為什么我們需要域？Active Directory系列之一今天我們談論的第一個問題就是為什么需要域這個管理模型？眾所周知，微軟管理計算機可以使用域和工作組兩個模型，默認情況下計算機安裝完操作系統(tǒng)后是隸

為什么我們需要域？Active Directory系列之一

今天我們談論的第一個問題就是為什么需要域這個管理模型？眾所周知，微軟管理計算機可以使用域和工作組兩個模型，默認情況下計算機安裝完操作系統(tǒng)后是隸屬于工作組的。我們從很多書里可以看到對工作組特點的描述，例如工作組屬于分散管理，適合小型網絡等等。我們這時要考慮一個問題，為什么工作組就不適合中大型網絡呢，難道每臺計算機分散管理不好嗎？下面我們通過一個例子來討論這個問題。

假設現在工作組內有兩臺計算機，一臺是服務器Florence ，一臺是客戶機Perth 。服務器的職能大家都知道，無非是提供資源和分配資源。服務器提供的資源有多種形式，可以是共享文件夾，可以是共享打印機，可以是電子郵箱，也可以是數據庫等等?，F在服務器Florence 提供一個簡單的共享文件夾作為服務資源，我們的任務是要把這個共享文件夾的訪問權限授予公司內的員工張建國，注意，這個文件夾只有張建國一個人可以訪問！那我們就要考慮一下如何才能實現這個任務，一般情況下管理員的思路都是在服務器上為張建國這個用戶創(chuàng)建一個用戶賬號，如果訪問者能回答出張建國賬號的用戶名和密碼，我們就認可這個訪問者就是張建國?；谶@個樸素的管理思路，我們來在服務器上進行具體的實施操作。

首先，如下圖所示，我們在服務器上為張建國創(chuàng)建了用戶賬號。

然后在共享文件夾中進行權限分配，如下圖所示，我們只把共享文件夾的讀權限授予了用戶張建國。

好，接下來張建國就在客戶機Perth 上準備訪問服務器上的共享文件夾了，張建國準備訪問資源Florence 人事檔案，服務器對訪問者提出了身份驗證請求，如下圖所示，張建國輸入了自己的用戶名和口令。

如下圖所示，張建國成功地通過了身份驗證，訪問到了目標資源。

看完了這個實例之后，很多朋友可能會想，在工作組模式下這個問題解決得很好啊，我們不是成功地實現了預期目標嘛！沒錯，在這個小型網絡中，確實工作組模型沒有暴露出什么問題。但是我們要把問題擴展一下！現在假設公司不是一臺服務器，而是500臺服務器，這大致是一個中型公司的規(guī)模，那么我們的麻煩就來了。如果這500臺服

務器上都有資源要分配給張建國，那會有什么樣的后果呢？由于工作組的特點是分散管理，那么意味著每臺服務器都要給張建國創(chuàng)建一個用戶賬號！張建國這個用戶就必須痛不欲生地記住自己在每個服務器上的用戶名和密碼。而服務器管理員也好不到哪兒去，每個用戶賬號都重新創(chuàng)建500次！如果公司內有1000人呢？我們難以想象這么管理網絡資源的后果，這一切的根源都是由于工作組的分散管理！現在大家明白為什么工作組不適合在大型的網絡環(huán)境下工作了吧，工作組這種散漫的管理方式和大型網絡所要求的高效率是背道而馳的。 既然工作組不適合大型網絡的管理要求，那我們就要重新審視一下其他的管理模型了。域模型就是針對大型網絡的管理需求而設計的，域就是共享用戶賬號，計算機賬號和安全策略的計算機集合。從域的基本定義中我們可以看到，域模型的設計中考慮到了用戶賬號等資源的共享問題，這樣域中只要有一臺計算機為公司員工創(chuàng)建了用戶賬號，其他計算機就可以共享賬號了。這樣就很好地解決剛才我們提到的賬號重復創(chuàng)建的問題。域中的這臺集中存儲用戶賬號的計算機就是域控制器，用戶賬號，計算機賬號和安全策略被存儲在域控制器上一個名為Active Directory的數據庫中。

部署第一個域：Active Directory系列之二

我們來部署第一個域。一般情況下，域中有三種計算機，一種是域控制器，域控制器上存儲著Active Directory；一種是成員服務器，負責提供郵件，數據庫，DHCP 等服務；還有一種是工作站，是用戶使用的客戶機。我們準備搭建一個基本的域環(huán)境，拓撲如下圖所示，Florence 是域控制器，Berlin 是成員服務器，Perth 是工作站。

部署一個域大致要做下列工作：

1 DNS 前期準備

2 創(chuàng)建域控制器

3 創(chuàng)建計算機賬號

4 創(chuàng)建用戶賬號

一 DNS前期準備

DNS 服務器對域來說是不可或缺的，一方面，域中的計算機使用DNS 域名，DNS 需要為域中的計算機提供域名解析服務；另外一個重要的原因是域中的計算機需要利用DNS 提供的SRV 記錄來定位域控制器，因此我們在創(chuàng)建域之前需要先做好DNS 的準備工作。那么究竟由哪臺計算機來負責做DNS 服務器呢？一般工程師有兩種選擇，要么使用域控制器來做DNS 服務器，要么使用一臺單獨的DNS 服務器。我一般使用一臺獨立的計算機來充當DNS 服務器，這臺DNS 服務器不但為域提供解析服務，也為公司其他的業(yè)務提供DNS 解析支持，大家可以根據具體的網絡環(huán)境來選擇DNS 服務器。

在創(chuàng)建域之前，DNS 服務器需要做好哪些準備工作呢？

1 創(chuàng)建區(qū)域并允許動態(tài)更新

首先我們要在DNS 服務器上創(chuàng)建出一個區(qū)域，區(qū)域的名稱和域名相同，域內計算機的DNS 記錄都創(chuàng)建在這個區(qū)域中。我們在DNS 服務器

上打開DNS 管理器，如下圖所示，右鍵單擊正向查找區(qū)域，選擇新建一個區(qū)域。出現新建區(qū)域向導后，點擊下一步繼續(xù)。

區(qū)域類型選擇“主要區(qū)域”。

區(qū)域名稱和域名相同，是adtest.com 。

區(qū)域一定要允許動態(tài)更新，因為在創(chuàng)建域的過程中需要向DNS 區(qū)域中寫入A 記錄，SRV 記錄和Cname 記錄。

區(qū)域創(chuàng)建完畢，點擊完成結束創(chuàng)建。

2 檢查NS 和SOA 記錄

區(qū)域創(chuàng)建完成后，一定要檢查一下區(qū)域的NS 記錄和SOA 記錄。在前面的DNS 課程中，我們已經介紹了NS 記錄和SOA 記錄的意義，NS 記錄描述了有多少個DNS 服務器可以解析這個區(qū)域，SOA 記錄描述了哪個DNS 服務器是區(qū)域的主服務器。如果NS 記錄和SOA 記錄出錯，域的創(chuàng)建過程中就無法向DNS 區(qū)域中寫入應有的記錄。在DNS 服務器上打開DNS 管理器，在adtest.com 區(qū)域中檢查ns 記錄，如下圖所示，我們發(fā)現ns 記錄不是一個有效的完全合格域名，我們需要對它進行修改。