1、独立服务器是来搭建网站,运行程序,拥有整台服务器资源,就想生活在公寓里,必须共享一切。
2、独立服务器运行时间,独享最高性能,连接速度更快,减少病毒攻击的风险,独立服务器不是专门为一个目的而设计的。他们可用于托管网站,游戏服务器或任何需要多台计算机存储和读取文件的地方。
3、怎么设置服务器,独立服务器可以有您自己,或it团队或其他专业第三方设置。搭建内部环境,安装相关工具,做日常专业的服务器管理,同时他可能需要在您的计算机上多次下载和大量的工作。
4、独立服务器具有最高性能,可靠性和安全性。可以根据独立需求来配置独立服务器的cpu、内存、磁盘和带宽搭配,以获得独享的最高性能,并将其用于多种用途。
总之,独立独立服务器通常更安全,因为他们由一个特定的服务商提供出租和托管,数据中心和供应商提供良好得物理保护,也可根据自身的it技能安装所需的防火墙和安全软件来做最高级别的数据保护。如果云服务器和独立服务器作比较,则独立服务器更胜一筹。
Win2000域详解域结构简介
1、域的含义:
域是由一群以网络连接在一起的计算机所组成的,它们将计算机内的资源共享给其他人使用。
2、与工作组结构网络区别:
域内所有的计算机共享一个集中式的目录数据库,它包括整个域内的用户与安全数据。而工作组结构的网络,每台计算机的位置平等。可以相互的共享。
3、域中的计算机类型:
A、 域控制器:只有WIN2000SERVER才可以做域控制器,域控制器在一个网络中可以有多个。一台的目录数据库可以自动复制到别一个域服务器的目录数据库中,域可以审核登录用户的用户名和密码。多台域服务器共同审核用户的登录可以提高效率
B、 成员服务器:域内的WIN2000服务器如果不是域控制器,就是成员服务器,如果不加入域就独立服务器,成员服务器没有活动目录,不能审核域用户的登录,但它们都自己的本地安全数据库。以审核本地用户。
C、 其他计算机:其他计算机可以用来访问这些计算机的资源。
活动目录定义
一个电话本:其中有姓名、电话号、地址等,这些就是目录,我可以很容易从找到所需的数据。目录服务:就让用户很容易在目录中查找所要的数据。而在WIN2000中,存储用户、组、打印机等对象相关数据的位置称为目录数据库,负责提供目录服务的组件称为活动目录。
1、 适用范围
应用范围很广,可以在一台计算机、一个计算机网络,大至数据广域网的组合。
2、 名称空间
A、 名称空间的含义:就是一块划好的区域。在这个区域内,可以利用某个名字来找到与这个名字有关的信息。
B、 WIN2000中的活动目录就是“名称空间”,可以利用对象名称找到相关的数据。
C、 WIN2000的名称结构采用了DNS的结构。
3、对象与属性
WIN2000中的资源都是以对象的形式存在,而一个对象通过属性来描述其特征。如用户就是一个对象类别。用户的姓、名、电话,就是用户的属性。
4、容量与组织单位
A、容量与对象相似,也有自己的名称,也有自己的属性,但它不是一个实体,而可以一组对象和其它容量。
B、组织单位,就是一个容量,可以包括其他对象和组织单位。
5、域目录树
A、 域目录树:对一个包含多个域的网络,则可以将网络设置成域目录树的结构,也就是说这些域以树状的形式存在。
B、域目录树中的子域名包含着父域的域名
C、域目录树中的所有的域共享一个活动目录。但活动目录中的数据分散地存储在各个域内。将各个域内的数据合并为一个活动目录。
6、信任
两个域之间,必须建立信任关系,才可以访问对方域内的资源,一个域加入到一个域目录树中后,这个域会自动信任其上一层域,并且这些信任关系具备双传递性。
7、域目录林
如果一个网络设置成多个域目录树的结构,那么可以让这些域目录树合并为一个域目录林。如Abccom域与zyxcom域。
8、架构
在活动目录内的对象类别等数据定义在架构内,如定义了用户这个对象类别内饮食了哪些属性等。在一个域目录林中的所有域目录树共享一个架构。
9、全局编录
A、 全局编录的原因:活动目录内的数据分散存储在各个域内,而每一个域只存储与些域本身相关数据。WIN2000将存储在各个域内的数据合并为一个活动目录。为了让WIN2000用户可以快速找到其它域内的资源,WIN2000才设计了“全局编录”。
B、 “全局编录”内包含着目录服务器中的每一个对象,不过只存储每个对象的部分属性,而不是全部属性。
C、 “全局编录”的数据存储在全局编录服务器,系统默认第一台域控制器就是全局编录服务器。在域目录林共享一个全局编录服务器。
10、站点
A、 站点的含义:指的是一个或多个IP子网,这些子网之间是通过高速(512K),这些子网就是站点。
B、 站点与域的区别:域是实体的分组,而站点是实体的分组,、每个站点可能会包含多个域,而一个域也可以同时属于多个站点。
11、名称
活动目录内,每个对象都有一个名称,并且利用名称来识别每个对象。
A 可分辨的名称(ND):它包含对象所在的完整路径,abccom
orthsalesobyong
B、 相对可分辨的名称(RDN):RDN是DN的完整路径中。
C、 全局标识符:GUID是一个128的数值,所建立的任何一个对象,系统都会自动给这个对象指定一个唯一的GUID。GUID永远不会改变的。
