為什么我們需要域？Active Directory 系列之一為什么需要域？對(duì)很多剛開(kāi)始鉆研微軟技術(shù)的朋友來(lái)說(shuō)，域是一個(gè)讓他們感到很頭疼的對(duì)象。域的重要性毋庸置疑，微軟的重量級(jí)服務(wù)產(chǎn)品基本上都需要域的支

為什么我們需要域？Active Directory 系列之一

為什么需要域？

對(duì)很多剛開(kāi)始鉆研微軟技術(shù)的朋友來(lái)說(shuō)，域是一個(gè)讓他們感到很頭疼的對(duì)象。域的重要性毋庸置疑，微軟的重量級(jí)服務(wù)產(chǎn)品基本上都需要域的支持，很多公司招聘工程師的要求中也都明確要求應(yīng)聘者熟悉或精通Active Directory 。但域?qū)Τ鯇W(xué)者來(lái)說(shuō)顯得復(fù)雜了一些，眾多的技術(shù)術(shù)語(yǔ)，例如Active Directory ，站點(diǎn)，組策略，復(fù)制拓?fù)?，操作主機(jī)角色，全局編錄…. 很多初學(xué)者容易陷入這些技術(shù)細(xì)節(jié)而缺少了對(duì)全局的把握。從今天開(kāi)始，我們將推出Active Directory 系列博文，希望對(duì)廣大學(xué)習(xí)AD 的朋友有所幫助。

今天我們談?wù)摰牡谝粋€(gè)問(wèn)題就是為什么需要域這個(gè)管理模型？眾所周知，微軟管理計(jì)算機(jī)可以使用域和工作組兩個(gè)模型，默認(rèn)情況下計(jì)算機(jī)安裝完操作系統(tǒng)后是隸屬于工作組的。我們從很多書里可以看到對(duì)工作組特點(diǎn)的描述，例如工作組屬于分散管理，適合小型網(wǎng)絡(luò)等等。我們這時(shí)要考慮一個(gè)問(wèn)題，為什么工作組就不適合中大型網(wǎng)絡(luò)呢，難道每臺(tái)計(jì)算機(jī)分散管理不好嗎？下面我們通過(guò)一個(gè)例子來(lái)討論這個(gè)問(wèn)題。

假設(shè)現(xiàn)在工作組內(nèi)有兩臺(tái)計(jì)算機(jī)，一臺(tái)是服務(wù)器Florence ，一臺(tái)是客戶機(jī)Perth 。服務(wù)器的職能大家都知道，無(wú)非是提供資源和分配資源。服務(wù)器提供的資源有多種形式，可以是共享文件夾，可以是共享打印機(jī)，可以是電子郵箱，也可以是數(shù)據(jù)庫(kù)等等?，F(xiàn)在服務(wù)器Florence 提供一個(gè)簡(jiǎn)單的共享文件夾作為服務(wù)資源，我們的任務(wù)是要把這個(gè)共享文件夾的訪問(wèn)權(quán)限授予公司內(nèi)的員工張建國(guó)，注意，這個(gè)文件夾只有張建國(guó)一個(gè)人可以訪問(wèn)！那我們就要考慮一下如何才能實(shí)現(xiàn)這個(gè)任務(wù)，一般情況下管理員的思路都是在服務(wù)器上為張建國(guó)這個(gè)用戶創(chuàng)建一個(gè)用戶賬號(hào)，如果訪問(wèn)者能回答出張建國(guó)賬號(hào)的用戶名和密碼，我們就認(rèn)可這個(gè)訪問(wèn)者就是張建國(guó)?；谶@個(gè)樸素的管理思路，我們來(lái)在服務(wù)器上進(jìn)行具體的實(shí)施操作。

首先，如下圖所示，我們?cè)诜?wù)器上為張建國(guó)創(chuàng)建了用戶賬號(hào)。

然后在共享文件夾中進(jìn)行權(quán)限分配，如下圖所示，我們只把共享文件夾的讀權(quán)限授予了用戶

張建國(guó)。

好，接下來(lái)張建國(guó)就在客戶機(jī)Perth 上準(zhǔn)備訪問(wèn)服務(wù)器上的共享文件夾了，張建國(guó)準(zhǔn)備訪問(wèn)資源Florence人事檔案，服務(wù)器對(duì)訪問(wèn)者提出了身份驗(yàn)證請(qǐng)求，如下圖所示，張建國(guó)輸入

