T-REX的空間 :: 痞客邦 PIXNET ::

早在Windows 2000推出Active Directory架構後，就將網域控制站台的角色分成五大類型，並且可以根據實際的規劃需求，將這五種不同用途的角色繫結在企業目錄服務中的任一網域控制站主機上，因此也被稱為彈性單一主機操作（Flexible Single Master Operation，FSMO）角色，以獲得最佳的運作效能。關於這五大角色的名稱與用途分別說明如下：

■架構主機（Schema Master）

架構主機會負責處理針對Active Directory架構設計上的所有更新與修改。在某些時候需要動用到與此角色的連線要求，例如在公司的網路中建置一部Exchange Server，那麼在Exchange Server的安裝程序中便會自動嘗試與架構主機聯繫並且要求更新Schema。一旦架構更新完成之後，就會從架構主機複寫至目錄中的其他DC主機，而其他DC主機上所存放的Schema僅能唯讀檢視，若想新增、修改、刪除以及更新目錄服務中的Schema，則使用者必須是群組成員才行。而且必須留意的是，在整個樹系中只會有一個架構主機角色。

■網域命名主機（Domain Naming Master）

網域命名主機主要負責樹系中新增或刪除網域時的控管，並同時儲存整個目錄樹狀結構的資訊。同樣地，整個樹系中也只會有一個網域命名主機角色。

■RID主機（Relative ID Master）

若要在網域中建立物件時（例如使用者帳戶、群組），便需要藉由這個角色來負責配置所謂的唯一安全識別碼（Security ID，SID），而這個SID便是由兩組資訊組合而成，分別是網域SID以及建立在網域中每一個安全性主體SID的唯一相對ID（RID）所組成。因此如果這個角色發生無法聯繫的問題，建立任何網域物件時就可能出現失敗訊息。這個角色也負責在DC物件移動時，把物件從其來源網域移除，並將物件置於另一個網域中。而在樹系的每個網域中只能有一個網域控制站作為RID主機角色。

■PDC模擬器（PDC emulator）

PDC模擬器會對執行舊版Windows的工作站、成員伺服器和網域控制站通告自己是主要網域控制站，而對於使用者密碼的變更與帳戶的鎖定，也都是由此角色來負責。

至於經常使用的群組原則設定部分，在預設的狀態下，群組原則編輯器也會連線到PDC模擬器主機來同一發佈群組原則物件的設定，如下圖示在群組原則「檢視」選單下的「DC選項」設定即可。此外，它也是網域中負責讓所有電腦校正時間的主機。同樣地，樹系的每個網域中只能有一個網域控制站來當作PDC模擬器角色。

▲群組原則網域控制選項。

(繼續閱讀...)

Posted by trex0002006 at 痞客邦 PIXNET 留言(0) 引用(0) 人氣()

Personal Category:電腦筆記

▲top

Oct 15 Sat 2011 19:50
WINDOWS網域管理

[筆記] 以下文章僅作個人筆記用途，請勿再次轉貼

WINDOWS網域管理

李忠憲 960213第二次增補
李忠憲 940929增補
黃添修 930909原稿

前言

先解釋一下「網域」：Windows 網路中「網域」一詞和 DNS 裡面的「領域」，還有 IP Class 裡面的「網路」，三者因為名詞接近，而常常被等同視之，造成許多誤解和觀念混淆。Windows 網路中的「網域」，是指一群電腦透過一台或多台伺服器進行帳號整合和權限控制的集中管理，其成員電腦是否在同一個 Class C 並不重要，也就是說 windows 網域的涵蓋範圍與 IP Class 的網路範圍並不等價。至於 DNS 中的領域只是用來作 URL 與 IP 的對應，同一個領域裡的電腦，其 IP 並不一定在同一個 Class 中，也不一定要加入同一個 windows 網域。這三種名稱接近的機制，基本上是獨立運作的。

Win200x 雖然源自於 NT，但是由於網域觀念的改變幅度太大，兩種網域並無法融合的很好，如果純以 Win200x 來架構網路，當然更能發揮 Win200x 在網路機制上的嶄新功能。但是考慮企業現有NT應用程式開發與相容性問題，大多企業還是希望採行混合網域的建置。使用混合網域之前，我們先來暸解一下，到底採用純 Win200x 架構有什麼好處？

