1、域伺服器的作用
域名是Internet上某一台計算機或計算機組的名稱,用於在數據傳輸時標識計算機的電子方位(有時也指地理位置)。域名是由一串用點分隔的名字組成的,通常包含組織名,而且始終包括兩到三個字母的後綴,以指明組織的類型或該域所在的國家或地區。
(1)ad伺服器作用擴展資料:
域名類型:
一是國際域名(international top-level domain-names,簡稱iTDs),也叫國際頂級域名。這也是使用最早也最廣泛的域名。例如表示工商企業的 .com .top,表示網路提供商的.net,表示非盈利組織的.org等。
二是國內域名,又稱為國內頂級域名(national top-level domainnames,簡稱nTLDs),即按照國家的不同分配不同後綴,這些域名即為該國的國內頂級域名。200多個國家和地區都按照ISO3166國家代碼分配了頂級域名,例如中國是cn,美國是us,日本是jp等。
缺點:
缺點是上網接入商ISP的緩存會存儲一段時間,只在需要的時候才更新,而更新的頻率沒有什麼標准。有的ISP可能1小時更新一次,有的可能長達一兩天才更新一次。
所以新注冊的域名一般來說解析反倒比較快。因為所有的ISP都沒有緩存,用戶訪問時ISP都是要查詢域名資料庫,得到最新的DNS數據。
而老域名如果更改了DNS記錄,但世界各地的ISP緩存數據卻並不是立即更新的。這樣不同ISP下的不同用戶,有的可以比較快的獲取新的DNS記錄,有的就要等ISP緩存的下一次更新。
2、AD域控主要作用是什麼,好處有哪些
一.域的作用:如果企業網路中計算機和用戶數量較多時,要實現高效管理,就需要windows域。 創建域 。
二.域控安裝:要建立域進行管理,首先需安裝域控制器(dc),dc上存儲著域中的信息資源,如名稱、位置和特性描述等信息。通過在一台伺服器上安裝活動目錄(AD),就會將這台計算機安裝成dc。
安裝條件:
1.安裝者必須具有本地管理員的許可權。
2.操作系統版本必須滿足條件(Windows server2003除web以外的所有都滿足)。 3.本地磁碟必須有一個NTFS文件系統
4.有TCP/IP設置
5.有相應的DNS伺服器支持
6.有足夠的可用空間
三.安裝活動目錄(AD)
1.打開ad開始--運行輸入dcpromo
2.是否創建新域。dc有兩種新域的域控和現有域的額外域控制器。一般選擇新域的域控。
3.新域的DNS全名。如ruirui.com.cn
4.新域的NetBIOS名。下一步
5.資料庫和日誌文件夾。為了優化性能,可以將資料庫和日誌放在不同的硬碟上。該文件夾不一定在NTFS分區。如果本計算機是域的第一台域控,則sam資料庫就會升級到C:\windows\ntds\ntds.dit,本地用戶賬戶變成域用戶賬戶。
6.共享的系統卷。共享系統卷SYSVOL文件夾存放的位置必須是NTFS文件系統。 7.DNS注冊診斷。AD需要DNFS服務支持。
8.域兼容性。如果網路中不存在Windows server 2003 以前版本的域控制器,就選第二項。如果存在選第一項。
9.還原模式密碼。目錄服務還原模式的管理員密碼,是在目錄服務還原模式下登錄系統時使用。由於目錄服務還原模式下,所有的域賬戶用戶都不能使用,只有使用這個還原模式管理員賬戶登錄。
10.安裝完成後需重啟計算機。
前面講解了怎樣創建windows域,現在完善一下,講解怎樣將計算機加入域。 在安裝完AD後,需要將其它的伺服器和客戶計算機加入到域中。一般情況下,在從客戶計算機加入域時,會在域中自動創建計算機賬號。不過,用戶必須在本地客戶計算機上擁有管理許可權才能將其加入到域中。
