3.1 知识导航——域、域树和域林
3.1.1 Windows Server网络类型
我们组建计算机网络,就是要实现资源的共享。随着网络规模的扩大及应用的需要,共享的资源就会逐渐增多,如何来管理这些在不同机器上的资源呢?工作组和域就是在这样的环境中产生的两种不同的网络资源管理模式。
1.工作组(Work Group)
工作组就是将不同计算机按功能分别列入不同的组中,以方便管理。在一个网络内,可能会有成百上千台工作计算机,如果这些计算机不进行分组,都列在“网上邻居”内,可想而知会有多么凌乱。为了解决这一问题,Windows引用了“工作组”这个概念,例如,公司会分为诸如行政部、市场部、技术部等几个部门,行政部的计算机全都列入行政部的工作组中,市场部的计算机都列入市场部的工作组。如果要访问别的部门的资源,在“网上邻居”里找到该部门的工作组名,双击就可以看到其他部门的计算机了。
在安装和使用Windows系统的时候,工作组名一般使用默认值“WORKGROUP”,也可以设置成其他符合Windows命令规范的名字。在同一工作组或不同工作组,在访问和使用时并没有什么分别,如图3-1所示。
退出某个工作组的方法也很简单,只要将工作组名称改变一下即可,不过这样在网上其他人照样可以访问你的共享资源,只不过换了一个工作组而已。工作组名并没有太多的实际意义,只是在“网上邻居”的列表中实现一个分组而已。也就是说,可以随时加入同一网络上的任何工作组,也可以随时离开一个工作组。“工作组”就像一个可自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。
在Windows系统中要启用“网络发现和文件共享”功能,否则将无法找到网络中的任何“邻居”的主机,也不会被其他的“邻居”主机发现,如图3-2所示。要解决这个问题比较简单,右击图3-2中最上面的“网络发现已关闭,看不到网络计算机和设备,单击以更改…”,在弹出的菜单中选择“启用网络发现和文件共享”命令即可。网络发现是一种网络设置,该设置会影响是否可以查看网络上的计算机和设备等资源,同时网络上的其他计算机也可以查看此台计算机。
图3-1 网络工作组
图3-2 网络被关闭
如果启用“网络发现和文件共享”功能之后,还是无法在网络中发现其他计算机,建议对Windows系统进行进一步设置:打开Windows中的“控制面板”,双击“网络和Internet”图标,进入“网络和共享中心”窗口,在窗口的左侧列表位置找到“更改高级共享设置”选项,单击该选项,弹出“高级共享设置”窗口,如图3-3所示。选择“启用网络发现”选项,单击“保存更改”按钮即可。
如果仍然无法查看到网络中的工作组信息,可以检查系统相关的“FDResPub”服务信息,其操作步骤如下:选择“开始”→“运行”命令,在弹出的运行对话框中,输入命令“services.msc”,单击“确定”按钮后,进入系统服务列表窗口,找到系统服务“Function Discovery Resource Publication”,双击该服务器选项,打开如图3-4所示的“Function Discovery Resource Publication的属性”对话框。设置该服务的启动类型为“自动”,单击“应用”按钮,然后单击“启动”按钮,将服务状态设置为“已启动”。
图3-3 网络高级共享设置
图3-4 启动FDResPub服务
如果还有问题,以同样的方法检查“SSDP Discovery”“UPnP Device Host”服务,看是否启动。此外,还需要检查TCP/IP属性参数是否设置正确,以保证Windows系统主机的IP地址与要寻找的“邻居”主机的IP地址处于同一个网段。
2.域(Domain)
域是一个有安全边界的计算机集合,也可以理解为服务器控制网络上的计算机能否加入的计算机组合。在对等网(工作组)模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是比较容易被破解。在由Windows构成的对等网中,数据的传输是不安全的。
在主从式网络中,资源集中存放在一台或者几台服务器上,如果只有一台服务器,问题就很简单,在服务器上为每一位员工建立一个账户即可,用户只需登录该服务器就可以使用服务器中的资源。
然而如果资源分布在多台服务器上呢?如图3-5所示,要在每台服务器上分别为每一员工建立一个账户(共M×N个),用户需要在每台服务器上(共M台)登录,感觉又回到了对等网的模式。
