Windows NT4/2000/03域中的计算机帐户
我们知道,用户想要登录到域,所用计算机(指NT/2000/XP/03,而运行95/98 的计算机没有高级安全功能,未被指派计算机帐户)需要在该域或有信任关系的其它域中有一个计算机帐户。此外还需要有一个该域的域用户帐户。
我们还知道,在域中有计算机帐户,说明这台计算机台是域成员,它将受到域的组策略之计算机配置的限制。下面就计算机帐户问题,展开来讨论一下。
一、在域中新建计算机帐户
在NT4域时,加入到域需要有管理特权才行。所以微软有这样一个推荐原则:如果是小型网络,可以由管理员负责将所有计算机加入到域;如果是大型网络,管理员忙不过来,可以先在域控制器上预建计算机帐户,用户用相应的计算机名加入域即可。这样可以避免由于管理口令的外泄而带来的威胁。
从Windows 2000开始,微软作了改进:在Windows 2000/03域中,默认Authenticated Users可在域中最多创建 10 个计算机帐户。Authenticated Users指被验证的用户组,也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。注意:同一台机器,多次退出再加入域,并不累计计数; 并且还可以在组策略中将累计数复位。
既然在2000/03域中普通域用户就可以把10台计算机加入到域,那么在AD中手动预建计算机帐户还有什么意义呢?
让我们先来看一下为什么普通域用户能这样,在管理工具/域控制器安全策略/本地策略/安全设置/用户权利分配下:“域中添加工作站”的默认值为:Authenticated Users。
但假设管理员不想让普通域用户有能力将计算机加入到域,就可将这条策略的值更改为Administrators或Domain Admins,然后通过开始/运行:刷新计算机策略命令或重启DC使其生效。说明:在2000域下这个命令是secedit /refreshpolicy machine_policy /enforce;在03域下用gpupdate /target:computer,不加参数,直接运行gpupdate也可,只不过把用户策略也刷新了。
我们再进一步假设,管理员想实现张三(域用户名:z3),只能把张三自己所用的计算机(计算机名为cz3)加入域。那么管理员就可以通过预建计算机帐户,并且把“下列用户或组可以将此计算机加入到域”的默认值,由Domain Admins,改为z3。
预建计算机帐户还有一个目的就是通过计算机网卡的全程唯一标识符GUID实现RIS(远程安装服务)安装的预分级,这里就不详细讨论了。
加入域时常见的问题:用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。
这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。
另外,对于在活动 目录AD的computers容器或其它OU上有“创建计算机对象”权限的用户,也可以在该域中创建计算机帐户,且不受10个的限制。操作:AD用户计算 机/相应容器或OU/属性/安全/高级/添加:“用户”——“创建计算机对象”权限。如果找不到“安全”标签,选中查看菜单下的高级功能。另外在操作上利用“委派控制”向导也可以。还有一点区别在于,由此创建的计算机帐户,创建者即为该计算机帐户的所有者。而前面提到的那种用户具有在“域中添加工作站”权 利而创建的计算机帐户的所有者为:Domain Admins。
如果用户既有在“域中添加工作站”的用户权利,又有在容器/OU上的“创建计算机对象”权限,则所有者的结果将基于计算机容器/OU上的权限,即创建者即为所有者。但注意不要拿管理员帐户做这个实验,因为管理组成员创建的资源,所有者总是Administrators/Domain Admins这个组,而不是具体的哪个管理员用户帐户。
二、禁用/启用计算机帐户
如果计算机帐户被禁用,会使使用那台计算机的用户由于“找不到计算机帐户”而无法登录到域,出错提示为:无法与域连接……,域控制器不可用……,找不到计算机帐户……。
在域中需要有计算机帐户是我们最前面提到的用户登录到域的两个必备条件之一。解决办法很简单,由管理员启用该计算机帐户即可。可以用管理工具“AD用户和计算机”,也可以使用03的Dsmod computer命令,该命令格式如下:
dsmod computer “cn=computername,cn=computers,dc=ms,dc=com” -disabled no
引号内为标识名DN,若DN中不含空格,也可以不用引号。使用Dsmod user也可以禁用/启用用户帐户,命令格式与此相同。
说明:手动禁用后,客户机需要重启才不可登录;启用后,马上即可登录。
管理员禁用计算机帐户,主要是基于安全考虑,如公司财务主管出差,为了避免其它人使用该计算机登录到财务的域,可将其计算机帐户暂时禁用。再者就是域成员计算机正常脱离域,其计算机帐户不会被马上删除,而是被禁用了。这个功能在2000上,大多数时候不好使;而在XP/03上,只要你在脱离域时,输入正 确的用户名和密码,帐户是会被自动禁用的。再次加入时,会被自动启用。
三、重设计算机帐户
作为域成员的每一个Windows 2000/XP/03工作站或服务器都与域控制器有一个离散的通讯通道,也叫安全通道。安全通道的密码与计算机帐户一道,储存在所有的域控制器中。
对于 Windows 2000/XP/03,默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步,登录时就会出现出错提示:计算机帐户丢失……。
解决办法:这时就需要重设计算机帐户,该计算机需要重新加入域。简单地说就是重设的计算机帐户相当于一个新的预建的计算机帐户。
以上讨论了NT/2000/03域中的计算机帐号,及常见与计算机帐户相关故障的原因和解决办法。不尽之处,请批评指正
我们还知道,在域中有计算机帐户,说明这台计算机台是域成员,它将受到域的组策略之计算机配置的限制。下面就计算机帐户问题,展开来讨论一下。
一、在域中新建计算机帐户
在NT4域时,加入到域需要有管理特权才行。所以微软有这样一个推荐原则:如果是小型网络,可以由管理员负责将所有计算机加入到域;如果是大型网络,管理员忙不过来,可以先在域控制器上预建计算机帐户,用户用相应的计算机名加入域即可。这样可以避免由于管理口令的外泄而带来的威胁。
从Windows 2000开始,微软作了改进:在Windows 2000/03域中,默认Authenticated Users可在域中最多创建 10 个计算机帐户。Authenticated Users指被验证的用户组,也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。注意:同一台机器,多次退出再加入域,并不累计计数; 并且还可以在组策略中将累计数复位。
既然在2000/03域中普通域用户就可以把10台计算机加入到域,那么在AD中手动预建计算机帐户还有什么意义呢?
让我们先来看一下为什么普通域用户能这样,在管理工具/域控制器安全策略/本地策略/安全设置/用户权利分配下:“域中添加工作站”的默认值为:Authenticated Users。
但假设管理员不想让普通域用户有能力将计算机加入到域,就可将这条策略的值更改为Administrators或Domain Admins,然后通过开始/运行:刷新计算机策略命令或重启DC使其生效。说明:在2000域下这个命令是secedit /refreshpolicy machine_policy /enforce;在03域下用gpupdate /target:computer,不加参数,直接运行gpupdate也可,只不过把用户策略也刷新了。
我们再进一步假设,管理员想实现张三(域用户名:z3),只能把张三自己所用的计算机(计算机名为cz3)加入域。那么管理员就可以通过预建计算机帐户,并且把“下列用户或组可以将此计算机加入到域”的默认值,由Domain Admins,改为z3。
预建计算机帐户还有一个目的就是通过计算机网卡的全程唯一标识符GUID实现RIS(远程安装服务)安装的预分级,这里就不详细讨论了。
加入域时常见的问题:用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。
这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。
另外,对于在活动 目录AD的computers容器或其它OU上有“创建计算机对象”权限的用户,也可以在该域中创建计算机帐户,且不受10个的限制。操作:AD用户计算 机/相应容器或OU/属性/安全/高级/添加:“用户”——“创建计算机对象”权限。如果找不到“安全”标签,选中查看菜单下的高级功能。另外在操作上利用“委派控制”向导也可以。还有一点区别在于,由此创建的计算机帐户,创建者即为该计算机帐户的所有者。而前面提到的那种用户具有在“域中添加工作站”权 利而创建的计算机帐户的所有者为:Domain Admins。
如果用户既有在“域中添加工作站”的用户权利,又有在容器/OU上的“创建计算机对象”权限,则所有者的结果将基于计算机容器/OU上的权限,即创建者即为所有者。但注意不要拿管理员帐户做这个实验,因为管理组成员创建的资源,所有者总是Administrators/Domain Admins这个组,而不是具体的哪个管理员用户帐户。
二、禁用/启用计算机帐户
如果计算机帐户被禁用,会使使用那台计算机的用户由于“找不到计算机帐户”而无法登录到域,出错提示为:无法与域连接……,域控制器不可用……,找不到计算机帐户……。
在域中需要有计算机帐户是我们最前面提到的用户登录到域的两个必备条件之一。解决办法很简单,由管理员启用该计算机帐户即可。可以用管理工具“AD用户和计算机”,也可以使用03的Dsmod computer命令,该命令格式如下:
dsmod computer “cn=computername,cn=computers,dc=ms,dc=com” -disabled no
引号内为标识名DN,若DN中不含空格,也可以不用引号。使用Dsmod user也可以禁用/启用用户帐户,命令格式与此相同。
说明:手动禁用后,客户机需要重启才不可登录;启用后,马上即可登录。
管理员禁用计算机帐户,主要是基于安全考虑,如公司财务主管出差,为了避免其它人使用该计算机登录到财务的域,可将其计算机帐户暂时禁用。再者就是域成员计算机正常脱离域,其计算机帐户不会被马上删除,而是被禁用了。这个功能在2000上,大多数时候不好使;而在XP/03上,只要你在脱离域时,输入正 确的用户名和密码,帐户是会被自动禁用的。再次加入时,会被自动启用。
