第4章-局域网技术2-(《网络课件》课件)

1第4章局域网技术(2)4.6虚拟局域网4.7局域网连网与网络互联设备4.8网络操作系统

24.6虚拟局域网4.6.1虚拟局域网的概念4.6.2虚拟局域网的组建4.6.3虚拟局域网的功能

34.6.1虚拟局域网的概念思考：传统局域网中的广播数据MAC帧中的目的MAC地址为0xffffffffffff

44.6.1虚拟局域网的概念概述：1996年3月，IEEE802委员会发布了IEEE802.1qVLAN标准。虚拟局域网是由一些局域网网段构成的与物理位置无关的逻辑组，而这些网段具有某些共同的需求。定义：虚拟局域网是指局域网中的站点不受地理位置的限制，而根据需要灵活地将站点构成不同的逻辑子网。它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。

5VLAN1VLAN2VLAN2A2A1B3B2B1C1C2C3A3LAN1LAN2LAN3简单示例

6简单示例图中使用了4个交换机的网络拓扑结构，有9个工作站分配在3个楼层中，构成了3个局域网，即LAN1：（A1，B1，C1），LAN2：（A2，B2，C2），LAN3：（A3，B3，C3）。但这9个用户划分为3个工作组，也就是说划分为3个虚拟局域网（VLAN）。即：VLAN1：（A1，A2，A3），VLAN2：（B1，B2，B3），VLAN3：（C1，C2，C3）。在虚拟局域网上的每一个站都可以听到同一虚拟局域网上的其他成员所发出的广播。如工作站B1，B2，B3同属于虚拟局域网VLAN2。当B1向工作组内成员发送数据时，B2和B3将会收到广播的信息（尽管它们没有连在同一交换机上），但A1和C1不会收到B1发出的广播信息（尽管它们连在同一个交换机上）。

74.6.1虚拟局域网的概念

虚拟局域网VLAN是一组逻辑上的设备和用户，这些设备和用户并不受物理网段的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。

为什么叫虚拟局域网？

虚拟局域网其实只是局域网给用户提供的一种服务，而并不是一种新型局域网。

84.6.1虚拟局域网的概念与一般的逻辑子网(网桥或者交换机)的区别：不受地理位置的限制，即构成VLAN的站点可以是位于不同的物理网段。同一个VLAN的站点所发送的数据可以是广播传输到该VLAN的所有站点，而不同VLAN的站点的数据不能直接广播传输。

94.6.1虚拟局域网的概念虚拟局域网的优点：使网络的结构灵活，便于网络结构的变化；可以有效隔离VLAN间的广播数据，减少VLAN中广播数据的通信量；可以有效地隔离VLAN间的访问，增加了网络内部的安全性；更方便了网络管理员对网络的维护和管理。

104.6.1虚拟局域网的概念VLAN采用的以太网帧格式标准：IEEE802.3au扩展以太网帧格式前导开始标志目的地址源地址VLAN标记长度…数据…填充字段校验和714646-1500426如何控制帧不会被发错？？？

114.6.1虚拟局域网的概念VLAN标记字段:前2个字节是802.1Q标记类型，固定设置为0x8100（1000000100000000），当数据链路层检测到MAC帧的源地址字段后的值为0x8100时，就判断出插入了4字节的VLAN标记字段；VLAN后2个字节的前3位是用户优先级字段，000-111，8种优先级。其后1位是规范格式指示符(CanonicalFormatIndicator，CFI)：0说明是规范格式，1是非规范格式

124.6.1虚拟局域网的概念802.1Q标记优先级CFIVLANID2Byte12bit1bit3bit最后的12位是该VLAN标识符，用来惟一地标识该以太网数据帧所属的VLAN。4字节的VLAN标记格式如下：以太网帧的最大长度从原来的1518字节变为1522字节。

134.6.2虚拟局域网的组建组建条件：VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备（交换机）。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。

144.6.2虚拟局域网的组建建立虚拟局域网的方法

基于端口的VLAN基于MAC地址的VLAN第3层VLAN多播组VLAN

15基于端口的VLAN说明：基于端口的VLAN是通过将交换机端口设置成不同的VLAN而组建不同的虚拟局域网。基于端口定义VLAN时，可以将同一个交换机的不同端口设置为不同的VLAN，也可以将不同的交换机的端口设置为同一个VLAN。

