一、DNS:域名系统 (Domain Name System) 的缩写。主要用于IP地址(如192.168.0.1)与域名地址(如
www.51cto.com)之间的互相解析(转换)。
二、DHCP:是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写,主要用于对网络中设置
为自动获取的电脑分配IP地址、子网掩码、网关、DNS等。
三、WINS:是Windows Internet Naming Server,即Windows Internet 命名服务。它提供一个分布式数据
库,能在路由网络的环境中动态地对IP地址和NETBios名的映射进行注册与查询。WINS用来登记NetBIOS计
算机名,并在需要时将它解析成为IP地址。就是可以把计算机名和IP地址之间进行互相解析(转换)。
四、AD:活动目录(Active Directory),是一种目录服务。Active Directory存储了有关网络对象的信
息(例如用户、用户组、计算机、域、组织单位(OU)以及安全策略),并且让管理员和用户能够轻松地
查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息
进行合乎逻辑的分层组织,Active Directory 服务是Windows 平台的核心组件,它为用户管理网络环境
各个组成要素的标识和关系提供了一种有力的手段。他就是存储在DC(域控制器)上的一个数据库,其内
存储了域中用户的各种信息。
五、GC:全局编录,是存储林中所有 Active Directory 对象的副本的域控制器。全局编录存储林中主持
域的目录中所有对象的完全副本,以及林中所有其他域中所有对象的部分副本,在一个森林中可以有多台
。GC用于:存储森林中所有对象信息,方便最终用户进行搜索;存储通用组成员身份信息,帮助用户构建
访问令牌;用户使用UPN名称登录时决定用户属于森林的那个域;可以为森林中的Exchange提供服务;AD
站点和服务中,在目标DC中右击NTDS Settings,查看常规选项卡下的全局编目的勾是否打上。
六、AD五角色(FSMO角色,Flexible single master operation就是灵活单主机操作)
(一)森林级别(即一个森林只存在一台DC有这个角色):
(1)、Schema Master中文翻译成:架构主控。用于修改活动目录的源数据,可以支AD进行扩展。
服务器建议:在占有Schema Maste的域控制器上不需要高性能,因为我们不是经常对Schema进行操作的
,除非是经常会对Schema进行扩展,不过这种情况非常的少,但我们必须保证可用性,否则在安装
Exchnage或LCS之类的软件时会出错。
(2)、Domain Naming Master中文翻译成:域命名主控。它的主要作用是管理森林中域的添加或者删
除。如果你要在你现有森林中添加一个域或者删除一个域的话,那么就必须要和Domain Naming Master进
行联系,如果Domain Naming Master处于Down机状态的话,你的添加和删除操作那上肯定会失败的。
服务器建议:对占有Domain Naming Master的域控制器同样不需要高性能,因为没有一个网络管理员会
经常在森林里添加或者删除域,当然高可用性是有必要的,否则就没有办法添加删除森里的域了。
(二)域级别(即一个域里面只存一台DC有这个角色):
(1)、PDC Emulator 中文翻译成:PDC仿真器。虽然从Windows 2000域开始,不再区分PDC还是BDC,但
实际上有些操作则必须要由PDC来完成,那么这些操作就由PDC Emulator来完成,主要是以下操作:
a、处理密码验证要求。默认情况下,Windows域里的所有DC会每5分钟复制一次,但有一些情况是例外的
,当有密码被修改,它会先被复制到PDC Emulator,然后由PDC Emulator触发一个即时更新,以保证密码
的实时性,当然,由于网络的规模和线路情况的影响,复制也是需要时间的,所以还是会存在一定的时间
差。
b、统一域内的时间。微软活动目录是用Kerberos(网络认证协议)协议来进行身份认证的,在默认情况
下,验证方与被验证方之间的时间差不能超过5分钟,否则会被拒绝通过,微软这种设计主要是用来防止
回放式攻击。所以在域内的时间必须是统一的,这个统一时间的工作就是由PDC Emulator来完成的。
C、向域内的NT4 BDC提供复制数据源。从NT4升级而来的Windows 2000域需要PDC Emulator提供复制数据
源。
d、统一修改组策略的模板。
e、对Winodws 2000以前的操作系统,如WIN98之类的计算机提供支持。对于Windows 2000之前的操作系统
,它们会认为自己加入的是NT4域,所以当这些机器加入到Windows域时,它们会尝试联系PDC,而实际上
PDC已经不存在了,所以PDC Emulator就会成为它们的联系对象。
服务器建议:从上面的情况可以看出来,PDC Emulator是FSMO五种角色里任务最重的,所以对于占用
PDC Emulator的域控制器要保证高性能和高可用性。
