Windows网络服务架构系列课程详解Word文档下载推荐.docx

Windows网络服务架构系列课程详解Word文档下载推荐.docx

《Windows网络服务架构系列课程详解Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《Windows网络服务架构系列课程详解Word文档下载推荐.docx（32页珍藏版）》请在冰豆网上搜索。

2、掌握林、域树和子域的部署过程

3、掌握林中的信任关系（父子信任和树根信任）

4、掌握林之间的信任关系（外部信任和林信任）

5、掌握AGDLP规则，并利用其规则进行区域间资源的访问

实验环境：

本实验搭建了两个独立的林（两家独立的公司），其中一个林（企业—1）里建有一棵域树（也称之为一个林），通过根域和子域构成；

根域和子域之间通过父子信任进行互访；

另一个林（企业—2）里建有两棵域树（也称之为一个林），域树之间通过树根信任进行互访；

另外两个林（企业—1与企业—2）之间通过外部信任或林信任进行互访。

实验网络拓扑：

实验步骤

1.准备实验环境，并创建林、子域和域树。

1.1、首先，将Srv1和Srv3分别升级为域控制器，升级过程中选择“新林中的域”，做为两个企业的根域，并将Srv2加入到Srv1域中，Srv4加入到Srv3中，加入域之后，在各自的根域DNS中会默认添加相应的主机记录。

如下图Srv1中DNS的记录

1.2、添加用户xiaonuo和danuo分别到域和中，并将它们都加入各自的EnterpriseAdmins组中，通过这两个用户分别对各自的林的修改进行管理，也避免了管理员密码的多次使用造成泄露。

在根域中存在两个全局安全组，分别为EnterpriseAdmins和SchemaAdmins，其他域是没有的。

（以为例）

EnterpriseAdmins：

企业管理组，可以对活动目录中整个林作修改，例如添加子域（Domainadmins组中的成员也可以添加子域）。

SchemaAdmins：

架构管理组：

可以对活动目录整个林做架构修改，也就是用户或组的一些属性选项卡之类的架构，比如说Windowsserver2003R2和Windowsserver2003SP1的架构信息默认就不相同，如果SP1为根域，那么R2是不能够新建一个独立的域树的，原因是架构信息不一样造成的。

1.3、在Srv2上创建现有域树中的一个子域

Srv1上已经创建好了域根，也称之为一棵域树，也可以称之为一个林。

向域树中添加的新域叫做子域（），名称是由子域本身的名称和父域域名结合而成的DNS名，子域上层的域是父域（）。

在存在且在线的情况下，在Srv2上运行“dcpromo”选择“在现有域树中的子域”即可

键入网络凭据，键入具有域的管理权限的账户和密码（administrator或者xiaonuo，也就是该账户必须是EnterpriseAdmins或者DomainAdmins成员）

输入父域（），然后输入添加子域的NETBIOS名称（xiaonuo），最终形成的域名为（域名必须符合DNS的命名规则）

输入域的NetBIOS名称，默认为域名的最前部分，到这一步的时候，安装向导会在同一网段检查是否有重名，如果有重名，会在默认NetBIOS后面加上1，也可以更改成其它NetBIOS名称，客户端在登陆域的时候，只显示域的NetBIOS名称；

客户端在加入域的时候，如果没有填写DNS，输入NetBIOS名称是可以加入到域的，使用的是NetBIOS协议，不过，前提是加入域的用户必须和域在同一个网段。

配置完成之后，可以通过下一步进行域信息的复查，如果配置错误，可以单击“上一步”继续配置。

确定无误之后，向导便开始安装域环境，首先会从以前加入的域（）中脱离出来，然后，创建新的域。

DNS中也会将此用户的记录删除。

1.4、在Srv4上创建现有的林中的域树

假如您不想使新域成为现有域的子域，想拥有属于自己的一个域名，可以建立一个与现有树分开的、新的域树，它和域根之间通过建立树根信任进行互相通信，单个域树（只有一台DC）或多棵域树构成一个林。

键入网络凭据，键入具有域的管理权限的账户和密码（administrator或者danuo，也就是该账户必须是EnterpriseAdmins或者DomainAdmins成员）

输入与不同的域名，此域名没有父域和子域之间的关系，只要符合DNS的域名命名标准就可以，输入完成之后，开始检查的NetBIOS名称tianjing是否在同一网段中使用，如果没有，默认域的NetBIOS名就为tianjing。

创建子域和创建域树的一个重要区别就是，子域是通过父域的DNS进行名称解析的，而另外一棵域树是通过自己搭建的DNS进行名称解析的，当然，子域也可以搭建自己的DNS，一般在公司里，子域用于一些部门，而域树用于一些分公司，管理的范围大小不同。

所以，子域是没有必要搭建一台独立的DNS，而域树需要搭建一台独立的DNS服务器进行本域树以及所有子域的名称解析。

本实验搭建如果出现一下问题，说明您的两台域控制器版本不一样，比如说windowsserver2003SP1和windowsserver2003R2之间由于版本不一样，所以搭建的域架构信息也不一样。

