網(wǎng)管寶典6.ppt

1、第六章 IDS與IPS,本章將較全面地介紹Windows Server 2003系統(tǒng)的活動(dòng)目錄管理內(nèi)容。 本章重點(diǎn)如下： Active Directory的主要內(nèi)容 Active Directory訪問控制 域功能級(jí)別 Active Directory域重命名、域功能級(jí)別提升 從Windows 2000域升級(jí)到Windows Server 2003域 利用Active Directory域控制器的重命名、域控制器的刪除 創(chuàng)建和配置域信任 Active Directory目錄復(fù)制原理及配置 “Active Directory架構(gòu)”管理單元的安裝,6.1 Active Directory基礎(chǔ),6.

2、1.1 Active Directory目錄數(shù)據(jù)存儲(chǔ) Active Directory目錄包含與Active Directory對(duì)象有關(guān)的信息。這些對(duì)象通常包括共享資源，如服務(wù)器、卷、打印機(jī)、網(wǎng)絡(luò)用戶和計(jì)算機(jī)賬戶。Active Directory目錄服務(wù)使用所有目錄信息的數(shù)據(jù)存儲(chǔ)，該數(shù)據(jù)存儲(chǔ)通常稱為目錄。 Active Directory使用了4種不同的目錄分區(qū)類型來存儲(chǔ)和復(fù)制不同類型的數(shù)據(jù)，它們是域、配置、架構(gòu)和應(yīng)用程序數(shù)據(jù)。 具體內(nèi)容參見書中介紹。,6.1.2 Active Directory的內(nèi)容,Active Directory的基本內(nèi)容包括如下幾個(gè)方面。 一套規(guī)則 包含目錄中每個(gè)對(duì)象

3、信息的全局編錄 查詢和索引機(jī)制 通過網(wǎng)絡(luò)分發(fā)目錄數(shù)據(jù)的復(fù)制服務(wù) 支持Active Directory客戶端軟件具體內(nèi)容參見書中介紹。,6.1.3 Active Directory安全性,Active Directory通過使用對(duì)象和用戶憑據(jù)的訪問控制提供了對(duì)用戶賬戶和組信息的保護(hù)存儲(chǔ)。由于Active Directory不僅存儲(chǔ)用戶憑據(jù)，還存儲(chǔ)訪問控制信息，所以登錄到網(wǎng)絡(luò)的用戶將同時(shí)獲得訪問系統(tǒng)資源的身份驗(yàn)證和授權(quán)。 Windows Server 2003家族安全模型的主要包括“用戶身份驗(yàn)證”和“訪問控制”兩個(gè)大的方面。 具體內(nèi)容參見書中介紹。,6.1.4 Active Directory中的

4、訪問控制,在Active Directory中，訪問控制是通過為對(duì)象設(shè)置不同的訪問級(jí)別或權(quán)限，在對(duì)象級(jí)別進(jìn)行管理的。Active Directory 中的訪問控制定義了不同的用戶可如何使用Active Directory對(duì)象。在Active Directory對(duì)象上定義訪問控制權(quán)限的元素包括安全描述符、對(duì)象繼承和用戶身份驗(yàn)證。安全描述符包含隨機(jī)訪問控制列表（DACL）和系統(tǒng)訪問控制列表（SACL）兩個(gè)方面。 具體內(nèi)容參見書中介紹。,6.1.5 Active Directory 客戶端,通過使用Active Directory客戶端，在Windows2000 Professional或Windo

5、wsXP Professional上提供的許多Active Directory功能都可用于運(yùn)行Windows95、Windows98和WindowsNT4.0的計(jì)算機(jī)。這些功能包括： 站點(diǎn)識(shí)別 Active Directory服務(wù)接口 分布式文件系統(tǒng)（DFS） NTLM版本2身份驗(yàn)證 Active Directory Windows通信簿（WAB）屬性頁 Active Directory搜索功能具體內(nèi)容參見書中介紹。,6.2 有關(guān)Active Directory的操作建議,6.2.1 “Active Directory用戶和計(jì)算機(jī)”的操作建議 在“Active Directory用戶和計(jì)算機(jī)”

6、安全性方面，建議不要使用管理憑據(jù)登錄到的計(jì)算機(jī)。如果在沒有管理憑據(jù)的情況下登錄到計(jì)算機(jī)，可用“運(yùn)行方式”完成管理任務(wù)。在本地計(jì)算機(jī)上，建議將域用戶賬戶僅添加到Users組（而非Administrators組），以執(zhí)行例行任務(wù)，包括運(yùn)行程序和訪問Internet站點(diǎn)。當(dāng)需要在本地計(jì)算機(jī)或Active Directory中執(zhí)行管理任務(wù)時(shí)，請(qǐng)通過管理憑據(jù)使用運(yùn)行方式啟動(dòng)程序。 除了內(nèi)置的“運(yùn)行方式”功能，runas命令也提供了相同的功能。它的語法格式如下：runas /profile | /noprofile /env /netonly /savedcreds /smartcard /showtru

7、stlevels /trustlevel /user:UserAccountName program 具體內(nèi)容參見書中介紹。,6.2.2 指派Active Directory對(duì)象權(quán)限的操作建議,指派Active Directory對(duì)象權(quán)限的一些操作建議如下： 如果可能，應(yīng)避免更改Active Directory對(duì)象的默認(rèn)權(quán)限 避免在對(duì)象或組織單位上授予“完全控制”權(quán)限 最小化應(yīng)用于子對(duì)象的訪問控制項(xiàng)的數(shù)目 盡可能為多個(gè)對(duì)象指派相同的權(quán)限集 盡可能指派寬泛的訪問權(quán)利，而不是個(gè)別用戶權(quán)限 盡可能為組指派權(quán)限而不是用戶具體內(nèi)容參見書中介紹。,6.3 利用Active Directory發(fā)布資源,為了

