Windows网络服务器配置与管理-提高篇 第7章 创建和管理树和树林.ppt

《Windows网络服务器配置与管理-提高篇 第7章 创建和管理树和树林.ppt》由会员分享，可在线阅读，更多相关《Windows网络服务器配置与管理-提高篇 第7章 创建和管理树和树林.ppt（72页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第 7 章 创建和管理树和树林介绍树和树林创建树和树林树和树林间的信任关系全局编录在树和树林间使用组的策略创建管理树和树林错误诊断Active Directory 复制介绍复制组件和过程 复制拓扑 使用站点优化 Active Directory 复制实现站点来管理 Active Directory 复制监视复制流量 最佳实践7.1 介绍树和树林树树林树林根域多域的特征7.1.1 树父域子域连续名字的空间 父父子子新的域新的域树的根域树的根域7.1.2 树林Nn树林中的所有域之间共享树林中的所有域之间共享同一个配置、架构和全局同一个配置、架构和全局编录编录n一个树林包含一棵或多棵树一个树林包含一

2、棵或多棵树n这些树不共享连续的名称空间这些树不共享连续的名称空间 树林树林树树树树7.1.3 树林根域n在树林中创建的第一在树林中创建的第一 个域就是树林的根域个域就是树林的根域 树林树林树林根域树林根域树树树的根域树的根域全局编录全局编录配置和架构配置和架构Enterprise Admins组组Schema Admins组组树树7.1.4 多域的特征减少复制流量减少复制流量维护分离的、清晰的安全设定维护分离的、清晰的安全设定 保留早期的保留早期的 Windows NT 域结构的需要域结构的需要实现分离的管理控制实现分离的管理控制 7.2 创建树和树林创建一个新的子域 创建一棵新树 创建一个树

3、林 7.2.1 创建一个新的子域Active Directory 安装向导安装向导l创建一个新的子域l提升这台计算机成为子域的 DC l子域和父域之间形成可传递的双向信任关系新的子域的域控新的子域的域控制器制器 当前的树林当前的树林新的子域新的子域 父域父域（树林根域）（树林根域）创建一个新的子域（续）7.2.2 创建一棵新树Active Directory 安装向导安装向导l创建新树的根域l提升这台计算机成为根域的 DCl在本域和树林根域之间形成双向可传递信任关系l复制架构和配置目录分区的信息 新的域控制器新的域控制器 新树新树树林根域树林根域 创建一棵新树（续）7.2.3 创建一个树林Ac

4、tive Directory 安装向导安装向导l创建一个新树林的根域l创建一棵新树的根域l提升该台计算机成为根域的 DC l设置一台全局编录服务器l在该台 DC 上产生默认的架构和配置目录分区新的域控制器新的域控制器 树林根域树林根域 新树林新树林创建一个树林（续）7.3 树和树林间的信任关系Windows 2003 中的可传递信任关系 信任关系的工作方式 KERBEROS V5 的工作方式Windows 2003 的快捷信任 Windows 2003 的不可传递的信任关系 验证和撤销信任 7.3.1 Windows 2003 中的可传递信任关系父域和子域间的父域和子域间的信任关系信任关系父域

5、和子域间的父域和子域间的信任关系信任关系树根域间的树根域间的信任关系信任关系域间的信任域间的信任l默认创建l可传递l双向域域 1域域 A域域 B域域 C树树2树树1树林树林树林根域树林根域7.3.2 信任关系的工作方式树树1树树2 域域 1树林树林域域 A域域 B用户用户树的根域树的根域树林根域树林根域被信任域被信任域信任域信任域信任域信任域域域 2域域 C7.3.3 KERBEROS V5 的工作方式树林根域树林根域KDCKDC服务器服务器KDC客户客户KDCKerberos 验证验证2 2会话票证会话票证1 13 34 45 57.3.4 Windows 2003 的快捷信任树树1 树树2