D、 用户主体名称{}:todayhero@abccom这是一个用户的主体名称。
活动目录介绍
(一)目录服务
目录,是一个数据库,存贮了网络资源相关的信息,包括了资源的位置、管理等信息。
目录服务 是一种网络服务,目录服务标记管理网络中的所有实体资源(比如计算机、用户、打印机、文件、应用等),并且提供了命名、描述、查找、访问以及保护这些实体信息的一致的方法,使网络中的所有用户和应用都能访问到这些资源。
(二)活动目录(Active Directory)
活动目录 是Windows 2000完全实现的目录服务,也是Windows 2000网络体系的基本结构模型,是Windows 2000网络 *** 作系统的核心支柱,也是中心管理机构。
Microsoft在Windows 2000中提供的活动目录是一个全面的目录服务管理方案,也是一个企业级的目录服务,具有很好的可伸缩性。活动目录采用了Internet的标准协议,它与 *** 作系统紧密地集成在一起。活动目录不仅可以管理基本的网络资源,比如计算机对象、用户账户、打印机等,它也充分考虑了现代应用的业务需求,为这些应用提供了基本的管理对象模型,比如用户账户对象具有办公电话、手机、呼机、住址、上司、下属、电子邮件等属性。几乎所有的应用可以直接利用系统提供的目录服务结构,而且活动目录也具有很好的扩充能力,允许应用程序定制目录中对象的属性或者添加新的对象类型。
(三)活动目录的用处
(四)活动目录的逻辑结构
活动目录的逻辑结构非常灵活,它为活动目录提供了完全的树状层次结构视图,逻辑结构与前面我们讨论过的名字空间有直接的关系。逻辑结构为用户和管理员查找、定位对象提供了极大的方便。活动目录中的逻辑单元包括:域、组织单元(Organizational Unit,简称OU)、域树、域森林。
1、 域(Domain)
域 既是Windows网络系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows 2000系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域。每个域都有自己的安全策略,以及它与其他域的安全信任关系。
2、 OU(Organizational Unit)
OU 是一个容器对象,我们可以把域中的对象组织成逻辑组,所以OU纯粹是一个逻辑概念,它可以帮助我们简化管理工作。OU可以包含各种对象,比如用户账户、用户组、计算机、打印机,甚至可以包括其他的OU。所以我们可以利用OU把域中的对象形成一个完全逻辑上的层次结构,对于一个企业来讲,我们可以按部门把所有的用户和设备组成一个OU层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个OU层次结构。由于OU层次结构局限于域的内部,所以一个域中的OU层次结构与另一个域中的OU层次结构完全独立。
3、 树
当多个域通过信任关系连接起来之后,所有的域共享公共的表结构(schema) 、配置和全局目录(global catalog),从而形成 域树 。域树由多个域组成,这些域共享同一个表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来。活动目录包含一个或多个域树。
4、 森林
域森林 是指一个或多个没有形成连续名字空间的域树。域林中的所有域树共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同域树可以交叉引用其他域树中的对象。
(五)其它
(1)域控制器(Domain Controller)
域控制器是指运行Windows 2000 Server版本的服务器,它保存了活动目录信息的副本。域控制器管理目录信息的变化,并把这些变化复制到同一个域中的其他域控制器上。域控制器也负责用户的登录过程,以及其他与域有关的 *** 作,比如身份认证、目录信息查找等。 一个域可以有多个域控制器。规模较小的域可以只需要两个域控制器,一个实际使用,另一个用于容错性检查;规模较大的域可以使用多个域控制器。 Windows 2000的域结构与Windows NT 4的域结构不同的是,活动目录中的域控制器没有主次之分,活动目录采用了多主机复制方案,每一个域控制器都有一个可写入的目录副本。在某一个时刻,不同的域控制器中的目录信息可能有所不同,一旦活动目录中的所有域控制器执行同步 *** 作之后,最新的变化信息就会一致。
(2)活动目录与DNS
活动目录使用域名服务DNS作为它的定位服务,同时也对标准的DNS作了扩充。在活动目录中使用DNS的最大好处在于,我们可以使Windows 2000域与Internet上的域统一起来,即Windows域名也是DNS域名。
(3)Active Directory命名规范
a辨别名( distinguished name (DN))
活动目录中的每一个对象都会有一个唯一的辨别名DN。DN由域名、对象名组成: DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用户对象James Smith在contosocom域中的Users组织单元中的Teacher单元中.
