通過(guò)上面的案例，我們發(fā)現(xiàn)：目前國(guó)內(nèi)信息化項(xiàng)目此起彼伏，而企業(yè)內(nèi)部網(wǎng)絡(luò)的安全規(guī)劃則是我們的重中之重。而我們卻習(xí)慣性的認(rèn)為安全就要靠防火墻，安全就要靠殺毒軟件。殊不知這些都是解決表面問(wèn)題的手段。一個(gè)真正意

通過(guò)上面的案例，我們發(fā)現(xiàn)：目前國(guó)內(nèi)信息化項(xiàng)目此起彼伏，而企業(yè)內(nèi)部網(wǎng)絡(luò)的安全規(guī)劃則是我們的重中之重。

而我們卻習(xí)慣性的認(rèn)為安全就要靠防火墻，安全就要靠殺毒軟件。殊不知這些都是解決表面問(wèn)題的手段。

一個(gè)真正意義上安全的網(wǎng)絡(luò)首先是需要一個(gè)安全強(qiáng)壯的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，其次是基于強(qiáng)壯骨架之上的服務(wù)。而我們所面對(duì)的安全問(wèn)題從應(yīng)用層去解決的方法其實(shí)就在我們所熟知的micsoft 產(chǎn)品中---windows 域。

在基于域環(huán)境的計(jì)算機(jī)管理手段中策略正式我們強(qiáng)行管理企業(yè)內(nèi)部網(wǎng)絡(luò)的鋼鐵法則。域環(huán)境之所以強(qiáng)大，之所以安全也正是域的管理模式是基于法則的。 一個(gè)社會(huì)之所以安定，是要一部不斷健全的法律來(lái)支持的。而我們windows 域環(huán)境正是以這樣的結(jié)構(gòu)和方式去對(duì)域中的計(jì)算機(jī)、帳戶(hù)等資源進(jìn)行統(tǒng)一集中管理的。今天拋磚引玉，以這樣的方案提出了域的概念，而對(duì)域更深層次的理解以及更詳細(xì)的應(yīng)用，請(qǐng)見(jiàn)下篇：《深入理解域概念之開(kāi)國(guó)篇》

要?jiǎng)?chuàng)建windows 域，就要弄明白什么是windows 域，windows 域可以解決什么問(wèn)題。要弄明白什么是windows 域，就要先來(lái)一起回顧一下工作組：

首先, 工作組中, 每一臺(tái)計(jì)算機(jī)都獨(dú)立維護(hù)自己的資源, 不能集中管理所有網(wǎng)絡(luò)資源

其次, 每一臺(tái)計(jì)算機(jī)都在本地存儲(chǔ)用戶(hù)的帳戶(hù)

第三, 一個(gè)賬戶(hù)只能登陸到一臺(tái)計(jì)算機(jī)

第四, 工作組中計(jì)算機(jī)都是平等的, 對(duì)于其他計(jì)算機(jī)來(lái)說(shuō)即是服務(wù)器, 也是客戶(hù)機(jī)

第五, 工作組的網(wǎng)絡(luò)規(guī)模一般少于10臺(tái)計(jì)算機(jī).

成都有條很有名的步行街，里面有個(gè)派出所，早期的時(shí)候8臺(tái)計(jì)算機(jī)，工作組管理模式。網(wǎng)絡(luò)配置很輕松, 幾乎不用管理. 哪臺(tái)機(jī)器有問(wèn)題就去哪來(lái)機(jī)器上解決. 工作強(qiáng)度也不是很大. 不到3個(gè)月時(shí)間. 隨著信息化的深入, 公司的計(jì)算機(jī)臺(tái)數(shù)增加到了50臺(tái). 網(wǎng)管員采用同樣的管理方式. 每天都很忙碌, 從早上到公司到晚上離開(kāi), 一直在解決網(wǎng)絡(luò)中用戶(hù)的計(jì)算機(jī)故障問(wèn)題, 病毒IE首頁(yè)篡改甚至出現(xiàn)了公司內(nèi)部惡意攻擊的事件, 經(jīng)常晚上加班, 通宵達(dá)旦的工作. 但問(wèn)題總是解決不了。

一個(gè)月后, 他被辭退了。

為什么會(huì)這樣呢? 有沒(méi)有更簡(jiǎn)單方便的管理方式呢?

