某银行活动目录方案建议书

1、 中国银行活动目录部署建议书 上海赛卫思信息技术有限公司客户服务部上海赛卫卫思信息息技术有有限公司司客户服务务部20077-033-28V1.00上海浦东东向城路路15号号锦城大大厦111E电话：（86-21）5100298886传真：（86-21）5833124457文档说明明中国银行行网络基基础服务务和活动动目录方方案建议议书制作者孙可可审核者制作日期期200773更新日期期版本1.0密级散发范围围中国银行行说明本文档中中所包含含的内容容是上海海赛卫思思信息技技术有限限公司为中中国银行行提供的活活动目录录部署方方案，其其中可能能用到了了赛卫思思公司产产品和技技术的专专有信息息。这些些信息仅

2、仅在中国国银行活活动目录录部署过过程中使使用，不不应该被被扩散到到中国银银行以外外，同样样也不应应该在参参考此手手册的前前提下，复制、使用和和扩散本本手册。Micrrosooft Winndowws SServver、Intternnet Seccuriity andd Acccelleraatioon SServver 20006、MMicrrosooft SQLL Seerveer 或或其它本本手册中中提及的的 Miicroosofft 产产品，是是Miccrossoftt 的商商标或注注册商标标。本文文档所提提到的真真实的公公司和产产品名称称可能是是其各自自所有者者的商标标。项目概况况随

3、着中国国银行业业务的扩扩展和IIT应用用的增加加，维护护整个网网络系统统的稳定定、安全全、高效效越来越越重要。微软是企企业ITT基础架架构领域域的技术术领先者者，其活活动目录录技术被被业界广广泛认可可，世界界财富五五百强的的跨国公公司大多多采用活活动目录录技术来来提供IIT基础础架构服服务。中中国银行行和微软软有着良良好的合合作关系系，在IIT应用用的各个个领域都都有很多多微软的的解决方方案。为为利用新新技术全全面提升升IT管管理能力力，决定定在此次次项目中中全面部部署基于于Winndowws SServver 20003的网网络基础础服务和和活动目目录服务务。Winddowss 20003

4、操作系系统集成成了ITT基础架架构所需需要的各各种网络络服务，让企业业来建立立和管理理网络、连接远远程工作作人员、连接分分支机构构并且建建立兄弟弟单位的的外部网网。Wiindoows 20003 SServver在在开放的的平台上上遵循标标准的协协议，它它提供了了增强的的安全性性和策略略控制，同时提提高性能能并且简简化了系系统的安安装、管管理和使使用。此次项目目将以建建立完善善的网络络基础服服务，集集中统一一规划结结构合理理的基于于Winndowws SServver 20003活动动目录为为目标，赛卫思思将帮助助中国银银行建立立更加强强大的IIT基础础架构，以适应应业务的的高速发发展。二、项

5、目目方案下文中中将就网网络基础础服务、活动目目录服务务、远程程安装服服务三个个方面进进行详细细介绍。2.1 网络基基础服务务2.1.1 背背景简介介Winddowss Seerveer 220033的基础础的网络络服务包包括以下下两大方面：地址分配配地址分配配即IPP地址的的分配和和管理。目前中国国银行的的ip地地址是静静态的，其添加加和维护护工作由由IT人人员在现现场手工工完成。根据中国国银行的的安全策策略，在在此次项项目中仍仍然使用用静态iip地址址。名称解析析名称解析析是指在在访问网网络资源源（包括括文件服服务器和和打印机机）时，如何将将资源的的名称转转换成对对应的IIP地址址的服务务。

6、通过DNNS和WWINSS的服务务，相关关的服务务器会自自动将某某个名称称转换成成实际的的IP地地址，用用户只需需记住容容易辨识识的资源源名称即即可进行行相应的的访问。这样网网络资源源的共享享和使用用效率将将得到很很大程度度的提高高。下文将对对相关的的部分进进行详细细的介绍绍。2.1.2 地地址分配配这次项目目不牵涉涉对中国国银行现现有ipp地址分分配方法法的改动动。Ip地址址的划分分和分配配，还沿沿用原有有的设计计。2.1.3 名名称解析析DNS内部名称称解析建议在域域内每一一个站点点都设一一台DNNS服务务器。该该服务器器同时也也是域控控制器。换而言言之，所所有的域域控制器器同时也也都将是

