Windows Active Directory 域故障排錯(一)
第二章 第三節(jié)Windows Active Directory 域故障排錯本節(jié)介紹Windows 2000/03 AD域故障的排錯。首先我們會介紹活動目錄(Active Directory)及其相關(guān)概
第二章 第三節(jié)
Windows Active Directory 域故障排錯
本節(jié)介紹Windows 2000/03 AD域故障的排錯。首先我們會介紹活動目錄(Active Directory)及其相關(guān)概念,然后介紹和域故障排錯相關(guān)的知識、工具軟件的使用,最后以實例的形式講解針對具體的各種域故障如何進行排錯,如何有效地利用組策略來管理AD 域、管理網(wǎng)絡(luò)。
通過本節(jié)的學(xué)習(xí),讀者可以掌握活動目錄(Active Directory)及其相關(guān)概念,活動目錄的功能、邏輯結(jié)構(gòu)、物理結(jié)構(gòu);管理Windows 2000/03網(wǎng)絡(luò)的方法,相關(guān)工具的使用;提高域故障排錯能力,掌握活動目錄上的最大應(yīng)用:組策略。
2-3-1活動目錄(Active Directory)及其相關(guān)概念
要掌握Windows 2000/03 AD域故障排錯,首先就得知道什么是域,什么是活動目錄,活動目錄的工作原理如何。以下內(nèi)容作為后面域排錯的基礎(chǔ)理論知識至關(guān)重要。
2-3-1-1為什么要使用活動目錄?
為什么要使用活動目錄?首先我們來看兩個例子:
如果我們要記住10個、20個電話號碼還可以,但更多的就無能為力了。這時我們就會想到把電話號碼記錄到電話簿上,需要時去查詢。
如果我們家中只有10本、20本的書,我們會比較容易找到我們想要的那一本,但如果我們家中的書像圖書館那么多,這時我們就會想到把書分門別類地放好,并根據(jù)書的書名、作者、出版社、類別等屬性信息做好索引,以利于查找。
有效地管理網(wǎng)絡(luò),也象管理電話號碼、管理圖書一樣。我們會把網(wǎng)絡(luò)中眾多的對象:計算機、用戶、用戶組、打印機、共享夾……,分門別類、井然有序地放在活動目錄這個大倉庫中。使用活動目錄對你公司的網(wǎng)絡(luò)進行管理,才是積極有效的管理方法,而且網(wǎng)絡(luò)規(guī)模越大,越能體現(xiàn)出活動目錄在管理網(wǎng)絡(luò)上的高效性。
2-3-1-2工作組(Workgroup )
Windows 工作組模式來進行管理,但其管理功能極其有限。
對于一臺Windows 計算機來講,它要么隸屬于工作組,要么隸屬于域。工作組是微軟的概念,一般的普遍稱謂是對等網(wǎng)。
工作組通常是一個由不多于10臺計算機組成的邏輯集合,如果要管理更多的計算機,微軟推薦你使用域的模式進行集中管理,這樣的管理更有效。你可以使用域、活動目錄、組策略等等各種功能,使你網(wǎng)絡(luò)管理的工作量達到最小。當(dāng)然這里的10臺只是一個參考值,11臺甚至20臺,如果你不想進行集中的管理,那么你仍然可以使用工作組模式。
工作組的特點就是實現(xiàn)簡單,不需要域控制器DC ,每臺計算機自己管理自己,適用于距離很近的 當(dāng)然如果網(wǎng)絡(luò)規(guī)模很小,也可以使用
,有限數(shù)目的計算機。順便說明一下,工作組名并沒有太多的實際意義,只是在網(wǎng)上鄰居的列表中實現(xiàn)一個分組而已;再就是對于“計算機瀏覽服務(wù)”,每一個工作組中,會自動推選出一個主瀏覽器,負(fù)責(zé)維護本工作組所有計算機的NetBIOS 名稱列表。用戶可以使用默認(rèn)的工作組名workgroup ,也可以任意起個名字(不必?fù)?dān)心重名),同一工作組或不同工作組間在訪問時也沒有什么分別,都需要輸入目標(biāo)計算機上的用戶名、口令進行驗證。
