在Windows 2003中,各種網路服務以伺服器角色出現,方便了使用者對網路資源進行分配與管理。應用伺服器角色對網路進行管理,均需要有活動目錄服務、網域名稱系統服務、動態主機設定通訊協定服務、Windows Internet命名服務的配合與支援。本文將向你重點講解上述活動目錄服務務的實現方法與技巧。
(一)什麼是活動目錄
活動目錄(Active Directory)是用於Windows 2003的目錄服務。它儲存著網路上各種對象的有關資訊,並使該資訊易於管理員和使用者尋找及使用。活動目錄服務使用結構化的資料存放區作為目錄資訊的邏輯階層的基礎。
活動目錄具有資訊安全性、原則式管理、可擴充性、延展性、資訊的複製、與DNS整合、與其他目錄服務的互通性、靈活查詢等優點。
(二)DNS與活動目錄
由於活動目錄與DNS(Domain Name System,網域名稱系統)整合,共用相同的名稱空間結構,因此注意兩者之間的差異非常重要:
1.DNS是一種名稱解析服務
DNS客戶機向配置的DNS伺服器發送DNS名稱查詢。DNS伺服器接收名稱查詢,然後通過本機存放區的檔案解析名稱查詢,或者查詢其他DNS伺服器進行名稱解析。DNS不需要活動目錄就能運行。
2.活動目錄是一種目錄服務
活動目錄提供資訊存放庫以及讓使用者和應用程式訪問資訊的服務。活動目錄客戶使用“輕量級目錄訪問協議(Lightweight Directory Access Protocol,LDAP)”向活動目錄伺服器發送查詢。要定位活動目錄伺服器,活動目錄客戶機將查詢DNS。活動目錄需要DNS才能工作。
即活動目錄用於組織資源,而DNS用於尋找資源;只有它們共同工作才能為使用者或其他請求類似資訊的過程返回資訊。DNS是活動目錄的關鍵組件,如果沒有DNS,活動目錄就無法將使用者的請求解析成資源的IP地址,因此在安裝和配置活動目錄之前,我們必須對DNS有深入的理解。
(三)規劃活動目錄
在安裝活動目錄之前,我們首先要對活動目錄的結構進行細緻的規劃設計,讓使用者和管理員在使用時更為方便。
1.規劃DNS
如果使用者準備使用活動目錄,則需要首先規劃名稱空間。當DNS網域名稱稱空間可在Windows 2003中正確執行之前,需要有可用的活動目錄結構。所以,從活動目錄設計著手並用適當的DNS名稱空間支援它。
在Windows 2003中,用DNS名稱命名活動目錄域。選擇DNS名稱用於活動目錄域時,以保留在Internet上使用的登入DNS網域名稱尾碼開始(如microsoft.com),並將該名稱和單位中使用的地理(部門)名稱結合起來,組成活動目錄域的全名。例如,microsoft的sales組可能稱他們的域為“sales.microsoft.com”。這種命名方法確保每個活動目錄網域名稱是全球唯一的。而且,這種命名方法一旦被採用,使用現有名稱作為建立其他子域的父名稱以及進一步增大名稱空間以供單位中的新部門使用的過程將變得非常簡單。