本节书摘来自异步社区《Windows Server 2012活动目录管理实践》一书中的第1章,第1.4节,作者: 王淑江 更多章节内容可以访问云栖社区“异步社区”公众号查看。
1.4 常用域概念
域环境中,DNS是基石,网络中的计算机通过DNS定位域控制器。使用域过程中,需要明确了解和区分域、域树、域林、根域的概念。
1.4.1 DNS
TCP/IP网络中,利用“Domain Name System(DNS)”解析主机名称和IP地址,在Windows网络中如果部署AD DS域服务,域控制器需要将自己注册到DNS服务器中,其他计算机可以通过DNS定位域控制器,DNS服务器建议启用动态更新功能,当域控制器的角色出现变动或者客户端计算机的IP地址等网络参数出现更改时,能够自动更新DNS信息。
建议将DNS和AD DS域服务部署在同一台服务器中,Active Directory采用DNS架构,域名也采用DNS格式命名(例如book.com)。在部署第一台域控制器过程中,首先将“首选DNS服务器”设置为域控制器使用的IP地址,安装向导设置过程中,选择安装DNS服务即可。关于Active Directory集成区域DNS的介绍参考第28章内容。
1.4.2 工作组
工作组是一组计算机的集合,工作组中的计算机在网络中的地位平等,每台计算机独自管理,如果工作组内的计算机要互相访问,必须在被访问的计算机上显式设置用户验证方式。工作组架构如图1-1所示。
1.4.3 域
1.域的实质
域(针对Windows网络,本书中指的是Windows Server 2012 AD DS域服务)是一套统一身份验证系统,是企业应用的基础,用身份验证系统完成企业级别的业务系统应用,例如Exchange Server、Forefront Threat Management Gateway、SharePoint Server、File Server、SQL Server、打印机共享等。域内的用户身份验证可以形象地比喻为日常生活中使用的“身份证”。
2.域应用
域是一个有安全边界的集合,同一个域中的计算机彼此之间建立信任关系,计算机之间允许相互访问。
域应用中,难的不是域环境部署而是依赖域环境的应用。例如组策略(Windows Server 2012中提供数千个相关策略),首先确认用户身份,然后组策略根据用户身份(计算机账户或者域用户账户)进行限制。虽然谈到域就谈到组策略,但是组策略属于上层应用,组策略通过用户身份验证和域绑定得比较紧密,大部分企业管理都是通过组策略完成。
单域环境中只使用一个DNS名字空间,例如book.com。域中的所有计算机账户和用户账户都是用同一个域后缀(DNS名称后缀),如图1-2所示。
3.规划域
域的规划本身存在多样性。每个企业都有不同的需求。
考虑到集团下的各个公司一般都是独立运行管理,集团多公司使用单林多域。
中型企业交叉业务比较多,一般情况是一个总部+多个分公司。建议使用父子域或者集中地管理一个域,然后划分站点。
小型企业使用单域。
域规划没有绝对的错与对,主要方便企业方便灵活地进行管理即可。所以公司管理架构不同,或者管理理念的不同都会造成考虑规划时的思路不同。
微软建议使用单域多站点模式,可以适应大部分企业需求。注意,域的规划只是一个平台、一个基础,更重要的是前期规划要方便后期应用,能够支撑更多的服务,例如Exchange Server、SharePoint Server、SQLServer、CRM等。
根据个人实践经验,如果没有特殊需求,域规划越简单越好,能用单域多站点解决的应用尽量不使用父子域,能用父子域解决的应用尽量不使用单林多域环境。本书中的域环境注重单林单域多站点。
1.4.4 根域
网络中创建第一个域就是根域,一个域林中只能有一个根域,根域在整个域林中处于重要地位,对其他域具备最高管理权限。通过“Get-ADForest”命令,验证根域所在的服务器,通常架构主机角色和域命名主机角色所在的域控制器,如图1-3所示。
1.4.5 域树
域树由多个域组成,这些域共享同一存储结构和配置,形成一个连续的名字空间(相同的DNS后缀)。树中的域通过信任关系连接,林包含一个或多个域树。域树中的域层次越深级别越低,一个“.”代表一个层次,如域bj.book.com 比book.com这个域级别低,因为它有两个层次关系,而book.com只有一个层次,而域hdq.bj.book.com又比bj.book.com级别低,道理一样,它们都属于同一个域树,bj.book.com就属于book.com的子域。父子域之间的关系是双向信任关系,如图1-4所示。
1.4.6 域林
创建根域时默认建立一个域林,同时也是整个林的根域,同时其域名也是林的名称。例如book.com是网络中第一个域的根域,也是整个林的根域,林的名称就是book.com。通过PowerShell命令“Get-ADForest”查看林的相关参数,如图1-5所示。
域树必须建立在域林下,一个域林可以有多棵域树。已经存在的域不能加入一棵树中,也不能将一个已经存在的域树加入到一个域林中,如果一定要把一个域加入到一棵域树中,或者要把一个域树加入到一个域林中,唯一可行的方法就是从零开始建立新域。
企业已经拥有不同的域、域树、域林,希望同现有的域、域树、域林一起管理,最好的方法是使用Active Directory创建双向信任关系。如果在域、域树、域林之间建立具有可传递的双向信任关系,就可以创建Active Directory结构。
1.4.7 如何区别域林和域树
域林和域树区别如下。
- 域林是由一个或多个没有形成连续名字空间(非相同的DNS后缀)的域树组成,与域树最明显的区别在于构成域林的域树之间没有形成连续的名字空间,而域树则是由一些具有连续名字空间的域所组成的。域林中的所有域树仍共享同一个存储结构、配置和全局目录,所有域树通过Kerberos信任关系建立,所以每个域树都知道Kerberos信任关系,不同域树可以交叉引用其他域树中的对象。域林都有根域,即域林中创建的第一个域,域林中所有域树的根域与域林的根域建立可传递的信任关系。
- 域树由多个域组成,这些域共享同一存储结构和配置,形成一个连续的名字空间(相同的DNS后缀)。树中的域通过信任关系连接,林中包含一个或多个域树。域树中的域通过双向可传递信任关系连接在一起,因此在域树或域林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。这些信任关系允许单一的登录过程,在域树或树林中的所有域上对用户进行身份验证,但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限,所以必须在每个域的基础上为用户指派相应的权利和权限。
