当前位置:文档之家 › ad活动目录解决方案ppt

ad活动目录解决方案ppt

  • 格式:docx
  • 大小:26.66 KB
  • 文档页数:34

下载文档原格式

  / 34

合集下载

AD域活动目录解决方案

AD域活动目录解决方案

AD域活动目录解决方案
Active Directory是Windows操作系统中提供的分布式目录服务,可用于组织网络中的用户、计算机、设备和其他资源,它还可以提供安全访问控制。

Active Directory(AD)域是一种用于管理客户端和服务器的扩展架构,其组织机构具备其他域管理的灵活性和可扩展性。

Active Directory域活动目录解决方案是使用Active Directory和其他安全技术,如Kerberos认证,来管理网络中的资源。

它可以提供一个中央位置,用于存储和管理所有网络中的计算机、文件、用户和应用程序等网络资源的信息和特征。

Active Directory域活动目录解决方案可以帮助提高网络的安全性和可用性,并有助于提高网络管理的效率。

该解决方案可以为网络管理员提供许多有用的工具,以便他们可以有效地管理网络中的用户、计算机、文件夹和其他资源。

Active Directory域还可以支持安全访问控制,这可以使网络中的资源保护得更加安全。

AD域活动目录解决方案可以提供企业级的安全性和访问控制,可以有效地实现多租户环境下的分布式目录服务。

它可以支持动态的目录结构和分层的安全管理,这些结构可以帮助企业更好地管理其网络资源。

AD 域活动目录解决方案还可以支持远程访问、打印服务、虚拟网络管理和其他网络功能,使网络管。

AD域管理解决方案(共26张PPT)

AD域管理解决方案(共26张PPT)

将软件分配给计算机
当将一个软件通过组策略分配给域内的成员计算机后,这些计算机启动
时就会自动安装这个软件,而且任何用户登录都可以使用此软件。
将软件发布给用户
通过这种方式将软件发布给域内用户,此软件不会自动安装到用户的计
算机内。
用户利用以下两种方式安装软件:
• 通过控制面板安装
• 利用文件启动功能(document activation)
✓ 将软件分布给用户
将软件分配给用户
当将一个软件通过组策略分配给域内用户后,用户在域内的任何一台计 算机登录时,这个软件都会被通告(advertised)给该用户。但是此 软件并没有完全安装,而只是安装了与软件相关的部分信息,如快捷方
式。
用户利用以下两种方式安装软件:
• 用户开始运行此软件
• 利用文件启动功能(document activation)
创建卷影副本计划基于:

• 存储在 AD DS 中
编辑 Server running
• 父/子关系中权限默认继承 •
GPOs
• 提供了一个集中的地方来分配对共享网络资源的访问权
• 存储在 AD DS 中
• 当空间满时,旧的卷影副本会被•删为除 站点、域、OU管理GPO链接
算机登录时,这个软件都会被通告(advertised)给该用户。
• 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的 基础。
为什么部署活动目录
AD DS 提供了一个集中式的系统,用于管理网络上的用户、计算机和 其他资源。
AD DS 功能包括:
• 集中式目录
• 单一登录访问 • 集成安全性 • 可伸缩性
• 公共管理界面
AD DS 通过以下几点实现集中管理网络:

AD域活动目录解决方案

AD域活动目录解决方案

组策略
组策略是对域中一组用户账号和计算机账号的各种设置的组合。这些设置可
以包括以下类型:桌面设置、软件设置、安全设置。
桌面设置:我们可以对域中所有用户的桌面环境进行定制,比如隐藏桌面上的
某些图标。
软件设置:可以通过网络来实现应用程序的自动安装或升级,还可以限制用户
对某些应用程序的访问。
使用组策略可以做到: 站点/域级别的集中管理,OU级别分散的管理 控制用户的系统软件环境 通过控制用户和计算机环境,降低管理成本
标准化的实现
IT环境标准化的
三个方面 IT环境标准化是IT标准化的一个非常大也非常重要的 分支。涵盖的分支覆盖了整个IT生命周期。IT环境标 准化的内容定制的是否科学也会影响到标准化执行 的效果。
强制用户使用复 杂的密码 域内资源保护, 增强企业网络安性 通过域的安全更 新策略,实现所有客 户端的系统安全补丁 更新 通过对域内资源 的权限设置和统一安 全策略的制定,减少 安全隐患的产生

