搜索
第01部分部署ADDS部署ADDS为什么需要域如果资源分布在多台服务器上,要在每台服务器分别为每一员工建立一个账户(共M*N),用户则需要在每台服务器上(共M台)登录域的好处服务器和用户的计算机都在同一个域中,用户在域中只要拥有一个账号用户只需要在域中拥有一个域账户,只需要在域中登录一次就可以访问域中的资源了。本章重点部署ADDS计算机在域内和域外的角色将独立服务器加入域将WindowsXP加入域退出域和DC降级林与域功能级别部署ADDS建立第1个域具体来说,建立第1个域就是要建立第1部域控制器(DomainController,以下简称为DC)而建立DC的第1个动作就是执行Dcpromo.exe--但是必须具有系统管理员权限才能执行此程序,因此务必先以具有系统管理员权限的用户帐户登入。建立第一部DC以下的示范步骤,系假设目前的网络无任何域,所要建立的是整个网络的第一个域--又称为根域(RootDomain)。『新增角色』并未建立DC安装WindowsServer2008后,启动时预设会自动开启初始化设定工作视窗,虽然可以在此窗口中点选新增角色,接着选取安装ActiveDirectory域服务,以使该计算机扮演DC角色。然而,这种作法并未真正建立DC,到了最后一个画面还是要求必须执行Dcpromo.exe,如下图。『新增角色』并未建立DC所以我们建议无须使用新增角色功能,干脆直接执行Dcpromo.exe吧!执行Dcpromo.exe请按开始钮,输入dcpromo、按Enter键:执行Dcpromo.exe之后按完成钮,再按立即重新启动钮。重新启动后若要确认此计算机是否已经是DC,从『开始/系统管理工具』菜单是否出现关于ActiveDirectory的命令即可得知:执行Dcpromo.exe先前在第6步骤所设的密码,系使用于当AD数据库毁损时,可在开机启动WindowsServer2008之前按F8键,进入目录服务还原模式,重建AD数据库。由于此重建动作会改变既有的AD资料,为防止滥用,因此必须以密码保护,而且此密码不必和域系统管理员的密码相同。域中的计算机除了域控制器之外,域中的计算机还可区分成以下两类:成员服务器(MemberServer)工作站(Workstation)成员服务器安装WindowsServer2008、WindowsServer2003/2003R2、Windows2000Server等系统,加入了域、但不是DC的计算机。或是安装WindowsNTServer系统,且加入域的电脑,都算是成员服务器。由于这些服务器都是域的成员,所以审核使用者身份的工作,都交由DC执行,使用者只要通过DC的身份验证,即可依据设定的权限来使用服务器所提供的服务。换言之,成员服务器都信任DC的身分验证。最好停用成员服务器的本机账户虽然加入了域,但是成员服务器上仍保留本机的帐户数据库,因此使用者仍可利用这些本机帐户,登入该服务器。对域的安全管理而言,这些本机账户可能会是漏洞,所以我们建议停用成员服务器的本机帐户,强迫使用者一律以域账户登入。工作站所有安装以下操作系统,而且加入域的计算机都算是工作站:WindowsNTWorkstationWindows2000ProfessionalWindowsXPProfessionalWindows7/vista商用入门版、商用进阶版和旗舰版工作站使用者可利用这些工作站登入域,存取域中的资源、执行应用程序等等,但是WindowsServer2008的某些新功能,必须搭配Windows7的工作站才能发挥效果。而工作站本身仍然保留了本机帐户的数据库,使用者利用本机账户登入工作站时,只能使用本机(该工作站)的资源,但无法存取域上的资源。域外的计算机首选,应该要知道哪些计算机不能加入AD域?执行Linux、Unix等等非Windows系统的电脑,理所当然地不能加入AD域。此外,Windows95/98/Me、WindowsXP家庭版、Windows7家庭入门版、Windows7家庭进阶版,也都没有加入域的功能。独立服务器简单地说,未加入域的服务器就是『独立服务器』--无论安装的是Windows或非Windows的服务器操作系统。它一旦加入域后,角色即转换为『成员服务器』。相反地,『成员服务器』如果退出域,则又成为『独立服务器』。如果在『独立服务器』上执行Dcpromo.exe,则可升级为DC。独立服务器客户端计算机无论是执行何种操作系统,只要未加入域,而且不是独立服务器的电脑,都可以归为此类。使用者虽然不能用它们登入域,但仍可利用域帐户,透过这些计算机存取域资源。将独立服务器加入域建立域之后,通常会优先将网络上的独立服务器加入域,以便集中管理。以下示范将WindowsServer2008独立服务器加入域的步骤(此步骤亦适用于Windows7)。1.修改『首选DNS服务器』的设定加入域的先决条件是要能够连结到该域的DC,而要连到DC就必须先设定正确的DNS服务器地址。先前建立DC的时候,其实已经将该域的DNS服务器和DC安装在一起了。换言之,域里的DC和DNS服务器实为同一部电脑,所以应该将独立服务器上的首选DNS服务器,设为DC的IP地址。2.修改『成员隶属』的设定请按开始钮,在电脑项目上按右钮、执行『内容』命令:修改『成员隶属』的设定加入域后的电脑,其名称预设会出现在DC的ActiveDirectory使用者和电脑窗口的Computers容器中:退出域和DC降级先前已经介绍了升级为DC和加入域的方法,这一节将继续说明退出域和DC降级的方法。退出域加入工作组DC降级运行dcpromo林与域功能级别先前在升级为DC的过程,曾遇到选择『林功能级别』(ForestFunctionalLevel)和『域功能级别』(DomainFunctionalLevel)的交谈窗,当时都暂时采用默认值。