第7章网络搭建实训课件.ppt

第7章 Windows Server 2003服务器配置与管理 教学内容 １、活动目录与用户管理； ２、DHCP服务器； ３、DNS服务； ４、Internet信息服务； ５、邮件服务器。 7.1 活动目录与用户管理 1．活动目录 活动目录(Active Directory)是一个分布式的目录服务，活动目录与文件夹的作用相似，用于组织、管理和控制网络资源，便于用户查找、管理和使用网络资源。 因为大型网络中难以确定资源位置、名称，所以需要目录服务，使得用户能透明、高效地快速定位资源，而不需要知道资源的物理位置、如何连接。 利用活动目录，可以实现单点管理，用户只需登录一次，就可以访问整个活动目录的资源 7.1 活动目录与用户管理 （1）域 域（Domain）是Windows Server 2003目录服务的基本管理单位。在活动目录中，域是指由管理员定义的计算机、用户和组对象的集合。在DNS(域名系统)中，域是指DNS名称空间内的任意树或子树。一个域中必须至少有一台域控制器（Domain Controller）和若干台客户机。域控制器上存放有域中所有用户、组、计算机等信息。域控制器就把这些信息存放在活动目录中，活动目录实际上就是一个特殊的数据库。 7.1 活动目录与用户管理 为什么需要域呢？因为如果资源分布在多台服务器上，要在每台服务器分别为每一员工建立一个账户（共M*N个），用户则需要在每台服务器上（共M台）登录，如图7-1所示。 图7-1 没划分域的资源访问 7.1 活动目录与用户管理 如果服务器和用户的计算机都在同一个域中，用户在域中只要拥有一个账号在域中登录一次就可以访问域中的资源了，如图7-2所示。 图7-2划分域的资源访问 7.1 活动目录与用户管理 当网络有十万个用户甚至更多，域控制器存放的用户数据量将很大，更为关键的是如果用户频繁登录，域控制器可能因此而不堪重负。分成多个域，每个域的规模控制在一定的范围之内，如图7-3所示。实际上，分成小的域不仅仅出于服务器不堪重负的原因，更多的是出于管理上的要求。  图7-3划分多个域的网络 7.1 活动目录与用户管理 （2）信任 划分成多个域后，新的问题产生了。在域1中的用户登录后可以访问域1中的服务器上的资源，域2的用户可以访问域2中的服务器上的资源；但是，域1的用户访问不了域2中的服务器上的资源，域2的用户也访问不了域1中的服务器上的资源。 为了解决用户跨域访问资源的问题，可以在域之间引入信任。 7.1 活动目录与用户管理 A域信任B域，则A称为信任域（Trusting Domain），B域称为被信任域（Trusted Domain），B域的用户可以访问A域中的资源。信任分为单向信任关系和双向信任关系，如图7-4所示。 a:单向信任关系 b:双向信任关系 图7-4 信任关系图 7.1 活动目录与用户管理 信任关系有可传递和不可传递之分。 A信任B，B又信任C，如果信任关系是可传递的，A就信任C； A信任B，B又信任C，如果信任关系是不可传递的，A就不信任C； 在一个企业中n个域，如果要互相跨域访问资源，需要建立多个信任。必须创建多个双向信任关系：n (n-1)/2。 7.1 活动目录与用户管理 （3）域树 域树由多个域组成，这些域共享同一个表结构和配置，形成一个连续的名称空间。树中的域通过信任关系连接起来，活动目录包含一个或多个域树。域树中的域层次越深级别越低，一个“．”代表一个层次，例如，域就比这个域级别低。 图7-5域树 7.1 活动目录与用户管理 域树中，信任关系是可传递的。父域和子域的信任关系是双向可传递的，结果是域树中的一个域隐含地信任域树中所有地域，如图7-5所示，图中共有7个域，所有域相互信任也只需要6个信任关系，远比之前的7×6/2=21个信任关系要少得多。域树中，子域的名字是从父域派生出来的。例如，是父域的一个子域。 在Windows 2000 Server以后的系统中，域和DNS域的关系非常密切，因为域中的计算机使用DNS来定位域控制器和服务器以及其它计算机、网络服务等，实际上域的名字就是DNS的域的名字。 7.1 活动目录与用户管理 （4）域林 企业可能同时拥有和两个DNS域名 ，这时候会派生出两棵域树，这两棵域树共同构成了域林，如图7-6所示。在同一域林中的域树的信任关系也是双向可传递的。 图7-6域林 7.1 活动目录与用户管理 （5）站点 站点是指包括活动目录域服务器的一个网络位置，通常是一个或多个通过TCP/IP连接起来的子网。 站点的划分使管理员可以很方便地配置活动目录的复杂结构，更好地利