三、重设计算机帐户
作为域成员的每一个Windows 2000/XP/03工作站或服务器都与域控制器有一个离散的通讯通道,也叫安全通道。安全通道的密码与计算机帐户一道,储存在所有的域控制器中。
对于 Windows 2000/XP/03,默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步,登录时就会出现出错提示:计算机帐户丢失……。
解决办法:这时就需要重设计算机帐户,该计算机需要重新加入域。简单地说就是重设的计算机帐户相当于一个新的预建的计算机帐户。
以上讨论了NT/2000/03域中的计算机帐号,及常见与计算机帐户相关故障的原因和解决办法。不尽之处,请批评指正
用凤凰万能启动盘解决本地/域管理员密码丢失
本地管理员密码丢失,可通过删除SAM文件或通过NTPASSWORD软件来解决。但要解决域管理员密码丢失,它们就无能为力了。这时就需要用到“凤凰万能启动盘”了,本文将详细讨论使用此盘解决管理员密码丢失问题。
1、上网搜索“凤凰启动盘”或“凤凰万能启动盘”,大约178M;
2、下载后解压缩,将其内容刻录成光盘;
3、用此光盘启动计算机,显示XP安装界面,Start ERD Commander 2002环境,并提示按F6安装存储设备,如果需要此时可按F7,后面有讨论;
4、出现选择菜单,选择第一项:ERD Commander 2002;
5、出现类似XP的启动界面
6、进入选择系统安装的路径,一般会自动测出操作系统、版本及是否域控制器;
7、出现类似的XP桌面:选择Start/Administrative Tools/Locksmith;
8、进入ERD Commander 2002 locksmith向导界面,下一步;
9、选择Administrator,重设其密码;(此时切不可手动重新启动计算机,否则此修改将无效)
1、上网搜索“凤凰启动盘”或“凤凰万能启动盘”,大约178M;
2、下载后解压缩,将其内容刻录成光盘;
3、用此光盘启动计算机,显示XP安装界面,Start ERD Commander 2002环境,并提示按F6安装存储设备,如果需要此时可按F7,后面有讨论;
4、出现选择菜单,选择第一项:ERD Commander 2002;
5、出现类似XP的启动界面
6、进入选择系统安装的路径,一般会自动测出操作系统、版本及是否域控制器;
7、出现类似的XP桌面:选择Start/Administrative Tools/Locksmith;
8、进入ERD Commander 2002 locksmith向导界面,下一步;
9、选择Administrator,重设其密码;(此时切不可手动重新启动计算机,否则此修改将无效)
10、选择Start/Logoff,点OK;
11、稍候片刻,点reboot后重新启动计算机
相关讨论:
一、凤凰启动盘功能强大,不仅可破解本地管理员密码,包括NT/2000/XP/03的各个版本。还可以破解NT/2000/03域管理员密码,均已实验证明。由于可自动识别操作系统和版本,及是否DC,所以用户在操作时,重设密码的方法都是一样的。
另外还提供的其它工具,实现修改注册表、恢复NTFS加密的软件、NTFS FOR DOS、多种网卡支持、制作各种启动盘等等,不一一赘述。
二、 有些老服务器,BIOS版本较低,不完全兼容ACPI。安装2000/03时,出现蓝屏故障:提示用户在系统提示按F6时,不按F6而按F7来禁用 ACPI,以完成2000/03的安装。当然也可以通过升级BIOS来解决。总之对于这样的需要按F7才能完成2000/03安装的服务器,在使用凤凰启 动盘时,选择ERD Commander 2002后,在提示按F6安装存储设备时,要按F7,否则也会出现蓝屏故障。
三、对于2003域,默认域的安全策略与2000域不同。要求域用户的口令必须符合复杂性要求,且密码最小长度为7。口令的复杂性包括三条:一是大写字母、小写字母、数字、符号四种中必须有3种,二是密码最小长度为6,三是口令中不得包括全部或部分用户名。
所以在使用凤凰启动盘重设03域管理员密码时,一定要注意这点。否则就会得出错误结论:只可破解NT/2000域,不能破解03域。也就是说:如果域密码已经丢失,重设的口令要符合复杂性和密码最小长度为7的条件,否则重设的密码会无效。
当然在做这个实验时,也可以先重设默认域的安全策略来解决。操作如下:开始/程序/管理工具/域安全策略/帐户策略/密码策略:
密码必须符合复杂性要求:由“已启用”改为“已禁用”;
密码长度最小值:由“7个字符”改为“0个字符”。
使此策略修改生效有如下方法:
1、等待系统自动刷新组策略,约5分钟~15分钟
2、重启域控制器(若是修改的用户策略,注销即可)
3、使用gpupdate命令。(推荐使用这个)
说明:2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。命令格式如下:
仅刷新计算机策略:gpupdate /target:computer
仅刷新用户策略: gpupdate /target:user
二者都刷新: gpupdate
此命令也适用于,修改了域/OU上的组策略,欲对客户机或用户马上生效。在客户机上运行此命令即可。自动刷新间隔:DC到DC是5分钟,2个以上的多DC,最长可能达到15分钟,DC到非DC是90+ -30分钟,即60~120分钟。
11、稍候片刻,点reboot后重新启动计算机
相关讨论:
一、凤凰启动盘功能强大,不仅可破解本地管理员密码,包括NT/2000/XP/03的各个版本。还可以破解NT/2000/03域管理员密码,均已实验证明。由于可自动识别操作系统和版本,及是否DC,所以用户在操作时,重设密码的方法都是一样的。
另外还提供的其它工具,实现修改注册表、恢复NTFS加密的软件、NTFS FOR DOS、多种网卡支持、制作各种启动盘等等,不一一赘述。
二、 有些老服务器,BIOS版本较低,不完全兼容ACPI。安装2000/03时,出现蓝屏故障:提示用户在系统提示按F6时,不按F6而按F7来禁用 ACPI,以完成2000/03的安装。当然也可以通过升级BIOS来解决。总之对于这样的需要按F7才能完成2000/03安装的服务器,在使用凤凰启 动盘时,选择ERD Commander 2002后,在提示按F6安装存储设备时,要按F7,否则也会出现蓝屏故障。
三、对于2003域,默认域的安全策略与2000域不同。要求域用户的口令必须符合复杂性要求,且密码最小长度为7。口令的复杂性包括三条:一是大写字母、小写字母、数字、符号四种中必须有3种,二是密码最小长度为6,三是口令中不得包括全部或部分用户名。
所以在使用凤凰启动盘重设03域管理员密码时,一定要注意这点。否则就会得出错误结论:只可破解NT/2000域,不能破解03域。也就是说:如果域密码已经丢失,重设的口令要符合复杂性和密码最小长度为7的条件,否则重设的密码会无效。
当然在做这个实验时,也可以先重设默认域的安全策略来解决。操作如下:开始/程序/管理工具/域安全策略/帐户策略/密码策略:
密码必须符合复杂性要求:由“已启用”改为“已禁用”;
密码长度最小值:由“7个字符”改为“0个字符”。
使此策略修改生效有如下方法:
1、等待系统自动刷新组策略,约5分钟~15分钟
2、重启域控制器(若是修改的用户策略,注销即可)
3、使用gpupdate命令。(推荐使用这个)
说明:2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。命令格式如下:
仅刷新计算机策略:gpupdate /target:computer
仅刷新用户策略: gpupdate /target:user
二者都刷新: gpupdate
此命令也适用于,修改了域/OU上的组策略,欲对客户机或用户马上生效。在客户机上运行此命令即可。自动刷新间隔:DC到DC是5分钟,2个以上的多DC,最长可能达到15分钟,DC到非DC是90+ -30分钟,即60~120分钟。
自制作2000/03启动盘解决常见启动故障
作为网管,有一个必备工具就是:系统启动盘(不同于代替光盘启动的4张安装启动盘),以备不时之需。下面介绍一下制作方法:
使用2000/03格式化一张软盘,将资源管理器/工具/文件夹选项/查看的“隐藏受保护的操作系统文件(推荐)”选项,取消选中;“显示所有文件和文件夹”选项,选中;“隐藏已知文件类型的扩展名”选项,取消选中。
这时在C盘根下,就可看到ntldr、ntdetect.com、boot.ini文件,将此三个文件拷贝到A盘根下。
修改boot.ini文件,通过复制多写几条通过ARC路径指明的系统文件夹路径,以备当由于增减磁盘,增减分区,工具软件,系统错误导致boot.ini指向不对,而无法启动的问题。出错提示为:winnt\system32\ntoskrnl.exe找不到。
ARC路径一般看1、3、4参数:磁盘控制器、磁盘、分区(只有SCSI设备,且BIOS中禁用时,才看1、2、4参数),前三个参数的起始值为0,只有分区参数从1开始。
如:multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Server" /fastdetect。如果使用RAID卡,不同的卡,ARC路径、参数会有所不同。
这张盘有什么用?它可解决:
1、ntldr missing。
2、Boot.ini中ARC路径对系统夹的指向不对
3、活动分区属性丢失。
具 体使用方法很简单,当出现上述问题时,插入这张软盘,启动计算机,在启动菜单中选择(若启不来,多试几条ARC路径,保证正确指对硬盘上的系统夹),结合硬盘上的系统夹,将2000/03系统启动起来。启动起来以后,手动改下回来即可。对于故障1,手动拷回ntldr文件;对于故障2,根据前面的情况,修改ARC路径;对故障3,在我的电脑/右键/管理/磁盘管理:适当分区上/右键/将磁盘分区标记为活动的。
2000和03启动盘可通用,只不过2000系统夹文件名为WINNT,03为Windows。已通过实验验证。
新增说明:
1、微软的产品十分讲究向前兼容,03的三个关键启动文件,可用于NT/2000/XP/03系统的启动。但是注意:反之,则不行。比如:用2000系统做的这种启动盘,启2000没问题,来启03,则会出错。所以这张启动盘, 为了通用,应该用03格式化,拷贝03的三个关键启动文件。
2、关于兼容NT,没真正试过,NT已经好难找了
