《网络工程》课件第4章.ppt
《《网络工程》课件第4章.ppt》由会员分享,可在线阅读,更多相关《《网络工程》课件第4章.ppt(262页珍藏版)》请在文库网上搜索。
1、第4章 Internet/Intranet应用的建立 第4章 Internet/Intranet应用的建立 4.1 活动目录概述活动目录概述 4.2 WWW和和FTP服务的配置与管理服务的配置与管理 4.3 DHCP的安装与配置的安装与配置4.4 DNS的安装与配置的安装与配置 第4章 Internet/Intranet应用的建立 4.1 活动目录概述活动目录概述4.1.1 活动目录的概念与特点活动目录的概念与特点1.活动目录的概念活动目录的概念1)什么是目录服务简单地说,目录是指用来存储网络中对象的分层信息结构。这里指的目录与我们已熟悉的文件系统中的目录是有区别的,文件目录只能存储一类对象文
2、件对象的信息,事实上,在Windows中文件目录的正式名称是文件夹,而这里所指的目录范围要更加广泛。它可以用来存储包括用户、用户组、打印机、应用程序等多种网络对象。第4章 Internet/Intranet应用的建立 目录服务包括目录数据本身及其对目录所作的服务。目录服务为应用程序、用户和分布式环境中的客户提供了一种命名、存储和重组信息的方法。目录通常由两个主要部分组成:一个是存储目录信息的数据库;另一个是为用户访问存储数据提供服务的一个或多个协议。例如,数据库分布在多个机器上,并通过一个称为计划(Schema)的规则集来定义它能存储的信息类型。目录服务具有丰富的应用价值。例如,可以利用目录服
3、务来查找用户的E-mail地址或者验证E-mail该发往哪台机器;也可以利用目录服务存储用户的帐号信息,如用户名、密码;还可以跟踪有关应用程序的信息,如应用所在的位置、文件的位置等。第4章 Internet/Intranet应用的建立 如果分布式环境中缺乏一个统一的目录服务,那么每个需要目录的应用都需要自己提供一个方案。例如在Windows NT Server 4.0中,Microsoft Exchange使用了一个目录,而用户帐号信息则存于另一个目录中,Microsoft Message Queue(MSMQ)等分布式组件又使用其他的目录,其结果是对同一个问题形成了许多不同的解决方案。较好的
4、方法应该是建立一个公共的目录服务,它提供了存储信息的空间、描述对象属性的公共计划以及命名习惯,并且每个用户和应用都可以使用该目录服务,使用非常方便。第4章 Internet/Intranet应用的建立 目录服务已经成为网络计算环境中的一个重要组成部分。在实际使用中,用户和管理员通常并不知道他们感兴趣的对象的确切名字,而仅仅知道对象的一个或者多个属性,目录服务能够根据对象的一个或者多个属性,帮助用户查找所需的对象。目录服务既是管理工具又是终端用户可使用的工具。随着基于Internet技术的分布式计算的广泛使用,人们对目录服务提出了更高的要求。一个成熟的目录服务需要提供如下功能:(1)用户及网络资
5、源管理。(2)安全认证和授权服务。(3)目录合并。(4)基于目录的基础结构。(5)基于目录的应用。第4章 Internet/Intranet应用的建立 2)什么是活动目录活动目录是Windows 2003等服务器版操作系统内置的目录服务。活动目录服务以轻目录访问协议(LDAP,Lightweight Directory Access Protocol)作为基础,支持X.500中定义的目录体系结构,并具有可复制、可分区以及分布式等特点。对于管理员还是对于一般的用户来说,活动目录都是易于使用和管理的,活动目录能够顺利地管理从只有数百个对象的单一服务器到具有数百万个对象的上千个服务器组成的集群系统中
6、的资源。活动目录把过去的Windows的目录结构发展成一种能够满足从企业Intranet到商业Internet各种需求的、可扩展的、具有良好伸缩性的目录服务。第4章 Internet/Intranet应用的建立 活动目录仍采用域(Domain)作为基本管理单位,但增加了许多新的功能。域模式的最大好处就是它的单一网络登录能力,任何用户只要在域中有一个帐户,就可以漫游网络,即域用户可从任意客户机上登录到网络中的域帐号中。由于以前域的信任关系,过分强调安全性会导致可调整性不够。新一代的活动目录服务扩展了域目录树的灵活性,增强了信任关系,把一个域作为一个完整的目录,域之间能够通过一种基于Kerbero
