《计算机网络》实验报告
实验序号:实验3 实验项目名称:windows 网络域的实现 学 号 实验地点 一、实验目的及要求 活动目录的基本概念 活动目录的规划与安装 域控制器的管理 用户账户和计算机账户的管理 组和组织单位的管理 资源发布和域的管理 二、实验设备(环境)及要求 两台windows2003服务器 三、实验内容与步骤 2.1 概 述 2.1.1 活动目录简介 2.1.2 活动目录的三种特性 集成性 深入性 易用性 活动目录的逻辑结构 1.域(Domain) 域是活动目录中逻辑结构的核心单元,活动目录包含一个或多个域,每个域 姓 名 指导教师 专业班级 实验时间 专升本4班 均有自己的安全策略以及与其他域的信任关系,因此,域是网络安全管理的边界。也就是说,域内的所有对象均处于一个安全管理单位内,域和域之间的关系是不同安全管理单位之间的关系。 域是复制的单位。每个域均可以有一个或者几个域控制器(Domain Controler)。 所有域控制器可以接收更改信息,并将这些更改的信息复制到域中的其他域控制器中,从而保证同一个域内的所有域控制器中的内容完全一致。 活动目录的逻辑结构 2.域树 根据实际要求,一个网络可能需要包含多个域,这时,可以将网络设置成域目录树的结构(层次结构)。 活动目录的逻辑结构 域树中的第一个域称作根域,相同域树中的其他域为子域,相同域树中上层的域称为子域的父域。如图8.1所示为一棵域目录树,其中根域为beij.com,一级子域为dongch.beij.com和xich.beij.com,下面分别还有两个二级子域。 具有公用根域的所有域构成连续名称空间。由于活动目录的域名采用DNS域名的结构进行命名,所以从图中可以看出,该域目录也符合DNS域名空间的命名策略,它们的名称空间是连续的,即:子域的域名包含其父域的域名,如:子域dongch.beij.com中包含着父域beij.com的域名。 在beij.com这棵目录树中的所有域,共享着一个活动目录,也就是说,一棵域树只有一个活动目录。但是,该活动目录内的数据是分散地存储在各个域内,具体位置是域内的域控制器的目录数据库中,当然,每个域中只存储本域内的数据。 活动目录的逻辑结构 信任关系是两个域之间安全信息的通信连接,也就是说,两个域只有建立了信任关系后,方可访问对方域内的资源。在Windows Server 2003中域的信任关系有以下特点: l 双向性:如果A域信任B域,则B域就信任A域。 l 可传递性:如果A域信任B域,而B域又信任C域,则A域就自动信任C域,那么根据双向性,C域也信任A域,这样A域和C域就自动地建立起双向的信任关系。 活动目录的逻辑结构 因此,当一个域加入到某个域目录树后,它会自动地双向信任当前域目录树的所 有域,这种通过传递性建立起来的双向信任关系,称为隐含的信任关系。如图8.1所设置的一棵域目录树,各个域之间存在着隐含的信任关系。假如,现在建立一个新域new.dongch.beij.com,加入到当前域树中,它会与该域树中的所有域自动建立起双向的信任关系,新域的用户可以访问其他域内的资源(在其权限允许范围内)。 活动目录的逻辑结构 3.域林 域林由多个域目录树构成(而域树可以看成是特殊的域林),每个域树有自己的独立的名称空间,因此,通常域林中的域并不共享连续的名字空间。如图8.2所示的域目林中包含两棵域树:beij.com和tj.com。 创建的第一棵域树的根域就是整个域树的根域,同时该域的域名就是域林的名称。假设图8.2中的第一棵域树为beij.com,那么beij.com域就是域林的名称。 8.1.2活动目录的逻辑结构 域林中所有域树中的根域之间,会自动地建立双向的、可传递的信任关系,因此,域目录林中任何一个域中的用户,都有权限访问其他域目录树中的资源。 服务器的角色 1.