在工作組模式下,用戶要訪問10臺計算機上的資源,就需要記住至少10個用戶名和口令,工作組的這種分散管理性是它和域的集中式管理相比最大的缺點。AD 域提供了對網(wǎng)絡(luò)資源的集中控制,用戶只需登錄一次就可以訪問整個活動目錄的資源。
2-3-1-3活動目錄(Active Directory)和域控制器(Domain Controller)
如果網(wǎng)絡(luò)規(guī)模較大,這時我們就會考慮把網(wǎng)絡(luò)中眾多的對象(被稱之為AD 對象):計算機、用戶、用戶組、打印機、共享夾……分門別類、井然有序地放在一個大倉庫中,并做好檢索信息,以利于查找、管理和使用這些對象(資源)。這個有層次結(jié)構(gòu)的數(shù)據(jù)庫,就是活動目錄數(shù)據(jù)庫,簡稱AD 庫。
接下來,我們應(yīng)該把這個數(shù)據(jù)庫放在哪臺計算機上呢?是這樣的,我們把存放有活動目錄數(shù)據(jù)庫的計算機就稱之為域控制器(Domain Controller),簡稱DC 。
2-3-1-4活動目錄架構(gòu)(Active Directory Schema)
架構(gòu)是關(guān)于AD 對象類型屬性的定義。一種類型AD 對象應(yīng)該有哪些屬性是由架構(gòu)來定義的,比如它定義了用戶對象有姓、名、登錄名、口令等一系列的屬性。如果你想增加一個“性別”屬性,這就要修改架構(gòu),一般稱之為擴展AD 架構(gòu),這要求你必須是林根域上的Schema Admins組成員才行。
整個活動目錄的林中只有一個架構(gòu),因此在活動目錄中創(chuàng)建的所有對象都遵從同樣的規(guī)則。也就是說你對架構(gòu)的修改將影響到林中的所有域,你沒辦法實現(xiàn)同一林中的一個域用戶對象有“性別”屬性,而另一個域沒有。
2-3-1-5目錄訪問協(xié)議(DAP )和輕量級目錄訪問協(xié)議(LDAP )
AD 對象存儲在活動目錄中,客戶和應(yīng)用程序就通過訪問活動目錄,來查找這些存放于活動目錄中的對象。用戶訪問這些AD 對象,當(dāng)然要遵照一定的規(guī)則和約定,這就是協(xié)議。客戶訪問目錄所用的協(xié)議被稱之為目錄訪問協(xié)議(DAP ),DAP 是在X.500中定義的一個復(fù)雜協(xié)議,它的簡化版本被稱之為輕量級目錄訪問協(xié)議(LDAP ),被微軟的活動目錄AD 所采用。LDAP 是用于查詢和更新活動目錄的目錄服務(wù)協(xié)議。
2-3-1-6目錄服務(wù)
回過頭來,我們再來看一下目錄服務(wù)的定義。目錄服務(wù)由X.500標(biāo)準(zhǔn)定義,目錄是指一個組織中關(guān)于人和資源信息的結(jié)構(gòu)化、層次化的庫。在微軟的Windows 2000/03網(wǎng)絡(luò)中,這個目錄服務(wù)就是指活動目錄(Active Directory)服務(wù),又比如在Novell 公司的NetWare 上使用的目錄服務(wù)叫NDS (Novell 目錄服務(wù)),目錄服務(wù)的實質(zhì)就是一種網(wǎng)絡(luò)服務(wù)。
活動目錄(Active Directory)作為網(wǎng)絡(luò)目錄服務(wù),提供了用于組織、管理和控制網(wǎng)絡(luò)資源的結(jié)構(gòu)和功能,使我們有了集中管理Windows 2000/03網(wǎng)絡(luò)的能力,管理員可以在一個地點管理整個
,網(wǎng)絡(luò)。當(dāng)然也可以利用OU 進行委派控制,把一部分管理工作分派給OU 管理員。
2-3-1-7活動目錄的邏輯結(jié)構(gòu)
活動目錄的邏輯結(jié)構(gòu)具有伸縮性,?。嚎梢灾皇且慌_計算機,大:可以應(yīng)用到大型跨國公司的網(wǎng)絡(luò)。活動目錄的邏輯組件包括:
???????? 活動目錄林(Active Directory Forest)
???????? 活動目錄樹(Active Directory Tree)
???????? 活動目錄域(Active Directory Domain)
