Windows域网络学习中的几个常见问题
2020-08-11马志妍
◆马志妍
(甘肃交通职业技术学院 甘肃 730070)
Windows域架构是相对于工作组而言的另一种重要的资源架构的形式,下面将从理论知识的理解和实际部署两个方面总结了Windows域网络学习中的常见问题。
1 理论学习中的常见问题
1.1 工作组与域的数据存储
工作组网络也称为对等网络(peer-to-peer),即所有的计算机都是平等的,任何一台计算机都不可以控制另一台计算机。若要登录到工作组中的任何计算机,必须具有该计算机上的账户。每一台Windows计算机都有一个本地安全账户的SAM数据库,账户数据库文件位于%systemroot%System32ConfigSAM中。用户若想访问每一台计算机内的资源,必须在每台计算机上创建用户账户。
图1工作组与域的数据存储
域也是由一组通过网络连接在一起的计算机组成,它们可以将计算机内的文件、打印机等资源共享出来供给网络的用户来访问。与工作组的松散管理有所不同,“域”是一个相对严格集中管理模式。在域中,至少有一台服务器负责客户端连入网络的验证工作,称为“域控制器(Domain Controller,简写为DC)”,域控制器共享一个集中的活动目录数据库(Directory Database),包含了由这个域的账户、密码、计算机等信息。活动目录数据库包含大量的核心数据,格式是“dit”,默认状态下,活动目录数据库位于“%systemroot%NTDS”路径下。维护活动目录数据库前,需停止ADDS域服务。
Active Directory数据库是一个事务处理数据库系统,通过日志文件支持操作,从而确保事务提到数据库中[1]。与Active Directory关联的文件包括:Ntds.dit,Active Directory(数据库文件),Edbxxxxx.log(事务日志文件),Edb.chk(检查点文件),Res1.log和Res2.log(预留的日志文件),Temp.edb(临时数据库维护文件),Edbtmp.log(日志暂存文件)[2]。
需要特别注意的是:第一台域控制器中的本地账户会被转移至Active Diretory数据库内,其他域控制器的本地用户账户会被删除;域中的成员服务器或者客户端,依然保留本地用户账户。
1.2 微软的哪些产品运行在域网络中
域是微软的产品平台,可以与Microsoft Exchange Server产品共享目录信息,集成用户身份验证;也可实现SQL Server的Cluster管理,以及hyper-v的迁移等。
图2可在域网络中运行的微软产品
1.3 如何保证域架构的稳定性
在生产环境中,域网络的稳定运行十分重要,一般域是针对企业内部用户部署的,所以首先,域控制器(DC)不直接连接外网;其次,DC上不部署大型服务,如Web服务、exchange等;最后,应该创建多台DC,实现DC的容错管理,如图3是一个简单地DC容错架构的拓扑图。
图3 DC的容错架构
2 域在部署中的常见问题
2.1 计算机无法加入域
计算机加入域时,提示“无法与域的Active Diretory域控制器(AD DC)连接”
如果在网络和域控制器均正常的情况下,主要是因为DNS。可能是DNS服务搭建的问题,也可能是客户端或DC中DNS的设置问题。
方法:DNS服务器的检查
由于域控制器需要将自己的域名注册到DNS服务器内,以便让其他计算机通过DNS服务器来找到这台域控制器,因此必须要一台可支持Active Directory的DNS服务器,也就是它必须支持服务位置资源记录,且最好支持动态更新[3]。如果没有可支持Active Directory的DNS服务器,可在升级过程中,选择在这台即将升级为域控制器的服务器上安装DNS服务器[4]。如果域控制器已经正确地将其所扮演角色注册到DNS服务器内,则在DNS管理器中会有_tcp、_udp等文件夹;表示客户端已经成功注册的数据类型,服务位置(SRV)的_idap记录。
客户端和DC首选DNS的设置
客户端和DC首选DNS必须指向域控制器注册的DNS服务器,否则,客户端加入域。
2.2 计算机加入域时提示“找不到网络路径”
计算机在添加到域的过程中,系统提示“找不到网络路径”。需要启动计算机的“TCP/IP NetBIOS Helper”服务[4],因为它是为网络上的客户端提供NetBIOS名称解析功能,允许客户端共享文件、打印机和登录到网络中[5],所以在域的环境中不能停止该服务,除此之外,Computer Browser服务,Server服务也要保持正常开启。
方法:在运行框输入services.msc,打开本地服务;会看到TCP/IP NetBIOS Helper服务是没有开启的,右击该TCP/IP NetBIOS Helper服务选择启动。
2.3 “域”使用在策略发布软件时,针对“计算机指派”和“用户指派”的区别
二者在客户端进行软件安装的时间不同。针对“计算机指派”,当客户机重启后,用户登录前进行软件的安装,并将把安装信息写入客户端的注册表。
针对“用户指派”,当客户端重启后,用户登录后进行软件的安装,并将安装信息写入客户端的注册表。
2.4 如何禁止客户端进入工作组
默认情况下,加入域的客户端即可以通过域名/用户名登录至“域”模式下,也可以通过用户/计算机登录到工作模式下,为管理带来难度。域在部署后,一定要通过组策略统一管理加强管理,可以通过在DC上的AD活动目录来将客户端的本地账号禁用。
方法:在DC上创建一个OU(组织单位),然后将需要拒绝本地登录的计算机账户加入该OU,然后为该OU创建并链接一个GPO,编辑GPO的“计算机配置”-Windows设置-安全设置-本地策略-用户权利分配下的拒绝本地登入 添加Users组。