16基于端口的VLAN分类：单交换机端口定义VLAN

17基于端口的VLAN多交换机端口定义VLAN

18基于端口的VLAN特点：一个虚拟局域网的各个端口上的所有终端都在一个广播域中，它们相互可以通信，不同的虚拟局域网之间进行通信需经过路由来进行。优点：简单，容易实现，从一个端口发出的广播，直接发送到虚拟局域网内的其他端口，也便于直接监控。

19基于端口的VLAN缺点：使用不够灵活，当用户从一个端口移动到另一个端口时候网络管理员必须重新配置虚拟局域网成员。不过这一点可以通过灵活的网络管理软件来弥补。

20基于MAC地址的VLAN

说明：基于MAC地址的VLAN是通过网络终端设备的MAC地址来设置VLAN。优点：交换机对终端的MAC地址和交换机端口进行跟踪，在新终端入网时根据已经定义的虚拟局域网——MAC对应表将其划归至某一个虚拟局域网，而无论该终端在网络中怎样移动，由于其MAC地址保持不变，故不需进行虚拟局域网的重新配置。这种划分方式减少了网络管理员的日常维护工作量。

21基于MAC地址的VLAN缺点：不足之处在于所有的终端必须被明确的分配在一个具体的虚拟局域网，任何时候增加终端或者更换网卡，都要对虚拟局域网数据库调整，以实现对该终端的动态跟踪。

22第3层VLAN

说明：第3层VLAN根据所使用的协议或网络层地址来划分VLAN。

优点:第一，这种方式可以按传输协议划分网段。其次，用户可以在网络内部自由移动而不用重新配置自己的工作站。第三，这种类型的虚拟网可以减少由于协议转换而造成的网络延迟。

23第3层VLAN缺点：根据网络层地址划分VLAN，在进行数据通信时还需要进行地址的转换，会增加一定的延时。二是对设备要求较高，不是所有设备都支持这种方式。

第3层VLAN方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

24IP多播组VLAN说明：IP多播组VLAN是通过“代理”对一组IP节点进行管理和提供服务。这种组建方法可以动态建立VLAN。当具有多个IP地址的多播数据帧要传输时，先动态地建立VLAN代理，代理再和多个IP节点构成VLAN。组建VLAN时，网络通过广播信息通知各IP节点，若IP节点响应，就可以加入到该VLAN中，与该VLAN中的其他IP节点通信。

25IP多播组VLAN优点：IP多播组VLAN有很强的动态特性，因而具有极大地灵活性，并可以跨越路由器形成WAN连接。

264.6.3虚拟局域网的功能提高管理效率

问题：网络中站点的移动、增加和改变是最让网管人员头疼的问题之一，同时也是网络维护过程中相对来说开销比较大的一部分。因为此时一般都需要重新进行布线，并且几乎所有的站点移动都伴随着地址的重新分配以及对HUB和路由器重新配置。

274.6.3虚拟局域网的功能VLAN的解决办法当某个VLAN中的一个用户从一个地点移动至另一个地点时，只要他们仍旧保持在同一个VLAN中并且能够连接到一个交换端口上。那么无需对他们的网络地址进行修改。最多只是需要将此交换端口重新配置到相应的VLAN中。

284.6.3虚拟局域网的功能控制广播数据

问题：网络中存在广播风暴，广播数据将严重地损害网络的性能并可能导致整个网络的崩溃。因此网管人员必须采取措施对因广播数据而可能导致的问题加以预防。

294.6.3虚拟局域网的功能VLAN的解决办法：某VLAN中的广播数据将只是被复制到那些连接有此VLAN的某个成员的交换端口上，在除此而外的那些端口上将不会出现这些数据。这实际上是为在交换型网络中建立起同路由器功能类似的防火墙提供了一种有效的手段。

304.6.3虚拟局域网的功能增强网络安全性

问题：共享型局域网的一个最大的不足就是易于受到入侵。因为只要把机器接入到一个端口中就可以收到相应网段上的所有数据。广播域越大，这种危险也将越大。

314.6.3虚拟局域网的功能VLAN的解决办法：增强网络安全性的一种最有效和最易于管理的方法是将整个网络划分成一个个互相独立的广播组(VLAN)。另外网管人员可以限制某个VLAN中的用户的数量，并且可以禁止那些没有得到许可的用户加入到某个VLAN中。按照这种方式，VLAN可以提供一道安全性防火墙，控制用户对于网络资源的访问，控制广播组的大小和构成，并且可借助于网管软件在发生非法入侵时及时通知管理人员。