在加入域之前,首先檢查客戶機的網路配置:
1.確保網路上物理連通
2.設置IP地址
3.檢查客戶機到伺服器是否連通 4.配置客戶機的首選DNS伺服器(通常為第一台DC的IP) 在客戶端計算機系統屬性中的「計算機名」選項卡里,單擊更改按鈕可以打開計算機加入域的對話框,選中域後,輸入正確的域名,然後再根據提示輸入具有加入域許可權的用戶名和密碼即可。 這樣就OK了!將客戶機加入域,就可以在客戶機上,使用域賬戶加入到域,也可以使用客戶機的本地用戶賬戶登錄到域。 前面一直提到DNS,下面講解DNS在域中的作用。
DNS在域中有兩個作用: 域名的命名採用DNS的標准、定位DC。
1、域名的命名採用DNS標准。公司要創建第一個域,域名為ruirui.com.cn。上海分公司要成為子域,域名為sh.ruirui.com.cn。這些都遵循DNS分布式、等級結構的標准。這體現了辦公網路與Internet集成的理念。
2、客戶機如何定位DC。當域用戶賬戶登陸時或者查找活動目錄時,首先要定位DC,這需要DNS伺服器支持,
主要步驟: 1)客戶機發送DNS查詢請求給DNS伺服器。
2)DNS伺服器查詢匹配的SRV資源記錄。
3)DNS伺服器返回相關DC的ip地址列表給客戶機。
4)客戶機聯繫到DC
5)DC響應客戶機的請求 DNS在活動目錄中為什麼能起到定位DC的作用
。 主要靠域的DNS區域中的SPV資源記錄。開始--程序--管理工具--DNS,打開DNS管理器,就是SRV資源記錄。
3、AD伺服器的特點
* 與DNS(域名伺服器)緊密結合:Windows2000中的活動目錄和DNS緊密結合在一起,這利於在TCP/IP網路中計算機之間的相互識別和通訊。
* 靈活的查詢功能:管理員或用戶可以使用開始菜單中的查找命令,桌面上的我的網路位置圖標,或活動目錄用戶和計算機插件查找網路上任何一個對象以及其屬性。例如,你可以用姓名,電子郵件,辦公地點,或其它用戶帳號的屬性來查找一個用戶。
* 可擴展性:Windows2000的活動目錄具有很強的可擴展性,管理員可以在計劃中增加新的對象類,或者給現有的對象類增加新的屬性。計劃包括可以存儲在目錄中的每一個對象類的定義和對象類的屬性。例如,你可以給每一個用戶對象增加一個購物授權屬性,然後存儲每一個用戶購買許可權作為用戶帳號的一部分。
* 以策略為基礎的管理:組策略是用戶或計算機初始化時用到的配置設置。所有的組策略設置都包含在應用到活動目錄,域,或組織單元的組策略對象(GPOs)中。GPOs設置決定目錄對象和域資源的進入權,什麼樣的域資源可以被用戶使用,以及這些域資源怎樣使用等。
* 可升級性:活動目錄中含有一個或多個域,每一個域又有多個域控制器,使你能夠升級目錄來滿足任何網路要求。多個域可以合並為一個域樹,多個域樹可以合並為一個森林。在最簡單的結構中,一個單域網路既是一個域樹,同時又是一個森林。
* 信息的可復制性:活動目錄採用多控制復制,這樣可以使你在任何域控制器上更新目錄。在一個域中使用多域控制器可以提供錯誤容差和負載平衡。如果單域中的一個域控制器變慢、停止,或出現錯誤時,同一個域中的其它域控制器可以提供必要的目錄進入,因為它們含有同樣的目錄數據。
* 信息的安全性:用戶授權管理和目錄進入控制已經整合在活動目錄當中了,而它們都是Windows2000操作系統的關鍵安全措施。
* 可互用性:因為活動目錄是以標准目錄進入協議為基礎的,因此它可以與使用這些協議的的其它目錄服務相互操作。許多應用程序界面(API)都允許開發者進入這些協議,例如活動目錄服務界面(ADSI)。
4、DC伺服器和AD伺服器有什麼不同?