在使用了域之后,如图3-6所示,服务器和用户的计算机都在同一域中,用户在域中只要拥有一个账户,用账户登录后即取得一个身份,有了该身份便可以在域中漫游,访问域中任一台服务器上的资源。在每一台存放资源的服务器上并不需要为每个用户创建账户,而只需要把资源的访问权限分配给用户在域中的账户即可。
图3-5 资源分布在多台服务器上
图3-6 域的模式
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,DC)”,它包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当计算机联入网络时,域控制器首先要鉴别这台计算机是否是属于这个域,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台计算机登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
然而随着网络的不断发展,有的企业的网络大得惊人,当网络有十万个用户甚至更多时,域控制器存放的用户数据量很大,更为关键的是如果用户频繁登录,域控制器可能因此不堪重负。在实际的应用中,会在网络中划分多个域,每个域的规模控制在一定的范围内,同时也是出于管理上的要求,将大的网络划分成小的网络,每个小的网络管理员管理自己所属的账户,如图3-7所示。
域是一个安全的边界,实际上就是这层意思:当两个域独立的时候,一个域中的用户无法访问另一个域中的资源,如同国家与国家之间的关系一样。
当然在实际的应用中,一个域中的用户常常有访问另一个域中的资源的需要。为了解决用户跨域访问资源的问题,可以在域之间引入信任关系,有了信任关系,域A的用户想要访问域B中的资源,让域B信任域A即可。信任关系分为单向和双向,如图3-8所示。图中①是单向的信任关系,箭头指向被信任的域,即域A信任域B,域A称为信任域,域B被称为被信任域,因此域B的用户可以访问域A中的资源。图中②是双向的信任关系,域A信任域B的同时域B也信任域A,因此域A的用户可以访问域B的资源,反之亦然。
图3-7 多域的模式
图3-8 信任关系
信任关系有可传递和不可传递之分,如果A信任B,B又信任C,那么A是否信任C呢?如果信任关系是可传递的,A就信任C;如果信任关系是不可传递的,A就不信任C。Windows Server 2016中有的信任关系是可传递的,有的是不可传递的,有的是单向的,有的是双向的,在使用时要注意。
注意
工作组与域两者有着不同的特点,主要体现在:①工作组无须运行Windows Server的计算机来容纳集中的安全性信息;②相对于域而言,工作组设计和实现简单,无须广泛计划和管理;③对于计算机数量较少或在一个较小空间内的有限数量计算机的网络来说,工作组更方便;④工作组较适合由技术用户组成的无须进行集中管理的小组;⑤因为所有的用户信息都被集中存储,所以域提供了集中的管理;⑥只要用户有对资源访问的适当权限,就能从任一台计算机登录到域,并能访问域网络中另一台计算机资源;⑦每个域仅存储该域中各对象的有关信息,通过这样区分目录,活动目录可将规模扩展到拥有大量的对象。
3.1.2 活动目录概述
活动目录(Active Directory)是一种目录服务,它存储有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息,并将结构化数据存储作为目录信息逻辑和分层组织的基础,使管理员比较方便地查找并使用这些网络信息。
活动目录是在Windows 2000 Server就推出的新技术,它最大的突破性就在于引入了全新的活动目录服务(Active Directory Service),使Windows 2000 Server与Internet上的各项服务和协议联系更加紧密。通过在Windows 2000 Server的基础上进一步扩展,Windows Server 2003提高了活动目录的多功能性、可管理性及可靠性。
从Windows Server 2008开始,活动目录服务有了一个新的名称:Active Directory Domain Service(ADDS)。名称的改变意味着微软对Windows Server的活动目录进行了较大的调整,增加了功能强大的新特性,例如新增了只读域控制器(Read-Only Domain Controller,RODC)的域控制器类型、更新的活动目录域服务安装向导、可重启的活动目录域服务、快照查看以及增强的Ntdsutil命令等,并且对原有特性进行了增强。
