為什么我們需要域？Active Directory 系列之一為什么需要域？對很多剛開始鉆研微軟技術(shù)的朋友來說，域是一個讓他們感到很頭疼的對象。域的重要性毋庸置疑，微軟的重量級服務產(chǎn)品基本上都需要域的支

為什么我們需要域？Active Directory 系列之一

為什么需要域？

對很多剛開始鉆研微軟技術(shù)的朋友來說，域是一個讓他們感到很頭疼的對象。域的重要性毋庸置疑，微軟的重量級服務產(chǎn)品基本上都需要域的支持，很多公司招聘工程師的要求中也都明確要求應聘者熟悉或精通Active Directory 。但域?qū)Τ鯇W者來說顯得復雜了一些，眾多的技術(shù)術(shù)語，例如Active Directory ，站點，組策略，復制拓撲，操作主機角色，全局編錄…. 很多初學者容易陷入這些技術(shù)細節(jié)而缺少了對全局的把握。從今天開始，我們將推出Active Directory 系列博文，希望對廣大學習AD 的朋友有所幫助。

今天我們談論的第一個問題就是為什么需要域這個管理模型？眾所周知，微軟管理計算機可以使用域和工作組兩個模型，默認情況下計算機安裝完操作系統(tǒng)后是隸屬于工作組的。我們從很多書里可以看到對工作組特點的描述，例如工作組屬于分散管理，適合小型網(wǎng)絡等等。我們這時要考慮一個問題，為什么工作組就不適合中大型網(wǎng)絡呢，難道每臺計算機分散管理不好嗎？下面我們通過一個例子來討論這個問題。

假設現(xiàn)在工作組內(nèi)有兩臺計算機，一臺是服務器Florence ，一臺是客戶機Perth 。服務器的職能大家都知道，無非是提供資源和分配資源。服務器提供的資源有多種形式，可以是共享文件夾，可以是共享打印機，可以是電子郵箱，也可以是數(shù)據(jù)庫等等?，F(xiàn)在服務器Florence 提供一個簡單的共享文件夾作為服務資源，我們的任務是要把這個共享文件夾的訪問權(quán)限授予公司內(nèi)的員工張建國，注意，這個文件夾只有張建國一個人可以訪問！那我們就要考慮一下如何才能實現(xiàn)這個任務，一般情況下管理員的思路都是在服務器上為張建國這個用戶創(chuàng)建一個用戶賬號，如果訪問者能回答出張建國賬號的用戶名和密碼，我們就認可這個訪問者就是張建國?；谶@個樸素的管理思路，我們來在服務器上進行具體的實施操作。

首先，如下圖所示，我們在服務器上為張建國創(chuàng)建了用戶賬號。

然后在共享文件夾中進行權(quán)限分配，如下圖所示，我們只把共享文件夾的讀權(quán)限授予了用戶

張建國。

好，接下來張建國就在客戶機Perth 上準備訪問服務器上的共享文件夾了，張建國準備訪問資源Florence人事檔案，服務器對訪問者提出了身份驗證請求，如下圖所示，張建國輸入

了自己的用戶名和口令。

如下圖所示，張建國成功地通過了身份驗證，訪問到了目標資源。

看完了這個實例之后，很多朋友可能會想，在工作組模式下這個問題解決得很好啊，我們不是成功地實現(xiàn)了預期目標嘛！沒錯，在這個小型網(wǎng)絡中，確實工作組模型沒有暴露出什么問題。但是我們要把問題擴展一下！現(xiàn)在假設公司不是一臺服務器，而是500臺服務器，這大致是一個中型公司的規(guī)模，那么我們的麻煩就來了。如果這500臺服務器上都有資源要分配給張建國，那會有什么樣的后果呢？由于工作組的特點是分散管理，那么意味著每臺服務器都要給張建國創(chuàng)建一個用戶賬號！張建國這個用戶就必須痛不欲生地記住自己在每個服務器上的用戶名和密碼。而服務器管理員也好不到哪兒去，每個用戶賬號都重新創(chuàng)建500次！如果公司內(nèi)有1000人呢？我們難以想象這么管理網(wǎng)絡資源的后果，這一切的根源都是由于工作組的分散管理！現(xiàn)在大家明白為什么工作組不適合在大型的網(wǎng)絡環(huán)境下工作了吧，工作組這種散漫的管理方式和大型網(wǎng)絡所要求的高效率是背道而馳的。

既然工作組不適合大型網(wǎng)絡的管理要求，那我們就要重新審視一下其他的管理模型了。域模型就是針對大型網(wǎng)絡的管理需求而設計的，域就是共享用戶賬號，計算機賬號和安全策略的計算機集合。從域的基本定義中我們可以看到，域模型的設計中考慮到了用戶賬號等資源的共享問題，這樣域中只要有一臺計算機為公司員工創(chuàng)建了用戶賬號，其他計算機就可以共享賬號了。這樣就很好地解決剛才我們提到的賬號重復創(chuàng)建的問題。域中的這臺集中存儲用戶賬號的計算機就是域控制器，用戶賬號，計算機賬號和安全策略被存儲在域控制器上一個名為Active Directory 的數(shù)據(jù)庫中。