快速找到需要的 各种资源 实现单点登录 能提高员工的协 作能力




活动目录的优点
集中存储用户和密码列表
提供一组服务器作为身份验证服务器 对域中的资源维护一个可供搜索的索引便于查找 允许创建带有不同权限的用户 能更好的做分层管理 AD为多厂商提供身份验证平台
减少 TCO
柔性管理
Sales
Paris Repair
User1 Computer1 User2 Printer1
域的部署
系统环境确认
系统环境建设
系统环境部署
ቤተ መጻሕፍቲ ባይዱ
根据需求表格,制定相应的组策 略。完成规则在域上的实际体现

AD域服务器活动目录经典图文教程

AD域服务器活动目录经典图文教程

AD域服务器活动目录经典图文教程一(小型局域网搭建域环境)相关搜索:局域网, 服务器, 教程, 目录, 经典在小型域坏境中要做域环境,大家都知道域服务器垮掉可不是件好玩的事情,现在我用一台服务器做主域控,另一台做额外域控。

我使用两台虚拟机给大家做实验。

我的域名为域控IP为192.168.0.2,额外域控IP192.168.0.5.一。

设置IP二。

为安全起见,我们修改administrator用户,并设置强密码。

我新建了一帐户51ctoadmin,并把它加入到administrators组三。

切换到我们建的用户,放入系统光盘。

这里自动生成了netbios名,不要修改了。

这里是活动目录数据库和日志文件夹的位置。

因为我们是第一台域控制器,同时作为DNS服务器,选择第二项。

这里我们选择第二项输入目录服务还原用的管理员密码。

接下来是漫漫的等待。

完成重启计算机。

这样我们的主域控制器就做好了。

我们下面做额外域控。

首先我们设置下IP地址,DNS指向主域控制器。

前面的步骤一样,在这一步不同的是我们选择现有域的额外域控制器我们这里输入域管理员的用户名与密码这里我们选择要作为那个域的额外域控。

我们这里是后面的步骤差不多,重启计算机后就算是做好了。

客户端DNS都指向主DNS,这样我们怎样让局域网的客户机上网呢?我们设置DNS属性。

如图,将所选域的转发器的IP地址填写上公网的DNS地址即可。

我们考虑到如果主域控制服务器无法启动后,DNS也无法使用,所以我们还要做辅助DNS 首先我们要允许主DNS可以允许辅助DNS复制我们在额外域控制器上安装DNS组件,下载 (23.61 KB)2009-8-5 13:10这样我们同步一下就可以了。

我们在客户端设置两个DNS地址,主与辅的,当主域控出现问题,我们可以提升额外域控为主域控即可。

提升域控制器我们系列二说。

AD域服务器活动目录经典图文教程二(主域控无法正常启动)相关搜索:服务器, 教程, 目录, 经典, 活动今天一大早过来,发现WIN98客户端无法登陆,一检查主域控DOWN机了,没法启动。

虚拟机实训之活动目录PPT课件

虚拟机实训之活动目录PPT课件
新华教育集团版权所有
4
活动目录的优点
• 集中存储用户和密码列表 • 提供一组服务器作为身份验证服务器 • 对域中的资源维护一个可供搜索的索引便于查找 • 允许创建带有不同权限的用户 • 能更好的做分层管理 • AD为多厂商提供身份验证平台
减少 TCO
柔性管理 Paris
Sales
Repair
可伸缩性
User1 Computer1 User2 Printer1
简化的管理
新华教育集团版权所有
5
活动目录对象
Objects Printers
Attributes
Printer Name Printer Location
Active Directory Printers Printer1 Printer2 Printer3
Domain OU1 Computers Computer1
Users User1
OU2
KimYoshida
Attributes Values
Name Building Floor
Kim Yoshida 117 1
Users
User2 Printers
大家可以以书的目录为例来进行思考
Printer1
新华教育集团版权所有
13
域控制器
• 具有存储活动目录数据功能 • 参与AD复制 • 在域中执行单主控操作角色
域 控制器
复制 域
= AD的数据库的可写副本
新华教育集团版权所有
域 控制器
14
站点
西雅图
洛杉矶
芝加哥
纽约
站点目的: • 优化复制流量
IP子网
站点
IP子网
• 使用户登录到DC,使用一个可靠的、高速的链接

