哈哈老爸老妈喝多了:活动目录--建立额外域(1)
来源:百度文库 编辑:偶看新闻 时间:2024/04/30 09:39:49
活动目录--建立额外域(1)(2009-11-02 17:30:24)标签:杂谈 分类:win2003 活动目录--建立额外域(1)
在主域wagon.myhat.com工作一段時間后,由于业务扩大,用户数量也相应的增大了,原本一台服务器有些负荷,因此公司决定再增加一台域控制器。主要是用来减少原域控制器的负载,提高用户到域控制器的访问速度,以及提高活动目录的安全性!
建立額外域后,可以將一部分用戶的首選DNS指向額外域控,以減輕原主域的負載.
安裝域外域需要備具的條件:
1.window server 2003企業版或是標準版 (推薦使用,若是使用2000服務器版也可以,但更日后可能無法做到域功能提昇)
2.擁用域管理員授權
3.網絡鏈路正常
4.安裝前的成員服務器IP設定.
按照前篇<活動目錄--規劃與安裝第一個域>中的服務器規劃,成員服務器wgcndc2的IP設定為:
下面开始来安装额外域控制器!
因为额外域使用的DNS为原主域的DNS,所以我们在安装好额外域后我们需要建立DNS服务!如果你在安装好额外域后,直接改本机DNS服务器地址的话,重新启动后,DNS将自动建立好!本文是在重启后手动建立DNS服务。
选取现存网域中的网域控制器
使用域管理员身份进行安装
输入网络的DNS名称
选择数据库的安装路径
选择SYSVOL安装路径
开始安装吧!
安装完成了!
重新启动后,开始更改DNS服务器为本机的IP地址
开始安装DNS服务器
开始配置DNS服务器
建立DNS主要区域
输入相关的域名
只允许安全更新
DNS服务器安装完成!
预览一下看!
主域与额外域之间的角色分布!
域架构主机:主域
域重命名主机:主域
PDC主机:额外域
RID主机:额外域
基础结构主机:额外域
附五种角色说明:
(1) Schema Master 架构主机
用来修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像,比如用户、计算机、打印机等,这些对像有一系列的属性,活动目录本身就是一个数据库,对像和属性之间就好像表格一样存在着对应关 系,那么这些对像和属性之间的关系是由谁来定义的,就是Schema Master。Sechema是可以扩展的,但是必须在 Schema Master上扩展。 建议:在占有Schema Master的域控制器上不需要高性能,因为我们不是经常对Schema进行操作的,除非是经常会对Schema进行扩展,不过这种情况非常的少,但我们必须保证可用性,否则在安装Exchnage或LCS之类的软件时会出错。
(2)Domain Naming Master 域命名主控
它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的 话,那么就必须要和Domain Naming Master进行联系,如果Domain Naming Master处于Down机状态的话,你的添 加和删除操作那上肯定会失败的。
建议:对占有Domain Naming Master的域控制器同样不需要高性能,我想没有一个网络管理员会经常在森林里添加或者删除域吧?当然高可用性是有必要的,否则就没有办法添加删除森里的域了。
2. 域级别(即一个域里只存在一台有个角色)(1) PDC Emulator PDC仿真器
在前面已经提过了,Windows 2000域开始,不再区分PDC还是BDC,但实际上有些操作则必须要由PDC来完成,那么这些操作在Windows 2003域里面怎么办呢?那就由PDC Emulator来完成,主要是以下操作:
A. 处理密码验证要求;
在默认情况下,Windows 2003域里的所有DC会每5分钟复制一次,但有一些情况是例外的,比如密码的修改,一般情况下,一旦密码被修改,会先被复制到PDC Emulator,然后由PDC Emulator触发一个即时更新,以保证密码的实时性,当然,实际上由于网络复制也是需要时间的,所以还是会存在一定的时间差,至于这个时间差是多少,则取决于你的网络规模和线路情况。
B.统一域内的时间;
微软活动目录是用Kerberos协议来进行身份认证的,在默认情况下,验证方与被验证方之间的时间差不能超过5分钟,否则会被拒绝通过,微软这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的,这个统一时间的工作就是由PDC Emulator来完成
C.向域内的NT4 BDC提供复制数据源;
对于一些新建的网络,不大会存在Windows 2000域里包含NT4的BDC的现象,但是对于一些从NT4升级而来的Windows 2000域却很可能存有这种情况,这种情况下要向NT4 BDC复制,就需要PDC Emulator。D.统一修改组策略的模板;
E.对Windows2000以前的操作系统,如Win98之类的计算机提供支持;
对于Windows 2000之前的操作系统,它们会认为自己加入的是NT4域,所以当这些机器加入到Windows 2000域时,它们会尝试联系PDC,而实际上PDC已经不存在了,所以PDC Emulator就会成为它们的联系对象! 建议:从上面的介绍里大家应该看出来了,PDC Emulator是FSMO五种角色里任务最重的,所以对于占用 PDC mulator的域控制器要保证高性能和高可用性。
(2) RID Master RID主控
在Windows 2000以上的安全子系统中,用户的标识不取决于用户名,虽然我们在一些权限设置时用的是用户名,但实际上取决于安全主体的SID,所以当两个用户的 SID一样的时候,尽管他们的用户名可能不一样,但 Windows的安全子系统中会把他们认为是同一个用户,这样就会产生安全问题。而在域内的用户、组和计算机的安 全ID=Domain SID+RID,那么如何避免这种情况?这就需要用到RID Master,RID Master的作用是:分配可用RID池 给域内的DC和防止安全主体的SID重复。 建议:对于占有RID Master的域控制器,其实也没有必要一定要求高性能,因为我们很少会经常性的利用批处理或 脚本向活动目录添加大量的用户。这个请大家视实际情况而定了,当然高可用性是必不可少的,否则就没有办法 添加用户 (3) Infrastructure Master
FSMO的五种角色中最无关紧要的可能就是这个角色了,它的主要作用就是用来更新组的成员列表,因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU,那么用户的DN名就发生变化,这时其它域对于这个 用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。
建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下, Infrastructure Master根本不起作用,所以一般情况下对于占有Infrastructure Master的域控制器往往忽略性能和可能性。
在主域wagon.myhat.com工作一段時間后,由于业务扩大,用户数量也相应的增大了,原本一台服务器有些负荷,因此公司决定再增加一台域控制器。主要是用来减少原域控制器的负载,提高用户到域控制器的访问速度,以及提高活动目录的安全性!
