◆馬志妍
(甘肅交通職業(yè)技術(shù)學(xué)院 甘肅 730070)
Windows域架構(gòu)是相對(duì)于工作組而言的另一種重要的資源架構(gòu)的形式,下面將從理論知識(shí)的理解和實(shí)際部署兩個(gè)方面總結(jié)了Windows域網(wǎng)絡(luò)學(xué)習(xí)中的常見(jiàn)問(wèn)題。
工作組網(wǎng)絡(luò)也稱為對(duì)等網(wǎng)絡(luò)(peer-to-peer),即所有的計(jì)算機(jī)都是平等的,任何一臺(tái)計(jì)算機(jī)都不可以控制另一臺(tái)計(jì)算機(jī)。若要登錄到工作組中的任何計(jì)算機(jī),必須具有該計(jì)算機(jī)上的賬戶。每一臺(tái)Windows計(jì)算機(jī)都有一個(gè)本地安全賬戶的SAM數(shù)據(jù)庫(kù),賬戶數(shù)據(jù)庫(kù)文件位于%systemroot%System32ConfigSAM中。用戶若想訪問(wèn)每一臺(tái)計(jì)算機(jī)內(nèi)的資源,必須在每臺(tái)計(jì)算機(jī)上創(chuàng)建用戶賬戶。
圖1工作組與域的數(shù)據(jù)存儲(chǔ)
域也是由一組通過(guò)網(wǎng)絡(luò)連接在一起的計(jì)算機(jī)組成,它們可以將計(jì)算機(jī)內(nèi)的文件、打印機(jī)等資源共享出來(lái)供給網(wǎng)絡(luò)的用戶來(lái)訪問(wèn)。與工作組的松散管理有所不同,“域”是一個(gè)相對(duì)嚴(yán)格集中管理模式。在域中,至少有一臺(tái)服務(wù)器負(fù)責(zé)客戶端連入網(wǎng)絡(luò)的驗(yàn)證工作,稱為“域控制器(Domain Controller,簡(jiǎn)寫(xiě)為DC)”,域控制器共享一個(gè)集中的活動(dòng)目錄數(shù)據(jù)庫(kù)(Directory Database),包含了由這個(gè)域的賬戶、密碼、計(jì)算機(jī)等信息。活動(dòng)目錄數(shù)據(jù)庫(kù)包含大量的核心數(shù)據(jù),格式是“dit”,默認(rèn)狀態(tài)下,活動(dòng)目錄數(shù)據(jù)庫(kù)位于“%systemroot%NTDS”路徑下。維護(hù)活動(dòng)目錄數(shù)據(jù)庫(kù)前,需停止ADDS域服務(wù)。
Active Directory數(shù)據(jù)庫(kù)是一個(gè)事務(wù)處理數(shù)據(jù)庫(kù)系統(tǒng),通過(guò)日志文件支持操作,從而確保事務(wù)提到數(shù)據(jù)庫(kù)中[1]。與Active Directory關(guān)聯(lián)的文件包括:Ntds.dit,Active Directory(數(shù)據(jù)庫(kù)文件),Edbxxxxx.log(事務(wù)日志文件),Edb.chk(檢查點(diǎn)文件),Res1.log和Res2.log(預(yù)留的日志文件),Temp.edb(臨時(shí)數(shù)據(jù)庫(kù)維護(hù)文件),Edbtmp.log(日志暫存文件)[2]。
需要特別注意的是:第一臺(tái)域控制器中的本地賬戶會(huì)被轉(zhuǎn)移至Active Diretory數(shù)據(jù)庫(kù)內(nèi),其他域控制器的本地用戶賬戶會(huì)被刪除;域中的成員服務(wù)器或者客戶端,依然保留本地用戶賬戶。
域是微軟的產(chǎn)品平臺(tái),可以與Microsoft Exchange Server產(chǎn)品共享目錄信息,集成用戶身份驗(yàn)證;也可實(shí)現(xiàn)SQL Server的Cluster管理,以及hyper-v的遷移等。
圖2可在域網(wǎng)絡(luò)中運(yùn)行的微軟產(chǎn)品
