搜索
WindowsServer2003活动目录基础MVP许震xuz1215@gmail.com主要内容AD体系结构-AD的作用-AD服务的优势-AD的逻辑结构-AD的物理结构AD的工作原理-目录服务-架构-全局编录-可辨别名称和相对可辨别名称DNS和AD-在AD中DNS的角色-AD中的DNS名称解析-AD集成区域(ActiveDirectoryIntegratedZones)AD的复制-AD复制的简介-复制拓扑-使用站点优化复制ActiveDirectory的作用什么是ActiveDirectory?-存储用户、计算机和网络资源的信息,并且使资源可以被用户和应用程序访问-它提供了命名、描述、定位、访问、管理和保护这些资源有关信息的一致途径ActiveDirectory的作用域特点:-对网络资源的集中控制-集中和分散资源管理-在逻辑结构中安全地存储对象-优化网络流量ActiveDirectory服务的优势目录服务功能组织管理控制资源集中式管理中心位置集中管理一次登录访问所有资源ActiveDirectory的逻辑架构域域域域域域OUOUOU域树域林组织单位对象ActiveDirectory的逻辑架构域:ActiveDirectory逻辑结构中的核心功能单位,域提供下列三种功能:-对象的管理边界-管理共享资源安全性的方法-对象的复制单元域树:以层次结构的方式组合到一起的域,子域的名称与其父域名称组合在一起,形成它自身唯一的域名系统林:林是ActiveDirectory的完整实例。其中包含一个或多个树林根域:林中的第一个域ActiveDirectory的物理架构站点域控制器广域网连接站点域控制器广域网连接站点ActiveDirectory的物理架构域控制器:-运行MicrosoftWindowsServer2003(或Windows2000Server)和ActiveDirectory-每台域控制器执行存储和复制功能-一台域控制器只能支持一个域ActiveDirectory站点:-通过建立站点实现网络流量优化,对不同位置的域控制器之间的带宽达到最佳利用灵活单一操作主机角色(FSMO)林根域中的第一台域控制器林范围角色架构主机域命名主机域范围角色PDC模拟器RID主机架构主机域范围角色RID主机PDC模拟器架构主机架构主机复制架构主机架构主机架构主机具有如下作用:-控制架构之上的所有原始更新-包含用来创建所有ActiveDirectory对象的对象属性和类别的主列表-使用架构分区的标准副本把ActiveDirectory更新复制到林中的所有域控制器-只允许SchemaAdmins组的成员修改架构域命名主机控制在林中添加或从林中删除域新域域命名主机域命名主机域命名主机控制林中添加和删除域的操作。每个林中只有一台域命名主机在林中添加新域时,只有担任域命名主机角色的域控制器才能添加新域。域命名主机可防止在林中添加多个域名相同的域PDC模拟器PDC模拟器PDC模拟器客户端运行WindowsNT4.0及更早版本的操作系统客户端计算机运行WindowsXP域控制器WindowsNTBDC指向时间服务器PDC模拟器PDC模拟器具有如下作用:-作为现有BDC的PDC。如果域包含有任何BDC或运行WindowsNT4.0及更早版本的客户机,PDC模拟器的功能和WindowsNTPDC一样。PDC模拟器复制任何运行WindowsNT的BDC之上的目录更改-使运行Windows2000或更高版本的客户机密码在域控制器上修改后,此域控制器会立即把所做修改转发给PDC模拟器。如果因密码错误而在另一台域控制器上登录失败后,在拒绝登录尝试之前,此域控制器将把验证请求转发到PDC模拟器RID主机分配RID防止对象重复RID主机移动RID分配对象SID=域SID+RID删除RIDRID主机“相对ID(RID)主机”是把RID区块分配到域中每一台域控制器的域控制器域控制器无论何时创建新安全主体(如用户、组或计算机对象),都会为此对象分配一个唯一的安全标识符(SID)安全标识符(SID)包含一个域SID(同一个域中每一安全主体都一样)和一个RID(同一个域中每个安全主体都是唯一的)结构主机移动全局组嵌入在域本地组结构主机组成员身份列表GUIDSID新可辨别名称结构主机结构主机是一台域控制器:-负责更新域中那些指向另一个域中对象的对象引用-反映对对象所作的修改,比如在域内或域间移动或删除对象主要内容AD体系结构-AD的作用-AD服务的优势-AD的逻辑结构-AD的物理结构AD的工作原理-目录服务-架构-全局编录-可辨别名称和相对可辨别名称DNS和AD-在AD中DNS的角色-AD中的DNS名称解析-AD集成区域(ActiveDirectoryIntegratedZones)AD的复制-AD复制的简介-复制拓扑-使用站点优化复制DomainOU1ComputersComputer1UsersUser1UsersUser2OU2PrintersPrinter1目录服务目录是组织中人员和资源的结构化信息储备库目录服务基于活动目录实现各种功能KimYoshida属性值名称建筑楼层KimYoshida1171目录服务ActiveDirectory具有下列功能:-使用户和应用程序能够访问对象的相关信息-使物理网络拓扑结构和协议透明化-网络上的用户能够访问任何资源(如打印机),而无需知道资源的位置,也无需知道其与网络的物理连接方式架构能够扩展了林级别对象的定义和属性架构的更改及其停用对象类的范例用户计算机打印机属性例子账户过期日部门操作系统姓名架构架构有两类定义-对象类和属性•对象类(如用户、计算机和打印机)描述了可以创建的目录对象。每个对象类是一组属性值的集合-属性和对象类分开定义•每个属性只需定义一次,就能在多个对象类中使用。