1、域服务器的作用
域名是Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。域名是由一串用点分隔的名字组成的,通常包含组织名,而且始终包括两到三个字母的后缀,以指明组织的类型或该域所在的国家或地区。
(1)ad服务器作用扩展资料:
域名类型:
一是国际域名(international top-level domain-names,简称iTDs),也叫国际顶级域名。这也是使用最早也最广泛的域名。例如表示工商企业的 .com .top,表示网络提供商的.net,表示非盈利组织的.org等。
二是国内域名,又称为国内顶级域名(national top-level domainnames,简称nTLDs),即按照国家的不同分配不同后缀,这些域名即为该国的国内顶级域名。200多个国家和地区都按照ISO3166国家代码分配了顶级域名,例如中国是cn,美国是us,日本是jp等。
缺点:
缺点是上网接入商ISP的缓存会存储一段时间,只在需要的时候才更新,而更新的频率没有什么标准。有的ISP可能1小时更新一次,有的可能长达一两天才更新一次。
所以新注册的域名一般来说解析反倒比较快。因为所有的ISP都没有缓存,用户访问时ISP都是要查询域名数据库,得到最新的DNS数据。
而老域名如果更改了DNS记录,但世界各地的ISP缓存数据却并不是立即更新的。这样不同ISP下的不同用户,有的可以比较快的获取新的DNS记录,有的就要等ISP缓存的下一次更新。
2、AD域控主要作用是什么,好处有哪些
一.域的作用:如果企业网络中计算机和用户数量较多时,要实现高效管理,就需要windows域。 创建域 。
二.域控安装:要建立域进行管理,首先需安装域控制器(dc),dc上存储着域中的信息资源,如名称、位置和特性描述等信息。通过在一台服务器上安装活动目录(AD),就会将这台计算机安装成dc。
安装条件:
1.安装者必须具有本地管理员的权限。
2.操作系统版本必须满足条件(Windows server2003除web以外的所有都满足)。 3.本地磁盘必须有一个NTFS文件系统
4.有TCP/IP设置
5.有相应的DNS服务器支持
6.有足够的可用空间
三.安装活动目录(AD)
1.打开ad开始--运行输入dcpromo
2.是否创建新域。dc有两种新域的域控和现有域的额外域控制器。一般选择新域的域控。
3.新域的DNS全名。如ruirui.com.cn
4.新域的NetBIOS名。下一步
5.数据库和日志文件夹。为了优化性能,可以将数据库和日志放在不同的硬盘上。该文件夹不一定在NTFS分区。如果本计算机是域的第一台域控,则sam数据库就会升级到C:\windows\ntds\ntds.dit,本地用户账户变成域用户账户。
6.共享的系统卷。共享系统卷SYSVOL文件夹存放的位置必须是NTFS文件系统。 7.DNS注册诊断。AD需要DNFS服务支持。
8.域兼容性。如果网络中不存在Windows server 2003 以前版本的域控制器,就选第二项。如果存在选第一项。
9.还原模式密码。目录服务还原模式的管理员密码,是在目录服务还原模式下登录系统时使用。由于目录服务还原模式下,所有的域账户用户都不能使用,只有使用这个还原模式管理员账户登录。
10.安装完成后需重启计算机。
前面讲解了怎样创建windows域,现在完善一下,讲解怎样将计算机加入域。 在安装完AD后,需要将其它的服务器和客户计算机加入到域中。一般情况下,在从客户计算机加入域时,会在域中自动创建计算机账号。不过,用户必须在本地客户计算机上拥有管理权限才能将其加入到域中。
