域的配置
一、基本概念1、活動目錄名稱的來源。類似字典,要查一個字必須先從字典的目錄著手。而字典目錄是經(jīng)過合理規(guī)劃過的。例如:按偏旁查,按拼音查。若按拼音查,又分a~z。這便是典型的結(jié)構(gòu)化思路。而活動目錄也采用
一、基本概念
1、活動目錄名稱的來源。
類似字典,要查一個字必須先從字典的目錄著手。而字典目錄是經(jīng)過合理規(guī)劃過的。例如:按偏旁查,按拼音查。若按拼音查,又分a~z。這便是典型的結(jié)構(gòu)化思路。而活動目錄也采用了這個思路,將網(wǎng)絡(luò)資源結(jié)構(gòu)化(如:計算機(jī)、用戶、打印機(jī)),以層次結(jié)構(gòu)將它們組織起來,方便檢索。
2、AD 能做什么?
集中、分散資源管理。
既集中又分散看似矛盾,但并不矛盾?!凹小敝傅氖菍⒎植荚诓煌锢淼貐^(qū)的計算機(jī)資源以特定的層次結(jié)構(gòu)規(guī)劃起來。例如,最高管理員為公司劃分開發(fā)部、銷售部等組織單元。開發(fā)部又分為團(tuán)隊1、團(tuán)隊2等組織單元。
“分散”指的是不同的組織單元由各自的管理員負(fù)責(zé)。因為最高管理員不可能事必躬親,組織單元內(nèi)部的細(xì)節(jié)事務(wù)還是由本組織單元的負(fù)責(zé)人處理較為妥當(dāng)。此時,最高管理員就需要為每個組織單元分配各自的管理員。
3、邏輯結(jié)構(gòu)【AD 用戶和計算機(jī)】
涉及概念眾多,包括森林,域樹,域,組織單元(OU )。它們之間的關(guān)系類似于學(xué)校組成。大一點(diǎn)的學(xué)校一般分為南區(qū)、北區(qū)或者新校區(qū)、老校區(qū)。校區(qū)里面有很多教學(xué)樓,教學(xué)樓由許多層,每一層又有學(xué)生、老師、設(shè)備。其實(shí)這種組成關(guān)系和森林,域樹,域,組織單元(OU ),用戶、計算機(jī)、打印機(jī)的關(guān)系一樣。即森林(學(xué)校)——域樹(南區(qū)、北區(qū)或新校區(qū)、老校區(qū))——域(教學(xué)樓,一個域可能由多個DC 控制)——OU (教學(xué)樓的每一層)——用戶、計算機(jī)、打印機(jī)(每層的學(xué)生、老師、設(shè)備)。整體結(jié)構(gòu)如下圖所示。
額外注意的知識點(diǎn):
a 、域由一臺或多臺域服務(wù)器(DC )控制,它能提供域名字空間,存儲活動目錄數(shù)據(jù)庫。 b 、域樹中有的域之間有的呈現(xiàn)父子關(guān)系。雖然域樹和域樹之間不共享名稱空間。但子域和父域之間共享名稱空間,子域延續(xù)父域,就像兒子跟著父親姓一樣。例如,父域為root.com ,子域為sub.root.com 。此外,子域與父域之間除了信賴關(guān)系外,沒有任何關(guān)系,兩邊的管理是完全獨(dú)立的。例如,父域的管理員不能管理子域,子域的管理員不能管理父域。父域的管理員在子域僅相當(dāng)于一個普通的用戶。
c 、森林內(nèi)的所有域允許相互訪問。森林間的所有域不允許相互訪問。并且建議一個公司只存在一個森林。
,4、物理結(jié)構(gòu)【AD 站點(diǎn)和服務(wù)】
要實(shí)現(xiàn)邏輯上的統(tǒng)一,讓共享出來的資源對于每臺域成員計算機(jī)時刻保持最新,就得要求各域中的域服務(wù)器(DC )每隔一段時間就要相互復(fù)制數(shù)據(jù)以便同步。而為了高效復(fù)制,常把一組高度可靠的物理鏈路劃分為一個站點(diǎn),方便復(fù)制AD 活動目錄。
