Windows Active Directory 域故障排錯
大慶油田高級人才培訓中心 張東輝
本節(jié)介紹Windows 2000/03 AD域故障的排錯����。首先我們會介紹活動目錄(Active Directory)及其相關概念,然后介紹和域故障排錯相關的知識���、工具軟件的使用�,最后以實例的形式講解針對具體的各種域故障如何進行排錯�,如何有效地利用組策略來管理AD域�����、管理網(wǎng)絡。
通過本節(jié)的學習,讀者可以掌握活動目錄(Active Directory)及其相關概念��,活動目錄的功能�、邏輯結構、物理結構�;管理Windows 2000/03網(wǎng)絡的方法���,相關工具的使用�;提高域故障排錯能力,掌握活動目錄上的最大應用:組策略�。
2-3-1活動目錄(Active Directory)及其相關概念
要掌握Windows 2000/03 AD域故障排錯,首先就得知道什么是域���,什么是活動目錄�����,活動目錄的工作原理如何����。以下內(nèi)容作為后面域排錯的基礎理論知識至關重要。
2-3-1-1為什么要使用活動目錄�?
為什么要使用活動目錄���?首先我們來看兩個例子:
如果我們要記住10個、20個電話號碼還可以�,但更多的就無能為力了�。這時我們就會想到把電話號碼記錄到電話簿上,需要時去查詢。
如果我們家中只有10本��、20本的書����,我們會比較容易找到我們想要的那一本��,但如果我們家中的書像圖書館那么多�����,這時我們就會想到把書分門別類地放好���,并根據(jù)書的書名、作者�、出版社���、類別等屬性信息做好索引,以利于查找。
有效地管理網(wǎng)絡,也象管理電話號碼����、管理圖書一樣���。我們會把網(wǎng)絡中眾多的對象:計算機、用戶�����、用戶組���、打印機��、共享夾……���,分門別類��、井然有序地放在活動目錄這個大倉庫中����。使用活動目錄對你公司的網(wǎng)絡進行管理����,才是積極有效的管理方法���,而且網(wǎng)絡規(guī)模越大�,越能體現(xiàn)出活動目錄在管理網(wǎng)絡上的高效性。
2-3-1-2工作組(Workgroup)
當然如果網(wǎng)絡規(guī)模很小,也可以使用Windows工作組模式來進行管理,但其管理功能極其有限�。對于一臺Windows計算機來講�,它要么隸屬于工作組����,要么隸屬于域�����。工作組是微軟的概念�,一般的普遍稱謂是對等網(wǎng)�。
工作組通常是一個由不多于10臺計算機組成的邏輯集合�,如果要管理更多的計算機��,微軟推薦你使用域的模式進行集中管理�,這樣的管理更有效。你可以使用域��、活動目錄�、組策略等等各種功能,使你網(wǎng)絡管理的工作量達到最小��。當然這里的10臺只是一個參考值�,11臺甚至20臺�,如果你不想進行集中的管理,那么你仍然可以使用工作組模式��。
工作組的特點就是實現(xiàn)簡單�,不需要域控制器DC���,每臺計算機自己管理自己���,適用于距離很近的有限數(shù)目的計算機。順便說明一下�,工作組名并沒有太多的實際意義,只是在網(wǎng)上鄰居的列表中實現(xiàn)一個分組而已�;再就是對于“計算機瀏覽服務”���,每一個工作組中�,會自動推選出一個主瀏覽器����,負責維護本工作組所有計算機的NetBIOS名稱列表。用戶可以使用默認的工作組名workgroup����,也可以任意起個名字(不必擔心重名)����,同一工作組或不同工作組間在訪問時也沒有什么分別���,都需要輸入目標計算機上的用戶名��、口令進行驗證����。
在工作組模式下��,用戶要訪問10臺計算機上的資源�����,就需要記住至少10個用戶名和口令��,工作組的這種分散管理性是它和域的集中式管理相比最大的缺點�。AD域提供了對網(wǎng)絡資源的集中控制�,用戶只需登錄一次就可以訪問整個活動目錄的資源。
2-3-1-3活動目錄(Active Directory)和域控制器(Domain Controller)
如果網(wǎng)絡規(guī)模較大���,這時我們就會考慮把網(wǎng)絡中眾多的對象(被稱之為AD對象):計算機���、用戶����、用戶組�����、打印機���、共享夾……分門別類�、井然有序地放在一個大倉庫中�,并做好檢索信息,以利于查找����、管理和使用這些對象(資源)。這個有層次結構的數(shù)據(jù)庫���,就是活動目錄數(shù)據(jù)庫�����,簡稱AD庫��。