AD域服务器详细搭建 ppt课件

AD域服务器详细搭建 ppt课件
第5章 活动目录
ppt课件
1
学习目标
• 活动目录的基本概念 • 活动目录的规划与安装 • 域控制器的管理 • 用户账户和计算机账户的管理 • 组和组织单位的管理 • 资源发布和域的管理
ppt课件
2
5.1 概 述
5.1.1 活动目录简介
5.1.2 活动目录的三种特性 • 集成性 • 深入性 • 易用性
步骤四,单击“下一步”,打开“操作系统兼容性”对话框。其大 意是早期的Windows版本无法登录Windows Server 2003创建的域。
ppt课件
7
图5-3 服务器角色配置窗口
5.2.2 安装活动目录(4)
图5-4 Active Directory安装向导窗口
步骤五,单击“下一步”,“Active Directory安装向导”会询问
步骤十六,经过几分钟之后,配置完成。同时,打开“完成Active Directory 安装向导”对话框,如图5-16所示,单击“完成”,即完成活动目录的安装。
图5-15 配置活动目录
图5-11 DNS注册诊断
图5-12 权限设置
ppt课件
13
5.2.2 安装活动目录(10)
步骤十三,单击“下一步”,打开“目录服务还原模式的管理员密码”对 话框,如图5-13所示,输入并牢记该密码,以备将来目录服务还原模式下使 用。
步骤十四,单击“下一步”,打开“摘要”对话框,如图5-14所示。通过 该对话框,用户可检查并确认设置的各个选项。
ppt课件
12
5.2.2 安装活动目录(9)
步骤十二,单击“下一步”,打开如图5-12所示的“权限”对话框,为用户和 组选择默认权限,如果单位中还存在或将要用Windows 2000的以前版本,选择 “与Windows 2000之前的服务器操作系统兼容的权限”。否则,选择“只与 Windows 2000或Windows Server 2003操作系统兼容的权限”。

51CTO下载-微软AD活动目录设计和实施方案(超详细)1

51CTO下载-微软AD活动目录设计和实施方案(超详细)1

A D设计和实施AD架构设计问:假如你是珠海总公司员工,带着你的笔记本电脑去南昌分公司出差,到了分公司以后,接入分公司网络这个时候你的身分验证是在那里完成的?答:在南昌的其中一台DC完成身份验证。

分析:珠海员工到南昌分公司出差办公当笔记本接入南昌分公司的网络后南昌分公司的DHCP 服务器会为它分配一个属于南昌网段的IP地址,并配置南昌分公司的DNS及网关地址,然后DNS会去查询本地的DC,最后在本地DC上对用户进行身份验证。

下面进行OS公司的AD的架构设计图从图里我们可以看出Administrator用户对域有最高的权限,是整个AD的管理员,在大中型企业里如果AD靠管理员一个人去管理维护肯定是不可能的特别是有分支机构的企业,因此需要把部分权限委派出去。

委派的权限不能过高,因为AD是公司的基础架构,很多应用都是基于AD的,如果AD发生崩溃在大中型企业里后果是不可想象,为了减少AD的崩溃和出错在权限设计方面一定要设计严格的管理权限,制定出在AD里对象的操作规则。

