本文的目的,是作为域和AD的一篇入门文章,使没有安装过域,或刚刚接触域的年轻网管能对域和AD有一个全面的了解,并利用此文入门,将所管理的网络实现一个基于域的管理模式。
一、认识Windows的域
本小节重点从理论上阐述域的概念、作用和Windows中域的产生。
一台Windows计算机,它要么隶属于工作组,要么隶属于域。所以说到域,我们就不得不提一下工作组,工作组是MS的概念,一般的普遍称谓是对等网。工作组通常是一个由不多于10台计算机组成的逻辑集合,如果要管理更多的计算机,MS推荐你使用域的模式进行集中管理,这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能,使你网络管理的工作量达到最小。当然这里的10台只是一个参考值,11台甚至20台,如果你不想进行集中的管理,那么你仍然可以使用工作组模式。
工作组的特点就是实现简单,不需要域控制器DC,每台计算机自己管理自己,适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义,只是在网上邻居的列表中实现一个分组而已;再就是对于“计算机浏览服务”,每一个工作组中,会自动推选出一个主浏览器,负责维护本工作组所有计算机的NetBIOS名称列表。用户可以使用默认的workgroup,也可以任意起个名字,同一工作组或不同工作组在访问时也没有什么分别。
域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,实现起来要复杂一些,至少需要一台计算机安装NT/2000/03 Server版本使其充当DC,来实现集中式的管理。
若考虑到容错的话,至少需要两台。对于NT4域就是一台PDC(具有唯一性),一至多台BDC,对于2000/03域,已经没有PDC和BDC的概念,要容错就需要两至多台DC。
域是逻辑分组,与网络的物理拓扑无关,可以很小,比如只有一台DC;也可以很大,包括遍布世界各地的计算机,比如大型跨国公司网络上的域(当然实际中他们多采用多域结构,还可以利用AD站点来优化AD复制)。
这个“目录服务数据库”,在NT4时,保存用户帐号名称和密码等安全安全信息,以及安全规则设置,又被称作安全帐号管理(SAM)数据库,简称SAM库。在非DC上的本地的SAM库与DC上域所用的SAM库类似,只不过对于NT4域的SAM库文件,保存有整个域的用户和计算机,用“域用户管理器”和“服务器管理器”来管理,本地的SAM库文件,保存有本地机的用户,由“用户管理器”来管理。
从2000开始,MS引入了活动目录AD,DC通过AD来提供目录的服务,例如它负责维护AD数据库、审核用户的账户和密码是否正确、将AD数据库复制到其它的DC等。AD库的核心文件就是winnt\ntds\ntds.dit文件。注意组策略的具体设置值,并不存在这个文件中,而是保存在winnt\sysvol\sysvol这个共享夹下,用于向其它DC复制,传播给域成员,来生效。但需要说明的是:2000/XP/03的非DC域成员计算机上仍使用和NT4一样的SAM库文件来保存本地帐号。
正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源,如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码,用户只需一次登录,即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行),而不需要多次提供用户名和密码登录。
二、构建Windows 2000的域
这个过程简单说就是:选一台2000S/AS计算机,运行AD安装向导,在其上安装活动目录,使其成为DC。然后将其它的计算机加入到这个域。
说明:至于是用2000S,还是用2000AS,对于一般的用户差别不大。2000S支持最多4个CPU,最大4G内存;2000AS支持最多8个CPU,最大内存8G,还支持群集功能。但这些我们一般用户都用不到,所以对于普通用户来说,选择S或AS都是一样的。
1、系统要求
*一台2000S或2000AS独立或成员服务器,2000DS只有OEM版,随厂商硬件发售,平常我们是见不到的。
* 其上必须有一个NTFS 5.0分区,用来保存AD的sysvol文件夹。注意:2000的NTFS分区是NTFS 5.0,NT4的是NTFS 4.0,NT4必须安装SP4后,才可访问2000的NTFS分区。
* 网络上必须有可用的DNS服务器,并且必须支持SRV记录(Service Locaion Resource Record)和动态更新功能。如:MS Win2000S DNS,UNIX的DNS BIND 8.12及以上版本,使用已有的NT4 DNS是不行的。
说明:
构建NT4域并不需要DNS的支持,但2000域必须有DNS,且满足上述要求。
SRV记录的作用是指明域和站点(site)的DC、PDC仿真、GC是谁。动态更新也是2000DNS的新特色,管理员不必再象NT4 DNS那样手动为计算机创建或修改相应记录,在域成员计算机重启,或改名、改IP时依赖周期性更新,自动动态实现。
如果没有DNS服务器的话,也不一定非得预装DNS,可以在安装AD过程中,选择在本机上安装2000 DNS。而且推荐初学者使用这种方法,因为系统会根据你提供的FQDN域名,自动创建好DNS区域(zone),并配置成AD集成区域,仅安全动态更新。如果需要向外连或反向解析,用户只需配置上转发器和反向区域即可,不需要的话,直接就可以用了。