???????? 組織單元(OU ,Organizational Units)
???????? 全局目錄(GC ,Global Catalog)
mcse.com
sub.mcse.com
my.com
接下來,以上圖為例,進行相關(guān)討論。這整個是一個林,mcse.com 為林根域,有兩個樹,一個由mcse.com 和它的子域sub.mcse.com 組成,另一個由my.com 單獨組成,林中有mcse.com ,sub.mcse.com ,my.com 三個域。相關(guān)概念如下:
林根域:在林中建立的第一個域,如:mcse.com
樹:共用連續(xù)的命名空間的多層域,如mcse.com (父域)和sub. mcse.com (子域) 樹根域:樹最高層的域,名最短。如:mcse.com 和my.com
Windows 2000/03可采用多層域結(jié)構(gòu),但最有效、最簡便的管理方法仍是單域,所以大家在實際工作中要記住一個原則“能用單域解決,就不用多域”。
一、域(Domain )
域是活動目錄中邏輯結(jié)構(gòu)的核心單元。一個域包含許多計算機,它們由管理員設(shè)定,共用一個目錄數(shù)據(jù)庫,一個域有一個唯一的名字。
,域是安全邊界,保證域的管理員只能在該域內(nèi)有必要的管理權(quán)限,除非得到其它域的明確授權(quán)。每個域都有自己的安全策略和與其它域的安全聯(lián)系方式。注意:1、無法在一個域內(nèi)實現(xiàn)不同的帳號策略。2、父域?qū)ψ佑虿]有任何管理特權(quán),但要注意林根域下有企業(yè)管理員組Enterprise Admins,它默認(rèn)對林中的其它域是有特權(quán)的。
父域和子域間默認(rèn)就有雙向可傳遞的信任關(guān)系,也就是說用戶可以使用林中任意一個域內(nèi)的計算機,登錄到林內(nèi)的任何一個域上(操作上就是使用欲要登錄的那個域的用戶帳號);還可以,以自己本域的帳號登錄,訪問林內(nèi)任何資源而不需要重新輸入口令,當(dāng)然要想能真正訪問某一具體資源,在該資源上必須得有相應(yīng)權(quán)限才行。
二、組織單元(OU ,Organizational Units)
在域下面,我們可以規(guī)劃OU ,放入計算機、用戶、用戶組等對象。也就是說通過OU ,我們可以把對象組織起來,并形成一個有層次的邏輯結(jié)構(gòu)。OU 下面可以再建小OU ,微軟建議嵌套層次不要超過3層,我們平常一般1到2層就夠用了。
在規(guī)劃OU 時,要考慮到將來的管理和組策略的應(yīng)用,一般應(yīng)把有相同需求的計算機、用戶等放在同一OU 下??梢曰诓块T、基于管理責(zé)任,也可以基于地理位置來規(guī)劃,使其最佳地適應(yīng)你的公司的需求。
在域下面規(guī)劃OU ,不是僅僅為得到一個層次結(jié)構(gòu),我們主要目的是要基于OU 實現(xiàn)委派控制和將來鏈接相應(yīng)的組策略來實現(xiàn)管理控制。委派的權(quán)限可以是完全控制,也可以是僅指定有限的權(quán)限(如:修改OU 內(nèi)的用戶口令)給一個或幾個用戶和組。
三、活動目錄林(Active Directory Forest)
在林中建立的第一個域,被稱為林根域,如前面提到的mcse.com 。在剛開始時候,我們這個林中只有一個樹,樹內(nèi)只有一個域,域內(nèi)只有一臺計算機作為域控制器。也就是說此時我們整個林就只有一臺計算機。
接下我們也可以為它添加子域,如sub.mcse.com. ,再添加了一個新樹下的域my.com 。這樣我們的這個林下就有了兩個樹:一個樹由mcse.com 域、和它的子域sub.mcse.com 構(gòu)成,一個樹僅由my.com 域構(gòu)成。
四、活動目錄樹(Active Directory Tree)
