配置域控制器

第3章第3章配置域控制器学习目标z了解活动目录及其特性z了解活动目录的逻辑结构和物理结构z掌握活动目录的安装方法z能将客户机加入域中z能降级域控制器课前准备z了解对等网结构的特点z了解活动目录结构中常见的基本概念z服务器的3种不同角色在WindowsServer2003网络中，域是实现客户机/服务器网络模式的基本手段，域控制器包含由域的账户、密码、属于这个域的计算机等信息构成的数据库，它负责对整个Windows域以及域中的所有计算机进行管理。配置域控制器有利于对域中用户的集中配置管理，为网络共享资源提供安全保障。因此，配置域控制器是WindowsServer2003服务器安全配置的重要内容。3.1认识ActiveDirectory活动目录（ActiveDirectory，AD）是Windows平台的核心组件之一，AD服务为用户管理网络环境的各个组成要素的标志和关系提供了一种方法。通过以Windows2000Server操作系统为基础进行扩展，WindowsServer2003改进了ActiveDirectory的易管理性，并且简化了迁移和部署工作的复杂程度。3.1.1ActiveDirectory简介WindowsServer2003域控制器的功能与ActiveDirectory密切相关。ActiveDirectory是一种可以保存网络对象信息的目录服务，是WindowsServer2003的重要功能之一。使用Active章章章第3章配置域控制器46Directory可以将网络中的各种资源，如用户、组、计算机、打印机、共享等资源组织起来，进行集中管理，以方便用户对网络资源的搜索和使用。对于Windows网络来说，规模越大，需要管理的资源越多，建立ActiveDirectory目录服务也就越有必要。ActiveDirectory提供了一种组织方式，它简化了计算机网络系统中资源的访问。作为一种增强性目录服务，它具有下列功能：①数据存储，也称为目录，它存储着与ActiveDirectory对象有关的信息。这些对象包括共享资源，如服务器、文件、打印机、网络用户和计算机账户等。②包含目录中每个对象信息的全局编录。它允许用户和管理员查找目录信息，而与目录中实际包含数据的域无关。③查询和索引机制的建立，可以使网络用户或应用程序发布并查找这些对象及其属性。④通过网络分发目录数据的复制服务。对目录数据所做的任何更改都被复制到域中的所有域控制器中。⑤与网络安全登录过程的安全子系统的集成，以及对目录数据查询和数据修改的访问控制。⑥提供安全策略的存储和应用范围，支持组策略来实现网络用户和计算机的集中配置和管理。ActiveDirectory管理工具简化了目录服务的管理。可使用标准工具或使用Microsoft管理控制台来创建专门执行单项管理任务的自定义工具。在WindowsServer2003域控制器上可直接使用的管理工具有以下3种：①ActiveDirectory用户和计算机。②ActiveDirectory域和信任。③ActiveDirectory站点和服务。3.1.2ActiveDirectory结构ActiveDirectory的目录服务建立在域的基础上，由域控制器对网络中的资源实行集中管理和控制，目录信息存储在域控制器上的ActiveDirectory数据库中。ActiveDirectory以域为基础，具有伸缩性，包含一个或多个域，每个域具有一个或多个域控制器，可调整目录的规模以满足任何网络的需要。ActiveDirectory的结构主要是指网络中所有用户、计算机以及其他网络资源的层次关系。通常将活动目录的结构分为逻辑结构和物理结构。1．ActiveDirectory的逻辑结构ActiveDirectory的逻辑结构主要侧重于网络的管理，管理的内容包括域、组织单位、域树、域林等。（1）域。域（Domain）既是WindowsServer2003网络系统的逻辑组织单位，也是Internet的逻辑组织单位。在ActiveDirectory中，每个DNS的域名标识为一个域，每个域由一个或多个域控制器管理。例如域名为“jy.com”的域，必须要有一个具有域控制器功能的服务器。使用域账户可以登录本域中的任何主机，可以访问本域中的所有授权资源，本域中的系统管理员3.1认识ActiveDirectory章章章47可以通过委派授权域账户来提高系统的安全性，便于账户集中管理。域是网络中的一个逻辑单位，域分为根域和子域，在根域基础上创建的域称为根域的子域。WindowsServer2003创建的第一个域称为根域，是域树中所有其他域的根域，例如163.com或sohu.com这样的域为根域。域与DNS的域层级有紧密的关系，并与其相似。（2）组织单位。组织单位（OrganizationUnit，OU）是包含在域中非常有用的目录对象类型。组织单位可将用户、组、计算机和其他单元放入ActiveDirectory的容器中，组织单位不能包括来自其他域的对象。组织单位是可以指派组策略设置或委派管理权限的最小作用单位。组织单位可在代表逻辑层次结构的域中创建容器，这样就可以根据组织模型管理账户、资源的配置和使用，可使用组织单位创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单位或对单个组织单位的管理权限，组织单位的管理员不需要具有域中任何其他组织单位的管理权。图3-1所示为某域控制器下包含的组织单位，组织单位中可包含其他的组织单位。由于组织单位层次结构局限于域的内部，所以一个域中的组织单位层次结构与另一个域中的组织单位层次结构完全独立。（3）域树。域树是WindowsServer2003域的集合。子域与其根域相关联构成了域树。域树的外观类似于倒置的树（根域位于顶部），分支（子域）在下方展开。例如，某单位有一个名为jy.com的DNS域，并且内部有多个部门，这种情况下，域树的构成如图3-2所示。最上层的域名为jy.com，是这个域树的根域，下面的两个域pjy.jy.com和zjy.jy.com是jy.com域的子域，这3个域共同构成了域树。