接下來��,我們應該把這個數(shù)據(jù)庫放在哪臺計算機上呢���?是這樣的��,我們把存放有活動目錄數(shù)據(jù)庫的計算機就稱之為域控制器(Domain Controller)�,簡稱DC��。
2-3-1-4活動目錄架構(Active Directory Schema)
架構是關于AD對象類型屬性的定義����。一種類型AD對象應該有哪些屬性是由架構來定義的���,比如它定義了用戶對象有姓��、名�、登錄名����、口令等一系列的屬性。如果你想增加一個“性別”屬性,這就要修改架構����,一般稱之為擴展AD架構,這要求你必須是林根域上的Schema Admins組成員才行��。
整個活動目錄的林中只有一個架構���,因此在活動目錄中創(chuàng)建的所有對象都遵從同樣的規(guī)則�。也就是說你對架構的修改將影響到林中的所有域���,你沒辦法實現(xiàn)同一林中的一個域用戶對象有“性別”屬性�����,而另一個域沒有��。
2-3-1-5目錄訪問協(xié)議(DAP)和輕量級目錄訪問協(xié)議(LDAP)
AD對象存儲在活動目錄中��,客戶和應用程序就通過訪問活動目錄���,來查找這些存放于活動目錄中的對象���。用戶訪問這些AD對象��,當然要遵照一定的規(guī)則和約定����,這就是協(xié)議??蛻粼L問目錄所用的協(xié)議被稱之為目錄訪問協(xié)議(DAP),DAP是在X.500中定義的一個復雜協(xié)議,它的簡化版本被稱之為輕量級目錄訪問協(xié)議(LDAP)����,被微軟的活動目錄AD所采用��。LDAP是用于查詢和更新活動目錄的目錄服務協(xié)議��。
2-3-1-6目錄服務
回過頭來�,我們再來看一下目錄服務的定義�。目錄服務由X.500標準定義���,目錄是指一個組織中關于人和資源信息的結構化�����、層次化的庫。在微軟的Windows 2000/03網(wǎng)絡中�����,這個目錄服務就是指活動目錄(Active Directory)服務,又比如在Novell公司的NetWare上使用的目錄服務叫NDS(Novell目錄服務)�,目錄服務的實質(zhì)就是一種網(wǎng)絡服務。
活動目錄(Active Directory)作為網(wǎng)絡目錄服務����,提供了用于組織、管理和控制網(wǎng)絡資源的結構和功能,使我們有了集中管理Windows 2000/03網(wǎng)絡的能力�����,管理員可以在一個地點管理整個網(wǎng)絡。當然也可以利用OU進行委派控制�����,把一部分管理工作分派給OU管理員。
2-3-1-7活動目錄的邏輯結構
活動目錄的邏輯結構具有伸縮性����,?����。嚎梢灾皇且慌_計算機�����,大:可以應用到大型跨國公司的網(wǎng)絡����?�;顒幽夸浀倪壿嫿M件包括:
l 活動目錄林(Active Directory Forest)
l 活動目錄樹(Active Directory Tree)
l 活動目錄域(Active Directory Domain)
l 組織單元(OU���,Organizational Units)
l 全局目錄(GC,Global Catalog)
接下來�,以上圖為例,進行相關討論����。這整個是一個林��,mcse.com為林根域,有兩個樹����,一個由mcse.com和它的子域sub.mcse.com組成,另一個由my.com單獨組成����,林中有mcse.com,sub.mcse.com��,my.com三個域����。相關概念如下:
林根域:在林中建立的第一個域,如:mcse.com
樹:共用連續(xù)的命名空間的多層域���,如mcse.com(父域)和sub.mcse.com(子域)
樹根域:樹最高層的域�����,名最短。如:mcse.com和my.com
Windows 2000/03可采用多層域結構�,但最有效、最簡便的管理方法仍是單域����,所以大家在實際工作中要記住一個原則“能用單域解決��,就不用多域”��。
一���、域(Domain)
域是活動目錄中邏輯結構的核心單元。一個域包含許多計算機���,它們由管理員設定����,共用一個目錄數(shù)據(jù)庫���,一個域有一個唯一的名字����。