如果决定在安装AD过程中在本机安装DNS,应在安装前,将本机TCP/IP配置/DNS服务器指向自己,这样在安装AD完成后重启时,SRV记录将被自动注册到DNS服务器的区域当中去的,生成四个以下划线开头的文件夹,如_msdcs,03DNS在这里夹的层次结构有所变化,但本质没变。当然如果忘了指,也可以后补上,只不过需要多重启一次。
2、安装步骤、注意事项、常见问题、经验技巧
(1)启动AD安装向导
方法一:开始/程序/管理工具/配置服务器/ Active Directory /启动AD安装向导。
方法二:熟练后一般常用,开始/运行:dcpromo。
(2)安装选项:指定服务器角色
三个界面,实现四种组合:
新域
附加DC
新树
子域
新林
加入林
即:
* 新域—新树—新林
* 附加DC
* 新域—子域
* 新域—新树—加入林
全新安装:新域—新树—新林,这样来建立第一个域中的第一台DC。
2000的多域模型采用层次结构,不同于NT4域的平面结构,NT4的多个域之间只是通过信任关系关联起来。接下来以下图为例,对2000的域、树、林进行简要说明:
ms.com
/ trainning.mcse.com lotus.com
这整个是一个林,ms.com为林根域,有两个树,一个由ms.com和它的子域trainning.ms.com组成,另一个由lotus.com单独组成,林中有ms.com,trainning.ms.com,lotus.com三个域。相关概念如下:
林根域:在林中第一个建立的域,如:ms.com
树:共用连续的命名空间的多层域,如ms.com和trainning.ms.com
树根域:树最高层的域,名最短。如:ms.com
说明:
2000可采用多层域结构,但最有效、最简便的管理方法仍是单域,所以大家在实际工作中要记住一个原则“能用单域解决,就不用多域”。
再者2000AD是针对大中型网络设计的,而我们一般管理的网络也就几百个节点,属于小型网络,一般来讲用一个单域结构就够用了,不要人为将管理环境复杂化。在实验中,我们甚至可以一个林中只有一个树,一个树中只有一个域,一个域里只有一台DC。
另外前面已经说过了,域是逻辑分组,与网络的物理拓扑无关,不要总试图规划一个子网一个域。当然实际中多个子网一个域,子网中若有95/98/NT老计算机,无法利用DNS直接登录到域,可以安装一台WINS服务器解决问题。将所有计算机,包括WINS服务器本身的TCP/IP配置中的WINS服务器指向此WINS服务器即可。
(3)安装选项:新域的DNS全名
说明:
在这里应该输入新域的完全有效域名FQDN,形如:mcse.com。系统会打算以mcse作为此域的NetBIOS名称,并在网络中检查是否存在重名,需要等一会儿。不重名则设为mcse,建议用户不要修改此名;重名则设为mcse0,建议用户最好换个名字。这也就是说,网络中如果已有一个域,名字叫做mcse.org,也会出现NetBIOS名称冲突的问题。
(4)安装选项:为新域指定一个NetBIOS名称
说明:
NetBIOS名称,只是为95/98/NT等老版本用户通过“浏览服务”或WINS来识别这个域用的,如果确信域用户都是2000及以上系统(它们通过DNS定位域),其实NetBIOS名称冲不冲突,都无所谓。
(5)安装选项:指定AD库和日志文件位置
说明:
如果仅是实验,用默认值即可。若是在真正的服务器上,都会有多块物理硬盘,最好分开存放,以提高性能。另外需要强调的是:AD库和日志文件并不要求非得NTFS 5.0分区,很多2000/03书在此语焉不详。
(6)安装选项:指定sysvol文件夹位置
说明:
是sysvol这个文件夹要求必须得NTFS 5.0分区。在它当中存储有DC间AD要同步的内容,包括组策略的设置值。
(7)这时网络中若无可用DNS服务器,就会出现提示:找不到DNS服务器,需要考虑在本机上安装一个DNS服务器。可先不必理会,点“确定”,接下来选“是,在本机上安装并配置DNS”。初学者在此不要选“否,我将自己安装并配置DNS”。
(8)几分后,安装完成,需要重启。
说明:
若硬盘或网络上没有可用的2000S源文件,会提示要2000S光盘。
最好用新装2000S来安装AD,这样不容易出问题。如果你是用一个台运行了一段时间的2000S/AS,来安装AD,使其成为DC。重启及登录时可能会很慢(有时可能长达20分钟),这是较常见的现象。一般2-3次以后就好了,如果多 次重启后还那样,那就要重装系统及AD了。
3、域成员计算机
(1)将计算机加入到域
首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。然后我的电脑/右键/属性/网络标识/属 性/隶属于,选择域:输入域名,确定。提示输入用户口和口令,确定后提示重启。
说明:
加入域时,如果输入的域名为FQDN格式,形如mcse.com,必须利用DNS中的SRV记录来找到DC,如果客户机的DNS 指的不对,就无法加入到域。
加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但它不是 一个完善的服务,有时就会不好使。
