Windows域網(wǎng)絡(luò)學(xué)習(xí)中的幾個(gè)常見(jiàn)問(wèn)題

◆馬志妍

（甘肅交通職業(yè)技術(shù)學(xué)院 甘肅 730070）

Windows域架構(gòu)是相對(duì)于工作組而言的另一種重要的資源架構(gòu)的形式，下面將從理論知識(shí)的理解和實(shí)際部署兩個(gè)方面總結(jié)了Windows域網(wǎng)絡(luò)學(xué)習(xí)中的常見(jiàn)問(wèn)題。

1 理論學(xué)習(xí)中的常見(jiàn)問(wèn)題

1.1 工作組與域的數(shù)據(jù)存儲(chǔ)

工作組網(wǎng)絡(luò)也稱為對(duì)等網(wǎng)絡(luò)（peer-to-peer），即所有的計(jì)算機(jī)都是平等的，任何一臺(tái)計(jì)算機(jī)都不可以控制另一臺(tái)計(jì)算機(jī)。若要登錄到工作組中的任何計(jì)算機(jī)，必須具有該計(jì)算機(jī)上的賬戶。每一臺(tái)Windows計(jì)算機(jī)都有一個(gè)本地安全賬戶的SAM數(shù)據(jù)庫(kù)，賬戶數(shù)據(jù)庫(kù)文件位于%systemroot%System32ConfigSAM中。用戶若想訪問(wèn)每一臺(tái)計(jì)算機(jī)內(nèi)的資源，必須在每臺(tái)計(jì)算機(jī)上創(chuàng)建用戶賬戶。

圖1工作組與域的數(shù)據(jù)存儲(chǔ)

域也是由一組通過(guò)網(wǎng)絡(luò)連接在一起的計(jì)算機(jī)組成，它們可以將計(jì)算機(jī)內(nèi)的文件、打印機(jī)等資源共享出來(lái)供給網(wǎng)絡(luò)的用戶來(lái)訪問(wèn)。與工作組的松散管理有所不同，“域”是一個(gè)相對(duì)嚴(yán)格集中管理模式。在域中，至少有一臺(tái)服務(wù)器負(fù)責(zé)客戶端連入網(wǎng)絡(luò)的驗(yàn)證工作，稱為“域控制器（Domain Controller，簡(jiǎn)寫(xiě)為DC）”，域控制器共享一個(gè)集中的活動(dòng)目錄數(shù)據(jù)庫(kù)（Directory Database），包含了由這個(gè)域的賬戶、密碼、計(jì)算機(jī)等信息。活動(dòng)目錄數(shù)據(jù)庫(kù)包含大量的核心數(shù)據(jù)，格式是“dit”，默認(rèn)狀態(tài)下，活動(dòng)目錄數(shù)據(jù)庫(kù)位于“%systemroot%NTDS”路徑下。維護(hù)活動(dòng)目錄數(shù)據(jù)庫(kù)前，需停止ADDS域服務(wù)。

Active Directory數(shù)據(jù)庫(kù)是一個(gè)事務(wù)處理數(shù)據(jù)庫(kù)系統(tǒng)，通過(guò)日志文件支持操作，從而確保事務(wù)提到數(shù)據(jù)庫(kù)中[1]。與Active Directory關(guān)聯(lián)的文件包括：Ntds.dit，Active Directory（數(shù)據(jù)庫(kù)文件），Edbxxxxx.log（事務(wù)日志文件），Edb.chk（檢查點(diǎn)文件），Res1.log和Res2.log（預(yù)留的日志文件），Temp.edb（臨時(shí)數(shù)據(jù)庫(kù)維護(hù)文件），Edbtmp.log（日志暫存文件）[2]。

需要特別注意的是：第一臺(tái)域控制器中的本地賬戶會(huì)被轉(zhuǎn)移至Active Diretory數(shù)據(jù)庫(kù)內(nèi)，其他域控制器的本地用戶賬戶會(huì)被刪除；域中的成員服務(wù)器或者客戶端，依然保留本地用戶賬戶。

1.2 微軟的哪些產(chǎn)品運(yùn)行在域網(wǎng)絡(luò)中

域是微軟的產(chǎn)品平臺(tái)，可以與Microsoft Exchange Server產(chǎn)品共享目錄信息，集成用戶身份驗(yàn)證；也可實(shí)現(xiàn)SQL Server的Cluster管理，以及hyper-v的遷移等。

圖2可在域網(wǎng)絡(luò)中運(yùn)行的微軟產(chǎn)品

1.3 如何保證域架構(gòu)的穩(wěn)定性

在生產(chǎn)環(huán)境中，域網(wǎng)絡(luò)的穩(wěn)定運(yùn)行十分重要，一般域是針對(duì)企業(yè)內(nèi)部用戶部署的，所以首先，域控制器（DC）不直接連接外網(wǎng)；其次，DC上不部署大型服務(wù)，如Web服務(wù)、exchange等；最后，應(yīng)該創(chuàng)建多臺(tái)DC，實(shí)現(xiàn)DC的容錯(cuò)管理，如圖3是一個(gè)簡(jiǎn)單地DC容錯(cuò)架構(gòu)的拓?fù)鋱D。