7、是DNSS服务器器。建议中国国银行内内部网络络的域名名为：bboc.DNS服服务器都都将DNNS数据据放在本本地的AAD数据据库中，但是作作为独立立的Apppliicattionn Paartiitioon来参参与域控控制器之之间的目目录复制制(Diirecctorry RRepllicaatioon)从从而同步步DNSS数据库库。中国银行行内部目目前使用用linnux的的DNSS服务，该DNNS上面面有银行行内部一一些应用用程序需需要的特特有的服服务纪录录。在部部署过程程中，我我们建议议在活动动目录的的DNSS服务器器上设置置转发，当用户户需要查查询这些些特有的的纪录时时，域的的DNSS服务

8、器器会将解解析的请请求自动动转发到到linnux上上。这样样既可以以实现活活动目录录内资源源的地址址解析，也可以以实现原原有liinuxx上提供供的纪录录的解析析。预期效果果所有内网网的客户户端都将将通过域域DNSS来进行行名称解解析。包包括登入入域和访访问文件件服务器器或其他他客户端端。每一一个加入入域的客客户端都都通过动动态注册册在DNNS服务务器上注注册自己己的主机机纪录(A)和和指针纪纪录(PPTR)。管理理员在服服务器上上可以轻轻松的了了解所有有客户端端的注册册情况。2.2 活动目目录服务务2.2.1 背背景简介介Winddowss 20003 的活动动目录(Acttivee Dii

9、recctorry)服服务是WWinddowss 20003网网络结构构的一个个必要和和不可分分离的部部分，该该服务是是特别为为分布式式的网络络环境而而设计的的。活动动目录可可以让企企业有效效地共享享和管理理网络资资源和用用户的信信息。此此外，活活动目录录扮演着着网络安安全性的的主要权权威的角角色，它它让操作作系统准准备好验验证用户户的身份份并且控控制他或或她对网网络资源源的访问问。同等等重要的的是，活活动目录录起到了了把系统统集成到到一起的的结合点点并且巩巩固管理理任务的的作用。新版Wiindoows 20003的活活动目录录服务在在Winndowws 220000版本的的基础上上，保留留了

10、大部部分体系系结构，但在安安全性，稳定性性和扩展展性上又又有很大大的进步步。设计Wiindoows 20003活动动目录服服务主要要包括以以下几方方面：域结构 组织单元元结构账号和口口令管理理站点结构构FSMOO角色2.2.2域结结构和DDC位置置规划域结构设设计是活活动目录录中最重重要，也也是最基基础的工工作，是是多种因因素权衡衡的结果果，它既既要尽可可能贴近近用户的的管理模模式和组组织结构构，也要要考虑网网络情况况及今后后的各种种变化。建议此次次在中国国银行的的IT环环境内采采用单域域结构，域名：BOCC.以下是单单域结构构相对于于其他结结构的优优点：使用Ennterrpriise Adm

11、miniistrratoors组组集中管管理整个个集团的的安全策策略。利用域里里的组织织单元反反映具体体的企业业内部组组织结构构。当机构重重组时可可以非常常灵活的的进行调调整。当资源和和用户需需要在组组织机构构内迁移移时可以以非常灵灵活的调调整。2.2.3 组织织单元结结构一个组织织单元是是一个容容器对象象，用于于管理域域中的对对象，例例如：用用户账号号、组、计算机机、打印印机和其其他的组组织单位位。可以以使用组组织单位位在一个个逻辑层层次中组组织各种种对象，这样能能够体现现企业基基于部门门的或基基于地理理分界的的结构。可以在域域中创建建组织单单位的层层次结构构。组织织单位可可包含用用户、组组

12、、计算算机、打打印机、共享文文件夹以以及其他他组织单单位。组组织单位位是目录录容器对对象。它它们表现现为“Acttivee Diirecctorry 用用户和计计算机”中的文文件夹。组织单单位简化化了域中中目录对对象的视视图以及及这些对对象的管管理。可可将每个个组织单单位的管管理控制制权委派派给特定定的人。这样，您就可可以在管管理员中中分配域域的管理理工作，以更接接近指派派的单位位职责的的方式来来管理这这些管理理性职责责工作。在中国银银行活动动目录部部署中，组织单单元的设设计将遵遵循两点点原则：反映中国国银行内内部的组组织结构构有利于通通过组策策略进行行细化的的终端管管理由于用户户帐号（在这里

13、里包括用用户组账账号）和和计算机机账号分分数两种种不同的的资源类类型，所所以也需需要分开开管理。通常，应应该创建建能反映映组织单单位的职职能或商商务结构构的单位位。例如如，您可可以创建建顶级单单位，例例如人事事、设备备管理和和营销等等部门单单位。在在人事单单位中，您可以以创建其其他的嵌嵌套组织织单位，例如福福利和招招聘单位位。在招招聘单位位中，也也可以创创建另一一级的嵌嵌套单位位。例如如，内部部招聘和和外部招招聘单位位。总之之，组织织单位可可使您以以一种更更有意义义且易于于管理的的方式来来模拟本本单位实实际工作作的情况况，而且且在任何何一级指指派一个个适当的的本地权权利机构构作为管管理员。具体

