问另一个域中的资源的需要。为了解决用户跨域访问资源的问题,可以在域之间引入信任,有了信任关系,域A的用户想要访问B域中的资源,让域B信任域A就行了。如般若公司建有两个域,A域:boretech.com和B域:boretech.net。任何一个域向另外一个域的访问,都需要建立信任关系,如同两个国家间公司互访。信任关系分为单向和双向。单向的信任关系很容易理解,即域A信任域B,域A称为信任域,域B被称为被信任域,因此域B的用户可以访问域A中的资源。双向的信任关系中,域A信任域B的同时域B也信任域A,因此域A的用户可以访问域B的资源,反之亦然。计算机网络与配置项目化教程项目实施二、活动目录域服务(ADDS)及其作用(1)活动目录活动目录(ActiveDirectory)是一种目录服务,它存储有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息,并将结构化数据存储作为目录信息逻辑和分层组织的基础,使管理员比较方便地查找并使用这些网络信息。活动目录是在Windows2000Server就推出的新技术,它最大的突破性和成功之一也就在于它全新引入了活动目录服务(ADDirectoryService),使Windows2000Server与Internet上的各项服务和协议更加联系紧密。通过在Windows2000Server的基础上进一步扩展,WindowsServer2003提高了活动目录的多功能性、可管理性及可靠性。到WindowsServer2008中活动目录不再单独动作,而是进行了综合调整。于是,ADDS出现。计算机网络与配置项目化教程项目实施二、活动目录域服务(ADDS)及其作用(2)ADDSWindowsServer2008中,活动目录服务有了一个新的名称:ActiveDirectoryDomainService(简称ADDS)。名称的改变意味着微软对WindowsServer2008的活动目录进行了较大的调整,增加了功能强大的新特性,例如新增了只读域控制器(RODC)的域控制器类型、更新的活动目录域服务安装向导、可重启的活动目录域服务、快照查看以及增强的Ntdsutil命令等,并且对原有特性进行了增强。活动目录并不是WindowsServer2008中必须安装的组件,并且其运行时占用系统资源较多。设置活动目录的主要目的就是为了提供目录服务功能,使网络管理更简便,安全性更高。另外,活动目录的结构比较复杂,适用于用户或者网络资源较多的环境。计算机网络与配置项目化教程项目实施三、活动目录结构(1)活动目录的逻辑结构活动目录的逻辑结构非常灵活,目录中的逻辑单元包括域、域树、域林和组织单元(OrganizationalUnit,OU)。组织单元是一个容器对象,可以把域中的对象组织成逻辑组,以简化管理工作。组织单元可以包含各种对象,比如用户账户、用户组、计算机、打印机等,甚至可以包括其它的组织单元,所以可以利用组织单元把域中的对象组成一个完全逻辑上的层次结构。对于企业来讲,可以按部门把所有的用户和设备组成一个组织单元层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个组织层次结构。计算机网络与配置项目化教程项目实施三、活动目录结构(2)活动目录的物理结构①站点站点由一个或多个IP子网组成,这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定,可以依据站点结构配置活动目录的访问和复制拓扑关系,这样能使得网络更有效地连接,并且可使复制策略更合理,用户登录更快速。②域控制器DC-全局目录服务器全局目录服务器是一个域控制器,它保存了全局目录的一份副本,并执行对全局目录的查询操作。全局目录服务器可以提高活动目录中大范围内对象检索的性能。如果没有一个全局目录服务器,那么这样的查询操作必须要调动域林中每一个域的查询过程。如果域中只有一个域控制器,那么它就是全局目录服务器;如果有多个域控制器,那么管理员必须把一个域控制器配置为全局目录控制器。计算机网络与配置项目化教程项目实施四、域中的计算机类型在域结构的网络中,计算机身份是一种不平等的关系,存在着四种类型,如图所示:计算机网络与配置项目化教程项目实施四、域中的计算机类型(续)(1)域控制器:域控制器类似于网络“主管”,用于管理所有的网络访问,包括登录服务器、访问共享目录和资源。域控制器存储了所有的域范围内的账户和策略信息,包括安全策略、用户身份验证信息和账户信息。在网络中,可以有多台计算机配置为域控制器,以分担用户的登录和访问。多个域控制器可以一起工作,自动备份用户账户和活动目录数据,即使部分域控制器瘫痪后,网络访问仍然不受影响,提高网络安全性和稳定性。(2)成员服务器:成员服务器是指安装了WindowsServer2008操作系统,又加入了域的计算机,但没有安装活动目录,这时服务器的主要目的是为了提供网络资源,也被称为现有域中的附加域控制器。成员服务器通常具有以下类型服务器的功能:文件服务器、应用服务器、数据库服务器、Web服务器、证书服务器、防火墙、远程访问服务器、打印服务器等。计算机网络与配置项目化教程项目实施四、域中的计算机类型(续)(3)独立服务器:独立服务器和域没有什么关系,如果服务器不加入到域中也不安装活动目录,就称为独立服务器。独立服务器可以创建工作组,和网络上的其他计算机共享资源,但不能获得活动目录提供的任何服务。(4)域中的客户端:域中的计算机还可以是安装了Windows2000/WindowsXP等其它操作系统的计算机,用户利用这些计算机和域中的账户,就可以登录到域,成为域中的客户端。域用户账号通过域的安全验证后,即可访问网络中的各种资源,服务器的角色可以改变,例如服务器在删除活动目录时,如果是域中最后一个域控制器,则使该服务器成为独立服务器,如果不是域中唯一的域控制器,则将使该服务器成为成员服务器。同时独立服务器既可以转换为域控制器,也可以加入到某个域成为成员服务器。计算机网络与配置项目化教程项目实施五、活动目录的安装安装首个域与部署首个活动目录组织单位(OU)的创建与管理域用户的创建与管理域用户属性管理与设置域用户配置文件计算机网络与配置项目化教程项目实施五、登录到域从客户机登录到域需经过两个步骤:(1)以计算机管理员的身份登录本机,设置客户端,将客户机加入到域中。(2)重启客户机,登录至域中。计算机网络与配置项目化教程项目实训1.实训目标(1)熟悉Server2008域控制器,掌握域的规划、创建与使用。理解域环境中计算机四种不同的类型。(2)掌握子域的规划、创建与使用,熟悉额外域控制器以及子域的安装。(3)掌握确认域控制器安装成功的方法。(4)熟悉创建域之间的信任关系。计算机网络与配置项目化教程项目实训2.实训环境(1)硬件要求计算机配置:处理器CPU工作频率2GHz或以上,双核,内存2GBRAM以上,硬盘空间80GB以上,光盘驱动器DVD-ROM,标准键盘、鼠标。(2)网络环境:100M或1000M以太网络,包含交换机(或集线器)、超五类网络线等网络设备、附属设施。(3)软件准