第1章域概述.doc

1、第1章 域概述9第1章 域概述Windows Server 2012 AD DS域服务的核心价值是提供一套完整的用户身份验证系统，是一个基础身份验证平台，基于Windows的应用可以很容易实现用户单点登录。本章将通过一个真实的案例介绍域应用和一些需要了解的基本概念。1.1 真实的案例1.1.1 案例需求这是一个真实的案例。案例是这样的：某企业网络环境中部署300余台电脑（客户端计算机使用Windows XP操作系统），并使用多台服务器，所有计算机（服务器和客户端计算机）都处于工作组环境。企业中部署门户站点和邮件服务后，企业发展动态、会议通知、人力资源调整等管理信息全部通过门户站点和邮件通知，领

2、导层要求员工打开计算机后，做到以下两点。 自动打开用户的邮件系统（Microsoft Outlook系列）。 自动打开浏览器（Internet Explorer）并登录到企业的门户站点，以便查看信息。1.1.2 IT技术部门IT部门接到任务后，IT部门领导根据计算机分布情况给ITPro（5人）部署任务，要求在5个工作日完成上述任务。1处理方法采取的工作方式：手动方式单台计算机处理。使用以下方法完成任务要求。 将Microsoft Outlook系列应用程序拖曳到“所有程序”“启动”菜单下。 将Internet Explorer浏览器的“主页”通过“Internet”选项，设置为企业门户站点。2

3、遇到的问题从工作过程角度审视，ITPro的做法是正确的，确实可以达到领导层的要求。但是在实施过程中遇到以下问题。 部分员工出差在外，不能完成相关设置工作。 部分员工具备计算机知识，ITPro设置完成后，立即更改上述设置，需要反复更改，多次强调才能完成任务设置。3时间周期预计完成设置任务需要5个工作日，实际执行时间超过1个月还没有全部完成上述要求的设置。1.1.3 达到的效果根据领导层的要求，发布会议通知后相关人员在指定时间指定地点参加会议，但是数次会议之后，缺席人员总是说没有收到会议通知，从企业站点以及邮件中都没有看到，以IT部门技术服务不到位作为托词。因此领导层决定：强制所有计算机用户打开电

4、脑后完成上述管理任务。1.1.4 IT技术部门新措施1新举措IT技术部门经过咨询、论证、验证以及测试后，在网络中部署Active Directory服务，结合其他服务完成管理任务。 网络中的用户统一身份登录。 Microsoft ISA Server 作为上网行为管理，非域内的用户不能访问Internet。 部署组策略完成领导提出的管理任务：自动打开Internet Explorer浏览器并访问指定的主页，自动运行Microsoft Outlook应用程序。 根据部门提供严格的共享文件夹访问机制。 非管理员不能私自安装软件。2实现的效果部署Active Directory服务后，不仅完成领导交

5、代管理任务，而且以前大量需要手动完成的任务通过策略部署自动完成，甚至操作系统安装都通过“Windows部署服务”实现自主安装，降低ITPro的工作强度和管理难度。域内根据需要部署策略，针对不同的部门完成不同的管理任务。部署Active Directory服务后，首先实现了领导要求，发布会议通知后相关人员在指定时间指定地点参加会议，不参加会议的借口已经不能成立。然后，通过“策略管理”管理域内的计算机，让管理更上一层楼，将ITPro从繁重的维护工作脱离出来，将大部分精力用于业务流程方面的管理。1.2 部署域的意义上述案例很好地解决了领导的要求，对网络管理来说领导提出的要求只是“冰山一角”，Acti

6、ve Directory服务和其他服务结合能够完成更多的管理任务。1.2.1 网络管理中遇到的问题ITPro在网络运维中经常遇到以下问题。 ITPro觉得网络运维重复工作太多、无聊，觉得工作累。 ITPro认为用户不好交流、不能根据指定业务流程完成指定的操作，造成和用户之间隔阂越来越深。 由于信息不对称，ITPro认为简单的技术问题用户都应该掌握，不需要培训。当用户提出类似的问题时，觉得用户无理取闹，故意找茬。 ITPro觉得在企业中自己地位低下，干的活越多，得罪人越多，自己在夹缝中生存，处于出力不讨好的状态。 ITPro非一线业务部门，不能为企业带来应有的价值，老板给的薪水也低。长此以往，I