使用2000/03格式化一张软盘,将资源管理器/工具/文件夹选项/查看的“隐藏受保护的操作系统文件(推荐)”选项,取消选中;“显示所有文件和文件夹”选项,选中;“隐藏已知文件类型的扩展名”选项,取消选中。
这时在C盘根下,就可看到ntldr、ntdetect.com、boot.ini文件,将此三个文件拷贝到A盘根下。
修改boot.ini文件,通过复制多写几条通过ARC路径指明的系统文件夹路径,以备当由于增减磁盘,增减分区,工具软件,系统错误导致boot.ini指向不对,而无法启动的问题。出错提示为:winnt\system32\ntoskrnl.exe找不到。
ARC路径一般看1、3、4参数:磁盘控制器、磁盘、分区(只有SCSI设备,且BIOS中禁用时,才看1、2、4参数),前三个参数的起始值为0,只有分区参数从1开始。
如:multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Server" /fastdetect。如果使用RAID卡,不同的卡,ARC路径、参数会有所不同。
这张盘有什么用?它可解决:
1、ntldr missing。
2、Boot.ini中ARC路径对系统夹的指向不对
3、活动分区属性丢失。
具 体使用方法很简单,当出现上述问题时,插入这张软盘,启动计算机,在启动菜单中选择(若启不来,多试几条ARC路径,保证正确指对硬盘上的系统夹),结合硬盘上的系统夹,将2000/03系统启动起来。启动起来以后,手动改下回来即可。对于故障1,手动拷回ntldr文件;对于故障2,根据前面的情况,修改ARC路径;对故障3,在我的电脑/右键/管理/磁盘管理:适当分区上/右键/将磁盘分区标记为活动的。
2000和03启动盘可通用,只不过2000系统夹文件名为WINNT,03为Windows。已通过实验验证。
新增说明:
1、微软的产品十分讲究向前兼容,03的三个关键启动文件,可用于NT/2000/XP/03系统的启动。但是注意:反之,则不行。比如:用2000系统做的这种启动盘,启2000没问题,来启03,则会出错。所以这张启动盘, 为了通用,应该用03格式化,拷贝03的三个关键启动文件。
2、关于兼容NT,没真正试过,NT已经好难找了
利用Windows 2000 Server 的RRAS实现软路由
作为网管,随着本公司网络的发展和扩充,有时需要把多个网段连接起来。在没有路由器和三层交换机的情况下,可以利用Windows 2000 Server 的路由和远程访问(RRAS)实现软路由,把多个网段连接起来。还可利用RRAS中的输入/输出筛选器设置具体的基于IP、基于协议、基于应用(端口)的 访问控制。
一、首先以两个网段为例,说明如何实现互联及其原理。
网络A:192.168.10.X 255.255.255.0
||
网卡a:192.168.10.250
网卡b:192.168.0.7
||
网络B:192.168.0.X 255.255.255.0
首先说明一下,对于此种简单互联,并不需要配置动态路由协议RIPv2或OSPF。动态路由协议是用于两个或两个以上路由器之间自动交换路由信息的,而 这种情况只需要一台2000S计算机配两块网卡充当路由器。实现起来很简单,只需要在2000S上启用RRAS,选“网络路由器”即可。
原理如下:
A、未配置RRAS时
192.168.10.X---192.168.10.250:通,因为是同一网段的
192.168.10.X---192.168.0.7:通,是因为两个网卡都在同一台计算机2000S上,NT/2000默认启用“IP转发”。
也就是说在未启用RRAS时,在各自网段的计算机就都能PING通作为路由器的2000S的两个网卡IP,但这时不能PING通另外网段的计算机。
B、配置并启用RRAS后,192.168.10.X---192.168.0.X马上就通了。并不需要手动添加路由记录,或使用动态路由协议。因为2000S的RRAS会根据两块网卡的TCP/IP配置,自动生成两条记录,内容如下:
接口:网卡b(192.168.0.7)
目标:192.168.0.0
掩码:255.255.255.0
网关:192.168.0.7
意思就是:想访问192.168.0.X,走192.168.0.7这个口。
接口:网卡a(192.168.10.250)
目标:192.168.10.0
掩码:255.255.255.0
网关:192.168.10.250
意思就是:想访问192.168.10.X,走192.168.10.250这个口。
实现此种互联的其它方法:
方法一:利用默认网关互指。即:
网卡a的默认网关配:网卡b的IP
网卡b的默认网关配:网卡a的IP。
目的也是为了生成类似上面的二条记录,只不过目标是:0.0.0.0,掩码:0.0.0.0,它表示除了本机、本网络、组播地址……等等已指明路径以外所有的目标走默认网关。
方法二:利用ROUTE ADD命令手动添加两条路由记录。命令格式如下:
route add 192.168.0.0 mask 255.255.255.0 192.168.0.7 -p
route add 192.168.10.0 mask 255.255.255.0 192.168.10.250 -p
其中-p参数的意义是:添加一条永久记录,否则机器重启时,非永久(静态)记录会消失。
二、以三个网段互联为例,说明如何实现更多的网段互联
{网络A}==至A:R1:至B=={网络B}==至B2:R2:至C=={网络C}
R1到网络A、B的网卡分别为至A、至B
R2到网络B、C的网卡分别为至B2、至C
实现网络A、B、C软路由互联,可使用的方法:
1、手动路由记录(最麻烦,但容易掌握原理)
2、默认网关互指(也可了解原理)
3、RIPv2(最省事,中小型网络的动态路由协议:MS的说法,不超过50个路由器)
4、OSPF(最省事,大中型异构网络的动态路由协议)
方法一:以手动路由记录为例,说明原理:
1、要想使网络A能访问网络C,在R1配:
接口:至B
目标:网络C
掩码:网络C
网关:至B2
意思就是:A要访问C,从“至B”走,下一站是“至B2”。
2、要想使网络C能访问网络A,在R2配:
接口:至B2
目标:网络A
掩码:网络A
网关:至B
意思就是:C要访问A,从“至B2”走,下一站是“至B”
[说明]
1、两条记录都建好后,A和C之间才能通,因为PING命令是双向的,其它网络访问也一样
是双向。
2、四个、五个……更多网络互联时,也是类似的,都是在本地路由器上,通过路由记录指明下一个路由器是谁。至于到达下一个路由器之后怎么走,那就是下一个路由器的事了。
方法二:将“至B”和“至B2”的默认网关互指,即:
R1的至B网卡,默认网卡配:至B2
R2的至B2网卡,默认网卡配:至B
[说明]
方法一和方法二可以结合使用。因为手动配默认网关,也相当于手动路由记录。
方法三:RIPv2
在R1和R2上分别安装路由协议RIPv2,这样就不必手动路由记录了,动态路由协议将会自动在R1、R2上各生成一条记录。
[说明]
1、在RRAS中显示IP路由选择表时,可以看到由RIPv2生成的记录,其通讯协议注明来源于:RIP,而不象其它记录为:本地或网络管理。
2、RIP协议的原理是基于单播/组播/广播的周期公告,来与其它路由器交流网络路由信息的,周期公告间隔,默认为30秒。作实验时可适当调小,或多等一会儿。
方法四:OSPF
在R1和R2上分别安装路由协议OSPF,将会自动在R1、R2上各生成三条记录,通讯协议为:OSPF。
[说明]
1、三条记录中有一条是我们最需要的那个,其余两条与原有的来源于本地/网络管理的内容重复。
2、不能在R1上RIP2,在R2上OSPF这样交差混用。开放式最短路径优先OSPF是基于复杂的数据矢量算法的,在MS 2000S软路由上,两种协议无法交流路由信息。
三、利用2000S RRAS中的输入/输出筛选器设置具体的基于IP、基于协议、基于应用(端口)的访问控制。
操作方法如下:
开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规:输入/输出筛选器。
[说明]
1、是输入还是输出,是相对RRAS这台计算机上的具体网卡而言的。
2、注意对话框上面的选项是:接收(还是丢弃)所有除符合下列的条件以外的数据包。
3、在源网络和目标网络设置中什么都不选:相当于“任何”。
4、如需针对具体应用作限制,选择协议及端口,如WEB服务器应为TCP:80口。其它的应用可查阅winnt\system32\drivers\etc\services和protocol文件。
一、首先以两个网段为例,说明如何实现互联及其原理。
网络A:192.168.10.X 255.255.255.0
||
网卡a:192.168.10.250
网卡b:192.168.0.7
||
网络B:192.168.0.X 255.255.255.0
首先说明一下,对于此种简单互联,并不需要配置动态路由协议RIPv2或OSPF。动态路由协议是用于两个或两个以上路由器之间自动交换路由信息的,而 这种情况只需要一台2000S计算机配两块网卡充当路由器。实现起来很简单,只需要在2000S上启用RRAS,选“网络路由器”即可。
原理如下:
A、未配置RRAS时
192.168.10.X---192.168.10.250:通,因为是同一网段的
192.168.10.X---192.168.0.7:通,是因为两个网卡都在同一台计算机2000S上,NT/2000默认启用“IP转发”。
也就是说在未启用RRAS时,在各自网段的计算机就都能PING通作为路由器的2000S的两个网卡IP,但这时不能PING通另外网段的计算机。
B、配置并启用RRAS后,192.168.10.X---192.168.0.X马上就通了。并不需要手动添加路由记录,或使用动态路由协议。因为2000S的RRAS会根据两块网卡的TCP/IP配置,自动生成两条记录,内容如下:
接口:网卡b(192.168.0.7)
目标:192.168.0.0
掩码:255.255.255.0
网关:192.168.0.7
意思就是:想访问192.168.0.X,走192.168.0.7这个口。
接口:网卡a(192.168.10.250)
目标:192.168.10.0
掩码:255.255.255.0
网关:192.168.10.250
意思就是:想访问192.168.10.X,走192.168.10.250这个口。
实现此种互联的其它方法:
方法一:利用默认网关互指。即:
网卡a的默认网关配:网卡b的IP
网卡b的默认网关配:网卡a的IP。
