活动目录
什么是工作组?
最早工作组的诞生是为了解决网上邻居“多而乱”的问题
工作组是局域网中一个概念,它是最常见的一种资源管理方式,就是将不同的电脑功能分别列入不同的组中。
- 每一台计算机都独立维护自己的资源,不能集中管理所有网络资源。
- 每一台计算机都在本地存储用户的账户
- 一个账户只能登录到一台计算机中
- 工作组中的每一台计算机都是平等的
- 工作组中的网络规模一般少于10台计算机
案例
行业某个哥们小张(某企业网络管理员),刚开始全单位8台计算机,他用的是工作组管理模式
网络配置很轻松,几乎不用管理.哪台机器有问题 就去哪来机器上解决.工作强度也不是很大.
不到3个月时间.随着企业信息化的需要,公司的计算机台数增加到了50台.小张采用同样的管理方式.
每天都很忙碌,从早上到公司到晚上离开,一直在解决网络中用户的计算机故障问题,病毒\IE首页篡改\甚至出现了公司内部恶意攻击的事件,经常晚上加班,通宵达旦的工作.但问题总是解决不了.
一个月后,他被辞退了.
为什么会这样呢?有没有更简单方便的管理方式呢?
活动目录
Active Directory(活动目录)是Windows Server 2003域环境中提供目录服务的组件。目录服务在微软平台上从Windows Server 2000开始引入,所以我们可以理解为活动目录是目录服务在微软平台的一种实现方式。当然目录服务在非微软平台上都有相应的实现。
命名空间
命名空间是一个界定好的区域,比如我们把电话簿看成一个“命名空间”,那么我们就可以通过电话簿这个界定好的区域里面的某个人名,找到与这个人名相关的电话、地址以及公司名称等信息。而Windows Server的活动目录就一个命名空间,我们通过活动目录里的对象的名称就可以找到与这个对象相关的信息。活动目录的“命名空间”采用DNS的架构,所以活动目录的域名采用DNS的 格式来命名。我们可以把域名命名为eagleslab.com,abc.com等。
域、域树、域林或组织单元
活动目录的逻辑结构包括:域(Domain)、域树(Domain
Tree)、林(Forest)和组织单元(Organization Unit)。如下图
- 域是一种逻辑分组,准确的说是一种环境,域是安全的最小边界。域环境能对网络中的资源集中统一的管理,要想实现域环境,你必须要在计算机中安装活动目录。其中最上层的域名为eagleslab.com,这个域是这棵域树的根域(root domain),此根域下面有2个子域,分别是www.eagleslab.com和file.eagleslab.com。从图中我们可以看出他们的命名空间具有连续性。例如,域www.eagleslab.com的后缀名包含着上一层父域的域名eagleslab.com。其实子域www.eagleslab.com和file.eagleslab.com还都可以有自己的子域。
- 域树内的所有域共享一个Active Directory(活动目录),这个活动目录内的数据分散地存储在各个域内,且每一个域只存储该域内的数据,如该域内的用户账户,计算机账户等,Windows Server将存储在各个域内的对象总称为Active Directory。
- 林(Forest)是由一棵或多棵域树组成的,每棵域树独享连续的命名空间,不同域树之间没有命名空间的连续性。林中第一棵域树的根域也整个林的根域,同时也是林的名称。
组织单元(OU)是一种容器,它里面可以包含对象(用户账户,计算机账户等),也可以包含其他的组织单元(OU)。
DHCP介绍
DHCP:动态主机设置协议(Dynamic Host Configuration Protocol)是一个局域网的网络协议,使用UDP协议 工作,主要有两个用途:用于内部网或网络服务供应商自动分配IP地址;给用户用于内部网管理员作为对所有计算机作中央管理的手段。
- DHCP使用优点
- 减少管理员的工作量
- 避免IP冲突
- 提高IP地址的利用率
- 移动计算机后不用重新配置网络信息,能够方便更改错误的可能性
- DHCP相关概念
- DHCP客户端:获取网络配置参数 DHCP服务端:提供网络配置参数(IP地址,默认网关等)
- DHCP中继代理:服务端和客户端之间转发DHCP的设备(主机或者路由器)