活動目錄樹是Windows 2000/03網(wǎng)絡(luò)中的層次組織,同一樹下的域共用連續(xù)的名字空間。如父域mcse.com (它同時也是樹根域、林根域),樹根域的名字一定是最短的。父域mcse.com 和子域sub.mcse.com 之間默認(rèn)就有一個雙向的、可傳遞的信任關(guān)系。也正由于這種信任關(guān)系的可傳遞性,使得sub.mcse.com 和my.com 間也有了雙向信任關(guān)系。
五、全局目錄(GC ,Global Catalog)
全局目錄GC 包含了AD 對象屬性的子集,換句話說就是GC 中包含了林中所有對象的摘要信息,也就是相對重要一些的屬性,如用戶對象的姓、名和登錄名。全局目錄GC 本身必須首先是域控制器DC ,GC 不具有唯一性,可以有多個。
全局目錄GC 使用戶能夠:1、查詢整個林中的AD 信息,無論數(shù)據(jù)在林中什么位置。以利于林中的跨域訪問。2、使用通用組,即利用通用組成員身份的信息登錄網(wǎng)絡(luò)。
2-3-1-8活動目錄的物理結(jié)構(gòu)
,在活動目錄中,物理結(jié)構(gòu)與邏輯結(jié)構(gòu)是相互獨立的。域控制器DC 和站點(Site )組成了活動目錄的物理結(jié)構(gòu)。
利用站點,我們可規(guī)劃域控制器DC 放置,優(yōu)化AD 復(fù)制,使用戶就近查找DC 登錄。同時,知道物理結(jié)構(gòu)將有助于排除復(fù)制和登錄過程中出現(xiàn)的問題。
一、域控制器(Domain Controllers)
Windows 2000/03域控制器上存儲有活動目錄的副本,管理目錄信息的變化,并把這些變化復(fù)制給該域上的其它域控制器。域控制器存儲目錄數(shù)據(jù),管理用戶登錄、驗證和目錄搜索。
一個域至少得有一臺域控制器,為了容錯就應(yīng)該有兩臺,甚至多臺。這主要要看網(wǎng)絡(luò)的規(guī)模及分布。
二、活動目錄復(fù)制
同一域內(nèi)的DC 之間要復(fù)制域信息,同一林內(nèi)的DC 間要復(fù)制林信息?;顒幽夸洀?fù)制確保AD 信息對整個網(wǎng)絡(luò)上的所有DC 和客戶機都是可用的。而活動目錄的物理結(jié)構(gòu)決定了復(fù)制發(fā)生的時間和地點。
AD 復(fù)制采用多主控復(fù)制模型,也就是說每個DC 都存儲有AD 的可寫副本,彼此間的復(fù)制是雙向的。這點與NT4域的PDC 到BDC (目錄服務(wù)的只讀副本)的單主控復(fù)制不同。
在所有的DC 把它們的變化都同步到活動目錄中以前,DC 在短時間內(nèi)可能有不同的信息。按照默認(rèn),這一時間,同一站點內(nèi)不越過3x5=15分鐘。
三、站點(Site )
站點就是一個或幾個高速帶寬連接的IP 子網(wǎng)的集合。管理員規(guī)劃的站點,必須真實反映網(wǎng)絡(luò)的物理結(jié)構(gòu)和連接情況,把高速連接的部分規(guī)劃為一個站點。也就是說,站點內(nèi)一定是高速連接,站點間是低速連接。
管理員利用規(guī)劃站點,可以為活動目錄配置訪問和復(fù)制拓?fù)洹J褂肳indows 2000/03網(wǎng)絡(luò)可以使用最有效的鏈接和時間安排來復(fù)制和登錄。創(chuàng)建站點,我們可以:1、優(yōu)化AD 復(fù)制,如:讓其半夜進行,一天一次。2、優(yōu)化用戶登錄,如:使用戶就近查找本站點內(nèi)高速連接的DC 進行登錄。
在活動目錄中,物理結(jié)構(gòu)與邏輯結(jié)構(gòu)是相互獨立的,沒有什么必然的聯(lián)系。一個站點可以有幾個域,一個域也可以有幾個站點。給站點起名字也是任意的,不必考慮和域名字間的聯(lián)系。
2-3-1-9操作主機(或叫主控、FSMO )
前面我們介紹了AD 復(fù)制采用多主控復(fù)制模型,但在有些特殊情況下,我們需要目錄林進行單主控更新以避免沖突的發(fā)生。簡單地說就是,這時我們就讓一臺DC 說了算,來執(zhí)行相關(guān)的AD 改變,然后由它把變化復(fù)制到其它的DC 上去,這臺DC 就是操作主機。共有五種操作主機,它們是: ? 架構(gòu)主控 Schema master 林內(nèi)唯一