AD的结构主要是根据自己企业的实际情况和管理方便来划分下面只是一个实例仅供参考。

第一级划分考虑到OS公司在未来的几年发展只限于国内发展,国外暂不考虑,结合中国地理位置第一级OU按省份来划分。

OS公司在3个省内有公司第一级划分三个OU分别是GD(广东)、JX(江西)、SC(四川)未来在别的省份发展分公司还可以断续增加省份OU。

在第一级OU中设计了一个Groups的OU这个OU主要用于存放OS公司的一些公共组,这个设计主要是为了便于管理。

举个例子:总部有一份报表需要给珠海总公司、广东分公司、南昌分公司等各分公司的财务人员查看和修改,如果你是IT管理者该如何做?最佳的解决方法:1、要求各公司IT管理员创建一个本地的财务组,如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept,南昌NCOS-Finance-Dept等,自己本公司的所有财务人员加入到本地创建的财务组;;2、总部管理员在Groups创建一个OS-Finance-Dept财务公共组,把各公司的财务组如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept等加入到OS-Finance-Dept财务组;3、创建一个文件夹,把查看和修改权限赋予OS-Finance-Dept。

AD(活动目录)常见故障解决

AD(活动目录)常见故障解决

常见活动目录AD故障解决集锦A1、客户机无法加入到域?一、权限问题。

要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。

普通用户登录进来,更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。

二、不是说“在2000/03域中,默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。

”吗?这时如何在这台计算机上登录到域呀!显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。

也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。

这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。

再有就是当你加第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如joindomain。

注意:域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。

这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。

解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。

四、域xxx不是AD域,或用于域的AD域控制器无法联系上。

在2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC的IP 地址,然后开始进行网络身份验证。

DNS不可用时,也可以利用浏览服务,但会比较慢。

2000以前老版本计算机,不能利用DNS来定位DC,只能利用浏览服务、WINS、lmhosts文件来定位DC。

所以加入域时,为了能找到DC,应首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。

计算机网络实验ActiveDirectory(活动目录)网络的安装和配置精品PPT课件

计算机网络实验ActiveDirectory(活动目录)网络的安装和配置精品PPT课件
You Know, The More Powerful You Will Be
结束语
当你尽了自己的最大努力时,失败也是伟大的, 所以不要放弃,坚持就是正确的。
When You Do Your Best, Failure Is Great, So Don'T Give Up, Stick To The End 演讲人:XXXXXX 时 间:XX年XX月XX日
表,然后点击“添加”即可将此用户添加到此组中)
新建用户
▪ 在“Active Directory 用户和计算机”管理窗口中,右击域下面的 “Users” →“新建”→“用户”即进入“新建对象一用户”对话框。 在此填写相关用户资料和登陆用户名。
设置用户名
新建用户
▪ 在密码和帐户有效性设置对话框中,填写此用户的密码和相关的选项。 可以以针对此帐户的使用性质来作出选择。
动”
直接在“运行”中输入“DCPROMO”启动安装 向导
2.进入欢迎界面
3.域控制类型选择
4.创建目录树或子域
5.创建或加入目录林
6.填写新的域名
7.填写NetBIOS 域名
8.设置数据库和日志文件位置
9.设置共享的系统卷位置
10.配置DNS
11.设置权限
12.设置目录服务恢复模式的管 理员密码
加入域-1
▪ 右击“我的电脑”,在弹出的右键菜单中选择“属性”选项,→“网络 标识”→“属性”,进入“更改标识”对话框,单选“域”,在“域” 文本框中填入服务器的域名
加入域-2
▪ 系统会尝试联接域服务器,如果无误会出现“域用户名和密码”对话框
登陆域服务器
学习总结
经常不断地学习,你就什么都知道。你知道得越多,你就越有力量 Study Constantly, And You Will Know Everything. The More

AD域服务器活动目录经典图文教程八(站点管理)

AD域服务器活动目录经典图文教程八(站点管理)

AD域服务器活动目录经典图文教程八(站点管理)
相关搜索:服务器, 教程, 站点, 目录, 经典
活动目录里的站点代表网络的物理结构,站点可以优化域控制器的复制,使得数据传输量为原来的15%左右,减轻了网络压力。