例如,“描述”属性在很多对象类中使用,但是在架构中只定义一次,从而能保持其一致性全局编录全局编录是一个信息储备库,其中包含ActiveDirectory的对象的属性的一个子集全局编录只读全局编录全局编录包含:-查询中使用最频繁的属性,如用户的姓、名和登录名-确定目录中对象位置所需的信息-每种对象类型的属性的默认子集-存储在全局编录中对象和属性的访问权限全局编录服务器全局编录所有对象属性的子集域域域域域域查询组成员信息全局编录标识对象所在的域和到达对象的完整路径Contoso.msftFinanceSalesSuzanFineCN=SuzanFine,OU=Sales,OU=Finance,DC=contoso,DC=msft相对可辨别名称可辨别名称和相对可辨别名称可辨别名称和相对可辨别名称CN:-是对象在所在容器内的通用名称OU:-是包含对象的组织单位。如果对象位于嵌套的组织单位中,则可能具有多个OU值DC代表域部分:-如“com”或“msft”;通常至少有两个域部分可辨别名称的域部分以域名系统(DNS)为基础进行命名主要内容AD体系结构-AD的作用-AD服务的优势-AD的逻辑结构-AD的物理结构AD的工作原理-目录服务-架构-全局编录-可辨别名称和相对可辨别名称DNS和AD-在AD中DNS的角色-AD中的DNS名称解析-AD集成区域(ActiveDirectoryIntegratedZones)AD的复制-AD复制的简介-复制拓扑-使用站点优化复制在AD中DNS的角色AD必须要有DNS支持名称解析-DNS将计算机名称翻译成IP地址-在网络中计算机使用DNS来彼此定位保证Windows2003域的命名规则-Windows2003使用DNS命名标准作为命名规则-DNS域和AD域共享一个名称结构层次定位ActiveDirectory的物理结构-DNS通过DC提供的服务来为他们定位-计算机使用DNS来定位域控和全局目录服务器DNS和AD的命名空间microsoft.comsales.microsoft.comtraining.microsoft.comtrainingmicrosoftDNS命名空间ActiveDirectory命名空间=DNS节点(域或计算机)=ActiveDirectory域salescomputer1(DNS根域)“.”com.InternetDNS主机名和Windows2003计算机名称DNS主机记录和AD对象描述同一个物理计算机DNS允许计算机在AD中定位ActiveDirectorytraining.microsoft.comBuiltinComputersComputer1Computer2DNS“.”com.salestrainingcomputer1microsoftFQDN=computer1.training.microsoft.comWindows2003计算机=Computer1AD森林结构和DNS名称空间AD森林结构和DNS名称空间一一对应-但不是和服务器一一对应两者的物理结构可以一样也可以不一样-AD森林结构一定会存在服务器-DNS名称空间不一定存在服务器,多个层级可以由一个服务器负责AD中的DNS名称解析的特定SRV(Service)资源记录SRV记录格式SRV由DC来负责记录计算机如何使用DNS来定位DCSRV(Service)资源记录SRV允许用户来定位DCSRV记录的信息将DNS计算机名称映射到服务Windows2003使用SRV计算机来定位:-特定域或森林中的域控-某一个客户计算机同一个站点中的域控-配置为全局目录服务器的域控-配置为KerberosKDC的服务器DNS服务器使用SRV记录和A记录来定位DCSRV记录格式_ldap._tcp.contoso.msft600INSRV0100389london.contoso.msft.字段说明Service标识服务名称Protocol标识传输协议类型Name指定资源记录引用的域名称Ttl指定标准DNS记录生存时间值Class指定标准DNS记录类型值Priority指定主机前缀Weight指定负载权重Port显示主机服务端口Target指定支持服务的主机的FQDNSRV由DC来负责记录运行Windows2003的DC在_msdcs子区域中记录附加SRV记录,格式如下:_Service._Protocol.DcType._msdcs.DnsDomainNameSRV记录查询ldap._tcp.DnsDomainName.允许计算机找到域中的LDAP服务器_ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName.允许计算机找到同一个站点中的某个DC_gc._tcp.DnsForestName.允许计算机找到GC服务器_gc._tcp.SiteName._sites.DnsForestName.允许计算机找到同一个站点中的某个GC_kerberos._tcp.DnsDomainName.允许计算机找到域中的KDC服务器_kerberos._tcp.SiteName._sites.DnsDomainName.允许计算机找到同一个站点中的某个KDC计算机如何使用DNS来定位DCDNS服务器区域数据库SRV记录客户联系域控6域控回复7运行在DC上的LDAP服务8客户发送请求到域控登录或者在AD中搜索1发送含有客户信息的DNS查询3NetLogon收集客户信息2返回IP地址列表5DNS服务器查询匹配的SRV记录4客户AD集成区域(ActiveDirectoryIntegratedZones)存储在AD中通过AD复制进行DNS区域信息复制提供额外的优点:-避免了传统主DNS服务器的单点失败-实现动态更新的安全性-提供到其他DNS服务器的标准区域传输DNS服务器DomainControllerAD集成区域ActiveDirectory区域数据库安装和配置DNS支持ADAD集成的DNS服务器的要求安装和配置在AD安装过程中安装DNSAD集成的DNS服务器的要求支持AD的DNS服务器的要求支持SRV记录(必须的)支持动