? 域命名主控 Domain Naming master 林內(nèi)唯一
? PDC 仿真器 PDC Emulator master 域內(nèi)唯一
? RID 主控 RID master 域內(nèi)唯一
? 基礎(chǔ)結(jié)構(gòu)主控 Infrastructure master 域內(nèi)唯一
默認(rèn)林根域的第一臺DC 就是這五種操作主機,同時還是GC 。林內(nèi)其它域的第一臺DC 是該域內(nèi)的域唯一的那三種操作主機,即PDC 仿真、RID 、基礎(chǔ)結(jié)構(gòu)。。
操作主機具有唯一性,但我們可以把操作主機移動到其它DC 上,只要保證原來的不再是操作主機,也就是說保證這種唯一性即可。
,任何一臺DC 都可以是一操作主機(注意也只有DC 才可以是操作主機),一臺DC 可以同時擔(dān)當(dāng)多種操作主機角色。
對于操作主機的管理,我們可以查看、傳送、查封。傳送(Transfer )和查封(Seizing )的區(qū)別在于:傳送是在原操作主機聯(lián)機的情況下進行的,傳送后得到了新的操作主機,原來的操作主機就不再是操作主機了,傳送保證操作主機的唯一性。查封是在原操作主機有故障或失效,脫機的情況下的強行傳輸,也就是重新推選一個新的操作主機,會有數(shù)據(jù)的丟失。查封不保證操作主機唯一性,原操作主機必須格式化后再接入網(wǎng)絡(luò)。
對操作主機的管理,可以使用圖形化界面(管理的位置,將在下面逐個介紹說明),也可以使用Ntdsutil 命令。下面我們簡單介紹一下各種操作主機的作用。
一、架構(gòu)主控(Schema master)
操作:AD 架構(gòu)/AD架構(gòu)上右鍵/操作主機
說明:默認(rèn)情況下,架構(gòu)的MMC 管理工具不被安裝。需要:
1、運行adminpak.msi 安裝AD 管理工具。Adminpak.msi 可在03光盤I386目錄下找到,或在03的windowssystem32下找到?;蛘呤謩?,開始/運行:regsvr32 schmmgmt.dll
2、開始/運行:MMC ,文件/添加刪除管理單元/添加/AD架構(gòu)
關(guān)于架構(gòu),我們前面介紹過:架構(gòu)是關(guān)于AD 對象類型屬性的定義。架構(gòu)主控控制對架構(gòu)的所有原始更新,也就是說對架構(gòu)的修改、擴展,必須連接到林內(nèi)唯一的這臺架構(gòu)主機上進行,然后由它復(fù)制到到林內(nèi)所有的DC 上。
注意:只有架構(gòu)管理員組(Schema Admins)可以對架構(gòu)進行修改,例如安裝Exchange Server、ISA 陣列,就需要擴展架構(gòu),你應(yīng)該以架構(gòu)管理員身份進行。
二、域命名(Domain Naming master)
操作:AD 域和信任關(guān)系/AD域和信任關(guān)系上右鍵/操作主機
只有域命名主機可以向目錄林中添加域或者刪除域,保證域的名字在林中唯一。若域命名主機不可用,則無法在目錄林中添加或刪除域。
為保證域的名字在林中唯一,域命名主機需要查詢GC 。若林功能級別為Windows 2000林模式,GC 必須和域命名主機在同一臺計算機上才行。若林功能級別為Windows Server 2003林模式,不要求GC 必須和域命名主機非得在同一臺計算機上。
三、PDC 仿真器(PDC Emulator master)
操作:AD 用戶和計算機/域上右鍵/操作主機/PDC標(biāo)簽
PDC 仿真主機在五種操作主機中是最重要的,它的利用率很高。如果PDC 仿真主機失效,必須盡快解決。它主要負(fù)責(zé):
1、如果Windows 2000/03域中還有NT4的BDC ,它充當(dāng)NT BDC的PDC ,并為早期版本客戶機提供服務(wù)。順便說一下,NT4的域控制器在2000/03域中只能是BDC ,不可能是PDC 。
2、管理運行NT 、95/98計算機的密碼變化,寫入活動目錄AD