- 作用域:一个网络中的所有可分配IP地址的连续范围,主要用来定义物理子网的单一IP地址范围
- 超级作用域:一组作用域的集合,实现一个物理子网中多个逻辑IP地址。
- 排除范围:排除作用域内有限的IP地址序列(不使用DHCP服务)
- 地址池:定义作用域+排除范围后,剩余的地址将形成可用地址池
- 保留:DHCP服务器提供永久地址租约,确保客户端始终使用相同的IP地址
- 租用:客户从服务器上获得并临时占用某IP地址的过程
- 租约: 获得的IP地址的使用时间 获得IP地址时租约被激活并更新其地址租约;当租约到期或者被删除时租约停止
- DHCP运行过程
- DHCP客户端在局域网中发起一个DHCPDiscove包,主要用于发现DHCP服务器
- DHCP服务端接收到Discover包,回应客端Offer包,用于告诉“我”能提供IP地址
- 客户端接收到Offer包后,发送Request请求IP地址
- 服务端发送Ack包,确认信息
DHCP租约更新
域名系统DNS是一种分布式网络目录服务,主要作用是域名与IP地址之间的相互转换。(目的是为了解决IP地址不好记忆的缺点)。DNS是基于C/S模型设计的。
- DNS系统组成
- 域名空间:标识一组主机并提供它们的有关信息的树结构的详细说明
- 域名服务器 :保持和维护域名空间中数据
- Stub解析器:解析器是简单的程序或子程序库,它从服务器中提取信息以响应对域名空间中主机的查询,用 于DNS客户
- DNS分层结构
- 根域名
- 顶级域名
- 子域名
- DNS服务器类型
- 权威性服务器
- 主域名服务器
- 辅域名服务器:主辅域名服务器作冗余服务
- 残根域名服务器
- 秘密域名服务器
- 非权威服务器
- 惟高速缓存服务器
- 转发服务器
- 权威性服务器
- DNS区域
- 方便根据实际情况来分散域名管理工作的负荷,将DNS域名空间划分为区域来进行管理
- 区域是DNS服务器的管辖范围
- DNS服务器以区域为单位来管理域名空间的
- 一台DNS服务器可以管理一个或多个区域,而一个区域也可以由多台DNS服务器来管理
- 将DNS域名空间分为几个Zone,它存储着有关一个或多个DNS域的名称信息
- 在DNS服务器中必须先建立区域,再在区域中建立子域,然后添加主机等各种记录
- 方便根据实际情况来分散域名管理工作的负荷,将DNS域名空间划分为区域来进行管理
- DNS记录类型
- 域名与IP之间的对应关系,称为“记录”(record),根据使用场景,“记录”可以分为不同类型(type)
- 常见的DNS记录类型如下:
- A:记录地址,返回的域名所指向IP地址
- NS:域名服务器,返回保存下一级域名信息的服务器地址。该记录只能设置为域名,不能设置为IP地
- MX:邮箱记录,返回接收电子邮箱的服务器地址
- CNAME:规范名称记录,返回另一个域名,即当前查询的域名是另一个域名的跳转
- PTR:逆查域名,只用于IP地址查询域名
- 扩展:
- TXT:用来做SPF(反垃圾邮箱)
- AAAA:用来指定主机名(或域名)对应的IPv6记录。
- SRV:记录哪台计算机提供哪个服务。格式:服务 名字、点、协议的类型。
- 显性URL:从一个地址301重定向另一个地址的时候。
- 隐性URL:类似显性URL、区别在于隐形URL不会改 变地址中的域名。
DHCP实验
案例演示(配置一台DHCP服务器)
- 更改一下计算机名方便识别(如server改为win1,client改为win2)。
- 安装DHCP服务器
- 关闭Workstation提供的DHCP服务。因为局域网内有两台DHCP服务器的话,可能不会出现预期的效果。
- 安装DHCP服务并提前配置好静态IP地址。没有静态地址,客户端会寻找不到服务器。
- 添加作用域
- 观察地址租用
在客户端输入命令,ipconfig/release(释放地址信息), ipconfig/renew(重新获得IP地址)
DNS实验
DNS的区域实验配置
安装活动目录和DNS服务
- 新建区域,并添加解析记录
DNS的域实验配置
- 将DNS服务器升级为域控制器
- 添加新林
- 将dns服务器自己加入到域里
- 客户端手动指定DNS服务器
- 将客户端加入到域里
- 域网络防火墙放行