7、s认证的可传递的信任关系建立起树状连接,从而使单一帐户在该树状结构中的任何地方都有效,减轻了管理员在网络管理和扩展时的工作量。第4章 Internet/Intranet应用的建立 活动目录在Windows中具有许多不同的用途。操作系统自身使用活动目录存储有关用户帐号、打印机、网络中的计算机等信息;Windows的管理体系利用活动目录来定位应用组件的服务器位置;Microsoft Exchange利用活动目录来存储如用户地址簿和认证证书等信息;利用分布式组件对象模型(DCOM)和Microsoft事务处理服务器(MTS)所建立的应用依赖活动目录来定位远程对象,活动目录替代了以前在Windows
8、NT 4.0中使用的MSMQ目录服务。由于活动目录所存储的信息类型是可扩展的,因此无论对家用软件开发商还是商用软件开发商,都可以利用它的服务来建立自己的应用。第4章 Internet/Intranet应用的建立 2.活动目录的特点活动目录的特点1)灵活快速的查询用户和管理员能根据对象的属性利用搜索菜单、网上邻居或“活动目录用户和计算机”插件快速找到网络中的对象。例如,可以根据用户的姓、名、E-mail地址、办公室位置及其他个人信息来查找此用户。信息的查找通过利用全局目录编号(Global Catalog)进行优化,全局目录编号是由活动目录创建的、运行在支持活动目录的计算机上的、客户能根据提供的
9、菜单选项查询到的全局目录编号信息。第4章 Internet/Intranet应用的建立 2)基于策略的管理活动目录的目录服务包括数据存储以及逻辑分层结构。作为逻辑结构,为策略应用程序提供上下文分层结构。作为目录,存储指定给特定上下文的策略(又称为组策略)。组策略表达一组业务规则,包含应用于上下文的设置,它可确定:(1)对目录对象和域资源的访问。(2)用户可使用哪些域资源(诸如应用程序)。(3)这些域资源是如何配置的。第4章 Internet/Intranet应用的建立 3)丰富的信息安全服务活动目录与安全性完全集成在一起,不仅可以针对目录中的每个对象定义访问控制,而且可以针对每种属性进行操作。
10、例如,可以授予所有用户查看网络中用户姓名和电话号码的权限,而与此同时却限制对用户对象所有其他属性的访问。活动目录为安全策略提供应用程序的存储和范围。安全策略包括帐户信息(如域宽口令限制或对某特定域资源的权利)。安全策略通过组策略执行。管理员可将某些特殊管理权分派到其他个人和组。这种权限分派明确了谁具有管理部分网络的权限。可以将特殊部分的管理分派给单个管理员,而不必分配过多的管理权限。第4章 Internet/Intranet应用的建立 Windows 2003支持多种网络安全协议,如Kerberos v5、SSL(Secure Sockets Layer)、分布式密码验证(DPA)、Windo
11、ws NT NTLM等,这提供了有效的安全机制与外界实体(如Internet)进行的互操作,并与现有的客户兼容。第4章 Internet/Intranet应用的建立 4)可靠的信息复制在同一个域内,目录信息会被复制到运行活动目录的每一个服务器上。即如果一个域中包含了多个域控制器,则该域的目录信息会被复制到各个服务器上,从而使每个域控制器中都存储并保持了这个域的目录信息的完整副本。复制能带来容错、负载平衡等多方面的好处。在一个域中的所有域控制器都能提供容错和负载平衡,例如,如果域内的某个域控制器的运行速度减慢到某个阈值、停止或者出错,那么域内的其他域控制器就能替换它,其原因是它们包含了相同的目录
12、信息。在一个域内设置多个物理站点(Site)可改善目录性能,这样就能在离客户机最近的服务器上进行目录访问。第4章 Internet/Intranet应用的建立 活动目录使用多主(Multi-master)复制,因而信息的改变可在包含此目录的任一个服务器上进行,这些变化会被自动地复制到其他服务器上。即使复制暂时失败了,也没有必要人工复制主服务器中的目录。5)可缩放性活动目录的域支持的范围从最小的网络到最大的网络。由于活动目录并不需要大的目录数据库,因此一个网络中可以包含一个或多个域,每个域中都有自己的带有配置信息的目录,这些配置信息描述了包含域控制器在内的网络站点,同时方便了存储在域控制器中的目