324.6.3虚拟局域网的功能减少站点的移动和改变开销

问题：当用户从一个子网移至另一个子网时，一般都需要对其IP地址进行手工修改，而这种修改可能需要花费比较长的时间才能使站点正常工作。VLAN使用VLAN则可以完全消除这些不必要的时间浪费，因VLAN的成员身份同站点所在的地址是无关的，这样一来站点可以发生移动而其IP地址和子网成员身份则可以保持不变。

334.6.3虚拟局域网的功能实现虚拟工作组

虚拟工作组指的是当在整个园区网络环境下实现了VLAN之后，同一个部门的所有成员将可以像处于同一个LAN上那样进行通信；大部分网络通信将不会传出此VLAN广播域。当某个用户从一个地方移动到另一个地方时，如果他的工作部门不发生变化，那么就用不着对其机器进行重新配置。与此类似，如果某个用户改变了工作部门，他可以不改变其工作地点，而只需网管人员修改一下其VLAN成员身份即可。

344.7局域网连网与网络互联设备4.4.1网络互联概述4.4.2中继器4.4.3集线器4.4.4网桥

354.4.1网络互联概述网络互联的概念：网络互连也称网际互连，它是指两个以上的计算机网络通过一定的方法，用网络设备相互连接起来，以构成更大的网络系统。网络互连拓展了局域网的地理范围，丰富了网络资源，实现更广泛的资源共享。网络互连也可理解为将一个网络分解为若干个子网或网段。主要形式：LAN之间LAN和WAN之间LAN和大型主机之间

364.4.1网络互联概述主要设备中继器集线器网桥交换机路由器网关物理层数据链路层网络层传输层以上各层

374.4.1网络互联概述

384.4.1网络互联概述网络互联的任务扩大网络通信范围提高网络系统性能和系统可靠性不同网络之间的连接LAN与主机系统互连增加了网上共享的资源

39中继器概念：作用：将网络上的一个电缆段上传输的数据信号进行放大和整形，然后再发送到另一个电缆段上，以克服信号经过较长距离传输后引起的衰减。因此，中继器实际上是一种数字信号放大器。中继器的作用主要是扩展网络电缆的长度。中继器也可以用来改变网络的拓扑结构，形成多分支的树形结构，以适应不同环境的布线要求。注意：通过中继器连接起来的各种网络仍属于一个网络系统。因此，一般不认为这是网络互联，而只是将一个网络的作用范围扩大而己。

40中继器特性：中继器仅作用于物理层，只具有简单的放大、再生物理信号的功能。由于中继器主要完成物理层功能，所以中继器只能连接相同的局域网。换句话说，就是用中继器互联的局域网应具有相同的协议和速率，如：802.3以太网到以太网之间的连接和802.5令牌环网到令牌环网之间的连接。

41中继器中继器可以连接相同传输介质的同类局域网，如：粗同轴电缆以太网之间的连接。中继器也可以连接不同传输介质的同类局域网，如：粗同轴电缆以太网与细同轴电缆以太网或粗同轴电缆以太网与双绞线以太网的连接。用中继器连接的局域网在物理上是一个网络，即中继器把多个独立的物理网连成为一个大的物理网络。由于中继器在物理层实现互联，所以它对物理层以上各层协议完全透明，也就是说，中继器支持数据链路层及其以上各层的任何协议。

42中继器中继器应用实例集线器扩展网络用多个集线器可连成更大的局域网集线器集线器一系二系集线器三系三个独立的冲突域

44集线器扩展网络用多个集线器可连成更大的局域网

一系二系三系集线器集线器集线器集线器主干集线器

45集线器概念：集线器(Hub)又称集中器，是多口的中继器。用于把多台计算机连接在一起组成网络，也是小型网络中应用最广泛的设备。作用信号经过放大后转发到集线器的其他所有端口，即集线器的其他所有端口共享带宽。集线器还具有故障隔离的作用，当某条传输媒体发生故障，不会影响到其他的节点。