下面是我们网络拓扑图。

接下来我们建立站点,并把相应的服务器移动到站点内。

新建站点,我这里建立了三个站点 ShangHai BeiJing GuangZhou
为每个站点设置IP子网移动服务器到相应的站点
为保证安全使得我们授权相应的服务器管理站点。

(一般授权为域控制器)
为保证各个站点之间的连接,可以进行正常的复制,我们这里建立相应的站点链接。

在这里可以设置开销,复制的频率,开销越低优先级越高。

在更改计划中,我们可以设置站点之间的数据复制发生在什么时间。

我们可以有一个工具直观的看网络中的拓扑结构,也可以用它进行站点的管理。

首先要安装support tools
连接到域林
选择其中的一台域控制器
现在我们可以看到51cto服务器上所有的数据。

用此时这个选项我们可以检查各个站点是否复制链接正常。

用这个选项我们可以显示整个林拓扑结构
由于我此时只开启了两台服务器,所以在我的拓扑结构图上只显示了两台。

AD活动目录规划方案

AD活动目录规划方案

XXXX集团活动目录规划方案目录1. 前言 (3)2. 活动目录规划 (3)2.1. 活动目录介绍 (3)2.2. 应用 Windows 2003 Server AD 的好处 (4)2.3. 明确系统规划目标 (7)2.4. 活动目录设计方案 (8)3. 用户关心问题解答 (9)3.1. 活动目录优势 (9)3.2. 重要组策略介绍 (11)3.3. 计算机从工作组加入到域可能存在的问题和解决方法 (15)4. 活动目录方案实施 (16)4.1. AD 域命名和 DNS 的规划 (16)4.2. 确定 AD 逻辑结构 (16)4.3. 确定 AD 物理结构 (17)4.4. 规划 OU 结构和组策略 (18)4.5. 创建OU 以管理和委派 (19)4.6. 创建OU 支持组策略 (19)4.7. 应用组策略选项 (20)4.8. 硬件设备选型建议 (21)5. 活动目录服务内容 (22)5.1. 可行性调查 (22)5.2. 规划活动目录部署方案 (22)5.3. 部署活动目录服务 (22)5.4. 制订活动目录管理维护规范 (23)5.5. 工程师定时上门进行活动目录日常维护 (23)5.6. 处理活动目录紧急情况 (23)5.7. 整理和存档资料 (24)5.8. 培训系统管理员 (24)6. 服务质量保证 (25)7. 部分成功案例 (28)1.前言本文档是张家港保税区金凯迪电脑贸易有限公司结合自身长期为客户提供全面的 IT 顾问咨询服务和应用解决方案积累起来的丰富经验,为企业规划 Windows 2003 AD 企业目录服务的解决方案建议。

由于计算机安全和管理的需要,IT 部门计划部署活动目录,希望所有的计算机分阶段加入到域,通过活动目录加强计算机安全和桌面管理,并为进一步部署 Exchange、SMS 等微软产品打下坚实的基础架构。

方案包括以下组成部分:活动目录整体规划用户关心问题解答活动目录方案实施活动目录服务项目服务质量保证2.活动目录规划设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义,并对部署微软的相关产品如 Exchange 等具有举足轻重和决定性的重要意义。

AD域活动目录解决方案

AD域活动目录解决方案

AD域活动目录解决方案AD(Active Directory)是由微软公司开发的一种域名服务(Directory Service)平台,用于管理和组织网络中的资源和用户。