Active Directory

Win200x 採用 AD 來進行網域管理的工作，其中改革幅度最大的是帳號管理和電腦管理的機制。

帳號管理

過去帳號管理依靠 SAM 資料庫，必須透過所謂「Windows 挑戰與回應」(WCHAR)這種獨門的通訊協定來進行使用者認證，由於這個機制太特殊，微軟又不願公開內容，導致不同平台之間的整合有困難，並且也使得WinNT無法支援其它的網路設備的認證。同時由於 WCHAR 採用 DES（修改過的 MD4）來進行編密，密碼可以透過解碼程式還原，如果和 Linux 上採用的 MD5 編密法來比較，由於 MD5 無法被還原，在安全性上比 winNT 網域還要好。

新的帳號管理是將 SAM 資料庫當後端，以 LDAP 通訊協定當前端提供帳號認證功能，當使用者登入網域時，就使用 Kerberos 通訊協定來傳遞密碼，密碼則改用安全性較高的 MD5 演算法來編密，其結構如下圖：

LDAP 是衍生自 DAP 的輕型通訊協定，以 TCP/IP 來實作，許多比較複雜的資料庫操作並沒有被包含在內，原因就在於 TCP 不適合作重型傳輸，而 UDP 又不適合作資料庫動態交易。無論如何LDAP 拿來作目錄服務、帳號管理是相當合適的。LDAP 的原始精神在於契合 DNS 領域的觀念，希望發展出人類的URL定址，有點像 http://www.tp.edu.tw 是一個站台，而 ldap:///o=Taipei Edu-Network Center,c=tw??sub?(cn=李忠憲) 是一個人，換句話說，LDAP也可以當成人名錄來作查詢（outlook系列已經支援 LDAP 人員搜尋）。

LDAP 的原始設計裡面，分為幾個階層式架構，c 代表地域，o 代表組織，而 o 裡面的物件 person 和 group 分別代表個人和群組，這種設計當然與 Win200x 裡面的AD稍有不同，Win200x 為了管理上的需求，以 dc 階層取代了 c 階層，以 ou 階層取代 o 階層。

dc 階層就是指 win200x 網域的管轄範圍，對跨國企業來說，它已經超越了 c 階層的地域觀念，想像一下台灣的宏碁與美國的宏碁屬於同一個 dc 的情形，要理解 dc 階層的概念並不難。

其實就是因為 LDAP 高彈性的作法，讓 Win200x 的群組管理顯得複雜起來，不過只要把觀念弄清楚，其實也很簡單。關鍵在於 ou 階層是所謂「行政的群組」，而 group 是所謂「權限的群組」，這就好比「業務部」的陳「經理」和「研發部」的王「經理」是好朋友，「業務部」、「研發部」是ou，而「經理」是group。在 LDAP 原始設計中，o(ou) 和 group 是兩種獨立的觀念，但在AD 裡面兩者都可以被賦予原則，有許多人就在這種情形下弄擰了觀念。

使用 LDAP 除了讓帳號管理更具彈性以外，另一個好處是可以使用公開的 LDAP API 來撰寫應用程式，使應用程式與網域使用者能更緊密的結合。由於資料欄位可以自由擴充，企業可以依自己的需要開發出人事管理系統，而該人事資料又自動成為企業內各種網路設備的成員帳號。並且由於 LDAP API 的標準是公開的，因此不管由哪家廠商來開發都可以彼此相容！

電腦管理

電腦管理的問題可以分成兩方面來探討，一是電腦名稱辨識的問題，一是網域成員認證的問題。過去 winNT 的電腦名稱是以 NetBios 名稱來實作，這就造成廣播風暴問題和無法跨越 Router 問題，雖然微軟已經將 NetBios 名稱服務封裝成 TCP/IP 格式的 NetBT，但這只解決了跨越 Router 問題，廣播的問題仍然存在。

微軟後來開發的 WINS 伺服器雖然可以有效降低廣播風暴的發生，但仍然不能徹底解決頻寬被佔用的老問題，造成使用者與網管師相當程度的困擾。在 Win200x 中由於網路機制改採 TCP/IP 來實作，所以這種落伍的名稱服務已然被淘汰（相容前版模式例外），於是 DNS 就成為電腦名稱辨識的不二人選。

