WindowsServer2008域网络

1、搭建测试环境第5章 Windows Server 2008域网络主要内容：Windows Server 2008网络类型活动目录概述活动目录的部署Windows Server 2008活动目录的重点新特性5.1 Windows Server 2008网络类型5.1.1 工作组 工作组是联网计算机的逻辑分组，这些计算机共享文件和打印机这样的资源。【任务1】浏览你所在工作组的成员 首先要启用Windows Server 2008系统的网络发现功能5.1 Windows Server 2008网络类型 检查Windows Server 2008系统是否安装了“启用文件和打印机共享”功能组件启用文件和

2、打印机共享5.1 Windows Server 2008网络类型 检查TCP/IP属性参数是否设置正确 将系统服务“Computer Browser”等的状态设置为“启动”启动Computer Browser服务5.1 Windows Server 2008网络类型 5.1.2 域 域也是网络服务器和其他计算机的一种逻辑分组，凡是在共享域逻辑范围内的用户都使用公共的安全机制和用户账户信息（即目录数据库）。提示：“工作组”是网络中计算机的一种组织方式，而“组”是同类对象的集合，管理员通常将性质相同的用户分配到同一个组，通过对组设置权限而达到对用户赋权，以便于系统管理。课堂笔记域( Domain)

3、也是网络服务器和其他计算机的一种逻辑分组，凡是在共享域逻辑范围内的用户都使用公共的安全机制和用户账户信息（即目录数据库）。提示：工作组是网络中计算机的一种组织方式，而且是同类对象的集合，管理员通常将性质相同的用户分配到同一组，通过对组设置权限而达到对用户赋权，以便于系统管理。5.1 Windows Server 2008网络类型 5.1.3 不同网络类型的比较 1 工作组的特点 分散的，非安全的 简单的 适合小型网络 适合技术小组2 域的特点 集中的，安全的 单点登录 安全的边界课堂笔记 1工作组的特点 1)无需运行Windows Server的计算机来容纳集中的安全性信息。 2)相对于域而言

4、，设计和实现简单，无需广泛的计划和管理。 3)对于计算机数量较少(10)或在一个较小空间内的有限数量计算机的网络来说，工作组更方便。 4)工作组较适合由技术用户组成的无需进行集中管理的小组。2域的特点 1)因为所有的用户信息都被集中存储，所以域提供了集中的管理。 2)只要用户有对资源访问的适当权限，就能从任一台计算机登录到域，并能访问域网络中另一台计算机的资源。 3)每个域仅存储该域中各对象的有关信息，通过这样区分目录，活动目录可将规模扩展到拥有大量的对象。5.2 活动目录概述5.2.1 目录服务和活动目录 目录服务 一种网络服务，用来标记管理一个较复杂网络环境中的所有实体资源，并提供命名、描

5、述、查找、访问以及保护这些实体信息的一致的方法，使网络中的所有用户和应用都能访问到这些资源。 活动目录 微软对目录服务的具体实现，也是Windows Server 2008网络操作系统和网络基本结构模型的核心支柱，是中心管理机构。 活动目录的作用举足轻重 课堂笔记5.2.1目录服务和活动目录目录服务和活动目录 目录是一个数据库，存储了网络资源相关的信息，包括资源的位置、管理等。目录服务是一种网络服务，用来标记管理一个较为复杂的网络环境中的所有实体资源（如计算机、用户、打印机、文件、应用等），并且提供了命名、描述、查找、访问以及保护这些实体信息一致的方法，使网络中的所有用户都能访问到这些资源。

6、活动目录( Active Directory，AD)就是源于“目录服务”的概念，是微软对目录服务的具体实现，也是Windows Server 2008网络操作系统和网络基本结构模型的核心支柱，是中心管理机构。5.2 活动目录概述5.2.2 活动目录的逻辑结构 根据对象本身能否包含其他对象，可以将活动目录中的对象分为容器对象和叶对象两大类。活动目录逻辑结构5.2 活动目录概述1 域安全的边界，复制的边缘。2 组织单元用来组织和管理域中的对象，是可以指派 组策略设置或委派管理权限的最小作用域或单位。 提示：组和OU有着严格意义上的区别。组是权利和权限的集合，是叶对象。而OU是基于管理层次的概念，是