13、录的存储、复制和访问。活动目录支持多个域的使用,从而可以适应从最小的组织到最大组织的不同需要。单域方便管理,较小的组织可以采用单域,通常多域则应用于大组织中。第4章 Internet/Intranet应用的建立 6)可扩充性活动目录的可扩充性是指管理员能在目录中增加任何类型的对象,并能给现有对象增加属性。例如可在用户对象中增加购买权属性,然后将每个用户的购买权存储到用户帐号中。通过使用活动目录中的计划管理工具或者编写程序,用户能在目录中增加对象和对象属性,也可以写一个命令行脚本来管理活动目录中的对象。书写脚本的脚本语言是由活动目录服务界面(ADSI,Active Directory Servi
14、ce Interfaces)提供的。第4章 Internet/Intranet应用的建立 7)与DNS的集成活动目录使用域名系统(DNS)作为域的命名服务。由于活动目录使用DNS,因此Windows的域名就是DNS名。例如,既是DNS名又是Windows 2003的域名。Windows 2003 Server支持DNS分层命名结构,这个分层结构可反映到DNS和Windows 2003域名中。例如,域名可以认为是域的名为computer的子域。第4章 Internet/Intranet应用的建立 配置了活动目录的Windows 2003 Server支持由Internet RFC2136定义的动
15、态DNS,动态DNS能对已注册的计算机在启动的时候动态赋予IP地址。除此之外,动态DNS还能提供动态网络服务,这意味着网络服务能在网络上动态地开始,同时客户能定位这些网络服务。活动目录就是能被DNS动态标识和定位的服务。第4章 Internet/Intranet应用的建立 8)同其他目录的相互操作除了DNS外,活动目录支持其他工业标准,如LDAP的第二版和第三版、名字服务提供商界面(NSPI,Name Service Provider Interface)和超文本传输协议(HTTP,Hypertext Transfer Protocol)。LDAP是活动目录的核心协议,可从活动目录中查询和获得
16、信息。LDAP是一个基于工业标准的服务协议,能使活动目录与支持LDAP的其他目录服务共享信息。除此以外,活动目录还支持用在Exchange 4.0和5.x的客户机中的NSPI,以实现与其他产品的向下兼容。通过对这些标准的支持,活动目录能越过多个名字空间来扩展它的服务,可以处理位于Internet上、其他操作系统中和其他目录里的信息和资源。第4章 Internet/Intranet应用的建立 3.活动目录的组成活动目录的组成活动目录由以下四个主要部分组成:(1)数据储藏室(即目录):用来存放在网络上发布对象的信息。这些对象主要包括用户帐号、计算机、打印机等。(2)规则集(即计划):定义了包含在目
17、录中的对象及特性、对象的限制及命名格式。(3)查询和索引机制:使得用户和应用程序可以快速地查找到目录中的对象及其特性。(4)复制服务:能复制目录数据,并让分布式网络中的目录客户使用。活动目录同时还集成了安全特性,提供了访问安全性检查,对目录数据的查询和修改都进行了访问检查,并与Windows 2003安全子系统紧密地结合在一起。第4章 Internet/Intranet应用的建立 1)目录数据储藏室活动目录是一个用来存放网络中对象的数据储藏室,这个数据储藏室被称为目录。目录包含了对象(如用户、组、计算机、域、组织单元和安全策略等)的信息,这些信息通过活动目录服务被用户和管理员使用。目录被存储在
18、域控制器中,并能被网络应用或网络服务访问。在一个域中可以有一个或多个域控制器。每个域控制器中都有目录的一个拷贝。对目录的修改会从原始的域控制器复制到它所在的域、域目录树和域目录林中的其他域控制器中。目录复制使得每个域控制器中都有一份目录的拷贝。第4章 Internet/Intranet应用的建立 目录使用一个可扩展的存储引擎(SSE,Scalable Storage Engine)存储目录数据。私有数据会被安全地存储,只有公有数据被存储在共享系统卷中,公有数据会被复制到域中的其他域控制器中。目录由三个作为命名上下文的子树组成,其中一个包含了域数据,另一个包含了配置域目录树或域目录林的描述,第三
19、个包含了存储于目录中的对象和属性的定义。第4章 Internet/Intranet应用的建立 2)活动目录客户活动目录客户是指管理活动目录的网络客户软件。配置有活动目录客户的计算机通过定位域控制器能登录到网络上,然后访问活动目录中的信息。含有活动目录客户的计算机包括:(1)运行了Windows 2000/2003等服务器版操作系统的计算机。(2)运行了Windows XP/Vista7等个人版操作系统的计算机。第4章 Internet/Intranet应用的建立 3)活动目录中的DNS基于Windows 2003的计算机同样被组织成域,域的主要作用是定义管理边界和为用户提供帐号,每个域中必须具