这样虽然也可把计算机加入到域,而且在等较长时间后也可以登录到域上去,但不推荐。因为客户机的DNS指的 不对,则它无法利用2000DNS的动态更新动能,也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录 。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它,这本应是可以的。
再者,管理员无法在客户机上利用域的管理工具来远程管理域,因为这些管理工具必须使用DNS,出错提示:找 不到域命名信息(有时客户机的DNS Client服务有问题也会出现上述提示,重启服务即可)。这种情况下,要 进行远程管理,就只能利用TS(终端服务)基于IP来连了。
当然用户也可以手动配置WINS或Lmhosts文件,来查找DC。这主要用于95/98/NT老版本计算机跨子网(路由)查 找DC或加入域,因为这些老版本计算机无法利用DNS来查找DC,浏览服务又是广播方式,只能在本网段进行,因为广 播信息是无法通过路由器的,RFC1542标准的路由器,可设置成允许DHCP的广播数据通过,仅是一个特例。需要说明 的是:95/98可以使用域用户帐号登录到域,但并不能加入到域,在AD中也没有计算机帐号,而NT可以。
计算机加入域成功后,未重启,即已在AD用户和计算机/computer容器下生成计算机帐号了,实验中查看 时,需要手动刷新一下。而在DNS中记录必须在计算机重启后(不必登录)或15分钟后才能自动注册或更新到DNS区域 。但若我们平常修改一个计算机的名字或IP,要马上更新到DNS区域,倒不一定非得重启,可利用ipconfig /re gisterdns命令就行。明白以上讨论可用于排错,不一定非得重启登录后才知道结果。
加入到NT4域时,需要有管理特权才行;从Windows 2000开始,微软作了改进:在Windows 2000/03域 中,默认Authenticated Users即可在域中最多创建 10 个计算机帐户。Authenticated Users 指被验证的用户组,也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。常见问题:在实际中用 普通域帐号加计算机到域,有时会不好使,原因是同名计算机帐号(极可能是它自己已经失效的计算机帐号)已存在 而无权覆盖,这时就得用域管理员帐号了。
(2)在加入域的计算机上,用域用户帐号登录到域。
说明:
在域中的非DC计算机上,可以选择登录到域或本机,这是因为它同时还拥有本地用户帐号。而在DC上只能选择登 录到域了,因为整个域都是DC的,它没有必要再保留本地帐号了。2000是个红叉,03干脆就没有了。
安装AD时,会自动删除本地帐号,即使将来删除AD,也无法将本地帐号复原,而是重新生成的。这一点一定要注 意:如果本地有EFS加密的文件,一定要将证书导出或将文件解密后,再在这台计算机上做AD安装实验。
在2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS根据SRV记 录告诉它DC是谁,客户机联系DC,验证后登录。
(3)深入讨论:
如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。
前面我们在步骤(1)中强调“加入域前,首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务 器。”其实如果域中有多个DNS服务器,也可以指向其它的DNS服务器,当然这些DNS服务器之间得有区域复制关系。 这样做的目的恰恰是:大中型网络为了平衡DNS负载。
三、建立其它域控制器前面我们讨论了“建立第一个域中的第一台域控制器”,分析得很细。以下相同知识点的内容将不再赘述。
1、安装附加DC
(1)以本机管理员身份登录,在独立或成员服务器上,启动AD安装向导。
说明:
将成为附加DC的计算机,不必非得先加入域。
DNS指向已有DC所用DNS服务器,以便找到已有DC。安装结束后,一般应该手动在本机上再装一个DNS服务器,以 实现DNS的容错。
(2)选择:现有域的额外域控制器
(3)输入域管理员帐号,如:administrator,password,mcse.com(或mcse)。
常见找不到域的出错提示:域“mcse.com”不是AD域,或用于域的AD域控制器无法联系上。
解决:确保DNS指向已有DC所用DNS的服务器。
其它:Ping一下,检查物理连通性。高级用户是否设过TCP/IP筛选器或RRAS筛选器。
(4)输入域名,如:mcse.com。
(5)指定AD库和日志文件位置
(6)指定sysvol文件夹位置
(7)一般选:“与Windows 2000服务器之前的版本相兼容的权限”
(8)目录服务恢复模式的管理员密码
(9)几分后,安装完成,需要重启。
(10)手动在本机上安装DNS服务器,以实现DNS的容错。
A、开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统(DNS)。
B、开始/程序/管理工具/DNS
C、正向搜索区域/右键/新建区域,建议选择“AD集成区域”,区域名:已有区域的名称,如mcse.com。 自动生成起始授权机构(SOA)、名称服务器(NS)、主机(A)三条记录,但此时SRV记录并未被复制过来。需要等 待5-15分钟后,利用刷新或重新加载就可以看到复制过来的DNS记录了(对于03马上就可以看到复制过来的全部DNS记 录)。
