windows server 2008 AD

windows server 2008 AD

Windows server 2008网络操作系统实训项目

windows server 2008 AD

远程管理服务器

域控制器

监视和管理服务器

DNS

组织单位

DHCP WDF

组 帐户

Web FTP SUS磁盘管理

DFS

备份恢复 打印机管理 NTFS

windows server 2008 AD

Windows server 2008网络基本架构实训项目

windows server 2008 AD

Windows server 2008网络系统域控制器 DNS DHCP

DMZ区WEB FTP

exchange

WSUS

CA

NAP

DFS

打印

exchange

TMG 防火墙

PPTP L2TP+Ipsec SSTP

端到端隧道连接LON-DC1 10.20.0.10

windows server 2008 AD

Windows server 2008活动目录实训Nyc-dc1 10.10.0.10 Nyc-SVR1 10.10.0.60 Nyc-dc2 10.10.0.20

VAN-DC1 10.30.0.10 win2003

CHI-DC1 192.168.19.200

servercore 10.10.0.40

Nyc-SVR2 10.10.0.30

路由 NYC-RAS 10.10.0.1 10.20.0.1 10.30.0.1 192.168.19.1

Nwtraders.msft

MIA-RODC 10.10.0.50

核心安装

LON-DC1 10.20.0.10

windows server 2008 AD

第1章 实施 Active Directory 域服务

windows server 2008 AD

Active directory体系结构简介 目录：管理分散在网络中的各种元素，并保持对这些元素状态的跟

踪。通过使用目录，可以标记和组织网络上的所以资源，使用户和 应用程序可以很方便地检索和使用资源，而无需关心它们位于何处

目录服务：基于目录提供的服务。 常用的目录服务：1. 2. 3. 4.

Microsoft Active Directory Netscape Directory Server (目录服务器) DCE目录服务 IBM Network Directory(网络目录)

5.6.

Netscape Directory Server (目录服务器)Linux | Unix目录服务：OpenLDAP

windows server 2008 AD

Active directory的作用 Active directory可以存储用户、计算机和网络资源的信息，并且

是资源可以被用户和应用程序访问，它提供了一种统一的方法来命 名、描述、定位、访问 、管理和保护这些资源、 Active directory具有如下功能：

对网络资源的集中控制 (如DFS,打印机) 集中和分散资源管理(组策略，权限委派) 在逻辑结构中安全的存储对象(域、组织单位、组) 优化网络流量(站点)

windows server 2008 AD

Active directory的逻辑结构1. 林2. 域树 3. 域 4. 组织单位 5. 对象 域 域 对象 OU 域 域 OU OU 域 域 域树 域

组织单位

林

windows server 2008 AD

Active directory逻辑结构

逻辑结构面向管理： 对象：是最基本的组件，对象通过一组属性和值来定义 组织单元：组织单位可以嵌套，可以委派权限，方便管理 域：核心功能单位，它是按管理定义的对象的集合，这些对象共享

一个公共的目录数据库、安全策略以及其他域的信任关心。它提供 三种功能：对象的管理边界；管理共享资源安全性的方法；对象的 复制单元。 域树：以层次结构的方式组合到一起的域。 林：林包含N棵树。

windows server 2008 AD

Active directory的物理结构1. 站点 2. 域控制器 3. WAN链路 站点

WAN

站点

域控制器

windows server 2008 AD

Active directory的物理结构物理结构决定复制和登录流量

发送的时刻和位置，从而优化网络流量 域控制器：域控制器执行存储和复制功能。一台域控制器只能支持一个域 ，每个域可以有多台域控制器 Active dierctory站点：站点是具有练好连接的计算机组。它是一个基 于Internet协议子网且连接状况良好的计算机集合。一个站点可以跨越 多个域，而一个域也可以跨越多个站点。站点不属于域名称空间的一部 分，站点控制域信息的复制，并可以帮助确定资源位置的远近。 Active directory分区：(分区是把数据库拆分成多个小部分，方便存 储在不同的服务器上) 域分区：包含域中所有对象的副本，域分区只复制到同一域中的其他域 控制 配置分区：包含林的拓扑。将复制到整个林中的每台域控制器 架构分区：包含整个林的架构，架构统一对象类别的一致性。将复制到 整个林中的每台域控制器 应用程序分区(可选):包含一个或多个应用程序使用的对象。应用程 序分区将复制到林中指定的域控制器。

windows server 2008 AD

域的复制： 多主机复制：当域发生更改时，更改将在域中的所有域控制器之间

复制，某些更改，将在林中的所有域之间复制。 如果更改同时在两台域控制器上对统一属性进行更改，则会出现复 制冲突。 单主机复制：指定一台域控制做为惟一能进行特定目录更改的域控

制器。Active directory使用单主机复制

windows server 2008 AD

操作主机角色林范围角色 架构主机 域命名主机

域范围角色 RID主机 PDC主机 结构主机 林根域中首台域控制器

域范围角色 RID主机 PDC主机 结构主机

windows server 2008 AD

架构主机：包含用于创建所有active directory的对象类别和属性的

主机列表 域命名主机：控制域在林中的添加与删除。 PDC(primary domain controller)模拟器。充当windows NT

PDC。用于支持混合模式域中运行microsoft windows NT的域控 制器。 立一个代表对象的安全主体，并给对象指定一个惟一的SID( security identifer)。

RID(relative identifier)主机。当创建新的对象时，域控制器建

结构主机：对象从一个域移动到另外一个域是，结构主机在其域中

更新那些指向此对象(已位于另外一个域中)的对象引用。

windows server 2008 AD

Kerbero身份验证原理登录过程：

2.Session key+ticket 用户的密码加密 1.发送用户名： zhangsan

3.用户的密码解密 Session key+ticket

windows server 2008 AD

Kerbero身份验证原理登录过程： 访问资源过程：6.用自己的口令解密 dfs验证票 用session key解密 {用户名：工作站地址}

2. DFS验证票据：{ 1.请求访问DFS服务器 session key:用户名： {ticket、账户名、IP地 用户机器地址：服务名： 址、访问对象名} 有效期：时间戳} 用session key加密 用DFS服务器的口令加密 3. {与DFS服务器的 session key+

加好密的 验证票} 用户的口令加密

5.{用户名：工作站地址} 用session key加密 + DFS验证票据

4.解密 DFS服务器的Session key 和DFS服务器的验证票

windows server 2008 AD

第 1 章：实施 Active Directory 域服务 第 1 节：安装 Active Directory 域服务 第 2 节：部署只读域控制器 第 3 节：配置 AD DS 域控制器角色 实验：实施只读域控制器与管理域控制器角色 习题

windows server 2008 AD

第 1 节：安装 Active Directory 域服务 安装 AD DS 的要求 域功能级别和林功能级别 AD DS 安装过程 安装 AD DS 的高级选项 从介质安装 AD DS 演示：验证 AD DS 安装 升级到 Windows Server 2008 AD DS 在服务器核心计算机上安装 AD DS

本文来源：https://www.bwwdw.com/article/sv1m.html