分类: 系统运维
2011-10-19 18:51:48
域网络其实是微软借鉴了互联网中的域名技术的,是目前企业局域网中应用最为广泛的一种网络管理模式。
域是什么?简单地说,域是一种基于对象(用户、组、计算机等帐户都是对象)和安全策略的分布式数据库系统。
之所以说是基于对象和安全策略,那就是因为域网络的最大特点就是可以实现用户、计算机等对象账户,以及网络安全策略的集中管理和部署。
所谓“数据库”是指域中的信息(如账户信息、配置信息等)不是以独立文件形式存在,而是以字段信息之类的数据形式存在。我们知道,在微软的域网络中最显著的特点就是引入了“活动目录”(Active Diretory,AD)技术。而AD本身就是一种目录数据库系统。之所以称之为“活动目录”,那是因这在域网络中的目录是始终呈激活可用,动态更新的状态,而不是像普通目录一样静态使用。这样做的目的就是方便系统中各服务器自身进行的,或者用户操作的查询、更新、同步等,也提高了各服务器间数据复制的性能。
在活动目录数据库中包括了三个表格:
l Schema表
这个表中包含了所有可在活动目录创建的对象信息,以及他们之间的相互关系;包括各种类型对象的可选及不可选的各种属性。这个表是活动目录数据库中最小的一个表,但是也是最基础的一个表。
l Link 表
link表包含所有属性的关联,包括活动目录中所有对象的属性的值。一个用户对象的所有属性的类型,包括每个属性的值及用户所属于的组等信息都属于这个表。这个表要大于Schema 表,但与Data 表相比要小。
l Data表
活动目录中用户、组、应用程序特殊数据和其他的数据全部保存在Data表中。这是活动目录中存储信息最多的一个表,大量的活动目录的资料实际上还是存储在这个表中。
所谓“分布式”就是这种活动目录配置信息数据库系统中的数据可以不是仅来源或者存储在一台计算机上,而且可关联网络中许多相关服务器(如DC、DNS、DHCP服务器等)。
支持域网络管理模式的操作系统主要是微软的Windows NT核心操作系统,如Windows 2000、Windows XP、Windows Server 2003、Windows VISTA和Windows Server 2008。但较新版本的Linux和Unix系统也可通过一些LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)服务器功能创建自己的域网络,或者加入到微软的域网络中(微软的活动目录也是一种LDAP协议)。DOS,以及早期的Windows 95以前版本的Windows操作系统都不支持域网络管理模式。
1. 域网络的主要特点域网络的主要特点如下:
l 集中管理
前面说到了,域网络可以实现对象(包括用户和计算机)和安全策略的集中管理和部署,这是域网络的最显著特点。域网络是C/S(客户机/服务器)管理模式在局域网构建中的应用。在域网络中,有专门用来管理或者提供服务的各种服务器,如用于对象、安全策略管理的各级域控制器(DC)。通过DC中的活动目录(AD)和域组策略就可以对整个网络中的用户账户(包括用户权限、权利)、计算机账户和安全管理策略进行统一管理,统一部署。这样一来,域网络中各成员计算机的角色并不是平等的,有管理(各域控制器)和被管理(各域客户机)之分。这是前面工作组网络所无法实现的。
l 多级账户和安全策略
在域网络中,域账户和安全策略可以有多级,最小的安全策略边界是域中的“组织单位”(OU),最大的安全边界是林;而用户账户可以是子域中的,也可以是父域中的。不同安全级别的配置应用是按照先本地,后域的规则进行的。在域层次中,则是按照精确度由低到高的顺序进行应用的。而最后应用的级别最高。如组策略的应用顺序是:本地组策略→站点组策略→域组策略→组织单位(OU)组策略→子OU组策略。
因为存在多级账户和安全策略,所以在域网络中存在一个信任关系。也就是一个域可以与同一林中的其他域建立单向或者双向信任关系,不同林之间也可以建立单向或者双向信任关系。这样一来,就可以实现单向或者双向访问的目的。
l 默认信任
在工作组网络中,由于各用户账户都只是对各自计算机本地有效,所以各成员计算机之间根本没有信任关系,要访问就必须先进行身份验证。而在域网络中,域用户账户在整个域网络有效,所以加入了域的计算机都遵守了相同的信任协议,彼此相互信任,只要有域网络中合法的用户账户即可。这也是后面将要介绍的“单点登录”的基础和前提。