在加入域之前,首先检查客户机的网络配置:
1.确保网络上物理连通
2.设置IP地址
3.检查客户机到服务器是否连通 4.配置客户机的首选DNS服务器(通常为第一台DC的IP) 在客户端计算机系统属性中的“计算机名”选项卡里,单击更改按钮可以打开计算机加入域的对话框,选中域后,输入正确的域名,然后再根据提示输入具有加入域权限的用户名和密码即可。 这样就OK了!将客户机加入域,就可以在客户机上,使用域账户加入到域,也可以使用客户机的本地用户账户登录到域。 前面一直提到DNS,下面讲解DNS在域中的作用。
DNS在域中有两个作用: 域名的命名采用DNS的标准、定位DC。
1、域名的命名采用DNS标准。公司要创建第一个域,域名为ruirui.com.cn。上海分公司要成为子域,域名为sh.ruirui.com.cn。这些都遵循DNS分布式、等级结构的标准。这体现了办公网络与Internet集成的理念。
2、客户机如何定位DC。当域用户账户登陆时或者查找活动目录时,首先要定位DC,这需要DNS服务器支持,
主要步骤: 1)客户机发送DNS查询请求给DNS服务器。
2)DNS服务器查询匹配的SRV资源记录。
3)DNS服务器返回相关DC的ip地址列表给客户机。
4)客户机联系到DC
5)DC响应客户机的请求 DNS在活动目录中为什么能起到定位DC的作用
。 主要靠域的DNS区域中的SPV资源记录。开始--程序--管理工具--DNS,打开DNS管理器,就是SRV资源记录。
3、AD服务器的特点
* 与DNS(域名服务器)紧密结合:Windows2000中的活动目录和DNS紧密结合在一起,这利于在TCP/IP网络中计算机之间的相互识别和通讯。
* 灵活的查询功能:管理员或用户可以使用开始菜单中的查找命令,桌面上的我的网络位置图标,或活动目录用户和计算机插件查找网络上任何一个对象以及其属性。例如,你可以用姓名,电子邮件,办公地点,或其它用户帐号的属性来查找一个用户。
* 可扩展性:Windows2000的活动目录具有很强的可扩展性,管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如,你可以给每一个用户对象增加一个购物授权属性,然后存储每一个用户购买权限作为用户帐号的一部分。
* 以策略为基础的管理:组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录,域,或组织单元的组策略对象(GPOs)中。GPOs设置决定目录对象和域资源的进入权,什么样的域资源可以被用户使用,以及这些域资源怎样使用等。
* 可升级性:活动目录中含有一个或多个域,每一个域又有多个域控制器,使你能够升级目录来满足任何网络要求。多个域可以合并为一个域树,多个域树可以合并为一个森林。在最简单的结构中,一个单域网络既是一个域树,同时又是一个森林。
* 信息的可复制性:活动目录采用多控制复制,这样可以使你在任何域控制器上更新目录。在一个域中使用多域控制器可以提供错误容差和负载平衡。如果单域中的一个域控制器变慢、停止,或出现错误时,同一个域中的其它域控制器可以提供必要的目录进入,因为它们含有同样的目录数据。
* 信息的安全性:用户授权管理和目录进入控制已经整合在活动目录当中了,而它们都是Windows2000操作系统的关键安全措施。
* 可互用性:因为活动目录是以标准目录进入协议为基础的,因此它可以与使用这些协议的的其它目录服务相互操作。许多应用程序界面(API)都允许开发者进入这些协议,例如活动目录服务界面(ADSI)。
4、DC服务器和AD服务器有什么不同?
