搭建企业域环境.doc

常州信息职业技术学院 毕业设计（论文）报告搭建企业域环境目录 摘要10引言21需求分析31.1企业结构3 1.2企业网络功能分析31.3企业网络功能需求42企业域规划4 2.1设计原则4 2.2设计方案43企业域环境所需设备44企业域环境搭建实施54.1AD和DNS简介 54.2域帐户的配置54.3密码策略设定64.4域控制器和DNS的安装64.5创建管理单元74.6配置管理单元84.7 FTP服务配置9 4.8 分布式文件系统94.9 WEB信息发布95企业域数据备份106测试验收106.1测试106.2验收107结论11谢辞11参考文献11摘要：本论文为中小企业的域控方案，主要从中小企业的应用需求和现有的服务器技术来规划和域服务器在企业中的应用，通过了解企业需求针对性的提出解决方案，根据需求配置网络服务，实现网络的集成管理和维护。本项目网络服务器为操作和管理都极为方便的windows server 2008，通过能服务器的搭建和管理，实现小型网络的服务应用需求。本项目的主要服务配置为，AD、DNS服务器、IIS服务器、共享服务器的应用，实现网络的信息服务和网络用户的集成管理，保证内网的安全，还有网络数据的安全和备份。关键字：域服务器；域控制；DNS服务器Build enterprise domain environmentAbstract: This thesis is a domain controller solutions for SMEs, mainly from the application needs of SMEs and existing server technology to plan and domain server application in the enterprise, understand business needs through targeted propose solutions, configure network services on demand , integrated network management and maintenance. The project for the operation and management of network servers are extremely convenient windows server 2008, through a server set up and management can achieve a small network service applications. The projects main service is configured, AD, DNS servers, IIS servers, shared server applications, network information services and integrated management of network users, to ensure security within the network, as well as network data security and backup.Keywords: domain server; domain controller; DNS server0 前言 随着网络和通信技术在生活中的广泛应用，在中小企业中，都会选择以信息化和网络化的办公环境和无纸化的办公环境。在中小企业中，现有的管理机制，很多时候都不能直接有效的对网络办公环境做到约束，不同的职能的办公人员，只需通过电脑和网络完成其职能范围内的工作即可，而多数时候，企业网络中整个网络中各种资源用户都很难有效整合。比如企业员工的信息管理、内部通信、企业信息发布、不同部门、不同职能、不同使用功能等，需要一个全局性的管理，让企业的管理机制在网络中实现。本项目的设计环境为中小企业，为满足企业网络资源的有效整合而设计，一般为办公写字楼、中小企业等，地理覆盖比较小，一般网络布线范围不超过一千米，适用于内网的管理和维护。网络服务的配置也主要针对中小企业的应用展开，适合企业部门的分级管理，通过创建域实现网络内部用户的不同管理，为不同用户分配其权限实现企业现有管理机制相吻合。项目主要针对规模不超过五百人，企业管理模式简单，地理范围集中的中小企业。1 需求分析1.1企业网络功能分析企业管理模式为从上到下四级结构，共有总经理、部门经理、职能部门和员工四级，各部门经理为平级管理层，各部门员工分别隶属其职能部门。总经理对其下各部门经理直接管理，各部门经理分管其下各职能部门，总经理办公室，部门经理公办室，职能部门有四个财务部、工程技术部、销售部、工商部，五十个网络节点分布在企业办公楼中。