域是安全邊界���,保證域的管理員只能在該域內(nèi)有必要的管理權限���,除非得到其它域的明確授權��。每個域都有自己的安全策略和與其它域的安全聯(lián)系方式����。注意:1���、無法在一個域內(nèi)實現(xiàn)不同的賬號策略�����。2��、父域?qū)ψ佑虿]有任何管理特權�,但要注意林根域下有企業(yè)管理員組Enterprise Admins���,它默認對林中的其它域是有特權的����。
父域和子域間默認就有雙向可傳遞的信任關系�,也就是說用戶可以使用林中任意一個域內(nèi)的計算機,登錄到林內(nèi)的任何一個域上(操作上就是使用欲要登錄的那個域的用戶賬號)�����;還可以�����,以自己本域的賬號登錄��,訪問林內(nèi)任何資源而不需要重新輸入口令�����,當然要想能真正訪問某一具體資源�,在該資源上必須得有相應權限才行。
二���、組織單元(OU���,Organizational Units)
在域下面,我們可以規(guī)劃OU����,放入計算機、用戶��、用戶組等對象。也就是說通過OU�����,我們可以把對象組織起來�����,并形成一個有層次的邏輯結構��。OU下面可以再建小OU�,微軟建議嵌套層次不要超過3層,我們平常一般1到2層就夠用了����。
在規(guī)劃OU時,要考慮到將來的管理和組策略的應用��,一般應把有相同需求的計算機����、用戶等放在同一OU下?����?梢曰诓块T、基于管理責任�,也可以基于地理位置來規(guī)劃,使其最佳地適應你的公司的需求���。
在域下面規(guī)劃OU,不是僅僅為得到一個層次結構����,我們主要目的是要基于OU實現(xiàn)委派控制和將來鏈接相應的組策略來實現(xiàn)管理控制。委派的權限可以是完全控制�����,也可以是僅指定有限的權限(如:修改OU內(nèi)的用戶口令)給一個或幾個用戶和組��。
三�����、活動目錄林(Active Directory Forest)
在林中建立的第一個域����,被稱為林根域,如前面提到的mcse.com���。在剛開始時候����,我們這個林中只有一個樹,樹內(nèi)只有一個域��,域內(nèi)只有一臺計算機作為域控制器��。也就是說此時我們整個林就只有一臺計算機�����。
接下我們也可以為它添加子域�,如sub.mcse.com.,再添加了一個新樹下的域my.com�。這樣我們的這個林下就有了兩個樹:一個樹由mcse.com域、和它的子域sub.mcse.com構成�����,一個樹僅由my.com域構成��。
四�����、活動目錄樹(Active Directory Tree)
活動目錄樹是Windows 2000/03網(wǎng)絡中的層次組織,同一樹下的域共用連續(xù)的名字空間���。如父域mcse.com(它同時也是樹根域�����、林根域)���,樹根域的名字一定是最短的�。父域mcse.com和子域sub.mcse.com之間默認就有一個雙向的、可傳遞的信任關系��。也正由于這種信任關系的可傳遞性�,使得sub.mcse.com和my.com間也有了雙向信任關系。
五�����、全局目錄(GC�,Global Catalog)
全局目錄GC包含了AD對象屬性的子集,換句話說就是GC中包含了林中所有對象的摘要信息��,也就是相對重要一些的屬性�����,如用戶對象的姓、名和登錄名�。全局目錄GC本身必須首先是域控制器DC,GC不具有唯一性�,可以有多個。
全局目錄GC使用戶能夠:1��、查詢整個林中的AD信息��,無論數(shù)據(jù)在林中什么位置����。以利于林中的跨域訪問。2�����、使用通用組�����,即利用通用組成員身份的信息登錄網(wǎng)絡����。
2-3-1-8活動目錄的物理結構
在活動目錄中���,物理結構與邏輯結構是相互獨立的。域控制器DC和站點(Site)組成了活動目錄的物理結構����。
利用站點,我們可規(guī)劃域控制器DC放置�,優(yōu)化AD復制,使用戶就近查找DC登錄�。同時,知道物理結構將有助于排除復制和登錄過程中出現(xiàn)的問題�。
一、域控制器(Domain Controllers)
Windows 2000/03域控制器上存儲有活動目錄的副本���,管理目錄信息的變化,并把這些變化復制給該域上的其它域控制器����。域控制器存儲目錄數(shù)據(jù)��,管理用戶登錄�、驗證和目錄搜索�。
一個域至少得有一臺域控制器�,為了容錯就應該有兩臺���,甚至多臺�。這主要要看網(wǎng)絡的規(guī)模及分布。
二��、活動目錄復制