14、的组组织单元元结构在在进行后后续部署署时进行行细化。组织单元元示意图图：2.2.4 账号号和口令令管理账号管理理可以分分为个人人账号管管理、组组账号管管理和机机器账号号管理。个人账号号管理个人账号号可以分分为两类类： 第一类为为普通账账号，采采用一人人一号的的方式，为每一一位员工工建立自自己的账账号。当当员工加加入或者者离开时时，按照照一定的的规则增增加或者者删除用用户的账账号。第二类为为特殊账账号，通通常不属属于某一一位员工工，而是是为了满满足某些些特殊的的功能，比如系系统管理理、匿名名访问等等等。特特殊账号号有以下下几个：Admiinisstraatorr，系统统管理员员账号，具有最最高的

15、权权限，可可以进行行任何管管理操作作，该账账号不能能被删除除，只能能更改用用户名。为了提提高系统统的安全全性，建建议将管管理员账账号的用用户名更更改，比比如hqqadmmin（仅仅是是建议，系统管管理员可可以自行行决定）。Guesst，匿匿名登录录的账号号，为了了提高系系统的安安全性，建议将将Gueest账账号禁止止。服务的账账号，在在Winndowws 220033中，每每一个服服务都需需要一个个账号，通常这这些账号号采用系系统账号号，无须须关心，但有一一些服务务需要特特殊的用用户账号号。每个个人人账号都都有一个个口令来来保护，为了防防止口令令被盗用用和攻击击，建议议在整个个域中启启用相应应

16、的密码码策略以以保证每每个密码码都符合合一定的的复杂度度，具体体要求如如下：长度不得得小于77个字符符必须包含含大写和和小写字字母必须包含含特殊字字符（例例如：!#$%&*()_+）个人账号号的命名名规则，用户名名称将使用中中文名，帐号名称为为:采用英文文名称，如有重重复则在在末尾加加用户所所在部门门名称的的首字母母，若仍仍有重复复则在末末尾加数数字以示示区别。例如：姓名英文名名 帐户户名张刚刚 tonny tonny.zzhanng计算算机账号号管理所有加入入到域中中的计算算机都需需要一个个计算机机账号，通过该该帐号，可以对对计算机机的各种种配置进进行管理理。建议议的计算算机命名名规则为为：

17、部门门+序号号。例如如：HRR-0001（人人力资源源部第一一台计算算机）。组账号管管理分组管理理是重要要而有效效的管理理策略。在Wiindoows 20003中有三三种组帐帐户：通通用组（Uniiverrsall Grroupp）、全全局组（glooball grroupp）和域域本地组组（Doomaiinloocall grroupp），全全局组可可以包括括本域的的用户帐帐户（uuserr acccouunt），域本地组组可以包包括本域域和资源源域的用用户帐户户和全局局组帐户户，通用用组的使使用则没没有任何何限制。良好的分分组策略略可以降降低管理理的复杂杂性，避避免安全全上的漏漏洞，大大大

18、提高高管理的的可靠性性。采用这样样的分组组策略：按照职位位分组。按职能分分组，例例如所有有的财务务人员，所有的的科技人人员，所所有的系系统管理理员等等等。对员工分分类，比比如普通通员工，临时员员工等等等。由于维护护用户和和组账号号是一项项日常的的工作，这项工工作将由由中国银银行的IIT人员员，依据据管理的的需求来来创建。首先将所所有用户户分到各各个不同同的组织织单元(OU)下面。每个组组织单元元下还包包含一个个用户组组，该用用户组的的成员即即是该组组织单元元内的所所有用户户，这样样可以较较为轻松松的管理理用户资资源。2.2.5管理控制制委派总部集中中的管理理并不以以为着所所有与IIT相关关的操

19、作作、配置置都必须须由总部部的ITT人员完完成，WWinddowss Seerveer 220033的活动动目录提提供了很很好的委委派管理理机制，可以有有效地减减少总部部的管理理负担，实现既既中央集集权，又又分布管管理。对于一个个大型的的银行而而言，管管理ITT资源的的人员不不可能局局限于一一两个人人。在有有多个管管理员同同时存在在的情况况下，如如何分配配管理权权限是一一个重要要的问题题。如果果权限过过于疏松松，个别别的人为为误操作作或恶意意攻击将将对整个个企业的的环境产产生威胁胁；而权权限过于于严格，又会产产生诸多多不便，影响工工作效率率并增加加管理负负担。Winddowss 20003提提