7、T技术部门没有形成自己的核心竞争力，越来越受到排挤。 1.2.2 部署域的价值从工作组环境提升到域环境后，能够为企业带来的价值如下。 提升企业形象。将用户信息（姓名、地址、电话、办公室、邮件地址等）详细地录入到用户属性中，统一用户身份标识，统一企业形象。 通过域环境单点登录，降低运维成本，不需要在各个应用服务之间进行多次用户身份认证切换，降低开发、管理、操作、运维成本。 创建和企业行政管理结构类同的管理架构，管理目标明确，和领导层沟通容易。例如，企业中部署文件服务后，人力资源部门共享资料不允许财务部门看到，可以通过NTFS、组策略等模式实现需要的管理需求。 容易与Windows应用服务集成，例

8、如Exchange Server、Forefront Threat Management Gateway、SharePoint、文件共享、打印机共享、Microsoft Sql Server系列数据库等，以及第三方软件开发厂商。 降低用户操作的复杂度，通过一次登录后，完成在多个应用服务之间切换。 域用户的权限可以通过委派明确授权，可以为领导层分配较高权限，授予领导层自由管理普通员工的权限，给领导层成就感。 通过管理架构部署组策略，通过策略强制（限制）管理客户端。1.3 常用的计算机概念本节中介绍本书中常提到的计算机相关概念。1.3.1 独立服务器安装完成Windows Server操作系统后，

9、运行该操作系统的计算机成为一台独立服务器。该服务器可以独立部署应用程序。最明显的特征是该服务器没有加入到“域”中。1.3.2 成员服务器独立服务器添加到“域”中之后，成为成员服务器。该服务器接受AD DS域服务的统一管理，接收并应用Active Directory发布的组策略，该计算机被添加到域内“Computers”组织单位中。1.3.3 域控制器Windows Server 2012中域控制器包括3种类型：额外域控制器、域控制器以及只读域控制器。1域控制器如果网络中安装的是第一台域控制器，该服务器默认为林根服务器，也是根域服务器，FSMO（操作主机）角色默认安装到第一台域控制器。如果是额外

10、域控制器，FSMO（操作主机）角色转移到额外域控制器后，额外域控制器将提升为域控制器。域控制器和额外域控制器之间是平行关系，它们之间的区别在于是否存在FSMO角色。域控制器中运行AD DS域服务，该服务和普通的服务应用相同，可以通过“服务”控制台管理AD DS域服务，完成“启动”、“停止”、“暂停”等操作。域控制器添加到“Domain Controllers”组织单位中。2额外域控制器成员服务器使用“添加角色和功能”向导添加“AD DS域服务”角色后，将被提升为额外域控制器，成员服务器添加到域内“Domain Controllers”组织单位中。该服务器上运行“AD DS域服务”，提供管理任务

11、，存储Active Directory数据库。3只读域控制器只读域控制器服务与AD DS域服务相同，同样以服务的方式存在，但是Active Directory数据库只能读取不能写入，Active Directory数据库是AD DS域服务数据库的一部分，非完整Active Directory数据库副本。只读域控制器添加到域内“Domain Controllers”组织单位中。只读域控制器只能将可读写域控制器Active Directory数据库设置的缓存账户同步到只读域控制器中，无法对只读域控制器中的Active Directory数据库进行更改，如果只读域控制器需要更改Active Dire

12、ctory数据库中的数据，更改的数据首先在可读写域控制器上更改完成，然后复制到只读域控制器中。只读域控制器支持从可读写域控制器到RODC的单项数据复制。可读写域控制器不会从只读域控制器主动“拉”数据。只读域控制器可以缓存授权的目标组和用户的密码。1.3.4 客户端计算机运行Windows客户端操作系统的计算机称之为客户端计算机，客户端操作系统包括Windows 2000 Professional、Windows XP/Vista/7/8。加入域的客户端计算机，被添加到域内“Computers”组织单位中。如果要对客户端计算机部署“计算机配置”策略，首先需要将客户端计算机账户移动到目标域、组织单