同一域內(nèi)的DC之間要復制域信息�,同一林內(nèi)的DC間要復制林信息�?��;顒幽夸洀椭拼_保AD信息對整個網(wǎng)絡上的所有DC和客戶機都是可用的���。而活動目錄的物理結構決定了復制發(fā)生的時間和地點。
AD復制采用多主控復制模型�����,也就是說每個DC都存儲有AD的可寫副本���,彼此間的復制是雙向的�����。這點與NT4域的PDC到BDC(目錄服務的只讀副本)的單主控復制不同���。
在所有的DC把它們的變化都同步到活動目錄中以前�����,DC在短時間內(nèi)可能有不同的信息�。按照默認�����,這一時間����,同一站點內(nèi)不越過3x5=15分鐘�����。
三�����、站點(Site)
站點就是一個或幾個高速帶寬連接的IP子網(wǎng)的集合。管理員規(guī)劃的站點�����,必須真實反映網(wǎng)絡的物理結構和連接情況�����,把高速連接的部分規(guī)劃為一個站點��。也就是說����,站點內(nèi)一定是高速連接,站點間是低速連接��。
管理員利用規(guī)劃站點�����,可以為活動目錄配置訪問和復制拓撲�����。使用Windows 2000/03網(wǎng)絡可以使用最有效的鏈接和時間安排來復制和登錄。創(chuàng)建站點,我們可以:1、優(yōu)化AD復制�����,如:讓其半夜進行,一天一次�����。2���、優(yōu)化用戶登錄��,如:使用戶就近查找本站點內(nèi)高速連接的DC進行登錄�。
在活動目錄中���,物理結構與邏輯結構是相互獨立的���,沒有什么必然的聯(lián)系。一個站點可以有幾個域����,一個域也可以有幾個站點。給站點起名字也是任意的�,不必考慮和域名字間的聯(lián)系。
2-3-1-9操作主機(或叫主控��、FSMO)
前面我們介紹了AD復制采用多主控復制模型���,但在有些特殊情況下�,我們需要目錄林進行單主控更新以避免沖突的發(fā)生�����。簡單地說就是��,這時我們就讓一臺DC說了算��,來執(zhí)行相關的AD改變����,然后由它把變化復制到其它的DC上去,這臺DC就是操作主機����。共有五種操作主機,它們是:
• 架構主控 Schema master 林內(nèi)唯一
• 域命名主控 Domain Naming master 林內(nèi)唯一
• PDC仿真器 PDC Emulator master 域內(nèi)唯一
• RID主控 RID master 域內(nèi)唯一
• 基礎結構主控 Infrastructure master 域內(nèi)唯一
默認林根域的第一臺DC就是這五種操作主機��,同時還是GC。林內(nèi)其它域的第一臺DC是該域內(nèi)的域唯一的那三種操作主機����,即PDC仿真、RID��、基礎結構���。�����。
操作主機具有唯一性�,但我們可以把操作主機移動到其它DC上���,只要保證原來的不再是操作主機��,也就是說保證這種唯一性即可�����。
任何一臺DC都可以是一操作主機(注意也只有DC才可以是操作主機)���,一臺DC可以同時擔當多種操作主機角色��。
對于操作主機的管理,我們可以查看�����、傳送�����、查封���。傳送(Transfer)和查封(Seizing)的區(qū)別在于:傳送是在原操作主機聯(lián)機的情況下進行的�,傳送后得到了新的操作主機��,原來的操作主機就不再是操作主機了�����,傳送保證操作主機的唯一性����。查封是在原操作主機有故障或失效,脫機的情況下的強行傳輸���,也就是重新推選一個新的操作主機��,會有數(shù)據(jù)的丟失��。查封不保證操作主機唯一性����,原操作主機必須格式化后再接入網(wǎng)絡。
對操作主機的管理���,可以使用圖形化界面(管理的位置�����,將在下面逐個介紹說明)����,也可以使用Ntdsutil命令���。下面我們簡單介紹一下各種操作主機的作用��。
一�、架構主控(Schema master)
操作:AD架構/AD架構上右鍵/操作主機
說明:默認情況下,架構的MMC管理工具不被安裝�����。需要:
1��、運行adminpak.msi安裝AD管理工具���。Adminpak.msi可在03光盤I386目錄下找到,或在03的windows\system32下找到��?���;蛘呤謩樱_始/運行:regsvr32 schmmgmt.dll
2��、開始/運行:MMC����,文件/添加刪除管理單元/添加/AD架構
