Download
1 / 281
2.83k likes | 3.07k Views
第二部分 服务器配置与管理. 教学目标:实现 Windows Server 2003 服务器的配置和管理. 内容提要. 1 、 Windows 2003 的安装 (略) 2 、 基本设置(略) 3 、 域与活动目录 4 、 用户和组的管理 (略) 5 、 文件权限(略) 6 、 磁盘管理(略) 7 、 组策略(略) 8 、创建与管理 DNS 服务 9 、 WINS 服务器 10 、 创建与管理 DHCP 服务 11 、 创建与管理 WWW 服务 12 、 创建与管理 FTP 服务. 1 、 Windows 2003 的安装 (略).
E N D
教学目标:实现Windows Server 2003 服务器的配置和管理
内容提要 • 1、 Windows 2003的安装 (略) • 2、 基本设置(略) • 3、 域与活动目录 • 4、 用户和组的管理 (略) • 5、 文件权限(略) • 6、 磁盘管理(略) • 7、 组策略(略) • 8、创建与管理DNS服务 • 9、 WINS服务器 • 10、 创建与管理DHCP服务 • 11、 创建与管理WWW服务 • 12、 创建与管理FTP服务
3.1.1 为什么需要域 如果资源分布在多台服务器上,要在每台服务器分别为每一员工建立一个账户(共M*N),用户则需要在每台服务器上(共M台)登录
3.1.1 为什么需要域 • 服务器和用户的计算机都在同一个域中,用户在域中只要拥有一个账号 • 用户只需要在域中拥有一个域账户,只需要在域中登录一次就可以访问域中的资源了。
3.1.1 为什么需要域 • 用户信息存放在域中的域控制器(DC,Domain Controller)上 • 当网络有十万个用户甚至更多,域控制器存放的用户数据量将很大,更为关键的是如果用户频繁登录,域控制器可能因此而不堪重负。 • 分成多个域,每个域的规模控制在一定的范围之内。实际上,分成小的域不仅仅出于服务器不堪重负的原因,更多的是出于管理上的要求。
3.1.1 为什么需要域 网络划分成多个域
3.1.1 为什么需要域 • 划分成小的网络后(域),问题又产生了。在域1中的用户登录后可以访问域1中的服务器上的资源,域2的用户可以访问域2中的服务器上的资源;域1的用户却访问不了域2中的服务器上的资源,域2的用户也访问不了域1中的服务器上的资源。 • 为了解决用户跨域访问资源的问题,可以在域之间引入信任
3.1.1 为什么需要域 • A域信任B域,A称为信任域(Trusting Domain),B称为被信任域(Trusted Domain),B域的用户可以访问A域中的资源 单向信任关系 双向信任关系
3.1.2 为什么要域树(Domain Tree) • 信任关系有可传递和不可传递之分 • A信任B,B又信任C,如果信任关系是可传递的,A就信任C • A信任B,B又信任C,如果信任关系是不可传递的,A就不信任C。
3.1.2 为什么要域树(Domain Tree) • 在一个企业中可能有很多域,如果要互相跨域访问资源,需要建立多个信任。必须创建多个双向信任关系:n*(n-1)/2
3.1.2 为什么要域树(Domain Tree) • 之所以会这样,是因为A、B、C、D、E域被看成是独立的域,所以信任关系被看成不可传递,而实际上A、B、C、D、E域都是在同一企业中,很可能B是A的主管单位,C又是B的主管单位
3.1.2 为什么要域树(Domain Tree) • 域树中,信任关系是可传递的。父域和子域的信任关系是双向可传递的,结果是域树中的一个域隐含地信任域树中所有地域。图中共有7个域,所有域相互信任也只需要6个信任关系,远比之前的7*6/2=21个信任关系要少得多。 • 域树中,域的名字是从父域派生出来的。
3.1.3 域林(Domain Forest) • 域树中的域的名字和DNS域的名字非常相同,在Windows 2000 Server以后的系统中,域和DNS域的关系非常密切,因为域中的计算机使用DNS来定位域控制器和服务器以及其它计算机、网络服务等,实际上域的名字就是DNS的域的名字。
3.1.3 域林(Domain Forest) • 企业可能同时拥有xyz.com和abc.com两个DNS域名 ,这时候会派生出两棵域树。 • 这两个域树共同构成了域林。在同一域林中的域树的信任关系也是双向可传递的。
