<b></b>
<b> </b><b>域和活動目錄(上)</b>
<b> win2003</b><b>支援的網絡結構</b>
<b> 1</b><b>、工作組結構圖的網絡(對等式網絡)</b>
網絡上沒有專門的伺服器,沒有集中的資料庫所有的資源分散在不同的計算機
網絡上的計算機都由本機的本地使用者安全資料庫稽核。
<b>2</b><b>、</b><b> </b><b>域結構的網絡</b>
域是管理者定義的一組對象的集合(計算機、使用者群組),域是一個安全邊界,是由網絡上的計算機組成,域中的資源存放在集中資料庫内,便于使用者的查找和使用,便于管理者的管理。
● <b>域中計算機的角色</b>
<b>1. </b><b>域控制器</b>
1) 在win2000域内,隻有win2000 server 才可做域控制器;win2003内隻有WEB版不可以做DC;
2) DC記憶體儲了該域的AD資料庫,它負責稽核域使用者的登入、域中資源的管理等;
3) 域内可以有多台域控制器,它們的地位是平等的;
4) 多台DC之間按照一定的頻率互相複制資料庫保持同步(即保持地位平等);
5) NT域内也有多台域控制器,但隻能有一台PDC管理域,其餘為BDC
<b>注:</b>額外域控制器的輔助功能:
1) 容錯功能;
2) 互相減輕負擔;
3) 提高使用者的通路效率。
<b>2. </b><b>成員伺服器</b>
1)具有伺服器版本的作業系統;
2)屬于某個域中;
3)沒有存儲AD資料庫的稱為成員伺服器。
<b>注:伺服器級的作業系統:</b>
windows NT伺服器作業系統
win2000server以上版本
win2003所有版本
<b>3. </b><b>其它成員</b>
1) 本身加入某個域中
2) 是非伺服器版本的作業系統
例如:win2000 pro、win99、winNT workstation 等
注:獨立伺服器
1)本身是伺服器版本作業系統;
2)不屬于任何域的計算機。
<b>活動目錄地相關概念(一)</b>
活動目錄是微軟目錄服務的一種機制,它是用來存儲網絡上的使用者賬戶、計算機、列印機等資源資訊,友善使用者的查找和使用。 活動目錄指的是使用者在使用資源時不需要了解該資源存放在哪台計算機上和哪台計算機上有哪些資源!
<b>1、 </b><b>名稱空間</b>
所謂的名稱空間,實際是劃分好的區域,在該區域可以通過名稱查找到與該名稱相關的資訊。
win2000/2003的AD與DNS緊密地整合在一起,其名稱空間采用的是DNS架構,其域名也采用DNS格式,如:abc.com,xyz.com等!
<b>2、 </b><b>對象及其屬性</b>
Win2003 的AD資料庫将所有資源都當作對象來處理,如使用者、計算機、列印機等都是對象,屬性是用于描述對象資訊提,如使用者對象的電話号碼,電子郵件等。
<b>3、 </b><b>OU|</b><b>組織單元</b>
OU是一種比較特殊的容器,類似于檔案夾,用于存放對象和其他OU,還具有“組政策”的功能。
<b>4、 </b><b>域</b>
域是管理者定義的一組對象的集合(計算機、使用者群組),域是一個安全邊界,是由網絡上的計算機組成,域中的資源存放在集中資料庫内,便于使用者的查找和使用,便于管理者的管理。
<b>5、 </b><b>域樹</b>
是多個域按照一定的層次排列,構成倒置的樹狀結構,且共享一個連續的名稱空間。其中最上層的是這棵域樹的根域,下一層稱為它的子域。
域樹内的所有域共享一個AD,此AD内的資料分散地存儲在各個域内,且每一個域内隻存儲該域内的資料。
<b>6、 </b><b>信任關系</b>
兩個域之間必須建立了“信任關系”之後,才可以通路對方的資源。
<b>1) </b><b>單向信任:</b>如果A域的使用者可以通路B域的資源,但B域的使用者不可以通路A域的資源,稱為單向信任;
2) <b>雙向信任:</b>如果A域的使用者可以通路B域的資源,B域的使用者也可以通路A域的資源,稱雙向信任;
3) <b>可傳遞信任:</b>如果A域信任B域,B域信任C域,則A域也信任C域,則稱此信任具有可傳遞性。而因傳遞得到的信任關系稱為隐性的信任關系。
<b>注:</b>win2003的域樹上,父域和子域之間具備雙向的、可傳遞的信任關系。實際上,同一棵域樹上的任意兩個域之間都是雙向的信任關系。這個信任的功能是通過Kerberos安全協定來實作的,是以也被稱為Kerberos信任。
<b>7、 </b><b>域林</b>
由一個域樹或多個域樹組成,它們各自有着獨立的名稱空間。第一個域樹的根域就是整個樹林的根域,同時其名稱也是這個樹林的名稱。
注:Win2003的域樹林中,同一個樹林内的域樹的根域之間具有雙向的、可傳遞的信任關系。實際上,同一個域林上的任意兩個域之間都是雙向的信任關系。
<b>實踐:</b><b>1</b><b>、建立一個新域的域控制器</b>
<b> </b> 建立一個新域DC時應注意的幾個問題;
1)標明要建立域的計算機,管理者身份登入;
2)設定靜态IP位址;
3)設定DNS伺服器;
4)至少要有一個NTFS檔案系統;
5)适當的空間大小,至少300M;
6)取一個符合DNS結構的域名。
<b> 步驟:</b>
<b> </b>1)開始——運作——輸入dcpromo,啟動AD安裝向導;
1)在“域控制器類型”視窗中,選擇“新域的域控制器”;
2)在“建立一個新域”視窗中,選擇“新林中的域”;
3)在新的域名頁面中,輸入域的完整合法域名;
4)在“NETBIOS”域名 視窗中确認Netbios;
5)在“資料庫和日志檔案檔案夾”視窗,接受資料庫和日志檔案夾的預設位置,或者單擊“浏覽”選擇另一個位置;
6)在“共享的系統卷”視窗中,接受Sysvol檔案夾的位置,或者單擊“浏覽”選擇另外一個位置;
7)在“DNS注冊診斷”視窗,确認是否一個現有的DNS伺服器負責該林,或者如果不存在DNS伺服器,選擇在這台計算機上安裝并配置DNS伺服器;
9)在“權限”視窗中,選擇一個權限選項(取決于将要通路該域控制器的用戶端的
windows 版本);
9)檢查“總結”視窗,如果需要修改某些地方,單擊“上一步”重新配置。如果一切正常,單擊“下一步”開始安裝。所有檔案複制到硬碟驅動器之中,重新啟動計算機。
<b> </b>
<b>2</b><b>、建立額外DC</b><b>、成員伺服器、成員、子域、加入域樹林的準備工作</b>
1) PING DC、DNS的IP位址;
2) PING 域名
A. 能通,可以進一步操作;
B. 不能通,則按以下步驟操作:
C:>net stop netlogon
C:>net start netlogon
C.
釋放緩存:
C:>ipconfig /flushdns
顯示緩存:
C:>ipconfig /displaydns
<b>3</b><b>、建立額外DC</b><b>、成員伺服器、成員、子域、加入域樹林</b>
本文轉自xubenxin 51CTO部落格,原文連結:http://blog.51cto.com/windows/14322,如需轉載請自行聯系原作者
![Windows下配置Apache的SSL服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)