第01部分_部署AD_DS、Kerberos及LDAP協(xié)議.ppt

1、第01部分,部署AD DS,部署AD DS,為什么需要域,如果資源分布在多臺(tái)服務(wù)器上，要在每臺(tái)服務(wù)器分別為每一員工建立一個(gè)賬戶（共M*N），用戶則需要在每臺(tái)服務(wù)器上（共M臺(tái)）登錄,域的好處,服務(wù)器和用戶的計(jì)算機(jī)都在同一個(gè)域中，用戶在域中只要擁有一個(gè)賬號(hào) 用戶只需要在域中擁有一個(gè)域賬戶，只需要在域中登錄一次就可以訪問(wèn)域中的資源了。,本章重點(diǎn),部署 AD DS 計(jì)算機(jī)在域內(nèi)和域外的角色 將獨(dú)立服務(wù)器加入域 將Windows XP加入域 退出域和DC降級(jí) 林與域功能級(jí)別,部署AD DS,建立第1個(gè)域 具體來(lái)說(shuō),建立第1個(gè)域就是要建立第1部域控制器（Domain Controller,以下簡(jiǎn)稱為DC）

2、 而建立DC的第1個(gè)動(dòng)作就是執(zhí)行Dcpromo.exe但是必須具有系統(tǒng)管理員權(quán)限才能執(zhí)行此程序,因此務(wù)必先以具有系統(tǒng)管理員權(quán)限的用戶帳戶登入。 建立第一部DC 以下的示范步驟,系假設(shè)目前的網(wǎng)絡(luò)無(wú)任何域,所要建立的是整個(gè)網(wǎng)絡(luò)的第一個(gè)域又稱為根域（Root Domain）。,新增角色并未建立DC,安裝Windows Server 2008后,啟動(dòng)時(shí)預(yù)設(shè)會(huì)自動(dòng)開(kāi)啟初始化設(shè)定工作視窗,雖然可以在此窗口中點(diǎn)選新增角色,接著選取安裝Active Directory域服務(wù),以使該計(jì)算機(jī)扮演DC角色。 然而,這種作法并未真正建立DC,到了最后一個(gè)畫(huà)面還是要求必須執(zhí)行Dcpromo.exe,如下圖。,新增角色并

3、未建立DC,所以我們建議無(wú)須使用新增角色功能,干脆直接執(zhí)行Dcpromo.exe吧！,執(zhí)行Dcpromo.exe,請(qǐng)按開(kāi)始鈕,輸入dcpromo、按Enter鍵：,執(zhí)行Dcpromo.exe,之后按完成鈕,再按立即重新啟動(dòng)鈕。 重新啟動(dòng)后若要確認(rèn)此計(jì)算機(jī)是否已經(jīng)是DC,從開(kāi)始/系統(tǒng)管理工具菜單是否出現(xiàn)關(guān)于Active Directory的命令即可得知：,執(zhí)行Dcpromo.exe,先前在第6步驟所設(shè)的密碼,系使用于當(dāng)AD數(shù)據(jù)庫(kù)毀損時(shí),可在開(kāi)機(jī)啟動(dòng)Windows Server 2008之前按F8鍵,進(jìn)入目錄服務(wù)還原模式,重建AD數(shù)據(jù)庫(kù)。 由于此重建動(dòng)作會(huì)改變既有的AD資料,為防止濫用,因此必須以

4、密碼保護(hù),而且此密碼不必和域系統(tǒng)管理員的密碼相同。,域中的計(jì)算機(jī),除了域控制器之外,域中的計(jì)算機(jī)還可區(qū)分成以下兩類： 成員服務(wù)器（Member Server） 工作站（Workstation）,成員服務(wù)器,安裝Windows Server 2008、Windows Server 2003 / 2003 R2、Windows 2000 Server等系統(tǒng),加入了域、但不是DC的計(jì)算機(jī)。 或是安裝Windows NT Server系統(tǒng),且加入域的電腦,都算是成員服務(wù)器。 由于這些服務(wù)器都是域的成員,所以審核使用者身份的工作,都交由DC執(zhí)行,使用者只要通過(guò)DC的身份驗(yàn)證,即可依據(jù)設(shè)定的權(quán)限來(lái)使用服務(wù)

5、器所提供的服務(wù)。 換言之,成員服務(wù)器都信任DC的身分驗(yàn)證。,最好停用成員服務(wù)器的本機(jī)賬戶,雖然加入了域,但是成員服務(wù)器上仍保留本機(jī)的帳戶數(shù)據(jù)庫(kù),因此使用者仍可利用這些本機(jī)帳戶,登入該服務(wù)器。 對(duì)域的安全管理而言,這些本機(jī)賬戶可能會(huì)是漏洞,所以我們建議停用成員服務(wù)器的本機(jī)帳戶,強(qiáng)迫使用者一律以域賬戶登入。,工作站,所有安裝以下操作系統(tǒng),而且加入域的計(jì)算機(jī)都算是工作站： Windows NT Workstation Windows 2000 Professional Windows XP Professional Windows 7/vista商用入門(mén)版、商用進(jìn)階版和旗艦版,工作站,使用者可利用這