關于架構,我們前面介紹過:架構是關于AD對象類型屬性的定義��。架構主控控制對架構的所有原始更新��,也就是說對架構的修改、擴展�,必須連接到林內(nèi)唯一的這臺架構主機上進行,然后由它復制到到林內(nèi)所有的DC上����。
注意:只有架構管理員組(Schema Admins)可以對架構進行修改,例如安裝Exchange Server����、ISA陣列,就需要擴展架構����,你應該以架構管理員身份進行。
二����、域命名(Domain Naming master)
操作:AD域和信任關系/AD域和信任關系上右鍵/操作主機
只有域命名主機可以向目錄林中添加域或者刪除域,保證域的名字在林中唯一�����。若域命名主機不可用�,則無法在目錄林中添加或刪除域。
為保證域的名字在林中唯一��,域命名主機需要查詢GC。若林功能級別為Windows 2000林模式�����,GC必須和域命名主機在同一臺計算機上才行�����。若林功能級別為Windows Server 2003林模式��,不要求GC必須和域命名主機非得在同一臺計算機上�����。
三�����、PDC仿真器(PDC Emulator master)
操作:AD用戶和計算機/域上右鍵/操作主機/PDC標簽
PDC仿真主機在五種操作主機中是最重要的���,它的利用率很高。如果PDC仿真主機失效����,必須盡快解決。它主要負責:
1、如果Windows 2000/03域中還有NT4的BDC���,它充當NT BDC的PDC�,并為早期版本客戶機提供服務��。順便說一下��,NT4的域控制器在2000/03域中只能是BDC���,不可能是PDC����。
2�、管理運行NT、95/98計算機的密碼變化�����,寫入活動目錄AD
3���、最小化密碼變化的復制等待時間�����。若一臺DC接受到密碼變化的請求�,它必須通知PDC仿真主控。用戶登錄時����,如密碼錯誤,進行驗證的DC必先送至PDC仿真主控�。因為普通DC不能確認到底是密碼錯誤,還是它沒有及時與PDC仿真主控同步�����。
4���、同步全域中的域控制器���、成員計算機的時間�����。加入域的計算機��,沒有自己的時間���。這是因為時間參數(shù)�,在AD復制中是一個極為重要的因素,決定多主控復制時���,誰的修改最終生效��。所以整個域的時間��,都由PDC仿真主機來控制��。你可以手動修改域成員計算機上的時間��,但當AD復制過后���,又會被改回成PDC仿真主機上的時間。如果目錄林是多層域結構�����,最終以林根域上的PDC仿真主機的時間為準����。
5、防止重寫GPO的可能�,修改組策略設置���,默認也是要連接到PDC仿真主控上才行。當然這個默認值是可以修改的����,或者找不到PDC仿真主控時,系統(tǒng)會提示你連到其它DC�。
四、相關標識符RID主控(RID master)
操作:AD用戶和計算機/域上右鍵/操作主機/RID標簽
在AD對象中的用戶�、組或計算機等對象,我們是可以為其分配權利權限的�����,被稱為安全主體���。安全主體與其它非安全主體對象的最主要的區(qū)別就在于:安全主體對象有安全標識符(SID)��,可以為其分配權利權限�。大家要明確:在活動目錄中�����,所有對象都有GUID(全局唯一標識符)�����,只有安全主體對象才有SID����。
當我們在域內(nèi)創(chuàng)建安全主體(例如用戶、組或計算機)對象時����,域控制器將域的SID與安全主體對象RID標識符相結合,以創(chuàng)建唯一的安全標識符 (SID)�。形如:
S-1-5-21-1553226038-2352558368-427082893-500
其中S-1-5表示NT Authority(標識符頒發(fā)機構);上例中的21-1553226038-2352558368- 427082893為這個域的SID(每個域不同)��,在這個位置還可能是32(表示本地/域內(nèi)置的本地組���,都只能在DC/本機上使用��,重復無妨���,所以都是32),也可能是本機的SID(每臺機不同)�;后面跟的500表示administrator用戶。
為了結合后面的案例��,在這里我們把SID多作些介紹:
|
SID
|
名稱
|
描述
|
|
S-1-5-域-500
|
Administrator
|
管理員帳戶
|
|
S-1-5-域-501
|
Guest
|
供來賓訪問計算機或訪問域的內(nèi)置帳戶
