1、BENET3.0第一学期课程, 理论部分,第七章 多域间访问,2,内容回顾,NLB群集的特点是什么? 哪些服务适用于NLB群集? 故障转移群集的特点是什么? Windows Server 2008有哪四种仲裁模式?,3,技能展示,理解信任关系的概念 掌握林和子域的创建 掌握信任关系的创建 掌握AGDLP规则 理解林信任的概念,4,本章结构,多域间访问,创建林信任,创建外部信任,林之间信任,林间跨域访问资源,林、域树、子域,林、域树和子域,创建林、域树和子域,林中的信任关系,林中跨域访问,5,林、域树和子域,林、域树和子域都是活动目录的逻辑单元 可以将网络划分成树状层次结构,6,创建多域的原因,
2、域在活动目录中充当管理边界的作用 域作为活动目录的容器,存放计算机、用户等对象 有大量的活动目录对象,可以分解成多个域,使每个域活动目录对象较少 部门(或分公司)之间有不同的密码要求,可以针对部门(或分公司)创建域 分散的网络管理,而不是由一个域管理员管理,多个域意味着有多个域管理员 对复制进行更多的控制,7,域树和子域,域树是共用连续域名空间的Windows域 向域树中添加的任何新域都叫做子域,父域,子域,B,B,树的根域,8,林,单个域树或者多个域树构成林 林中的不同域树不共用连续的域名空间,B,B,A,B,H,域树,域树,林,林的根域,9,林的根域,在林中创建的第一个域叫做林的根域 林根
3、域有两个预定义的组 Enterprise Admins Schema Admins,可以对活动目录中的整个林作修改,例如添加子域,可以对活动目录中整个林作架构修改,10,创建林、域树和子域,确认安装DC条件 创建林 创建子域 创建另外一棵域树,B,B,A,11,林中的信任关系,信任是域之间沟通的桥梁,域之间访问需要有信任关系,12,林中信任关系特点,自动建立 在创建子域或域树时自动创建 双向信任 在两个域之间有两个方向上的两条信任路径 例如:域A信任域B,域B信任域A 传递信任 信任关系是可传递的 例如:域A直接信任域B,域B直接信任域C,则域A信任域C,13,查看信任关系,父子信任:在同一个
4、域树中父域和子域之间 树根信任:在同一个林中两个域树根域之间,14,林中跨域资源访问,两种方式实现跨域访问 使用账户登录账户域计算机,通过网络访问资源域的资源 使用账户域账户在资源域计算机上登录从而访问资源域资源 AGDLP含义 将用户账户加入全局组 将全局组加入本地域组 给本地域组赋权限 使用AGDLP简化了权限的管理,15,案例:跨域访问,假设域中有3个账户user1、user2、user3,域中有一个共享文件夹share。如何让user1、user2对share可以读取、而user3可以删除此文件夹?,16,案例:跨域访问,推荐步骤 在域创建两个全局组 在域创建两个本地域组 针对shar
5、e文件夹给本地域组赋予相应权限 将用户加入相应的全局组 将全局组加入相应的域本地组 分别以uer1、user2、user3验证访问,17,小结,请思考: 在什么情况下使用多域? 林中的信任关系特点是什么? 林中默认的信任关系有哪些?,18,林之间的信任,林之间的信任分为外部信任与林信任 外部信任是指在不同林的域之间创建的不可传递的信任 创建外部信任需要两个域能互相解析对方 互设条件转发器,外部信任,19,外部信任的特点,手工建立 林之间的信任关系需要手工创建 信任关系不可传递 信任方向有单向和双向 单向分为内传和外传两种 内传指指定域信任本地域 外传指本地域信任指定域,20,创建外部信任,在林
6、之间的任意两个域创建外部信任,21,林信任,林信任的意义 如果两个林中有许多域,要跨域访问资源就需要创建很多个外部信任 在林根域之间建立林信任就不需要创建多个外部信任,因为林信任是可传递的 林信任的特点 林功能级别为Windows Server 2003或更高才能创建 只有在林根域之间才能创建 建立林信任后,两个林中每个域之间的信任关系是可传递的 信任方向有单向和双向两种,22,创建林信任,创建林信任与创建外部信任方法类似 不同的是需要升级林功能级别为Windows Server 2003或更高,23,林间跨域访问资源,与林内跨域访问一样,还需设置正确访问权限才能成功访问资源 应用AGDLP规
7、则 被信任域的帐户加入到被信任域的全局组 被信任域的全局组加入到信任域的本地域组 给信任域的本地域组设置权限,24,本章总结,多域间访问,创建林信任,创建外部信任,林之间信任,林间跨域访问资源,林、域树、子域,林、域树和子域,创建林、域树和子域,林中的信任关系,林中跨域访问,BENET3.0第一学期课程, 上机部分,第七章 多域间访问,26,实验案例1:安装子域,需求描述: BENET公司办公局域网的域名是。该公司最近又成立了一个新部门信息服务部,主要负责公司局域网的维护。公司打算把这个部门的局域网配置为现有域的子域,域名为,如何实现?,,,27,实验案例1:安装子域,实现思路: 两台虚拟机完
8、成实验 在安装子域DC前,子域的DC能解析父域 子域DC服务器的DNS指向父域DNS服务器 安装子域的DNS服务器,并设置转发器指向父域DNS服务器,28,实验案例1:安装子域,实现思路: 创建域 设置子域DC的DNS服务器 成功创建子域,40分钟完成,29,实验案例2:创建外部信任,需求描述: BENET公司的工程部实施一个项目,有些项目工作文档存储在ACCP公司一台服务器的share文件夹中,工程部需要访问该文件夹,如何使用AGDLP规则实现,30,实验案例2:创建外部信任,实现思路: 在实验一的基础上新建一台虚拟机 创建另外一个林ACCP.COM 两个域互相设置条件转发器实现DNS解析,31,实验案例2:创建外部信任,学员练习: 创建外部单向信任关系,使accp域信任benet域。 在benet域上建立gcb全局组,将工程部全体员工归属到该组下。 在accp域上建立share本地域组,将benet域上gcb组归属到share组下,并赋予share组访问share文件夹的权限。 Benet域工程部员工能成功访问accp域的share文件夹,40分钟完成,32,