了自己的用戶名和口令。

如下圖所示，張建國(guó)成功地通過(guò)了身份驗(yàn)證，訪問(wèn)到了目標(biāo)資源。

看完了這個(gè)實(shí)例之后，很多朋友可能會(huì)想，在工作組模式下這個(gè)問(wèn)題解決得很好啊，我們不是成功地實(shí)現(xiàn)了預(yù)期目標(biāo)嘛！沒(méi)錯(cuò)，在這個(gè)小型網(wǎng)絡(luò)中，確實(shí)工作組模型沒(méi)有暴露出什么問(wèn)題。但是我們要把問(wèn)題擴(kuò)展一下！現(xiàn)在假設(shè)公司不是一臺(tái)服務(wù)器，而是500臺(tái)服務(wù)器，這大致是一個(gè)中型公司的規(guī)模，那么我們的麻煩就來(lái)了。如果這500臺(tái)服務(wù)器上都有資源要分配給張建國(guó)，那會(huì)有什么樣的后果呢？由于工作組的特點(diǎn)是分散管理，那么意味著每臺(tái)服務(wù)器都要給張建國(guó)創(chuàng)建一個(gè)用戶賬號(hào)！張建國(guó)這個(gè)用戶就必須痛不欲生地記住自己在每個(gè)服務(wù)器上的用戶名和密碼。而服務(wù)器管理員也好不到哪兒去，每個(gè)用戶賬號(hào)都重新創(chuàng)建500次！如果公司內(nèi)有1000人呢？我們難以想象這么管理網(wǎng)絡(luò)資源的后果，這一切的根源都是由于工作組的分散管理！現(xiàn)在大家明白為什么工作組不適合在大型的網(wǎng)絡(luò)環(huán)境下工作了吧，工作組這種散漫的管理方式和大型網(wǎng)絡(luò)所要求的高效率是背道而馳的。

既然工作組不適合大型網(wǎng)絡(luò)的管理要求，那我們就要重新審視一下其他的管理模型了。域模型就是針對(duì)大型網(wǎng)絡(luò)的管理需求而設(shè)計(jì)的，域就是共享用戶賬號(hào)，計(jì)算機(jī)賬號(hào)和安全策略的計(jì)算機(jī)集合。從域的基本定義中我們可以看到，域模型的設(shè)計(jì)中考慮到了用戶賬號(hào)等資源的共享問(wèn)題，這樣域中只要有一臺(tái)計(jì)算機(jī)為公司員工創(chuàng)建了用戶賬號(hào)，其他計(jì)算機(jī)就可以共享賬號(hào)了。這樣就很好地解決剛才我們提到的賬號(hào)重復(fù)創(chuàng)建的問(wèn)題。域中的這臺(tái)集中存儲(chǔ)用戶賬號(hào)的計(jì)算機(jī)就是域控制器，用戶賬號(hào)，計(jì)算機(jī)賬號(hào)和安全策略被存儲(chǔ)在域控制器上一個(gè)名為Active Directory 的數(shù)據(jù)庫(kù)中。

上述這個(gè)簡(jiǎn)單的例子說(shuō)明的只是域強(qiáng)大功能的冰山一角，其實(shí)域的功能遠(yuǎn)遠(yuǎn)不止這些。從下篇博文我們將開(kāi)始介紹域的部署以及管理，希望大家在使用過(guò)程中逐步增加感性認(rèn)識(shí)，對(duì)域有更加深入及全面的了解，能夠掌握好Active Directory 這個(gè)微軟工程師必備的重要知識(shí)點(diǎn)部署第一個(gè)域：Active Directory 系列之二

一般情況下，域中有三種計(jì)算機(jī)，一種是域控制器，域控制器上存儲(chǔ)著Active Directory；一種是成員服務(wù)器，負(fù)責(zé)提供郵件，數(shù)據(jù)庫(kù)，DHCP等服務(wù)；還有一種是工作站，是用戶使用的客戶機(jī)。我們準(zhǔn)備搭建一個(gè)基本的域環(huán)境，拓?fù)淙缦聢D所示，F(xiàn)lorence是域控制器，Berlin是成員服務(wù)器，Perth是工作站。

部署一個(gè)域大致要做下列工作：

1DNS 前期準(zhǔn)備

2創(chuàng)建域控制器

3創(chuàng)建計(jì)算機(jī)賬號(hào)

4創(chuàng)建用戶賬號(hào)