8、幫助用戶找到他們需要的網(wǎng)絡(luò)資源，可以在Active Directory中公布有關(guān)這些資源的可搜索信息?？晒嫉馁Y源包括用戶、計(jì)算機(jī)、打印機(jī)、共享文件夾和網(wǎng)絡(luò)服務(wù)。當(dāng)創(chuàng)建對(duì)象時(shí)，在默認(rèn)情況下會(huì)公布一些常用的目錄信息，如用戶或計(jì)算機(jī)名稱。其他目錄信息（如有關(guān)共享文件夾的信息）必須手動(dòng)公布。 6.3.1 發(fā)布用戶和計(jì)算機(jī) 使用“Active Directory用戶和計(jì)算機(jī)”管理工具可將用戶和計(jì)算機(jī)賬戶添加到目錄中，并且在創(chuàng)建時(shí)自動(dòng)發(fā)布到該目錄中。在默認(rèn)情況下將發(fā)布常用的賬戶信息，如賬戶名稱。其他信息（如賬戶安全信息）只有管理員才能看到。具體參見本書第2章相關(guān)內(nèi)容。,6.3.2 發(fā)布共享打印機(jī),可以使

9、用“Active Directory用戶和計(jì)算機(jī)”管理工具手動(dòng)發(fā)布共享打印機(jī)信息。但這里又要區(qū)分兩種情況：如果打印機(jī)是連接在Windows 2000以后版本系統(tǒng)計(jì)算機(jī)上，則可直接在打印機(jī)的共享屬性中配置自動(dòng)發(fā)布；而如果打印機(jī)是連接在非Windows 2000以前版本系統(tǒng)計(jì)算機(jī)上，則需要在“Active Directory用戶和計(jì)算機(jī)”管理工具中手動(dòng)發(fā)布。 1手動(dòng)發(fā)布打印機(jī) 方法是在 “Active Directory用戶和計(jì)算機(jī)”控制臺(tái)窗口左邊導(dǎo)航欄窗格中選擇要在其中發(fā)布打印機(jī)的容器對(duì)象文件夾，單擊鼠標(biāo)右鍵，在彈出菜單中選擇“新建”下的“Printer”選項(xiàng)，打開如下左圖所示對(duì)話框。在文本框中

10、輸入想在目錄中發(fā)布的打印機(jī)的共享路徑和名稱即可。發(fā)布完成后，則相應(yīng)容器中的對(duì)象就可以共享這臺(tái)打印機(jī)了。 2自動(dòng)發(fā)布打印機(jī)與打印機(jī)的訪問控制配置,在Windows 2000以后版本系統(tǒng)中共享的打印機(jī)的信息，將在創(chuàng)建共享打印機(jī)時(shí)自動(dòng)發(fā)布到目錄中，一般無須手動(dòng)發(fā)布即所有Active Directory對(duì)象都可以使用。在Windows 2000以后版本系統(tǒng)中的打印機(jī)發(fā)布只需在如下右圖所示打印機(jī)屬性對(duì)話框中“共享”選項(xiàng)卡中選擇“列入目錄”復(fù)選框即可。 具體內(nèi)容參見書中介紹。,6.3.3 發(fā)布共享文件夾,默認(rèn)情況下，Windows Server 2003家族、Windows XP和Windows 2000

11、 Server家族共享的文件夾的信息，將在創(chuàng)建共享文件夾時(shí)自動(dòng)發(fā)布到目錄中，一般無須手動(dòng)發(fā)布即所有Active Directory對(duì)象都可以使用。如果只想對(duì)部分對(duì)象使用，則需要手動(dòng)發(fā)布。,手動(dòng)發(fā)布共享的方法是在“Active Directory用戶和計(jì)算機(jī)”控制臺(tái)左邊導(dǎo)航欄窗格中選擇要在其中發(fā)布打印機(jī)的容器對(duì)象文件夾，單擊鼠標(biāo)右鍵，在彈出菜單中選擇“新建”下的“共享文件夾”選項(xiàng)，打開如右圖所示對(duì)話框。在其中輸入相應(yīng)共享文件夾的網(wǎng)絡(luò)路徑和名稱即可。 具體內(nèi)容參見書中介紹。,6.4 利用Active Directory管理域控制器,Active Directory在域控制器的管理方面則主要是創(chuàng)建額

12、外域控制器、降級(jí)域控制器、重命名域控制器等幾個(gè)方面。額外域控制器的創(chuàng)建在本系列叢書的網(wǎng)管員必讀網(wǎng)絡(luò)組建（第2版）一書中有全面的介紹，在此不再贅述。 6.4.1 Active Directory服務(wù)器角色 在域中作為服務(wù)器的計(jì)算機(jī)可以充當(dāng)任何一種角色：成員服務(wù)器或域控制器。不在域中的服務(wù)器是獨(dú)立服務(wù)器。有關(guān)這三種服務(wù)器角色的具體說明參見書中介紹。,6.4.2 重命名域控制器,這是Windows Server 2003系統(tǒng)的新功能，在Windows 2000 Server家族服務(wù)器系統(tǒng)中，域控制器不可重命名的。 重命名域控制器的方法有兩種：一是直接在“系統(tǒng)屬性”對(duì)話框進(jìn)行，另一種是通過netdom