20、供了一一种叫做做管理控控制委派派 (DDeleegattionn off Addminnisttrattivee Coontrrol) 的机机制来解解决这一一问题。通过对对不同管管理控制制的委派派，可以以轻松的的让某一一个或某某一组普普通用户户帐号管管理一定定的资源源，同时时又不放放松对整整个域和和其他重重要资源源的控制制。通过一定定的委派派，这些些帐号都都有权限限管理自自己分支支机构所所对应的的OU下下面所有有的用户户帐号和和计算机机账号，包括改改名，改改密码，创建用用户和组组，或加加入计算算机到域域内。但但是，对对于域内内的其他他资源而而言，这这些帐号号只是普普通的用用户帐号号，没有有权限

21、进进行任何何改动。同时，这这些帐号号都将加加入一个个用户组组，名称称是addminns。这这个组将将加入域域内每一一台客户户端的本本地管理理员组(admminiistrratoors)中。这这意味着着这些帐帐号都可可以登入入到任何何一台客客户端上上并具有有本地管管理员的的权限。这样，这些帐帐号就可可以用来来代替每每一个客客户端的的本地管管理员账账号来管管理本地地资源。2.2.6活动动目录的的备份和和恢复活动目录录是一种种事务性性数据库库，它是是一种预预先写入入记录的的模式，使用了了ESEE97的的技术。在磁盘盘上，AAD显示示为几个个文件，它们是是ntdds.ddit(AD数数据库)，一组组交

22、易记记录(即即日志)和记录录数据库库最后一一个缓冲冲区的检检查点文文件。还还有一个个暂时性性的数据据库文件件。目录录服务是是一个组组合名词词，它包包括有目目录数据据存储和和可让用用户或程程序存取取信息的的相关服服务的意意思。为什么么要有目目录呢?目录可可提供企企业网络络所有重重要数据据的一个个集中存存放区域域，这些些数据包包括用户户帐户、计算机机、打印印机、应应用程序序、安全全性与系系统原则则等各种种资源。将大部部分的重重要的资资源集中中的放在在某个共共享的网网络资源源中，这这样一来来可以改改善企业业的效率率与大幅幅减少网网络的总总拥有成成本(TTCO)。WIIN 22K的目目录服务务使用的的

23、是多控控制器模模式，也也就是说说，可以以在任意意的一个个控制器器上修改改目录资资源。所所以，从从上我们们可以得得知，AAD实际际是个数数据库，而每个个DC都都是重要要的数据据库服务务器。当当AD环环境中的的某一台台DC出出现灾难难时，不不影响用用户的访访问，因因为其他他的DCC上面保保存有同同样的活活动目录录数据库库。AD的备备份你不能单单独备份份Acttivee Diirecctorry,WWinddowss20003将Acctivve DDireectoory做做为系统统状态数数据的一一部分进进行备份份。系统统状态数数据包括括注册表表,系统统启动文文件,类类注册数数据库,证书服服务数据据,

24、文件件复制服服务,集集群服务务,域名名服务和和活动目目录等,这几部分都都不能单单独进行行备份,必须做做为系统统状态数数据的一一部分进进行备份份。你可以在在系统工工具里找找到备份份工具来来完成此此工作，也可以以使用第第三方软软件来实实现。但但要注意意备份AAD的一一些约束束条件:AD只备备份当前前有效的的数据，对于已已经标记记删除的的对象，不备份份。而AAD中的的对象删删除并不不是立即即的，需需要有660天的的删除标标记时间间。因此此，应避避免恢复复60天天前的AAD备份份，以免免导致AAD不完完整。要确保备备份中同同时包含含系统状状态、系系统盘的的文件以以及SYYSVOOL目录录的内容容。你只

25、能用用原服务务器的备备份来恢恢复该服服务器，不能用用另一台台服务器器的备份份恢复该该服务器器。AD的还还原有两种办办法可以以恢复AActiive Dirrecttoryy。第一种是是从域的的其它DDC上恢恢复数据据,前提提是域内内必须还还有一台台DC是是可用的的,这时时当损坏坏的DCC重新安安装并加加入到它它原来的的域时,DC之之间会自自动进行行数据复复制,AActiive Dirrecttoryy随之会会恢复。另一种方方法就是是从备份份介质进进行恢复复。通常常情况下下,对于于大多数数小型公公司来说说,整个个公司只只有一个个域,由由于资金金等诸方方面的限限制也只只有一台台DC,因此从从介质恢恢