深入讨论:
03和2000比,功能更强大了。但在域和AD的体系结构上并没有什么大的变化,而且MS的产品十分讲究向前兼容。 在一个域中可以既有2000DC,又有03DC;也可以既有2000DNS,又有03DNS,并且DC间的AD复制,DNS间的区域传输, 都好像没有版本差异一样。
在我们这里要说的就是:2000可作为03域的附加DC,03也可以作为2000域的附加DC,但第二种情况需要在2000DC (SP2及更高)上运行03光盘/I386/adprep命令来做准备。
具体第一步:adprep /forestprep进行林准备,第二步adprep /domainprep进行域准备。
2、建立子域
(1)以本机管理员身份登录,在独立或成员服务器上,启动AD安装向导。
说明:
DNS指向林根域已有DC所用DNS服务器,以便找到已有DC。
保证域命名主控必须有效,它默认在林根域的第一台DC上,且具有林唯一性。利用管理工具“AD域和信任关系” 可转移域命名主控。
(2)选择:新域的域控制器,下一步,在现有的树中创建一个新的子域
(3)输入林管理员帐号,如:administrator,password,mcse.com(或mcse)。
常见出错提示:域“mcse.com”不是AD域,或用于域的AD域控制器无法联系上。解决方法见前。
(4)输入父域名,如:mcse.com;输入子域名,如sub,注意不要输成sub.mcse.com。
(5)指定AD库和日志文件位置
(6)指定sysvol文件夹位置
(7)一般选:“与Windows 2000服务器之前的版本相兼容的权限”
(8)目录服务恢复模式的管理员密码
(9)几分后,安装完成,需要重启。
如果域命名主控失效将会出现如下出错提示:“由于以下原因,操作失败:AD无法与域命名主机xxx联系。指定 的服务器无法运行指定的操作。”
解决:保证域命名主控联机,如果确信其已无法正常工作,可强制传给林内的任意一个DC,子域的DC也可以。原 来的主机将必须被重做系统后,才可连入网络,以保证域命名主控的林唯一性。
深入讨论:
关于子域(子Domain)所对应的DNS子区域(子zone)是否委派的问题。(以下简称:子区域)
如果网络规模不是很大,虽然实现了子域,但总部、二级单位的网管可能就是同一个人。这种情况下就不需要委 派了。可以把区域、子区域都放在同一个DNS服务器上,由同一名管理员来管理就可以了。默认值即如此,不需要手 动设置。
如果网络规模较大,且二级单位需要能够控制自己的DNS子区域,比如自己增加www1,www2……这样的主机记录;在自 己的子区域下再建子区域。这种情况下就需要委派子区域了,由二级单位的DNS管理员自己来管理。否则二级单位涉 及DNS的每一个小变化,都需要找总部DNS管理员批准。
子区域委派,操作步骤如下:(最好按如下步骤进行,不容易出问题)
A、DNS指向林根域(如:mcse.com)已有DC所用DNS服务器
B、利用AD安装向导,安装子域(如:sub.mcse.com),重启机。
C、在林根DNS控制台上查看,确保已在mcse.com生成子文件夹sub,且sub下有4个以下划线开头的,保存有SRV记 录的子文件夹(_msdcs、_sites、_tcp、_udp)已生成;sub下还应有如下2条A记录:(第二条记录如果未生成,手 动补上也可以。)
(与父文件夹相同)主机 IP
SUBdc 主机 IP
D、在父域(如:mcse.com)右键/新建委派/下一步/子区域名:sub。(不必担心重名,因为委派完成后,灰颜 色的委派的sub夹将取代黄颜色的sub夹,但注意操作过程中会共存一段时间)接下来,指定负责子区域的名称服务器 :SUBdc.sub.mcse.com及它的IP,以生成粘合记录,下一步,完成。
E、在子域DC上安装DNS,操作:开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统(DNS)。
F、开始/程序/管理工具/DNS
G、正向搜索区域/右键/新建区域,建议选择“AD集成区域”,区域名:sub.mcse.com。自动生成SOA、NS 、A、A四条记录(后两条A记录,如C步中述),此时SRV记录也被复制过来了。
H、在DNS服务器的计算机名上/右键/属性/转发器:指向上一级或林根DNS的IP。
I、将子域DC的DNS指向自己,以后加入子域的计算机也使用子域的DNS,以实现DNS分担负荷。(当然,子域中的 计算机可以使用林中任一台DNS,也都好使)
注意:
由上述过程,大家可以了解到,做为被委派的DNS子区域的二级单位DNS管理员,是不能随意更改自己的DNS服务 器的。比如修改DNS服务器的IP,需要通知上级管理员,及时更新委派子区域的NS记录,否则林中其它用户就会找不 到你这个子域的计算机。
3、新域—新树—加入林
此种情况平常较少用到,因为一般企业只用一套命名体系,很少采用两上或两个以上的树。微软举的例子:一个 大企业兼并另一企业,并且想保留它的命名体系,技术上对应实现就是目录树和DNS名称空间。
说明:此种应该预先建好DNS正向搜索区,因为它不能像建子域那样,利用AD向导自动在已有DNS区域中创 建子区域。下面以前文中的mcse.com,sub.mcse.com,my.com图示为例进行说明。
