詳細釋義
在對等網模式下,任何一台電腦隻要接入網絡,其他機器就都可以訪問共享資源,如共享上網等。盡管對等網絡上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows 9x構成的對等網中,數據的傳輸是非常不安全的。
不過在"域"模式下,至少有一台服務器負責每一台聯入網絡的電腦和用戶的驗證工作,相當于一個單位的門衛一樣,稱為"域控制器(Domain Controller,簡寫為DC)"。
當電腦聯入網絡時,域控制器首先要鑒别這台電腦是否是屬于這個域的,用戶使用的登錄賬号是否存在、密碼是否正确。如果以上信息有一樣不正确,那麼域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄,用戶就不能訪問服務器上有權限保護的資源,他隻能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網絡上的資源。
要把一台電腦加入域,僅僅使它和服務器在網上鄰居中能夠相互"看"到是遠遠不夠的,必須要由網絡管理員進行相應的設置,把這台電腦加入到域中。這樣才能實現文件的共享。
服務器端設置
以系統管理員身份在已經設置好Active Directory(活動目錄)的Windows 2000 Server上登錄,選擇“開始”菜單中“程序”選項中的“管理工具”,然後再選擇“Active Directory用戶和計算機”,之後在程序界面中右擊“Computers”,在彈出的菜單中單擊“新建”,然後選擇“計算機”,之後填入想要加入域的計算機名即可。要加入域的計算機名最好為英文,中文計算機名可能會引起一些問題。
客戶端設置
首先要确認計算機名稱是否正确,然後在桌面“網上鄰居”上右擊鼠标,點擊“屬性”出現網絡屬性設置窗口,确認“主網絡登錄”為”Microsoft網絡用戶”。選中窗口上方的“Microsoft網絡用戶”(如果沒有此項,說明沒有安裝,點擊“添加”安裝“Microsoft網絡用戶”選項)。點擊“屬性”按鈕,出現“Microsoft網絡用戶屬性”對話框,選中“登錄到Windows NT域”複選框,在“Windows NT域”中輸入要登錄的域名即可。
這時,如果是Windows 98操作系統的話,系統會提示需要重新啟動計算機,重新啟動計算機之後,會出現一個登錄對話框。在輸入正确的域用戶賬号、密碼以及登錄域之後,就可以使用Windows 2000 Server域中的資源了。請注意,這裡的域用戶賬号和密碼,必須是網絡管理員為用戶建的那個賬号和密碼,而不是由本機用戶自己創建的賬号和密碼。如果沒有将計算機加入到域中,或者登錄的域名、用戶名、密碼有一項不正确,都會出現錯誤信息。
新型
隻讀域控制器(RODC)是一種新型的用于 Windows Server 2008操作系統的域控制器,它的安全性得到了提高,同時能夠更加快速的登錄訪問網絡資源。在Windows Server 2008操作系統中,為了能夠支持隻讀域控制器(RODC),在域名解析系統(DNS)中添加了新的活動目錄域密碼複制策略。
而為了部署隻讀域控制器(RODC),在Windows Server 2008操作系統中必須至少運行一個可寫域控制器。域的功能及和森林應該是Windows Server 2003系統中或其它更高系統中的單向複制,隻讀AD DS數據庫,憑據緩存,管理員角色分隔等隻讀域控制器的功能。
如何保留最新的活動目錄狀态
活動目錄(AD)不是一個靜态的實體,而是一個動态數據集——駐留在數據中心内的域控制器内——執行既定規則和跟蹤整個網絡域的用戶的當前狀态和系統。基于Windows的網絡可容納多個域控制器。對于更大、更複雜的物理隔離的網絡來說,域控制器可能是必不可少的。任何域控制器實例的變化最終會被複制到網絡内的其他域控制器上。這個過程稱為多主機複制。
然而,在任何域控制器發生更改時,會存在一個嚴重的同步問題。AD依靠一些元素來跟蹤變化并确保将這些變化及時同步。其中最重要的兩個元素是更新序列号(USN)和Invocation ID。
USN是一個64位的數字,每次增量變化發生在域控制器(如對象創建、修改或删除)。USN從不減少,永遠是獨一無二的,所以域控制器永遠不會同時使用相同的USN。獨特的USN好于時間戳,因為它幾乎是不可能保持時鐘同步或網段之間的延遲。一旦原始的USN産生增量,更改将複制到其他域控制器,相應的USN也會增加相同數量。
AD的變化是可以複制的,重要的是要确定所有的域控制器都經過更新。這裡有兩個元素:全局唯一标識符(GUID),基本上就是每個域控制器的靜态“名字”;另一個是Invocation ID,基本上詳細說明了每個AD更新的當前“狀态”。例如,當恢複一個域控制器時,Invocation ID進行重置,其他域控制器要确保将改變發布到恢複的域控制器上。這是一個重要的問題。如果域控制器恢複不當,Invocation ID可能不會重置并更新域控制器來匹配其他域控制器——這将為企業造成嚴重的AD複制問題。
AD複制過程中還涉及其他元素來确定這些變化是必要的,并防止不必要的複制消耗網絡帶寬(甚至讓複制過程失控),但是USN和Invocation ID是最常見的用來協調域控制器之間AD複制的數據元素。