目的也是为了生成类似上面的二条记录,只不过目标是:0.0.0.0,掩码:0.0.0.0,它表示除了本机、本网络、组播地址……等等已指明路径以外所有的目标走默认网关。
方法二:利用ROUTE ADD命令手动添加两条路由记录。命令格式如下:
route add 192.168.0.0 mask 255.255.255.0 192.168.0.7 -p
route add 192.168.10.0 mask 255.255.255.0 192.168.10.250 -p
其中-p参数的意义是:添加一条永久记录,否则机器重启时,非永久(静态)记录会消失。
二、以三个网段互联为例,说明如何实现更多的网段互联
{网络A}==至A:R1:至B=={网络B}==至B2:R2:至C=={网络C}
R1到网络A、B的网卡分别为至A、至B
R2到网络B、C的网卡分别为至B2、至C
实现网络A、B、C软路由互联,可使用的方法:
1、手动路由记录(最麻烦,但容易掌握原理)
2、默认网关互指(也可了解原理)
3、RIPv2(最省事,中小型网络的动态路由协议:MS的说法,不超过50个路由器)
4、OSPF(最省事,大中型异构网络的动态路由协议)
方法一:以手动路由记录为例,说明原理:
1、要想使网络A能访问网络C,在R1配:
接口:至B
目标:网络C
掩码:网络C
网关:至B2
意思就是:A要访问C,从“至B”走,下一站是“至B2”。
2、要想使网络C能访问网络A,在R2配:
接口:至B2
目标:网络A
掩码:网络A
网关:至B
意思就是:C要访问A,从“至B2”走,下一站是“至B”
[说明]
1、两条记录都建好后,A和C之间才能通,因为PING命令是双向的,其它网络访问也一样
是双向。
2、四个、五个……更多网络互联时,也是类似的,都是在本地路由器上,通过路由记录指明下一个路由器是谁。至于到达下一个路由器之后怎么走,那就是下一个路由器的事了。
方法二:将“至B”和“至B2”的默认网关互指,即:
R1的至B网卡,默认网卡配:至B2
R2的至B2网卡,默认网卡配:至B
[说明]
方法一和方法二可以结合使用。因为手动配默认网关,也相当于手动路由记录。
方法三:RIPv2
在R1和R2上分别安装路由协议RIPv2,这样就不必手动路由记录了,动态路由协议将会自动在R1、R2上各生成一条记录。
[说明]
1、在RRAS中显示IP路由选择表时,可以看到由RIPv2生成的记录,其通讯协议注明来源于:RIP,而不象其它记录为:本地或网络管理。
2、RIP协议的原理是基于单播/组播/广播的周期公告,来与其它路由器交流网络路由信息的,周期公告间隔,默认为30秒。作实验时可适当调小,或多等一会儿。
方法四:OSPF
在R1和R2上分别安装路由协议OSPF,将会自动在R1、R2上各生成三条记录,通讯协议为:OSPF。
[说明]
1、三条记录中有一条是我们最需要的那个,其余两条与原有的来源于本地/网络管理的内容重复。
2、不能在R1上RIP2,在R2上OSPF这样交差混用。开放式最短路径优先OSPF是基于复杂的数据矢量算法的,在MS 2000S软路由上,两种协议无法交流路由信息。
三、利用2000S RRAS中的输入/输出筛选器设置具体的基于IP、基于协议、基于应用(端口)的访问控制。
操作方法如下:
开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规:输入/输出筛选器。
[说明]
1、是输入还是输出,是相对RRAS这台计算机上的具体网卡而言的。
2、注意对话框上面的选项是:接收(还是丢弃)所有除符合下列的条件以外的数据包。
3、在源网络和目标网络设置中什么都不选:相当于“任何”。
4、如需针对具体应用作限制,选择协议及端口,如WEB服务器应为TCP:80口。其它的应用可查阅winnt\system32\drivers\etc\services和protocol文件。
利用Windows 2000 Server的RRAS实现×××服务器
虚拟专用网络(×××-virtual private network)在×××客户机与×××网关之间创建一个加密的、虚拟的点对点连接,保障经过Internet部分的安全性。
比如公司人员出差到外地或在家中,需要访问公司企业网资源。如果直接拨入的话,经过Internet这部分的安全性无法保证,未加密的数据包很容易被人监听或利用网络嗅探器捕获。再者如果用户出差到外地,直接拨入到公司网络,上网费花的是长途话费。如果使用×××,可以先拨到当时的ISP,通过 Internet再到公司的企业网,这样上网费花的是市话费。这就是×××的两个功能,当然我们一般更关心前者。
实现×××,可以通过硬件,也可以利用Windows 2000 Server的RRAS实现×××服务器,这就是本文要讨论的。
比如公司人员出差到外地或在家中,需要访问公司企业网资源。如果直接拨入的话,经过Internet这部分的安全性无法保证,未加密的数据包很容易被人监听或利用网络嗅探器捕获。再者如果用户出差到外地,直接拨入到公司网络,上网费花的是长途话费。如果使用×××,可以先拨到当时的ISP,通过 Internet再到公司的企业网,这样上网费花的是市话费。这就是×××的两个功能,当然我们一般更关心前者。
实现×××,可以通过硬件,也可以利用Windows 2000 Server的RRAS实现×××服务器,这就是本文要讨论的。
一、 ×××服务器端配置
要求:一台2000S/AS,是否域成员均可实现,但细节上有差别,后面讨论。两块网卡,一块连Internet,一块连公司企业内部网(Intranet)。
操作:
1、 开始/程序/管理工具/路由和远程访问/计算机名上右键/配置并启用路由和远程访问。
2、 将启动向导,下一步/第三项:虚拟专用网络(×××)服务器。
说 明:如果选第三项×××服务器,那么它仅仅只接受×××用户连入,默认×××端口数为:PPTP端口128个,L2TP端口128个。而且需要说明的是: 即使当×××用户拨通×××服务器后,已经可以通过×××网关访问企业内部网资源了,但这时远程×××用户Ping ×××服务器的对外网卡,仍是不通的,因为它这时已经是隧道的一部分了。但内网用户Ping ×××服务器的对外网卡是通的。
如果想使××× 服务器既接受×××客户连入,也接受非×××客户(即普通用户)连入,这时可选第二项:远程访问服务器,默认×××端口数为:PPTP端口5 个,L2TP5端口5个;也可以选第五项:手动配置服务器。这时的现象是远程的×××用户可以Ping通×××服务器的对外网卡。
3、 协议:TCP/IP等。
说明:协议一般必须保证有TCP/IP,如果需要其它协议也可以添加上,但用户端也必须有相应协议才能拨通。
4、 Internet连接:对外网卡
5、 内部网络:对内网卡
注意:对外,对内网卡看清楚,切不可选错。
6、 远程客户IP分配:自动或来自一个指定的地址范围
说明:网络中若有可用的DHCP服务器,选自动。如果没有,手动指定一个内部网的合法IP地址段(注意不要冲突)即可。至少2个,因为一个分配给远程×××用户,×××服务器对外的虚拟PPP/SLIP网卡还需要一个内部IP。
7、 是否使用RADIUS服务器:否
说明:如果不需要统一的验证、不需要记录用户上网情况进行收费,不必使用。
若要使用RADIUS(IAS服务器)验证,必须结合域,注意:应以域管理员身份配置IAS,并且在IAS上右键/在AD中注册服务,否则需要手动在AD用户和计算机的“RAS and IAS Servers”组成员中添加IAS服务器的计算机帐号。
8、 完成
9、 要求配置DHCP中继代理
说明:只有在第6步选自动,且DHCP服务器与×××服务器不在同一网段,才需要配置DHCP中继代理:指明DHCP服务器的IP。
要求:一台2000S/AS,是否域成员均可实现,但细节上有差别,后面讨论。两块网卡,一块连Internet,一块连公司企业内部网(Intranet)。
操作:
1、 开始/程序/管理工具/路由和远程访问/计算机名上右键/配置并启用路由和远程访问。
2、 将启动向导,下一步/第三项:虚拟专用网络(×××)服务器。
说 明:如果选第三项×××服务器,那么它仅仅只接受×××用户连入,默认×××端口数为:PPTP端口128个,L2TP端口128个。而且需要说明的是: 即使当×××用户拨通×××服务器后,已经可以通过×××网关访问企业内部网资源了,但这时远程×××用户Ping ×××服务器的对外网卡,仍是不通的,因为它这时已经是隧道的一部分了。但内网用户Ping ×××服务器的对外网卡是通的。
如果想使××× 服务器既接受×××客户连入,也接受非×××客户(即普通用户)连入,这时可选第二项:远程访问服务器,默认×××端口数为:PPTP端口5 个,L2TP5端口5个;也可以选第五项:手动配置服务器。这时的现象是远程的×××用户可以Ping通×××服务器的对外网卡。
3、 协议:TCP/IP等。
说明:协议一般必须保证有TCP/IP,如果需要其它协议也可以添加上,但用户端也必须有相应协议才能拨通。
4、 Internet连接:对外网卡
5、 内部网络:对内网卡
注意:对外,对内网卡看清楚,切不可选错。
6、 远程客户IP分配:自动或来自一个指定的地址范围
说明:网络中若有可用的DHCP服务器,选自动。如果没有,手动指定一个内部网的合法IP地址段(注意不要冲突)即可。至少2个,因为一个分配给远程×××用户,×××服务器对外的虚拟PPP/SLIP网卡还需要一个内部IP。
7、 是否使用RADIUS服务器:否
说明:如果不需要统一的验证、不需要记录用户上网情况进行收费,不必使用。
若要使用RADIUS(IAS服务器)验证,必须结合域,注意:应以域管理员身份配置IAS,并且在IAS上右键/在AD中注册服务,否则需要手动在AD用户和计算机的“RAS and IAS Servers”组成员中添加IAS服务器的计算机帐号。
8、 完成
9、 要求配置DHCP中继代理
说明:只有在第6步选自动,且DHCP服务器与×××服务器不在同一网段,才需要配置DHCP中继代理:指明DHCP服务器的IP。
二、设置用户拨入权限
1、如果×××服务器不在域中,只能让远程×××用户利用×××服务器的本地帐号拨入。在×××服务器上操作如下:
我的电脑/右键/管理/创建本地帐号/属性/拨入/允许访问
2、如果×××服务器在域中,还可让远程×××用户利用域帐户拨入,在AD用户和计算机中设置,简单设置方法同上。复杂设置:可利用远程访问策略,需要考虑域是本机模式还是混合模式,这里就不详细说了。