13、工具進(jìn)行。 1通過“系統(tǒng)屬性”對(duì)話框重命名域控制器 它是在如下面左圖所示對(duì)話框中單擊【更改】按鈕，然后打開如下面右圖所示對(duì)話框中輸入新的域控制器名稱進(jìn)行的。,2通過Netdom工具重命名域控制器 要使用Netdom工具重命名域控制器，其域功能級(jí)別也必須設(shè)置為Windows Server2003。重命名的具體方法是先在命令提示符下輸入：netdom computername CurrentComputerName /add:NewComputerName，然后確保計(jì)算機(jī)賬戶更新和DNS注冊(cè)完成之后，輸入：netdom computername CurrentComputerName /makep

14、rimary:NewComputerName。在重新啟動(dòng)計(jì)算機(jī)。在命令提示符下，輸入：netdom computername NewComputerName /remove:OldComputerName 以上具體步驟參見書中介紹。,6.4.3 刪除域控制器,刪除域控制器的方法有兩種：一是通過“配置您的服務(wù)器向?qū)А边M(jìn)行，另一種是通過運(yùn)行“Active Directory用戶和計(jì)算機(jī)”控制臺(tái)的dcpromo命令。 “配置您的服務(wù)器向?qū)А狈ㄊ窃谌缦伦髨D所示對(duì)話框中選擇“域控制器（Active Directory）”選項(xiàng)進(jìn)行的。 dcpromo命令法是在命令行或者“運(yùn)行”對(duì)話框中輸入dcpromo命

15、令，打開如下面右圖所示向?qū)нM(jìn)行的。 具體方法參見書中介紹。,6.4.4 降級(jí)失敗后的Active Directory數(shù)據(jù)刪除,如果通過上節(jié)介紹的方法未能正確刪除“NTDS設(shè)置”對(duì)象而導(dǎo)致降級(jí)失敗，管理員還可以利用Ntdsutil.exe實(shí)用工具手動(dòng)刪除“NTDS設(shè)置”對(duì)象，以實(shí)現(xiàn)降級(jí)目的。 具體步驟參見書中介紹。,6.5 利用Active Directory管理域,6.5.1 域樹和林 1域樹與林簡(jiǎn)介 在DNS中，域樹用來索引域名的反向分層樹狀結(jié)構(gòu)。域樹按用途和概念來說，與用于磁盤存儲(chǔ)的計(jì)算機(jī)文件歸檔系統(tǒng)使用的目錄樹類似。在Active Directory中，域樹是由一個(gè)或多個(gè)Windows

16、2000或Windows Server 2003域通過傳遞、雙向信任，共享公用架構(gòu)、配置和全局分類連接起來。 林是共享公用架構(gòu)、配置和全局分類，并用雙向可傳遞信任鏈接的一個(gè)或多個(gè)Windows 2000或Windows Server 2003域的集合。,2域樹與林的關(guān)系 林包括多個(gè)域樹，林中的域樹不形成鄰接的名稱空間。其關(guān)系如右圖所示。 以上具體內(nèi)容參見書中介紹。,6.5.2 域和林功能級(jí)別,域功能是具有一個(gè)或多個(gè)運(yùn)行Windows Server 2003域控制器的Active Directory域的功能級(jí)別?？商嵘虻墓δ芗?jí)別，以便啟用將只應(yīng)用于該域的Active Directory新增功能

17、。共有4個(gè)域功能級(jí)別：Windows 2000混合、Windows 2000本機(jī)、Windows Server 2003過渡及Windows Server 2003。默認(rèn)域功能級(jí)別為Windows 2000混合。 林功能是具有一個(gè)或多個(gè)運(yùn)行Windows Server 2003域控制器的Active Directory林的功能級(jí)別?？商嵘虻墓δ芗?jí)別，以便啟用將只應(yīng)用于該域的Active Directory新增功能。共有3個(gè)林功能級(jí)別：Windows 2000、Windows Server 2003過渡及Windows Server 2003。默認(rèn)林功能級(jí)別為Windows 2000。 有關(guān)域

18、與林功能級(jí)別對(duì)應(yīng)的功能范圍和所支持的域控制，參見書中介紹。,6.5.3 提升域功能級(jí)別,域功能級(jí)別的提升可以采取兩種不同的方式。 如果是要對(duì)當(dāng)前域功能級(jí)別進(jìn)行提升，最簡(jiǎn)單的方法是直接在“Active Directory用戶和計(jì)算機(jī)”管理單元控制臺(tái)的相應(yīng)域上單擊鼠標(biāo)右鍵，在彈出菜單中選擇【提升域功能級(jí)別】命令，打開如下頁左圖所示對(duì)話框。在“選擇一個(gè)可用的域功能級(jí)別”下拉列表選擇要提升到的域功能級(jí)別，然后單擊【提升】按鈕即可完成。 如果網(wǎng)絡(luò)中有多個(gè)域，管理員則可以通過“Active Directory域和信任關(guān)系”管理單元，對(duì)所有需要提升域功能級(jí)別的域進(jìn)行集中提升。方法與在“Active Dire