7、容器对象。3 树由一个或更多个域以树状结构组织在一起。通过建立信任关系可互访资源。4 林在一个或多个使用不同的命名架构的域树的根之间建立Kerberos信任关系，可以形成一个域森林，使得在森林中的不同域树可以交叉引用其他域树中的对象。课堂笔记1.域：根据对象本身能否包含其他对象，可以将活动目录中的对象分为容器对象和叶对象两大类。容器并不代表一个实体，容器内可以包含一组对象及其他的容器。在活动目录的逻辑组件中，域( Domain)、组织单元(Organizational Unit，ou)、树、森林等都属于容器对象，而域中的用户、组、计算机、共享文件夹、打印机等都属于叶对象。域是安全的边界、复制的

8、边缘。3.树：域目录树由一个或更多个域以树状结构组织在一起。创建的第一个域称为树的根域，通过在层次结构中加入其他的域，便可创建一个更大的连续名称空间。两域之间，必须建立了信任关系，才可以互访资源。而任何一个windows域被加入到树后，这个域会自动信任其下一层的父域，父域也自动信任这个新域，而且这些信任关系具备双向传递性。这意味着树中的所有域或对象都可供树中其他域所使用，也可以在树或森林中的任何域之间进行用户或计算机的身份验证。5.2 活动目录概述5.2.3 活动目录的物理结构1 域控制器域中用来保存活动目录信息的服务器2 站点若通过通信线路串联起来的一个或多个IP子网之间的连接速度低于512

9、Kbps，则应将其规划为不同的站点。 提示：域和子网是逻辑分组，而站点是实体分组。站点、域以及子网之间没有必然的联系。5.2 活动目录概述5.2.4 阶段总结1 、活动目录的核心概念术语术语说明说明界定界定生活中范例类比生活中范例类比活动目录实现Windows Server网络管理的核心技术与体制管理机制立宪制森林/域活动目录的管理范围管理范畴联邦/国家域控制器存放活动目录中管理对象相关数据的服务器管理枢纽国家档案中心组织单元比域更小的活动目录管理范围管理范畴省，城市用户账号一类常用活动目录管理对象管理对象市民组策略一种活动目录对管理对象进行配置的技术管理工具法律法规5.2 活动目录概述5.2

10、.4 阶段总结2 、域网络设计要点 企业一般使用单域环境 单域内使用至少两台DC实现容错 随着企业规模的增长，需要将跨地域的各分支机构的网络合并 考虑到跨广域网的DC之间同步太慢，而且单域内的频繁同步增加了网络流量，最好将这些分支机构通过连续的名称空间组织成一棵域目录树，同时结合站点的配置以限制流量。另外，如果子公司需要自主管理网络，建议搭建子域，实行委派管理。 总之，基于网络流量、传输速率等的因素，建议根据地理位置划分父子域；在一个域内，基于企业实际的管理结构形成OU的树状结构。课堂笔记2域模式网络设计要点 1)企业一般使用单域环境。 2)随着企业规模的增长，需要将跨地域的各分支机构的网络合

11、并。5.2 活动目录概述5.2.5 其他相关概念1 、域和林的功能级域功能级启用的特性支持的域控制器操作系统Windows 2000纯模式所有默认活动目录特性及以下特性：启用通讯组及安全组的通用组作用域组嵌套支持组类型转换SID历史Windows 2000Windows Server 2003，Windows Server 2008 Windows Server 2003所有默认活动目录特性，所有来自Windows 2000纯模式的特性及以下特性：提供DC重命名的域管理工具netdom.exe更新登录时间戳重定向用户及计算机容器的能力。使授权管理器在AD DS中储存授权策略成为可能。包括强制授

12、权。支持选择性验证 Windows Server 2003Windows Server 2008Windows Server 2008所有默认活动目录特性，所有来自win2003 域功能级的特性及以下特性：SYSVOL支持分布式文件系统复制（DFSR）Kerberos协议支持高级加密服务详细记录最后一次交互登录信息细致灵活的多元密码策略Windows Server 20085.2 活动目录概述5.2.5 其他相关概念1、 域和林的功能级林功能级启用的特性支持的域控制器操作系统Windows 2000所有默认活动目录特性及以下特性：启用通讯组及安全组的通用组作用域 组嵌套支持组类型转换SID历史