1.2 企业网络功能分析网络应具有VLAN划分功能；网络应具有访问控制功能；网络应满足故障应急恢复功能和冗余功能；1.3 企业网络功能需求1、在企业内实现域的集成管理；2、给企业每个成员添加域帐户并根据现有的公司管理机制配置权限；3、动态管理域成员信息；4、提供企业信息发布，如internet流媒体服务；5、提供FTP服务，不同管理部门FTP不同，并根据管理需要为不同用户分配目录及权限；6、提供企业内部邮件服务，公司内部通信交流通过邮件实现；7、对公司内电脑和用户的使用情况做出详细记录，单机单用，度并实现用户登录的时间限制。2 企业域规划2.1 设计原则1、域控规划应以现有的企业管理模式为标准，根据各职能部门的不同管理需要设计和规范用户权限；2、域控制器应满足安全要求，能够保证其全天候无故障运行；3、域控制器应满足冗余需求，当一台域控制器出现故障时，另一台域控制器可以接管该域控制器的工作，并正常运行；4、域控制器应有数据保护机制，能够保证企业数据的安全性和正确性5、域控制器配置应满足企业的应用需求，根据企业需求来配置域控制器提供的服务。6、域控制器就满足可扩展、经济、实用以节省项目资金。2.2 设计方案1、域控制器选用Windows Server Enterprise Edition，提供域管理和域名解析，采用双服务集群方案，一台为主服务器，一台备用服务器。双机热备，实现服务器全天候无故障运行，当一台服务器出现故障可由备用服务器直接接管主服务器的工作。2、根据公司现有的管理模式在域中配置管理相应模型及OU单元。3企业域环境所需设备装有Windows Server 2008 的服务器二台，一台用于安装域，另一台用来备份域数据。接入因特网的路由器一台；交换机若干，各个部门一台用于网络分段；PC若干。搭建企业域环境 常州信息职业技术学院 毕业设计（论文）报告4企业域环境搭建实施4.1 AD和DNS简介AD（Active Directory）即目录服务，用于存储网络上的对象信息，并使管理员和用户更方便的查找和使用这种信息。Active directory使用结构化的数据存储做为目录信息的逻辑化、分层结构的甚而。这种数据存储，也称目录，包含与Active Directory对象有关的信息。其对象通常包括共享资源，如服务器、卷、打印机、网络用户和计算机帐户。通过登录验证以及目录中对象的访问控制，将安全性集成到Active Directory中。通过一次网络登录，管理员可管理整个网络中的目录数据和单位，而且获得授权的网络用户可访问网络上任何地方的资源。基于策略的管理可减轻复杂网络的管理。而DNS即域名系统(Domain Name System)的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。DNS命名用于TCP/IP网络，如Internet，用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与此名称相当的其他信息，如IP地址。根据管理需求，选用网络管理操作系统为Windows Server 2008 Enterprise Edition。4.2 域帐户配置安装好Windows Server 2008后，可对其管理员帐户做配置，其默认显示用户名为Administrator，密码设置需满足复杂要求才会继续安装。完成安装后，可对系统默认Administrator用户做出更改，以增强系统安全性。更改默认系统用户名字可通过组策略进行配置，使用Win键+R也可在开始运行打开。运行命令Gpedit.msc打开组策略，选择本地计算机策略Windows设置本地策略安全策略选项，重命名系统管理员帐户。重命名管理员帐户和创建一个具管理员权限的帐户，并禁用Administrator帐户都是可以用来增强帐户安全，以防止可能通过网络暴力破解Administrator帐户密码。进入系统默认的administrator就会变成所更改的用户名称。当然该用户还是那个默认的administrator，只是换个名称而已，从系统安全的角度来说，如果是使用默认的administrator帐户登录，如果密码不够复杂，也会影响系统的安全性能。从系统用户的角度，密码的复杂性也是影响系统安全的要素，为了系统的安全设计windows server 2008 的系统管理员帐户的密码复杂要求是要满足一定复杂要求的。更改默认帐户，用其登陆4.3 密码策略设定默认的域管理员帐户是不可以更改其密码复杂要求的。不过对于域中的各个组织单元中的用户，是可以更改其密码复杂要求的。复杂要求比较高的密码会让人记忆比较麻烦，要不就写在一个本子上。如果对系统要求考虑不高的话，也可以调整系统密码的复杂程度，也可以通过组策略来实现。当然，一般来说，复杂性要求比较高还是非常推荐的。更改密码复杂性要求：运行gpedit.msc打开组策略编辑器windows 设置帐户策略密码策略,4.4域控制器和DNS的安装活动目录（active directory）主要用于简化整个网络资源的管理，使用网络更易扩展、更安全。运行域控制器向导也可以直接通过命令实现，也可运行服务器向导：命令实现域控制向导，可在开始运行输入命令dcpromo，即可直接运行域控制器向导。