它是基于目录服务的概念,在网络中添加了一个统一的登录和访问认证机制,使得用户和组织能够更加便捷地管理和使用网络资源。

1.用户管理:AD域活动目录可以集中管理和授权用户的登录和访问权限。

管理员可以通过AD域控制器创建和删除用户帐户,设置用户密码策略,授予用户所拥有的资源的权限等。

用户可以通过AD域进行身份认证,登录到域中的计算机,并访问其具备权限的资源。

2.组织结构管理:AD域活动目录提供了组织单元(OU)的概念,可以根据组织的层次关系和部门划分需求进行组织结构管理。

管理员可以创建、删除和移动OU,管理其中的用户和组对象等。

通过OU的概念,可以更加灵活地管理和分配权限,简化了域中的用户和组的配置。

3.资源共享与访问控制:AD域活动目录可以创建和管理共享的网络资源,例如文件夹、打印机等。

管理员可以通过目录服务的权限管理机制,设置用户对这些资源的访问权限。

这样,用户就可以根据自己的角色和需求访问到其具备权限的资源,同时也提高了资源的安全性。

4.域信任和跨域管理:AD域活动目录支持域之间的信任关系和跨域管理。

通过建立域信任关系,可以实现跨域访问和资源共享。

管理员可以跨域进行用户和组对象的管理,简化了多个域之间的管理和配置工作。

5.安全策略与审计日志:AD域活动目录提供了丰富的安全策略和审计日志功能,帮助管理员更好地保护域中的资源和用户。

管理员可以设置密码策略、帐户锁定策略、审核策略等,提高域的安全性。

审计日志记录了域中的操作和事件,可以进行监控和分析,追踪潜在的安全问题。

6. 自动化和批量操作:AD域活动目录支持脚本和命令行工具进行自动化和批量操作。

管理员可以使用PowerShell等脚本语言,对域中的对象进行批量添加、修改和删除等操作。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ad活动目录,解决方案,ppt 篇一:活动目录AD解决方案客户现状:现在客户在各地共有4个办公点。

每个点采用的是独立的域环境。

现在客户希望将分散在各地的办公点连接起来,能够实现各地间的访问与共享。

一、客户方案:通过VPN技术实现网络的互联,并通过林间的信任来实现各地间的互相信任,以达到共享与访问。

客户的方案如下:拓扑图如下:由于客户各地点域已经建立,现在需要做的如下: 1、DNS的转发:作用:处理本地没有应答的DNS查询。

方法:每个域内的DNS服务器都需要做到其他域的DNS 转发,以便于DNS的解析。

2、信任关系的建立作用:为了使不同域可以互相访问。

方法:在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。

在这里建立A,B的相互信任,B,C的相互信任,C,D的相互信任,A,D的相互信任(一但前三个相互信任形成,则第四个A,D的相互信任自动形成。

) 3、 WINS服务器的安装作用:信任域间可以通过主机名称进行访问。

方法:每个域建立独立的WINS服务器,并与其他域内的WINS服务器建立“推/拉”伙伴关系,实现域间WINS服务器的同步。

各域客户端WINS服务器指向本地服务器。

说明:每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。

二、单域多站点结构方案拓扑图:方案描述如下:所有站点处于同一个域下,每个站点的子网不相同。

在A站点建立主DC服务器,其他站点分别建立额外DC,如, , 实现方法:1. 子网划分:分配各个站点的子网,要求子网不能够相同,比如A站点/24B站点 /24; C站点/24; D站点/242. 主DC的建立:A站点域控制器集成AD与DNS服务,并且在DNS上做转发,实现对外网的访问。

在A站点建立域内主DC,DNS地址指向本地地址。

3. 额外DC的建立:首先DC的DNS指向主DC的DNS地址。

在新建DC的时候选择创建“额外域控制器”。

建立完成后修改DNS地址为本机地址,并在DNS服务器上做到主DC服务器地址的转发。

4. 站点的划分与配置:1.作用:1.优化客户端的登录。

当域用户在上海或广东的客户端上登录时,DNS会替客户端找点内的DC,这样就加快了身份验证过程。

2.优化AD的复制。

每个DC之间要同步AD数据库,如果不划分站点这个同步无时无刻都在进行,而且数据是不压缩的。

如果划分了站点这个过程变的可控,特别是在多站点的情况下,优越性更加突出.2.站点的划分:1.创建新站点:打开”AD站点与服务”管理工具,在sites上右击选“新站点”,输入相对应的名字,并选择defaultipsitelink,单击确定。