19、ctory用戶和計(jì)算機(jī)”管理單元控制臺(tái)中基本一樣，只是操作的控制臺(tái)此處是“Active Directory域和信任關(guān)系”管理單元控制臺(tái)，如下頁右圖所示。,然后在相應(yīng)域上單擊鼠標(biāo)右鍵，在彈出菜單中選擇【提升域功能級(jí)別】命令，同樣會(huì)打開如下頁左圖所示對(duì)話框。 具體內(nèi)容參見書中介紹。,6.5.4 使用不同域控制器管理域,當(dāng)域中有多個(gè)域控制器時(shí)，有時(shí)為了減輕當(dāng)前域控制器的負(fù)擔(dān)，或者當(dāng)前域控制器的某些功能不能正常工作，則可以選擇其他域控制器來管理域。 方法是在“Active Directory域和信任關(guān)系”控制臺(tái)樹中的“Active Directory用戶和計(jì)算機(jī)”選項(xiàng)上單擊鼠標(biāo)右鍵，在彈出菜單中選擇【

20、連接到域控制器】命令，在打開的對(duì)話框中選擇一個(gè)當(dāng)前可用的域控制器，或者在“輸入另一個(gè)域控制器的名稱”文本框中輸入域控制器的名稱，單擊【確定】按鈕后即可使用所選的域控制器來管理域了。 具體內(nèi)容參見書中介紹。,6.5.5 管理不同域,在林中的任何一臺(tái)信任域中的域控制器上，都可以通過“Active Directory用戶和計(jì)算機(jī)”管理工具來實(shí)現(xiàn)對(duì)林中其他信任域的管理。這樣在大型的網(wǎng)絡(luò)中，管理員就不必為了管理其他域而四處奔波，僅在一個(gè)域控制器上就可以實(shí)現(xiàn)林中所有信任域的管理了，這大大提高了林網(wǎng)絡(luò)的管理。方法是在“Active Directory域和信任關(guān)系”控制臺(tái)樹中的“Active Director

21、y用戶和計(jì)算機(jī)”選項(xiàng)上單擊鼠標(biāo)右鍵，在彈出菜單中選擇【連接到域】命令，打開如下圖所示對(duì)話框。在“域”文本框中輸入要連接的域名即可(域名中包含該域的所有父域)。 具體示例內(nèi)容參見書中介紹。,6.5.6 重命名域,重命名域的功能也是Windows Server 2003系統(tǒng)的新功能，但它的整個(gè)過程非常復(fù)雜。域的重命名允許用戶： 更改林中任何域的域名系統(tǒng)（DNS）和NetBIOS名稱。 重新構(gòu)建林中任何域（除了林根域）的位置。1重命名域前的準(zhǔn)備 下面是一些必須進(jìn)行的準(zhǔn)備工作。 備份當(dāng)前域中所有域控制器的系統(tǒng)狀態(tài)數(shù)據(jù)數(shù)據(jù) 提升域中所有域控制器和林的功能級(jí)別均為Windows Server 2003 在

22、現(xiàn)有域DNS服務(wù)器控制臺(tái)中新建一個(gè)新的DNS區(qū)域2正式重命名域 域重命名的命令工具是rendom.exe 具體內(nèi)容參見書中介紹。,6.5.7 從Windows NT 4.0域升級(jí),1升級(jí)概述 Active Directory目錄服務(wù)與Windows NT系統(tǒng)相兼容，它支持混合操作，可支持運(yùn)行Windows NT 4.0、Windows 2000和Windows Server 2003的域控制器。 Active Directory的升級(jí)可逐步進(jìn)行，并在執(zhí)行時(shí)無中斷操作。升級(jí)Windows NT域時(shí)，必須首先將主域控制器升級(jí)。之后，可在任何時(shí)間升級(jí)成員服務(wù)器和工作站。 2從WindowsNT域升級(jí)

23、 升級(jí)主要步驟包括（1）規(guī)劃和實(shí)施名稱空間和DNS結(jié)構(gòu)；（2）確定林的功能；升級(jí)主域控制器；升級(jí)其余的任何備份域控制器；完成域的升級(jí)；在舊的客戶端計(jì)算機(jī)上安裝Active Directory客戶端軟件。具體內(nèi)容參見書中介紹。,6.5.8 從Windows 2000域升級(jí),1升級(jí)前的檢查 在將運(yùn)行Windows 2000的域控制器升級(jí)至Windows Server 2003或者在第一個(gè)運(yùn)行Windows Server 2003的域控制器上安裝Active Directory之前，請(qǐng)確保準(zhǔn)備好服務(wù)器、林和域。此過程包括檢查服務(wù)器的升級(jí)兼容性、準(zhǔn)備林和準(zhǔn)備域，所有這些工作均可使用命令行工具完成。 要

24、檢查服務(wù)器的升級(jí)兼容性，并復(fù)制任何更新的安裝文件，請(qǐng)使用winnt32/ checkupgradeonly命令來運(yùn)行winnt32命令。要準(zhǔn)備林，請(qǐng)使用adprep/forestprep命令在架構(gòu)操作主機(jī)上運(yùn)行adprep命令。在架構(gòu)主機(jī)上運(yùn)行adprep命令將更新架構(gòu)，這些更新將依次復(fù)制到林中的所有其他域控制器。根據(jù)單位的復(fù)制安排，復(fù)制這些更改所用的時(shí)間將有所不同。 2升級(jí)準(zhǔn)備（略） 以上具體內(nèi)容參見書中介紹。,6.6 管理信任,6.6.1 域信任基礎(chǔ) 信任是域之間建立的關(guān)系，它可使一個(gè)域中的用戶由處在另一個(gè)域中的域控制器來進(jìn)行驗(yàn)證。Windows NT中的信任關(guān)系與Windows 2000

