通過上面的案例，我們發(fā)現(xiàn)：目前國內(nèi)信息化項(xiàng)目此起彼伏，而企業(yè)內(nèi)部網(wǎng)絡(luò)的安全規(guī)劃則是我們的重中之重。而我們卻習(xí)慣性的認(rèn)為安全就要靠防火墻，安全就要靠殺毒軟件。殊不知這些都是解決表面問題的手段。一個真正意

通過上面的案例，我們發(fā)現(xiàn)：目前國內(nèi)信息化項(xiàng)目此起彼伏，而企業(yè)內(nèi)部網(wǎng)絡(luò)的安全規(guī)劃則是我們的重中之重。

而我們卻習(xí)慣性的認(rèn)為安全就要靠防火墻，安全就要靠殺毒軟件。殊不知這些都是解決表面問題的手段。

一個真正意義上安全的網(wǎng)絡(luò)首先是需要一個安全強(qiáng)壯的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，其次是基于強(qiáng)壯骨架之上的服務(wù)。而我們所面對的安全問題從應(yīng)用層去解決的方法其實(shí)就在我們所熟知的micsoft 產(chǎn)品中---windows 域。

在基于域環(huán)境的計算機(jī)管理手段中策略正式我們強(qiáng)行管理企業(yè)內(nèi)部網(wǎng)絡(luò)的鋼鐵法則。域環(huán)境之所以強(qiáng)大，之所以安全也正是域的管理模式是基于法則的。 一個社會之所以安定，是要一部不斷健全的法律來支持的。而我們windows 域環(huán)境正是以這樣的結(jié)構(gòu)和方式去對域中的計算機(jī)、帳戶等資源進(jìn)行統(tǒng)一集中管理的。今天拋磚引玉，以這樣的方案提出了域的概念，而對域更深層次的理解以及更詳細(xì)的應(yīng)用，請見下篇：《深入理解域概念之開國篇》

要創(chuàng)建windows 域，就要弄明白什么是windows 域，windows 域可以解決什么問題。要弄明白什么是windows 域，就要先來一起回顧一下工作組：

首先, 工作組中, 每一臺計算機(jī)都獨(dú)立維護(hù)自己的資源, 不能集中管理所有網(wǎng)絡(luò)資源

其次, 每一臺計算機(jī)都在本地存儲用戶的帳戶

第三, 一個賬戶只能登陸到一臺計算機(jī)

第四, 工作組中計算機(jī)都是平等的, 對于其他計算機(jī)來說即是服務(wù)器, 也是客戶機(jī)

第五, 工作組的網(wǎng)絡(luò)規(guī)模一般少于10臺計算機(jī).

成都有條很有名的步行街，里面有個派出所，早期的時候8臺計算機(jī)，工作組管理模式。網(wǎng)絡(luò)配置很輕松, 幾乎不用管理. 哪臺機(jī)器有問題就去哪來機(jī)器上解決. 工作強(qiáng)度也不是很大. 不到3個月時間. 隨著信息化的深入, 公司的計算機(jī)臺數(shù)增加到了50臺. 網(wǎng)管員采用同樣的管理方式. 每天都很忙碌, 從早上到公司到晚上離開, 一直在解決網(wǎng)絡(luò)中用戶的計算機(jī)故障問題, 病毒IE首頁篡改甚至出現(xiàn)了公司內(nèi)部惡意攻擊的事件, 經(jīng)常晚上加班, 通宵達(dá)旦的工作. 但問題總是解決不了。

一個月后, 他被辭退了。

為什么會這樣呢? 有沒有更簡單方便的管理方式呢?

下面我們來看這么個例子:

如果我們把工作組看成是原始社會, 各服務(wù)器(人) 各自為政

再想想剛剛的例子, 小張公司的8臺電腦最開始都是各自為政的,

所以就不存在管理的概念,

小張只能充當(dāng)一個哪里出問題就去哪解決的故障排除機(jī)器般的被動角色. 那么在網(wǎng)絡(luò)日益應(yīng)用廣泛, 結(jié)構(gòu)越來越復(fù)雜的今天, 我們可不可以, 讓我們的計算機(jī)網(wǎng)絡(luò)世界也進(jìn)化一下呢?

比如在計算機(jī)中通過網(wǎng)絡(luò)成立一個國家, 在公司的一定范圍內(nèi)實(shí)現(xiàn)集中管理, 中央集權(quán)!!

(微軟替我們想到了這一點(diǎn), 也做到了這一點(diǎn), 從微軟的NT 時代就提出的域的概念, 演化到現(xiàn)在也就是我們的單域環(huán)境.)

一個國家可以管理的范圍只在一個國家內(nèi)(適合一些規(guī)模小, 地域范圍跨度小的公司), 想做更復(fù)雜范圍更廣闊的管理, 需要什么樣的體制呢?

感謝地球, 因?yàn)槲覀冇新?lián)合國, 歐盟.

實(shí)現(xiàn)多個基本管理范圍(國家, 域) 的聯(lián)合管理. 減少這些基本管理范圍內(nèi)的重復(fù)管理工作.