|
|
S-1-5-域-502
|
krbtgt
|
密鑰分發(fā)中心(KDC) 服務使用的服務帳戶
|
|
其它還有:Domain Admins(512),Domain Users(513)���,Domain Guests(514)�����。用戶帳戶��、全局組可在林內(nèi)或有信任關系的其它域使用�����,所以域間不可重復�����。
|
|
S-1-5-域-515
|
Domain Computers
|
一個包括加入域的所有客戶端和服務器的全局組
|
|
S-1-5-域-516
|
Domain Controllers
|
一個包括域中所有域控制器的全局組���。
默認情況下,新的域控制器將添加到該組中����。
|
|
S-1-5-根域-518
|
Schema Admins
|
域為混合模式時為全局組,純模式時為通用組�����。默認成員林根域的 Administrator����。被授權更改AD架構。
|
|
S-1-5-根域-519
|
Enterprise Admins
|
域為混合模式時為全局組���,純模式時為通用組���。
默認成員林根域的 Administrator。
被授權更改AD林結構�,例如添加子域,刪除域����。
|
|
S-1-5-32-544
|
Administratrs
|
域/本地管理員組,都只能在DC/本機使用����,重復無妨。
|
|
其它還有:Users(545)����,Guests(546)�����,Power Users (547)���,Account Operators(548),Server Operators(549)�,Print Operators(550),Backup Operators (551)�,Replicators(552),Remote Desktop Users(555)���。都只能在本域內(nèi)使用�,域間重復無妨��。
|
|
S-1-1-0
|
Everyone
|
包括所有用戶(甚至匿名用戶和來賓)的組�����。成員身份由操作系統(tǒng)控制����。在03中管理員可決定是否包括Guest���。
|
|
S-1-5-6
|
Service
|
一個包括所有作為服務登錄的安全主體的組。成員身份由操作系統(tǒng)控制�。
|
|
S-1-5-7
|
Anonymous
|
一個包括所有以匿名方式登錄的用戶的組����。成員身份由操作系統(tǒng)控制。
|
|
S-1-5-18
|
Local System
|
操作系統(tǒng)使用的服務帳戶��。
|
|
S-1-5-19
|
Local Service
|
本地服務
|
|
S-1-5-20
|
Network Service
|
網(wǎng)絡服務
|
RID操作主機就是負責向域內(nèi)的DC分配 RID 池�,每一個 Windows 2000/03 DC 都會收到用于創(chuàng)建對象的 RID 池(默認為 512個)。RID 操作主機通過分配不同的池來確保這些 ID 在每一個 DC 上都是唯一的���。若DC分到的RID池被用盡��,可以向RID操作主機自動再次申請�。
通過 RID 主機�����,還可以在同一目錄林中的不同域之間移動所有對象�����。當對象從一個域移動到另一個域上時,RID主控將該對象從域中刪除����。
五、基礎結構主控(Infrastructure master)
操作:AD用戶和計算機/域上右鍵/操作主機/結構 標簽
基礎結構主機確保所有域間操作對象的一致性����。當引用另一個域中的對象時(如域本地組中包括另一域的一個全局組),此引用包含該對象的全局唯一標識符 (GUID)����、安全標識符 (SID) 和可分辨的名稱 (DN)。
如果被引用的對象移動����,則在域中擔當結構主機角色的 DC 會負責更新該域中跨域?qū)ο笠弥械?/span> SID 和 DN。也就是說��,基礎結構主機負責更新外部對象的索引(組成員資格)���,顯然�����,單域不需要基礎結構主機����。
基礎結構主機是基于域的,目錄林中的每個域都有自己的基礎結構主機����。基礎結構主機不應該和GC在同一個DC上�����,應手動移走���,否則將不起作用。前面我們提到過��,默認林根域的第一臺DC就是這五種操作主機���,同時還是GC��。也就是說��,這時基礎結構主機實際上是失效的��,不起作用��。但這時只有一個林根域��,基礎結構主機不起作用也沒關系����,若以后構建多層域,需要手動將其與GC分開�����。
