目錄
工作組
工作組的通路
工作組的優缺點
域
域結構
域的原理
部署域架構
如何加入域
域中主機的登入
SRV出錯及解決辦法
SRV記錄注冊不成功的可能原因
禁用域中的賬戶
将計算機退出域
工作組
工作組是區域網路中的一個概念,它是最常見的資源管理模式,簡單是因為預設情況下計算機都是采用工作組方式進行資源管理的。将不同的電腦按功能分别列入不同的組中,以友善管理。預設情況下所有計算機都處在名為 WORKGROUP 的工作組中,工作組資源管理模式适合于網絡中計算機不多,對管理要求不嚴格的情況。它的建立步驟簡單,使用起來也很好上手。大部分中小公司都采取工作組的方式對資源進行權限配置設定和目錄共享。相同組中的不同使用者通過對方主機的使用者名和密碼可以檢視對方共享的檔案夾,預設共享的是 Users 目錄。
工作組的通路
檔案夾-->網絡,就可以檢視到我們工作組中的其他計算機了,當你要通路某台計算機時,點選它,然後輸入該主機的使用者名和密碼即可看到該主機共享的檔案夾。
工作組的優缺點
優點:在一個網絡内,可能有上百台電腦,如果這些電腦不進行分組,都列在“網路上的芳鄰”中,電腦無規則的排列為我們通路資源帶來不友善。為了解決這一問題,Windows98作業系統之後就引用了“工作組”這個概念,将不同的電腦按功能分别列入不同的組中,如軟體部的電腦都列入“軟體部”工作組中,網絡部的電腦都列入“網絡部”工作組中。你要通路某個部門的資源,就在“網路上的芳鄰”裡找到那個部門的工作組名,輕按兩下就可以看到那個部門的電腦了。計算機通過工作組進行分類,使得我們通路資源更加具有階層化。工作組情況下資源可以相當随機和靈活的分布,更友善資源共享,管理者隻需要實施相當低級的維護。
缺點:缺乏集中管理與控制的機制,沒有集中的統一帳戶管理,沒有對資源實施更加高效率的集中管理,沒有實施工作站的有效配置和安全性嚴密控制。隻适合小規模使用者的使用。
基于以上缺點,當計算機數量比較多,大型企業中網絡規模大,需要統一的管理和集中的身份驗證,并且能夠給使用者提供友善的搜尋和使用網絡資源的方式,工作組的組織形式就不合适了,于是域就出現了
域
域:用來描述一種架構,和“工作組”相對應,由工作組更新而來的進階架構
活動目錄AD(Active Directory): 活動目錄的核心包含活動目錄資料庫,在活動目錄資料庫中包含了域中所有的對象(使用者,計算機,組……)
- Builtin容器: Builtin容器是Active Driectory預設建立的第一個容器,主要用于儲存域中本地安全組。
- Computers容器: Computers容器是Active Driectory預設建立的第2個容器,用于存放Windows Server 2008域内所有成員計算機的計算機賬号。
- Domain Controllers容器: Domain Controllers是一個特殊的容器,主要用于儲存目前域控制器下建立的所有子域和輔助域。
- Users容器:Users容器主要用于儲存安裝Active Driectory時系統自動建立的使用者和登入到目前域控制器的所有使用者賬戶。
域控DC(Domain Control): 在域架構中用來管理所有用戶端的伺服器,是域架構的核心,每個域控制器上都包含了AD活動目錄資料庫
域的功能和特點:
- 集中管理,可以集中地管理企業中成千上萬分布于異地的計算機和使用者
- 便捷的資源通路,能夠很容易地定位到域中的資源。 使用者依次登入就可以通路整個網絡資源,集中地身份驗證
- 可擴充性,既可以适用于幾十台計算機的小規模網絡,也可以用于跨國公司
DNS在域環境中的作用(SRV):
- 域控伺服器要求DNS伺服器按名稱查找計算機、成員伺服器和網絡服務。
- 域名解析: DNS伺服器通過其A記錄将域名解析成IP位址
- 定位活動目錄服務:客戶機通過DNS伺服器上的 SRV服務記錄定位提供某一個服務的計算機
SRV服務記錄是DNS伺服器的資料庫中支援的一種資源記錄的類型,它記錄了哪台計算機提供了哪個服務這麼一個簡單的資訊。
SRV服務記錄:一般是為Microsoft的活動目錄AD設定的應用。DNS可以獨立于活動目錄,但是活動目錄必須有DNS的幫助才能工作。為了活動目錄能夠正常的工作,DNS伺服器必須支援服務定位(SRV)資源記錄,資源記錄把服務名字映射為提供服務的伺服器名字。域主機和域控制器使用SRV資源記錄決定域控制器的IP位址。
工作組和域的差別:
工作組是對等網絡,域是B/S架構,集中式管理
域結構
單域:網絡中隻建立了一個域
域樹:具有連續的名稱空間的多個域,樹形結構
域林: 由一個或多個沒有形成連續名稱空間的域樹組成,林中每個域樹都有唯一的名稱空間,之間不連續
域的原理
其實可以把域和工作組聯系起來了解,在工作組上你一切的設定比如在本機上進行各種政策,使用者登入都是登入在本機的,密碼是放在本機的資料庫來驗證的。而如果你的計算機加入域的話,各種政策是域控制器統一設定,使用者名和密碼也是放到域控制器去驗證,也就是說你的賬号密碼可以在同一域的任何一台計算機登入。