在 Win200x 網域內的所有成員電腦，其名稱一律沿襲 DNS 命名法，如果安裝時選擇與舊 Windows 網路相容，那麼就會將 DNS 命名的頭碼當成 NetBios 名稱。DNS 名稱會寫入 SAM 資料庫中保管，以便備份和移轉。

那麼 Win200x 又如何來辨識某電腦是否為網域成員呢？當某台工作站要求加入到網域內作為成員時，會透過 DNS 伺服器中的 SRV 紀錄找到網域主控站，網域主控站會為這台工作站建立一個電腦帳號（在 windows 網域中帳號區分為使用者帳號、電腦帳號和服務帳號三種），並產生 SID，然後由金鑰配發中心（KDC），配發憑證（金鑰），SID 及憑證會儲存於網域成員電腦的系統登錄裡面，像這樣經過網域主控站認證的電腦，我們可以將它稱為「可信任電腦」。

由於過去大家對於網域成員的認證都很忽視，例如 WinNT 也僅只對網域成員進行單向認證，所以常發生安全漏洞被駭客利用。為了改善此問題，在 Win200x 中採用 Kerberos 5 來進行雙向認證，在使用者登入前，伺服器與工作站先交換金鑰，並向 KDC 查驗是否正確，網域主控站可藉此來決定該使用者是否有權登入該主機，如果發現該使用者有登入權限，接著再以 LDAP 向 AD 查驗帳號密碼。安全性相對比起 NT 來的高許多，並且由於 Kerberos 和 LDAP 是 TCP/IP 上面的標準，所有其他平台如Solaris、Linux、FreeBSD......等等都可以透過 Win200x 帳號來進行登入。

與前版網域相容模式

在 Win200x 網域主控站安裝時，如果選擇「與Windows 2000前版網域相容」選項，裝完AD之後，就可以使用「AD網域與信任」管理工具，來建立與舊有 NT 網域之雙向信任，就可以讓擁有 NT 網域帳號的使用者分享 200x 網域的資源。

採用與前版網域相容模式，除了可以整合舊有 NT 網域外，還支援 NBT 通訊協定及 WCHAR 認證方式，讓 win9x 可以直接登入「與前版相容的 Win200x 網域」，但是因為 Win98 缺乏 Kerberos 用戶端程式會被 Win200x 當成未授權使用者，不但無法享有 Win200x 所帶來的各種安全性措施，而且為了讓 Win98 得以存取 200x 網域分享的資源，許多 Win200x 伺服器上的安全原則都必須撤離，這使得 200x 網域只能當成陽春的 NT 網域來使用。

想要升級成原始模式，首先必須衡量以下的條件：

1. 校內已經沒有 win9x 和 winNT 工作站。

2. 已建置與 AD 整合之 DNS。

3. 全校所有電腦都已經加入 win200x 網域。

滿足上述條件後，始可將 DC 由相容模式變更為原始模式，但要記住一旦變更為原始模式就無法再還原了！

網域主控站

在 Win200x 網域中負責管理帳號和權限的機器稱為 DC，DC 儲存了使用者帳戶、群組、印表機….等物件的資料，DC 與 DC 之間可以透過 LDAP 彼此交換資料以達到帳號同步的目的。為了預防 DC 故障造成網域崩潰，最好是在組織網域的初期就建置冗餘的 DC，以備不時之需。

※在WIN_NT4.0中，一個網域之中必須存有一台 PDC，網域間的信任是單向，且不具遞移性，而網域的帳戶資料儲存於 PDC 的 SAM 資料庫中，容量最多 40MB。

當一個機構中的電腦分屬於不同的網域時，也就是說一個機構中具有多網域時，此刻就有信任上的問題，若根網域甲的 Domain name 為 test.tp.edu.tw，而乙是為甲的子網域，Domain name 為 class.test.tp.edu.tw，丙為為甲的子網域，Domain name 為 lib.test.tp.edu.tw。三者之間具信任關係。因為 Win200x 網域之間的信任是雙向的並具遞移性，也就是說當甲與丙互相信任，甲與乙互相信任，那麼乙和丙也會互相信任。故使用者的帳號是可以開在甲、乙或丙任何一個之中皆可。