bUser Principal Name : 由用户登录名和域名组成,如 JamesS@contosocom。
域运行模式
(1) 混合模式 。混合模式的域既可以有Windows 2000的域控制器,也可以有Windows NT 4的域控制器。这是一个过渡模式,利用这种模式,我们可以对现有的系统逐步升级。但是,在混合模式下,活动目录中有些功能不能很好地发挥出来。 (2) 准模式 。活动目录的标准模式要求所有的域控制器都必须运行Windows 2000。只有在这个时候,活动目录的所有功能和特性才能充分体现出来。
活动目录的安装
运行 Active Directory 安装向导将 Windows 2000 Server 计算机升级为域控制器会创建一个新域或者向现有的域添加其他域控制器。创建域控制器可以:
§ 创建网络中的第一个域。
§ 在树林中创建其他的域。
§ 提高网络可用性和可靠性。
§ 提高站点之间的网络性能。
要创建 Windows 2000 域,必须在该域中至少创建一个域控制器。创建域控制器也将创建该域。不可能有没有域控制器的域。如果确定用户的单位需要一个以上的域,则必须为每个附加的域至少创建一个域控制器。树林中的附加域可以是:新的子域、新域树的根。
安装步骤示例
1、安装域中第一台域控制器
在安装 Active Directory 前首先确定DNS服务正常工作,下面用户来安装根域为 nt2000com 的域中第一台域控制器。
步骤1 利用配置服务器启动位于 %Systemroot%system32 中的 Active Directory 安装向导程序 DCPromoexe。
如图1单击"下一步"
步骤2 由于用户所建立的是域中的第一台域控制器所以选择"新域的域控制器" 单击"下一步"
步骤3 选择"创建一个新域的域目录树" ,单击"下一步"
步骤4 选择"创建一个新域的域目录林", 单击"下一步"
步骤5 在"新域的 DNS 全名"中输入要创建得域名,nt2000com如图 2单击"下一步"
步骤6 安装向导自动将域控制器的 NetBIOS 名设置为 "nt2000" ,单击"下一步"
步骤7 显示数据库、目录文件 及Sysvol 文件的保存位置,一般不必作修改。单击"下一步"
步骤8 配置 DNS 服务,单击"下一步",(如果在安装 Active Directory 之前未配置 DNS 服务器可以在此让安装向导配置 DNS ,推荐使用这种方法。)
步骤9 为用户和组选择默认权限,考虑到现在大多数单位中仍然需要使用 Windows 2000 的以前版本,所以选择"与 Windows 2000 服务器之前版本相兼容的权限"
如图 3单击"下一步"
步骤10 输入以目录恢复模式下的管理员密码,单击"下一步"
步骤11 安装向导显示摘要信息,单击"下一步"开始安装如图4
步骤12 安装完成之后,重新启动计算机。
检验安装结果
在安装完成后,可以通过以下方法检验 Active Directory 安装正确,在安装过程中一项最重要的工作是在 DNS 数据库中添加服务记录( SRV 记录)。
1.检查 DNS 文件的SRV记录
用文本编辑器打开 %systemroot%/system32/config/ 中的 Netlogondns 文件,察看 LDAP 服务记录,在本例中为
_ldap_tcpnt2000com 600 IN SRV 0 100 389 n2k_servernt2000com
2验证 SRV 记录在 NSLOOKUP 命令工具中运行正常
步骤1 在命令提示行下,输入 NSLOOKUP
步骤2 输入 set type=srv
步骤3 输入 _ldap_tcpnt2000com
如果返回了服务器名和 IP 地址,说明 SRV 记录工作正常
2、安装第二台域控制器
在安装完第一台域控制器后其域名为 nt2000com ,在上例中该服务器用于总公司,如果由于公司扩展的需要为其新建的工厂建立自己的域名和域控制器,则用户将工厂的域名定义为 mannt2000com ,由于此域名与 nt2000com 是连续的域名,所以他们组成了一个目录树,今后随着工厂的发展用户还可以在这个目录树下继续逐级添加子域(如:accountingmannt2000com),如果需要添加的域名与该目录树不连续(如:nt3000com)则用户就需要建立一个新的目录树,这样由多个目录树组成了域目录林。
在安装第二台域控制器之前,首先检验它的IP设置和DNS设置,以保证可以访问域控制器(n2k_servernt2000com)。
步骤1 利用配置服务器启动位于 %Systemroot%system32 中的 Active Directory 安装向导程序 DCPromoexe 。如上图1击"下一步"