46集线器端口类型：RJ45BNCAUI分类：外形尺寸：机架式桌面式

47集线器速率：10M100M可否网管可网管式不可网管式可否堆叠可堆叠式不可堆叠式

48集线器集线器的应用堆叠是指将若干集线器以特殊电缆通过特殊的端口连接起来，堆叠后的集线器从网络拓扑中可视为一个集线器，即可作为一个集线器来管理。

49集线器级联集线器的级联是指用集线器普通或者特殊端口，用UTP交叉线或直通线把两个以上的集线器连接起来进行集线器端口扩展。可以使用通过UTP直通线把集线器Uplink端口和另一个集线器普通端口连接起来实现集线器的级联通过UTP交叉线把两个集线器的普通端口连接起来实现集线器的级联。

50集线器

51集线器优点：使原来属于不同冲突域的局域网上的计算机能够进行跨冲突域的通信。扩大了局域网覆盖的地理范围。缺点：冲突域增大了，但总的吞吐量并未提高。如果不同的冲突域使用不同的数据率，那么就不能用集线器将它们互连起来。

52网桥在数据链路层扩展局域网时使用网桥。网桥工作在数据链路层，它根据MAC帧的目的地址对收到的帧进行转发。连接的网络可以是同类网络（使用相同MAC协议的），也可以是不同的网络（不同MAC协议和相同的LLC的网络）。网桥具有过滤帧的功能。当网桥收到一个帧时，并不是向所有的端口转发此帧，而是先检查此帧的目的MAC地址，然后再确定将该帧转发到哪一个端口

53网桥分类透明桥(transparentbridge)目前使用得最多的网桥是透明网桥。“透明”是指局域网上的站点并不知道所发送的帧将经过哪几个网桥，因为网桥对各站来说是看不见的。透明网桥是一种即插即用设备，其标准是IEEE802.1D。能连接不同传输介质、不同传输速率的以太网。

54网桥源路由桥源路由(sourceroute)网桥在发送帧时将详细的路由信息放在帧的首部中。源站以广播方式向欲通信的目的站发送一个发现帧，每个发现帧都记录所经过的路由。发现帧到达目的站时就沿各自的路由返回源站。源站在得知这些路由后，从所有可能的路由中选择出一个最佳路由。凡从该源站向该目的站发送的帧的首部，都必须携带源站所确定的这一路由信息。

55网桥MAC网桥MAC桥是工作在介质访问控制(MAC)子层的设备，它只能互联相同类型的局域网，如：以太网与以太网或令牌环网与令牌环网的互联。LLC网桥LLC桥又称为混合桥，它作用于逻辑链路控制(LLC)子层。LLC桥能够连接不同类型的局域网，如：以太网与FDDI网的互联。

56网桥本地网桥所连接的两个LAN间的距离在LAN所允许的最大传输媒体长度之内的网桥。本地网桥只需用一个网桥去连接两个LAN或远程工作站。远程网桥远程网桥连接两个LAN时，必须使用调制解调器，所以在连接两个远距离的LAN时，需要两个网桥。

57网桥工作过程站表端口管理软件网桥协议实体端口1端口2缓存①②③网段B网段A1112①③⑤2②④⑥2站地址端口网桥网桥④⑤⑥(1)接收帧(2)缓存(3)查表(4)丢弃发往同LAN

的帧；否则转发到相应端口

58(1)从端口x收到无差错的帧（如有差错即丢弃），在转发表中查找目的站MAC地址。(2)如有，则查出到此MAC地址应当走的端口d，然后进行(3)，否则转到(5)。(3)如到这个MAC地址去的端口d=x，则丢弃此帧（因为这表示不需要经过网桥进行转发）。否则从端口d转发此帧。(4)转到(6)。(5)向网桥除x以外的所有端口转发此帧（这样做可保证找到目的站）。(6)如源站不在转发表中,则将源站MAC地址加入到转发表,登记该帧进入网桥的端口号,设置计时器。然后转到(8)。如源站在转发表中，则执行(7)。(7)更新计时器。(8)等待新的数据帧。转到(1)

59网桥作用：过滤通信量。扩大了物理范围。提高了可靠性。可互连不同物理层、不同MAC子层和不同速率（如10Mb/s和100Mb/s以太网）的局域网

60网桥缺点：存储转发增加了时延。在MAC子层并没有流量控制功能。具有不同MAC子层的网段桥接在一起时时延更大。网桥只适合于用户数不太多(不超过几百个)和通信量不太大的局域网，否则有时还会因传播过多的广播信息而产生网络拥塞。这就是所谓的广播风暴。