25、和Windows Server 2003操作系統(tǒng)中的信任關(guān)系不同。 在Windows NT 4.0及其以前版本中，信任僅限于兩個(gè)域之間，而且信任關(guān)系是單向和不可傳遞的。在下面左圖所示的例子中，指向受信任域的直箭頭顯示了非傳遞的單向信任。Windows 2000和Windows Server 2003林中的所有信任都是可傳遞的雙向信任，因此，信任關(guān)系中的兩個(gè)域都是受信任的。如下面右圖所示，如果域A信任域B，且域B信任域C，則域C中的用戶可以訪問域A中的資源。只有Domain Admins組的成員可以管理信任關(guān)系。 具體內(nèi)容參見書中介紹。,6.6.2 域信任類型,域和域之間的通信是通過信任發(fā)生的。

26、信任是為了使一個(gè)域中的用戶訪問另一個(gè)域中的資源而必須存在的身份驗(yàn)證管道。使用“Active Directory安裝向?qū)А睍r(shí)，將會(huì)創(chuàng)建兩個(gè)默認(rèn)信任。使用“新建信任向?qū)А被騈etdom命令行工具可創(chuàng)建另外4種類型的信任。即外部信任、領(lǐng)域信任、林信任和快捷信任。兩種默認(rèn)信任類型的介紹參見書中表6-5。其他新建的信任的介紹參見書中表6-6。 具體內(nèi)容參見書中介紹。,6.6.3 驗(yàn)證信任,在Windows Server 2003系統(tǒng)中，驗(yàn)證域信任關(guān)系有“Windows界面”和“命令行”兩種方式。 1Windows界面方式 驗(yàn)證方法是在“Active Directory域和信任關(guān)系”控制臺(tái)樹中，在要驗(yàn)證的

27、信任的域上單擊鼠標(biāo)右鍵，然后選擇【屬性】命令，在打開的如下左圖對(duì)話框列表框中選擇要信任的域，單擊【屬性】按鈕，打開如下右圖所示對(duì)話框。然后單擊【驗(yàn)證】按鈕即可。,2命令行方式 信任驗(yàn)證是通過如下命令進(jìn)行的：netdom trust TrustingDomainName /d:TrustedDomainName /add具體內(nèi)容參見書中介紹。,6.6.4 刪除信任,刪除信任也有“Windows界面”和“命令行”兩種方式。 1Windows界面方式 刪除信任的方法是在 “Active Directory域和信任關(guān)系”控制臺(tái)要?jiǎng)h除信任的域上單擊鼠標(biāo)右鍵，然后選擇【屬性】命令， 在打開的對(duì)話框中單擊選

28、擇“信任”選項(xiàng)卡 ,然后在“受此域信任的域（外向信任）”或“信任此域的域（內(nèi)向信任）”列表中選擇要?jiǎng)h除的信任，單擊【刪除】按鈕。 2命令行方式 命令行方式是先進(jìn)入命令提示符狀態(tài)，然后輸入以下命令：netdom trust TrustingDomainName /d:TrustedDomainName /add /twoway進(jìn)行刪除。 具體內(nèi)容參見書中介紹。,6.6.5 創(chuàng)建快捷信任,快捷信任是指在相同林內(nèi)兩個(gè)域之間手動(dòng)創(chuàng)建的信任?？旖菪湃蔚哪康氖峭ㄟ^縮短信任路徑來優(yōu)化域內(nèi)的身份驗(yàn)證進(jìn)程?？旖菪湃问强蓚鬟f的，可以為單向或雙向。 快捷信任可有效地縮短在兩個(gè)不同樹中的域之間進(jìn)行身份驗(yàn)證所要經(jīng)過的路

29、徑。使用單向信任可建立在不同域樹中的兩個(gè)域之間的單向快捷信任，減少完成身份驗(yàn)證請(qǐng)求所需的時(shí)間，但只能在一個(gè)方向上。 創(chuàng)建快捷信任的途徑也有“Windows界面”和“命令行”兩種。 1Windows界面 創(chuàng)建快捷信任的基本方法是在“Active Directory域和信任關(guān)系”控制臺(tái)樹中要為其建立快捷信任的域的域節(jié)點(diǎn)上單擊鼠標(biāo)右鍵，然后選擇【屬性】命令，在打開的對(duì)話框中單擊選擇“信任”選項(xiàng)卡（如下左圖所示）。,單擊【新建信任】按鈕，打開如下右圖所示的“新建信任向?qū)А睂?duì)話框。然后按向?qū)崾具M(jìn)行操作即可。 2命令行方式 快捷信任的命令行創(chuàng)建方法是在命令提示符下輸入“netdom trust Trus

30、tingDomainName /d:TrustedDomainName /add”命令進(jìn)行的。 以上具體方法參見書中介紹。,6.7 Active Directory復(fù)制管理,除了非常小的網(wǎng)絡(luò)之外，目錄數(shù)據(jù)必須駐留在網(wǎng)絡(luò)上的多個(gè)位置，以便于所有用戶均等地使用。通過復(fù)制，Active Directory目錄服務(wù)在多個(gè)域控制器上保留目錄數(shù)據(jù)的副本，從而確保所有用戶的目錄可用性和性能。Active Directory依靠站點(diǎn)概念來保持復(fù)制的效率，并依靠信息一致性檢查器（KCC）來自動(dòng)確定網(wǎng)絡(luò)的最佳復(fù)制拓?fù)洹?6.7.1 Active Directory目錄復(fù)制基本思路 Active Diretory目