如果說工作組是“免費的旅店”,那麼域(Domain)就是“星級的飯店”;工作組可以随便出出進進,而域則需要嚴格控制。“域”的真正含義指的是伺服器控制網絡上的計算機能否加入計算機組合。一提到組合,勢必需要嚴格的控制。是以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下,任何一台電腦隻要接入網絡,其他機器就都可以通路共享資源,如共享檔案夾等。盡管對等網絡上的共享檔案可以加通路密碼,但是非常容易被破解。在由Windows 9x構成的對等網中,資料的傳輸是非常不安全的。
不過在“域”模式下,至少有一台伺服器負責每一台聯入網絡的電腦和使用者的驗證工作,相當于一個機關的門衛一樣,稱為域控制器(Domain Controller,簡寫為DC)。
域控制器中包含了這個域的賬戶、密碼、屬于這個域的計算機等資訊構成的資料庫。當電腦聯入網絡時,域控制器首先要鑒别這台電腦是否屬于這個域,使用的登入賬号是否存在、密碼是否正确。如果以上資訊有一樣不正确,那麼域控制器就會拒絕這個使用者從這台電腦登入。不能登入,使用者就不能通路伺服器上有權限保護的資源,他隻能以對等網使用者的方式通路Windows共享出來的資源,這樣就在一定程度上保護了網絡上的資源。
要把一台電腦加入域,僅僅使它和伺服器在網路上的芳鄰中能夠互相“看”到是遠遠不夠的,必須要由網絡管理者進行相應的設定,把這台電腦加入到域中。這樣才能實作檔案的共享,集中統一,便于管理
部署域架構
在域架構中,最核心的就是DC(Domain Control,域控制器),建立域首先要建立DC,DC建立完成後,把所有的用戶端加入到DC,這樣就形成了域環境。 域控制器是由工作組計算機更新而成,通過 dcpromo 指令就可以完成更新。 隻有Windows Server(WEB版本除外)才可以提升為域控制器。 在更新DC之前不需要安裝DNS服務,域控制器上必須要有NTFS檔案系統的分區
首先,域控制器需要固定的ip位址以及DNS伺服器為自己,如下
WIN+R ,打開運作框,輸入:dcpromo
然後它會自動檢查DNS的配置,需要會時間。如果你主機原來沒有安裝DNS的話,它會自動幫你勾選上DNS,然後你點選下一步就可以,這時會彈出無法建立DNS伺服器的委派,你不用管它,直接點選 是 即可。
然後這裡會顯示那些檔案的位置,因為SYSVOL檔案必須得在NTFS檔案系統的磁盤上,是以域控伺服器必須得有NTFS檔案系統的分區。
然後填目錄還原模式的Administrator密碼,下一步
然後需要重新啟動計算機以完成配置。
重新啟動後,我們檢查下面這些是否正确
- 檢查活動目錄是否正常安裝
- 檢查DNS服務域控制器注冊的SRV記錄
注:在計算機成為域控後,該主機上之前的賬号将全部變為域賬号,這些賬号将不能以本地登入方式登入。成為域控之後建立的使用者,必須滿足密碼規則。如果成為域控後建立的使用者不屬于administrators組,則這些使用者可以登入除域控外的其他域内主機。域控隻允許administrators組内的使用者以域身份登入,域控不能以本地身份登入。
如何加入域
如果想讓主機加入域中,首先将主機的DNS指向域控伺服器的ip,并且確定兩者之間能通。
然後将主機的域名修改為域對應的名字,确定
然後會叫你輸入域内的使用者名,administrator 和 域内普通使用者名 都可。
域中主機的登入
如果你是想以本地的使用者登入,主機名\使用者名 ,該方式是通過SAM來進行NTLM認證的。傳送門——> Windows本地認證
如果你是以域中的使用者登入,域名\使用者名 (域名部分不用加.com) 或者 使用者名@域名,該方式是通過Kerberos協定進行認證的,傳送門——> Kerberos認證方式
在域控上,使用 dsquery computer
注:域控上的所有使用者均可以登入域中的任意一台主機(域控除外,預設情況下域控隻允許域内的Administrator使用者才能登陸),而域中的普通主機上的使用者隻能以本地身份登入該主機。
SRV出錯及解決辦法
但是由于某種原因,裝完活動目錄後發現DNS上正向區域的SRV記錄不全或者沒有,需要采取以下措施,強制讓域控制器向DNS注冊SRV記錄。
删除DNS伺服器上的正向解析。然後 管理工具→DNS→正向查找區域→右鍵,建立 _msdcs.xie.com 和 xie.com 的區域
然後重新開機netlogon服務 停止服務指令:net stop netlogon 啟動服務指令:net start netlogon
SRV記錄注冊不成功的可能原因
- DNS區域名稱是否正确,是否允許安全更新
- 確定域控制器全名已經包含了活動目錄的名字
- 確定域控制器的TCP/IP屬性已經選中“在DNS中注冊此連結的位址”
禁用域中的賬戶
加入到域的計算機,如果不打算讓使用者在該計算機上使用域使用者登入,可以禁用計算機賬戶。但是這樣隻會禁止域控伺服器在成為域控伺服器之後建立的使用者,之前建立的使用者不受影響
将計算機退出域
計算機要麼是工作組計算機,要麼是域中的計算機,不能同時屬于域和工作組,如果将計算機加入到工作組,計算機将自動從域中退出。退出時需要輸入域管理者賬号和密碼。