上述這個簡單的例子說明的只是域強大功能的冰山一角，其實域的功能遠遠不止這些。從下篇博文我們將開始介紹域的部署以及管理，希望大家在使用過程中逐步增加感性認識，對域有更加深入及全面的了解，能夠掌握好Active Directory 這個微軟工程師必備的重要知識點部署第一個域：Active Directory 系列之二

一般情況下，域中有三種計算機，一種是域控制器，域控制器上存儲著Active Directory；一種是成員服務器，負責提供郵件，數(shù)據(jù)庫，DHCP等服務；還有一種是工作站，是用戶使用的客戶機。我們準備搭建一個基本的域環(huán)境，拓撲如下圖所示，F(xiàn)lorence是域控制器，Berlin是成員服務器，Perth是工作站。

部署一個域大致要做下列工作：

1DNS 前期準備

2創(chuàng)建域控制器

3創(chuàng)建計算機賬號

4創(chuàng)建用戶賬號

一DNS 前期準備

DNS 服務器對域來說是不可或缺的，一方面，域中的計算機使用DNS 域名，DNS需要為域中的計算機提供域名解析服務；另外一個重要的原因是域中的計算機需要利用DNS 提供的SRV 記錄來定位域控制器，因此我們在創(chuàng)建域之前需要先做好DNS 的準備工作。那么究竟由哪臺計算機來負責做DNS 服務器呢？一般工程師有兩種選擇，要么使用域控制器來做DNS 服務器，要么使用一臺單獨的DNS 服務器。我一般使用一臺獨立的計算機來充當DNS 服務器，這臺DNS 服務器不但為域提供解析服務，也為公司其他的業(yè)務提供DNS 解析支持，大家可以根據(jù)具體的網(wǎng)絡環(huán)境來選擇DNS 服務器。

在創(chuàng)建域之前，DNS服務器需要做好哪些準備工作呢？

1創(chuàng)建區(qū)域并允許動態(tài)更新

首先我們要在DNS 服務器上創(chuàng)建出一個區(qū)域，區(qū)域的名稱和域名相同，域內(nèi)計算機的DNS 記錄都創(chuàng)建在這個區(qū)域中。我們在DNS 服務器上打開DNS 管理器，如下圖所示，右鍵單擊正向查找區(qū)域，選擇新建一個區(qū)域。出現(xiàn)新建區(qū)域向?qū)Ш螅c

擊下一步繼續(xù)。

區(qū)域名稱和域名相同，是adtest.com

。

區(qū)域一定要允許動態(tài)更新，因為在創(chuàng)建域的過程中需要向DNS 區(qū)域中寫入A 記錄，SRV 記錄和Cname

記錄

區(qū)域創(chuàng)建完畢，點擊完成結(jié)束創(chuàng)建

2檢查NS 和SOA 記錄

區(qū)域創(chuàng)建完成后，一定要檢查一下區(qū)域的NS 記錄和SOA 記錄。在前面的DNS 課程中，我們已經(jīng)介紹了NS 記錄和SOA 記錄的意義，NS 記錄描述了有多少個DNS 服務器可以解析這個區(qū)域，SOA 記錄描述了哪個DNS 服務器是區(qū)域的主服務器。如果NS 記錄和SOA 記錄出錯，域的創(chuàng)建過程中就無法向DNS 區(qū)域中寫入應有的記錄。在DNS 服務器上打開DNS

管理器，在adtest.com 區(qū)域中檢查ns 記錄，如下圖所示，我們發(fā)現(xiàn)ns 記錄不是一個有效的

完全合格域名，我們需要對它進行修改。

如下圖所示，我們把ns 記錄改為ns.adtest.com. ，解析出的IP 地址和DNS 服務器的IP 是吻合的，這樣我們就完成了ns 記錄的修改。

如下圖所示，我們把區(qū)域

的SOA 記錄也同樣進行修改，現(xiàn)在區(qū)域的主服務器是ns.adtest.com. ，這樣SOA 記錄也修改完畢了

作完成，我們接下來可以部署域了。

二創(chuàng)建域控制器至此，DNS 準備工

有了DNS 的支持，我們現(xiàn)在可以開始創(chuàng)建域控制器了，域控制器是域中的第一臺服務器，域控制器上存儲著Active Directory ，可以說，域控制器就是域的靈魂。我們準備在Florence 上創(chuàng)建域控制器，首先檢查Florence 網(wǎng)卡的TCP/IP屬性，注意，F(xiàn)lorence 應該使用192.168.11.1作為自己的DNS 服務器。因為我們剛剛在192.168.11.1上創(chuàng)建了adtest.com 區(qū)域

如下圖所示，在Florence

上運行Dcpromo ，開始域控制器的創(chuàng)建。

如下圖所示，出現(xiàn)Active Directory

安裝向?qū)В瑒?chuàng)建域控制器其實就是在Florence 上安裝一個Active Directory 數(shù)據(jù)庫，點擊下一步繼續(xù)。