下面我們來(lái)看這么個(gè)例子:

如果我們把工作組看成是原始社會(huì), 各服務(wù)器(人) 各自為政

再想想剛剛的例子, 小張公司的8臺(tái)電腦最開(kāi)始都是各自為政的,

所以就不存在管理的概念,

小張只能充當(dāng)一個(gè)哪里出問(wèn)題就去哪解決的故障排除機(jī)器般的被動(dòng)角色. 那么在網(wǎng)絡(luò)日益應(yīng)用廣泛, 結(jié)構(gòu)越來(lái)越復(fù)雜的今天, 我們可不可以, 讓我們的計(jì)算機(jī)網(wǎng)絡(luò)世界也進(jìn)化一下呢?

比如在計(jì)算機(jī)中通過(guò)網(wǎng)絡(luò)成立一個(gè)國(guó)家, 在公司的一定范圍內(nèi)實(shí)現(xiàn)集中管理, 中央集權(quán)!!

(微軟替我們想到了這一點(diǎn), 也做到了這一點(diǎn), 從微軟的NT 時(shí)代就提出的域的概念, 演化到現(xiàn)在也就是我們的單域環(huán)境.)

一個(gè)國(guó)家可以管理的范圍只在一個(gè)國(guó)家內(nèi)(適合一些規(guī)模小, 地域范圍跨度小的公司), 想做更復(fù)雜范圍更廣闊的管理, 需要什么樣的體制呢?

感謝地球, 因?yàn)槲覀冇新?lián)合國(guó), 歐盟.

實(shí)現(xiàn)多個(gè)基本管理范圍(國(guó)家, 域) 的聯(lián)合管理. 減少這些基本管理范圍內(nèi)的重復(fù)管理工作.

方便相互之間資源調(diào)用。(也就是現(xiàn)在域森林多域的網(wǎng)絡(luò)環(huán)境為當(dāng)今的跨地域性企業(yè)提供了高效適合管理的網(wǎng)絡(luò)管理方式.)

那么我們繼續(xù)剛剛的例子, 來(lái)看看活動(dòng)目錄域的定義：

首先誰(shuí)能加入聯(lián)合國(guó)(活動(dòng)目錄中能放哪些對(duì)象)

其次共同遵守的設(shè)定和規(guī)則(通用性設(shè)定)

第三不干涉別國(guó)內(nèi)政(各域數(shù)據(jù)原則上由該數(shù)據(jù)所在的域進(jìn)行管理)

我們何以把活動(dòng)目錄當(dāng)作一個(gè)聯(lián)合國(guó), 其中包括了所有的成員國(guó)信息, 大家遵守統(tǒng)一的規(guī)則, 每個(gè)成員國(guó)各自管理自己的國(guó)家。

那么每個(gè)成員國(guó)以及每個(gè)國(guó)家中的人(域和域中的計(jì)算機(jī)) 如何去其他國(guó)家呢, 走什么樣的路線(xiàn)呢? 國(guó)家與國(guó)家之間又怎樣聯(lián)系彼此呢?

DNS 這個(gè)具有全球定位系統(tǒng)服務(wù)的管理機(jī)構(gòu), 也就是我們的聯(lián)合國(guó)管理委員會(huì), 幫助我們解決了這個(gè)問(wèn)題。

準(zhǔn)確的定位各個(gè)國(guó)家的位置, 并為各個(gè)國(guó)民提供了方便的查詢(xún)服務(wù).

