资源描述:
《ActiveDirectory网域.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第4章ActiveDirectory網域24-1AD網域的定義與功用4-2網域控制站4-3多重網域的架構4-4站台與GC伺服器本章重點3ActiveDirectory網域從Windows2000Server到WindowsServer2008,『AD網域』(ADDomain)始終都是主角。因此本章將說明網域的定義、功能、名稱及多重網域的架構,讓讀者先紮穩馬步,以利於後續各章的實作。44-1AD網域的定義與功用其實網域並非新概念,早在WindowsNT就已經有網域。但是從Windows2000Server開始,一方面改用與DNS網域相同的架構,另一方面將AD目錄服務
2、整合到網域中,因此形成一種新的網域。為了與NT網域區別,一般稱之為AD網域。由於微軟已經宣布淘汰WindowsNT,因此本書不介紹NT網域。後文所指的網域,若無特別註明為NT網域,則一律代表AD網域!5何謂網域簡言之,共用同一份AD資料庫之電腦所組成的集合便是一個網域!由於AD資料庫裡頭包含了使用者帳戶、使用者密碼、電腦帳戶、權限設定等等資訊,所以同網域內的電腦和使用者,都是由同一份AD資料來決定誰可以存取哪些資源、誰可以做哪些工作等等。6網域的功能說實在的,管理網路並非一定要有網域不可--但是有網域可以省下很多工夫!我們先來看沒有網域的情形,再看有了網域之後的情
3、形,兩相對照便能明白其中的差別。7工作群組-各自為政的架構在沒有網域的環境中,假設有10部伺服器和100位使用者,因為每部伺服器都有自己的帳戶資料庫(稱為『本機帳戶資料庫』),網路管理員等於要維護10×100=1000筆資料。而隨著伺服器和使用者數量遞增,維護工作所佔用的時間也隨之暴增。微軟將上述這種『各管各的帳戶資料庫』架構,稱為『工作群組』(Workgroup)架構。8工作群組-各自為政的架構無論是Windows9X、WindowsXP、Windows2000/2003、WindowsVista或WindowsServer2008,都支援工作群組架構。9網域-
4、中央集權的架構要管理分散於各伺服器的帳戶資料庫,是一件讓人頭痛的事,不如選一部電腦專門負責管理帳戶資料,讓其它的電腦都以它的帳戶資料庫為準。如此一來,無論使用者或伺服器的數量增加多少,網路管理員都只要維護一個資料庫即可。同樣以10部伺服器和100位使用者的環境為例,假設我們將10部伺服器的帳戶資料庫整合成一個,儲存在A伺服器。10網域-中央集權的架構並且告訴所有的電腦『:凡是要查證使用者名稱與密碼是否正確時,一律去問A伺服器,它說了算!』爾後有任何的帳戶異動,只要修改A伺服器的帳戶資料庫,效力就遍及10部伺服器和100位使用者。若用微軟的術語來說,A伺服器所儲存的
5、共用帳戶資料庫稱為AD資料庫;而A伺服器則稱為網域控制站(DC,DomainController)。11網域-中央集權的架構12網域名稱在不同的應用場合,我們會使用不同的格式來表示網域名稱,其中較常用到的2種格式,便是DNS網域名稱和LDAP網域名稱:DNS網域名稱AD網域的命名方式與DNS相同,例如:其中WWW、XXX、YYY和ZZZ都稱為標籤(Tag),每個標籤不得超過63個字元,並以『.』隔開。13網域名稱全部的標籤加上全部的『.』總共不得超過255個字元。每一個標籤代表階層式樹狀架構中的一個AD網域,而且愈靠近右邊的標籤代表愈上層的網域,愈靠近左邊的標籤代
6、表愈下層的網域。LDAP網域名稱DNS網域名稱利用『.』來區隔網域,但是LDAP則是以『DC』(DomainComponent,網域元件)來代表每一層網域。14網域名稱因此用LDAP網域名稱將FLAG.COM.TW表示如下:特別要注意的是:不要將LDAP名稱裡的DC當成AD網域的DomainController。154-2網域控制站先前曾介紹過,存放AD資料庫、管理網域中的AD物件,並提供身分驗證服務的電腦稱為網域控制站(DC,DomainController)。網域中必須至少有一部電腦扮演DC的角色,如果沒有DC,就沒有所謂的網域。16網域控制站倘若不用『網域控
7、制站』這個微軟發明的術語,我們可以稱它為『身分驗證伺服器』(AuthenticationServer)--因為它主要用來執行身分驗證工作。又因為通常是在登入時執行驗證,所以也可以稱為『登入伺服器』(LogonServer)。17建立多部DC的考量我們在前文曾說過:『必須至少有一部電腦扮演DC』--也就是說,可以有多部電腦都扮演DC的角色!當網域中有多部DC時,各DC的地位平等。網路管理員可用其中任一部DC來維護AD資料庫,例如:新增帳號、設定權限等等;使用者也可透過任一部DC來登入網域。但是,為什麼需要多部DC呢?18建立多部DC的考量因為單靠一部DC的話,萬一它
8、無法提供服