6、 域域 1树林树林域域 A域域 B树的根域树的根域树林根域树林根域被信任域被信任域信任域信任域信任域信任域域域 2域域 C快捷信任快捷信任多媒体演示 创建快捷信任7.3.5 Windows 2003 的不可传递的信任关系不可传递信不可传递信任关系任关系不可传递信任关系不可传递信任关系l手工创建l单向树林树林不可传递信任关系用于不可传递信任关系用于lWindows 2003 域和Windows NT 4.0 域之间 l不同树林的域之间l Windows 2003 域和 KERBEROS V5 领域之间 域域7.3.6 验证和撤销信任点击验证按钮以验证信任关系是否成功建立。.验证 确定取消A 属性

7、属性G属性属性常规信任管理者信任次域的域受此域信任的域(M)域名域名关系可传递快捷信任根域是是关系可传递快捷信任快捷信任根域是是是添加编辑删除添加编辑删除验证信任关系验证信任关系撤销信任关系撤销信任关系Netdom 命令行命令行 NETDOM TRUST trusting_domain_name/Domain:trusted_domain_name/VerifyNETDOM TRUST trusting_domain_name/Domain:trusted_domain_name/Remove多媒体演示 验证和撤销信任7.4 全局编录全局编录和登录过程 创建全局编录服务器10.4 10.4 全

8、局编录全局编录7.4.1 全局编录和登录过程全局编录提供全局编录提供l提供账户通用组的成员信息l当用户使用首选名字登录时，要求使用全局编录服务器 用户登录用户登录域域域域域域域域域域全局编录服务器全局编录服务器7.4.2 创建全局编录服务器7.5 在树和树林间使用组的策略通用组和复制 使用通用组时的嵌套策略 课堂讨论 在树和树林间使用组7.5.1 通用组和复制全局编录服务器全局编录服务器 通用组通用组并且这种更新将被复并且这种更新将被复制到树林内的所有全局制到树林内的所有全局编录服务器上去编录服务器上去任何对通用组成员的修改都将引起全局编录的任何对通用组成员的修改都将引起全局编录的更新更新l将

9、复制局限在单个域中 l将组而不是用户账户添加到通用组中 l改变成员关系可以减少复制的频率 尽量减少复制流量的建议尽量减少复制流量的建议 7.5.2 使用通用组时的嵌套策略将用户账户添将用户账户添加到全局组中加到全局组中全局组全局组用户用户将每个域的全局组将每个域的全局组添加到通用组添加到通用组全局组全局组通用组通用组将全局组嵌套将全局组嵌套（可选）（可选）全局组全局组全局组全局组将通用组添加到每将通用组添加到每个域的域本地组个域的域本地组通用组通用组与本地组与本地组DLG在每个域中为每个在每个域中为每个域本地组赋予权限域本地组赋予权限权限权限域本地组域本地组DLG课堂讨论 在树和树林间使用组会

10、计师们需要存取树林内各域的财务信息数据会计师们需要存取树林内各域的财务信息数据你如何设置组你如何设置组?域域域域 A A数据数据数据数据域域域域 C C数据数据数据数据域域域域 B B数据数据数据数据课堂讨论 在树和树林间使用组（续）域域域域 A A账务处理账务处理财务支出财务支出财务收入财务收入域域域域 B B域域域域 C C创建一个全局组，将具有相同工作要求的用户组合在一起创建一个全局组，将具有相同工作要求的用户组合在一起域域域域 A A账务处理账务处理财务支出财务支出财务收入财务收入域域域域 B B域域域域 C C在每个域中，进行全局组嵌套在每个域中，进行全局组嵌套 课堂讨论 在树和树林

11、间使用组（续）将来自各域的全局组将来自各域的全局组添加到通用组中添加到通用组中域域域域 B B域域域域 C C所有会计师所有会计师账务处理账务处理账务处理账务处理账务处理账务处理课堂讨论 在树和树林间使用组（续）创建一个对特定资源有创建一个对特定资源有适当权限的域本地组适当权限的域本地组域域域域 B B域域域域 C C域域域域 A A数据数据数据数据DLGDLGDLG数据数据数据数据数据数据数据数据完全控制权限课堂讨论 在树和树林间使用组（续）将通用组添加到域本地组将通用组添加到域本地组域域域域 B B域域域域 C C域域域域A A所有会计师所有会计师DLGDLGDLG数据数据数据数据数据数据