(2)、RID Master 中文翻译成:RID主控。分配可用RID池给域内的DC和防止安全主体的SID重复。在
Windows的安全子系统中,用户的标识不取决于用户名,虽然在一些权限设置时用的是用户名,但实际上
取决于安全主体SID,所以当两个用户的SID一样的时候,尽管他们的用户名可能不一样,但Windows的安
全子系统中会把他们认为是同一个用户,这样就会产生安全问题。而在域内的用户安全SID=Domain
SID+RID,这就需要用到RID Master的作用。
服务器建议:不必要使用高性能,因为很少会经常性的利用批处理或脚本向活动目录添加大量的用户,
因为只有这个时候DC先前被分配的RID池中的号码用完了,DC才会向 RID Master 去要一堆的 RID号码,
等到用完后再去跟 RID Master 去要。这个情况一般是不多的,当然高可用性是必不可少的,否则就没有
办法添加用户了。
(3)、Infrastructure Master 中文翻译成:基础架构主控。它的主要作用就是用来更新组的成员列表
,因为在活动目录中很有可能有一些用户从一个OU(组织单位)转移到另外一个OU,那么用户的DN名就发
生变化,这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的
。
服务器建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的
情况下,Infrastructure Master根本不起作用,所以一般情况下对于占有Infrastructure Master的域控
制器往忽略性能和可能性。
七、关于FSMO的规划,在规划时,按以下原则进行:
1、占有Domain Naming Master角色的域控制器必须同时也是GC;
2、不要把Infrastructure Master和GC放在同一台DC上;
3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上;
4、建议将Schema Master和Domain Naming Master放在同一台域控制器上;
5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上;
6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上.
八、FSMO五种角色在网络中的分布情况查看:
1、通过图形界面查看:(GUI介面下不能一次性获得五种角色的分布,只能通过多种方法)
(1)Schema Master架构主控
首先在“开始-运行”中输入:“regsvr32 schmmgmt”,回车,然后点击“确定”注册一下这个组件
。然后再点击“开始-运行”,输入:“MMC”,回车,进入控制台,再点击“添加”选中“Active
Directory架构”(没有进行regsvr32 schmmgmt”这一步,这里不会有这个选项),点击“添加”,然后
点“关闭”,然后点击“确定”,在控制台上选中“Active Directory架构”击“右键”,选择“操作主
机”就可以看到当前的架构主控了。
(2)、RID Master、Infrastructure Master、PDC Emulator
点击“开始-设置-控制面板-管理工具-Active Directory用户和计算机”在域名上单击右键在出来
的菜单中选择“操作主机”在出来的画面中可以看到RID Master、PDC Emulator、Infrastructure
Master的分布情况。
(3)、Domain Naming Master
点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”在“Active Directory域
和信任关系”上击右键选择“操作主机”这就是“Domain Naming Master”所在的域控制器。
以上就是用GUI来查看FSMO五种角色的分布情况,用GUI介面不但可以查看,还可以随意的改变这五种
角色的分布情况(在目标机上查看时选“更改”就可以改变角色主机),但缺点是比较麻烦,需要较多的
操作项目,如果仅仅是查看就比较的浪费时间。
2、使用命令行工具查看:
首先需要安装Support Tools,在windows2003安装光盘中的Support\Tools子文件下双击
SUPTOOLS.MSI安装支持工具,默认安装在系统盘的Program Files文件下,安装成功后,点击“开始→程
序→Windows Support Tools→Command Prompt”然后运行“netdom query fsmo”马上把当前域里的FSMO
五种角色所在的域控制器罗列出来。
3、使用VB脚本程序来查看:
Set objRootDSE = GetObject("LDAP://rootDSE")
Dim text
' Schema Master
Set objSchema = GetObject("LDAP://" & objRootDSE.Get("schemaNamingContext"))
strSchemaMaster = objSchema.Get("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strSchemaMaster)