6、些工作站登入域,存取域中的資源、執(zhí)行應(yīng)用程序等等,但是Windows Server 2008的某些新功能,必須搭配Windows 7的工作站才能發(fā)揮效果。 而工作站本身仍然保留了本機(jī)帳戶的數(shù)據(jù)庫(kù),使用者利用本機(jī)賬戶登入工作站時(shí),只能使用本機(jī)（該工作站）的資源,但無(wú)法存取域上的資源。,域外的計(jì)算機(jī),首選,應(yīng)該要知道哪些計(jì)算機(jī)不能加入AD域？ 執(zhí)行Linux、Unix等等非Windows系統(tǒng)的電腦,理所當(dāng)然地不能加入AD域。 此外, Windows 95 / 98 / Me、Windows XP家庭版、Windows 7家庭入門(mén)版、Windows 7家庭進(jìn)階版,也都沒(méi)有加入域的功能。,獨(dú)立服務(wù)器,

7、簡(jiǎn)單地說(shuō),未加入域的服務(wù)器就是獨(dú)立服務(wù)器無(wú)論安裝的是Windows或非Windows的服務(wù)器操作系統(tǒng)。 它一旦加入域后,角色即轉(zhuǎn)換為成員服務(wù)器。 相反地,成員服務(wù)器如果退出域,則又成為獨(dú)立服務(wù)器。如果在獨(dú)立服務(wù)器上執(zhí)行Dcpromo.exe,則可升級(jí)為DC。,獨(dú)立服務(wù)器,客戶端計(jì)算機(jī),無(wú)論是執(zhí)行何種操作系統(tǒng),只要未加入域,而且不是獨(dú)立服務(wù)器的電腦,都可以歸為此類。 使用者雖然不能用它們登入域,但仍可利用域帳戶,透過(guò)這些計(jì)算機(jī)存取域資源。,將獨(dú)立服務(wù)器加入域,建立域之后,通常會(huì)優(yōu)先將網(wǎng)絡(luò)上的獨(dú)立服務(wù)器加入域,以便集中管理。 以下示范將Windows Server 2008獨(dú)立服務(wù)器加入域的步驟（

8、此步驟亦適用于Windows 7）。,1.修改首選DNS服務(wù)器的設(shè)定,加入域的先決條件是要能夠連結(jié)到該域的DC,而要連到DC就必須先設(shè)定正確的DNS服務(wù)器地址。 先前建立DC的時(shí)候,其實(shí)已經(jīng)將該域的DNS服務(wù)器和DC安裝在一起了。 換言之,域里的DC和DNS服務(wù)器實(shí)為同一部電腦,所以應(yīng)該將獨(dú)立服務(wù)器上的首選DNS服務(wù)器,設(shè)為DC的IP地址。,2.修改成員隸屬的設(shè)定,請(qǐng)按開(kāi)始鈕,在電腦項(xiàng)目上按右鈕、執(zhí)行內(nèi)容命令：,修改成員隸屬的設(shè)定,加入域后的電腦,其名稱預(yù)設(shè)會(huì)出現(xiàn)在DC的Active Directory使用者和電腦窗口的Computers容器中：,退出域和DC降級(jí),先前已經(jīng)介紹了升級(jí)為DC和加

9、入域的方法,這一節(jié)將繼續(xù)說(shuō)明退出域和DC降級(jí)的方法。 退出域 加入工作組 DC降級(jí) 運(yùn)行dcpromo,林與域功能級(jí)別,先前在升級(jí)為DC的過(guò)程,曾遇到選擇林功能級(jí)別（Forest Functional Level）和域功能級(jí)別（Domain FunctionalLevel）的交談窗,當(dāng)時(shí)都暫時(shí)采用默認(rèn)值。 Windows Server 2008提供的林功能級(jí)別 Windows 2000、Windows Server 2003和Windows Server 2008 域功能級(jí)別 Windows 2000原生、Windows Server 2003和Windows Server 2008,功能級(jí)別