AD很多年沒有關心過了。
DC大致相當於控制中心,AD則是提供的服務。由於AD的吞吐量較大,會單獨設立AD伺服器,受DC協調控制。
可參考MCSE的AD課程
5、搭建兩台AD伺服器作用
如果一台域宕機,另外一台正常運轉,能保證域用戶登錄。
6、舉例說明AD域伺服器的意義500字
採用活動目錄管理網路的意義在於:加強網路管理、統一身份認證、增強安全性、組織間的相互身份認證。
1 加強網路管理
在沒有使用域模式管理的網路中,通常採用工作組模式。這種模式下,網路中的各台終端地位是平等的,沒有一個統一的網路管理的
角色。網路管理員無法對網路內的用戶及用戶使用的計算機進行管理。域模式的應用使網路從「自由市場」變成了「商場」,域控制器就是「商場」的管理員。域控制器知道網路中所有資源的信息,並且將他們組織起來。通過組策略可以對網路中的計算機進行設置,例如可以統一設置IE選項、在開機和關機時自動運行腳本、遠程安裝軟體等。域讓網路管理員有了管理網路的手段。
2 統一身份認證
企業一般有很多的信息系統,例如,協同辦公系統、財務系統、人力資源系統、項目管理系統等等。每個信息系統都要維護一套用戶信息、實現一套身份認證程序,根據用戶的許可權對其開放相應的資源。對用戶來說,要記住每個系統的賬號和口令,復雜還容易遺忘。對信息系統管理員來說,維護多套系統的用戶信息帶來了大量枯燥無味的工作。
域管理解決了這一問題,通過域和各信息系統的集成,系統的人員信息由域統一提供。在域中新增用戶,即可同步到各信息系統。身份認證的工作也由域來完成,用戶通過了域認證即可訪問其授權的網路資源,訪問各信息系統時不必再輸入賬號和口令,實現單點登錄。解決了記憶多套系統賬號和口令的問題。
3 增強安全性
這是域的統一認證功能帶來的附加優勢。各應用系統廠商實現的身份認證模塊安全性良莠不齊,可能存在各種安全漏洞。域的身份認證支持kerberos協議、X.509、智能卡認證等多種身份認證方式。主
要的認證方式是kerberos協議,該協議採用了公鑰密碼和對稱密鑰結合的技術,保障了身份認證的安全性。
4 組織間的身份認證
隨著信息化的發展,組織之間需要交互的系統越來越多。比如企業的采購系統,定期在上面發布招標信息,各供應商登錄系統進行投標。這就需要給供應商開設賬戶。但怎樣認證某個人是該供應商公司的員工可能是各復雜的問題。而且當這個人離職之後,怎樣通知采購系統管理員及時刪除該賬戶,避免惡意登錄呢?
AD支持聯合身份認證來解決這個難題。例如,甲乙兩家公司都採用了域管理,甲公司的員工需要登錄乙公司的信息系統。通過活動目錄聯合身份認證服務,甲公司的AD為需要登錄乙公司系統的用戶發布一個聲明(可以理解成其身份證),該用戶將聲明交給乙公司的AD進行驗證,驗證通過後自動登錄系統。當然這些過程不是用戶手工完成的,而是由系統自動實現的。
總之,活動目錄(AD)是網路管理和核心和基石,隨著技術的不斷進步,其功能也會更加強大。
7、AD域的好處和以後能實現的功能越全越好~!謝謝~!
