江西广告网
标题:
Windows
[打印本页]
作者:
seomokhyun
时间:
2009-1-2 11:37
标题:
Windows
本文的目的,是作为域和AD的一篇入门文章,使没有安装过域,或刚刚接触域的年轻网管能对域和AD有一个全面的了解,并利用此文入门,将所管理的网络实现一个基于域的管理模式。
一、认识Windows的域
本小节重点从理论上阐述域的概念、作用和Windows中域的产生。 一台Windows计算机,它要么隶属于工作组,要么隶属于域。所以说到域,我们就不得不提一下工作组,工作组是MS的概念,一般的普遍称谓是对等网。工作组通常是一个由不多于10台计算机组成的逻辑集合,如果要管理更多的计算机,MS推荐你使用域的模式进行集中管理,这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能,使你网络管理的工作量达到最小。当然这里的10台只是一个参考值,11台甚至20台,如果你不想进行集中的管理,那么你仍然可以使用工作组模式。 工作组的特点就是实现简单,不需要域控制器DC,每台计算机自己管理自己,适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义,只是在网上邻居的列表中实现一个分组而已;再就是对于“计算机浏览服务”,每一个工作组中,会自动推选出一个主浏览器,负责维护本工作组所有计算机的NetBIOS名称列表。用户可以使用默认的workgroup,也可以任意起个名字,同一工作组或不同工作组在访问时也没有什么分别。 域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,实现起来要复杂一些,至少需要一台计算机安装NT/2000/03 Server版本使其充当DC,来实现集中式的管理。 若考虑到容错的话,至少需要两台。对于NT4域就是一台PDC(具有唯一性),一至多台BDC,对于2000/03域,已经没有PDC和BDC的概念,要容错就需要两至多台DC。 域是逻辑分组,与网络的物理拓扑无关,可以很小,比如只有一台DC;也可以很大,包括遍布世界各地的计算机,比如大型跨国公司网络上的域(当然实际中他们多采用多域结构,还可以利用AD站点来优化AD复制)。 这个“目录服务数据库”,在NT4时,保存用户帐号名称和密码等安全安全信息,以及安全规则设置,又被称作安全帐号管理(SAM)数据库,简称SAM库。在非DC上的本地的SAM库与DC上域所用的SAM库类似,只不过对于NT4域的SAM库文件,保存有整个域的用户和计算机,用“域用户管理器”和“服务器管理器”来管理,本地的SAM库文件,保存有本地机的用户,由“用户管理器”来管理。 从2000开始,MS引入了活动目录AD,DC通过AD来提供目录的服务,例如它负责维护AD数据库、审核用户的账户和密码是否正确、将AD数据库复制到其它的DC等。AD库的核心文件就是winnt\ntds\ntds.dit文件。注意组策略的具体设置值,并不存在这个文件中,而是保存在winnt\sysvol\sysvol这个共享夹下,用于向其它DC复制,传播给域成员,来生效。但需要说明的是:2000/XP/03的非DC域成员计算机上仍使用和NT4一样的SAM库文件来保存本地帐号。 正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源,如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码,用户只需一次登录,即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行),而不需要多次提供用户名和密码登录。
二、构建Windows 2000的域