(1)在林根DNS上,与mcse.com并列,创建区域my.com,最好选AD集成区域。
(2)以本机管理员身份登录,在独立或成员服务器上,启动AD安装向导。
说明:
DNS指向林根域已有DC所用DNS服务器,并保证域命名主控必须有效。
(3)选择:新域—新树—加入林
(4)输入林管理员帐号,如:administrator,password,mcse.com(或mcse)。
说明:
输入的欲登录的林根域名,也就告诉了系统要加入哪个林。
(5)输入新域的DNS全名,如:my.com;域NetBIOS名:MY。
(6)指定AD库和日志文件位置
(7)指定sysvol文件夹位置
(8)一般选:“与Windows 2000服务器之前的版本相兼容的权限”
(9)目录服务恢复模式的管理员密码
(10)几分后,安装完成,需要重启。
说明:
用预建DNS这种方式加入林,使用的是林根上已有DNS服务器,所以此计算机在林根DNS的my.com区域下,仅生成 一条主机(A)记录(如需要可手动添加:treedc 主机 IP),SOA和NS记录都是林根DNS服务器,但在my. com区域会有相应的SRV记录来标识它是这个树根域的DC。这种并没有实现DNS的分担负荷,如想实现,利用辅助区域 来做。
实验中发现:万不可像全新安装那样,在安装过程中,选择在本地安装一个DNS,这样将会这把个树根域安装成 一个独立的林根域。原因吗?去问微软吧。
四、卸载AD在实际工作中有时我们需要改变服务器角色,或者将实验中安装的DC回复到普通成员/独立服务器身份, 这就要进行AD的卸载。
1、卸载时会提示给新的本地管理员设置密码
2、附加DC卸载后,仍在域中。
3、如果AD不能卸载,应从以下几方面考虑:
(1)权限
权限要求与安装AD类似,若一个林中只有一个域,那么你要卸载的就是林根域,需要林管理员权限;卸载附加DC 需要该域的域管理员权限;卸载子域或树,涉及到林结构的改变,也需要林管理员权限。
(2)DNS
一般应保证与安装时所用DNS一致。如果做了DNS规划,必须保证1中权限所要求的管理员身份能找到相应D C验证。
(3)域命名主控
卸载时只要涉及到林结构的改变,就需要保证域命名主控有效;卸载附加DC时不要求域命名主控有效。
但要注意的是:卸载时的出错信息与安装时的“AD无法与域命名主机xxx联系”提示不同,具体是:由于以下原因, 操作失败。以提供的凭据绑定到服务器xxx失败。“RPC服务器不可用”。
(4)卸载的顺序
与安装顺序相反,应该先逐级卸载下面的子域,最后卸载树根域、林根域。否则将导致子域无法卸载,而 存在的子域还有问题。
因为极有可能此时架构和域命名主控及GC未转移,林管理员组和架构管理员组(Schema Admins)已 经随林根域的删除而没有了。为什么这么说呢?因为如果管理员考虑到主控及GC等的转移问题,也就不会误删林根域 了。
五、从NT4域升级到2000域
1、预备知识:
NT4域采用单主控复制,DC分为PDC和BDC,BDC存储的只是PDC“目录服务数据库”文件的只读复本。在“服务器 管理器”中可以将一台BDC提升为PDC,原PDC自动降为BDC。
一个域中只能有一台PDC,零到多台BDC以提供容错和分担负荷。但大家不要理解为一个网络中只能有一台PDC, 域是逻辑分组,我们可以在一个子网中建多个域。
2000域开始采用多主控复制,DC不再有PDC和BDC之分,DC间的AD复制是双向的。但2000域中会唯一有一台DC担当 PDC仿真主控,负责充当NT4 BDC的PDC,并为早期版本客户机提供服务。PDC仿真主控还负责管理运行NT、95/98 计算机的密码变化,写入AD。接受密码变化的DC必须通知PDC仿真主控,比如:用户登录时,如密码错误,必先送至P DC仿真主控。因为普通DC不能确认到底是密码错误,还是它没有及时与PDC仿真主控同步。它还负责同步整个域中计 算机的时间。通过以上我们可以知道:在2000域中存在的NT4域控制器,它的身份只能是BDC。
2000域模式分为:混合(mixed)模式和本机(natived)模式。默认为混合模式,如果管理员确认域中所 有DC(注意:这里强调的是DC,2000域本机模式下可以有NT4的成员服务器)都是2000DC,没有NT4的域控制器,可以 手动在“AD用户和计算机中”将域模式更改为本机模式,以充分利用AD的新功能,比如使用“通用组”。
通过以上分析,我们可以知道:如果在2000域中存在NT4域控制器,那么你只能使用2000域混合模式了。 有人可能会想那我就不让它再当域控制器了,但是NT4域的DC和成员服务器之间角色转换必须重装NT4系统,不能象20 00那样利用AD安装向导,方便地进行安装/卸载。
2、原则:由NT4域向2000域升级,第一个被升级的必须是NT4域的PDC。这样才可以把帐号、安全设置、配置等带到20 00域
3、MS推荐策略:由于升级是一个极易出现各种问题的过程,必须考虑备份。再有就是实际操作时,可以先将NT4的BD C提升为PDC,再升级到2000。如果顺利的话,再升级其它BDC。如果不顺利的话,可将原来PDC复原,以此方法来避免 损失。
4、深入讨论:我们可以把前面的问题再深入讨论一下,假设你的域中有NT4的PDC,并且在它上面运行的老程序不允 许你把它升级为2000,但你还想要通过升级NT4域,得到2000域,那么应该怎么办呢?答案很简单,可以先将这台PDC 降为BDC,再将新PDC升级为2000。这样你既得到了2000域,又保留了NT4的BDC。