注意:应以域管理员身份配置RRAS,否则需要手动在AD用户和计算机的“RAS and IAS Servers”组成员中添加RRAS即×××服务器的计算机帐号。
1、如果×××服务器不在域中,只能让远程×××用户利用×××服务器的本地帐号拨入。在×××服务器上操作如下:
我的电脑/右键/管理/创建本地帐号/属性/拨入/允许访问
2、如果×××服务器在域中,还可让远程×××用户利用域帐户拨入,在AD用户和计算机中设置,简单设置方法同上。复杂设置:可利用远程访问策略,需要考虑域是本机模式还是混合模式,这里就不详细说了。
注意:应以域管理员身份配置RRAS,否则需要手动在AD用户和计算机的“RAS and IAS Servers”组成员中添加RRAS即×××服务器的计算机帐号。
三、×××客户端配置
操作如下:
1、 网上邻居/右键属性/新建连接/向导:下一步
2、 选第三项:通过Internet连接到专用网络(×××)
3、 公用网络:不拨初始连接或自动拨此初始连接
说明:如果用户是拨号上Internet(Modem或ADSL),可设置自动拨此初始连接:到ISP的连接;如果是固定IP上网,选不拨初始连接。
4、 目标地址:×××服务器对外网卡的IP
5、 所用用户或仅自己使用此连接
6、 是否启用此连接的ICS共享
说明:如果想ICS,上一步必须选所有用户使用此连接。
另外就是关于“虚拟专用连接”属性设置:
1、 如果企业内部网是多层域结构,需要指明登录的域,可在“虚拟专用连接”/属性/选项/选中:包含WINDOWS登录域
2、 如果需要指明拨入×××服务器的类型(即所用×××协议是PPTP、还是L2TP)可在可在“虚拟专用连接”/属性/网络/呼叫×××服务器类型选择:自 动、PPTP、L2TP。需要说明的是如果想使用L2TP,必须在服务器端和客户机上安装来自共同信任CA颁发的证书。否则会出现:错误781,由于没有 找到有效的证书,加密尝试失败。
操作如下:
1、 网上邻居/右键属性/新建连接/向导:下一步
2、 选第三项:通过Internet连接到专用网络(×××)
3、 公用网络:不拨初始连接或自动拨此初始连接
说明:如果用户是拨号上Internet(Modem或ADSL),可设置自动拨此初始连接:到ISP的连接;如果是固定IP上网,选不拨初始连接。
4、 目标地址:×××服务器对外网卡的IP
5、 所用用户或仅自己使用此连接
6、 是否启用此连接的ICS共享
说明:如果想ICS,上一步必须选所有用户使用此连接。
另外就是关于“虚拟专用连接”属性设置:
1、 如果企业内部网是多层域结构,需要指明登录的域,可在“虚拟专用连接”/属性/选项/选中:包含WINDOWS登录域
2、 如果需要指明拨入×××服务器的类型(即所用×××协议是PPTP、还是L2TP)可在可在“虚拟专用连接”/属性/网络/呼叫×××服务器类型选择:自 动、PPTP、L2TP。需要说明的是如果想使用L2TP,必须在服务器端和客户机上安装来自共同信任CA颁发的证书。否则会出现:错误781,由于没有 找到有效的证书,加密尝试失败。
四、常见问题
1、用户拨通后,如同企业网本地用户一样,只要他有权限,可以访问公司企业网内的所有资源。但可能速度会慢一些,因为企业内部网用户一般10Mbps或100Mbps甚至1000Mbps连接,也就是说慢一些是正常的。
2、 如果用户拨通后,只能访问×××服务器,不能访问企业内部网其它服务器上的资源。应在“虚拟专用连接”/属性/网络/TCP/IP/高级/常规下,保证选中“在远程网络上使用默认网关”选项。
3、 如果用户拨通后,不能访问任何资源。这是由于×××用户没有租到一个合法的企业内部网IP所致的,可在客户机上运行ipconfig /all,查看它的虚拟PPP/SLIP网卡的IP,如果是WIN2000及以上的系统,没租到IP,将会以一个自动的私有IP(APIPA)地址配置自己,形式如169.254.*.*。也可在“虚拟专用连接”/右键/状态/详细信息中查看。
4、 如果企业内部网是一个大型的路由式网络,只要×××服务器的对内网卡上指明了正确的默认网关,远程×××客户即可访问企业中与×××服务器不在同一网段的计算机。
5、 用户拨入时出现:错误678,没有应答。这是由于×××服务器上的RRAS未有效启动,应检查RRAS配置,或禁用后,重新配置。
6、 对于大型企业,可能会同时有许多远程×××用户拨入。如果当初选第二项:远程访问服务器,默认×××端口数为:PPTP端口5个,L2TP5端口5个;由 于我们一般只使用PPTP,使用L2TP比较麻烦需要证书,所以第6个用户就无法连入;如果当初选第三项×××服务器,默认×××端口数为:PPTP端口 128个,L2TP5端口128个,第129个用户就无法连入。
解决办法很简单:×××端口不像普通远程访问(RAS)端口那样受物理端口的限制,它的端口数可任意设置。在RRAS/端口/右键/属性/PPTP/配置/指明最多端口数。
当 然有时管理员可能会基于性能的考虑,不想让太多的用户并发(同时)连接到×××服务器上,也可以设置适应的值,当重要用户上不来时,把某用户踢下线去。方法:在RRAS/远程访问客户端/拨入用户名上,可以查看连接时间、状态、发消息给他或所有人、断开(踢下)等。在RRAS/端口下也可以踢下,看状态。
1、用户拨通后,如同企业网本地用户一样,只要他有权限,可以访问公司企业网内的所有资源。但可能速度会慢一些,因为企业内部网用户一般10Mbps或100Mbps甚至1000Mbps连接,也就是说慢一些是正常的。
2、 如果用户拨通后,只能访问×××服务器,不能访问企业内部网其它服务器上的资源。应在“虚拟专用连接”/属性/网络/TCP/IP/高级/常规下,保证选中“在远程网络上使用默认网关”选项。
3、 如果用户拨通后,不能访问任何资源。这是由于×××用户没有租到一个合法的企业内部网IP所致的,可在客户机上运行ipconfig /all,查看它的虚拟PPP/SLIP网卡的IP,如果是WIN2000及以上的系统,没租到IP,将会以一个自动的私有IP(APIPA)地址配置自己,形式如169.254.*.*。也可在“虚拟专用连接”/右键/状态/详细信息中查看。
4、 如果企业内部网是一个大型的路由式网络,只要×××服务器的对内网卡上指明了正确的默认网关,远程×××客户即可访问企业中与×××服务器不在同一网段的计算机。
5、 用户拨入时出现:错误678,没有应答。这是由于×××服务器上的RRAS未有效启动,应检查RRAS配置,或禁用后,重新配置。
6、 对于大型企业,可能会同时有许多远程×××用户拨入。如果当初选第二项:远程访问服务器,默认×××端口数为:PPTP端口5个,L2TP5端口5个;由 于我们一般只使用PPTP,使用L2TP比较麻烦需要证书,所以第6个用户就无法连入;如果当初选第三项×××服务器,默认×××端口数为:PPTP端口 128个,L2TP5端口128个,第129个用户就无法连入。
解决办法很简单:×××端口不像普通远程访问(RAS)端口那样受物理端口的限制,它的端口数可任意设置。在RRAS/端口/右键/属性/PPTP/配置/指明最多端口数。
当 然有时管理员可能会基于性能的考虑,不想让太多的用户并发(同时)连接到×××服务器上,也可以设置适应的值,当重要用户上不来时,把某用户踢下线去。方法:在RRAS/远程访问客户端/拨入用户名上,可以查看连接时间、状态、发消息给他或所有人、断开(踢下)等。在RRAS/端口下也可以踢下,看状态。
Windows 2000 RRAS 输入/输出筛选器设置
前面我曾专门撰文《利用Windows 2000 Server 的RRAS实现软路由》,介绍如何将多个网段连接起来。本文将介绍如何利用RRAS中的输入/输出筛选器,设置具体的基于IP地址、基于协议、基于应用(端口)的访问控制。
比如有网友问:win2000 软路由的筛选器如何设置?如何区分输入和输出?假设如下情况,能否实现网段A能访问网段B,而网段B不能访问网段A,如何实现?
比如有网友问:win2000 软路由的筛选器如何设置?如何区分输入和输出?假设如下情况,能否实现网段A能访问网段B,而网段B不能访问网段A,如何实现?
{网络A}==网卡a:RRAS:网卡b=={网络B}
一、预备知识:
1、 实际中常需要针对具体应用作限制,那么网管就需要了解:常用服务、应用所用的协议及端口,可查阅winnt\system32\drivers\etc \protocol和文件services。如WEB服务器所用的http使用tcp:80口;ftp要使用tcp:20口来传数据,tcp:21口来控制;ping命令依赖协议号为3的ICMP协议。
2、TCP会话连接建立过程,以客户机访问WEB服务器(192.168.0.1)为例说明:
(1)客户机-->服务器,发出会话请求:192.168.0.1:80口在吗?
(2)客户机<--服务器,服务器会应答:在呀!我们怎么交谈?
(3)客户机-->服务器,发出它的建议:我使用1300口和你的80×××谈,怎么样?
这样服务器使用众所周知的http的默认80口,与客户端的大于1024随机任意的1300口建立了会话连接。这就是著名的TCP连接过程中的三次握手。
后面为了描述方便,简述为:客户机以任意端口去连WEB服务器的默认tcp:80口。其它应用、服务也是一样,如客户机以任意端口去连FTP服务器的默认tcp:20和21口;以UNC路径(形如:\\192.168.0.1或\\server或\\server.mcse.com)或网上邻居去访问网 络共享时,是客户机以任意端口去连服务器的默认tcp:139或tcp:445口,注意这里是“或”,已在2000计算机环境中实验证明。
3、任何宏观上的访问过程的本质都是两向的,即源向目标发出请求,目标向源返回答。两个方向都通,用户才能看到宏观上的访问(或者说通了)。如下图,B访问A将依次经过1—4这4步:
1、 实际中常需要针对具体应用作限制,那么网管就需要了解:常用服务、应用所用的协议及端口,可查阅winnt\system32\drivers\etc \protocol和文件services。如WEB服务器所用的http使用tcp:80口;ftp要使用tcp:20口来传数据,tcp:21口来控制;ping命令依赖协议号为3的ICMP协议。
2、TCP会话连接建立过程,以客户机访问WEB服务器(192.168.0.1)为例说明:
(1)客户机-->服务器,发出会话请求:192.168.0.1:80口在吗?
(2)客户机<--服务器,服务器会应答:在呀!我们怎么交谈?
(3)客户机-->服务器,发出它的建议:我使用1300口和你的80×××谈,怎么样?