31、錄復(fù)制配置的基本思路如下： 組織復(fù)制的數(shù)據(jù) 利用站點(diǎn)提高復(fù)制效率 確定復(fù)制拓?fù)?利用在Windows Server2003家族中的復(fù)制增強(qiáng)功能 具體內(nèi)容參見書中介紹。,6.7.2 站點(diǎn)概述,Active Directory中的站點(diǎn)代表網(wǎng)絡(luò)的物理結(jié)構(gòu)，或稱拓?fù)洹ctive Directory使用拓?fù)湫畔ⅲㄔ谀夸浿写鎯?chǔ)為站點(diǎn)和站點(diǎn)鏈接對(duì)象）來建立最有效的復(fù)制拓?fù)?。可使用“Active Directory站點(diǎn)和服務(wù)”管理工具以定義站點(diǎn)和站點(diǎn)鏈接。站點(diǎn)是一組有效連接的子網(wǎng)。站點(diǎn)和域不同；站點(diǎn)代表網(wǎng)絡(luò)的物理結(jié)構(gòu)，而域代表組織的邏輯結(jié)構(gòu)。 1使用站點(diǎn) 站點(diǎn)有助于簡(jiǎn)化Active Directory內(nèi)的多

32、種活動(dòng)，其中包括：復(fù)制、身份驗(yàn)證、啟用Active Directory的服務(wù)。 2利用子網(wǎng)定義站點(diǎn) 在Active Directory中，站點(diǎn)是通過高速網(wǎng)絡(luò)（如局域網(wǎng)（LAN）有效連接的一組計(jì)算機(jī)。同一站點(diǎn)內(nèi)的所有計(jì)算機(jī)通常放在同一建筑內(nèi)，或在同一校園網(wǎng)絡(luò)上。一個(gè)站點(diǎn)是由一個(gè)或多IP子網(wǎng)組成。,在Active Directory中，站點(diǎn)和子網(wǎng)是通過站點(diǎn)和子網(wǎng)的對(duì)象表示的，可通過“Active Directory站點(diǎn)和服務(wù)”創(chuàng)建這些對(duì)象。每個(gè)站點(diǎn)對(duì)象與一個(gè)或多個(gè)子網(wǎng)對(duì)象相關(guān)聯(lián)。 3將計(jì)算機(jī)指派給站點(diǎn) 根據(jù)其IP地址和子網(wǎng)掩碼，計(jì)算機(jī)將被指派給站點(diǎn)。對(duì)客戶端和成員服務(wù)器與對(duì)域控制器處理站點(diǎn)指派的方

33、式是不同的。對(duì)于客戶端，站點(diǎn)指派是在登錄期間由其IP地址和子網(wǎng)掩碼動(dòng)態(tài)決定的。對(duì)于域控制器，站點(diǎn)成員身份是由Active Directory中其相關(guān)服務(wù)器對(duì)象的位置決定的。 4站點(diǎn)和域有關(guān)系 在Active Directory中，站點(diǎn)反映了網(wǎng)絡(luò)的物理結(jié)構(gòu)，而域反映了單位的邏輯或管理結(jié)構(gòu)。這種物理和邏輯結(jié)構(gòu)的區(qū)分提供了下列好處： 可以單獨(dú)設(shè)計(jì)和維護(hù)網(wǎng)絡(luò)的邏輯和物理結(jié)構(gòu)。 不必使域名稱空間建立在物理網(wǎng)絡(luò)基礎(chǔ)之上。 可以為相同站點(diǎn)中的多個(gè)域部署域控制器，也可以為多個(gè)站點(diǎn)中的相同域部署域控制器。 具體內(nèi)容參見書中介紹。,6.7.3 目錄復(fù)制原理,1轉(zhuǎn)移復(fù)制數(shù)據(jù) Active Directory使用IP

34、上的遠(yuǎn)程過程調(diào)用（RPC）服務(wù)，在域控制器之間轉(zhuǎn)移復(fù)制數(shù)據(jù)。為了保證傳輸中的數(shù)據(jù)安全性，IP上的RPC復(fù)制同時(shí)使用身份驗(yàn)證和數(shù)據(jù)加密。 在Active Directory中，站點(diǎn)間復(fù)制是指站點(diǎn)間目錄分區(qū)更新的復(fù)制。在存儲(chǔ)相同域或應(yīng)用程序目錄分區(qū)的橋頭服務(wù)器之間會(huì)發(fā)生站間復(fù)制。站點(diǎn)內(nèi)復(fù)制是指兩個(gè)或多個(gè)域控制器之間發(fā)生的目錄分區(qū)更新的復(fù)制，這些域控制器存儲(chǔ)了相同的域或應(yīng)用程序目錄分區(qū)，并駐留在同一個(gè)站點(diǎn)。2防止不必要的復(fù)制 當(dāng)域控制器成功處理來自另一個(gè)域控制器的目錄更改之后，它不應(yīng)將這些更改復(fù)制回發(fā)送這些更改的域控制器。另外，如果目標(biāo)域控制器已經(jīng)從不同的復(fù)制伙伴接收到同樣的更新，那么該域控制器應(yīng)避