以此方法分别建立名称为B,C,D的三个站点,并将默认站点名称修改为A.2.新建子网:在“AD站点与服务”管理工具中,右击subnets选择创建新的新建子网,创建四个子网并使其与相应的站点对应。

3.移动DC:在“AD站点与服务”管理工具中,拖动DC 至相应的站点的 Server下。

4.站点连接的创建与配置:选择“Inter-Site transport”下IP,右击选择新站点连接,为站点连接起对应的名称,并将要连接的站点添加到站点连接中。

这里需要建立A到B,C,D的站点连接,B到C,D的连接,C到D的连接即可。

最后设置每条连接的属性。

可以设置连接的开销值(物理链路带宽越高值越小,优先级越高)与复制频率,并通过计划修改复制的时间。

(全局编录)设置:A点默认为GC,为解决可能出现的域用户不能登陆问题,将BCD同样启用GC。

方法是编辑每个站点的NTDS setting属性,启用GC.设置:A站点DNS建立主要区域(已经完成)。

BCD建立DNS辅助区域方法:在BCD上安装DNS服务,在DNS控制台选择“正向查找区域”,创建新区域,选择创建辅助区域,输入已创建域名以及A点DNS地址 ,进行DNS信息的复制。

注意:站点内客户端DNS指向本地DNS服务器服务器设置:各站点建立WINS服务器,并且各站点建立复制伙伴关系,以实现跨网段的网上邻居互访。

(根据实际情况决定服务器之间采用自动复制还是手动复制)三.多域多站点结构方案拓扑如下:分析:根据情况设计四个域,A点为根域,BCD分别为子域,这是逻辑结构,这样的好处是分站点自己管理域和DNS子网设计:每个站点子网必须不同,比如A:/24 B:/24 C: /24 D:/24GC(全局编录)设计:解决用户跨越登录问题。

这里采用每个站点都设计GC.设计过程:1. 根域的设计:A站点DC安装AD,建立新域,并设计好DNS。

2. 站点的创建:新建三个站点为BCD,并创建新的子网与之相对应。

默认站点该为A.3. 子域的设计:BCD三个点建立为现有域的子域,比如:方法:BCD 三点DC 的DNS指向A点DNS服务器,运行AD安装服务,选择建立现有域的子域。

4. DNS设计:采用DNS的区域委派方法:1.根域上删除已建立的BCD三个子域的记录。

2.在根域上建立子域的委派,并设置要委派的分站点DNS地址。

3.在根域上启用到分站点的区域复制4.分站点建立DNS服务器(IP地址要同根域委派的地址对应),并创建子域的DNS主要区域。

5.子域的DNS指向自己。

的设计:为避免容易出现的跨域登陆缓慢,采用每个站点DC都启用GC.服务器:每站点建立WINS服务器,各服务器间建立复制伙伴关系。

根据实际环境采用自动或手动复制方式。

篇二:活动目录 AD 学习笔记活动目录 AD 学习笔记上传初学AD的第一篇笔记- -嘿嘿,终于还是想到创建BLOG来监督我的学习进度了。

那就先整理一下我初学WIN2K3 AD的笔记吧!一、标准目录简介要理解网络目录如何工作,很大程度上意味着必须理解用于设计目录的建议标准。

不规定网络目录的实现方法,和OSI(Open Systems Interconnection)一样,它只是一种模型,在此之上,各厂商建造自已的产品。

的技术规范目的是提供一种机制,以保证不同厂商的产品可以相互访问信息的通用方法————也就是说,规定了目录技术用以实现互操作性而采用的模式。

季员会设想了目录的三种基本用途,人与人之间的通信(Interpersonal Communication)、系统间通信(Intersystem communication)、认证服务(Authentication Services)。