这个过程简单说就是:选一台2000S/AS计算机,运行AD安装向导,在其上安装活动目录,使其成为DC。然后将其它的计算机加入到这个域。 说明:至于是用2000S,还是用2000AS,对于一般的用户差别不大。2000S支持最多4个CPU,最大4G内存;2000AS支持最多8个CPU,最大内存8G,还支持群集功能。但这些我们一般用户都用不到,所以对于普通用户来说,选择S或AS都是一样的。 1、系统要求 *一台2000S或2000AS独立或成员服务器,2000DS只有OEM版,随厂商硬件发售,平常我们是见不到的。 * 其上必须有一个NTFS 5.0分区,用来保存AD的sysvol文件夹。注意:2000的NTFS分区是NTFS 5.0,NT4的是NTFS 4.0,NT4必须安装SP4后,才可访问2000的NTFS分区。 * 网络上必须有可用的DNS服务器,并且必须支持SRV记录(Service Locaion Resource Record)和动态更新功能。如:MS Win2000S DNS,UNIX的DNS BIND 8.12及以上版本,使用已有的NT4 DNS是不行的。 说明: 构建NT4域并不需要DNS的支持,但2000域必须有DNS,且满足上述要求。 SRV记录的作用是指明域和站点(site)的DC、PDC仿真、GC是谁。动态更新也是2000DNS的新特色,管理员不必再象NT4 DNS那样手动为计算机创建或修改相应记录,在域成员计算机重启,或改名、改IP时依赖周期性更新,自动动态实现。 如果没有DNS服务器的话,也不一定非得预装DNS,可以在安装AD过程中,选择在本机上安装2000 DNS。而且推荐初学者使用这种方法,因为系统会根据你提供的FQDN域名,自动创建好DNS区域(zone),并配置成AD集成区域,仅安全动态更新。如果需要向外连或反向解析,用户只需配置上转发器和反向区域即可,不需要的话,直接就可以用了。 如果决定在安装AD过程中在本机安装DNS,应在安装前,将本机TCP/IP配置/DNS服务器指向自己,这样在安装AD完成后重启时,SRV记录将被自动注册到DNS服务器的区域当中去的,生成四个以下划线开头的文件夹,如_msdcs,03DNS在这里夹的层次结构有所变化,但本质没变。当然如果忘了指,也可以后补上,只不过需要多重启一次。 2、安装步骤、注意事项、常见问题、经验技巧 (1)启动AD安装向导 方法一:开始/程序/管理工具/配置服务器/ Active Directory /启动AD安装向导。 方法二:熟练后一般常用,开始/运行:dcpromo。 (2)安装选项:指定服务器角色 三个界面,实现四种组合: 新域 附加DC 新树 子域 新林 加入林 即: * 新域—新树—新林 * 附加DC * 新域—子域 * 新域—新树—加入林 全新安装:新域—新树—新林,这样来建立第一个域中的第一台DC。 2000的多域模型采用层次结构,不同于NT4域的平面结构,NT4的多个域之间只是通过信任关系关联起来。接下来以下图为例,对2000的域、树、林进行简要说明: ms.com / trainning.mcse.com lotus.com 这整个是一个林,ms.com为林根域,有两个树,一个由ms.com和它的子域trainning.ms.com组成,另一个由lotus.com单独组成,林中有ms.com,trainning.ms.com,lotus.com三个域。相关概念如下: 林根域:在林中第一个建立的域,如:ms.com 树:共用连续的命名空间的多层域,如ms.com和trainning.ms.com 树根域:树最高层的域,名最短。如:ms.com 说明: 2000可采用多层域结构,但最有效、最简便的管理方法仍是单域,所以大家在实际工作中要记住一个原则“能用单域解决,就不用多域”。 再者2000AD是针对大中型网络设计的,而我们一般管理的网络也就几百个节点,属于小型网络,一般来讲用一个单域结构就够用了,不要人为将管理环境复杂化。在实验中,我们甚至可以一个林中只有一个树,一个树中只有一个域,一个域里只有一台DC。 另外前面已经说过了,域是逻辑分组,与网络的物理拓扑无关,不要总试图规划一个子网一个域。当然实际中多个子网一个域,子网中若有95/98/NT老计算机,无法利用DNS直接登录到域,可以安装一台WINS服务器解决问题。将所有计算机,包括WINS服务器本身的TCP/IP配置中的WINS服务器指向此WINS服务器即可。