步骤2 由于用户所建立的是域中的一台域控制器所以选择"新域的域控制器" 单击"下一步"
步骤3 选择"在现有域目录树中创建一个新的子域" ,单击"下一步"
步骤4 在"网络凭据"对话框中输入上一级域的域名及具有管理员权限的用户名和密码, 单击"下一步"
步骤5 在"子域安装"对话框中输入父域域名(nt2000com)和子域域名(man),在下方的子域完整域名中会自动显示 mannt2000com,单击"下一步"
步骤6 安装向导自动将域控制器的 NetBIOS 名设置为"man",用户也可以进行修改 ,单击"下一步"
步骤7 显示数据库、目录文件及 Sysvol 文件的保存位置,一般不必作修改。单击"下一步"
步骤8 为用户和组选择默认权限,考虑到现在大多数单位中仍然需要使用 Windows 2000 的以前版本,所以选择"与 Windows 2000 服务器之前版本相兼容的权限",单击"下一步"
步骤9 单击"下一步"开始安装,在重新启动后,在 n2k_servernt2000com 的" Active Directory 域和信任关系"中将显示新建的子域 mannt2000com 如图5
43 DHCP服务管理
在一个使用TCP/IP协议的网络中,每一台计算机都必须至少有一个IP地址,才能与其他计算机连接通信。为了便于统一规划和管理网络中的IP地址,DHCP(Dynamic Host Configure Protocol,动态主机配置协议)应运而生了。这种网络服务有利于对校园网络中的客户机IP地址进行有效管理,而不需要一个一个手动指定IP地址。
DHCP服务的安装
DHCP指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。首先,DHCP服务器必须是一台安装有Windows 2000 Server/Advanced Server系统的计算机;其次,担任DHCP服务器的计算机需要安装TCP/IP协议,并为其设置静态IP地址、子网掩码、默认网关等内容。默认情况下,DHCP作为Windows 2000 Server的一个服务组件不会被系统自动安装,必须把它添加进来:
1 依次点击“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”,打开相应的对话框。
2 用鼠标左键点击选中对话框的“组件”列表框中的“网络服务”一项,单击[详细信息]按钮,出现带有具体内容的对话框。
3 在对话框“网络服务的子组件”列表框中勾选“动态主机配置协议(DHCP)”,单击[确定]按钮,根据屏幕提示放入Windows 2000安装光盘,复制所需要的程序。
4 重新启动计算机后,在“开始→程序→管理工具”下就会出现“DHCP”一项,说明DHCP服务安装成功。
DHCP服务器的授权
出于对网络安全管理的考虑,并不是在Windows 2000 Server中安装了DHCP功能后就能直接使用,还必须进行授权 *** 作,未经授权 *** 作的服务器无法提供DHCP服务。对DHCP服务器授权 *** 作的过程如下:1 依次点击“开始→程序→管理工具→DHCP”,打开DHCP控制台窗口。2 在控制台窗口中,用鼠标左键点击选中服务器名,然后单击右键,在快捷菜单中选中“授权”,此时需要几分钟的等待时间。注意:如果系统长时间没有反应,可以按F5键或选择菜单工具中的“ *** 作”下的“刷新”进行屏幕刷新,或先关闭DHCP控制台,在服务器名上用鼠标右键点击。如果快捷菜单中的“授权”已经变为“撤消授权”,则表示对DHCP服务器授权成功。此时,最明显的标记是服务器名前面红色向上的箭头变成了绿色向下的箭头。这样,这台被授权的DHCP服务器就有分配IP的权利了。
添加IP地址范围当DHCP服务器被授权后,还需要对它设置IP地址范围。通过给DHCP服务器设置IP地址范围后,当DHCP客户机在向DHCP服务器申请IP地址时,DHCP服务器就会从所设置的IP地址范围中选择一个还没有被使用的IP地址进行动态分配。添加IP地址范围的 *** 作如下:
1 点击“开始→程序→管理工具→DHCP”,打开DHCP控制台窗口。
2 选中DHCP服务器名,在服务器名上点击鼠标右键,在出现的快捷菜单中选择“新建作用域”,在出现的窗口中单击[下一步]按钮,在出现的对话框中输入相关信息,单击[下一步]按钮,如图1所示。
