WindowsServer2008网络管理ppt课件(完整版).pptVIP

第13章 活动目录 本章的任务 了解域和活动目录的相关知识，为企业设计活动目录的结构 在服务器上安装活动目录，把服务器提升为域控制器；把成员服务器、用户计算机加入到域中 活动目录引入后，各服务器需要根据域的特点重新进行配置，例如：用户和组需要在域中进行创建、文件夹的安全和共享权限需要分配给域用户等 13.1 域与活动目录简介 13.1.1 为什么需要域 如果资源分布在多台服务器上，那就需要在每台服务器分别为每一员工建立一个用户（共M*N个），员工则需要在每台服务器上（共M台）登录。 13.1.1 为什么需要域 有了域，员工只需要在域中拥有一个域用户，因此管理员只须为员工创建一个域用户；员工只需要在域中登录一次就可以访问域中的资源了，实现了单一登录。 域 用户信息是存放在域中的域控制器(DC，Domain Controller)上，上图中，可以在服务器中选定一台或者几台服务器作为域控制器。有多台域控制器时，各个域控制器是平等的，每个域控制器上都有所在域的全部用户的信息，域控制器之间需要同步这些信息。而其它不是域控制器的服务器仅仅是提供资源。 13.1.2 什么是活动目录 一台域中的服务器如果安装了活动目录，它就成为了域控制器；反之，域控制器就是安装了活动目录的服务器。 域控制器（DC，Domain Controller）上存放有域中所有用户、组、计算机等信息（实际上域控制器存放的信息还不止这些），域控制器把这些信息存放在活动目录中。 13.1.3 活动目录和DNS的关系 在TCP/IP网络中，DNS（Domain Name System）是用来解决计算机名字和IP地址的映射关系的，Windows Server 2008的活动目录和DNS是紧密不可分的，活动目录使用DNS服务器来登记域控制器的IP、各种资源的定位等，在一个域林中至少要有一个DNS服务器存在，所以安装活动目录时需要同时安装DNS。此外，Windows Server 2008中域的命名也是采用DNS的格式来命名的。 13.1.4 活动目录中的组织单元 对象：有用户、计算机、打印机、组等等。每个对象都有自己的属性以及属性值。 组织单元（OU，Organization Unit）：组织单元用来组织对象：用户、打印机、服务器、组、应用程序等，组织单元把这些对象按逻辑进行分组，便于管理、查找、授权和访问。组织单元是类型为容器的对象，所谓的容器是可以包含其它对象的对象。值得注意的是组织单元是在某个域下的。 13.1.5 活动目录设计 1. 域名与控制器的安装位置 中小企业，为简单起见，在网络中只安装一个域控制器 域的名字应该和DNS域名一样，为： 其它所有计算机加入到域中 2. 组织单元的设计 我们这里根据公司的行政架构来设计OU 各部门的用户、组、计算机、打印机等均放到对应的组织单元上 13.2 安装活动目录 13.2.1 创建域 13.2.1 创建域 13.2.1 创建域 13.2.1 创建域 13.2.1 创建域 13.2.1 创建域 12.1.4 VPN客户端配置和测试 PPTP客户端 12.1.4 VPN客户端配置和测试 12.1.4 VPN客户端配置和测试 12.1.4 VPN客户端配置和测试 在实际应用中，通常是使用域名的，因此需要在Internet上的DNS服务器上添加主机记录，主机记录的IP指向。 12.1.4 VPN客户端配置和测试 12.1.4 VPN客户端配置和测试 12.1.4 VPN客户端配置和测试 12.1.4 VPN客户端配置和测试 L2TP客户端 从安全性来说L2TP应该比PPTP要安全，建议采用L2TP进行连接。然而默认时VPN客户端优先采用PPTP进行连接，如果要强制使用L2TP。 L2TP客户端 L2TP客户端 使用L2TP，必须启动IPSec服务（默认时是启动的），从“开始”?“管理工具”?“服务”菜单中打开“服务”窗口，找到“IPSec Service”服务，可启动该服务。 VPN客户端的DNS问题 正常情况下，VPN客户端是接到Internet的，它的DNS应该指向当地ISP的DNS服务器 然而这样会有一个问题：VPN连接拨通后，客户端应该还是用域名来访问企业内部的服务器或者应用系统，而只有用企业内部的DNS（）才能解析这些域名。 因此要给客户端分配企业内部的DNS服务器地址，结果如图12-39。这时VPN客户端有两个DNS服务器地址，Internet上的DNS负责解析Internet主机的域名；而企业内部的DNS负责解析企业内主机的域名，得到的是企业内部主机的私有IP地址。要保证以上效果，VPN服务器按照图12-28（窗口最下方的“适配器”下拉框）进行设置是至关重要的。 12.1.5 管理远程访问客户端 12.1.5