5、我的推荐原则:在实际工作中,只要能进行2000域的全新安装,就用全新安装。因为NT4升级后得到的2000安全策 略设置等等是继承NT4时的设置,与2000域的默认值有较大出入,以后出问题,不易排错,也不易与其它人交流沟通 、解决问题。
本文基于自己几年来的实践心得,讨论重点放在如何规划和最终实现Windows 2000/03域和活动目录 ,以及此过程中要考虑和解决的各种各样问题。至于如何基于域和AD的优点进行网络管理降低TCO,AD的维护,主控 的管理,将另行撰文专门讨论。
前几篇我们讲了活动目录的基本原理和安装配置,着重讲了一些活动目录的优越性,但它并不是一个独立的服务,它是在结合以前的一些协议和服务之后才得以成功实现,如DNS、LDAP协议与活动目录的完美结合、站点概念的应用等都是非常突出的明证。下面我们就分别介绍一下这几个应用技术。
一、DNS在活动目录中的应用
WIN2K作为一个崭新的操作系统,它的最大特点就是引入了活动目录,而活动目录的一个最大的特点就是把DNS和活动目录紧密结合在了一起。活动目录使用域名服务DNS 作为它的定位服务,同时对标准的DNS作了扩充。由于DNS 是使用最为广泛的定位服务,所以不仅在Internet 上, 甚至在许多企业内部网络中也使用DNS 作为定位服务。在利用WINNT4.0 构建的网络系统中,对每一台主机的唯一标识信息是它的NetBIOS名,系统是利用WINS服务、信息广播方式及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。在内部网络系统中(也就是通常我们所说的局域网中),利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上对一台主机的唯一标识信息是它的FQDN格式的域名(如www.163.com),在Internet是利用DNS标准来实现将域名解析为相应IP地址。如果WINNT4.0 构建的网络系统同Internet连通,则NT网络中的每一台主机也都有相应域名,其域名的解析是通过WINNT4.0 所支持的DNS 服务来实现的。在WINNT4.0 中配置和实现DNS完全由人为手工来规划、设计和实现,由上述可见,在WINNT4.0 网络系统中,每一台主机既有NetBIOS名又由域名,而实际意义基本相同,这在一定程度上增加了网管人员的管理负担,同时出使整个网络管理显得更加混乱。
在WIN2K的活动目录中,最基本的单位是域(Domain),通过父域和子域的模式将域组织起来形成树,父域和子域之间是完全双向的信任关系,且信任关系传递,其组织结构同DNS系统类似。在活动目录中命名策略基本按照Internet标准来实现,遵照DNS和LDAP3.0两种标准,活动目录中的域和DNS系统中的域采用完全相同的命名方式,即活动目录中的域名就是DNS域名。那么在活动目录中依赖于DNS作为定位服务,实现将名字解析为IP地址。所以当我们利用WIN2K 构建活动目录时,必须同时安装配置相应的DNS,无论用户实现IP地址解析还是登录验证,都利用DNS在活动目录中定位服务器。活动目录与DNS系统的这种紧密集成,意味着活动目录同时非常适合于Internet和Intranet环境,这也是微软创建适用于Internet的网络操作系统的思想的一种体现。企业可以把活动目录直接连接到Internet以简化与客户和合作伙伴之间的信息通讯。另外WIN2K中的DNS服务允许客户使用DNS动态更新协议(RFC 2136)来动态更新资源记录,通过缩短手工管理这些相同记录的时间,提高DNS管理的性能。运行WIN2K的计算机能动态地注册他们的DNS名称和IP地址。
由于活动目录与DNS已经集成在一起,因此在WIN2K中NetBIOS名已经逐渐失去意义,与此相对应的WINS服务也处于慢慢被淘汰的过程中。在WINNT中为了有效的发挥WINS的动态特性,我们通常将DNS与WINS 进行集成,这样能获得更准确的解析结果。但是,WINS并不是Internet标准协议,而DNS解决动态维护机器名与IP地址对照表的方案是动态DNS。动态DNS并不需要用到WINS,因为它允许动态分配IP地址的客户可以直接注册到DNS服务器上,即时更新DNS对照表。
WIN2K支持动态DNS,运行活动目录服务的机器可动态地更新DNS表。WIN2K网络中可以不再需要WINS服务,但是WIN2K仍然支持WINS,这是由于向后兼容的原因。那么如果网络系统不再使用WINS,用户登录到网络时,客户机如何找到域控制器呢?这是因为WIN2K在实现DNS时,对标准的DNS进行了扩展,在DNS表中增加了一种新的记录类型SRV记录,它指向活动目录的域控制器。所以如果网络系统已经全面升级到WIN2K,那么就可以不再使用WINS 服务 了。而在WIN2K中,由于支持动态更新协议(RFC 2136),这种集成也变得没有必要了。DNS这个由一系列解释请求(RFCs)标准组成的在Internet上广泛采用开放的协议,已经成为网络技术中的统一的标准化的规范。WIN2K的目标是在Internet和Intranet环境中得到广泛应用,那么它的名称解析模式就应该完全遵守单一的DNS标准。