l 集中存储
这也是域网络的一大优势和特点。在域网络中的用户文档或者数据可以集在保存在网络中的一台或者多台相应服务器上。用户文档还可以保存在服务器上为每个用户创建的用户主目录中,并且该目录只有用户自己可以访问,包括网络管理员也不能访问(当然网络管理员可以更改访问权限),极大地保障了各用户私有文档的安全性。同时也方便了网络数据的存储,提高警惕了网络数据存储的安全性。这一点在工作组网络中无法实现,因为即使你可以把数据存储在其他用户计算机中,你的文档同样可以被那台机上的用户所浏览、修改,甚至删除。
l 单点登录
在域网络中,采用的是单点登录(Single Sing On,SSO)。在域网络中的所谓“单点登录”就是用户只需要使用域账户登录一次,就可以实现对整个域网络共享资源的访问(当然这是要在授予了访问权限的前提下),而无需在访问不同计算机上共享资源时输入不同的账户信息。这就大大减化了网络资源的访问验证过程。在工作组网络中,因为安全边界就是各用户计算机本身,用户账户都是存储在各用户计算机上,所以无法实现网络中的单点登录。
当然,单点登录不仅应用于域网络用户的登录,它同样广泛应用于其他支持单点登录的应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录原理就是网络中的所有成员都信任同一套身份验证系统,可以是用户账户、也可以是用户邮箱名,还可以其他应用系统的帐号。
l 采用DNS解析协议
在域网络中,用户计算机名称和IP地址的解析是通过DNS(Domain Name Services,域名服务)协议来进行的,而不再使用NetBIOS协议。但是对于不支持DNS协议的早期操作系统(如DOS、Windows 95),仍能提供基于NetBIOS名称解析的。DNS名称是以“.“分隔的,具有层次结构的名称,最大长度为255个字符,比NetBIOS名称允许的长度长了许多。
l 支持漫游配置
在域网络中,每个域用户账户都可以在域网络中任意一台允许本地登录的计算机上登录域网络,只要该计算机与DC在同一个网络中即可。而且用户的桌面环境及其他账户配置不会因在不同计算机上登录而不同,因为域网络支持全局漫游用户配置文件。这样就极大方便了用户的网络访问。
2. 域网络的主要优缺点与任何事务都没有绝对的优点,也没有绝对的缺点一样,域管理模式与工作组管理模式相比,也存在一定的优点与缺点。
l 管理更方便
因为域网络可以实现在一台服务器上对用户/计算机账户和安全策略的集中管理,对于管理员来说,就可以更方便地管理整个网络的用户账户(包括用户账户权限和权利)和安全策略。而不必分别到各用户计算机上分别配置。这对于网络规模较大的网络来说,优势更加明显。所以说,一般来说,域网络比较适用于较大型的网络,但不是从性能上来考虑的。
l 安全性更高
因为域网络的全局用户账户和安全策略都是集中在一台或者少数几台DC上进行配置与管理的,所以相对工作组网络来说,这些配置的安全性就更高,更不容易被人攻击和破解。同样,由于域网络中的用户数据可以偏大中存放在一台或者少数几台服务器上,企业网络数据也就更安全。
l 网络访问更方便
在前面的主要特点中介绍到,域网络是采用单点登录方式,用户只需要用户域账户登录一次域网络,就可以无限地访问允许访问的所有网络资源,而无需反复输入不同账户信息进行身份验证。
l 有专门的高性能服务器
因为在域网络中的用户账户、计算机账户、域网络安全策略等都是在DC上进行统一部署和管理的,所以需要有专门的高性能服务器来担当。对于企业说,相当于增加了一笔不小的开支。
l 安全配置更复杂
因为在域网络中涉及到多级安全策略,各级策略的应用又有一定规则,所以总体来说,安全配置更为复杂,不容易掌握。这对管理员的技能水平要求更高。
l 网络性能较低
因为在域网络中的用户账户和安全策略都是在网络中的服务器上进行统一部署的,而且域网络中可能存在多级安全策略,所以用户在登录和进行网络访问时的性能不如工作组网络,存在一定的延时,特别是在大的域网络,或者安全策略配置复杂(安全级别太多,采用的安全通信协议太多,安全策略设置启用太多等)、安全策略配置不合理(如存在许多冲突设置项)的域网络中表现尤其突出。
本文摘自〈金牌网管师——中小型企业网络配置与管理》一书