域控制器(DC) 域控制器就是存储活动目录的服务器,它负责活动目录数据库的维护、用户身份的验证和活动目录的安全性。 一个域可以有一个或若干个域控制器,通常它们的地位是平等的。在域中,各域控制器相互复制活动目录的更改。例如:某个域有两个域控制器A和B,在域控制器A上创建了一个用户帐户(zhangsan)时,这个帐户(zhangsan)就被建立在当前域控制器A的活动目录中,然后zhangsan的相关数据就会自动地复制到域控制器B中。 一个域中包含多个域控制器,可以获得高性能,提高容错能力。因为当一台域控制器出现故障了,其他的域控制器仍然可以提供服务,而用户是感觉不到的。 同样,在域林中,各域控制器相互之间也把信息自动复制给对方,从而为用户提供最新的全局编录,方便了用户在域林中搜索信息。 2.成员服务器 成员服务器是运行Windows Server2003的计算机,它是域的成员但不是域控制器。因为它不是域控制器,所以成员服务器不处理账户登录过程,不参与活动目录复制,也不存储域安全策略信息。成员服务器一般用作文件服务器、应用服务器、数据库服务器、Web服务器、证书服务器、防火墙以及远程访问服务器。 服务器的角色 3.独立服务器 独立服务器是运行Windows Server 2003的计算机并且不是Windows 域的成员。如果Windows Server 2003作为工作组成员安装,则该服务器是独立的服务器。它可以与网络上的其他计算机共享资源,但是不接受活动目录所提供的任何好处。 4.更改服务器角色 使用活动目录安装向导,可以将成员服务器升级至域控制器,也可以将域控制器降级为成员服务器。 服务器的角色 2.2 安装活动目录 2.2.1 活动目录的规划 规划DNS 规划域结构 规划组织单位结构 规划委派模式 2.2.2 安装活动目录(1) 安装活动目录具体步骤如下: 步骤一,启动Windows Server 2003系统自动打开“Server 2003配置服务器”窗口,或者选择“开始”/“程序”/“管理工具”/“配置服务器”,打开如图2-1所示配置服务器向导窗口。 步骤二,单击“下一步”,出现一个配置服务器向导的预备步骤窗口,以确认所 提到的步骤已完成。单击“下一步”,出现检测网络设置窗口,如图2-2所示。 步骤三,接下来出现配置选项窗口,我们选择“自定义配置”选项,单击“下一步”,出现服务器角色窗口,也就是你想让你的服务器担任的角色,我们从列表中选择“域控制器”。如图2-3所示。单击“下一步”按钮,出现确认窗口,以确认选择了正确角色。单击“下一步”,出现“Active Directory安装向导窗口”,如图2-4所示。 也可省去前面步骤,直接通过“开始”“/运行”,打开“运行”对话框,输入dcpromo命令,单击“确定”按钮,打开如图2-4所示的对话框。 图2-1 “Server 2003配置服务器”窗口 图2-2 显示活动目录内容 2.2.2 安装活动目录(2) 2.2.2 安装活动目录(3) 步骤四,单击“下一步”,打开“操作系统兼容性”对话框。其大意是早期的Windows版本无法登录Windows Server 2003创建的域。 图2-3 服务器角色配置窗口 2.2.2 安装活动目录(4) 步骤五,单击“下一步”,“Active Directory安装向导”会询问新建的域控制器的性质,如图2-2,我们选择“新域的域控制器”。 图2-4 Active Directory安装向导窗口 2.2.2 安装活动目录(2) 步骤六,单击“下一步”,打开如图2-6所示的“创建一个新域”对话框,如果所创建的域为单位的第一个域,或者希望所创建的新域独立于现有目录林,可选择“新林中的域”。如果希望新的域成为现有域的子域,则选择“现有域中的子域”。如想创建一个与现有域树分开的、新的域树,则选择“在现有林中的域树”。这里我们选择“新林中的域”。 图2-2 选择域控制器的类型 图2-6 选择创建域的类型