域英文叫DOMAIN
域(Domain)是Windows網路中獨立運行的單位,域之間相互訪問則需要建立信任關系(即Trust Relation)。信任關系是連接在域與域之間的橋梁。當一個域與其他域建立了信任關系後,2個域之間不但可以按需要相互進行管理,還可以跨網分配文件和列印機等設備資源,使不同的域之間實現網路資源的共享與管理。
域既是 Windows 網路操作系統的邏輯組織單元,也是Internet的邏輯組織單元,在 Windows 網路操作系統中,域是安全邊界。域管理員只能管理域的內部,除非其他的域顯式地賦予他管理許可權,他才能夠訪問或者管理其他的域;每個域都有自己的安全策略,以及它與其他域的安全信任關系。
域:域是一種管理邊界,用於一組計算機共享共用的安全資料庫,域實際上就是一組伺服器和工作站的集合。
域在文件系統中,有時也稱做「欄位」,是指數據中不可再分的基本單元。一個域包含一個值。如學生的名字等。可以通過數據類型(如二進制、字元、字元串等)和長度(佔用的位元組數)兩個屬性對其進行描述。
域與工作組的關系
其實上我們可以把域和工作組聯系起來理解,在工作組上你一切的設置在本機上進行包括各種策略,用戶登錄也是登錄在本機的,密碼是放在本機的資料庫來驗證的。而如果你的計算機加入域的話,各種策略是域控制器統一設定,用戶名和密碼也是放到域控制器去驗證,也就是說你的賬號密碼可以在同一域的任何一台計算機登錄。
如果說工作組是「免費的旅店」那麼域(Domain)就是「星級的賓館」;工作組可以隨便出出進進,而域則需要嚴格控制。「域」的真正含義指的是伺服器控制網路上的計算機能否加入的計算機組合。一提到組合,勢必需要嚴格的控制。所以實行嚴格的管理對網路安全是非常必要的。在對等網模式下,任何一台電腦只要接入網路,其他機器就都可以訪問共享資源,如共享上網等。盡管對等網路上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows 9x構成的對等網中,數據的傳輸是非常不安全的。
工作組是一群計算機的集合,它僅僅是一個邏輯的集合,各自計算機還是各自管理的,你要訪問其中的計算機,還是要到被訪問計算機上來實現用戶驗證的。而域不同,域是一個有安全邊界的計算機集合,在同一個域中的計算機彼此之間已經建立了信任關系,在域內訪問其他機器,不再需要被訪問機器的許可了。為什麼是這樣的呢?因為在加入域的時候,管理員為每個計算機在域中(可和用戶不在同一域中)建立了一個計算機帳戶,這個帳戶和用戶帳戶一樣,也有密碼保護的。可是大家要問了,我沒有輸入過什麼密碼啊,是的,你確實沒有輸入,計算機帳戶的密碼不叫密碼,在域中稱為登錄票據,它是由2000的DC(域控制器)上的KDC服務來頒發和維護的。為了保證系統的安全,KDC服務每30天會自動更新一次所有的票據,並把上次使用的票據記錄下來。周而復始。也就是說伺服器始終保存著2個票據,其有效時間是60天,60天後,上次使用的票據就會被系統丟棄。如果你的GHOST備份里帶有的票據是60天的,那麼該計算機將不能被KDC服務驗證,從而系統將禁止在這個計算機上的任何訪問請求(包括登錄),解決的方法呢,簡單的方法使將計算機脫離域並重新加入,KDC服務會重新設置這一票據。或者使用2000資源包里的NETDOM命令強制重新設置安全票據。因此在有域的環境下,請盡量不要在計算機加入域後使用GHOST備份系統分區,如果作了,請在恢復時確認備份是在60天內作的,如果超出,就最好聯系你的系統管理員,你可以需要管理員重新設置計算機安全票據,否則你將不能登錄域環境。
域控制器
不過在「域」模式下,至少有一台伺服器負責每一台聯入網路的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱為「域控制器(Domain Controller,簡寫為DC)」。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的資料庫。當電腦聯入網路時,域控制器首先要鑒別這台電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那麼域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄,用戶就不能訪問伺服器上有許可權保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網路上的資源。