12、数据数据数据数据数据数据课堂讨论 在树和树林间使用组（续）所有会计师所有会计师域域域域 A A域域域域 B B域域域域 C C新域新域新域新域DLGDLGDLG创建一个新的全局创建一个新的全局组组课堂讨论 在树和树林间使用组（续）所有会计师所有会计师域域域域 A A域域域域 B B域域域域 C C新域新域新域新域DLGDLGDLGDLG创建一个域本创建一个域本地组并且赋予地组并且赋予权限权限 课堂讨论 在树和树林间使用组（续）将全局组添加到通用组中将全局组添加到通用组中所有会计师所有会计师域域域域 A A域域域域 B B域域域域 C C新域新域新域新域DLGDLGDLGDLG将通用组添加将通用

13、组添加到域本地组中到域本地组中课堂讨论 在树和树林间使用组（续）创建管理树和树林错误诊断快捷的信任关系没有被使用快捷的信任关系没有被使用错误错误不能登录到域不能登录到域错误错误在某些域中不能创建通用组在某些域中不能创建通用组 错误错误最佳实践使用 A-G-G-U-DL-P 策略原则创建快捷信任关系，减少用户验证等待时间和通信流量在有许多用户登录的站点上放置全局编录服务器7.6 管理 Active Directory 复制Active Directory 复制介绍复制组件和过程 复制拓扑 使用站点优化 Active Directory 复制实现站点来管理 Active Directory 复制监

14、视复制流量 调节 Active Directory 复制Active Directory 复制错误诊断最佳实践7.6.1 Active Directory 复制介绍复制复制域控制器域控制器 B域控制器域控制器 C域控制器域控制器 AActive Directory 采用多主采用多主机、松散的复制机制机、松散的复制机制7.6.2 复制组件和过程复制的工作方式复制延迟 解决复制冲突 优化复制 复制的工作方式复制复制始发更新始发更新 域控制器 A域控制器 B域控制器 C复制更新复制更新复制更新复制更新Active Directory 更新添加对象移动对象编辑对象删除对象复制延迟复制复制始发更新始发更

15、新域控制器 A更新通告更新通告更新通告更新通告域控制器 C域控制器 B复制更新复制更新复制更新复制更新n默认复制延迟（更新通告）默认复制延迟（更新通告）=5 分钟分钟n在没有变化的情况下，周期性的复制在没有变化的情况下，周期性的复制=1 小时小时n紧急复制紧急复制=立刻发送更新通告立刻发送更新通告解决复制冲突域控制器 A始发更新始发更新域控制器 B冲突冲突始发更新始发更新标签标签标签标签标签标签标签标签冲突冲突版本号版本号时间时间时间时间戳戳戳戳 服务器服务器 GUID标签标签标签标签冲突可能由以下原因引起冲突可能由以下原因引起n同时修改同一对象的同一属性值，造成冲突同时修改同一对象的同一属性

16、值，造成冲突 n在一台在一台域控制器域控制器删除容器，而在另一个删除容器，而在另一个域控制器域控制器的该容的该容器中添加子对象器中添加子对象 n两台两台域控制器域控制器同时向同一个容器移动原属不同层次的同同时向同一个容器移动原属不同层次的同名对象名对象 7.6.3 优化复制始发更新始发更新复制更新复制更新GUID更新序列号更新序列号 更新更新更新更新GUID更新序列号更新序列号 Up-To-Dateness 矢量矢量域控制器 A域控制器 B复制更新复制更新GUIDUSN域控制器 C 复制拓扑目录分区 复制拓扑 全局编录和复制分区 复制拓扑的自动生成 使用连接对象 目录分区 域域树林树林目录分区

17、目录分区Active Directory数据库数据库配置配置配置配置架构架构架构架构包含 Active Directory 内特定域的所有创建的对象 包含树林的域结构、站点、域控制器、服务信息 定义 Active Directory 中的所有对象、属性和操作规则。树林共享同一架构 复制拓扑A2A1A4A3Domain Controllers from the Same DomainsDomain A TopologySchema/Configuration TopologyB2A2A1B1B3A4A3来自不同域的域控制器来自不同域的域控制器A 域域分区的复制拓扑B 域域分区的复制拓扑架构/配置