Set objComputer = GetObject(objNtds.Parent)
text="Forest-wide Schema Master FSMO: " & objComputer.Name & vbCrLf
Set objNtds = Nothing
Set objComputer = Nothing
' Domain Naming Master
Set objPartitions = GetObject("LDAP://CN=Partitions," & _
objRootDSE.Get("configurationNamingContext"))
strDomainNamingMaster = objPartitions.Get("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strDomainNamingMaster)
Set objComputer = GetObject(objNtds.Parent)
text=text&"Forest-wide Domain Naming Master FSMO: " & objComputer.Name & vbCrLf
Set objNtds = Nothing
Set objComputer = Nothing
' PDC Emulator
Set objDomain = GetObject("LDAP://" & objRootDSE.Get("defaultNamingContext"))
strPdcEmulator = objDomain.Get("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strPdcEmulator)
Set objComputer = GetObject(objNtds.Parent)
text=text&"Domain's PDC Emulator FSMO: " & objComputer.Name & vbCrLf
Set objNtds = Nothing
Set objComputer = Nothing
' RID Master
Set objRidManager = GetObject("LDAP://CN=RID Manager$,CN=System," & _
objRootDSE.Get("defaultNamingContext"))
strRidMaster = objRidManager.Get("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strRidMaster)
Set objComputer = GetObject(objNtds.Parent)
text=text&"Domain's RID Master FSMO: " & objComputer.Name & vbCrLf
Set objNtds = Nothing
Set objComputer = Nothing
' Infrastructure Master
Set objInfrastructure = GetObject("LDAP://CN=Infrastructure," & _
objRootDSE.Get("defaultNamingContext"))
strInfrastructureMaster = objInfrastructure.Get("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strInfrastructureMaster)
Set objComputer = GetObject(objNtds.Parent)
text=text&"Domain's Infrastructure Master FSMO: " & objComputer.Name & vbCrLf
WScript.Echo text
将上面内容复制下来,再保存为VBS文件,然后双击之运行,会出现一个对话框显示五种角色所在的域控
制器名。
九、AD角色的转移及夺取
(1)角色的转移:在域控制器都正常的情况下,在新建的额外的域控制器中使用GUI界面查看五种角色
时,单击“更改”就可以改变角色为当前主机。
(2)角色的夺取:当拥有角色的域控制器出现故障损坏的情况下,对于FSMO的角色就不能进行转移了
,这时就只能强行夺取了,需要用到ntdsutil命令行工具。以下是以DC1、DC2为域控制器,使用test.net
域为例说明命令行的步骤:(在每一步都可输入“?”号来获得帮助)
以下命令在DC2上运行,以夺取DC1上的角色。
c:\>ntdsutil↙
utdsutil:roles↙( 管理 NTDS 角色所有者令牌,进入角色设置)
fsmo maintenance:connections↙(连接到一个特定域控制器)
server connectons:connect to server test.net↙(连接到服务器test.net)
绑定到 test.net ...