在生產(chǎn)環(huán)境中,域網(wǎng)絡(luò)的穩(wěn)定運(yùn)行十分重要,一般域是針對(duì)企業(yè)內(nèi)部用戶部署的,所以首先,域控制器(DC)不直接連接外網(wǎng);其次,DC上不部署大型服務(wù),如Web服務(wù)、exchange等;最后,應(yīng)該創(chuàng)建多臺(tái)DC,實(shí)現(xiàn)DC的容錯(cuò)管理,如圖3是一個(gè)簡(jiǎn)單地DC容錯(cuò)架構(gòu)的拓?fù)鋱D。
圖3 DC的容錯(cuò)架構(gòu)
計(jì)算機(jī)加入域時(shí),提示“無(wú)法與域的Active Diretory域控制器(AD DC)連接”
如果在網(wǎng)絡(luò)和域控制器均正常的情況下,主要是因?yàn)镈NS。可能是DNS服務(wù)搭建的問(wèn)題,也可能是客戶端或DC中DNS的設(shè)置問(wèn)題。
方法:DNS服務(wù)器的檢查
由于域控制器需要將自己的域名注冊(cè)到DNS服務(wù)器內(nèi),以便讓其他計(jì)算機(jī)通過(guò)DNS服務(wù)器來(lái)找到這臺(tái)域控制器,因此必須要一臺(tái)可支持Active Directory的DNS服務(wù)器,也就是它必須支持服務(wù)位置資源記錄,且最好支持動(dòng)態(tài)更新[3]。如果沒(méi)有可支持Active Directory的DNS服務(wù)器,可在升級(jí)過(guò)程中,選擇在這臺(tái)即將升級(jí)為域控制器的服務(wù)器上安裝DNS服務(wù)器[4]。如果域控制器已經(jīng)正確地將其所扮演角色注冊(cè)到DNS服務(wù)器內(nèi),則在DNS管理器中會(huì)有_tcp、_udp等文件夾;表示客戶端已經(jīng)成功注冊(cè)的數(shù)據(jù)類(lèi)型,服務(wù)位置(SRV)的_idap記錄。
客戶端和DC首選DNS的設(shè)置
客戶端和DC首選DNS必須指向域控制器注冊(cè)的DNS服務(wù)器,否則,客戶端加入域。
計(jì)算機(jī)在添加到域的過(guò)程中,系統(tǒng)提示“找不到網(wǎng)絡(luò)路徑”。需要啟動(dòng)計(jì)算機(jī)的“TCP/IP NetBIOS Helper”服務(wù)[4],因?yàn)樗菫榫W(wǎng)絡(luò)上的客戶端提供NetBIOS名稱解析功能,允許客戶端共享文件、打印機(jī)和登錄到網(wǎng)絡(luò)中[5],所以在域的環(huán)境中不能停止該服務(wù),除此之外,Computer Browser服務(wù),Server服務(wù)也要保持正常開(kāi)啟。
方法:在運(yùn)行框輸入services.msc,打開(kāi)本地服務(wù);會(huì)看到TCP/IP NetBIOS Helper服務(wù)是沒(méi)有開(kāi)啟的,右擊該TCP/IP NetBIOS Helper服務(wù)選擇啟動(dòng)。
二者在客戶端進(jìn)行軟件安裝的時(shí)間不同。針對(duì)“計(jì)算機(jī)指派”,當(dāng)客戶機(jī)重啟后,用戶登錄前進(jìn)行軟件的安裝,并將把安裝信息寫(xiě)入客戶端的注冊(cè)表。
針對(duì)“用戶指派”,當(dāng)客戶端重啟后,用戶登錄后進(jìn)行軟件的安裝,并將安裝信息寫(xiě)入客戶端的注冊(cè)表。
默認(rèn)情況下,加入域的客戶端即可以通過(guò)域名/用戶名登錄至“域”模式下,也可以通過(guò)用戶/計(jì)算機(jī)登錄到工作模式下,為管理帶來(lái)難度。域在部署后,一定要通過(guò)組策略統(tǒng)一管理加強(qiáng)管理,可以通過(guò)在DC上的AD活動(dòng)目錄來(lái)將客戶端的本地賬號(hào)禁用。
方法:在DC上創(chuàng)建一個(gè)OU(組織單位),然后將需要拒絕本地登錄的計(jì)算機(jī)賬戶加入該OU,然后為該OU創(chuàng)建并鏈接一個(gè)GPO,編輯GPO的“計(jì)算機(jī)配置”-Windows設(shè)置-安全設(shè)置-本地策略-用戶權(quán)利分配下的拒絕本地登入 添加Users組。