3、最小化密碼變化的復(fù)制等待時間。若一臺DC 接受到密碼變化的請求,它必須通知PDC 仿真主控。用戶登錄時,如密碼錯誤,進行驗證的DC 必先送至PDC 仿真主控。因為普通DC 不能確認(rèn)到底是密碼錯誤,還是它沒有及時與PDC 仿真主控同步。
4、同步全域中的域控制器、成員計算機的時間。加入域的計算機,沒有自己的時間。這是因為時間參數(shù),在AD 復(fù)制中是一個極為重要的因素,決定多主控復(fù)制時,誰的修改最終生效。所以整個域的
,時間,都由PDC 仿真主機來控制。你可以手動修改域成員計算機上的時間,但當(dāng)AD 復(fù)制過后,又會被改回成PDC 仿真主機上的時間。如果目錄林是多層域結(jié)構(gòu),最終以林根域上的PDC 仿真主機的時間為準(zhǔn)。
5、防止重寫GPO 的可能,修改組策略設(shè)置,默認(rèn)也是要連接到PDC 仿真主控上才行。當(dāng)然這個默認(rèn)值是可以修改的,或者找不到PDC 仿真主控時,系統(tǒng)會提示你連到其它DC 。
四、相關(guān)標(biāo)識符RID 主控(RID master)
操作:AD 用戶和計算機/域上右鍵/操作主機/RID標(biāo)簽
在AD 對象中的用戶、組或計算機等對象,我們是可以為其分配權(quán)利權(quán)限的,被稱為安全主體。安全主體與其它非安全主體對象的最主要的區(qū)別就在于:安全主體對象有安全標(biāo)識符(SID ),可以為其分配權(quán)利權(quán)限。大家要明確:在活動目錄中,所有對象都有GUID (全局唯一標(biāo)識符),只有安全主體對象才有SID 。
當(dāng)我們在域內(nèi)創(chuàng)建安全主體(例如用戶、組或計算機)對象時,域控制器將域的SID 與安全主體對象RID 標(biāo)識符相結(jié)合,以創(chuàng)建唯一的安全標(biāo)識符 (SID)。形如:
S-1-5-21-1553226038-2352558368-427082893-500
其中S-1-5表示NT Authority(標(biāo)識符頒發(fā)機構(gòu));上例中的21-1553226038-2352558368- 427082893為這個域的SID (每個域不同),在這個位置還可能是32(表示本地/域內(nèi)置的本地組,都只能在DC/本機上使用,重復(fù)無妨,所以都是32),也可能是本機的SID (每臺機不同);后面跟的500表示administrator 用戶。
都會收到用于創(chuàng)建對象的 RID 池(默認(rèn)為 512個)。RID 操作主機通過分配不同的池來確保這些 ID 在每一個 DC 上都是唯一的。若DC 分到的RID 池被用盡,可以向RID 操作主機自動再次申請。
通過 RID 主機,還可以在同一目錄林中的不同域之間移動所有對象。當(dāng)對象從一個域移動到另一個域上時,RID 主控將該對象從域中刪除。
五、基礎(chǔ)結(jié)構(gòu)主控(Infrastructure master)
操作:AD 用戶和計算機/域上右鍵/操作主機/結(jié)構(gòu) 標(biāo)簽
基礎(chǔ)結(jié)構(gòu)主機確保所有域間操作對象的一致性。當(dāng)引用另一個域中的對象時(如域本地組中包括另一域的一個全局組),此引用包含該對象的全局唯一標(biāo)識符 (GUID)、安全標(biāo)識符 (SID) 和可分辨的名稱 (DN)。
如果被引用的對象移動,則在域中擔(dān)當(dāng)結(jié)構(gòu)主機角色的 DC 會負(fù)責(zé)更新該域中跨域?qū)ο笠弥械?SID 和 DN 。也就是說,基礎(chǔ)結(jié)構(gòu)主機負(fù)責(zé)更新外部對象的索引(組成員資格),顯然,單域不需要基礎(chǔ)結(jié)構(gòu)主機。