圖3 DC的容錯(cuò)架構(gòu)

2 域在部署中的常見(jiàn)問(wèn)題

2.1 計(jì)算機(jī)無(wú)法加入域

計(jì)算機(jī)加入域時(shí)，提示“無(wú)法與域的Active Diretory域控制器（AD DC）連接”

如果在網(wǎng)絡(luò)和域控制器均正常的情況下，主要是因?yàn)镈NS。可能是DNS服務(wù)搭建的問(wèn)題，也可能是客戶端或DC中DNS的設(shè)置問(wèn)題。

方法：DNS服務(wù)器的檢查

由于域控制器需要將自己的域名注冊(cè)到DNS服務(wù)器內(nèi)，以便讓其他計(jì)算機(jī)通過(guò)DNS服務(wù)器來(lái)找到這臺(tái)域控制器，因此必須要一臺(tái)可支持Active Directory的DNS服務(wù)器，也就是它必須支持服務(wù)位置資源記錄，且最好支持動(dòng)態(tài)更新[3]。如果沒(méi)有可支持Active Directory的DNS服務(wù)器，可在升級(jí)過(guò)程中，選擇在這臺(tái)即將升級(jí)為域控制器的服務(wù)器上安裝DNS服務(wù)器[4]。如果域控制器已經(jīng)正確地將其所扮演角色注冊(cè)到DNS服務(wù)器內(nèi)，則在DNS管理器中會(huì)有_tcp、_udp等文件夾；表示客戶端已經(jīng)成功注冊(cè)的數(shù)據(jù)類(lèi)型，服務(wù)位置（SRV）的_idap記錄。

客戶端和DC首選DNS的設(shè)置

客戶端和DC首選DNS必須指向域控制器注冊(cè)的DNS服務(wù)器，否則，客戶端加入域。

2.2 計(jì)算機(jī)加入域時(shí)提示“找不到網(wǎng)絡(luò)路徑”

計(jì)算機(jī)在添加到域的過(guò)程中，系統(tǒng)提示“找不到網(wǎng)絡(luò)路徑”。需要啟動(dòng)計(jì)算機(jī)的“TCP/IP NetBIOS Helper”服務(wù)[4]，因?yàn)樗菫榫W(wǎng)絡(luò)上的客戶端提供NetBIOS名稱解析功能，允許客戶端共享文件、打印機(jī)和登錄到網(wǎng)絡(luò)中[5]，所以在域的環(huán)境中不能停止該服務(wù)，除此之外，Computer Browser服務(wù)，Server服務(wù)也要保持正常開(kāi)啟。

方法：在運(yùn)行框輸入services.msc，打開(kāi)本地服務(wù)；會(huì)看到TCP/IP NetBIOS Helper服務(wù)是沒(méi)有開(kāi)啟的，右擊該TCP/IP NetBIOS Helper服務(wù)選擇啟動(dòng)。

2.3 “域”使用在策略發(fā)布軟件時(shí)，針對(duì)“計(jì)算機(jī)指派”和“用戶指派”的區(qū)別

二者在客戶端進(jìn)行軟件安裝的時(shí)間不同。針對(duì)“計(jì)算機(jī)指派”，當(dāng)客戶機(jī)重啟后，用戶登錄前進(jìn)行軟件的安裝，并將把安裝信息寫(xiě)入客戶端的注冊(cè)表。

針對(duì)“用戶指派”，當(dāng)客戶端重啟后，用戶登錄后進(jìn)行軟件的安裝，并將安裝信息寫(xiě)入客戶端的注冊(cè)表。

2.4 如何禁止客戶端進(jìn)入工作組

默認(rèn)情況下，加入域的客戶端即可以通過(guò)域名/用戶名登錄至“域”模式下，也可以通過(guò)用戶/計(jì)算機(jī)登錄到工作模式下，為管理帶來(lái)難度。域在部署后，一定要通過(guò)組策略統(tǒng)一管理加強(qiáng)管理，可以通過(guò)在DC上的AD活動(dòng)目錄來(lái)將客戶端的本地賬號(hào)禁用。

方法：在DC上創(chuàng)建一個(gè)OU（組織單位），然后將需要拒絕本地登錄的計(jì)算機(jī)賬戶加入該OU，然后為該OU創(chuàng)建并鏈接一個(gè)GPO，編輯GPO的“計(jì)算機(jī)配置”-Windows設(shè)置-安全設(shè)置-本地策略-用戶權(quán)利分配下的拒絕本地登入 添加Users組。