站點(diǎn)類似于學(xué)校中的新校區(qū)、老校區(qū)或南區(qū)、北區(qū)。同一站點(diǎn)下的DC 之間相互復(fù)制,不壓縮流量。不同站點(diǎn)下的DC 之間相互復(fù)制,需要壓縮流量。差不多壓縮到原來的15左右。例如,新校區(qū)內(nèi)部的計算機(jī)復(fù)制相對比較通暢,不需要壓縮流量。但新校區(qū)的計算機(jī)與老校區(qū)的計算機(jī)復(fù)制就不比校園內(nèi)部復(fù)制那么暢通了,此時就需要壓縮流量。
復(fù)制原理如下圖所示。例如,新校區(qū)中有四個教學(xué)樓,每個教學(xué)樓有一個DC ,分別是A1、A2、A3、A4。老校區(qū)中有三個教學(xué)樓,每個教學(xué)樓有一個DC ,分別是B1、B2、B3。 新校區(qū)內(nèi)的復(fù)制不需壓縮,老校區(qū)內(nèi)的復(fù)制無需壓縮,新老校區(qū)的復(fù)制需要壓縮。具體的復(fù)制拓?fù)淙缦聢D所示。
這個復(fù)制拓?fù)洳皇侨斯ぎa(chǎn)生的,而是由各個DC 內(nèi)部的KCC 自動執(zhí)行復(fù)制。只要域搭建好后,就自動進(jìn)行。
額外注意的知識點(diǎn):
a .域和站點(diǎn)之間本沒有必然的關(guān)系,完全是為了更好地復(fù)制才聯(lián)系在一起。
一個域可以屬于不同的站點(diǎn)。一個站點(diǎn)也可以包含不同的域。
b .可通過配置計劃的方法控制DC 之間如何復(fù)制。例如,定制什么時間去進(jìn)行一個復(fù)制。對于站點(diǎn)內(nèi)的復(fù)制,采用的是通知機(jī)制。即當(dāng)DC 上的數(shù)據(jù)庫更新時,它會去通知其他計算機(jī)復(fù)制。而站點(diǎn)與站點(diǎn)之間成為寬帶連接,走Internet ,相對速度比局域網(wǎng)會慢很多。如下圖所示。
二、活動目錄邏輯部署方案設(shè)計及實(shí)驗?zāi)繕?biāo)
以一家北京公司的成長為案例,不斷提出問題,不斷解決問題。
1、問題ⅰ的提出與解決
公司目前未部署域,員工都在工作組環(huán)境下工作,此時存在以下三個不足。
a. 資源檢索不方便。例如,兩位員工在不同的辦公室工作。若要共享資源,他們必須事先知道對方具體的IP 地址或計算機(jī)名稱。雖然【網(wǎng)絡(luò)鄰居】能做到這一點(diǎn),但性能很慢,且檢索結(jié)果雜亂無章。
b. 訪問資源的權(quán)限難以控制。例如,張三只能讀取某個共享文件夾的內(nèi)容。李四既能讀取也能修改某個共享文件夾的內(nèi)容。雖然文件的【共享】和【安全】可以做到這一點(diǎn),但僅適用于用戶少的情況,人數(shù)一多,這種配置就吃不消了。
c. 只能在本機(jī)登錄,不能在其他計算機(jī)以自己的賬號登錄。例如,一位員工的辦公室在五樓。此時他跑到一樓去幫同事安裝軟件。然而,他忘帶軟件包,又忘記為五樓那臺自己的計算機(jī)設(shè)共享。這時,他不得不再跑一趟五樓,去取軟件包。
為解決該問題,需要在公司內(nèi)找一臺服務(wù)器充當(dāng)域服務(wù)器,部署活動目錄(全新的域),取名root.com 。只要員工的計算機(jī)加入進(jìn)這個域,就能成為域成員,輕而易舉地解決問題ⅰ。
2、問題ⅱ的提出及解決