这样服务器使用众所周知的http的默认80口,与客户端的大于1024随机任意的1300口建立了会话连接。这就是著名的TCP连接过程中的三次握手。
后面为了描述方便,简述为:客户机以任意端口去连WEB服务器的默认tcp:80口。其它应用、服务也是一样,如客户机以任意端口去连FTP服务器的默认tcp:20和21口;以UNC路径(形如:\\192.168.0.1或\\server或\\server.mcse.com)或网上邻居去访问网 络共享时,是客户机以任意端口去连服务器的默认tcp:139或tcp:445口,注意这里是“或”,已在2000计算机环境中实验证明。
3、任何宏观上的访问过程的本质都是两向的,即源向目标发出请求,目标向源返回答。两个方向都通,用户才能看到宏观上的访问(或者说通了)。如下图,B访问A将依次经过1—4这4步:
(2) (1)
<--网卡a-RRAS<--网卡b—
—网卡a -->RRAS—网卡b -->
(3) (4)
<--网卡a-RRAS<--网卡b—
—网卡a -->RRAS—网卡b -->
(3) (4)
4、输入还是输出筛选器,是指经过具体网卡,是进入还是离开RRAS这台计算机的而言的。以B网段客户机B1以任意端口去连A网段WEB-A服务器的默认80口为例,筛选器应做如下配置。说明:端口不配或配置为0表示任意端口。
(1)网卡b上,输入筛选器。源:B,端口:0 ;目标A端口:80;
(2)网卡a上,输出筛选器。源:B,端口:0 ;目标A端口:80;
(3)网卡a上,输入筛选器。源:A,端口:80;目标B端口:0;
(4)网卡b上,输出筛选器。源:A,端口:80;目标B端口:0;
(1)网卡b上,输入筛选器。源:B,端口:0 ;目标A端口:80;
(2)网卡a上,输出筛选器。源:B,端口:0 ;目标A端口:80;
(3)网卡a上,输入筛选器。源:A,端口:80;目标B端口:0;
(4)网卡b上,输出筛选器。源:A,端口:80;目标B端口:0;
二、分析:能否实现A到B通,B到A不通。
1、若是针对所有应用(对应任意端口)实现,答案是否定的。
2、若是针对单项应用,如前面提到的客户机访问WEB服务器,可以实现。即:
A网段用户能访问WEB-B服务器,B网段用户不能访问WEB-A服务器。
原理:配置好RRAS后,A到B,B到A,就都是通的。关键要把B到A的WEB-A设成不通。将前述4步,任意一步阻断,就可实现。也就是说有4种方法,理论上讲在(1)上设效果最优,但实际上差别不大。
3、既然单项应用可以实现,我们可以多做几条筛选器,把常用的应用、服务都罗列上,近似可以实现1中的要求。
1、若是针对所有应用(对应任意端口)实现,答案是否定的。
2、若是针对单项应用,如前面提到的客户机访问WEB服务器,可以实现。即:
A网段用户能访问WEB-B服务器,B网段用户不能访问WEB-A服务器。
原理:配置好RRAS后,A到B,B到A,就都是通的。关键要把B到A的WEB-A设成不通。将前述4步,任意一步阻断,就可实现。也就是说有4种方法,理论上讲在(1)上设效果最优,但实际上差别不大。
3、既然单项应用可以实现,我们可以多做几条筛选器,把常用的应用、服务都罗列上,近似可以实现1中的要求。
三、操作方法如下:
开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规:输入/输出筛选器。
说明:
1、注意对话框上面的选项是:接收(还是丢弃)所有除符合下列的条件以外的数据包。这两名话翻译的不好,可按如下理解:接收所有,除了下列数据包;丢弃所有,除了下列数据包。
2、在源网络和目标网络设置中什么都不选:相当于“任何”。另外:
指定某一个IP,形如IP地址:192.168.1.100,子网掩码:255.255.255.255。
指定一个网段,形如IP地址:192.168.1.0,子网掩码:255.255.255.0。
3、在端口上不配,或配置为0:相当于“任何”。
4、TCP(已建立的),指先前已建立好的TCP连接所用的数据包。这一选项平常一般用不到,除非一个连接已建立且不允许断开,而网管又要马上做筛选器设置。
5、注意区分UDP与TCP端口,即使它们使用相同的端口数值,也不能理解为同一个。
6、DHCP客户与DHCP服务器之间所有的通信都利用udp:67和68口进行。
7、ICMP协议是ping命令的应答所依赖的协议,它的协议号为3。如果不想应别ping你的计算机,可以在RRAS筛选器中禁用它。直接指明ICMP,或协议选其它,协议号上输入:3,这两种方法都可以。注意:ICMP代码和类型是不选或255表示:任何。
8、 在网上邻居/属性/本地连接/属性:TCP/IP—高级—选项—TCP/IP筛选,相当于一个简单的输出筛选器。实验中发现基于它的第三项IP协议号来阻止ping无效,怎么设都能ping通。但TCP/IP筛选在2000P/XP上非常有用,因为在2000P/XP上是不能安装RRAS的。
开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规:输入/输出筛选器。
说明:
1、注意对话框上面的选项是:接收(还是丢弃)所有除符合下列的条件以外的数据包。这两名话翻译的不好,可按如下理解:接收所有,除了下列数据包;丢弃所有,除了下列数据包。
2、在源网络和目标网络设置中什么都不选:相当于“任何”。另外:
指定某一个IP,形如IP地址:192.168.1.100,子网掩码:255.255.255.255。
指定一个网段,形如IP地址:192.168.1.0,子网掩码:255.255.255.0。
3、在端口上不配,或配置为0:相当于“任何”。
4、TCP(已建立的),指先前已建立好的TCP连接所用的数据包。这一选项平常一般用不到,除非一个连接已建立且不允许断开,而网管又要马上做筛选器设置。
5、注意区分UDP与TCP端口,即使它们使用相同的端口数值,也不能理解为同一个。
6、DHCP客户与DHCP服务器之间所有的通信都利用udp:67和68口进行。
7、ICMP协议是ping命令的应答所依赖的协议,它的协议号为3。如果不想应别ping你的计算机,可以在RRAS筛选器中禁用它。直接指明ICMP,或协议选其它,协议号上输入:3,这两种方法都可以。注意:ICMP代码和类型是不选或255表示:任何。
8、 在网上邻居/属性/本地连接/属性:TCP/IP—高级—选项—TCP/IP筛选,相当于一个简单的输出筛选器。实验中发现基于它的第三项IP协议号来阻止ping无效,怎么设都能ping通。但TCP/IP筛选在2000P/XP上非常有用,因为在2000P/XP上是不能安装RRAS的。
Windows 2000/03域和活动目录
本文缩略词语
|
MS:Microsoft 微软公司
95:Windows 95 98:Windows 98 XP:Windows XP NT:Windows NT Server 2000:Windows 2000 Server 03: Windows 2003 Server S:Server AS:Advanced Server |
AD:Active Directory 即活动目录
DC:Domain Controller 即域控制器 GC:Global Catalog 全局编录 TS:Terminal Service 终端服务 PDC:Windows NT Server域中的主域控制器 BDC:Windows NT Server域中的备份控制器 SAM库:安全帐号管理器数据库 FQDN:完全有效域名,如:mcse.com NetBIOS名称:形如mcse |
本文的目的,是作为域和AD的一篇入门文章,使没有安装过域,或刚刚接触域的年轻网管能对域和AD有一个全面的了解,并利用此文入门,将所管理的网络实现一个基于域的管理模式。
一、认识Windows的域
本小节重点从理论上阐述域的概念、作用和Windows中域的产生。
一台Windows计算机,它要么隶属于工作组,要么隶属于域。所以说到域,我们就不得不提一下工作组,工作组是MS的概念,一般的普遍称谓是对等网。 工作组通常是一个由不多于10台计算机组成的逻辑集合,如果要管理更多的计算机,MS推荐你使用域的模式进行集中管理,这样的管理更有效。你可以使用域、 活动目录、组策略等等各种功能,使你网络管理的工作量达到最小。当然这里的10台只是一个参考值,11台甚至20台,如果你不想进行集中的管理,那么你仍然可以使用工作组模式。
工作组的特点就是实现简单,不需要域控制器DC,每台计算机自己管理自己,适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义,只是在网上邻居的列表中实现一个分组而已;再就是对于“计算机浏览服务”,每一个工作组中,会自动推选出一个主浏览器,负责 维护本工作组所有计算机的NetBIOS名称列表。用户可以使用默认的workgroup,也可以任意起个名字,同一工作组或不同工作组在访问时也没有什 么分别。
域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,实现起来要复杂一些,至少需要一台计算机安装NT/2000/03 Server版本使其充当DC,来实现集中式的管理。
若考虑到容错的话,至少需要两台。对于NT4域就是一台PDC(具有唯一性),一至多台BDC,对于2000/03域,已经没有PDC和BDC的概念,要容错就需要两至多台DC。
域是逻辑分组,与网络的物理拓扑无关,可以很小,比如只有一台DC;也可以很大,包括遍布世界各地的计算机,比如大型跨国公司网络上的域(当然实际中他们多采用多域结构,还可以利用AD站点来优化AD复制)。
这个“目录服务数据库”,在NT4时,保存用户帐号名称和密码等安全安全信息,以及安全规则设置,又被称作安全帐号管理(SAM)数据库,简称SAM 库。在非DC上的本地的SAM库与DC上域所用的SAM库类似,只不过对于NT4域的SAM库文件,保存有整个域的用户和计算机,用“域用户管理器”和“ 服务器管理器”来管理,本地的SAM库文件,保存有本地机的用户,由“用户管理器”来管理。
从2000开始,MS引入了活动目录AD,DC通 过AD来提供目录的服务,例如它负责维护AD数据库、审核用户的账户和密码是否正确、将AD数据库复制到其它的DC等。AD库的核心文件就是 winnt\ntds\ntds.dit文件。注意组策略的具体设置值,并不存在这个文件中,而是保存在winnt\sysvol\sysvol这个共享夹下,用于向其它DC复制,传播给域成员,来生效。但需要说明的是:2000/XP/03的非DC域成员计算机上仍使用和NT4一样的SAM库文件来保存本地帐号。
正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员就可以基于域的“目录服务数据库”来进行集中管理、 共享资源,如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码,用户只需一次登录,即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行),而不需要多次提供用户名和 密码登录。
二、构建Windows 2000的域
这个过程简单说就是:选一台2000S/AS计算机,运行AD安装向导,在其上安装活动目录,使其成为DC。然后将其它的计算机加入到这个域。
说明:至于是用2000S,还是用2000AS,对于一般的用户差别不大。2000S支持最多4个CPU,最大4G内存;2000AS支持最多8个CPU,最大内存8G,还支持群集功能。但这些我们一般用户都用不到,所以对于普通用户来说,选择S或AS都是一样的。
1、系统要求
*一台2000S或2000AS独立或成员服务器,2000DS只有OEM版,随厂商硬件发售,平常我们是见不到的。
* 其上必须有一个NTFS 5.0分区,用来保存AD的sysvol文件夹。注意:2000的NTFS分区是NTFS 5.0,NT4的是NTFS 4.0,NT4必须安装SP4后,才可访问2000的NTFS分区。
* 网络上必须有可用的DNS服务器,并且必须支持SRV记录(Service Locaion Resource Record)和动态更新功能。如:MS Win2000S DNS,UNIX的DNS BIND 8.12及以上版本,使用已有的NT4 DNS是不行的。
说明:
构建NT4域并不需要DNS的支持,但2000域必须有DNS,且满足上述要求。
SRV记录的作用是指明域和站点(site)的DC、PDC仿真、GC是谁。动态更新也是2000DNS的新特色,管理员不必再象NT4 DNS那样手动为计算机创建或修改相应记录,在域成员计算机重启,或改名、改IP时依赖周期性更新,自动动态实现。