13、Windows 2000Windows Server 2003Windows Server 2008 Windows Server 2003所有默认活动目录特性，及以下特性：林信任域重命名链接值复制部署运行只读域控制器（RODC）支持基于角色的授权Windows Server 2003Windows Server 2008 Windows Server 2008提供了Windows Server 2003林功能级中所有有效的特性，并没有额外增加特性。所有在后续操作中添加进林的域，将会默认在Windows Server 2008域功能级下工作。Windows Server 20085.2 活动目

14、录概述【任务2】查看和提升域/林的功能级别 (1) 查看和提升当前的域功能级提升域功能级别5.2 活动目录概述【任务2】查看和提升域/林的功能级别 (2) 查看和提升当前的林功能级提升林功能级别5.2 活动目录概述2轻量目录访问协议（LDAP）和AD命名规范LDAP命名路径包含以下内容：1. 可分辨名称（distinguished name，DN） 2. 相对可分辨名称（Relative distinguished name，RDN）3. 全局唯一标示符（GUID）4. 用户主体名称（User Principal Name，UPN）3全局编录（Global Catalog，GC）4操作主机（O

15、perating Master） 林级别架构主机和域命名主机，它们只存在于林根域的DC上。 域级别RID 主机、PDC仿真器和基础结构主机，它们存在于林中每个域的某一台DC上。课堂笔记在AD中，一共有5种操作主机(Operating Master)的角色：架构丰机(Schema Master)、域命名主机(Domain Naming Master)、PDC仿真器(PDC Emulator)、RID主机(RID Master)、基础结构主机(Infrastrucnue Master)。它们分布在所有的域控制器上，来完成相应的功能。5.2 活动目录概述【任务3】查看当前的操作主机 (1) 域命名主

16、机查看域命名主机5.2 活动目录概述【任务3】查看当前的操作主机 (2) PDC仿真器、RID主机和基础结构主机查看PDC仿真器5.3 活动目录的部署5.3.1 准备工作 一台运行Windows Server 2008计算机 确保磁盘的可用空间能容纳活动目录数据库、SYSVOL和日志文件。并且SYSVOL文件夹必须存放在NTFS分区。可以利用下面的命令将一个现有的FAT/FAT32磁盘分区转换为NTFS磁盘分区： convert : /FS:NTFS 有建立域的管理员权利 正确设置TCP/IP协议及DNS服务器地址 在当前网络中没有一台权威DNS服务器（应支持SRV资源记录）的情况下，最好将“

17、首选DNS服务器”的IP地址指向自己。 DNS基础结构5.3 活动目录的部署5.3.2 建立活动目录域【任务4】 建立网络中的第一台域控制器 方法一：使用命令行工具“dcpromo”。Active Directory域服务安装向导5.3 活动目录的部署5.3.2 建立活动目录域选择某一部署配置键入林根域的FQDN5.3 活动目录的部署5.3.2 建立活动目录域分别设置林和域的功能级别5.3 活动目录的部署5.3.2 建立活动目录域设置其他域控制器选项信息提示5.3 活动目录的部署5.3.2 建立活动目录域指定有关文件夹在域控制器上的位置设置目录服务还原模式的管理员密码5.3 活动目录的部署5.

18、3.2 建立活动目录域开始配置活动目录域服务完成Active Directory域服务安装向导5.3 活动目录的部署方法二：使用GUI工具步骤1 执行“添加角色向导”，安装AD域服务（ADDS）所需的文件。步骤2 执行“Active Directory域服务安装向导”。课堂笔记一个域中如果有多台域控制器，就可以提供容错功能，并且改善用户的登录效率。在安装额外的域控制器时，需要将活动目录数据库由现有的域控制器复制副这台新的域控制器中，Windows Server 2008提供了以下两种复制方式：一种是通过网络复制，只适合于较小的活动目录数据库，使用过程中只能使用网络复制更新；另一种是通过备份介质，适合于较大的活动目录数据库。5.3 活动目录的部署【任务5】向现有域添加域控制器使用高级模式安装向现有域添加域控制器5.3 活动目录的部署网络凭据其他域控制器选项图5.3 活动目录的部署【任务6】将Windows计算机加入域加入域输入有特权的用户5.3