要把一台電腦加入域,僅僅使它和伺服器在網上鄰居中能夠相互「看」到是遠遠不夠的,必須要由網路管理員進行相應的設置,把這台電腦加入到域中。這樣才能實現文件的共享。集中統一,便於管理。
網路用語
Domain:網路用語
Internet地址的主要子部分,位於最後一個圓點之後。在美國標準的域如下所示:
域 意義
.com Commercial(商業組織)
.e Ecational(教育機構)
.gov Government(政府部門)
.mil Military(軍事部門)
.org Non-Profit organization(非盈利組織)
.net Network(主要網路支持中心)
在美國之外,最高層域通常是國家域,例如.cn 代表中國(china)等等。
Matlab 中的語言「域」
8、AD伺服器是什麼
Windows2000一個最大的創新之處就是引入了 Directory(活動目錄),活動目錄在網路的組織和管理方面起到了巨大的作用,如果你想最大限度的發揮Windows2000的作用的話,必需理解什麼是活動目錄。下面我就簡要介紹一下活動目錄,希望對大家學習Windows2000有所幫助。
在計算機網路術語中,目錄代表存儲網路上對象信息的一種層次結構。網路上的對象包括共享資源(例如伺服器、列印機、網路用戶以及計算機帳號等)、域、應用程序、服務、安全方針等等的你的網路中的一切事物。一個最典型的例子就是一個網路目錄存儲一個用戶帳號時,它存儲了用戶的姓名、密碼、電子郵件地址、電話號碼等等。
目錄服務區別於目錄的地方在於,目錄服務能夠把目錄中存儲的信息提供給管理員,用戶,網路服務或應用程序。理想情況下,目錄服務使網路的物理拓撲結構和協議對用戶來說是透明的,用戶可以進入任何資源而不用知道它們之間是怎樣以及在哪裡連接的。如上面提到的那個例子,正是目錄服務才使得同一網路中的其它授權用戶能夠了解到該用戶目錄中存儲的信息(如電子郵件地址)。
目錄服務具有廣泛的接受力,可以與操作系統結合,也可以與應用程序結合。Windows2000成功的把目錄服務與操作系統結合在一起,生成了活動目錄,它提供了對用戶,計算機和共享資源的管理。就象Microsoft Exchange的email目錄服務,它使用戶能夠查找其它用戶的電子郵件地址以便於發送電子郵件。
活動目錄,Windows2000伺服器版操作系統的一種新的目錄服務,只能運在域控制器上,它除了能夠提供存儲信息的場所,提供服務以使信息可用外,還可以保護網路對象不被非授權用戶進入,通過網路復制對象以便在域控制器崩潰時數據不會丟失。
Windows2000中的活動目錄具有如下特點:
* 與DNS(域名伺服器)緊密結合:Windows2000中的活動目錄和DNS緊密結合在一起,這利於在TCP/IP網路中計算機之間的相互識別和通訊。
* 靈活的查詢功能:管? 或用戶可以使用開始菜單中的查找命令,桌面上的我的網路位置圖標,或活動目錄用戶和計算機插件查找網路上任何一個對象以及其屬性。例如,你可以用姓,名,電子郵件,辦公地點,或其它用戶帳號的屬性來查找一個用戶。
* 可擴展性:Windows2000的活動目錄具有很強的可擴展性,管理員可以在計劃中增加新的對象類,或者給現有的對象類增加新的屬性。計劃包括可以存儲在目錄中的每一個對象類的定義和對象類的屬性。例如,你可以給每一個用戶對象增加一個購物授權屬性,然後存儲每一個用戶購買許可權作為用戶帳號的一部分。
* 以策略為基礎的管理:組策略是用戶或計算機初始化時用到的配置設置。所有的組策略設置都包含在應用到活動目錄,域,或組織單元的組策略對象(GPOs)中。GPOs設置決定目錄對象和域資源的進入權,什麼樣的域資源可以被用戶使用,以及這些域資源怎樣使用等。
* 可升級性:活動目錄中含有一個或多個域,每一個域又有多個域控制器,使你能夠升級目錄來滿足任何網路要求。多個域可以合並為一個域樹,多個域樹可以合並為一個森林。在最簡單的結構中,一個單域網路既是一個域樹,同時又是一個森林。
* 信息的可復制性:活動目錄採用多控制復制,這樣可以使你在任何域控制器上更新目錄。在一個域中使用多域控制器可以提供錯誤容差和負載平衡。如果單域中的一個域控制器變慢、停止,或出現錯誤時,同一個域中的其它域控制器可以提供必要的目錄進入,因為它們含有同樣的目錄數據。
* 信息的安全性:用戶授權管理和目錄進入控制已經整合在活動目錄當中了,而它們都是Windows2000操作系統的關鍵安全措施。活動目錄集中控制用戶授權,柯冀