2-3-1-10域功能級別和林功能級別
|
域功能
級別
|
2000
|
2000混合模式
|
DC:可包含NT4的BDC��。
|
|
2000本機模式
|
所有DC均為2000���,可以使用通用組��、多主復制�、SID歷史�����、通訊組與安全組的轉(zhuǎn)換�、組的同名嵌套。
|
|
03
|
2000混合域功能級級別
|
只是DC中多了03����,即DC:NT���、2000、03
|
|
2000本機域功能級級別
|
只是DC中多了03���,即DC:2000��、03�����,
|
|
03臨時域功能級級別
|
不常用,DC:03����、NT。需要專門工具
|
|
03域功能級級別
|
所有DC均為03����,可以重命名域
|
|
林功能
級別
|
2000林功能級別
|
默認值,域命名主控必須是GC
|
|
03林功能級別
|
需要所有DC均為03�,提升林時,會自動提升所有域為03域功能級級別�����。可傳遞的林信任關系��、更靈活的組成員復制(基于操作)����、更好的站點間路由選擇、對GC的修復�、架構的重新定義。
|
2-3-1-11標識名(DN)和相對標識名(RDN)
前面我們提到了客戶使用LDAP協(xié)議來訪問活動目錄中的對象�,那么LDAP是如何來標識一個在活動目錄中的對象的呢?換句話說��,LDAP是如何在活動目錄找到對象A����,而不會錯找成對象B的呢?這就要用到一個命名路徑��,即標識名(DN)和相對標識名(RDN)����。DN為活動目錄中的對象標識出LDAP命名的完整路徑;RDN用來標識容器中的一個對象,即它總是DN中的最前面一項��。
如:在Active Directory用戶和計算機中�����,在mcse.com域下有個OU:Finance(財務)�����,在Finance下又有個小OU:Sales(銷售)����,在其下有個用戶,名叫Suzan Fine����。則此用戶對象的DN為:CN=Suzan Fine, OU=Sales, OU=Finance, DC=mcse DC=com。RDN為:CN=Suzan Fine����。
說明:
1����、其中DC表示DNS名字的域組件,OU表示組織單元���,CN表示普通名字����,CN可用于除了前兩種以外的所有對象。比如:如果用戶賬號不在OU中而是在默認容器Users中�,為表示Users容器應使用CN。即:CN=Suzan Fine, CN=Users, DC=mcse, DC=com�。
2、如果在命令中引用DN����,且DN中有空格,如CN=Suzan Fine��。應使用引號將整個DN括起來�����。如“CN=Suzan Fine, CN=Users, DC=mcse, DC=com”�����。
2-3-1-12 域名服務系統(tǒng)(DNS)
Windows 2000/03的活動目錄服務與域名服務系統(tǒng)(DNS)緊密結合����、集成一起�,所以DNS故障是導致AD故障非常主要的因素之一����,有統(tǒng)計數(shù)據(jù)顯示AD故障的60%來自于DNS。
使用活動目錄�、構建Windows 2000/03的域,網(wǎng)絡上必須有可用的DNS服務器��,并且必須支持SRV記錄(Service Location Resource Record)和動態(tài)更新功能��。如:MS Win2000/03 DNS�����,UNIX的DNS BIND 8.12及以上版本��,使用已有的NT4 DNS是不行的���。
構建NT4域并不需要DNS的支持��,但2000/03域必須有DNS,且滿足上述要求���。
SRV記錄的作用是指明域和站點(site)的DC���、PDC仿真���、GC是誰。動態(tài)更新也是2000/03DNS的新特色���,管理員不必再象NT4 DNS那樣手動為計算機創(chuàng)建或修改相應記錄����,在域成員計算機重啟���,或改名��、改IP時依賴周期性更新���,自動動態(tài)注冊或更新相應DNS記錄。
如果沒有DNS服務器的話��,也不一定非得預裝DNS�,可以在安裝AD過程中,選擇在本機上安裝2000 DNS���。而且推薦初學者使用這種方法�����,因為系統(tǒng)會根據(jù)你提供的FQDN域名�,自動創(chuàng)建好DNS區(qū)域(zone),并配置成AD集成區(qū)域�,僅安全動態(tài)更新��。如果需要向外連或反向解析,用戶只需配置上轉(zhuǎn)發(fā)器和反向區(qū)域即可�,不需要的話�,直接就可以用了��。