18、分区复制拓扑 全局编录和复制分区 B2A2A1B1B3A4A3A 域域分区的复制拓扑B 域域分区的复制拓扑架构/配置分区复制拓扑复制拓扑的自动生成A3KCCA2KCCA1KCCA4KCCA5KCCA6KCCA7KCCA8KCCA3KCCA2KCCA1KCCA8KCCA4KCCA5KCCA6KCCA7KCC复制拓扑自动生成复制拓扑自动生成域分区复制拓扑架构/配置分区复制拓扑使用连接对象连接对象可以自动或手工生成 连接对象创建在每台域控制器上 可以使用“Active Directory 站点和服务”手工创建、删除、调整连接对象可以使用“立即复制”手动发起复制连接对象连接对象连接对象连接对象域控制器

19、 A1域控制器 A2 使用站点优化 Active Directory 复制站点 站点内复制 站点间复制 复制协议 站点 第一个站点是自动创建的，称为“Default-First-Site-Name”站点包含数量不等的 IP 子网使用站点可以控制复制流量和登录流量 站点包含着服务器对象，这些服务器对象是根据 IP 子网而集合在一个站点中的Active Directory 站点和服务站点和服务控制台 窗口 帮助操作 查看树Active Directory站点和服务SitesDefault-First-Site-NameServersInter-Site TransportsSubnetsSiteI

20、nter-Site Transport ContainerSiteSubnets Container名称类型Redmond-SiteDefault-First-Site-NameInter-Site TransportsRedmond-SiteSubnetsDENVERNTDS Settings站点内复制发生在同一个站点的域控制器之间 适用于链路状况良好的情况不压缩复制流量 采用更新通告机制 IP IP 子网子网子网子网域控制器 A域控制器 BIP IP 子网子网子网子网站点站点复制复制站点间复制站点间复制根据手工设定的时间发起复制被用于优化带宽使用每个站点中的一台或多台域控制器将充当连接另一

21、个站点的桥头 站点站点IP IP 子网子网子网子网IP IP 子网子网子网子网桥头服务器复制复制站点站点IP IP 子网子网子网子网IP IP 子网子网子网子网桥头服务器 复制复制复制复制复制协议域控制器 A域控制器 BRPC 或或 SMTPnRPC 用于站点内和站点间复制nSMTP 仅用于站点间复制复制协议复制协议7.6.4 实现站点来管理 Active Directory 复制创建站点和子网 创建和配置站点间链接创建站点间链接桥 创建站点和子网创建站点和子网Active Directory站点和服务站点和服务控制台 窗口 帮助操作 查看树Active Directory Sites and

22、 ServicesSitesDefault-First-Site-NameServersInter-Site TransportsSubnetsSiteInter-Site Transport ContainerSiteSubnets Container名称类型Redmond-SiteDefault-First-Site-NameInter-Site TransportsRedmond-SiteSubnetsDENVERNTDS SettingsDefault-First-Site-NameIP IP 子网子网子网子网域控制器 ARedmond-SiteIP IP 子网子网子网子网域控制器 B

23、IP IP 子网子网子网子网创建和配置站点间链接创建和配置站点间链接IP IP 子网子网子网子网IP IP 子网子网子网子网站点站点域控制器 AIP IP 子网子网子网子网IP IP 子网子网子网子网站点站点域控制器 B站点间链接站点间链接创建和配置站点间链接（续）创建站点间链接桥创建站点间链接桥 站点站点 XIP IP 子网子网子网子网IP IP 子网子网子网子网IP IP 子网子网子网子网IP IP 子网子网子网子网IP IP 子网子网子网子网IP IP 子网子网子网子网站点站点 Z站点站点 Y站点间链接站点间链接 YZ，成本成本 4站点间链接站点间链接 XY，成本成本 3站点间链接桥站点

