Windows网络服务_PPT_CHAP07_V1[1].0.ppt

BENET3 0第一学期课程 理论部分 第七章多域间访问 2 内容回顾 NLB群集的特点是什么 哪些服务适用于NLB群集 故障转移群集的特点是什么 WindowsServer2008有哪四种仲裁模式 3 技能展示 理解信任关系的概念掌握林和子域的创建掌握信任关系的创建掌握AGDLP规则理解林信任的概念 4 本章结构 多域间访问 创建林信任 创建外部信任 林之间信任 林间跨域访问资源 林 域树 子域 林 域树和子域 创建林 域树和子域 林中的信任关系 林中跨域访问 5 林 域树和子域 林 域树和子域都是活动目录的逻辑单元可以将网络划分成树状层次结构 6 创建多域的原因 域在活动目录中充当管理边界的作用域作为活动目录的容器 存放计算机 用户等对象有大量的活动目录对象 可以分解成多个域 使每个域活动目录对象较少部门 或分公司 之间有不同的密码要求 可以针对部门 或分公司 创建域分散的网络管理 而不是由一个域管理员管理 多个域意味着有多个域管理员对复制进行更多的控制 7 域树和子域 域树是共用连续域名空间的Windows域向域树中添加的任何新域都叫做子域 父域 子域 B B 树的根域 8 林 单个域树或者多个域树构成林林中的不同域树不共用连续的域名空间 B B A B H 域树 域树 林 林的根域 9 林的根域 在林中创建的第一个域叫做林的根域林根域有两个预定义的组EnterpriseAdminsSchemaAdmins 可以对活动目录中的整个林作修改 例如添加子域 可以对活动目录中整个林作架构修改 10 创建林 域树和子域 确认安装DC条件创建林创建子域创建另外一棵域树 B B A 11 林中的信任关系 信任是域之间沟通的桥梁 域之间访问需要有信任关系 12 林中信任关系特点 自动建立在创建子域或域树时自动创建双向信任在两个域之间有两个方向上的两条信任路径例如 域A信任域B 域B信任域A传递信任信任关系是可传递的例如 域A直接信任域B 域B直接信任域C 则域A信任域C 13 查看信任关系 父子信任 在同一个域树中父域和子域之间树根信任 在同一个林中两个域树根域之间 14 林中跨域资源访问 两种方式实现跨域访问使用账户登录账户域计算机 通过网络访问资源域的资源使用账户域账户在资源域计算机上登录从而访问资源域资源AGDLP含义将用户账户加入全局组将全局组加入本地域组给本地域组赋权限使用AGDLP简化了权限的管理 15 案例 跨域访问 假设域中有3个账户user1 user2 user3 域中有一个共享文件夹share 如何让user1 user2对share可以读取 而user3可以删除此文件夹 16 案例 跨域访问 推荐步骤在域创建两个全局组在域创建两个本地域组针对share文件夹给本地域组赋予相应权限将用户加入相应的全局组将全局组加入相应的域本地组分别以uer1 user2 user3验证访问 17 小结 请思考 在什么情况下使用多域 林中的信任关系特点是什么 林中默认的信任关系有哪些 18 林之间的信任 林之间的信任分为外部信任与林信任外部信任是指在不同林的域之间创建的不可传递的信任创建外部信任需要两个域能互相解析对方互设条件转发器 外部信任 19 外部信任的特点 手工建立林之间的信任关系需要手工创建信任关系不可传递信任方向有单向和双向单向分为内传和外传两种内传指指定域信任本地域外传指本地域信任指定域 20 创建外部信任 在林之间的任意两个域创建外部信任 21 林信任 林信任的意义如果两个林中有许多域 要跨域访问资源就需要创建很多个外部信任在林根域之间建立林信任就不需要创建多个外部信任 因为林信任是可传递的林信任的特点林功能级别为WindowsServer2003或更高才能创建只有在林根域之间才能创建建立林信任后 两个林中每个域之间的信任关系是可传递的信任方向有单向和双向两种 22 创建林信任 创建林信任与创建外部信任方法类似不同的是需要升级林功能级别为WindowsServer2003或更高 23 林间跨域访问资源 与林内跨域访问一样 还需设置正确访问权限才能成功访问资源应用AGDLP规则被信任域的帐户加入到被信任域的全局组被信任域的全局组加入到信任域的本地域组给信任域的本地域组设置权限 24 本章总结 多域间访问 创建林信任 创建外部信任 林之间信任 林间跨域访问资源 林 域树 子域 林 域树和子域 创建林 域树和子域 林中的信任关系 林中跨域访问 BENET3 0第一学期课程 上机部分 第七章多域间访问 26 实验案例1 安装子域 需求描述 BENET公司办公局域网的域名是 该公司最近又成立了一个新部门信息服务部 主要负责公司局域网的维护 公司打算把这个部门的局域网配置为现有域的子域 域名为 如何实现 27 实验案例1 安装子域 实现思路 两台虚拟机完成实验在安装子域DC前 子域的DC能解析父域子域DC服务器的DNS指向父域DNS服务器安装子域的DNS服务器 并设置转发器指向父域DNS服务器 28 实验案例1 安装子域 实现思路 创建域设置子域DC的DNS服务器成功创建子域 40分钟完成 29 实验案例2 创建外部信任 需求描述 BENET公司的工程部实施一个项目 有些项目工作文档存储在ACCP公司一台服务器的share文件夹中 工程部需要访问该文件夹 如何使用AGDLP规则实现 30 实验案例2 创建外部信任 实现思路 在实验一的基础上新建一台虚拟机创建另外一个林ACCP COM两个域互相设置条件转发器实现DNS解析 31 实验案例2 创建外部信任 学员练习 创建外部单向信任关系 使accp域信任benet域 在benet域上建立gcb