如果決定在安裝AD過程中在本機安裝DNS��,應在安裝前�����,將本機TCP/IP配置/DNS服務器指向自己����,這樣在安裝AD完成后重啟時�����,SRV記錄將被自動注冊到DNS服務器的區(qū)域當中去的,生成四個以下劃線開頭的文件夾���,如_msdcs����,03DNS在這里夾的層次結構有所變化,但本質(zhì)沒變�����。當然如果忘了指�,也可以后補上�,只不過需要多重啟一次�����。
03DNS新特色:
1����、條件轉(zhuǎn)發(fā)�����。
轉(zhuǎn)發(fā)器的作用是���,如果本機無法解析DNS客戶所發(fā)的查詢請求�����,轉(zhuǎn)發(fā)給轉(zhuǎn)發(fā)器所指定的DNS服務器���。在03DNS中新增了條件轉(zhuǎn)發(fā),即不同的DNS區(qū)域�,可指定不同的轉(zhuǎn)發(fā)器�����。
利用條件轉(zhuǎn)發(fā),不僅可改善DNS查詢�,更重要的是有其實際意義���。例如兩個公司合并時�,可將利用條件轉(zhuǎn)發(fā)����,基于對方域名將轉(zhuǎn)發(fā)器配置為指向?qū)Ψ降?/span>DNS服務器。這樣DNS服務器就能解析對方網(wǎng)絡中的DNS名稱���,并對其他網(wǎng)絡信息建立巨大的緩存。又由于不必查詢 Internet 上的 DNS 服務器�����,將大大減少DNS查詢所用的時間���。
2�、存根(stub)區(qū)域
上面的場景也可用存根區(qū)域來解決�,在03DNS中創(chuàng)建對方的存根區(qū)域,并指明對方的權威DNS服務器�。注意在存根區(qū)域下只有對方域的SOA、NS及與NS相關的A記錄��,不會有對方其它的具體資源的記錄�。在有些情況下,與條件轉(zhuǎn)發(fā)的作用還是有所不同的��。
2-3-1-13 組策略(Group Policy)
組策略是活動目錄上的最大應用�,可以應用于2000/XP/03。組策略使許多重復的管理工作自動化�����、簡單化,所以說組策略的應用程度是衡量2000/03管理員的重要尺度�����。
組策略對象(GPO)也是一種AD對象����,并且可設置權限。在域內(nèi)創(chuàng)建�����,可鏈接到站點(Site)、域(Domain)、組織單元(OU),使組策略的設置對一定范圍的計算機/用戶生效���。本地(Local)策略可理解為一個特殊的組策略:在工作組下也可使用����,只對本地用戶和該計算機生效����。使用gpedit.msc進行管理,設置后立即生效����,不需刷新。
組策略設置的默認優(yōu)先級是:LSDOU原則���,本地策略優(yōu)先級最低����??赏ㄟ^阻止繼承(將阻止所有策略繼承)�����、禁止替代(也就是必須繼承,針對某個具體的GPO來設置)����、組策略篩選器(實質(zhì)為GPO權限)改變默認的優(yōu)先級��。
組策略對象(GPO)包括組策略容器(GPC)和組策略模板(GPT)兩部分。GPC位于AD用戶和計算機/System/Policies(需要選中查看下的高級功能),僅是GPO的屬性和版本信息,計算機通過GPC來查找GPT�。具體的策略設置值存儲在GPT中��,位于DC的windows\sysvol\sysvol下,以GUID為文件夾名。注意安裝AD系統(tǒng)自帶的兩個GPO����,使用固定的GUID��,分別是:
¨ 默認域的策略的GUID為31B2F340-016D-11D2-945F-00C04FB984F9
¨ 默認域控制器的策略的GUID為6AC1786C-016F-11D2-945F-00C04FB984F9�����。
組策略具體的設置內(nèi)容2000到達600多條���,03又新增200條左右。
組策略設置中的安全模板(計算機和用戶)部分,通過注冊表生效,但并不永久改變注冊表�。若用戶手動修改注冊表中的組策略設置值�����,若策略未變����,組策略不負責強制改回。
安全策略是組策略的子集(一部分),只不過其MMC工具被單獨提出來,放到管理工具下了��。
本文出自 “張東輝的博客” 博客,請務必保留此出處http://zhangdonghui.blog.51cto.com/304753/62867