任何网络目录结构的设计都有两个主要目的:对象识别和对象组织!对象识别保证结构内的每个对象都有某种惟一识别符。

每个惟一识别符都对应某个资源。

惟一识别符允许读者在目录数库中指定特定的对象。

对象组织允许目录中的数据被分成子集。

结构规定了给对象进行惟一命令的通用办法,还提供了一旦对象创建后组织这些对象可使用的框架。

它还提供其他必要的服务:在多台服务器上分布数据,复制数据库部分到多台服务器,以及访问目录时使用的多种协议。

它采用和DOS类似的“树”型结构。

在树中,对象被称做叶。

叶对象就是不包含其他对象的任何对象。

定义如下类型的容器:Country(国家),用C对象表示;Organization(组织)用O 对象表示;Location(位置)用L表示;Organization Unit(组织单位)用OU表示。

轻量协议就是任何一类针对在高速互联网中使用而设计的协议。

高速传输协议 (HSTP)、Xpress 传输协议 (XTP)、以及轻量目录访问协议 (LDAP) 都是这类协议。

轻量协议采用比传统的网络和传输层协议更简单而有效的方式将路由和传输服务集成起来。

这样就使以更高的效率在 ATM 或 FDDI 等高速网络和光缆等媒体上进行传输成为可能。

轻量协议采用多种措施和改进方法使传输简化和加速,例如采用 TCP/IP 等面向连接的传输以及固定报头和报尾大小,进而能节省随每个数据包传输目的地地址的开销。

轻量目录访问协议 (LDAP) 是协议中DAP协议的一个子集。

LDAP 独立于厂家,并可与配合使用,但非一定要求与 DAP 配合使用。

DAP(目录访问协议)被专门设计为通过将大量功能转移到客户计算机以减少目录服务器的工作量。

另一项功能是限制服务器的资源使用,可以从时间、容量、范围和搜索的优先级主面限制用户的查询。

LDAP提供DAP的多数功能,对客户设备的要求较低,其次,通过使LDAP成为更以服务器为中心的服务,可以使用这个标准与厂商特定的目录通信。

所以,LDAP 客户机与 DAP客户机相比,规模更小、速度更快、实现更简单。

与相反,LDAP 支持进行任何类型的 Internet 访问所必须的 TCP/IP。

LDAP 是一种开放式协议,而应用程序则独立于主持目录的服务器平台。

LDAP的一些特定服务,其基本过过程:1.客户向网络服务器的LDAP服务发出读取请求。

2.如有必要,LDAP服务器可以向操作系统进行用户识别。

3.然后,LDAP服务将请求转换成被访问目录适合的格式。

服务将请求提交目录服务器的DUA。

5.目录服务器将请求的信息传回LDAP服务。

服务将请求的信息返回给客户。

Active Directory 不是一种目录。

相反,它采用LDAP 作为访问协议,且支持信息模式,而不要求系统承担所有的开销。

这样做就可以提供较高的互操作性,而这种互操作性恰恰是管理现实生活中的异机种网络所必须的。

Active Directory 可支持从任何使用 LDAP 的客户端通过 LDAP 协议进行的访问。

LDAP 名称不如 Internet 名称那样直观,但是 LDAP 命名的复杂性通常被应用程序所掩盖。

LDAP 名称采用被称作“属性命名”的命名规则。

LDAP URL 给主持 Active Directory 服务的服务器以及对象的属性名称命名。

例如: LDAP:///CN=jamessmith,OU=Sys,OU=Product, OU=Division,O=myco,C=USLDAP C API (RFC 1823) 是一种指导性的 RFC,是编写 LDAP 应用程序 C 语言编程的事实上的标准。

通过将 DNS 和命名标准、LDAP、其他关键协议以及丰富的 API 的最佳功能结合起来,Active Directory 可对所有资源进行集中管理,这些资源包括:文件、外围设备、主机连接、数据库、Web 访问、用户、以及其它对象、服务、和网络资源。

在NT网络中的三种服务器类型:1.主域控制器(PDC)2.备份域控制器(BDC)3.成员服务器成员服务器(member server)是采用NT服务器作为操作计算机,但些操作系统不包含域账户数据的复本。

PDC 和BDC的工作方式:NT域的域账户数据库复本在单主域环境(sing-master environment)中组织。