AD很多年没有关心过了。
DC大致相当于控制中心,AD则是提供的服务。由于AD的吞吐量较大,会单独设立AD服务器,受DC协调控制。
可参考MCSE的AD课程
5、搭建两台AD服务器作用
如果一台域宕机,另外一台正常运转,能保证域用户登录。
6、举例说明AD域服务器的意义500字
采用活动目录管理网络的意义在于:加强网络管理、统一身份认证、增强安全性、组织间的相互身份认证。
1 加强网络管理
在没有使用域模式管理的网络中,通常采用工作组模式。这种模式下,网络中的各台终端地位是平等的,没有一个统一的网络管理的
角色。网络管理员无法对网络内的用户及用户使用的计算机进行管理。域模式的应用使网络从“自由市场”变成了“商场”,域控制器就是“商场”的管理员。域控制器知道网络中所有资源的信息,并且将他们组织起来。通过组策略可以对网络中的计算机进行设置,例如可以统一设置IE选项、在开机和关机时自动运行脚本、远程安装软件等。域让网络管理员有了管理网络的手段。
2 统一身份认证
企业一般有很多的信息系统,例如,协同办公系统、财务系统、人力资源系统、项目管理系统等等。每个信息系统都要维护一套用户信息、实现一套身份认证程序,根据用户的权限对其开放相应的资源。对用户来说,要记住每个系统的账号和口令,复杂还容易遗忘。对信息系统管理员来说,维护多套系统的用户信息带来了大量枯燥无味的工作。
域管理解决了这一问题,通过域和各信息系统的集成,系统的人员信息由域统一提供。在域中新增用户,即可同步到各信息系统。身份认证的工作也由域来完成,用户通过了域认证即可访问其授权的网络资源,访问各信息系统时不必再输入账号和口令,实现单点登录。解决了记忆多套系统账号和口令的问题。
3 增强安全性
这是域的统一认证功能带来的附加优势。各应用系统厂商实现的身份认证模块安全性良莠不齐,可能存在各种安全漏洞。域的身份认证支持kerberos协议、X.509、智能卡认证等多种身份认证方式。主
要的认证方式是kerberos协议,该协议采用了公钥密码和对称密钥结合的技术,保障了身份认证的安全性。
4 组织间的身份认证
随着信息化的发展,组织之间需要交互的系统越来越多。比如企业的采购系统,定期在上面发布招标信息,各供应商登录系统进行投标。这就需要给供应商开设账户。但怎样认证某个人是该供应商公司的员工可能是各复杂的问题。而且当这个人离职之后,怎样通知采购系统管理员及时删除该账户,避免恶意登录呢?
AD支持联合身份认证来解决这个难题。例如,甲乙两家公司都采用了域管理,甲公司的员工需要登录乙公司的信息系统。通过活动目录联合身份认证服务,甲公司的AD为需要登录乙公司系统的用户发布一个声明(可以理解成其身份证),该用户将声明交给乙公司的AD进行验证,验证通过后自动登录系统。当然这些过程不是用户手工完成的,而是由系统自动实现的。
总之,活动目录(AD)是网络管理和核心和基石,随着技术的不断进步,其功能也会更加强大。
7、AD域的好处和以后能实现的功能越全越好~!谢谢~!
域英文叫DOMAIN
域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。
域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。
域:域是一种管理边界,用于一组计算机共享共用的安全数据库,域实际上就是一组服务器和工作站的集合。
域在文件系统中,有时也称做“字段”,是指数据中不可再分的基本单元。一个域包含一个值。如学生的名字等。可以通过数据类型(如二进制、字符、字符串等)和长度(占用的字节数)两个属性对其进行描述。
域与工作组的关系
其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。
工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。为什么是这样的呢?因为在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码保护的。可是大家要问了,我没有输入过什么密码啊,是的,你确实没有输入,计算机帐户的密码不叫密码,在域中称为登录票据,它是由2000的DC(域控制器)上的KDC服务来颁发和维护的。为了保证系统的安全,KDC服务每30天会自动更新一次所有的票据,并把上次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据,其有效时间是60天,60天后,上次使用的票据就会被系统丢弃。如果你的GHOST备份里带有的票据是60天的,那么该计算机将不能被KDC服务验证,从而系统将禁止在这个计算机上的任何访问请求(包括登录),解决的方法呢,简单的方法使将计算机脱离域并重新加入,KDC服务会重新设置这一票据。或者使用2000资源包里的NETDOM命令强制重新设置安全票据。因此在有域的环境下,请尽量不要在计算机加入域后使用GHOST备份系统分区,如果作了,请在恢复时确认备份是在60天内作的,如果超出,就最好联系你的系统管理员,你可以需要管理员重新设置计算机安全票据,否则你将不能登录域环境。