3 在图1所示的窗口中,根据自己网络的实际情况,对各项进行设置,然后单击[下一步]按钮,出现如图2所示的窗口。4 在图2所示的窗口中,输入需要排除的IP地址范围。由于校园网络中有很多网络设备需要指定静态IP地址(即固定的IP地址),如服务器、交换机、路由器等,此时必须把这些已经分配的IP地址从DHCP服务器的IP地址范围中排除,否则会引起IP地址的冲突,导致网络故障。5 单击[下一步]按钮,在出现的“租约期限”窗口中可以设置IP地址租期的时间值。一般情况下,如果校园网络中的IP地址比较紧张的时候,可以把租期设置短一些,而IP地址比较宽松时,可以把租期设置长一些。设置完后,单击[下一步]按钮,出现“配置DHCP选项”窗口。6 在“配置DHCP选项”窗口中,如果选择“是,我想现在配置这些选项”,此时可以对DNS服务器、默认网关、WINS服务器地址等内容进行设置;如果选择“否,我想稍后配置这些选项”,可以在需要这些功能时再进行配置。此处,我们选择前者,单击[下一步]按钮。7 在出现的窗口中,常常输入网络中路由器的IP地址(即默认网关的IP地址)或是NAT服务器(网络地址转换服务器)的IP地址,如WinRoute、SyGate等。这样,客户机从DHCP服务器那里得到的IP信息中就包含了默认网关的设定了,从而可以接入Internet。8 单击[下一步]按钮,在此对话框中设置有关客户机DNS域的名称,同时输入DNS服务器的名称和IP地址。,然后单击[添加]按钮进行确认。单击[下一步]按钮,在出现的窗口中进行WINS服务器的相关设置,设置完后单击[下一步]按钮。9 在出现的窗口中,选择“是,我想现在激活此作用域”后,单击[下一步]按钮,在出现的窗口中单击[完成]按钮,设置结束。此时,就可以在DHCP管理器中看到我们刚刚建好的作用域。注意:如果您的校园网络是以工作组的形式存在的,可以在第6步的“配置DHCP选项”窗口中选择“否,我想稍后配置这些选项”,此时设置过程跳过第7、8步。如果您的校园网络是以域的形式存在的,建议您的网络配置顺序为:活动目录的建立→WINS的建立→DNS的建立→DHCP的建立,这样可以减少很多麻烦。
DHCP服务的测试经过上述设置,DHCP服务已经正式启动,我们需要在客户机上进行测试。只需把客户机的IP地址选项设为“自动获取IP地址”,随后重新启动客户机。在客户机的“运行”对话框中键入“Ipconfig/all”,即可看到客户机分配到的动态IP地址。"1 单击开始,单击运行,键入 dcpromo,然后单击确定。
2 这将启动“Active Directory 安装向导”。单击下一步。
3 Active Directory 安装向导会询问一系列问题,以确定此服务器将担任的角色。因为您要将此服务器安装为域中的额外域控制器,请单击“现有域的额外域控制器”。
4 单击下一步。
5 下一个屏幕提示您提供网络凭据。键入用于执行此 *** 作的帐户的用户名、密码和域名。该帐户必须具有完全管理权限。域名不应是完全限定域名的形式。
6 在额外域控制器屏幕上,以完全限定域名的形式键入现有域的完整 DNS 名称(例如:Microsoftcom)。
7 数据库位置和日志位置框将填入默认位置 (Rootdrive\Winnt\Ntds)。为获得最佳性能和可恢复性,请将数据库和日志分别存储在不同的硬盘上。将日志位置值更改为另一硬盘。
8 单击下一步。
9 在共享的系统卷屏幕中,只要该卷使用 NTFS 文件系统,就可以接受 Rootdrive\Winnt\Sysvol 作为默认位置。这是 Sysvol 文件夹所要求的。
10 单击下一步。
11 如果没有可用的 DNS 服务器,则会出现“向导无法联系到处理名称 Domain Name 的 DNS 服务器以确定它是否支持动态更新。请确认 DNS 配置,或者在此计算机上安装并配置一个 DNS 服务器”这一消息。
12 单击确定。
13 在配置 DNS 屏幕上,单击“是,在这台计算机上安装和配置 DNS(推荐)”。
14 单击下一步。
15 在 Windows NT 40 RAS 服务器屏幕上,选择是否要允许远程访问服务 (RAS) 访问此服务器。单击下一步。
16 在目录服务还原模式管理密码屏幕上,指定在以“目录服务还原”模式启动计算机时使用的管理员密码。在需要恢复 Active Directory 数据库时使用“目录服务还原”模式。
注意:一定要记住此密码,否则在需要时您将无法还原 Active Directory。
17 在提升过程的复制阶段,有一个可让您选择稍后执行复制的选项。选择此选项的理由有许多(例如,在一天的正中间时您使用的网络连接速度慢,您希望等到这天结束时执行复制)。
18 通过查看屏幕上的消息验证已安装 Active Directory。安装 Active Directory 后,单击完成以关闭向导。
19 重新启动计算机。