61网桥特性:网桥工作在数据链路层，它对高层协议是透明的，这就意味着，网桥能转发任何网络层协议的数据流，如：TCP/IP、DECNET、Appletalk、IPX等。网桥有基于数据链路层过滤数据帧的功能，能减轻网络的负载。由于网桥工作在第二层，它不检查网络层的数据分组和网络地址，它与网络层无关。而广播信息是根据网络地址(如：IP地址)进行传播的，因此，网桥转发所有广播帧，没有隔离广播信息的能力。

62网桥网桥能够互联不同的网络，在不同的局域网之间提供转换功能。连接不同局域网的桥需要对不同的帧格式、帧大小进行转换，还需要对不同的局域网传输速率进行速度匹配等网桥是一种存储转发设备，它先把接收的整个帧缓存起来，然后再进行转发。用网桥互联起来的网络是一个单个的逻辑网。

63网桥

644.8网络操作系统4.8.1网络操作系统的概念4.8.2网络操作系统的结构4.8.3网络操作系统的管理功能4.8.4MicrosoftWindows网络操作系统4.8.5Unix网络操作系统4.8.6Linux网络操作系统4.8.7NovellNetWare

654.8.1网络操作系统的概念概念：网络操作系统是使网络上各计算机能方便而有效地共享网络资源、为网络用户提供所需的各种服务的软件和有关规程的集合。思考：自己知道的网络操作系统

664.8.1网络操作系统的概念功能：数据共享：用户通过网络操作系统来实现数据共享，这是网络操作系统最核心的功能。设备共享：在网络操作系统的支持下，网络用户共享贵重的网络设备。文件管理：管理网络用户读写服务器文件，规定用户权限。名字服务：实现网络用户注册管理，提供名字服务。

674.8.1网络操作系统的概念网络安全：实现对网络安全管理。网络管理：管理网络运行及对网络性能进行监控。系统容错：通过多种容错技术，实现网络正常运行。网络互联：把不同的网络互联在一起应用软件支持：支持各种应用软件，实现网络服务。

684.8.2网络操作系统的结构分类：对等(PeertoPeer)结构的网络操作系统非对等(Server-Based)结构的网络操作系统组合结构的网络操作系统。

69对等结构的网络操作系统

70对等结构的网络操作系统特点：连网节点地位平等。原则上，连网计算机上的资源都可以相互共享。每台连网计算机都以前后台方式工作，前台为本地用户提供服务，后台为其他节点的网络用户提供服务。网络中的任何两节点之间都可以直接实现通信。每台计算机的安全策略、用户管理、资源共享等管理工作需要在本机独立实现。

71对等结构的网络操作系统举例：MicrosoftWindows98MicrosoftWindows2000

72非对等结构的网络操作系统

73非对等结构的网络操作系统非对等网络的优越性:资源共享安全备份大用户数支持硬件考虑出现了服务器、客户机的概念

74非对等结构的网络操作系统基于服务器的网络的发展过程：工作站/文件服务器模式客户机/服务器模式浏览器/服务器模式

75非对等结构的网络操作系统服务器端操作系统：NovellNetWare5MicrosoftWindows2000ServerUNIX，Linux客户端操作系统:MicrosoftWindows9xMicrosoftWindows2000Professional

76非对等结构的网络操作系统

77组合结构的网络操作系统网络服务器负责关键资源的共享和管理,采用MicrosoftWindows2000Server，NovellNetWare5，Linux或UNIX等操作系统；而客户机则既可以访问指定服务器上的共享资源，又可以共享和管理属于自己计算机上的资源,采用MicrosoftWindows9x，MicrosoftWindows2000Professional等操作系统。

78组合结构的网络操作系统

794.8.3网络操作系统的管理功能

用户管理

文件管理

打印管理

磁盘管理

服务器管理

远程控制管理系统备份管理

活动目录服务Internet信息服务

804.8.3网络操作系统的管理功能

用户管理

用户帐号管理用户组管理用户限制

814.8.3网络操作系统的管理功能

文件管理

文件系统：FAT、FAT16、FAT32、NTFS4.0、NTFS5.0、HPFS等。分布式文件系统，分布式文件系统是一个树状结构，它能把网络中的共享资源集中在一个层次式的目录结构中，使得用户能方便地浏览、查找和存储网络上的共享资源。文件管理的主要任务是有效地控制对共享目录或文件的访问。