上面主要讲了一下DNS在活动目录中的应用情况,但或许有人要问原来在WINNT4.0中没有用活动目录,只用DNS来解析域名,到底活动目录与DNS之间有什么区别,它们之间又是如何结合的呢?下面就来具体讲一下。
1、活动目录与DNS的区别
(1)、存储的对象不同
DNS和活动目录的结合是Windows2000服务器的最主要特点,DNS域和活动目录域对不同的名字空间使用同一样的域名。但它们各自存储不同的数据,因此管理不同的对象。DNS存储它的区域和资源记录,活动目录存储域和域中的对象。对DNS来说,域名是以DNS的层命名结构为基础的,是一种倒树型结构:一个根域,下面的域既是父域又是子域。每一个DNS域中的计算机可以通过完全合格域名(FQDN)进行识别。每一个与因特网连接的WIN2K域都有一个DNS名字,并且每一个WIN2K域中的计算机也都有一个DNS名字。因此,域和计算机即代表活动目录对象,又代表域节点。
(2)、解析所用的数据库不同
DNS是一种名字解析服务,DNS是通过DNS服务器接受请求查询DNS数据库来把域或计算机解析为IP地址的。DNS客户发送DNS名字查询到它们设定的DNS服务器,DNS服务器接受请求后或通过本地DNS数据库解析名字,或查询因特网上的DNS数据库,DNS不需要活动目录就可以起作用。
活动目录是一种目录服务,活动目录通过域控制器接受请求查询活动目录数据库来把域对象名字解析为对象记录。活动目录用户是通过LDAP协议(一种进入目录服务的协议)向活动目录服务器发送请求,为了定位活动目录数据库,需要借助于DNS,也就是说,活动目录把DNS作为定位服务,把活动目录服务器解析为IP地址,活动目录不能没有DNS的帮助。DNS可以独立于活动目录,但是活动目录必须有DNS的帮助才能工作。为了活动目录能够正常的工作,DNS服务器必须支持服务定位(SRV)资源记录,资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址。
除了要求WIN2K网络的DNS服务器支持SRV资源记录外,微软还建议DNS服务器提供对DNS的动态升级。DNS动态升级定义了一个DNS服务器在一定值内自动升级的协议,如果没有此协议,管理员不得不手动配置域控制器产生的新的记录。新的WIN2K的 DNS服务既支持SRV资源记录,又支持动态升级。如果你选择其它的非WIN2K为基础的DNS服务器,那么你必须证实它支持SRV资源记录。对于一个合法的支持SRV资源记录但是不支持动态升级的DNS服务器,在你把WIN2K服务器升级为域控制器时,必须使它的资源记录手动升级。这些可以用Netlogon.dns文件来完成,该文件是由活动目录智能安装向导创建的,存在于文件夹%systemroot%\System32\config中。 2.两者的结合方法
既然DNS和活动目录有如此大的区别,那么它们是怎样结合在一起的呢?主要有以下几种途径:
(1)、活动目录域和DNS域使用一样的层次结构,
虽然功能和目的不一样,一个组织的DNS名字空间和活动目录空间有着一样的结构。
(2)、DNS区可以存储在活动目录中
如果你使用WIN2K DNS服务,那么主域可以存储在活动目录中为其它活动目录域控制器提供复制服务,并且为DNS服务提供增强的安全措施。
(3)、活动目录客户使用DNS定位域控制器
对于一个特定的域,为了定位域控制器,活动目录客户向它们设定的DNS服务器请求资源记录。当一个公司使用WIN2K服务器版作为它们的网络操作系统时,活动目录被认为是注册的法定DNS名字根域下的一个或多个层次结构的WIN2K域。
根据DNS的命名规则,DNS名字的被句点(.)分开的每一部分代表DNS树型层次结构的一个节点,并且代表WIN2K域树型层次结构的一个潜在的活动目录域。DNS的根节点以空白表示(“”),活动目录名字空间的根节点没有父域,它提供活动目录的LDAP进入点。
二、站点(Site)在活动目录中的 应用
我们在利用WINNT4.0来规划设计我们的企业网络系统时,要根据企业构建的具体情况设计相应的域模型,如单域、多主域或单主域模型等。我们可以利用这些种类的域模型来规划企业的网络环境,实现对企业网络的组织、管理和控制。当我们去实现这种网络规划时,常常要根据企业内部的组织结构形式,作出符合实际需求的规划设计。如果是一个集团性质的大公司,我们常常需要把某一部门或一些工作关联性较大的部门设计成一个域,以方便组织和管理。这就给我们设计人员提出了一个很棘手的问题,如果这样一个域是由地理上分布在不同位置的计算机通过慢速连接构成的,那么通过慢速连接的PDC和BDC的信息同步就会因占据大量网络流量,影响网络的整体性能,面对这样一个问题,我们只能束手无策,根本没有任何控制方法。
当我接触到WIN2K之后,活动目录的强大功能和人性化设计思想,令我们今后的网络规划设计更加方便和灵活。而WIN2K活动目录中Site概念的提出和实现,为管理和控制DC之间的信息同步提供强大工具,从而有效的解决了我们前面提出的那个曾令我们束手无策的难题。