活动目录并不是Windows Server中必须安装的组件,并且其运行时占用系统资源较多。设置活动目录的主要目的就是为了提供目录服务功能,使网络管理更简便、安全性更高。另外,活动目录的结构比较复杂,适用于用户或者网络资源较多的环境。
注意
活动目录源于“目录服务”的概念,与Windows系统中的“文件夹目录”以及DOS下的“目录”在含义上完全不同。活动目录是指网络中用户以及各种资源在网络中的具体位置及调用和管理方式,就是把原来固定的资源存储层次关系与网络管理以及用户调用关联起来,从而提高了网络资源的使用效率。
活动目录结构是指网络中所有用户、计算机以及其他网络资源的层次关系,就像是一个大型仓库中分出若干个小的储藏间,每一个小储藏间分别用来存放不同的东西一样。通常情况下活动目录的结构可以分为逻辑结构和物理结构,了解这些也是用户理解和应用活动目录的重要一步。
1.活动目录的逻辑结构
在活动目录中,代表网络资源的明确命名的一组属性集合称为对象。例如,“用户”对象的属性包括用户的姓名、地址等。根据对象本身能否包含其他对象,可以将活动目录中的对象分为容器对象和叶对象两大类。容器并不代表一个实体,容器内可以包含一组对象及其他容器。在活动目录的逻辑组件中,域、组织单元、域树、域林等都属于容器对象,而域中的用户、组、计算机、共享文件夹、打印机等都属于叶对象。活动目录内的对象类别与属性数据定义在架构内。在一个域目录林中的所有域目录树共享相同的架构。
1)组织单元:组织单元是一个容器对象,可以把域中的对象组织成逻辑组,以简化管理工作。组织单元可以包含各种对象,如用户账户、用户组、计算机、打印机等,甚至可以包括其他的组织单元,所以可以利用组织单元把域中的对象组成一个完全逻辑上的层次结构,如图3-9所示。对于企业来讲,可以按部门把所有的用户和设备组成一个组织单元层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个组织层次结构。
图3-9 组织单元示意图
由于组织单元层次结构局限于域的内部,所以一个域中的组织单元层次结构与另一个域中的组织单元层次结构没有任何关系,就像是Windows资源管理器中位于不同目录下的文件,可以重名或重复。
2)域树:Windows Server是考虑在大型企业构建网络和扩展网络的需要而设计的。在大型企业中可能会有分布在全世界的分公司等,分公司下又有各个部门存在,可能有几十万用户、上千服务器以及上百个域,资源访问常常可能跨过许多域。在Windows NT 4.0时,域和域之间的信任关系是不可传递的,考虑在一个网络中如果有多个域的情况,如果要实现多个域中的用户跨域访问资源,必须创建n×(n-1)/2个双向信任关系,如图3-10所示。
之所以会这样,是因为A、B、C、D、E域均被看成独立的域,所以信任关系被看成不可传递的,而实际上A、B、C、D、E域又都在同一企业网络中,很可能B是A的主管单位,C又是B的主管单位。
从Windows 2000 Server起,域树(Domain Tree)开始出现,如图3-11所示。域树中的域以树的形式出现,最上层的域名为abc.com,是这个域树的根域,根域下有两个子域:asia.abc.com和europe.abc.com, asia.abc.com和europe.abc.com子域下又有自己的子域。
图3-10 多个域的资源互访需要多个信任关系
图3-11 域树
在域树中,父域和子域的信任关系是双向可传递的,因此域树中的一个域隐含地信任域树中所有的域。图3-11中共有7个域,所有域相互信任,也只需要6个信任关系。
3)域林:在域树的介绍中,可以看到域树中域的名字和DNS域的名字非常相似,在Windows Server系统中,域和DNS域的关系非常密切,因为域中的计算机使用DNS来定位域控制器和服务器以及其他计算机、网络服务等,实际上域的名字就是DNS域的名字。
在图3-11中,企业向Internet组织申请了一个DNS域名abc.com,所以根域就采用了该名,在abc.com域下的子域也就只能使用abc.com作为域名的后缀了,也就是说在一个域树中,域的名字是连续的。然而,企业可能同时拥有abc.com和abc.net两个域名,如果某个域用abc.net作为域名,abc.net将无法挂在abc.com域树中,这个时候只能单独创建另一个域树,如图3-12所示,新的域树根域为abc.net,这两个域树共同构成了域林(Domain Forest)。在同一域林中的域树的信任关系,也是双向可传递的。