26、复Acctivve DDireectoory是是经常遇遇到的事事情。使用备份份来还原原活动目目录分为为两种方方式：授权还原原方式和和非授权权还原方方式从备份介介质进行行Acttivee Diirecctorry恢复复有两种种方式可可以选择择:验证证方式(autthorritaativve rresttoree)和非非验证方方式(nnonaauthhoriitattivee reestoore)。通常情况况下,WWinddowss20000使用用非授权权方式恢恢复:AActiive Dirrecttoryy从备份份介质中中恢复以以后,域域内其它它的DCC会在复复制过程程中使用用新的数数据覆盖盖旧

27、的恢恢复过来来的旧的的数据。举个例例子,假假设今天天是星期期五,你你使用了了星期三三的备份份对Acctivve DDireectoory进进行了恢恢复,那那么从星星期三以以来已经经更改了了的数据据会复制制到你正正在恢复复Acttivee Diirecctorry的DDC上,也就是是新数据据会覆盖盖你使用用备份恢恢复的数数据。授权模式式则完全全不同,它会将将从备份份介质恢恢复过来来的数据据强行复复制到域域内所有有的DCC上,无无论从备备份以后后数据是是否发生生了变化化。还拿拿上面的的例子来来说,当当你在星星期五使使用星期期三的备备份恢复复了Acctivve DDireectoory后后,这些些恢

28、复过过来的数数据会复复制到域域内所有有的DCC上,强强行将备备份后发发生改变变的所有有数据覆覆盖掉,域内数数据就恢恢复到了了备份时时的状态态。验证证模式恢恢复Acctivve DDireectoory通通常用于于这种情情况:AActiive Dirrecttoryy在域内内某台DDC上发发生了严严重的错错误,而而且这种种错误通通过复制制扩散到到了域内内的其它它DC上上,这时时就需要要在某台台DC上上使用验验证方式式恢复AActiive Dirrecttoryy,强制制使域恢恢复到原原来的好好的状态态。应该该说这种种方式是是用的比比较多的的一种恢恢复Acctivve DDireectoory的的

29、方式。三、关于于远程安安装什么是RRIS服服务RIS服服务是一一种从WWinddowss20000时代代开始的的技术，它的全全名是RRemoote insstalllattionn seerviice,我们可可以实用用他来对对Winndowws XXP进行行远程安安装使用RIIS服务务的优点点RIS主主要提供供了以下下优点：它可以为为我们提提供Wiindoows XP 的远程程安装，而不用用到每台台机器面面前去一一个一个个安装简单化的的服务器器管理支持在计计算机出出现故障障时对操操作系统统进行恢恢复即使目标标计算机机重新启启动，也也可保持持它的WWinddowss XPP的安全全性在什么时时候

30、使用用RISS安装WWinddowss XPP系统在以下情情况下选选择使用用RISS来安装装Winndowws XXP是比比较合适适的：要在多台台计算机机上安装装Winndowws XXP系统统，但不不想通过过手动安安装每一一台机器器。企业或机机构部署署大量的的计算机机时，可可以选择择RISS进行自自动部署署。网络中配配置了DDHCPP、DNNS、AActiive Dirrecttoryy。（实实现RIIS的必必要条件件）注意上面面条件中中列出。如果要要使用RRIS服服务进行行Winndowws XXP 的的远程安安装，DDHCPP服务是是必须要要条件。但是由于于中国银银行内部部的安全全策略中

31、中禁止使使用DHHCP服服务，所所以在本本次实施施用我们们依然采采用DHHCP服服务，同同时使用用基于8802.1x的的网络访访问认证证技术。这样只只有通过过了身份份验证的的用户才才能通过过网络中中的DHHCP服服务器得得到ipp地址。关于8002.11x网络络访问认认证技术术802.1x协协议起源源于8002.111协议议，后者者是IEEEE的的无线局局域网协协议， 制订8802.1x协协议的初初衷是为为了解决决无线局局域网用用户的接接入认证证问题。IEEEE8002LAAN协议议定义的的局域网网并不提提供接入入认证，只要用用户能接接入局域域网控制制 设备备 (如如LANNS wwitcch

32、) ，就可可以访问问局域网网中的设设备或资资源。这这在早期期企业网网有线LLAN应应用环境境下并不不存在明明显的安安全隐患患。但是是随着移移动办公公及驻地地网运营营等应用用的大规规模发展展，服务务提供者者需要对对用户的的接入进进行控制制和配置置。尤其其是WLLAN的的应用和和LANN接入在在电信网网上大规规模开展展，有必必 要对对端口加加以控制制以实现现用户级级的接入入控制，8022.lxx就是IIEEEE为了解解决基于于端口的的接入控控制 (Porrt-BBaseed NNetwworkk Acccesss CConttro11) 而而定义的的一个标标准。IEEEE 8022.1XX是根据据