编辑词条 dcpromo 解析:dcpromo命令是一个“开关”命令。如果Windows 2000 Server计算机是成员服务器,则 运行dcpromo命令会安装活动目录,将其升级为域控制器;如果Windows 2000 Server计算机 已经是域控制器,则运行dcpromo命令会卸载活动目录,将其降级为成员服务器。
被广大企业级用户所关心的Windows 2000 Advanced Server更是在Windows NT Server 40的基础上增加了很多新的功能,我们这里主要讲讲其中的DCPromo命令。
熟悉Windows NT 40的朋友们都知道,在安装一个Server之前,必须规划好这个Server的角色,是作为PDC(主域控制器),BDC(备份域控制器)还是Member or Stand-alone Server(成员或独立服务器)。而且需要提前规划好网络的逻辑结构,是组成Domain(域)还是组成Workgroup(工作组)。如果是组成Workgroup,那么其中的Server只能作为Member Server来安装;如果是组成Domain,那么Domain中安装的第一台Server必须是PDC,以后的Server可以安装成BDC,也可以安装成Member Server,但要注意的是安装BDC之前,域中必须已经存在有PDC,而且,一个域中有且只能有一个PDC。
尽管当Domain中的PDC发生问题时,可以将一台BDC提升(Promote)为PDC,但DC(域控制器,包括PDC和BDC)和Member Server之间却不能相互转换,也就是说当安装了一个Server之后,如果想改变它的功能,重新确定它的角色,从DC变为Member Server,或是从Member Server变为DC,那么唯一的办法就只能是重新安装Windows NT。因此NT 40中这种对于计算机角色的划分和管理模式就给域的规划提出了更高的要求,也给域的维护也带来了很大的麻烦。
我们很高兴地看到,Windows 2000已经很好的解决了这个问题。在Windows 2000 Advanced Server中,计算机不再区分是PDC还是BDC,所有的Server只有DC和Member Server的差别,两者之间还可以非常方便地互相转换角色。而完成这一功能的工具便是Dcpromoexe命令,它是Windows 2000 Advanced Server中内置的一个命令。
当管理员希望改变一个Server的角色时,只需在命令行状态运行Dcpromo命令,Windows 2000便会自动判别当前计算机的角色,然后d出一个Wizard(向导)窗口,引导用户一步一步地完成DC与Member Server之间的转换。用户还可以通过查看Dcpromolog日志来确认转换是否成功。
综上所述,我们可以看到虽然Dcpromo只是一条小小的命令,但它大大提高了Windows 2000的可管理性和易用性。其实这只是Windows 2000对比于以前版本的 *** 作系统众多优越性中微不足道的一点改进,但从中我们也能的的确确地感受到Windows 2000本着尽量为用户着想的开发原则所做的努力。
独立服务器:客户拥有整台服务器的软硬件资源,可以自行配置或通过主机管理工具实现web、mail、ftp等多种网络服务。由于整台服务器只有一个用户使用,在服务器硬件资源以及带宽资源上都得到了极大的保障。
特点:独享整台服务器,性能和自由度更好,空间更大,速度更快,独立ip、CPU计算独立等优势。适合大型网站,私服来用。
上面有很多相关的测评类和配置类的信息,刚兴趣的朋友可以去了解一下的哦,Raksmart的服务器就非常不错的哦,大品牌,稳定性强,配置高。
一、Active Directory Domain Services(AD DS)in the Windows Server 2008 network enviroment ,Active Directory Domain Services(AD DS),provide with organizing、managing、controlling network resources
1-1 active directory domain services overview
directory :telephone directory;file directory
如果这些directory内的数据能够系统的加以整理的话,用户就能够容易且迅速的查找到所需文件。
Active Directory的组成是directory,域内的directory是用来存储用户帐户、计算机帐户、打印机与共享文件夹等对象,我们把这些对象的存储地点称为目录数据库(directory database)。
