windows_ad域配置方案和操作手册.docx

山东神达化工windows_ad域配置方案和操作手册2015年01月14日背景山东神达化工有限公司（以下简称：神达化工）目前实施的HONEYWELL PHD实时数据库需要且必须运行在windows的ad域中，目前项目进展顺利。神达化工实施HONEYWELL PHD 实时数据库的网络拓扑如图1所示：图1一台域控制器：负责域用户的维护一台数据库服务器：运行HONEYWELL所依赖的数据库一台web服务器：对外访问，所有终端通过这台机器获取浏览信息。神达化工在以往的信息化建设中并未使用过windows的ad域，借助HONEYWELL PHD 实时数据库项目，希望将域引入并通过域对公司内部的计算机进行管控。在项目建设过程中，针对windows的ad域，神达化工还有如下疑虑：什么是域，为什么要实施域。如何创建、管理、维护域。如何处理灾备和恢复。针对以上几个问题，下面将详细介绍并列举实例进行演示。为什么要用域微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来说明这个问题。2.1.一个演示实例说明假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Perth。服务器的职能大家都知道，无非是提供资源和分配资源。服务器提供的资源也有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。现在服务器Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国。（注意，这个文件夹只有张建国一个人可以访问）那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。首先，如图2所示，我们在服务器上为张建国创建用户账号。图2然后，在共享文件夹中进行权限分配，如图3所示，我们只需把共享文件夹的读权限授予用户张建国。图3接下来，张建国就可以在客户机Perth上准备访问服务器上的共享文件夹。张建国准备访问资源\\Florence\人事档案，服务器对访问者提出了身份验证请求，如图4所示，张建国输入了自己的用户名和口令。图4如图5所示，张建国成功地通过了身份验证，访问到了目标资源。图5以上实例说明，在这个小型网络中，工作组模型没有暴露出什么问题。但是如果我们要把问题扩展一下，假设现在公司不是一台服务器，而是500台服务器，那么我们的麻烦就来了。如果这500台服务器上都有资源要分配给张建国，那会有什么样的后果呢？由于工作组的特点是分散管理，也就意味着每台服务器都要给张建国创建一个用户账号。那么张建国这个用户就必须痛不欲生的记住自己在每个服务器上的用户名和密码，而服务器管理员也将需要为每个用户账号都重新创建500次。如果公司内有1000人呢？我们难以想象这样管理网络资源的后果，这一切的根源都是由于工作组的分散管理。这就说明工作组这种散漫的管理方式和大型网络所要求的高效率是背道而驰的。2.2域的概念既然工作组不适合大型网络的管理要求，那么我们就需要重新审视一下其他的管理模型。其中域模型就是针对大型网络的管理需求而设计的，域就是共享用户账号、计算机账号和安全策略的计算机集合。从域的基本定义中我们可以看到，域模型的设计考虑到了用户账号等资源的共享问题。这样域中只要有一台计算机为公司员工创建了用户账号，那么其他计算机就都可以共享账号了。这样就很好地解决刚才我们提到的账号重复创建的问题。域中的这台集中存储用户账号的计算机就是域控制器、用户账号、计算机账号和安全策略被存储在域控制器上一个名为Active Directory的数据库中。如何部署一个域一般情况下，域中有三种计算机，一种是域控制器，域控制器上存储着Active Directory；一种是成员服务器，负责提供邮件、数据库、DHCP等服务；还有一种是工作站，是用户使用的客户机。我们准备搭建一个基本的域环境，拓扑如图6所示，Florence是域控制器，Berlin是成员服务器，Perth是工作站。图6DNS前期准备DNS服务器对域来说是不可或缺的。一方面，域中的计算机使用DNS域名，DNS需要为域中的计算机提供域名解析服务。另外一种重要的原因是域中的计算机需要利用DNS提供的SRV记录下来定位域控制器。因此我们在创建域之前需要先做好DNS的准备工作。那么究竟由哪台计算机来负责做DNS服务器呢。一般工程师有两种