直接通过命令可省去域控制器配置检测网络状况。服务器添加新的角色，服务器会先检测网络设置和外围设备。Windows server 2008 提供文件服务、打印服务、邮件服务、DNS、域控制器等11种服务器角色，通过服务器配置向导，可轻松配置服务器，并且管理也极其方便。为服务器配置活动目录使其成为域控制器，并且把该域作为第一个域控制器，配置为新域中的控制器，在设计方案中，将还会有一台备用服务器，作为主服务器的候补，则备用服务器采用的是在现有的域安装额外的域控制器。接下来就是为新的域建立域名了。在这里，由于作为新的域控制器，网络中不存在其域名解析，所以必须在该服务器上集成DNS服务，为域名作解析。其配置如下：创建作用域的名称， 新建企业测试域名为：；如果在网络中存在比较早期的操作系统，如windows 98，windows 95等，则需要配置其NETBIOS名称，即为所创建的域名大写字母，一般都会自动生成，早期的系统并不算是真正意义的加入到域中，其用户并不能实现域用户设定的限制，只能算登录到域中。作为域中首个域控制器实现域名解析，其活动目录是与DNS集成的。所以，在运行安装向导时，会自动检测计算机上的网络配置情况，并告知更正错误。如果计算机上已经正确配置了IP地址，系统将会自动跳过，如果没有配置IP地址，可在此时设定其IP来更下系统检测错误。接下来输入系统的原还密码，等待服务器自动配置即可，此时会向系统写入初始服务目录、并配置到域控制器中、设置策略信息、在注册表上设置安全机制并且加密文件整个DNS配置过程将会占用的比较长的一段时间 。在DNS的配置过程中，必须为服务器配置静态的IP地址，以实现DNS的解析。这一步也可以在做整个网络划分时就做好其IP规划，先对服务器做好IP配置。此时，IP设置中的DNS服务器地址也将默认为该服务器的配置地址了。完成DNS设置后，重新启动计算机，启动配置的服务，服务器就不再是以本地计算机管理员的身份登陆了，而以一个域管理员的身份登陆计算机了。该服务器则是域控制器与DNS的服务器的集成了。4.5 创建管理单元正确的配置好域控制器和DNS服务器后，可根据实际需求通过OU（组织单位）部署公司部门等不同等级的帐户。通过GPMC（组策略编辑器和组策略管理控制台）把全公司计算机帐户纳入集中管理。在客户端加入到域中，实施域控制整体方案。OU组织单位，域环境下最小的管理模型。OU可容纳其对象，如用户帐户、组帐户、计算机帐户等，以便更容易的管理资源，并可以通过组策略来集中管理域的用户工作环境。OU单元的创建在管理工具active directory用户和计算机右击域名称-新建组织单位。在OU单元中建立子对象，并利用OU实现管理模型。其OU单元的建立，可根据不同的功能、位置及组织需求来设置。如下列所示，在OU中建立新的网络用户，并且把网络上的其他用户加入到该组织单元中，实现网络的统一管理。在域的环境中，域的用户帐户有本地用户帐户和域用户帐户两种，本地用户帐户存储在本地地计算机中，而域用户帐户则存储在活动目录中。域用户帐户的用户登陆名称（UPN），其格式与电子邮件的帐户相同，所以可以让用户不论在是登陆域还是收发邮件都可以使用统一的名称。在整个域中，这个名称必须是唯一的，默认的后缀是用户所在的域的域名。本例中所建的域为，所以在该域中所有用户的帐户登录名称后缀为。在windows 2000及其以前版本，其域的用户登陆则是用旧的格式，如来登陆到域控制器中,在管理单元中添加用户。做好对管理单元的配置即可让该管理单元中的用户登陆到域中。在计算机中以本地管理员的身份登陆，配置网络属性，让该计算机与域控制器保持连通。更改计算机名称，让其加入到域。右击计算机属性计算机名更改；此时即需要以域管理单元OU中所创建的用户登陆。成功加入到域中后，其重新启动该计算机，以域用户帐户登陆即可使该用户生效。域模型其实就是一个共享用户帐户、计算机帐户和安全策略的集合，在域模型中建立的用户可以在该域中所有的其他计算机中上使用，为其他计算机共享帐户。域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器是不需要被访问机器的许可的。4.6 配置管理单元在域中，用户的密码可以被称为登陆票据。它是由2008的DC上KDC服务来颁发的。为了保证系统安全，KDC服务器每30天会自动更新一次所有票据。当一台计算机要加入到域中时，会检测DC中是否含有该用户帐户，并且判断其用户票据是否正确。加入到域后，即会加载域控制器为用户配置的使用环境。所以，接下来，可以通过配置域控制器中用户的属性来配置管理不同用户的使用环境了。根据现在企业的管理机制，设定域用户的登录时间、计算机、登录的用户名、及设定用户锁定策略，保证域环境中用户和计算机的使用权。选择需要配置的域用户配置其帐户属性，配置帐户允许登陆的时间还可以配置允许哪些计算机使用该帐户登陆，因此实现不同组织范围的帐户登陆管理。比如在同一部门，所有的计算机都可以使用该帐户登陆到域中，而在不同部门则不允许使用该帐户。