24、间链接桥 XYZ，成本成本 7创建站点间链接桥（续）7.6.5 监视复制流量复制监视 使用复制监视器监视复制流量 使用 REPADMIN 监视复制流量 复制监视使用复制监视可以使用复制监视可以使用复制监视可以使用复制监视可以n查看复制伙伴查看复制伙伴 n查看每一个查看每一个 USN 值、出错重试次数、原因、标记值、出错重试次数、原因、标记 n按管理员设定的时间间隔查询服务器统计信息按管理员设定的时间间隔查询服务器统计信息 n监视、计算复制错误次数监视、计算复制错误次数 n显示尚未复制的对象显示尚未复制的对象 n在两台在两台域控制器域控制器之间同步之间同步 n触发触发 KCC 重新计算复制拓扑重

25、新计算复制拓扑 使用复制监视器监视复制流量Active Directory Replication MonitorFile Edit Action View HelpMonitored ServersDefault-First-Site-Namelondon2154CN=Schema,CN=ConfCN=Schema,CN=ConfDefault-First-Site-NCN=Configuration,DC=Default-First-Site-NaDefault-First-Site-NaDefault-First-Site-NaDefault-First-Site-NaDefault-F

26、irst-Site-NaDC=nwtrers2154,DCatlanta2154CN=Schema,CN=ConfCN=Configuration,DC=DC=nwtraders2154,DCMonitored Servers:Update AutomaticallyLog C:Documents and SettingsActive Directoryministrator.LONDON2154My Documentslond.Status as of:12/13/1999 6:00:41 PMStatus as of:12/14/1999 8:15:59 AMDirect Replicat

27、ion Partner DataDirect Replication Partner Datarepadmin/showreps denver.domain2.nwtraders.msft调节 Active Directory 复制调节调节 Active Directory 复制复制n建立附加的连接对象建立附加的连接对象l减少域控制器复制间的跃点数减少域控制器复制间的跃点数l如出现某个连接对象不可用，则可以自动如出现某个连接对象不可用，则可以自动绕开绕开 n配置首选桥头服务器配置首选桥头服务器Active Directory 复制错误诊断复制无法完成复制无法完成错误错误复制缓慢复制缓慢错误错误

28、复制增加网络通信复制增加网络通信错误错误复制客户收到响应非常慢复制客户收到响应非常慢 错误错误KCC 不能完成复制拓扑不能完成复制拓扑错误错误最佳实践在每一个站点上至少放置一个在每一个站点上至少放置一个 DNS 服务器服务器 当网络连接比较慢时设置连接的时间计划当网络连接比较慢时设置连接的时间计划 在每一个站点上至少放置一个域控制器在每一个站点上至少放置一个域控制器回顾回顾学习完本章后，将能够：学习完本章后，将能够：n了解在了解在 Windows 2003 网络上复制的重要性网络上复制的重要性n了解复制组件和复制进程了解复制组件和复制进程n了解如何启用复制拓扑以及如何优化整个网络的复制了解如何

29、启用复制拓扑以及如何优化整个网络的复制n了解站点如何优化了解站点如何优化 Active Directory 复制复制n使用站点管理使用站点管理 Active Directory 复制复制n监视复制通信监视复制通信n调整复制操作以提高复制性能调整复制操作以提高复制性能n解决解决 Active Directory 复制过程中经常遇到的问题复制过程中经常遇到的问题n应用最佳操作来管理应用最佳操作来管理 Active Directory复制复制回顾学习完本章后，将能够：学习完本章后，将能够：n了解了解 Microsoft Windows 2000 中树和树林的作用中树和树林的作用n在在 Windows 2000 中创建并管理树和树林中创建并管理树和树林n在树和树林中使用信任关系在树和树林中使用信任关系n使用全局编录登录使用全局编录登录 Windows 2000 网络网络n实现最有效的组策略来获得对树和树林中资源的访问实现最有效的组策略来获得对树和树林中资源的访问权权n解决在解决在 Windows 2000 中创建和管理树和树林的过程中中创建和管理树和树林的过程中出现的疑难问题出现的疑难问题n应用在应用在 Active Directory 中创建并管理树和树林的最佳操中创建并管理树和树林的最佳操作作