33、用户IID或设设备，对对网络客客户端(或端口口)进行行鉴权的的标准。该流程程被称为为“端口口级别的的鉴权”。它采采用RAADIUUS(远远程认证证拨号用用户服务务)方法法，并将将其划分分为三个个不同小小组:请请求方、认证方方和授权权服务器器。8220.11X 标标准应用用于试图图连接到到端口或或其它设设备(如如Cissco Cattalyyst交交换机或或Cissco Airroneet系列列接入点点)(认认证方)的终端端设备和和用户(请求方方)。认认证和授授权都通通过鉴权权服务器器(如CCiscco SSecuure ACSS)后端端通信实实现。IIEEEE 8002.11X提供供自动用用户

34、身份份识别，集中进进行鉴权权、密钥钥管理和和LANN连接配配置。如上所属属，整个个8022.1xx 的实实现设计计三个部部分，请请求者系系统、认认证系统统和认证证服务器器系统。一下分分别介绍绍三者的的具体内内容:请求求者系统统请求求者是位位于局域域网链路路一端的的实体，由连接接到该链链路另一一端的认认证系统统对其进进行认证证。请求求者通常常是支持持8022.1xx认证的的用户终终端设备备，用户户通过启启动客户户端软件件发起8802.lx认认证，后后文的认认证请求求者和客客户端二二者表达达相同含含义。认证证系统认证证系统对对连接到到链路对对端的认认证请求求者进行行认证。认证系系统通常常为支持持8

35、022. LLx协议议的网络络设备，它为请请求者提提供服务务端口，该端口口可以是是物理端端口也可可以 是是逻辑端端口，一一般在用用户接入入设备 (如LLAN Swiitchh和APP) 上上实现8802.1x认认证。倎倎文的认认证系统统、认证证点和接接入设备备三者表表达相同同含义。认证证服务器器系统认证证服务器器是为认认证系统统提供认认证服务务的实体体，建议议使用RRADIIUS服服务器来来实现认认证服务务器的认认证和授授权功能能。请求求者和认认证系统统之间运运行8002.11x定义义的EAAPO (Exxtennsibble Autthennticcatiion Prootoccoloove

36、rr LAAN)协协议。当当认证系系统工作作于中继继方式时时，认证证系统与与认证服服务器之之间也运运行EAAP协议议，EAAP帧中中封装认认证数据据，将该该协议承承载在其其它高层层次协议议中(如如 RAADIUUS)，以便穿穿越复杂杂的网络络到达认认证服务务器;当当认证系系统工作作于终结结方式时时，认证证系统终终结EAAPoLL消息，并转换换为其它它认证协协议(如如 RAADIUUS)，传递用用户认证证信息给给认证服服务器系系统。认证证系统每每个物理理端口内内部包含含有受控控端口和和非受控控端口。非受控控端口始始终处于于双向连连通状态态，主要要用来传传递EAAPoLL协议帧帧，可随随时保证证接

37、收认认证请求求者发出出的EAAPoLL认证报报文;受受控端口口只有在在认证通通过的状状态下才才打开，用于传传递网络络资源和和服务。整个个8022.1xx的认证证过程可可以描述述如下(11) 客客户端向向接入设设备发送送一个EEAPooL-SStarrt报文文，开始始8022.1xx认证接接入;(22) 接接入设备备向客户户端发送送EAPP-Reequeest/Ideentiity报报文，要要求客户户端将用用户名送送上来;(33) 客客户端回回应一个个EAPP-Reespoonsee/Iddenttityy给接入入设备的的请求，其中包包括用户户名;(44) 接接入设备备将EAAP-RResppo

38、nsse/IIdenntitty报文文封装到到RADDIUSS Acccesss-RRequuestt报文中中，发送送给认证证服务器器;(55) 认认证服务务器产生生一个CChalllennge，通过接接入设备备将RAADIUUS AAcceess-Chaalleengee报文发发送给客客户端，其中包包含有EEAP-Reqquesst/MMD5-Chaalleengee;(66) 接接入设备备通过EEAP-Reqquesst/MMD5-Chaalleengee发送给给客户端端，要求求客户端端进行认认证(77) 客客户端收收到EAAP-RRequuestt/MDD5-CChalllennge报报