用本登录的用户的凭证连接 test.net
server connectons:q↙(返回到上一个菜单)
server connectons:Seize domain naming master↙(夺取域命名主控到DC2,会弹出一个对话框,选择是
)
在:号后面输入下面命令,可夺取相应角色:
Seize domain naming master - 在已连接的服务器上覆盖域角色
Seize infrastructure master - 在已连接的服务器上覆盖结构角色
Seize PDC - 在已连接的服务器上覆盖 PDC 角色
Seize RID master - 在已连接的服务器上覆盖 RID 角色
Seize schema master - 在已连接的服务器上覆盖架构角色
Select operation target - 选择的站点,服务器,域,角色和命名上下文
而在:号后面输入下面命令,可转移相应角色:
Transfer domain naming master - 将已连接的服务器定为域命名主机
Transfer infrastructure master - 将已连接的服务器定为结构主机
Transfer PDC - 将已连接的服务器定为 PDC
Transfer RID master - 将已连接的服务器定为 RID 主机
Transfer schema master - 将已连接的服务器定为架构主机
十、Exchange服务器
一款功能强大的邮件服务器,是消息和协作服务器平台,和AD高度集成,最佳客户端为,office组件中
的OutLook.
1、安装要求:B、win2k3或win2ksp3以上。B、要AD支持。C、安装ASP.NET。D、安装IIS中的web、SMTP、
NNTP三个组件。E、服务器上不要安装自带的POP3服务,否则会和EXchange的POP3相冲突。
2、安装之前先要对架构进行拓展,在Schema Master角色的DC上以管理员登陆,在其上运行Exchange的
ForestPrep进行架构拓展,再运行 DomainPrep(域准备)用于创建 Exchange 服务器在读取和修改用户
属性时所必需的组和权限。
3、在域的成员服务器上安装Exchange,以域管理员身份在域成员服务器上登陆域(事先要把域管理员加
入到域成员服务器的本地管理员组),安装Exchange的消息与协作服务和系统管理工具。
4、在Exchange的系统管理工具中为用户创建邮箱。
5、在客户端全用outlook和Web登陆邮箱使用。
十一、CA服务器
CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份
,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
可以在windows Server版服务器中建立CA服务器。
十二、LCS服务器
LCS是Live Communications Server的缩写,是微软出品的一款即时通讯产品。
十三、ISA服务器
ISA是Internet Security and Acceleration的缩写,是微软公司推出的一款重量级的网络安全产品,被
公认为X86架构下最优秀的企业级路由软件防火墙,具有防火墙、VPN、网页缓存与加速等功能。
十四、WPAD
WPAD是Web Proxy Auto Discovery的缩写,意思是Web代理服务器自动发现。WPAD的设计目的是让浏览器
能自动发现代理服务器,这样用户可以轻松访问互联网而且无需知道哪台计算机是代理服务器,在IE的工
具-选择-连接-局域网设置-钩选“自动检测设备”来打开本机的自动发现服务。
十五、WSUS服务器
是Windows Server Update Services的缩写,是利用WSUS服务器从微软的更新网站下载补丁,然后再发布
给内网用户,可以节省带宽,增加网络安装性。
十六、SMS
是Systems Management Server 2003(SMS2003)是微软公司面向应用程序部署,资产管理,安全补丁
管理,移动工作团队支持所开发的企业级变更与配置管理的技术平台。SMS2003能提供桌面安全管理,资
产管理,软件分发,补丁管理、远程控制等功能,SMS在软件分发,远程控制以及和其他微软服务器集成
方面与其他桌面管理软件相比有明显的优势,是网络工程师实现企业桌面管理的一把利器。
十七、MOM
是Microsoft Operations Manager (MOM)可以被形象地视为数据中心的地震仪。它的设计目标是使系统管
理员可以监视 Windows Server 平台、诸如 IIS 和 Active Directory 这样的服务、诸如 SQL Server、
Exchange 和 BizTalk 这样的服务器产品以及业务线应用程序。像地震仪一样,MOM 的设计目标是监视和
收集事件以及从可能表示潜在问题的关键性状态变化中筛选掉噪声。
十八、Forefront Client Security的部署
旨在提供从客户机到服务器的一整套安全解决方案。Forefront的最大亮点是拥有多个安全引擎,通俗地
说就是相当于安装了多家公司的杀毒软件,而且软件之间不会发生冲突。