當(dāng)用過一段時間后,發(fā)現(xiàn)域服務(wù)器不穩(wěn)定,有當(dāng)機(jī)的可能。這樣會導(dǎo)致所有域成員沒辦法訪問網(wǎng)絡(luò)資源。
為解決該問題,需要在root.com 這個域中增加一臺額外的域服務(wù)器,用于備份root.com 這個域的數(shù)據(jù)庫。
,3、問題ⅲ的提出
隨著業(yè)務(wù)的發(fā)展,公司在杭州建立了一個子公司。這個子公司和主公司的管理雖然完全獨(dú)立,但在名稱上希望一看就知道是一個集團(tuán)的。
為解決該問題,需要基于root.com 建立一個新子域,名字叫做subdom.root.com 。
4、問題ⅳ的提出
隨著業(yè)務(wù)的發(fā)展,公司現(xiàn)在需要拆分或處理不良資產(chǎn),在廣州又獨(dú)立出一個新公司。這個新公司本質(zhì)上與主公司同屬一個集團(tuán),但希望在名字上看不出來,給人以兩個公司的錯覺。
為解決該問題,需要基于root.com 建立一個全新域樹,名字叫做new.com 。
5、實(shí)驗?zāi)繕?biāo)。
以上四種情況其實(shí)就是部署活動目錄的四種基本情況(沒有第五種了),也是主要的實(shí)驗內(nèi)容。
1)安裝新森林。
2)安裝額外DC 。
3)安裝新子域。
4)安裝新域樹。
,三、邏輯部署前的準(zhǔn)備
1、當(dāng)前的用戶要有足夠的安裝權(quán)限。安裝新森林、新子域、新域樹需要活動目錄的企業(yè)管理員角色(Enterprise Admins )。安裝額外DC 需要活動目錄的域管理員角色(Domain Admins )。這兩種角色都在【Active Directory用戶和計算機(jī)】的【Users 】中。
2、確認(rèn)計算機(jī)名稱唯一。(不建議在建域之前改計算機(jī)名稱)
3、看盤是否NTFS
4、準(zhǔn)備域的NetBIOS 名。在前面Wins 服務(wù)中講過,一個機(jī)器有多少服務(wù)就有多少個NetBIOS 名。域也是一種服務(wù),所以也需要準(zhǔn)備NetBIOS 名。
5、活動目錄數(shù)據(jù)庫文件的存放路徑(如果放在系統(tǒng)盤中,可能會遇到I/O訪問的瓶頸)
6、活動目錄數(shù)據(jù)庫日志文件的存放路徑
7、Sysvol 共享文件夾的存放路徑(存放組策略的模板、登錄腳本、注銷腳本)
8、活動目錄還原模式的管理員密碼。工作組環(huán)境下的計算機(jī)通過按F8進(jìn)入安全模式。域環(huán)境下的計算機(jī)通過按F8進(jìn)入活動目錄還原模式。
,四、邏輯部署活動目錄
準(zhǔn)備:
四個標(biāo)準(zhǔn)版Win2003(每個OS 的超級管理員都為Administrator ,密碼為空)。
4.1、安裝新森林
目標(biāo):新建root.com 域,并且這個域中只有一個DC ,名字叫做rootdc 。
步驟:
1、做好部署前的準(zhǔn)備工作。
2、將IP 地址設(shè)為192.168.1.1。子網(wǎng)掩碼設(shè)為255.255.255.0。首選DNS 設(shè)為192.168.1.1。
3、在【運(yùn)行】中輸入dcpromo ,進(jìn)入安裝向?qū)?,一直點(diǎn)擊【下一步】,直到【域控制器類型】窗口,選擇【新域的域控制器】,點(diǎn)擊【下一步】。
,4、選擇【在新林中的域】,點(diǎn)擊【下一步】。
5、輸入新域的域名root.com 。