Active Directory 域内负责提供目录服务的组件就是active directory域服务,active directory domain services
它负责目录数据库的存储、添加、删除、修改与查询 *** 作。
1-1-1 active directory domain service scope
active directory domain service 可以用在一台计算机、LAN或者数个WAN的联合,它包含此范围所有的对象,例如文件、打印机、应用程序、服务器、域控制器与用户帐户等。
1-1-2nameSpace
bounded area ,一块界定好的区域,在此区域内,我们可以利用某个名称来找到与这个名称有关的信息。
active directory 域服务内,active directory就是一个名称空间,在active directory内我们可以通过对象名来找到与这个对象相关的所有的信息。
active directory domain services 与DNS紧密集成在一起,其域的名称空间也是采用DNS架构,因此域名采用DNS格式来命名
1-1-3 object and attribute
ad ds内的资源都是以对象的形式存在的,例如用户、计算机、打印机,对象通过属性来描述其特征。对象本身是属性的集合,对象类的概念-object class
1-1-4容器(container)和组织单位(organization units)
与对象不同的是容器内可以包含其他对象,也可以包含其他的容器。而组织单位是一个比较特殊的容器,除了可以包括其他对象与组织单位外,还有组策略的功能。
AD DS是层次化的结构(hierarchical)将对象、容器与组织单位等组合在一起,并将其存储到active directory数据库中。
1-1-5域树目录
根域(root domain)
subdomain子域
域名空间是连续性的(continuous):子域的域名包含着其父域的域名。
域树目录内的所有域共享一个active directory数据库,也就是在这个域树目录之下只有一个active directory数据库,不过这个active directory数据库内的数据分散地各个域内,每个域只存储属于该域的数据。
1-1-6信任(trust)
两个域(trust relationship),然后才可以访问对方域内的资源。
任何一个新AD DS域被加入到域目录后,这个域会自动信任其前一层的父域,同时父域也会自动信任这个新加入的子域,而且这种信任关系具有双向传递性(Two-way transitive),kerberos信任。
因为传递性得到的信任关系,可称为隐性的信任关系(impicit trust)。
所以当任何一个AD DS域加入到域树目录后,它会自动双向信任这个域树目录内的所有域,因此只要拥有适当权限,这个新域内的用户便可以访问其他域的资源:同理,其他域内的用户也可以访问这个新域内的资源。
1-1-7 forest
林是由一个或多个域树目录组成,每一个域树目录都有自己唯一的名称空间。
您所创建的第一个域树目录的根域,就是整个林的根域,同时其域名就是林的林名。
例如saymscom 是整个林的根域,整个林的域名是saymscom
当创建林时,每一个域树目录内的根域(root domain)之间双向的、传递性的信任关系都会被自动创建。因此每个域树目录中的每个域内的用户,只要拥有权限,都可以访问其他任何一个域树目录内的资源,也可以到其他任何一个域树目录内的计算机登录。
1-1-8架构(schema)
AD DS内的书香类型与属性数据是定义在schema内的。比如schema定义了对象类型内包含了哪些属性、没一个属性的数据类型等信息。
应用程序可以在schema内添加其所需要的对象类型或属性,系统管理员(指schema admins 组内的用户)可以修改架构内的数据。在一个forest内的all domain tree共享相同的schema。
1-1-9域控制器
AD DS的目录数据是存储在域控制器内的。一个域内可以有多台域控制器,每一台域控制器的地位(几乎)是平等的。他们各自存储着一份几乎完全相同的vactive directory数据库。比如当在任何一台域控制器内添加一个用户帐户后,这个帐户默认是被创建在此域控制器的active directory数据库内,之后这份数据会自动被replicate到其他域控制器的active directory数据库内,以便让所有域控制器内的AD DS数据都能够同步(synchronize)。
多台域控制器可以提高系统的可靠性,提供容错功能,同时可以改善登录效率。
域控制器一般是一台服务器级别的计算机,在windows server 2008家族中,除了 windows web server 2008之外,其他都可以扮演域控制器的角色。