基礎(chǔ)結(jié)構(gòu)主機是基于域的,目錄林中的每個域都有自己的基礎(chǔ)結(jié)構(gòu)主機?;A(chǔ)結(jié)構(gòu)主機不應(yīng)該和GC 在同一個DC 上,應(yīng)手動移走,否則將不起作用。前面我們提到過,默認(rèn)林根域的第一臺DC 就是這五種操作主機,同時還是GC 。也就是說,這時基礎(chǔ)結(jié)構(gòu)主機實際上是失效的,不起作用。但這時只有一個林根域,基礎(chǔ)結(jié)構(gòu)主機不起作用也沒關(guān)系,若以后構(gòu)建多層域,需要手動將其與GC 分開。
2-3-1-10域功能級別和林功能級別
2-3-1-11標(biāo)識名(DN )和相對標(biāo)識名(RDN )
前面我們提到了客戶使用LDAP 協(xié)議來訪問活動目錄中的對象,那么LDAP 是如何來標(biāo)識一個在活動目錄中的對象的呢?換句話說,LDAP 是如何在活動目錄找到對象A ,而不會錯找成對象B 的呢?這就要用到一個命名路徑,即標(biāo)識名(DN )和相對標(biāo)識名(RDN )。DN 為活動目錄中的對象標(biāo)識出LDAP 命名的完整路徑;RDN 用來標(biāo)識容器中的一個對象,即它總是DN 中的最前面一項。
如:在Active Directory用戶和計算機中,在mcse.com 域下有個OU :Finance (財務(wù)),在Finance 下又有個小OU :Sales (銷售),在其下有個用戶,名叫Suzan Fine。則此用戶對象的DN 為:CN=Suzan Fine, OU=Sales, OU=Finance, DC=mcse DC=com。RDN 為:CN=Suzan Fine。
說明:
1、其中DC 表示DNS 名字的域組件,OU 表示組織單元,CN 表示普通名字,CN 可用于除了前兩種以外的所有對象。比如:如果用戶帳號不在OU 中而是在默認(rèn)容器Users 中,為表示Users 容器應(yīng)使用CN 。即:CN=Suzan Fine, CN=Users, DC=mcse, DC=com。
2、如果在命令中引用DN ,且DN 中有空格,如CN=Suzan Fine。應(yīng)使用引號將整個DN 括起來。如“CN=Suzan Fine, CN=Users, DC=mcse, DC=com”。
2-3-1-12 域名服務(wù)系統(tǒng)(DNS )
Windows 2000/03的活動目錄服務(wù)與域名服務(wù)系統(tǒng)(DNS )緊密結(jié)合、集成一起,所以DNS 故障是導(dǎo)致AD 故障非常主要的因素之一,有統(tǒng)計數(shù)據(jù)顯示AD 故障的60來自于DNS 。
使用活動目錄、構(gòu)建Windows 2000/03的域,網(wǎng)絡(luò)上必須有可用的DNS 服務(wù)器,并且必須支持SRV 記錄(Service Location Resource Record)和動態(tài)更新功能。如:MS Win2000/03 DNS,UNIX 的DNS BIND 8.12及以上版本,使用已有的NT4 DNS是不行的。
構(gòu)建NT4域并不需要DNS 的支持,但2000/03域必須有DNS ,且滿足上述要求。
SRV 記錄的作用是指明域和站點(site )的DC 、PDC 仿真、GC 是誰。動態(tài)更新也是2000/03DNS的新特色,管理員不必再象NT4 DNS那樣手動為計算機創(chuàng)建或修改相應(yīng)記錄,在域成員計算機重啟,或改名、改IP 時依賴周期性更新,自動動態(tài)注冊或更新相應(yīng)DNS 記錄。
如果沒有DNS 服務(wù)器的話,也不一定非得預(yù)裝DNS ,可以在安裝AD 過程中,選擇在本機上安裝2000 DNS。而且推薦初學(xué)者使用這種方法,因為系統(tǒng)會根據(jù)你提供的FQDN 域名,自動創(chuàng)建好DNS 區(qū)域(zone ),并配置成AD 集成區(qū)域,僅安全動態(tài)更新。如果需要向外連或反向解析,用戶只需配置上轉(zhuǎn)發(fā)器和反向區(qū)域即可,不需要的話,直接就可以用了。