建立額外域后,可以將一部分用戶的首選DNS指向額外域控,以減輕原主域的負載.
安裝域外域需要備具的條件:
1.window server 2003企業版或是標準版 (推薦使用,若是使用2000服務器版也可以,但更日后可能無法做到域功能提昇)
2.擁用域管理員授權
3.網絡鏈路正常
4.安裝前的成員服務器IP設定.
按照前篇<活動目錄--規劃與安裝第一個域>中的服務器規劃,成員服務器wgcndc2的IP設定為:
下面开始来安装额外域控制器!
因为额外域使用的DNS为原主域的DNS,所以我们在安装好额外域后我们需要建立DNS服务!如果你在安装好额外域后,直接改本机DNS服务器地址的话,重新启动后,DNS将自动建立好!本文是在重启后手动建立DNS服务。
选取现存网域中的网域控制器
使用域管理员身份进行安装
输入网络的DNS名称
选择数据库的安装路径
选择SYSVOL安装路径
开始安装吧!
安装完成了!
重新启动后,开始更改DNS服务器为本机的IP地址
开始安装DNS服务器
开始配置DNS服务器
建立DNS主要区域
输入相关的域名
只允许安全更新
DNS服务器安装完成!
预览一下看!
主域与额外域之间的角色分布!
域架构主机:主域
域重命名主机:主域
PDC主机:额外域
RID主机:额外域
基础结构主机:额外域
附五种角色说明:
(1) Schema Master
(2)Domain Naming Master 域命名主控
A. 处理密码验证要求;
在默认情况下,Windows 2003域里的所有DC会每5分钟复制一次,但有一些情况是例外的,比如密码的修改,一般情况下,一旦密码被修改,会先被复制到PDC Emulator,然后由PDC Emulator触发一个即时更新,以保证密码的实时性,当然,实际上由于网络复制也是需要时间的,所以还是会存在一定的时间差,至于这个时间差是多少,则取决于你的网络规模和线路情况。
B.统一域内的时间;
微软活动目录是用Kerberos协议来进行身份认证的,在默认情况下,验证方与被验证方之间的时间差不能超过5分钟,否则会被拒绝通过,微软这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的,这个统一时间的工作就是由PDC Emulator来完成
对于一些新建的网络,不大会存在Windows 2000域里包含NT4的BDC的现象,但是对于一些从NT4升级而来的Windows 2000域却很可能存有这种情况,这种情况下要向NT4 BDC复制,就需要PDC Emulator。D.统一修改组策略的模板;
E.对Windows2000以前的操作系统,如Win98之类的计算机提供支持;
对于Windows 2000之前的操作系统,它们会认为自己加入的是NT4域,所以当这些机器加入到Windows 2000域时,它们会尝试联系PDC,而实际上PDC已经不存在了,所以PDC Emulator就会成为它们的联系对象!
(2) RID Master RID主控
win2003如何建立额外域
什么是DNS服务,域服务器建立,活动目录,DHCP服务??
活动目录和域
活动目录
活动目录
什么是Windows域,集群,活动目录?
活动目录和域的关系
在校园网里,能不能建立自己的活动目录和dns呀
在WIN2000服务器中建立活动目录时为何发出响声
(MCSE)叙述活动目录主要功能,并设计一个企业级活动目录实施方案(单域多OU)
什么是活动目录
什么是活动目录???急~~~
关于活动目录
win2000活动目录问题
怎样安装活动目录
使用活动目录好处
如何建立传奇目录
怎样建立传奇目录?
怎么建立传奇目录
怎么建立传奇目录
我的2000server系统装好了之后,在活动目录中建立的帐户,为什么不能登陆了?
活动目录和域控制器有什么区别?
关于AD活动目录域管理的问题
关于活动目录和域这两个概念