1-1-10active directory的复制模式
域控制器之间在复制active directory数据库时,其复制方式可以为以下两种模式:
多主机复制模式(multi-master replication model)
当在任何一台域控制器的active directory数据库内添加一个用户帐户后,这个帐户会自动被复制到域内的其他域控制器。active directory数据库内的大部分的数据是利用这种模式在复制。
单主机复制模式(single-master replication model)
当提出更改对象数据的请求的时候,会由其中一台域控制器( *** 作主机)负责接收与处理此请求,也就是说该对象是先被更新在 *** 作主机,再由这台 *** 作主机将它复制到其他的域控制器。
1-1-11域中的其他成员计算机
要充分管理计算机,需要将这些计算机加入到域内,如果用户要使用active directory数据库内的域用户帐户来登录,这些计算机也必须加入域。没有加入域的计算机只能够使用本地用户帐户登录。
域中的成员计算机包括:
成员服务器(member server)
服务器级别的计算机加入域后被称为成员服务器(member server),成员服务器的区别不是硬件,而是 *** 作系统。成员服务器可以是:
windows server 2008
windows server 2003
windows 2000 server
windows NT server 40
若上述服务器没有加入到域,则他们被称为独立服务器(stand-alone server)或工作组服务器(workgroup server ),无论是member server还是stand-alone server,他们都有本地的SAM(security accounts manager),系统可以用SAM来审核本地的用户的身份。
其他客户端计算机
windows vista Ultimate 、windows vista enterprise 、windows vista bussiness
windows XP professional
windows 2000 professional
windows NT workstation
PS:postscript
注意:ista home premium、vista home basic 、vista starter、XP home edition等计算机在登录窗口中无法选择域用户来登录,只能利用本地用户帐户来登录。
在windows网络环境下,可以将独立服务器或成员服务器升级成为域控制器,也可以将域控制器降级为独立服务器或成员服务器。
1-1-12 DNS服务器
域控制器需要将自己注册到DNS服务器内,以便让其他计算机通过DNS服务器来找到这台域控制器。因此搭建域环境需要有可支持AD DS的DNS服务器。同时这台DNS服务器最好支持动态更新(dynamic update),以便当域控制器的角色有变动或域成员计算机的IP地址等数据更改时,可以自动更新DNS服务器的记录。
1-1-13轻型目录访问协议(LDAP)
LDAP(lightweight directory access protocol)轻型目录访问协议是用来访问active directory数据库的目录服务协议。AD DS是利用LDAP名称路径(LDAP naming path)来表示对象在active directory数据库中的位置,以便用它来访问active directory数据库内的对象。LDAP名称路径包括:
distinguished Name(DN)
DN是对象在active directory数据库内的完整路径
其中的DC(domain component)表示DNS域名中的组件;OU为组织单位(organization unit);CN为common name
relative distinguished name(RDN)
RDN是在DN的完整路径中,用来代表某个对象的部分路径
GUID(global unique identifier)
GUID是个128位的数值,您所创建的任何一个对象,系统都会自动为其指定一个唯一的GUID。虽然可以改变对象的名称,但是其GUID永远不变。
User Principal Name
每一个用户还可以有几个比DN更短、更容易记忆的UPN形式为bob@syacom,用户在登录的时候最好是用UPN
详细见 >
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)