图3-1组织单位图3-2域树域树中的域通过双向可传递信任关系连接在一起。由于这些信任关系是双向的而且是可传递的，因此在域树中新创建的域可以立即与域树中每个其他的域建立信任关系。这些信任关系允许单一登录过程，在域树中的所有域上对用户进行身份验证，但这不一定意味着经过身份验章章章第3章配置域控制器48证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限，所以必须在每个域的基础上为用户指派相应的权利和权限。（4）域林。域林是由一个或多个没有形成连续名称空间的域树组成，如图3-3所示，它与域树最明显的区别就在于这些域树之间没有形成连续的名称空间，而域树则是由一些具有连续名称空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos信任关系建立起来，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。域林都有根域，域林的根域是域林中创建的第一个域，域林中所有域树的根域与域林的根域建立可传递的信任关系。图3-3域林多个域可合并为域树，多个域树可合并为域林。ActiveDirectory是一个典型的树状结构，按自上而下的顺序，依次为林→树→域→组织单位。而在实际应用中，通常是按自下而上的方法来设计ActiveDirectory结构的。2．ActiveDirectory的物理结构ActiveDirectory的逻辑结构侧重于网络资源的管理，而物理结构则侧重于网络的配置和优化。ActiveDirectory的物理结构主要注重ActiveDirectory信息的复制和用户登录网络时的性能优化。ActiveDirectory物理结构的两个重要概念是站点和域控制器。（1）站点。站点可以看作是一个或多个IP子网中的一组计算机。同一站点中的计算机需要很好的连接，尤其是子网内的计算机。如果站点包括多个子网，由于相同原因那些子网也需具有良好的网络连接。站点与域不同，站点反映网络的物理结构，而域通常反映整个单位的逻辑结构。逻辑结构和物理结构既相互独立，又可能相互交叉。ActiveDirectory允许单个站点中有多个域，单个域中有多个站点。ActiveDirectory站点的主要作用是使ActiveDirectory适应复杂的网络连接环境，一般只有在有多种网络连接的网络环境（如广域网）中才规划站点。图3-4表示出了站点和域的关系。在WindowsServer2003中可使用“ActiveDirectory站点和服务”来定义站点和站点连接。（2）域控制器。域控制器（DomainController，DC）是指运行Windows2000Server的服务器，它保存了ActiveDirectory信息的副本。域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其他域控制器上，使各域控制器上的目录信息处于同步。域控制器也负责用户的登录过程以及其他与域有关的操作，如身份鉴定、目录信息查找等。一个域可以有多个域控3.2安装ActiveDirectory章章章49制器，规模较小的域可以只需要两个域控制器：一个实际使用；另一个用于容错性检查。规模较大的域可以使用多个域控制器。图3-4站点和域域控制器使用“ActiveDirectory安装向导”创建。在网络中创建第一个域控制器的同时，也创建了第一个域、第一个林和第一个站点，并安装了ActiveDirectory。在WindowsServer2003中，域中所有的域控制器都是平等的关系，而不再区分主域控制器和备份域控制器。ActiveDirectory采用多种复制方式。WindowsServer2003在复制时会自动比较ActiveDirectory的版本，并用新版本覆盖旧版本。当计算机连入网络时，域控制器首先要鉴别这台计算机是否属于这个域、用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台计算机登录。不能登录就意味着用户不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享的资源，这样就在一定程度上保护了网络上的资源。3.2安装ActiveDirectory安装ActiveDirectory目录服务的关键是安装和配置域控制器，前提是做好ActiveDirectory的规划。3.2.1规划ActiveDirectory规划ActiveDirectory，主要是规划DNS名称空间和域结构，必要时还要规划组织单位或ActiveDirectory站点。ActiveDirectory需要先规划名称空间。ActiveDirectory域使用DNS名称来命名。选择DNS名称用于ActiveDirectory域时通常使用现有域名，以企业保留在Internet上使用的已注册DNS域名后缀开始，并将该名称和企业中使用的地理名称或部门名称结合起来，组成ActiveDirectory域的全名。企业可将内部名称空间与外部名称空间保持一致。选择域结构的总原则是应尽可能减少域的数量，建议企业网应尽可能使用单一域结构，以简化管理工作。组织单位的规划很重要，在域内可依据多种标准划分组织单位。如果各个分支章章章第3章配置域控制器50机构或部门有大量的对象，或者分支机构或部门相对分散独立，或者企业网络分成几个独立部分，就可以考虑创建多个域。对于多域的情况，又有两种选择：域树或域林。一般来说，分支机构或部门使用相同的顶层DNS名称空间，层次结构清晰，可创建域树来包含多个域；如果使用不同的顶层DNS名称空间，可创建域林来包括多个域树和域。适当建立站点可以优化复制效率并减少网络的管理开销。站点的数量取决于网络的物理设计和网络连接的带宽。多数情况下只需一个AD站点，如一个包含单个子网的局域网，或者以高速主干线连接的多个子网。如果网络分布在多个地理位置并通过广域网连接，应当为每个地理位置建立单独的站点