20、有一个或多个作为域控制器的计算机。Windows 2003与Windows 2000操作系统相似,域的命名使用DNS名。4)活动目录对象的访问在Windows 2003中,每个域控制器都包含有该域的活动目录数据库的一个完整拷贝,活动目录依靠两个不同的协议使客户能查找和访问这个数据库中的信息。首先用DNS找到域控制器,然后使用轻目录访问协议LDAP访问活动目录中的数据。第4章 Internet/Intranet应用的建立 LDAP是一个用于定义目录客户访问目录服务器、执行目录操作和共享目录数据方法的通信协议。LDAP定义了如何安全地访问、查询和修改目录中信息的方法,能有效地满足目录服务的各种需要
21、,且没有其他目录服务协议的复杂性。活动目录同时支持由RFC1777定义的第二版LDAP协议和由RFC2251定义的第三版LDAP协议。活动目录通过使用LDAP完成查询、修改和管理等任务;通过使用LDAP,能与Microsoft和其他开发商的目录服务器进行互操作。LDAP运行在TCP/IP上,主要定义了客户如何访问目录。同时,还定义了目录中数据的命名方法以及信息的结构。对客户来说,在LDAP数据库中的数据是以层次结构的方式组织的,在层次结构中的每个节点既可以是容器也可以是树叶,容器的下面还有其他的节点,而树叶则没有。第4章 Internet/Intranet应用的建立 活动目录的计划中包含了大量
22、的对象类和对象类中的属性类型。下面是一些对象类的例子:(1)User:用来定义域中的用户,其属性包括公共名、用户主名、地址、电话号码及图片等。(2)Print-Queue:允许客户寻找打印,其属性包括位置、打印机状态和打印语言。(3)Computer:定义域中的计算机,在该类中的属性包括操作系统、操作系统服务包、域名系统主机名和机器规则(表明机器是一个域控制器、一个普通的成员服务器还是工作站)等。(4)Organizational-Unit(OU):定义一个域的分支机构,最重要的属性是组织单元名,OU在域内的信息组织中扮演十分重要的角色。第4章 Internet/Intranet应用的建立 活
23、动目录中的对象以及对象的属性都有一个访问控制列表(ACL,Access Control Lists),ACL控制了允许哪些用户访问对象或对象的属性,以及确定允许用户做的事件。例如,一个对象的ACL设置可以允许某个用户读它的所有属性,而另一个用户只可以读写其中的某些属性,而不允许访问其他属性。由于访问控制需要好的审计支持,因此活动目录隐含地使用了Kerberos验证客户的身份。事实上,Kerberos是Windows 2003分布安全的核心技术。第4章 Internet/Intranet应用的建立 5)活动目录对象的命名每个Windows 2003域都有一个DNS名,但DNS名不能用来命名活动目
24、录数据库中的对象,需要用LDAP来定义对象的名字,一般可以选择对象中的某个属性作为对象名,例如对象可以使用对象类的Common-Name属性的值定义,组织单元可以使用Organizational-Unit-Name属性值定义。图4.1给出了Acme公司的一个简单的Windows 2003域的目录结构。假设Acme公司的产品是各种软件产品和硬件产品,域的DNS名为。事实上,每个活动目录域都将使用组织单元类的对象细分它的名字空间。下面域的根有两个OU:一个是给雇员而另一个是给产品。这两个OU的名字是用Organizational-Unit-Name属性的值。第4章 Internet/Intrane
25、t应用的建立 图4.1 一个简单Windows 2003域的目录结构第4章 Internet/Intranet应用的建立 6)域目录林和域目录树Windows 2003域中的目录数据库中的对象比Windows 2000域中的对象更多,因此可以将多个Windows 2000的域组织成单个Windows 2003域。但在有些情况下,还是需要为一个组织创建多个域,活动目录允许以各种方式组织这些域。拥有相邻DNS名的域能被组织到一棵域目录树中。图4.2是一棵域目录树的例子,它表明Acme公司分别为其accounting和sales分别创建了不同的域。由于每个新域都有一个位于下的DNS名,所以这些域就可
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络工程 课件