如果没有DNS服务器的话,也不一定非得预装DNS,可以在安装AD过程中,选择在本机上安装2000 DNS。而且推荐初学者使用这种方法,因为系统会根据你提供的FQDN域名,自动创建好DNS区域(zone),并配置成AD集成区域,仅安全动态更新。 如果需要向外连或反向解析,用户只需配置上转发器和反向区域即可,不需要的话,直接就可以用了。
如果决定在安装AD过程中在本机安装DNS, 应在安装前,将本机TCP/IP配置/DNS服务器指向自己,这样在安装AD完成后重启时,SRV记录将被自动注册到DNS服务器的区域当中去的,生成四 个以下划线开头的文件夹,如_msdcs,03DNS在这里夹的层次结构有所变化,但本质没变。当然如果忘了指,也可以后补上,只不过需要多重启一次。
2、安装步骤、注意事项、常见问题、经验技巧
(1)启动AD安装向导
方法一:开始/程序/管理工具/配置服务器/ Active Directory /启动AD安装向导。
方法二:熟练后一般常用,开始/运行:dcpromo。
(2)安装选项:指定服务器角色
三个界面,实现四种组合:
本小节重点从理论上阐述域的概念、作用和Windows中域的产生。
一台Windows计算机,它要么隶属于工作组,要么隶属于域。所以说到域,我们就不得不提一下工作组,工作组是MS的概念,一般的普遍称谓是对等网。 工作组通常是一个由不多于10台计算机组成的逻辑集合,如果要管理更多的计算机,MS推荐你使用域的模式进行集中管理,这样的管理更有效。你可以使用域、 活动目录、组策略等等各种功能,使你网络管理的工作量达到最小。当然这里的10台只是一个参考值,11台甚至20台,如果你不想进行集中的管理,那么你仍然可以使用工作组模式。
工作组的特点就是实现简单,不需要域控制器DC,每台计算机自己管理自己,适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义,只是在网上邻居的列表中实现一个分组而已;再就是对于“计算机浏览服务”,每一个工作组中,会自动推选出一个主浏览器,负责 维护本工作组所有计算机的NetBIOS名称列表。用户可以使用默认的workgroup,也可以任意起个名字,同一工作组或不同工作组在访问时也没有什 么分别。
域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,实现起来要复杂一些,至少需要一台计算机安装NT/2000/03 Server版本使其充当DC,来实现集中式的管理。
若考虑到容错的话,至少需要两台。对于NT4域就是一台PDC(具有唯一性),一至多台BDC,对于2000/03域,已经没有PDC和BDC的概念,要容错就需要两至多台DC。
域是逻辑分组,与网络的物理拓扑无关,可以很小,比如只有一台DC;也可以很大,包括遍布世界各地的计算机,比如大型跨国公司网络上的域(当然实际中他们多采用多域结构,还可以利用AD站点来优化AD复制)。
这个“目录服务数据库”,在NT4时,保存用户帐号名称和密码等安全安全信息,以及安全规则设置,又被称作安全帐号管理(SAM)数据库,简称SAM 库。在非DC上的本地的SAM库与DC上域所用的SAM库类似,只不过对于NT4域的SAM库文件,保存有整个域的用户和计算机,用“域用户管理器”和“ 服务器管理器”来管理,本地的SAM库文件,保存有本地机的用户,由“用户管理器”来管理。
从2000开始,MS引入了活动目录AD,DC通 过AD来提供目录的服务,例如它负责维护AD数据库、审核用户的账户和密码是否正确、将AD数据库复制到其它的DC等。AD库的核心文件就是 winnt\ntds\ntds.dit文件。注意组策略的具体设置值,并不存在这个文件中,而是保存在winnt\sysvol\sysvol这个共享夹下,用于向其它DC复制,传播给域成员,来生效。但需要说明的是:2000/XP/03的非DC域成员计算机上仍使用和NT4一样的SAM库文件来保存本地帐号。
正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员就可以基于域的“目录服务数据库”来进行集中管理、 共享资源,如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码,用户只需一次登录,即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行),而不需要多次提供用户名和 密码登录。
二、构建Windows 2000的域
这个过程简单说就是:选一台2000S/AS计算机,运行AD安装向导,在其上安装活动目录,使其成为DC。然后将其它的计算机加入到这个域。
说明:至于是用2000S,还是用2000AS,对于一般的用户差别不大。2000S支持最多4个CPU,最大4G内存;2000AS支持最多8个CPU,最大内存8G,还支持群集功能。但这些我们一般用户都用不到,所以对于普通用户来说,选择S或AS都是一样的。
1、系统要求
*一台2000S或2000AS独立或成员服务器,2000DS只有OEM版,随厂商硬件发售,平常我们是见不到的。
* 其上必须有一个NTFS 5.0分区,用来保存AD的sysvol文件夹。注意:2000的NTFS分区是NTFS 5.0,NT4的是NTFS 4.0,NT4必须安装SP4后,才可访问2000的NTFS分区。
* 网络上必须有可用的DNS服务器,并且必须支持SRV记录(Service Locaion Resource Record)和动态更新功能。如:MS Win2000S DNS,UNIX的DNS BIND 8.12及以上版本,使用已有的NT4 DNS是不行的。
说明:
构建NT4域并不需要DNS的支持,但2000域必须有DNS,且满足上述要求。
SRV记录的作用是指明域和站点(site)的DC、PDC仿真、GC是谁。动态更新也是2000DNS的新特色,管理员不必再象NT4 DNS那样手动为计算机创建或修改相应记录,在域成员计算机重启,或改名、改IP时依赖周期性更新,自动动态实现。
如果没有DNS服务器的话,也不一定非得预装DNS,可以在安装AD过程中,选择在本机上安装2000 DNS。而且推荐初学者使用这种方法,因为系统会根据你提供的FQDN域名,自动创建好DNS区域(zone),并配置成AD集成区域,仅安全动态更新。 如果需要向外连或反向解析,用户只需配置上转发器和反向区域即可,不需要的话,直接就可以用了。
如果决定在安装AD过程中在本机安装DNS, 应在安装前,将本机TCP/IP配置/DNS服务器指向自己,这样在安装AD完成后重启时,SRV记录将被自动注册到DNS服务器的区域当中去的,生成四 个以下划线开头的文件夹,如_msdcs,03DNS在这里夹的层次结构有所变化,但本质没变。当然如果忘了指,也可以后补上,只不过需要多重启一次。
2、安装步骤、注意事项、常见问题、经验技巧
(1)启动AD安装向导
方法一:开始/程序/管理工具/配置服务器/ Active Directory /启动AD安装向导。
方法二:熟练后一般常用,开始/运行:dcpromo。
(2)安装选项:指定服务器角色
三个界面,实现四种组合:
|
新域
附加DC |
新树
子域 |
新林
加入林 |
即:
* 新域—新树—新林
* 附加DC
* 新域—子域
* 新域—新树—加入林
全新安装:新域—新树—新林,这样来建立第一个域中的第一台DC。
2000的多域模型采用层次结构,不同于NT4域的平面结构,NT4的多个域之间只是通过信任关系关联起来。接下来以下图为例,对2000的域、树、林进行简要说明:
* 新域—新树—新林
* 附加DC
* 新域—子域
* 新域—新树—加入林
全新安装:新域—新树—新林,这样来建立第一个域中的第一台DC。
2000的多域模型采用层次结构,不同于NT4域的平面结构,NT4的多个域之间只是通过信任关系关联起来。接下来以下图为例,对2000的域、树、林进行简要说明:
ms.com
/ \
trainning.mcse.com lotus.com
/ \
trainning.mcse.com lotus.com
这整个是一个林,ms.com为林根域,有两个树,一个由ms.com和它的子域trainning.ms.com组成,另一个由lotus.com单独组成,林中有ms.com,trainning.ms.com,lotus.com三个域。相关概念如下:
林根域:在林中第一个建立的域,如:ms.com
树:共用连续的命名空间的多层域,如ms.com和trainning.ms.com
树根域:树最高层的域,名最短。如:ms.com
说明:
2000可采用多层域结构,但最有效、最简便的管理方法仍是单域,所以大家在实际工作中要记住一个原则“能用单域解决,就不用多域”。
再者2000AD是针对大中型网络设计的,而我们一般管理的网络也就几百个节点,属于小型网络,一般来讲用一个单域结构就够用了,不要人为将管理环境复杂化。在实验中,我们甚至可以一个林中只有一个树,一个树中只有一个域,一个域里只有一台DC。
另外前面已经说过了,域是逻辑分组,与网络的物理拓扑无关,不要总试图规划一个子网一个域。当然实际中多个子网一个域,子网中若有95/98/NT老计 算机,无法利用DNS直接登录到域,可以安装一台WINS服务器解决问题。将所有计算机,包括WINS服务器本身的TCP/IP配置中的WINS服务器指 向此WINS服务器即可。
(3)安装选项:新域的DNS全名
说明:
在这里应该输入新域的完全有效域名FQDN,形 如:mcse.com。系统会打算以mcse作为此域的NetBIOS名称,并在网络中检查是否存在重名,需要等一会儿。不重名则设为mcse,建议用户 不要修改此名;重名则设为mcse0,建议用户最好换个名字。这也就是说,网络中如果已有一个域,名字叫做mcse.org,也会出现NetBIOS名称 冲突的问题。
(4)安装选项:为新域指定一个NetBIOS名称
说明:
NetBIOS名称,只是为95/98/NT等老版本用户通过“浏览服务”或WINS来识别这个域用的,如果确信域用户都是2000及以上系统(它们通过DNS定位域),其实NetBIOS名称冲不冲突,都无所谓。
(5)安装选项:指定AD库和日志文件位置
说明:
如果仅是实验,用默认值即可。若是在真正的服务器上,都会有多块物理硬盘,最好分开存放,以提高性能。另外需要强调的是:AD库和日志文件并不要求非得NTFS 5.0分区,很多2000/03书在此语焉不详。
(6)安装选项:指定sysvol文件夹位置
说明:
是sysvol这个文件夹要求必须得NTFS 5.0分区。在它当中存储有DC间AD要同步的内容,包括组策略的设置值。
(7)这时网络中若无可用DNS服务器,就会出现提示:找不到DNS服务器,需要考虑在本机上安装一个DNS服务器。可先不必理会,点“确定”,接下来选“是,在本机上安装并配置DNS”。初学者在此不要选“否,我将自己安装并配置DNS”。
(8)几分后,安装完成,需要重启。
说明:
若硬盘或网络上没有可用的2000S源文件,会提示要2000S光盘。
最好用新装2000S来安装AD,这样不容易出问题。如果你是用一个台运行了一段时间的2000S/AS,来安装AD,使其成为DC。重启及登录时可能会很慢(有时可能长达20分钟),这是较常见的现象。一般2-3次以后就好了,如果多次重启后还那样,那就要重装系统及AD了。
林根域:在林中第一个建立的域,如:ms.com
树:共用连续的命名空间的多层域,如ms.com和trainning.ms.com
树根域:树最高层的域,名最短。如:ms.com
说明:
2000可采用多层域结构,但最有效、最简便的管理方法仍是单域,所以大家在实际工作中要记住一个原则“能用单域解决,就不用多域”。
再者2000AD是针对大中型网络设计的,而我们一般管理的网络也就几百个节点,属于小型网络,一般来讲用一个单域结构就够用了,不要人为将管理环境复杂化。在实验中,我们甚至可以一个林中只有一个树,一个树中只有一个域,一个域里只有一台DC。
另外前面已经说过了,域是逻辑分组,与网络的物理拓扑无关,不要总试图规划一个子网一个域。当然实际中多个子网一个域,子网中若有95/98/NT老计 算机,无法利用DNS直接登录到域,可以安装一台WINS服务器解决问题。将所有计算机,包括WINS服务器本身的TCP/IP配置中的WINS服务器指 向此WINS服务器即可。
(3)安装选项:新域的DNS全名
说明:
在这里应该输入新域的完全有效域名FQDN,形 如:mcse.com。系统会打算以mcse作为此域的NetBIOS名称,并在网络中检查是否存在重名,需要等一会儿。不重名则设为mcse,建议用户 不要修改此名;重名则设为mcse0,建议用户最好换个名字。这也就是说,网络中如果已有一个域,名字叫做mcse.org,也会出现NetBIOS名称 冲突的问题。
(4)安装选项:为新域指定一个NetBIOS名称
说明:
NetBIOS名称,只是为95/98/NT等老版本用户通过“浏览服务”或WINS来识别这个域用的,如果确信域用户都是2000及以上系统(它们通过DNS定位域),其实NetBIOS名称冲不冲突,都无所谓。
(5)安装选项:指定AD库和日志文件位置
说明:
如果仅是实验,用默认值即可。若是在真正的服务器上,都会有多块物理硬盘,最好分开存放,以提高性能。另外需要强调的是:AD库和日志文件并不要求非得NTFS 5.0分区,很多2000/03书在此语焉不详。
(6)安装选项:指定sysvol文件夹位置
说明:
是sysvol这个文件夹要求必须得NTFS 5.0分区。在它当中存储有DC间AD要同步的内容,包括组策略的设置值。
(7)这时网络中若无可用DNS服务器,就会出现提示:找不到DNS服务器,需要考虑在本机上安装一个DNS服务器。可先不必理会,点“确定”,接下来选“是,在本机上安装并配置DNS”。初学者在此不要选“否,我将自己安装并配置DNS”。
(8)几分后,安装完成,需要重启。
说明:
若硬盘或网络上没有可用的2000S源文件,会提示要2000S光盘。
最好用新装2000S来安装AD,这样不容易出问题。如果你是用一个台运行了一段时间的2000S/AS,来安装AD,使其成为DC。重启及登录时可能会很慢(有时可能长达20分钟),这是较常见的现象。一般2-3次以后就好了,如果多次重启后还那样,那就要重装系统及AD了。
3、域成员计算机
(1)将计算机加入到域
首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。然后我的电脑/右键/属性/网络标识/属性/隶属于,选择域:输入域名,确定。提示输入用户口和口令,确定后提示重启。
说明:
加入域时,如果输入的域名为FQDN格式,形如mcse.com,必须利用DNS中的SRV记录来找到DC,如果客户机的DNS指的不对,就无法加入到域。
加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但它不是一个完善的服务,有时就会不好使。
这样虽然也可把计算机加入到域,而且在等较长时间后也可以登录到域上去,但不推荐。因为客户机的DNS指的不对,则它无法利用2000DNS的动态更新 动能,也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它,这本 应是可以的。
再者,管理员无法在客户机上利用域的管理工具来远程管理域,因为这些管理工具必须使用DNS,出错提示:找不到域命名信息(有时客户机的DNS Client服务有问题也会出现上述提示,重启服务即可)。这种情况下,要进行远程管理,就只能利用TS(终端服务)基于IP来连了。
当然用户也可以手动配置WINS或Lmhosts文件,来查找DC。这主要用于95/98/NT老版本计算机跨子网(路由)查找DC或加入域,因为这些 老版本计算机无法利用DNS来查找DC,浏览服务又是广播方式,只能在本网段进行,因为广播信息是无法通过路由器的,RFC1542标准的路由器,可设置成允许DHCP的广播数据通过,仅是一个特例。需要说明的是:95/98可以使用域用户帐号登录到域,但并不能加入到域,在AD中也没有计算机帐号,而 NT可以。
计算机加入域成功后,未重启,即已在AD用户和计算机/computer容器下生成计算机帐号了,实验中查看时,需要手动刷新一下。而在DNS中记录必须 在计算机重启后(不必登录)或15分钟后才能自动注册或更新到DNS区域。但若我们平常修改一个计算机的名字或IP,要马上更新到DNS区域,倒不一定非 得重启,可利用ipconfig /registerdns命令就行。明白以上讨论可用于排错,不一定非得重启登录后才知道结果。
加入到 NT4域时,需要有管理特权才行;从Windows 2000开始,微软作了改进:在Windows 2000/03域中,默认Authenticated Users即可在域中最多创建 10 个计算机帐户。Authenticated Users指被验证的用户组,也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。常见问题:在实际中用普通域帐号加计算机到域,有时会 不好使,原因是同名计算机帐号(极可能是它自己已经失效的计算机帐号)已存在而无权覆盖,这时就得用域管理员帐号了。
(2)在加入域的计算机上,用域用户帐号登录到域。
说明:
在域中的非DC计算机上,可以选择登录到域或本机,这是因为它同时还拥有本地用户帐号。而在DC上只能选择登录到域了,因为整个域都是DC的,它没有必要再保留本地帐号了。2000是个红叉,03干脆就没有了。
安装AD时,会自动删除本地帐号,即使将来删除AD,也无法将本地帐号复原,而是重新生成的。这一点一定要注意:如果本地有EFS加密的文件,一定要将证书导出或将文件解密后,再在这台计算机上做AD安装实验。
在2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS根据SRV记录告诉它DC是谁,客户机联系DC,验证后登录。
(3)深入讨论:
如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。
前面我们在步骤(1)中强调“加入域前,首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。”其实如果域中有多个DNS 服务器,也可以指向其它的DNS服务器,当然这些DNS服务器之间得有区域复制关系。这样做的目的恰恰是:大中型网络为了平衡DNS负载
(1)将计算机加入到域
首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。然后我的电脑/右键/属性/网络标识/属性/隶属于,选择域:输入域名,确定。提示输入用户口和口令,确定后提示重启。
说明:
加入域时,如果输入的域名为FQDN格式,形如mcse.com,必须利用DNS中的SRV记录来找到DC,如果客户机的DNS指的不对,就无法加入到域。
加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但它不是一个完善的服务,有时就会不好使。
这样虽然也可把计算机加入到域,而且在等较长时间后也可以登录到域上去,但不推荐。因为客户机的DNS指的不对,则它无法利用2000DNS的动态更新 动能,也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它,这本 应是可以的。
再者,管理员无法在客户机上利用域的管理工具来远程管理域,因为这些管理工具必须使用DNS,出错提示:找不到域命名信息(有时客户机的DNS Client服务有问题也会出现上述提示,重启服务即可)。这种情况下,要进行远程管理,就只能利用TS(终端服务)基于IP来连了。
当然用户也可以手动配置WINS或Lmhosts文件,来查找DC。这主要用于95/98/NT老版本计算机跨子网(路由)查找DC或加入域,因为这些 老版本计算机无法利用DNS来查找DC,浏览服务又是广播方式,只能在本网段进行,因为广播信息是无法通过路由器的,RFC1542标准的路由器,可设置成允许DHCP的广播数据通过,仅是一个特例。需要说明的是:95/98可以使用域用户帐号登录到域,但并不能加入到域,在AD中也没有计算机帐号,而 NT可以。
计算机加入域成功后,未重启,即已在AD用户和计算机/computer容器下生成计算机帐号了,实验中查看时,需要手动刷新一下。而在DNS中记录必须 在计算机重启后(不必登录)或15分钟后才能自动注册或更新到DNS区域。但若我们平常修改一个计算机的名字或IP,要马上更新到DNS区域,倒不一定非 得重启,可利用ipconfig /registerdns命令就行。明白以上讨论可用于排错,不一定非得重启登录后才知道结果。
加入到 NT4域时,需要有管理特权才行;从Windows 2000开始,微软作了改进:在Windows 2000/03域中,默认Authenticated Users即可在域中最多创建 10 个计算机帐户。Authenticated Users指被验证的用户组,也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。常见问题:在实际中用普通域帐号加计算机到域,有时会 不好使,原因是同名计算机帐号(极可能是它自己已经失效的计算机帐号)已存在而无权覆盖,这时就得用域管理员帐号了。
(2)在加入域的计算机上,用域用户帐号登录到域。
说明:
在域中的非DC计算机上,可以选择登录到域或本机,这是因为它同时还拥有本地用户帐号。而在DC上只能选择登录到域了,因为整个域都是DC的,它没有必要再保留本地帐号了。2000是个红叉,03干脆就没有了。
安装AD时,会自动删除本地帐号,即使将来删除AD,也无法将本地帐号复原,而是重新生成的。这一点一定要注意:如果本地有EFS加密的文件,一定要将证书导出或将文件解密后,再在这台计算机上做AD安装实验。
在2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS根据SRV记录告诉它DC是谁,客户机联系DC,验证后登录。
(3)深入讨论:
如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。
前面我们在步骤(1)中强调“加入域前,首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。”其实如果域中有多个DNS 服务器,也可以指向其它的DNS服务器,当然这些DNS服务器之间得有区域复制关系。这样做的目的恰恰是:大中型网络为了平衡DNS负载
三、建立其它域控制器
前面我们讨论了“建立第一个域中的第一台域控制器”,分析得很细。以下相同知识点的内容将不再赘述。
1、安装附加DC
(1)以本机管理员身份登录,在独立或成员服务器上,启动AD安装向导。
说明:
将成为附加DC的计算机,不必非得先加入域。
DNS指向已有DC所用DNS服务器,以便找到已有DC。安装结束后,一般应该手动在本机上再装一个DNS服务器,以实现DNS的容错。
(2)选择:现有域的额外域控制器
(3)输入域管理员帐号,如:administrator,password,mcse.com(或mcse)。
常见找不到域的出错提示:域“mcse.com”不是AD域,或用于域的AD域控制器无法联系上。
解决:确保DNS指向已有DC所用DNS的服务器。
其它:Ping一下,检查物理连通性。高级用户是否设过TCP/IP筛选器或RRAS筛选器。
(4)输入域名,如:mcse.com。
(5)指定AD库和日志文件位置
(6)指定sysvol文件夹位置
(7)一般选:“与Windows 2000服务器之前的版本相兼容的权限”
(8)目录服务恢复模式的管理员密码
(9)几分后,安装完成,需要重启。
(10)手动在本机上安装DNS服务器,以实现DNS的容错。
A、开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统(DNS)。
B、开始/程序/管理工具/DNS
C、正向搜索区域/右
前面我们讨论了“建立第一个域中的第一台域控制器”,分析得很细。以下相同知识点的内容将不再赘述。
1、安装附加DC
(1)以本机管理员身份登录,在独立或成员服务器上,启动AD安装向导。
说明:
将成为附加DC的计算机,不必非得先加入域。
DNS指向已有DC所用DNS服务器,以便找到已有DC。安装结束后,一般应该手动在本机上再装一个DNS服务器,以实现DNS的容错。
(2)选择:现有域的额外域控制器
(3)输入域管理员帐号,如:administrator,password,mcse.com(或mcse)。
常见找不到域的出错提示:域“mcse.com”不是AD域,或用于域的AD域控制器无法联系上。
解决:确保DNS指向已有DC所用DNS的服务器。
其它:Ping一下,检查物理连通性。高级用户是否设过TCP/IP筛选器或RRAS筛选器。
(4)输入域名,如:mcse.com。
(5)指定AD库和日志文件位置
(6)指定sysvol文件夹位置
(7)一般选:“与Windows 2000服务器之前的版本相兼容的权限”
(8)目录服务恢复模式的管理员密码
(9)几分后,安装完成,需要重启。
(10)手动在本机上安装DNS服务器,以实现DNS的容错。
A、开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统(DNS)。
B、开始/程序/管理工具/DNS
C、正向搜索区域/右
转载于:https://blog.51cto.com/laowu2517/241027
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