2.林中的信任关系

2.1、查看林中的信任关系

林中的信任关系默认在安装域控制器时自动创建，父域和子域之间形成父子信任，如和之间的信任；

域树和域树之间形成树根信任，如guangzhou.coom和之间的信任。

林中信任关系的特点是自动创建；

而且可以传递信任，也就是说域A直接信任域B，域B直接信任域C，那么域A直接信任域C；

还可以双向信任，两个域之间可以互相信任，处于平等地位。

打开“ActiveDirectory域和信任关系”右击域的属性，可以查看域在林中的信任关系

2.2、使用ADGLP规则实现林中跨域访问

林中的所有域之间的信任关系时自动创建的，而且时双向的和棵传递的信任关系，这会不会造成林中的任何账户都能轻易访问其他域的资源呢？

答案是否定的。

信任关系的建立仅仅只为跨域访问资源提供了前提条件，但是要成功访问资源还必须设置要访问文件夹的共享和安全权限。

AGDLP规则：

首先将具有相同访问权限的用户加入的全局组，然后，将所有具有相同性质的全局组加入到一个本地域组，然后给本地域组赋予权限即可。

现在存在这样一个环境，域全局组quanjuzu里的一个用户ceshi想访问域中的共享资源。

首先，在域上创建一个用户ceshi，然后创建一个全局组quanjuzu，将ceshi加入到quanjuzu中，而实际应用中，quanjuzu中应该有多个具有同样性质的用户，然后，在子域上创建一个本地域组bendiyuzu，并将域中全局组quanjuzu加入到子域中的本地域组bendiyuzu中。

注意：

加入的时候，需要修改查找位置，将当前位置改为

然后在子域上新建一个文件夹，命名为ceshi，并设置其共享权限为bendiyuzu读取，NSFS权限为bendiyuzu读取和运行，最终的权限为两者的叠加，即为读取权限。

然后在加入域的机器上使用用户ceshi登陆到域上，通过UNC路径访问域上的共享文件。

上面只是其中的一种访问方法，另外一种是可以到加入域的机器上登陆到域，然后进行共享资源的访问。

3.林之间的信任之一：

外部信任

外部信任是指在不同林的域之间创建的不可传递的信任，外部信任在windows2000混合模式、windows2000纯模式或者windows2003上都可以做。

假如现在有这样一个环境，域里的用户ceshi想访问中资源，而域中的用户不能够访问域中资源。

3.1、配置各自根域DNS的转发器指向对方的DNS上。

要使两个根域的计算机互相解析出对方的DNS域名，需要将各自在DNS上配置“转发器”，互相指向对方。

例如，下面是将Srv1上DNS的“转发器”指向Srv3的DNS上。

配置完成之后，一定要在各自的DNS服务器上解析一些对方的域名，看是否能够解析成功。

打开域的属性窗口，并选择“新建信任”

输入将要信任或者被信任的域

选择“单向：

内传”也就是说这个域中的用户可以到域中得到身份验证。

由于信任关系是在两个域之间建立的，如果在域建立一个“单向：

内传”信任，则需要在域上必须建立一个“单向：

外传”信任。

如下图所示，选择第二项，可以在对方域中自动创建一个“单向：

外传”的信任。

接下来键入指定域中具有管理权限的账户名称和密码，输入用户administrator和danuo都可以。

只要是Enterpriseadmins组中用户都可以。

联系到域之后，便显示了信任的基本设置，确认无误之后，选择“下一步”建立信任关系。

在这一步的时候，一定要选择“是，确定传入信任”，否则，刚做的操作都实现不了了。

创建完成之后，可以通过打开“ActiveDirectory”在或者的属性选项卡上进行查看，然后以利用AGDLP规则进行测试。

如果两个林域根建立的外部信任之后，林中的每个域都可以和另外一个林中其中的一个域建立信任关系，这个叫快捷信任。

4.林之间的信任之一：

4.1、搭建林信任之间的必须条件

林信任是windowsserver2003林特有的信任，是windowsserver2003林根域之间建立的信任。

在两个windowsserver2003林之间创建林信任棵为任一林内的各个域之间提供一种单向或双向的可传递信任关系。

它的传递性区别于外部信任。

林信任适用于应用程序服务提供商、正在经历合并或收购的公司、合作企业Extranet以及寻求管理自治解决方案的公司。

创建林信任和创建外部信任类似，不同的是创建林信任之前要升级为林功能级别为windowsserver2003，这是创建林信任的前提条件。

升级林功能级别之前，需要将林中所有域的域功能级别设置为windows2000纯模式或windowsserver2003

打开“ActiveDirectory域和信任关系”，将所有的域提升为windows2000纯模式。

提升完域控制器之后，右击“ActiveDirectory域和信任关系”，选择“提升林功能级别”，然后提升为windowsserver2003，注意，如果域控制器没有提升为windows2000纯模式或者windows2003，那么提升域功能级别就会报一个警告。

4.2、创建林信任

打开域的属性，选择“信任”，然后选择“新建信任”输入被信任或者将要信任的域

然后，选择“林信任”

创建一个双向信任，也可以创建单向（内传，外传）信任，根据具体情况而定。

选择第二项，域上同时创建双向的林信任关系。

接下来键入指定域中具有管理权限的账户名称和密码，输入用户administrator和danuo都可以，前提必须是Enterpriseadmins组中用户。

选择“全林性身份验证”，windows将自动对指定林（）的所有用户使用本地林（）的所有资源进行身份验证。

建立好林信任之后，可以通过在“ActiveDirectory域和信任关系”选择域或者域进行查看，从下图可以看出，林信任是具有传递性的。

本文出自“UNIX/LinuxDiscovery”博客，请务必保留此出处