13、位中，切记！1.4 常用域概念域环境中，DNS是基石，网络中的计算机通过DNS定位域控制器。使用域过程中，需要明确了解和区分域、域树、域林、根域的概念。1.4.1 DNSTCP/IP网络中，利用“Domain Name System（DNS）”解析主机名称和IP地址，在Windows网络中如果部署AD DS域服务，域控制器需要将自己注册到DNS服务器中，其他计算机可以通过DNS定位域控制器，DNS服务器建议启用动态更新功能，当域控制器的角色出现变动或者客户端计算机的IP地址等网络参数出现更改时，能够自动更新DNS信息。建议将DNS和AD DS域服务部署在同一台服务器中，Active Direc

14、tory采用DNS架构，域名也采用DNS格式命名（例如）。在部署第一台域控制器过程中，首先将“首选DNS服务器”设置为域控制器使用的IP地址，安装向导设置过程中，选择安装DNS服务即可。关于Active Directory集成区域DNS的介绍参考第28章内容。1.4.2 工作组工作组是一组计算机的集合，工作组中的计算机在网络中的地位平等，每台计算机独自管理，如果工作组内的计算机要互相访问，必须在被访问的计算机上显式设置用户验证方式。工作组架构如图1-1所示。图1-1 工作组环境1.4.3 域1域的实质域（针对Windows网络，本书中指的是Windows Server 2012 AD DS域服

15、务）是一套统一身份验证系统，是企业应用的基础，用身份验证系统完成企业级别的业务系统应用，例如Exchange Server、Forefront Threat Management Gateway、SharePoint Server、File Server、SQL Server、打印机共享等。域内的用户身份验证可以形象地比喻为日常生活中使用的“身份证”。2域应用域是一个有安全边界的集合，同一个域中的计算机彼此之间建立信任关系，计算机之间允许相互访问。域应用中，难的不是域环境部署而是依赖域环境的应用。例如组策略（Windows Server 2012中提供数千个相关策略），首先确认用户身份，然后组

16、策略根据用户身份（计算机账户或者域用户账户）进行限制。虽然谈到域就谈到组策略，但是组策略属于上层应用，组策略通过用户身份验证和域绑定得比较紧密，大部分企业管理都是通过组策略完成。单域环境中只使用一个DNS名字空间，例如。域中的所有计算机账户和用户账户都是用同一个域后缀（DNS名称后缀），如图1-2所示。图1-2 域环境3规划域域的规划本身存在多样性。每个企业都有不同的需求。 考虑到集团下的各个公司一般都是独立运行管理，集团多公司使用单林多域。 中型企业交叉业务比较多，一般情况是一个总部+多个分公司。建议使用父子域或者集中地管理一个域，然后划分站点。 小型企业使用单域。域规划没有绝对的错与对，主

17、要方便企业方便灵活地进行管理即可。所以公司管理架构不同，或者管理理念的不同都会造成考虑规划时的思路不同。微软建议使用单域多站点模式，可以适应大部分企业需求。注意，域的规划只是一个平台、一个基础，更重要的是前期规划要方便后期应用，能够支撑更多的服务，例如Exchange Server、SharePoint Server、SQLServer、CRM等。根据个人实践经验，如果没有特殊需求，域规划越简单越好，能用单域多站点解决的应用尽量不使用父子域，能用父子域解决的应用尽量不使用单林多域环境。本书中的域环境注重单林单域多站点。1.4.4 根域网络中创建第一个域就是根域，一个域林中只能有一个根域，根域在

18、整个域林中处于重要地位，对其他域具备最高管理权限。通过“Get-ADForest”命令，验证根域所在的服务器，通常架构主机角色和域命名主机角色所在的域控制器，如图1-3所示。1.4.5 域树域树由多个域组成，这些域共享同一存储结构和配置，形成一个连续的名字空间（相同的DNS后缀）。树中的域通过信任关系连接，林包含一个或多个域树。域树中的域层次越深级别越低，一个“.”代表一个层次，如域 比这个域级别低，因为它有两个层次关系，而只有一个层次，而域又比级别低，道理一样，它们都属于同一个域树，就属于的子域。父子域之间的关系是双向信任关系，如图1-4所示。图1-3 特殊组图1-4 域树结构1.4.6 域