我們想要去某個(gè)國(guó)家, 想在某個(gè)國(guó)家內(nèi)享受一個(gè)國(guó)民的基本權(quán)利, 比如取得這個(gè)國(guó)家提供的最低生活保證金(訪(fǎng)問(wèn)域中的網(wǎng)絡(luò)資源:如共享文件, 打印), 就連想要加入某個(gè)國(guó)家國(guó)籍(加入域) 都必須通過(guò)DNS 這個(gè)機(jī)構(gòu)為我們指引。

有的人容易把域林域樹(shù)子域的概念搞混

那么在這里提出來(lái)再解釋一下：

結(jié)構(gòu)關(guān)系:域林和樹(shù)可以看成我們的聯(lián)合國(guó)和成員國(guó)(國(guó)家內(nèi)的省, 省內(nèi)的縣市, 縣市內(nèi)的村子) 這種管理結(jié)構(gòu)關(guān)系

稱(chēng)呼名詞:而子域這個(gè)名稱(chēng)是相對(duì)的, 可以看作一個(gè)相對(duì)某個(gè)成員國(guó)中的某一個(gè)省或者相對(duì)某個(gè)省的某一個(gè)縣。

這里有牽扯到一個(gè)名詞:DC(域控制器)

我們可以把它看成一個(gè)國(guó)家的首都(也就是一臺(tái)物理服務(wù)器上安裝了AD 活動(dòng)目錄).

我們的所有的國(guó)民的戶(hù)籍信息都存儲(chǔ)在這里。

通過(guò)上面的幾個(gè)案例我們清楚的認(rèn)識(shí)到：

將網(wǎng)絡(luò)中多臺(tái)計(jì)算機(jī)邏輯上組織到一起，進(jìn)行集中管理，這種區(qū)別于工作組的邏輯環(huán)境叫做域，這個(gè)核心管理單元（域）可以幫助我們組織與存儲(chǔ)資源（包括物理、邏輯資源）。而這個(gè)核心管理單元的實(shí)現(xiàn)手段就是活動(dòng)目錄（AD ）。

下面我們來(lái)看看活動(dòng)目錄(AD)的安裝步驟，及注意事項(xiàng)：

1、運(yùn)行中輸入：dcpromo

2、是否創(chuàng)建新域（如果當(dāng)前網(wǎng)絡(luò)環(huán)境中沒(méi)有域，那么我們創(chuàng)建的就是整個(gè)森林的第一棵樹(shù)，日后他可能發(fā)展成為森林。）

3、新域的DNS 全名（全名要符合DNS 的命名規(guī)范）

4、新域的NetBIOS 名（用來(lái)使win98或者只能使用netbios 服務(wù)的操作系統(tǒng)加入域）

5、數(shù)據(jù)庫(kù)和日志文件文件夾（建議部署到非系統(tǒng)安裝盤(pán)下。）

6、共享的系統(tǒng)卷（sysvol 存放組策略的共享卷）

7、DNS 注冊(cè)診斷（AD 需要DNS 的支持，這里檢測(cè)當(dāng)前環(huán)境有沒(méi)有DNS ，沒(méi)有就在本機(jī)安裝）

8、域兼容性（域的功能級(jí)別：2000純模式、2000混合模式【默認(rèn)】、2003純模式）

9、還原模式密碼（DC 中另一個(gè)administrator 的密碼，不記載在AD 中。）

從安裝步驟中我們可以看出AD 活動(dòng)目錄要是想要正常工作，那么就必須依靠DNS 的支持，而DNS 在域中的作用則是：

1、域名的命名采用DNS 標(biāo)準(zhǔn)

?辦公網(wǎng)絡(luò)與Internet 集成

2、定位DC

?1）客戶(hù)機(jī)發(fā)送DNS 查詢(xún)請(qǐng)求給DNS 服務(wù)器

?2）DNS 服務(wù)器查詢(xún)匹配的SRV 資源記錄

?3）DNS 服務(wù)器返回相關(guān)DC 的IP 地址列表給客戶(hù)機(jī)

?4）客戶(hù)機(jī)聯(lián)系到DC

?5）DC 響應(yīng)客戶(hù)機(jī)的請(qǐng)求

域的DNS 區(qū)域維護(hù)

*SRV資源記錄可以定位DC

我們?cè)诨顒?dòng)目錄管理的時(shí)候，遇到的很大一部分問(wèn)題都是由DNS 引起的，那么除了DNS 我們還會(huì)遇到什么樣的問(wèn)題，請(qǐng)見(jiàn)下篇《常見(jiàn)故障排除案例分析之加入域》