35、免將這些更新發(fā)送給其他域控制器。為防止發(fā)生此類不必要的復(fù)制，Active Directory使用存儲(chǔ)在目錄中的更改跟蹤信息。,3解決沖突的更改 對(duì)于兩個(gè)不同的用戶，有可能對(duì)完全相同的對(duì)象屬性進(jìn)行更改，并在任一更改復(fù)制完成之前使這些更改應(yīng)用到相同域中的兩個(gè)不同域控制器上。在這種情況下，兩個(gè)更改都會(huì)作為新更改來復(fù)制，這樣就產(chǎn)生了沖突。為解決此沖突，接收這些沖突更改的域控制器檢查更改中包含的屬性數(shù)據(jù)，每一個(gè)上都有一個(gè)版本和時(shí)間戳。域控制器將接受版本最高的更改，并丟棄其他更改。如果版本相同，域控制器將接受具有更新的時(shí)間戳的更改。 4提高復(fù)制效率 正如在Windows Server 2003家族中所引入

36、的，鏈接值復(fù)制允許多值屬性的個(gè)別值單獨(dú)復(fù)制。在Windows 2000中，當(dāng)對(duì)組的成員進(jìn)行更改時(shí)（具有鏈接值的多值屬性的一個(gè)示例），必須復(fù)制整個(gè)組。使用鏈接值復(fù)制，只能復(fù)制已更改的組成員，不能復(fù)制整個(gè)組。要啟用鏈接值復(fù)制，必須將林功能級(jí)別提升為Windows Server 2003。,6.7.4 站點(diǎn)內(nèi)的復(fù)制,Active Directory處理站點(diǎn)內(nèi)的復(fù)制與處理站點(diǎn)間的復(fù)制所用方法不同。Active Directory信息一致性檢查器（KCC）使用雙向環(huán)式設(shè)計(jì)建立站內(nèi)復(fù)制拓?fù)洹Ｕ緝?nèi)復(fù)制可實(shí)現(xiàn)速度優(yōu)化，站點(diǎn)內(nèi)的目錄更新根據(jù)更改通知自動(dòng)進(jìn)行。與站點(diǎn)間的復(fù)制數(shù)據(jù)不同，在站點(diǎn)內(nèi)復(fù)制的目錄更新并不壓縮

37、。 1建立站內(nèi)復(fù)制拓?fù)?每個(gè)域控制器上的信息一致性檢查器（KCC）使用雙向環(huán)式設(shè)計(jì)自動(dòng)建立站內(nèi)復(fù)制的最有效復(fù)制拓?fù)洹Ｔ贏ctive Directory復(fù)制中，復(fù)制拓?fù)涫怯蚩刂破饔脕碓谡军c(diǎn)內(nèi)，或（和）站點(diǎn)間的域控制器之間復(fù)制目錄更新的物理連接集合。在文件復(fù)制服務(wù)（FRS）中，復(fù)制拓?fù)涫侵父北炯蓡T之間的相互連接。這些相互連接確定了當(dāng)數(shù)據(jù)復(fù)制到所有副本集成員時(shí)所采用的路徑。 站點(diǎn)內(nèi)的這種雙向環(huán)式拓?fù)渲辽賹槊總€(gè)域控制器創(chuàng)建兩個(gè)連接，任意兩個(gè)域控制器之間不多于3個(gè)躍點(diǎn)。為了避免出現(xiàn)多于3個(gè)躍點(diǎn)的連接，此拓?fù)淇梢园绛h(huán)的快捷連接，KCC定期更新復(fù)制拓?fù)洹?2確定何時(shí)發(fā)生站內(nèi)復(fù)制 在站點(diǎn)內(nèi)進(jìn)行的目錄更

38、新可能對(duì)本地客戶端產(chǎn)生最直接的影響，因此站內(nèi)復(fù)制可實(shí)現(xiàn)速度優(yōu)化。站點(diǎn)內(nèi)的復(fù)制根據(jù)更改通知而自動(dòng)進(jìn)行。當(dāng)在某個(gè)域控制器上執(zhí)行目錄更新時(shí)，站內(nèi)復(fù)制就開始了。默認(rèn)情況下，源域控制器等待15秒鐘，然后將更新通知發(fā)送給最近的復(fù)制伙伴。如果源域控制器有多個(gè)復(fù)制伙伴，在默認(rèn)情況下將以3秒為間隔向每個(gè)伙伴相繼發(fā)出通知。當(dāng)接收到更改通知后，伙伴域控制器將向源域控制器發(fā)送目錄更新請(qǐng)求，源域控制器以復(fù)制操作響應(yīng)該請(qǐng)求。3秒鐘的通知間隔可避免來自復(fù)制伙伴的更新請(qǐng)求同時(shí)到達(dá)而使源域控制器應(yīng)接不暇。 對(duì)于站點(diǎn)內(nèi)的某些目錄更新，不用15秒鐘的等待時(shí)間，復(fù)制就會(huì)立即發(fā)生。這種立即復(fù)制稱為緊急復(fù)制，應(yīng)用于重要的目錄更新，包括賬

39、戶鎖定的指派及賬戶鎖定策略、域密碼策略或域控制器賬戶上密碼的更改。,6.7.5 站點(diǎn)間的復(fù)制,Active Directory處理站點(diǎn)之間的復(fù)制（或稱站點(diǎn)間復(fù)制）與處理站點(diǎn)內(nèi)的復(fù)制所用方法不同，因?yàn)檎军c(diǎn)之間的帶寬通常是有限的。Active Directory信息一致性檢查器（KCC）使用開銷最低的跨越樹設(shè)計(jì)建立站點(diǎn)間復(fù)制拓?fù)?。站點(diǎn)間復(fù)制被優(yōu)化為最佳的帶寬效率，并且站點(diǎn)之間的目錄更新可根據(jù)可配置的日程安排自動(dòng)進(jìn)行。在站點(diǎn)之間復(fù)制的目錄更新被壓縮以節(jié)省帶寬。 1建立站點(diǎn)間復(fù)制拓?fù)?Active Directory使用（通過“Active Directory站點(diǎn)和服務(wù)”）提供的關(guān)于站點(diǎn)連接的信息，自