如果決定在安裝AD 過程中在本機安裝DNS ,應(yīng)在安裝前,將本機TCP/IP配置/DNS服務(wù)器指向自己,這樣在安裝AD 完成后重啟時,SRV 記錄將被自動注冊到DNS 服務(wù)器的區(qū)域當(dāng)中去的,生成四個以下劃線開頭的文件夾,如_msdcs,03DNS 在這里夾的層次結(jié)構(gòu)有所變化,但本質(zhì)沒變。當(dāng)然如果忘了指,也可以后補上,只不過需要多重啟一次。
03DNS 新特色:
1、條件轉(zhuǎn)發(fā)。
轉(zhuǎn)發(fā)器的作用是,如果本機無法解析DNS 客戶所發(fā)的查詢請求,轉(zhuǎn)發(fā)給轉(zhuǎn)發(fā)器所指定的DNS 服務(wù)器。在03DNS 中新增了條件轉(zhuǎn)發(fā),即不同的DNS 區(qū)域,可指定不同的轉(zhuǎn)發(fā)器。
利用條件轉(zhuǎn)發(fā),不僅可改善DNS 查詢,更重要的是有其實際意義。例如兩個公司合并時,可將利用條件轉(zhuǎn)發(fā),基于對方域名將轉(zhuǎn)發(fā)器配置為指向?qū)Ψ降腄NS 服務(wù)器。這樣DNS 服務(wù)器就能解析對方網(wǎng)絡(luò)中的DNS 名稱,并對其他網(wǎng)絡(luò)信息建立巨大的緩存。又由于不必查詢 Internet 上的 DNS
,服務(wù)器,將大大減少DNS 查詢所用的時間。
2、存根(stub )區(qū)域
上面的場景也可用存根區(qū)域來解決,在03DNS 中創(chuàng)建對方的存根區(qū)域,并指明對方的權(quán)威DNS 服務(wù)器。注意在存根區(qū)域下只有對方域的SOA 、NS 及與NS 相關(guān)的A 記錄,不會有對方其它的具體資源的記錄。在有些情況下,與條件轉(zhuǎn)發(fā)的作用還是有所不同的。
2-3-1-13 組策略(Group Policy)
組策略是活動目錄上的最大應(yīng)用,可以應(yīng)用于2000/XP/03。組策略使許多重復(fù)的管理工作自動化、簡單化,所以說組策略的應(yīng)用程度是衡量2000/03管理員的重要尺度。
組策略對象(GPO )也是一種AD 對象,并且可設(shè)置權(quán)限。在域內(nèi)創(chuàng)建,可鏈接到站點(Site )、域(Domain )、組織單元(OU ),使組策略的設(shè)置對一定范圍的計算機/用戶生效。本地(Local )策略可理解為一個特殊的組策略:在工作組下也可使用,只對本地用戶和該計算機生效。使用gpedit.msc 進行管理,設(shè)置后立即生效,不需刷新。
組策略設(shè)置的默認(rèn)優(yōu)先級是:LSDOU 原則,本地策略優(yōu)先級最低。可通過阻止繼承(將阻止所有策略繼承)、禁止替代(也就是必須繼承,針對某個具體的GPO 來設(shè)置)、組策略篩選器(實質(zhì)為GPO 權(quán)限)改變默認(rèn)的優(yōu)先級。
組策略對象(GPO )包括組策略容器(GPC )和組策略模板(GPT )兩部分。GPC 位于AD 用戶和計算機/System/Policies(需要選中查看下的高級功能),僅是GPO 的屬性和版本信息,計算機通過GPC 來查找GPT 。具體的策略設(shè)置值存儲在GPT 中,位于DC 的windowssysvolsysvol下,以GUID 為文件夾名。注意安裝AD 系統(tǒng)自帶的兩個GPO ,使用固定的GUID ,分別是: ? ????? 默認(rèn)域的策略的GUID 為31B2F340-016D-11D2-945F-00C04FB984F9
? ????? 默認(rèn)域控制器的策略的GUID 為6AC1786C-016F-11D2-945F-00C04FB984F9。
組策略具體的設(shè)置內(nèi)容2000到達600多條,03又新增200條左右。
組策略設(shè)置中的安全模板(計算機和用戶)部分,通過注冊表生效,但并不永久改變注冊表。若用戶手動修改注冊表中的組策略設(shè)置值,若策略未變,組策略不負(fù)責(zé)強制改回。
安全策略是組策略的子集(一部分),只不過其MMC 工具被單獨提出來,放到管理工具下了。