39、文后，将密码码和Chhalllengge做MMD5算算法后的的Chaalleengeed-PPasss-woord，在EAAP-RRespponsse/MMD5-Chaalleengee回应给给接入设设备(88) 接接入设备备将Chhalllengge，CChalllenngedd Paasswwordd和用户户名一起起送到RRADIIUS服服务器，由RAADIUUS服务务器进行行认证(99)RAADIUUS服务务器根据据用户信信息，做做MD55算法，判断用用户是否否合法，然后回回应认证证成功/失败报报文到接接入设备备。如果果成功，携带协协商参数数，以及及用户的的相关业业务属性性给用户户授权。

40、如果认认证失败败，则流流程到此此结束;(110) 如果认认证通过过，用户户通过标标准的DDHCPP协议 (可以以是DHHCP Rellay) ，通通过接入入设备获获取规划划的IPP地址;四、附录录：术语语和概念念3.1目目录服务务（diirecctorry sservvicee）目录服务务是一种种存储网网络信息息的层次次结构。目录是是用来存存储有用用对象的的信息源源，例如如电话目目录存储储关于电电话用户户的信息息。在文文件系统统中，目目录存储储关于文文件的信信息。在在分布式式计算机机系统或或者象IInteerneet这样样的公用用计算机机网络中中，有许许多有用用的对象象，例如如打印机机、传真真

41、机、应应用软件件、数据据库和其其它用户户。用户户希望寻寻找并使使用这些些对象。而管理理员则希希望管理理这些对对象的使使用。这份文档档中，术术语diirecctorry（目目录）和和dirrecttoryy seerviice（目录服服务）指指在公用用和专用用网络中中的目录录。“目目录服务务”不同同于“目目录”在在于它既既是目录录信息源源，也是是使用户户可以使使用这些些信息的的服务者者。3.2活活动目录录 (aactiive dirrecttoryy)活动目录录是包含含了Wiindoows20000 SServver的的目录服服务。它它扩展了了以前基基于Wiindoows的的目录服服务的功功能，

42、并并增加了了一些全全新的功功能。活活动目录录是安全全的、分分布式、可分区区和可复复制的。它的设设计保证证能在任任何规模模的安装装中正常常工作，从只有有几百个个对象，一台服服务器的的小系统统到拥有有数百万万对象，上千台台服务器器的庞大大系统它它都支持持。活动动目录增增加了许许多新功功能，这这些功能能使浏览览并管理理大量信信息变得得更容易易，为管管理员和和终端用用户都节节约了时时间。3.3域域（doomaiin）基于Wiindoows NT的的计算机机网络的的安全边边界。活活动目录录由一个个或多个个域组成成。在一一个独立立的工作作站上，域就是是计算机机自身。域可以以跨越多多个物理理区域。每一个个域

43、都有有自己的的安全策策略和与与其他域域的安全全关系。当多个个域通过过信任关关系连接接起来，并且共共享一个个模式、配置和和全局目目录的时时候，它它们组成成一个域域树。多多个域树树可以组组成一个个森林。参见域控制制器，局局部域小小组。 域控制器器(doomaiin cconttrolllerr)-一个基基于Wiindoows NT的的服务器器拥有一一个活动动目录分分区。3.4树树（trree）通过可传传递、双双向信任任关系连连接在一一起的WWinddowss NTT域的集集合，它它们共享享相同的的模式、配置和和全局目目录。域域必须组组成层次次式的名名字空间间，例如如，m是树根根，b.a.ccom是

44、是a.ccom的的孩子，m是b.a.ccom的的孩子等等等。活活动目录录是一个个或多棵棵域树的的组合。3.5森森林（fforeest）相互信任任的一个个或多个个活动目目录树形形成的小小组。森森林中的的所有树树共享一一个模式式、配置置和全局局目录。当一个个森林包包括多个个树的时时候，所所有的树树不是形形成连续续的名字字空间。给定森森林中的的所有树树通过信信任关系系的双向向传递相相互彼此此信任。与树不不同的是是，森林林不需要要一个可可分辨的的名称(DN)。森林林作为一一组交叉叉引用的的对象和和成员树树之间的的信任关关系而存存在。森森林中的的树形成成一层次次信任关关系。3.6组组织单元元（orrga

45、nnizaatioonall unnit，简称OOU）一个容器器对象，它是活活动目录录可管理理的划分分。OUU可以包包含用户户、小组组、资源源和其他他OU。组织单单元可以以管理权权限委托托给目录录中的子子树。组组织单元元的结构构限制在在一个域域内。3.7站站点 (sitte)站点是网网络中一一个包含含活动目目录服务务器的位位置。站站点定义义为一个个或多个个连接良良好的TTCP/IP子子网。“连接良良好”指指网络连连接非常常可靠和和快速（例如110兆比比特每秒秒或更高高速的LLAN）。定义义站点为为一组子子网则允允许管理理员快速速轻松地地配置活活动目录录访问和和复制拓拓扑，以以便充分分利用物物理