824.8.3网络操作系统的管理功能

打印管理

网络打印管理一般是通过设置打印机服务器，将物理打印机定义成打印服务器管理的逻辑打印机，通过建立打印队列来管理用户的打印请求。

834.8.3网络操作系统的管理功能

磁盘管理

磁盘管理程序可以建立和删除硬盘上的磁盘分区和逻辑驱动器，格式化磁盘分区。动态卷的动态磁盘管理。动态磁盘被分成多个卷，这些卷可以由一个或多个物理磁盘的一个或多个部分组成。热修复、磁盘镜象、磁盘双工磁盘管理还可以通过冗余磁盘阵列(RAID，RedundantArrayofInexpensiveDrives)实现磁盘容错。电梯算法

844.8.3网络操作系统的管理功能

服务器管理

服务器管理程序一般都可以实现传送信息给己连接上的用户；查看有哪些用户连上服务器；用户打开了哪些资源；中断部分或全部的用户，以切断不当的用户或侵入者，以保护服务器的安全。

854.8.3网络操作系统的管理功能

远程控制管理网络操作系统一般提供远程控制管理的能力，网络管理人员坐在自己的位置上，就可以控制在网络上的服务器。

864.8.3网络操作系统的管理功能

系统备份管理

系统备份的类型有：完全备份增量备份差异备份等。

874.8.3网络操作系统的管理功能

活动目录服务活动目录(ActiveDirectory)是一种目录服务，它存储有关网络对象的信息，例如，用户、组、计算机、共享资源、打印机和联系人等信息，以便管理员和用户能方便地查找和使用这些网络信息。

884.8.3网络操作系统的管理功能

Internet信息服务

网络操作系统一般都提供了Internet信息服务模块，可以帮助用户创建自己的Internet信息服务器，其中包括Web、FTP和SMTP等服务器。

894.8.4MicrosoftWindows网络操作系统WindowsNTWindows2000客户端系统：Windows2000Professional服务器端系统：Windows2000ServerWindowsXPWindowsVista

904.8.4MicrosoftWindows网络操作系统Windows2000AdvancedServer提供了更好的可扩展性和有效性，支持更多的内存和处理器以及群集，比较适合于在大型企业网络和对数据库要求比较高的网络环境中应用。Windows2000DataCenterServer提供更多的内存和处理器的支持，适用于大型数据仓库、在线事务处理等重要应用中。

914.8.4MicrosoftWindows网络操作系统Windows2000的网络功能域名服务(DNS)集成Web服务IIS

924.8.4MicrosoftWindows网络操作系统Windows网络模型工作组模型域模型

934.8.4MicrosoftWindows网络操作系统工作组模型是一种将资源、管理和安全性都分布在整个网络里的网络方案。工作组(网络)中的每一台计算机都可以既作为服务器又作为工作站，并拥有自己的帐号、管理和安全性策略。这种工作组模型的优点：对少量较集中的工作站很方便；容易共享分布式资源；管理员维护工作少；实现简单。存在一些缺点；对工作站数量较多的网络不合适；无集中式的帐号管理：无集中式的资源管理；无集中式的安全性。

944.8.4MicrosoftWindows网络操作系统域模型

在WindowsServer中，安全性和集成化管理的基本单元是域。域模型是管理和安全性都集中的网络方案

组成一个域至少需要一台运行WindowsNTServer的服务器，作为主域控制器(PDC)，保存用户数据库的主拷贝。可选地，一个域也能包括：另外一些运行WindowsNTServer的服务器作为备份域控制器(BDC)、WindowsNTServer计算机作为标准的服务器以及WindowsNTWorkstation客户机和其他的如运行MS-DOS、Windows9x的客户机。

954.8.4MicrosoftWindows网络操作系统

域之间的信任关系

信任(trust)关系是在两个域之间的通信连接。当这种连接建立完成，其中一个域赋予另一个域中用户以特权，相信另一个域能为它自己的用户进行登录验证。当网络中各域间建立了适当的信任关系后，用户只需一个帐号即可访问整个网络。网络上所有计算机都可识别这个用户帐号。用户只需进行登录并在登录时提供了一个密码，就可以访问网上任何计算机。信任把两个独立的域连接成为一个管理单元，大大降低了管理的复杂性。