图3-12 域林
2.活动目录的物理结构
活动目录的物理结构与逻辑结构有很大不同,它们是彼此独立的两个概念。逻辑结构侧重于网络资源的管理,而物理结构则侧重于网络的配置和优化。活动目录的物理结构主要着眼于活动目录信息的复制和用户登录网络时的性能优化。物理结构的两个重要概念是站点和域控制器。
(1)站点
站点由一个或多个IP子网组成,这些子网通过各种网络设备连接在一起。站点往往由企业的物理位置分布情况决定,可以依据站点结构配置活动目录的访问和复制拓扑关系,这样能使得网络更有效地连接,并且可使复制策略更合理,用户登录更快速。站点与域是两个完全独立的概念,一个站点中可以有多个域,多个站点也可以位于同一域中。
活动目录站点和服务,可以通过使用站点提高大多数配置目录服务的效率。可以通过使用活动目录站点和服务,向活动目录发布站点的方法提供有关网络物理结构的信息,活动目录使用该信息确定如何复制目录信息和处理服务的请求。
计算机站点是根据其在子网或一组已连接好子网中的位置指定的,子网提供一种表示网络分组的简单方法,这与常见的邮政编码将地址分组类似。将子网格式化成可方便发送有关网络与目录连接物理信息的形式,将计算机置于一个或多个连接好的子网中,充分体现了站点所有计算机必须连接良好这一标准,原因是同一子网中计算机的连接情况通常优于网络中任意选取的计算机。
(2)域控制器
域控制器是指运行Windows Server的服务器,它保存了活动目录信息的副本。域控制器管理目录信息的变化,并把这些变化复制到同一个域中的其他域控制器上,使各域控制器上的目录信息同步。域控制器也负责用户的登录过程以及其他与域有关的操作,比如身份鉴定、目录信息查找等。一个域可以有多个域控制器。规模较小的域可以只需要两个域控制器,一个实际使用,另一个用于容错性检查,规模较大的域可以使用多个域控制器。
尽管活动目录支持多主机复制方案,然而由于复制引起的通信流量以及网络潜在的冲突,变化的传播并不一定能够顺利进行,因此有必要在域控制器中指定全局目录服务器以及操作主机。全局目录是一个信息仓库,包含活动目录中所有对象的一部分属性,往往是在查询过程中访问最为频繁的属性。利用这些信息,可以定位到任何一个对象实际所在的位置。
全局目录服务器是一个域控制器,它保存了全局目录的一份副本,并执行对全局目录的查询操作。全局目录服务器可以提高活动目录中大范围内对象检索的性能,比如在域林中查询所有的打印机操作。如果没有一个全局目录服务器,那么这样的查询操作必须调动域林中每一个域的查询过程。如果域中只有一个域控制器,那么它就是全局目录服务器;如果有多个域控制器,那么管理员必须把一个域控制器配置为全局目录控制器。
3.1.3 域中的计算机类型
在域结构的网络中,计算机之间是一种不平等的关系,存在4种类型。
1)域控制器:域控制器类似于网络“看门人”,用于管理所有的网络访问,包括登录服务器、访问共享目录和资源。域控制器存储了所有域范围内的账户和策略信息,包括安全策略、用户身份验证信息和账户信息。在网络中,可以有多台计算机配置为域控制器,以分担用户的登录和访问。多个域控制器可以一起工作,自动备份用户账户和活动目录数据,即使部分域控制器瘫痪后,网络访问仍然不受影响,提高网络安全性和稳定性。
2)成员服务器:成员服务器是指安装了Windows Server操作系统,又加入了域的计算机,但没有安装活动目录,这时服务器的主要目的是提供网络资源,也被称为现有域中的附加域控制器。成员服务器通常具有以下类型服务器的功能:文件服务器、应用服务器、数据库服务器、Web服务器、证书服务器、防火墙、远程访问服务器、打印服务器等。
3)独立服务器:独立服务器和域没有什么关系,如果服务器不加入域中也不安装活动目录,就称为独立服务器。独立服务器可以创建工作组,和网络上的其他计算机共享资源,但不能获得活动目录提供的任何服务。
4)域中的客户端:域中的计算机还可以是安装了Windows XP/Vista/7/10等其他操作系统的计算机,用户利用这些计算机和域中的账户,就可以登录到域,成为域中的客户端。域用户通过域的安全验证后,即可访问网络中的各种资源,
服务器的类型可以改变,例如服务器在删除活动目录后,如果是域中最后一个域控制器,则使该服务器成为独立服务器,如果不是域中唯一的域控制器,则将使该服务器成为成员服务器。同时独立服务器既可以转换为域控制器,也可以加入某个域成为成员服务器。