图12-7
12.2 活动目录 12.2.1 活动目录结构
活动目录(Active Directory)是一种目录服务,它存储有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息,并将结构化数据存储作为目录信息逻辑和分层组织的基础,使管理员比较方便地查找并使用这些网络信息。
活动目录是在Windows 2000 Server就推出的新技术,它最大的突破性和成功之一也就在于它全新引入了活动目录服务,使 Windows 2000 Server与Internet上的各项服务和协议更加联系紧密。通过在Windows 2000 Server的基础上进一步扩展,Windows Server 2003提高了活动目录的多功能性、可管理性及可靠性。
活动目录结构主要是指网络中所有用户、计算机以及其他网络资源的层次关系,就像是一个大型仓库中分出若干个小的储藏间,每一个小储藏间分别用来存放不同的东西一样,通常情况下活动目录的结构可以分为逻辑结构和物理结构。
活动目录的逻辑结构:包括域、域树、域林和组织单元。
组织单元(Organizational Unit,OU)是一个容器对象,可以把域中的对象组织成逻辑组,以简化管理工作。组织单元可以包含各种对象,比如用户账户、用户组、计算机、打印机等,甚至可以包括其它的组织单元,所以可以利用组织单元把域中的对象组成一个完全逻
辑上的层次结构。对于企业来讲,可以按部门把所有的用户和设备组成一个组织单元层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个组织层次结构。
活动目录的物理结构与逻辑结构有很大不同,它们是彼此独立的两个概念。逻辑结构侧重于网络资源的管理,而物理结构则侧重于网络的配置和优化。活动目录的物理结构,主要着眼于活动目录信息的复制和用户登录网络时的性能优化。物理结构的两个重要概念是站点和域控制器。
站点由一个或多个IP子网组成,这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定,可以依据站点结构配置活动目录的访问和复制拓扑关系,这样能使得网络更有效地连接,并且可使复制策略更合理,用户登录更快速。活动目录中的站点与域是两个完全独立的概念,一个站点中可以有多个域,多个站点也可以位于同一域中。
域控制器是指运行Windows Server 2003的服务器,它保存了活动目录信息的副本。域控 制器管理目录信息的变化,并把这些变化复制到同一个域中的其它域控制器上,使各域控制器上的目录信息同步。域控制器也负责用户的登录过程以及其它与域有关的操作,比如身份鉴定、目录信息查找等。
活动目录支持多主机复制方案,然而由于复制引起的通信流量以及网络潜在的冲突,变化的传播并不一定能够顺利进行,因此有必要在域控制器中指定全局目录服务器以及操作主机。
全局目录是一个信息仓库,包含活动目录中所有对象的一部分属性,往往是在查 询过程中访问最为频繁的属性。利用这些信息,可以定位到任何一个对象实际所在的位置。
12.3 活动目录的设置 12.3.1 安装活动目录前的准备
文件系统和网络协议:活动目录必须安装在NTFS分区,因此Windows Server 2003所
在的分区必须是NTFS文件系统,同时计算机上要正确安装了网卡驱动程序,并启用了TCP/IP协议。
域结构规划:活动目录可包含多个域,只有合理地规划目录结构,才能充分发挥活动目录的优越性。选择根域最为关键,根域名字的选择可以有以下几种方案:
? 使用一个已经注册的DNS域名作为活动目的根域名,使得企业的公共网络和私有网
络使用同样的DNS名字。
? 使用一个已经注册的DNS域名的子域名作为活动目录的根域名。
? 活动目录使用与已经注册的DNS域名完全不同的域名,使企业网络在内部和互联网
上呈现出两种完全不同的命名结构。
域名策划:目录域名通常是该域的完整DNS名称,如“abc.net”。同时,为了确保向下兼容,每个域还应当有一个与Windows 2000 Server以前版本相兼容的名称,如“abc”。