一DNS 前期準(zhǔn)備

DNS 服務(wù)器對(duì)域來(lái)說(shuō)是不可或缺的，一方面，域中的計(jì)算機(jī)使用DNS 域名，DNS需要為域中的計(jì)算機(jī)提供域名解析服務(wù)；另外一個(gè)重要的原因是域中的計(jì)算機(jī)需要利用DNS 提供的SRV 記錄來(lái)定位域控制器，因此我們?cè)趧?chuàng)建域之前需要先做好DNS 的準(zhǔn)備工作。那么究竟由哪臺(tái)計(jì)算機(jī)來(lái)負(fù)責(zé)做DNS 服務(wù)器呢？一般工程師有兩種選擇，要么使用域控制器來(lái)做DNS 服務(wù)器，要么使用一臺(tái)單獨(dú)的DNS 服務(wù)器。我一般使用一臺(tái)獨(dú)立的計(jì)算機(jī)來(lái)充當(dāng)DNS 服務(wù)器，這臺(tái)DNS 服務(wù)器不但為域提供解析服務(wù)，也為公司其他的業(yè)務(wù)提供DNS 解析支持，大家可以根據(jù)具體的網(wǎng)絡(luò)環(huán)境來(lái)選擇DNS 服務(wù)器。

在創(chuàng)建域之前，DNS服務(wù)器需要做好哪些準(zhǔn)備工作呢？

1創(chuàng)建區(qū)域并允許動(dòng)態(tài)更新

首先我們要在DNS 服務(wù)器上創(chuàng)建出一個(gè)區(qū)域，區(qū)域的名稱和域名相同，域內(nèi)計(jì)算機(jī)的DNS 記錄都創(chuàng)建在這個(gè)區(qū)域中。我們?cè)贒NS 服務(wù)器上打開(kāi)DNS 管理器，如下圖所示，右鍵單擊正向查找區(qū)域，選擇新建一個(gè)區(qū)域。出現(xiàn)新建區(qū)域向?qū)Ш?，點(diǎn)

擊下一步繼續(xù)。

區(qū)域名稱和域名相同，是adtest.com

。

區(qū)域一定要允許動(dòng)態(tài)更新，因?yàn)樵趧?chuàng)建域的過(guò)程中需要向DNS 區(qū)域中寫入A 記錄，SRV 記錄和Cname

記錄

區(qū)域創(chuàng)建完畢，點(diǎn)擊完成結(jié)束創(chuàng)建

2檢查NS 和SOA 記錄

區(qū)域創(chuàng)建完成后，一定要檢查一下區(qū)域的NS 記錄和SOA 記錄。在前面的DNS 課程中，我們已經(jīng)介紹了NS 記錄和SOA 記錄的意義，NS 記錄描述了有多少個(gè)DNS 服務(wù)器可以解析這個(gè)區(qū)域，SOA 記錄描述了哪個(gè)DNS 服務(wù)器是區(qū)域的主服務(wù)器。如果NS 記錄和SOA 記錄出錯(cuò)，域的創(chuàng)建過(guò)程中就無(wú)法向DNS 區(qū)域中寫入應(yīng)有的記錄。在DNS 服務(wù)器上打開(kāi)DNS

管理器，在adtest.com 區(qū)域中檢查ns 記錄，如下圖所示，我們發(fā)現(xiàn)ns 記錄不是一個(gè)有效的

完全合格域名，我們需要對(duì)它進(jìn)行修改。

如下圖所示，我們把ns 記錄改為ns.adtest.com. ，解析出的IP 地址和DNS 服務(wù)器的IP 是吻合的，這樣我們就完成了ns 記錄的修改。

如下圖所示，我們把區(qū)域

的SOA 記錄也同樣進(jìn)行修改，現(xiàn)在區(qū)域的主服務(wù)器是ns.adtest.com. ，這樣SOA 記錄也修改完畢了

作完成，我們接下來(lái)可以部署域了。

二創(chuàng)建域控制器至此，DNS 準(zhǔn)備工

有了DNS 的支持，我們現(xiàn)在可以開(kāi)始創(chuàng)建域控制器了，域控制器是域中的第一臺(tái)服務(wù)器，域控制器上存儲(chǔ)著Active Directory ，可以說(shuō)，域控制器就是域的靈魂。我們準(zhǔn)備在Florence 上創(chuàng)建域控制器，首先檢查Florence 網(wǎng)卡的TCP/IP屬性，注意，F(xiàn)lorence 應(yīng)該使用192.168.11.1作為自己的DNS 服務(wù)器。因?yàn)槲覀儎倓傇?92.168.11.1上創(chuàng)建了adtest.com 區(qū)域

如下圖所示，在Florence

上運(yùn)行Dcpromo ，開(kāi)始域控制器的創(chuàng)建。

如下圖所示，出現(xiàn)Active Directory

安裝向?qū)?，?chuàng)建域控制器其實(shí)就是在Florence 上安裝一個(gè)Active Directory 數(shù)據(jù)庫(kù)，點(diǎn)擊下一步繼續(xù)。