[1] [2] [3] [4]
但要注意的是:卸载时的出错信息与安装时的“AD无法与域命名主机xxx联系”提示不同,具体是:由于以下原因, 操作失败。以提供的凭据绑定到服务器xxx失败。“RPC服务器不可用”。 (4)卸载的顺序 与安装顺序相反,应该先逐级卸载下面的子域,最后卸载树根域、林根域。否则将导致子域无法卸载,而 存在的子域还有问题。 因为极有可能此时架构和域命名主控及GC未转移,林管理员组和架构管理员组(Schema Admins)已 经随林根域的删除而没有了。为什么这么说呢?因为如果管理员考虑到主控及GC等的转移问题,也就不会误删林根域 了。 五、从NT4域升级到2000域 1、预备知识: NT4域采用单主控复制,DC分为PDC和BDC,BDC存储的只是PDC“目录服务数据库”文件的只读复本。在“服务器 管理器”中可以将一台BDC提升为PDC,原PDC自动降为BDC。 一个域中只能有一台PDC,零到多台BDC以提供容错和分担负荷。但大家不要理解为一个网络中只能有一台PDC, 域是逻辑分组,我们可以在一个子网中建多个域。 2000域开始采用多主控复制,DC不再有PDC和BDC之分,DC间的AD复制是双向的。但2000域中会唯一有一台DC担当 PDC仿真主控,负责充当NT4 BDC的PDC,并为早期版本客户机提供服务。PDC仿真主控还负责管理运行NT、95/98 计算机的密码变化,写入AD。接受密码变化的DC必须通知PDC仿真主控,比如:用户登录时,如密码错误,必先送至P DC仿真主控。因为普通DC不能确认到底是密码错误,还是它没有及时与PDC仿真主控同步。它还负责同步整个域中计 算机的时间。通过以上我们可以知道:在2000域中存在的NT4域控制器,它的身份只能是BDC。 2000域模式分为:混合(mixed)模式和本机(natived)模式。默认为混合模式,如果管理员确认域中所 有DC(注意:这里强调的是DC,2000域本机模式下可以有NT4的成员服务器)都是2000DC,没有NT4的域控制器,可以 手动在“AD用户和计算机中”将域模式更改为本机模式,以充分利用AD的新功能,比如使用“通用组”。 通过以上分析,我们可以知道:如果在2000域中存在NT4域控制器,那么你只能使用2000域混合模式了。 有人可能会想那我就不让它再当域控制器了,但是NT4域的DC和成员服务器之间角色转换必须重装NT4系统,不能象20 00那样利用AD安装向导,方便地进行安装/卸载。 2、原则:由NT4域向2000域升级,第一个被升级的必须是NT4域的PDC。这样才可以把帐号、安全设置、配置等带到20 00域 3、MS推荐策略:由于升级是一个极易出现各种问题的过程,必须考虑备份。再有就是实际操作时,可以先将NT4的BD C提升为PDC,再升级到2000。如果顺利的话,再升级其它BDC。如果不顺利的话,可将原来PDC复原,以此方法来避免 损失。 4、深入讨论:我们可以把前面的问题再深入讨论一下,假设你的域中有NT4的PDC,并且在它上面运行的老程序不允 许你把它升级为2000,但你还想要通过升级NT4域,得到2000域,那么应该怎么办呢?答案很简单,可以先将这台PDC 降为BDC,再将新PDC升级为2000。这样你既得到了2000域,又保留了NT4的BDC。 5、我的推荐原则:在实际工作中,只要能进行2000域的全新安装,就用全新安装。因为NT4升级后得到的2000安全策 略设置等等是继承NT4时的设置,与2000域的默认值有较大出入,以后出问题,不易排错,也不易与其它人交流沟通 、解决问题。 本文基于自己几年来的实践心得,讨论重点放在如何规划和最终实现Windows 2000/03域和活动目录 ,以及此过程中要考虑和解决的各种各样问题。至于如何基于域和AD的优点进行网络管理降低TCO,AD的维护,主控 的管理,将另行撰文专门讨论。
[1] [2] [3] [4]
<
欢迎光临 江西广告网 (http://bbs.jxadw.com/)
Powered by Discuz! X3.2