注意:在TCP/IP网络中,DNS是用来解决计算机名字和IP地址的映射关系的。活动目录和DNS密不可分,它使用DNS服务器来登记域控制器的IP、各种资源的定位等,因此在一个域林中至少要有一个DNS服务器存在。Windows Server 2003中的域也是采用DNS的格式来命名的。
图12-8
为了说明的方便,以图12-8中的拓扑为样本,该拓扑的域林有两个域树:cninfo.com和information.com,其中cninfo.com域树下有hb.cninfo.com子域,在cninfo.com域中有两个域控制器;因hb.cninfo.com域中除了一个域控制器外,还有一个成员服务器。
12.3.2 安装活动目录
用户要将自己的服务器配置成域控制器,应该首先安装活动目录,以发挥活动目录的作用。安装活动目录具体步骤如下:
1)首先确认“本地连接”属性TCP/IP首选DNS是否指向了本机(本例为192.168.1.7),然后在“管理您的服务器”窗口中,单击“添加或删除角色”超级链接,启动“配置您的服务器向导”,单击“下一步”按钮检测所有的设备、操作系统,并搜索网络连接。搜索完成,弹出 “配置选项”窗口,选择“自定义配置”单选按钮。
2)单击“下一步”按钮,弹出 “服务器角色”窗口,在“服务器角色”列表框中列出了所有可以安装的服务器,选择“域控制器”选项,将该计算机设置为域控制器,并同时安装活动目录。
3)单击“下一步”按钮,显示“选择总结”窗口,此处说明将“运行Active Directory安装向导来将此服务器设置成域服务器”,直接单击“下一步”按钮,启动 “Active Directory安装向导”窗口。
4)单击“下一步”按钮,弹出 “操作系统兼容性”窗口,此处对安装活动目录以后的情况进行了简单说明。
5)单击“下一步”按钮,弹出 “域控制器类型”窗口,选择此服务器要担任的角色。如果当前服务器未曾安装过Active Directory,并且要保留这个服务器上的所有账户,则建议选择“新域的域控制器”选项。
注意:域控制器类似于网络“看门人”,用于管理所有的网络访问,包括登录服务器、
访问共享目录和资源。域控制器存储了所有的域范围内的账户和策略信息,包括安全策略、用户身份验证信息和账户信息。在网络中,可以有多台计算机配置为域控制器,以分担用户的登录和访问。多个域控制器可以一起工作,自动备份用户账户和活动目录数据,即使部分域控制器瘫痪后,网络访问仍然不受影响,提高网络安全性和稳定性。
6)选择“新域的域控制器”选项后,单击“下一步”按钮,弹出 “创建一个新域”窗口。如果以前曾在该服务器上安装过Active Directory,可以选择“在现有的域树中的子域”或“在现有的林中的域树”选项;如果是第一次安装,则建议选择“在新林中的域”选项。
7)选择“在新林中的域”选项后,单击“下一步”按钮,弹出 “新的域名”窗口,在“新域的DNS全名”文本框中输入该服务器的DNS全名:“cninfo.com”。如果尚未申请正式域名,也应当输入拟申请的域名。
注意:此处的域名一定要与网络DNS服务的域名相对应。
8)单击“下一步”按钮,弹出“NetBIOS域名”窗口,在“域NetBIOS名”文本框中,显示该服务器的新域的NetBIOS名称。NetBIOS名称的意义在于,让其它早期Windows版本的用户可以识别新域。
9)单击“下一步”按钮,弹出 “数据库和日志文件文件夹”窗口,Active Directory数据库默认位于系统盘Windows文件夹下,也可以单击“浏览”按钮更改为其它路径,建议不作更改。其中,数据库文件夹用来存储互动目录数据库,而日志文件夹用来存储活动目录的变化日志,以便于日常管理和维护。
注意:如果当前计算机上安装有多个硬盘,最好将存户活动目录数据库的文件夹与活动目录日志文件夹,分别指定在不同的硬盘内,一方面可以提高响应速率,另一方面也便于故障后的紧急恢复。