40、動(dòng)建立最有效的站點(diǎn)間復(fù)制拓?fù)?。該目錄將此信息存?chǔ)為站點(diǎn)鏈接對(duì)象，每個(gè)站點(diǎn)被指派一個(gè)域控制器以建立該拓?fù)洹?2確定何時(shí)發(fā)生站點(diǎn)間復(fù)制 Active Directory通過最小化復(fù)制的頻率及允許安排站點(diǎn)復(fù)制鏈接的可用性，來節(jié)省站點(diǎn)之間的帶寬。在默認(rèn)情況下，跨越每個(gè)站點(diǎn)鏈接的站點(diǎn)間復(fù)制每180分鐘（3小時(shí)）進(jìn)行一次，可以調(diào)整此頻率以滿足的具體需要。,6.7.6 站點(diǎn)建立的適當(dāng)考慮,通過適當(dāng)建立站點(diǎn)，可以優(yōu)化復(fù)制效率并減少網(wǎng)絡(luò)的管理開銷。站點(diǎn)的最有效數(shù)量取決于網(wǎng)絡(luò)的物理設(shè)計(jì)。當(dāng)最初創(chuàng)建新的林時(shí)，將創(chuàng)建一個(gè)默認(rèn)的Active Directory站點(diǎn)（稱為Default-Site-First-Name）代

41、表整個(gè)網(wǎng)絡(luò)。包含單個(gè)站點(diǎn)的林或域是非常有效的，因?yàn)樗且愿咚賻捦耆B接的單位置網(wǎng)絡(luò)。如果的林或域包含多個(gè)物理位置，它們通過低速廣域網(wǎng)（WAN）連接進(jìn)行通信，那么建立多個(gè)站點(diǎn)就能使更細(xì)致地控制復(fù)制行為，減少身份驗(yàn)證滯后時(shí)間，并減少WAN上的網(wǎng)絡(luò)通信量。 以下是站點(diǎn)建立健全的適當(dāng)考慮 帶寬為何重要 何時(shí)建立單個(gè)站點(diǎn) 何時(shí)建立多個(gè)站點(diǎn)具體內(nèi)容參見書中介紹。,6.8 目錄復(fù)制配置,6.8.1 創(chuàng)建站點(diǎn) 站點(diǎn)是一組有效連接的子網(wǎng)，可以在一個(gè)域內(nèi)，也可以跨越多個(gè)域。可使用“Active Directory站點(diǎn)和服務(wù)”管理工具定義站點(diǎn)和站點(diǎn)鏈接。,創(chuàng)建站點(diǎn)的方法是在“Active Directory站點(diǎn)和

42、服務(wù)”控制臺(tái)窗口“Sites”文件夾上單擊鼠標(biāo)右鍵，在彈出菜單中選擇【新站點(diǎn)】命令，打開如右圖所示對(duì)話框。在“名稱”文本框中輸入新站點(diǎn)的名稱，然后在下面的列表框中選擇一個(gè)站點(diǎn)鏈接對(duì)象，再單擊【確定】按鈕即可 。 具體步驟參見書中介紹。,6.8.2 創(chuàng)建站點(diǎn)鏈接,創(chuàng)建站點(diǎn)鏈接的目的就是為了配置站點(diǎn)間復(fù)制的拓?fù)洹Ｔ趦蓚€(gè)或兩個(gè)以上站點(diǎn)之間創(chuàng)建站點(diǎn)鏈接，是一種影響復(fù)制配置的方式。通過創(chuàng)建站點(diǎn)鏈接，可為Active Directory提供了如下信息：哪些連接是可用的、哪一個(gè)是首選、可用帶寬是多少。,站點(diǎn)鏈接的創(chuàng)建方法是“Active Directory站點(diǎn)和服務(wù)”控制臺(tái)希望創(chuàng)建新站點(diǎn)鏈接的站間傳輸協(xié)議選項(xiàng)上單擊鼠標(biāo)右鍵，在彈出菜單中選擇【新建站點(diǎn)鏈接】命令，打開如右圖所示對(duì)話框。在“名稱”文本框中輸入將提供給鏈接的名稱。在左邊“不在此站點(diǎn)鏈接中的站點(diǎn)”列表中選擇要添加的兩個(gè)或多個(gè)站點(diǎn)，然后單擊【添加】按鈕添加到右邊的“在此站點(diǎn)鏈接中的站點(diǎn)”列表。最后單擊【確定】按鈕完成新站點(diǎn)鏈接的創(chuàng)建。,6.8.3 創(chuàng)建子網(wǎng)并將其與站點(diǎn)關(guān)聯(lián),有了站點(diǎn)，也有了站點(diǎn)鏈接，但這個(gè)新建的站點(diǎn)并沒有實(shí)際的網(wǎng)絡(luò)，所以在此需要把這個(gè)新建的站點(diǎn)與某個(gè)子網(wǎng)關(guān)聯(lián)起來。首先就要?jiǎng)?chuàng)建