域控制器
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。集中统一,便于管理。
网络用语
Domain:网络用语
Internet地址的主要子部分,位于最后一个圆点之后。在美国标准的域如下所示:
域 意义
.com Commercial(商业组织)
.e Ecational(教育机构)
.gov Government(政府部门)
.mil Military(军事部门)
.org Non-Profit organization(非盈利组织)
.net Network(主要网络支持中心)
在美国之外,最高层域通常是国家域,例如.cn 代表中国(china)等等。
Matlab 中的语言“域”
8、AD服务器是什么
Windows2000一个最大的创新之处就是引入了 Directory(活动目录),活动目录在网络的组织和管理方面起到了巨大的作用,如果你想最大限度的发挥Windows2000的作用的话,必需理解什么是活动目录。下面我就简要介绍一下活动目录,希望对大家学习Windows2000有所帮助。
在计算机网络术语中,目录代表存储网络上对象信息的一种层次结构。网络上的对象包括共享资源(例如服务器、打印机、网络用户以及计算机帐号等)、域、应用程序、服务、安全方针等等的你的网络中的一切事物。一个最典型的例子就是一个网络目录存储一个用户帐号时,它存储了用户的姓名、密码、电子邮件地址、电话号码等等。
目录服务区别于目录的地方在于,目录服务能够把目录中存储的信息提供给管理员,用户,网络服务或应用程序。理想情况下,目录服务使网络的物理拓扑结构和协议对用户来说是透明的,用户可以进入任何资源而不用知道它们之间是怎样以及在哪里连接的。如上面提到的那个例子,正是目录服务才使得同一网络中的其它授权用户能够了解到该用户目录中存储的信息(如电子邮件地址)。
目录服务具有广泛的接受力,可以与操作系统结合,也可以与应用程序结合。Windows2000成功的把目录服务与操作系统结合在一起,生成了活动目录,它提供了对用户,计算机和共享资源的管理。就象Microsoft Exchange的email目录服务,它使用户能够查找其它用户的电子邮件地址以便于发送电子邮件。
活动目录,Windows2000服务器版操作系统的一种新的目录服务,只能运在域控制器上,它除了能够提供存储信息的场所,提供服务以使信息可用外,还可以保护网络对象不被非授权用户进入,通过网络复制对象以便在域控制器崩溃时数据不会丢失。
Windows2000中的活动目录具有如下特点:
* 与DNS(域名服务器)紧密结合:Windows2000中的活动目录和DNS紧密结合在一起,这利于在TCP/IP网络中计算机之间的相互识别和通讯。
* 灵活的查询功能:管? 或用户可以使用开始菜单中的查找命令,桌面上的我的网络位置图标,或活动目录用户和计算机插件查找网络上任何一个对象以及其属性。例如,你可以用姓,名,电子邮件,办公地点,或其它用户帐号的属性来查找一个用户。
* 可扩展性:Windows2000的活动目录具有很强的可扩展性,管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如,你可以给每一个用户对象增加一个购物授权属性,然后存储每一个用户购买权限作为用户帐号的一部分。
* 以策略为基础的管理:组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录,域,或组织单元的组策略对象(GPOs)中。GPOs设置决定目录对象和域资源的进入权,什么样的域资源可以被用户使用,以及这些域资源怎样使用等。
* 可升级性:活动目录中含有一个或多个域,每一个域又有多个域控制器,使你能够升级目录来满足任何网络要求。多个域可以合并为一个域树,多个域树可以合并为一个森林。在最简单的结构中,一个单域网络既是一个域树,同时又是一个森林。
* 信息的可复制性:活动目录采用多控制复制,这样可以使你在任何域控制器上更新目录。在一个域中使用多域控制器可以提供错误容差和负载平衡。如果单域中的一个域控制器变慢、停止,或出现错误时,同一个域中的其它域控制器可以提供必要的目录进入,因为它们含有同样的目录数据。
* 信息的安全性:用户授权管理和目录进入控制已经整合在活动目录当中了,而它们都是Windows2000操作系统的关键安全措施。活动目录集中控制用户授权,柯冀