方便相互之間資源調(diào)用。(也就是現(xiàn)在域森林多域的網(wǎng)絡(luò)環(huán)境為當(dāng)今的跨地域性企業(yè)提供了高效適合管理的網(wǎng)絡(luò)管理方式.)

那么我們繼續(xù)剛剛的例子, 來看看活動目錄域的定義：

首先誰能加入聯(lián)合國(活動目錄中能放哪些對象)

其次共同遵守的設(shè)定和規(guī)則(通用性設(shè)定)

第三不干涉別國內(nèi)政(各域數(shù)據(jù)原則上由該數(shù)據(jù)所在的域進(jìn)行管理)

我們何以把活動目錄當(dāng)作一個聯(lián)合國, 其中包括了所有的成員國信息, 大家遵守統(tǒng)一的規(guī)則, 每個成員國各自管理自己的國家。

那么每個成員國以及每個國家中的人(域和域中的計算機(jī)) 如何去其他國家呢, 走什么樣的路線呢? 國家與國家之間又怎樣聯(lián)系彼此呢?

DNS 這個具有全球定位系統(tǒng)服務(wù)的管理機(jī)構(gòu), 也就是我們的聯(lián)合國管理委員會, 幫助我們解決了這個問題。

準(zhǔn)確的定位各個國家的位置, 并為各個國民提供了方便的查詢服務(wù).

我們想要去某個國家, 想在某個國家內(nèi)享受一個國民的基本權(quán)利, 比如取得這個國家提供的最低生活保證金(訪問域中的網(wǎng)絡(luò)資源:如共享文件, 打印), 就連想要加入某個國家國籍(加入域) 都必須通過DNS 這個機(jī)構(gòu)為我們指引。

有的人容易把域林域樹子域的概念搞混

那么在這里提出來再解釋一下：

結(jié)構(gòu)關(guān)系:域林和樹可以看成我們的聯(lián)合國和成員國(國家內(nèi)的省, 省內(nèi)的縣市, 縣市內(nèi)的村子) 這種管理結(jié)構(gòu)關(guān)系

稱呼名詞:而子域這個名稱是相對的, 可以看作一個相對某個成員國中的某一個省或者相對某個省的某一個縣。

這里有牽扯到一個名詞:DC(域控制器)

我們可以把它看成一個國家的首都(也就是一臺物理服務(wù)器上安裝了AD 活動目錄).

我們的所有的國民的戶籍信息都存儲在這里。

通過上面的幾個案例我們清楚的認(rèn)識到：

將網(wǎng)絡(luò)中多臺計算機(jī)邏輯上組織到一起，進(jìn)行集中管理，這種區(qū)別于工作組的邏輯環(huán)境叫做域，這個核心管理單元（域）可以幫助我們組織與存儲資源（包括物理、邏輯資源）。而這個核心管理單元的實(shí)現(xiàn)手段就是活動目錄（AD ）。

下面我們來看看活動目錄(AD)的安裝步驟，及注意事項(xiàng)：

1、運(yùn)行中輸入：dcpromo

2、是否創(chuàng)建新域（如果當(dāng)前網(wǎng)絡(luò)環(huán)境中沒有域，那么我們創(chuàng)建的就是整個森林的第一棵樹，日后他可能發(fā)展成為森林。）

3、新域的DNS 全名（全名要符合DNS 的命名規(guī)范）

4、新域的NetBIOS 名（用來使win98或者只能使用netbios 服務(wù)的操作系統(tǒng)加入域）

5、數(shù)據(jù)庫和日志文件文件夾（建議部署到非系統(tǒng)安裝盤下。）

6、共享的系統(tǒng)卷（sysvol 存放組策略的共享卷）

7、DNS 注冊診斷（AD 需要DNS 的支持，這里檢測當(dāng)前環(huán)境有沒有DNS ，沒有就在本機(jī)安裝）

8、域兼容性（域的功能級別：2000純模式、2000混合模式【默認(rèn)】、2003純模式）

9、還原模式密碼（DC 中另一個administrator 的密碼，不記載在AD 中。）

從安裝步驟中我們可以看出AD 活動目錄要是想要正常工作，那么就必須依靠DNS 的支持，而DNS 在域中的作用則是：

1、域名的命名采用DNS 標(biāo)準(zhǔn)

?辦公網(wǎng)絡(luò)與Internet 集成

2、定位DC

?1）客戶機(jī)發(fā)送DNS 查詢請求給DNS 服務(wù)器

?2）DNS 服務(wù)器查詢匹配的SRV 資源記錄

?3）DNS 服務(wù)器返回相關(guān)DC 的IP 地址列表給客戶機(jī)

?4）客戶機(jī)聯(lián)系到DC

?5）DC 響應(yīng)客戶機(jī)的請求

域的DNS 區(qū)域維護(hù)

*SRV資源記錄可以定位DC

我們在活動目錄管理的時候，遇到的很大一部分問題都是由DNS 引起的，那么除了DNS 我們還會遇到什么樣的問題，請見下篇《常見故障排除案例分析之加入域》