在这里，可以把该用户的详细做记录，包括帐户的电话、单位、所隶属的用户组、地址、会话、环境、远程拔入等。详细记录了一个帐户的详细信息。通过域管理器，实现对帐户的一般管理工作，对帐户名称的更改、删除帐户、禁用帐户、启用帐户、移动帐户、修改密码、解除锁定帐户等。对于域帐户的锁定策略，如果域中帐户密码输入次数超过其策略限制时，该用户即会被锁定。被锁定的用户，可以让域管理员通过更改帐户锁定选项来解除锁定。通过管理工具还可以轻松的查找到需要的用户、组、计算机、打印机共享文件等。只要在“菜单”“查找”输入所要查找的对象即可。根据企业现在有的管理机制在域中新建计算机，更改用户属性，并选择此用户所能登录的计算机，实现公司网络资源使用的唯一性。根据公司现有机制添加计算机，并且选择域中现有的用户，并让其使用该计算机加入到域中。根据企业管理需求，给计算机加入到不同的组中。公司共有个职能部门分别为财务部、工程技术部、工商部和销售部，为公司分别建立相对应的四个组，并把相对应的职能部门用户加入到其组中即可。可根据精确查找用户，选择使用指定的用户来使用指定的计算机。选择公司需求所要的用户；给管理组成员委派任务，根据企业管理需求分配权限。通过创建不同用户组，把企业组织管理中的不同成员和计算机分别加入到相应的组织单位和组中，实现现实管理中管理模式与域的管理结构相对应。从而实现企业办公流程的网络化。4.7 FTP服务配置FTP作为最常见的网络共享服务，在企业办公环境中，FTP服务也是十分有效和便捷的。公司员工可以通过FTP服务来提交工作报告，上传、下载、浏览公布在FTP服务器中的资源。并且，FTP服务也可以提供很好的管理模型，可以根据企业业务需要来订制FTP的权限模式。最常用的FTP服务器除了微软系统本身的文件服务器提供的FTP服务以外，最著名的FTP服务器配置软件就是Server-U。通过Server-U，可以把公司以及域控制器的管理模型与FTP完美的整合起来。根据公司业务规划，选用Server-U作为FTP服务器，配置并实现企业需求。具体步骤如下：1、 规划FTP服务器管理模型；2、 创建FTP服务用户；3、 分配权限和目录；4、 测试和使用FTP服务。4.8 分布式文件系统在企业的办公环境中，各部门员工所工作所需要的数据不一定需要在本地存在，比如各账务部门的报表和数据，每天都可能交给上级经理审核。在上一章节的配置中，可以采用FTP服务的方式，需要审核的报表等上传至经理所在文件中。在windows server 2003中，其系统还集成另外一种解决方案，即为文件的分布式管理（DFS）。其工作模式与FTP不同，在服务器上创建分布式文件系统可与现有的FTP和活动目录相结合，发布后的文件系统可在整个活动目录中查询。布署分布式文件系统步骤如下：1、 在创建分布式文件系统的创建共享文件夹；2、 运行配置向导，创建域根目录，并选择主持域；3、 查找域中的角色，并选择创建的位置；4、 选择创建的文件目录，即为所创建的共享文件；5、 根据需求在域根目录下创建连接；6、 测试所创建的文件系统，通过在本地和网上访问文件系统，实现企业资源的有效整合。4.9 WEB信息发布在windows server 2008中，信息发布还有一种常用方式，即WEB服务，通过浏览器实现最简单的信息服务，即应用程序服务器（IIS,ASP.NET），其配置如下：1、运行服务器向导应用程序服务器（IIS,ASP.NET），选择安装在服务器上的工具：frontpage server extension 和 ASP.NET；2、接下来安装和配置IIS（即internet information server）；3、等待安装结果，配置创建WEB服务和站点即可：打开控制面版internet信息服务（IIS）管理器即可完成配置，创建其所需要的站点即可。域成员通过网页访问企业网站，浏览其发布的信息。也可以通过智能建站，为企业内部各成员部门创建其对应站点，实现企业办公自动化。5 企业域数据备份域控制器的备份是通过在本地域上安装额外的域控制器，实现域控制器的冗余，达到域控制器业务安全运行的一种机制，在企业需求中，需要满足域控制器为全天候的正常运行，这就需要不仅域控制器本身有着良好的运行性能，还需要为其做冗余处理，以防止突发性质的故障所造成的业务中断情况。针对中小企业的运营规模和服务需求，采用双域控制器，相互备份的方案来解决域控制器在运行过程中存在的风险，保障企业的利益。1、域控制器的双机备份所做的第一步，即配置域主控制器。2、安装备用服务器，其计算机配置要求最好与主控制器保持一致。3、安装完成后，为备用域控制器运行域安装向导，选择现有域的额外域控制器。4、选择以域控制器管理员的用户名登录，以获得权限。5、选择需要备份的域控制器。6、等待该计算机从域控制器中备份数据即可，额外的服务器，除计算机名与唯一的域控制器不同以外，其活动目录与服务与主控制器保持一致。双机冗余，即使主控器意外死机，额外有域控制器也会接管其主控制器的工作，为全局提供安全稳定的服务。6 测试验收6.1 测试1、测试其DNS服