19、林创建根域时默认建立一个域林，同时也是整个林的根域，同时其域名也是林的名称。例如是网络中第一个域的根域，也是整个林的根域，林的名称就是。通过PowerShell命令“Get-ADForest”查看林的相关参数，如图1-5所示。域树必须建立在域林下，一个域林可以有多棵域树。已经存在的域不能加入一棵树中，也不能将一个已经存在的域树加入到一个域林中，如果一定要把一个域加入到一棵域树中，或者要把一个域树加入到一个域林中，唯一可行的方法就是从零开始建立新域。企业已经拥有不同的域、域树、域林，希望同现有的域、域树、域林一起管理，最好的方法是使用Active Directory创建双向信任关系。如果在域、域

20、树、域林之间建立具有可传递的双向信任关系，就可以创建Active Directory结构。图1-5 查看林信息域林的结构如图1-6所示。注意，右侧域树的名字空间（DNS后缀）和左侧的名字空间不同。图1-6 域林结构1.4.7 如何区别域林和域树域林和域树区别如下。 域林是由一个或多个没有形成连续名字空间（非相同的DNS后缀）的域树组成，与域树最明显的区别在于构成域林的域树之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域所组成的。域林中的所有域树仍共享同一个存储结构、配置和全局目录，所有域树通过Kerberos信任关系建立，所以每个域树都知道Kerberos信任关系，不同域树可以

21、交叉引用其他域树中的对象。域林都有根域，即域林中创建的第一个域，域林中所有域树的根域与域林的根域建立可传递的信任关系。 域树由多个域组成，这些域共享同一存储结构和配置，形成一个连续的名字空间（相同的DNS后缀）。树中的域通过信任关系连接，林中包含一个或多个域树。域树中的域通过双向可传递信任关系连接在一起，因此在域树或域林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。这些信任关系允许单一的登录过程，在域树或树林中的所有域上对用户进行身份验证，但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限，所以必须在每个域的基础上为用户指派相应的权利和权限

22、。1.5 管理域控制器需要注意的问题域控制器在网络中的位置十分重要，和成员服务器、独立服务器截然不同，因此在使用过程中建议注意以下问题。1.5.1 禁止在域控制器任意安装软件域控制器在域构架网络中的作用十分重要，高可用性、性能要求都比较高。因此，建议不要在域控制器中安装应用程序（例如Microsoft Office系列应用程序等），娱乐性质的应用一定不要安装。建议在域控制器中仅安装AD DS域服务以及DNS服务，其他基础服务（WINS、DHCP、CA等）不要安装在域控制器中。网络中至少部署2台或者以上的域控制器，域控制器之间自动完成Active Directory数据库同步。1.5.2 禁止随

23、意添加/删除域控制器域控制器不同于成员服务器，当部署多台域控制器后，域控制器之间活动目录数据库复制时刻都在进行，当随意删除域控制器且没有进行元数据清理时，会造成Active Directory出错，尤其是复制方面的错误。因此，不要在生产环境中随意添加/删除域控制器。1.5.3 禁止FSMO角色的任意分配当域控制器出现以下状况时： 服务器正常维护。 原来FSMO角色所在的域控制器由于硬件或其他的原因导致无法联机。结果可能需要对FSMO角色进行转移。管理员可能认为，只要原来FSMO角色所在的域控制器离线，就一定要把FSMO角色转移到其他的域控制器上，能传送就传送，不能传送就夺取。在实际工作中，根据个人经验建议除了PDC角色之外，其他角色所在的域控制器如果离线，最好等待原域控制器重新上线。因为FSMO五种角色中，除了PDC角色经常用到之外，其他的角色一般不会经常用到。1.5.4 谨慎备份域控制器部署域控制器后，管理员可能会对服务器使用Ghost之类的备份软件进行备份，以防止出现故障时恢复使用。当使用Ghost恢复时，可能把过时信息复制给其他域控制器，可能已经删除的账号又被激活，组策略还原后出现莫明其妙的问题等。因此，使用Ghost之类的软件备份/还原域控制器的做法不可取，如果担心域控制器出现问题，可以在网络中多部署几台域控制器，防止域控制器离线造成的影响。