46、网络络。当用用户登录录上网时时，活动动目录客客户机将将以用户户的身份份在同一一个站点点找到活活动目录录服务器器。由于于网络中中同一个个站点的的机器彼彼此邻近近，所以以它们之之间的通通讯可靠靠、快速速并且高高效。由由于用户户的工作作站已经经知道位位于哪一一个TCCP/IIP子网网上并且且能将子子网直接接转变为为活动目目录站点点，所以以在登录录时确定定本地站站点就变变得很容容易。3.8域域名系统统（Doomaiin NNamee Syysteem，简简称DNNS）一种层次次分布式式数据库库，用来来进行域域名/地地址转换换。域名名系统是是Intternnet上上使用的的名字空空间，用用来将计计算机和

47、和服务名名称转换换成为TTCP/IP地地址。活活动目录录在它的的定位服服务中使使用DNNS，以以便客户户端可以以通过DDNS查查询找到到域控制制器。3.9可可传递信信任关系系（trranssitiive truust）Winddowss 20000域域树或森森林中的的域、森森林中的的树、森森林之间间固有的的存在信信任关系系。当一一个域加加入到一一个已有有的森林林或域树树时，自自动的建建立可传传递关系系。可传传递信任任一般时时双向的的关系。在域树树中的父父子域、森林中中域树的的根域这这一系列列信任关关系允许许森林中中的所有有域相互互之间彼彼此信任任，这样样的目的的是授权权。例如如，如果果域A信信

48、任域BB，域BB信任域域C，那那么域AA可以信信任域CC。3.100局部域域小组(dommainn loocall grroupp)可以包含含森林、通用小小组和本本域中的的其他局局部小组组中的用用户和全全局小组组。一个个局部域域小组只只能在本本域的AACL中中使用。3.111通用小小组（uunivverssal grooup）组的最简简单的形形式。通通用组可可以出现现在森林林ACLL的任何何地方。小型安安装可以以专有的的使用通通用小组组而不要要去关心心全局和和局部小小组3.122模式（schhemaa）整个数据据库的定定义；可可以存储储在数据据库中的的全局对对象定义义在模式式中。对对于每一一个

49、对象象类而言言，模式式定义了了类实例例必须具具有的属属性、可可能有的的附加属属性和当当前对象象的父亲亲是基于于什么类类的。3.133复制（reppliccatiion）在数据库库管理系系统中，通过例例行公事事的将整整个数据据库或数数据库的的子集拷拷贝到网网络中的的其他 服务器器上而使使分布式式数据库库同步的的功能。有几种种拷贝的的方法，包括主主站点复复制、共共享或传传输所有有权的复复制、对对称复制制（也称称为随时时更新或或对等复复制）和和失败恢恢复复制制。参见见不同复复制方法法的完整整定义百科全全书。 3.144轻型目目录访问问协议（LDAAP）用来访问问目录服服务的一一种协议议。目前前的 W

50、Web 浏览器器和电子子邮件程程序中都都实现了了LDAAP，这这样就可可以查询询一个LLDAPP目录。LDAAP是目目录访问问协议（Dirrecttoryy Acccesss PProccotool ，简称DDAP）的一个个简化版版本，可可以用来来访问XX.5000目录录。编写写LDAAP查询询代码比比DAPP简单，但是LLDAPP的功能能不是十十分完善善。例如如，如果果没有找找到地址址，DAAP可以以在其他他的服务务器上进进行初始始化寻找找，但是是LDAAP就不不具备这这个功能能。LDDAP是是活动目目录的主主要的访访问协议议3.155 Keerbeeross一种用来来授权用用户的安安全系统

51、统。对于于服务或或数据库库，Keerbeeross不提供供授权；它在登登录时授授权用户户身份，这在整整个会话话中都是是要使用用的。KKerbberoos协议议是Wiindoows 20000操作作系统中中的主要要授权机机制。3.166组策略略(Grroupp Pooliccy)指将策略略应用到到活动目目录容器器中的计计算机组组和/或或用户。所包括括的策略略类型不不仅是出出现在WWinddowss NTT服务器器4.00中的基基于注册册的策略略，还可可以是目目录服务务所允许许的用来来存储策策略数据据的多种种类型，例如：文件配配置、应应用程序序配置、登录和和注销脚脚本、启启动和关关机脚本本、域安安全、IInteerneet协议议安全（Intternnet P