WindowsServer2008提供的林功能级别『Windows2000』、『WindowsServer2003』和『WindowsServer2008』域功能级别『Windows2000原生』、『WindowsServer2003』和『WindowsServer2008』功能级别的种类与高低愈新的操作系统代表愈高的功能级别,因此WindowsServer2008的等级最高;WindowsServer2003次之;Windows2000(原生)的等级最低。在选择林和域功能级别时,要注意域功能级别不能低于林功能级别。假设林功能级别为『WindowsServer2003』,则域功能级别就只有『WindowsServer2003』和『WindowsSerer2008』可选。不同功能级别的影响选择不同的功能级别,对于林或域会造成以下的影响:哪些DC可以加入林或域:虽然都是DC,但是所执行的操作系统可能是Windows2000、Windows2003或Windows2008,因此在不同的功能级别会限制某些DC不能加入林或域。林或域支持哪些功能:在不同的功能级别,林或域所支持的功能也有差异。功能级别愈高,所支持的功能愈多。林功能差异不同林功能级别的主要功能差异如下表:域功能差异不同域功能级别的限制条件与功能差异如下表:变更域/林功能级别请以隶属于DomainAdmin群组的使用者账户登入,而后执行『开始/系统管理工具/ActiveDirectory域及信任』命令,并如下操作:变更功能级别时的注意事项Functionallevels:•DeterminetheADDSfeaturesavailableinadomainorforest•RestrictwhichWindowsServeroperatingsystemscanberunondomaincontrollersinthedomainorforestSupportedDomainControllerOperatingSystemsWindows2000Windows2000nativeWindowsServer2003WindowsServer2003WindowsServer2008WindowsServer2008ForestsDomain•WindowsServer2008•WindowsServer2003•Windows2000•WindowsServer2008•WindowsServer2003•WindowsServer2008Supportedfunctionallevels:demo实验1-1WindowsServer2008之ADDS活动目录详细部署步骤第01部分AD对象AD对象内容Kerberos概念KerberosV5工作原理Ticket的安全传递启用KerberosV5身份验证目录服务的基本观念目录的架构X.500和LDAPLDAP对象名称AD对象的特性引言Kerberos最初是MIT(麻省理工学院)为Athena项目开发的,是TCP/IP网络设计的可信任的第三方认证协议Kerberos提供了一种在开放式网络环境下进行身份认证的方法,并允许个人访问网络中不同的机器,它使网络上的用户可以相互证明自己的身份Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”引言Kerberos采用对称密钥体制(采用DES,也可用其它算法代替)对信息进行加密基本思想是:由于Kerberos是基于对称密码体制,它与网络上的每个实体分别共享一个不同密钥,能正确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访问许可证(ticket)Kerberos概述网络上的Kerberos服务器起着可信仲裁者的作用,可提供安全的网络鉴别,允许个人访问网络中不同的机器。基于对称密码学,与网络上的每个实体分别共享一个不同的秘密密钥,是否知道该秘密密钥便是身份的证明。主要包括以下几个部分:客户机(client)服务器(server)认证服务器(AS)票据授予服务器(ticket-grantingserver,TGS)KerberosV5工作原理概述域认证和资源访问认证服务器(AS)票据授予服务器(TGS)2、KDC为此客户颁发一个特别的票证授予式票证(TGT)1、使用密码或智能卡向KDC进行身份验证3、客户端系统使用TGT访问票证授予服务(TGS)4、TGS接着向客户颁发服务票证5、客户向请求的网络服务出示服务票证。服务票证向此服务证明用户的身份,同时也向该用户证明服务的身份Kerberos客户端应用服务器密钥分发中心(KDC)Ticket的安全传递概括起来说Kerberos协议主要做了两件事1、Ticket的安全传递。2、SessionKey的安全发布。目录服务的基本观念何谓目录目录与数据库的差异何谓目录服务计算机网络为何需要目录服务何谓目录其实目录早已存在日常生活中,例如电话簿可用来查询用户的电话号码、姓名与地址,就是一种目录。而计算机的文件系统记录了文件夹与档案的名称、建立日期、修改日期、储存位置等等从以上的例子可知,目录是用来记载特定环境中、一群对象的相关信息。在此所谓的对象,泛指环境中的各种独立个体-包括人、事、物。目录与数据库的差异目录与数据库都是用来储存资料,两者的确很相似。不过,深入比较其细节,就会发现通常有以下两点差异:目录强调查询,数据库重视异动。目录对于查询动作做过优化,因此查询的速度很快,适合处理变动少、查询多的数据。数据库则是重视异动(Transcation),适合处理变动较多的数据。目录以树状架构为主,数据库以关系型数据表为主。目录的架构目录的架构是指在目录中储存对象的方式,明白这方面的知识,有助于未来的维护和设计工作。目录树对象的属性目录树若目录中的对象是以『阶层式树状架构』来组织,则该架构称为『目录树』(DirectoryTree),包含以下两类的对象:容器对象(ContainerObject):这类对象的下层可再存放其他对象。位于整个目录树顶端的容器