964.8.4MicrosoftWindows网络操作系统域之间的信任关系

所有的信任关系都涉及两个域，一个域总被称为信任域(trustingdomain)另外一个域称为被信任域(trusteddomain)。在所有信任图中，箭头指向的总是保存帐号的域。这些域称为被信任域或是帐户域。信任域—箭头从信任域指出。资源总是放在信任域中，所以也称之为资源域。

974.8.4MicrosoftWindows网络操作系统域模型

单域模型主域模型多主域模型完全信任模型

984.8.4MicrosoftWindows网络操作系统域模型

1．单域模型

这种模型只包含一个域。它包含一个主域控制器和一个或多个备份域控制器，单域模型最适合少量的用户数及集中管理帐户和资源。使用单域模型无需建立信任关系，所有的用户和全局组都在一个域中。使用单域模型的优点是：集中管理用户帐户；集中管理资源；无需管理信任关系。但使用单域模型也有缺点：如果用户和组的数量过多，主域控制器无法支持，会导致性能大大下降；同一部门的用户无法细分成组；资源无法分组；如果域内有大量服务器，浏览服务将变得非常慢。

994.8.4MicrosoftWindows网络操作系统域模型

2.主域模型

主域模型至少包含两个域。每个域有它自己的域控制器，但是所有帐户信息都保存在主域控制器。主域模型的优点是：操纵多个域，集中管理用户帐户，集中管理资源，以及一个用户帐户在整个网络中只需登录一次等。如果一个公司已发展到拥有很多分支机构和部门，并且每个部门都想管理自己的资源，同时仍然希望集中管理帐户时，主域模型是最好的选择。主域模型的倍任关系中主域是一个被信任域。其它域都是通过单向信任关系和主域连接的信任域。主域模型把网络分割成若干个不同的管理区域。只有主域中域控制器有能力拷贝主域帐户数据库。除了主域控制器以外，至少还应该在全域内安装一个备份域控制器，以防主域控制器失灵。

1004.8.4MicrosoftWindows网络操作系统域模型

3.多主域模型

这种模型中有少数几个主域。每个主域都是帐户域，任何一个网络用户的帐户在某个主域(帐户域)中定义。在网络中其它域是资源域。

这种模型的优点是：最适合于有许多用户而且有集中MIS部门来管理帐户的大公司；可扩展至有任意用户数的大型网络；资源可逻辑分组；部门域可有各自独立的管理员管理本部门的资源。对于那些希望集中管理的大公司，多主域模型是最好的选挥，因为它具有最好的可扩展性。一般来说以部门作为建域的单元。

1014.8.4MicrosoftWindows网络操作系统域模型

4.完全信任模型

完全信任模型中，网络中的每个域都信任其它任何域。每个部门管理自己的域，定义自己的用户帐号。这些用户帐号在完全信任模型中可在任意域内使用。

使用这种模型对没有中央MIS部门的公司非常适合，它可以扩展到有任何用户数的大型网络每个部门对它自己的用户和资源拥有完全控制权，用户帐号和资源都可按照部门单元进行分组。在这种模型中，网络中每个域信任其它任何域，而每个域都不管理其它域。完全信任模型把对用户、组、域和资源的管理完全分散到各个不同的部门，不再进行集中管理。由于完全信任模型中没有任何集中化管理机制，当其它域中的用户访问本域资源时可能导致安全危机。

1024.8.4MicrosoftWindows网络操作系统用户组

WindowsNT支持两种类型的组：全局组和本地组。

Windows网络为了保证网络安全性，必须为每个用户规定其对资源的使用权限，对于大型网络，这些信息数量很大，处理起来是很麻烦的。事实上，很多用户对某一资源的权限是类似的，如共享打印机，这启发了使用组的概念来简化用户权限管理的负担，并减少冗余的权限信息。比如可以建一个打印机组，为该组规定一定的组权限，则凡加入该组的用户都拥有该组的权限。从而避免了为每一个使用打印机的用户规定一次权限的麻烦。

1034.8.4MicrosoftW