所谓Site,是指在物理上有较好的线路连接的能实现较快通讯速率的计算机的集合,一般是指一个LAN。而Site之间一般是通过慢速连接来实现信息通讯。可见Site 是对网络上计算机的实际的物理分布的一种客观反映。有了Site这个概念之后,我们就可以将一个域中的计算机根据地理位置的分布分装在几个Site之中。在一个Site当中,活动目录利用复制组件和KCC形成一个DC之间复制同步的双向的环形,每个DC都有两个复制伙伴,它们之间形成完全的信息同步。当一个DC中的目录数据库发生变化,它会等待一段时间间隔后向它的复制伙伴发送变更通知,复制伙伴接到变更通知后,会从发生变化的DC上拷贝目录数据的变化信息。同样复制伙伴还会把变更信息发送给它的复制伙伴,从而实现整个Site内的DC的同步。由于Site内采用快速而可靠的网络连接,因此Site内DC之间的复制数据是不压缩的,这虽然增加了复制信息的要求的带宽,但减少了DC的处理数据的负担。一般情况下Site内DC的信息同步采用RPC协议,使数据复制快速、统一,使DC之间保持了较高的数据一致性。
在Site之间一般是通过慢速连接,只有有限的可用带宽并且数据传输不可靠。为了不影响慢速连接线路上的其它数据通讯,以及确保DC间目录复制的可靠性,Site间的DC的复制不采用Site内DC间复制的变更通知方式,而是采用复制调度的方式。在Site之间可以设定一个时间表和时间间隔,时间表决定在哪些时间允许复制发生,时间间隔指定在允许复制的时间内DC多久检查一次数据变更。这样我们就可以将Site间DC复制同步的时间表设定在网络流量较少的时候(比如午夜)。这时网络不拥挤相对而言也较可靠。而且在Site间DC的目录复制采用压缩的方法,复制信息可以被压缩至10%到15%,这样可以有效地优化网络带宽。
可见,我们通过合理地规划活动目录上的Site,可以有效地控制活动目录中DC的同步,优化网络带宽,提高网络性能。由于在WIN2K的活动目录中,DC之间的同步不但涉及一个域内DC之间大量数据的同步,同时不同域的DC之间也有少量信息需要同步。当我们用Site来实现活动目录中DC之间的复制布局时可以借助于 Site link 和Site link Bridge两种设置来帮助我们实现,从而形成一个更合理、更有效、更可靠的活动目录中DC的复制布局,最大限度优化我们的网络系统。
三、LDAP在活动目录中的应用
LDAP的英文全称是Lightweight Directory Access Protocol,简称为LDAP。它是基于X.500标准的,但是又比它简单许多,并且可以根据需要定制的一种目录服务协议。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
目录服务的工作模型是客户机/服务器模型。1988年,CCITT组织首先创建了X.500标准全面描述了这一模型,包括目录服务器的目录结构、命名方法、搜索机制以及用于客户机与服务器通信的协议DAP(Directory Access Protocol)。此标准很快被ISO组织引用,编号为ISO 9594。但是,在实际应用的过程中,X.500存在着不少障碍。由于DAP这种应用层的协议是严格遵照复杂的ISO七层协议模型制定的,对相关层协议环境要求过多,在许多小系统上无法使用,TCP/IP协议体系的普及更使这种协议越来越不适应需要。在这种情况下,DAP的简化版棗LDAP应运而生。早期设计的LDAP服务器不是独立的目录服务器,主要扮演LDAP客户机与X.500服务器间网关的角色,既是LDAP的服务器又是X.500的客户机。如今的LDAP服务器可取代X.500服务器而独立提供服务。
LDAP服务器的目录组织以“条目”为基本单位,结构类似树形,每一个条目即是树上的一个分枝节点或叶子。一个条目由多个“属性”组成,每个属性又由一个“类型”和一到多个“值”组成。LDAP协议直接基于面向连接的TCP协议实现,定义了LDAP客户机和LDAP服务器间的通信过程和信息格式。LDAP服务器在服务端口(缺省端口号为389)监听,收到客户机的请求后,建立连接,开始会话。活动目录与DNS协议的结合的意义在于使内部网与外部网命名方式保持一致,这样便于整个网络的管理。LDAP协议是用于查询和检索活动目录信息的目录访问协议。由于它是基于工业标准的目录服务协议,使用 LDAP 的程序可以发展成与其他目录服务共享活动目录信息,这些目录服务同样支持LDAP。活动目录信息活 动目录使用LDAP 目录访问协议作为它与其他应用或者目录服务交换信息的手段。LDAP 已经成为 目录服务的标准,它比X.500 DAP 协议更为简单实用一些。Microsoft 已经在Exchange Server 系统中提供了LDAP v2 和LDAP v3 的支持, 在WIN2K 的活动目录服 务中将提供更为全面的支持。
值得一提的是LDAP 协议中采用的命名格式, 因为我们需要通过名字信息访问目录对象,所以名字格式对于用户或者应用程序非常重要。活动目录支持大多数的名字格式类型。较为常用的格式有以下两种:
(1) RFC822 命 名 法
这种命名法的标准格式为:object_name@domain_name,形式非常类似于电子邮件地址,比如Myname@mydomain.com。活动目录为所有的用户提供了这种式的好名字,所以用户可以直接使用该友好名字当作电子邮件地址,也可以用作登录系统时的账户名。
(2) LDAP URL 和X.500 名 字
任何一个支持LDAP 的客户都可以利用LDAP名通过LDAP 协议访问活动目录,LDAP 名不像普通的Internet URL 名字那么直观,但是LDAP 名往往隐藏在 应用系统的内部,最终用户很少直接使用LDAP 名。LDAP 名使用X.500 命名规 范,也称为属性化命名法,包括活动目录服务所在的服务器以及对象的属性信息。