3.2.1 什么是活动目录 • 我们的电话本、地址本也是一种目录,微软的活动目录(AD,Active Directory)也是一种存放信息的方式而已 • 域控制器(DC,Domain Controller)上存放有域中所有用户、组、计算机等信息。域控制器就把这些信息存放在活动目录中,活动目录实际上就是一个特殊的数据库
3.2.2 活动目录和DNS • Windows Server 2003的活动目录和DNS是紧密不可分的,它使用DNS服务器来登记域控制器的IP、各种资源的定位等 • 在一个域林中至少要有一个DNS服务器存在。 • Windows Server 2003中域的命名也是采用DNS的格式来命名的。
3.2.3 活动目录中的组织单元(OU,Organization Unit) • 1. 对象 • 用户、计算机、打印机、组等等 • 每个对象都有自己的属性以及属性值 • 2. 组织单元(OU,Organization Unit) • 组织单元把这些对象按逻辑进行分组,便于管理、查找、授权和访问。 • 组织单元有许多划分方法,也可以根据地理位置进行划分
3.2.4 全局编录 • 全局编录包含了整个活动目录中每一个对象的最重要的属性(即部分属性,而不是全部)
3.2.5 用户访问资源的过程 • 1. 访问本地域中的资源
3.2.5 用户访问资源的过程 • 2. 访问跨域的资源
3.3.1 创建第一个域xyz.com • 确认“本地连接”属性TCP/IP中首选DNS指向了自己 • 输入“dcpromo”命令打开“Active Directory安装向导”
3.3.1 创建第一个域xyz.com • 选择“只在这台计算机上安装并配置DNS”。这样在安装活动目录时可以一同安装DNS,并且把首选DNS指向自己 • 输入新域的DNS全名
3.3.1 创建第一个域xyz.com • 指定新的NetBIOS名 • 可以改变活动目录数据库以及日志存放的路径 • 选择在该计算机上安装DNS
3.3.1 创建第一个域xyz.com 如果网络中只有Windows 2000 Server 和Windows Server 2003的服务器,可以选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”
3.3.1 创建第一个域xyz.com • 输入活动目录的恢复密码 • 需要花费较长时间 • 确定“本地连接”属性中的TCP/IP设置,检查首选DNS是否指向了自己,确认后才重新启动计算机 • 重新启动计算机 • 重新启动计算机时,由于活动目录的存在,启动时间会变长
3.3.1 创建第一个域xyz.com 从“开始”→“管理工具”→“Active Directory 用户和计算机”菜单中,打开Active Directory 用户和计算机窗口,确认活动目录是否已经正常
3.3.2 添加额外的域控制器 • 域中的不同域控制器的地位是平等的,它们都有所属域的活动目录的复本,多个域控制器可以分担用户登录时的验证任务,同时还能防止单一域控制器的失败而导致网络的瘫痪。 • 在域中的某一域控制器上添加用户时,域控制器会把活动目录的变化复制到域中别的域控制器上。在域中安装额外的域控制器,需要把活动目录从原有的域控制器复制到新的服务器上
3.3.2 添加额外的域控制器 • 保证w2003-2服务器和现在的域控制器w2003-1能否正常通信 • 确认“本地连接”属性中TCP/IP的首选DNS指向了原有域中支持活动目录的DNS服务器 • 输入“dcpromo”命令
3.3.2 添加额外的域控制器 输入原有域的域名、管理员账号和密码
3.3.2 添加额外的域控制器 • 完成安装后,重新启动计算机。 • 在“开始”→“管理工具”→“Active Directory用户和计算机”中,可以看到xyz.com有了两个域控制器。
3.3.3 创建子域 • 设置“本地连接”属性中的TCP/IP协议,把首选DNS指向用来支持父域xyz.com的DNS服务器 • 输入“dcpromo”命令
3.3.3 创建子域 • 输入父域的域名以及管理员的账号、密码 • 输入父域的域名和新的子域的域名,子域的域名不需要包括父域域名
3.3.3 创建子域 输入子域的NetBIOS名
3.3.4 创建域中的第二棵域树 在w2003-1.xyz.com服务器上要创建新的DNS域abc.com
3.3.4 创建域中的第二棵域树 abc.com DNS域已经创建
3.3.4 创建域中的第二棵域树 • 确认w2003-3服务器上“本地连接”属性中的TCP/IP的首选DNS指向了w2003-1.xyz.com • 输入“dcpromo”命令