網域本身就是一個管理單位，所以將一個學校中的網域數量降到愈少愈好，如此管理上就會比較簡單。第一個建立的網域是根網域，根網域的建立時必需建立在 DNS 的基礎之上，因為微軟公司修改了 DNS 架構新增 SRV 紀錄類型，使得網域成員可以透過 DNS 中的 SRV 紀錄查詢 AD，因此安裝 AD 時將會要求 DNS 的位址，以便建立 SRV 紀錄。其餘再建立的網域皆為子網域，而形成一個網域樹。二個以上網域樹彼此在根網域上做了彼此的信任後，則形成 Forest，原則上一個學校中最多規劃成一個 Forest 即可。

安裝 AD

安裝AD方式如下：下列二法中擇一來做

【開始】／【程式集】／【系統管理工具】／【設定你的伺服器】／選擇Active Directory，在依照步驟循序往下完成。
【開始】／【執行】／【開啟】中輸入dcpromo，在依照步驟循序往下完成。

AD目錄服務安裝過程

步驟一、從『開始』功能表打開『執行』，輸入’dcpromo ’的指令之後按『確定』

　　　　﹝如下圖﹞。

步驟二、出現 Active Directory 安裝精靈的畫面，按『下一步』。

步驟三、選擇此台 DC 在網域中所扮演的角色，若此台是您網域中的第一台 DC 請點選『新網域的網域控制站』，並按下一步。

步驟四、若這是您的第一個網域﹝也就是說不是某個現存網域的子網域﹞，請點選『建立新的網域樹狀目錄』，並按下一步。

步驟五、若這是您的第一個網域，請點選『建立新的網域樹狀目錄的新樹系』，並按下一步。

步驟六、輸入您網域的完整 DNS 名稱，並按下一步。

步驟七、輸入新網域的 NetBIOS 名稱，並按下一步。

步驟八、設定將來 AD 資料庫及紀錄檔存放的位置（建議和系統放在不同硬碟上，可以增加效率），並按下一步。

步驟九、設定 Sysvol 資料夾的位置，並按下一步。

步驟十、如果您要在本機上安裝了 DNS 請選擇『是，在這部電腦上安裝並設定 DNS』，並按下一步。

步驟十一、如果您不是在純 Win200x 環境中，請選擇上面的選項，並按下一步。

步驟十二、輸入目錄還原模式的密碼，並按下一步。

步驟十三、檢查你選取的項目，若無錯誤請按下一步。

步驟十四、AD目錄服務正在設定中。

步驟十五、按下『完成』。

步驟十六、必須重新啟動電腦。

綜合以上所言，裝 AD 的要點如下：

1. 是新網域中的 DC，還是現存網域中冗餘 DC

2. 是新的網域樹狀目錄嗎？若不是的話，必須先在根網域的 DNS 上先建立對應的 URL 領域。

3. 裝 AD 時，在本機建個 DNS_Server 會比較好裝

使用者管理

使用者帳號（User Account）的種類約可以分做兩類：

第一類為本機使用者帳戶（Local User Account）：只能在單機使用的帳號，這個帳號無法用來登入其他電腦，除非是網域中有一帳號和密碼和本機使用者相同。

建立Local User Account的方法如下：
【開始】／【程式集】／【系統管理工具】／【電腦管理】／【系統工具】／【本機使用者和群組】／【使用者】
所建立的帳號基本上是在 Users 資料夾中

第二類為網域使用者帳戶（Domain User Account）：為建立在網域控制器伺服器 (DC) 的帳號，可以用來登入網域中的可信任電腦，並可存取網域中的資源（共享檔案、印表機......等)，當然我們可以在 DC 上設定哪些電腦允許哪些帳號登入，哪些共享資源允許哪些帳號使用，這就是後面會專題探討的「權限管理」機制。

建立Domain User Account的方法如下：必須使用【Active Directory使用者及電腦】嵌入單元來建立其Account，當使用這個嵌入單元來建立Account時，此帳戶會被建立在MMC主控台所找到的“第一台DC”，之後此Account會自動被複製到此Domain內所有的裝Active Directory有DC中。
【開始】／【程式集】／【系統管理工具】／【Active Directory使用者及電腦：“點選出現的網域名稱”(右鍵)】／【新增】／【使用者】