10、的種類與高低,愈新的操作系統(tǒng)代表愈高的功能級(jí)別,因此Windows Server 2008的等級(jí)最高；Windows Server 2003次之；Windows2000（原生）的等級(jí)最低。 在選擇林和域功能級(jí)別時(shí),要注意域功能級(jí)別不能低于林功能級(jí)別。 假設(shè)林功能級(jí)別為Windows Server 2003,則域功能級(jí)別就只有Windows Server 2003和Windows Serer 2008可選。,不同功能級(jí)別的影響,選擇不同的功能級(jí)別,對(duì)于林或域會(huì)造成以下的影響： 哪些DC可以加入林或域：雖然都是DC,但是所執(zhí)行的操作系統(tǒng)可能是Windows 2000、Windows 2003或Wi

11、ndows 2008,因此在不同的功能級(jí)別會(huì)限制某些DC不能加入林或域。 林或域支持哪些功能：在不同的功能級(jí)別,林或域所支持的功能也有差異。 功能級(jí)別愈高,所支持的功能愈多。,林功能差異,不同林功能級(jí)別的主要功能差異如下表：,域功能差異,不同域功能級(jí)別的限制條件與功能差異如下表：,變更域/林功能級(jí)別,請(qǐng)以隸屬于Domain Admin群組的使用者賬戶登入,而后執(zhí)行開(kāi)始/系統(tǒng)管理工具/ Active Directory域及信任命令,并如下操作：,變更功能級(jí)別時(shí)的注意事項(xiàng),Functional levels:,Determine the AD DS features available in a

12、domain or forest,Restrict which Windows Server operating systems can be run on domain controllers in the domain or forest,Supported Domain Controller Operating Systems,Windows 2000,Windows 2000 native,Windows Server 2003,Windows Server2003,Windows Server 2008,Windows Server 2008,Forests,Domain,Windo

13、ws Server 2008 Windows Server 2003 Windows 2000,Windows Server 2008 Windows Server 2003,Windows Server 2008,Supported functional levels:,demo,實(shí)驗(yàn)1-1 Windows Server 2008之AD DS 活動(dòng)目錄詳細(xì)部署步驟,第01部分,AD對(duì)象,AD對(duì)象,內(nèi)容,Kerberos概念 Kerberos V5 工作原理 Ticket的安全傳遞 啟用 Kerberos V5 身份驗(yàn)證 目錄服務(wù)的基本觀念 目錄的架構(gòu) X.500和LDAP LDAP對(duì)象名稱

14、AD對(duì)象的特性,引言,Kerberos最初是MIT（麻省理工學(xué)院）為Athena項(xiàng)目開(kāi)發(fā)的，是TCP/IP網(wǎng)絡(luò)設(shè)計(jì)的可信任的第三方認(rèn)證協(xié)議 Kerberos提供了一種在開(kāi)放式網(wǎng)絡(luò)環(huán)境下進(jìn)行身份認(rèn)證的方法，并允許個(gè)人訪問(wèn)網(wǎng)絡(luò)中不同的機(jī)器，它使網(wǎng)絡(luò)上的用戶可以相互證明自己的身份,Kerberos這一名詞來(lái)源于希臘神話“三個(gè)頭的狗地獄之門(mén)守護(hù)者”,引言,Kerberos采用對(duì)稱密鑰體制（采用DES，也可用其它算法代替）對(duì)信息進(jìn)行加密 基本思想是：由于Kerberos是基于對(duì)稱密碼體制，它與網(wǎng)絡(luò)上的每個(gè)實(shí)體分別共享一個(gè)不同密鑰，能正確對(duì)信息進(jìn)行解密的用戶就是合法用戶。 用戶在對(duì)應(yīng)用服務(wù)器進(jìn)行訪問(wèn)之前，

15、必須先從第三方（Kerberos服務(wù)器）獲取該應(yīng)用服務(wù)器的訪問(wèn)許可證（ticket）,Kerberos概述,網(wǎng)絡(luò)上的Kerberos服務(wù)器起著可信仲裁者的作用，可提供安全的網(wǎng)絡(luò)鑒別，允許個(gè)人訪問(wèn)網(wǎng)絡(luò)中不同的機(jī)器。 基于對(duì)稱密碼學(xué)，與網(wǎng)絡(luò)上的每個(gè)實(shí)體分別共享一個(gè)不同的秘密密鑰，是否知道該秘密密鑰便是身份的證明。主要包括以下幾個(gè)部分： 客戶機(jī)(client) 服務(wù)器(server) 認(rèn)證服務(wù)器(AS) 票據(jù)授予服務(wù)器（ticket-granting server，TGS）,Kerberos V5 工作原理概述,Ticket的安全傳遞,概括起來(lái)說(shuō)Kerberos協(xié)議主要做了兩件事 1、Ticket的

16、安全傳遞。 2、Session Key的安全發(fā)布。,目錄服務(wù)的基本觀念,何謂目錄 目錄與數(shù)據(jù)庫(kù)的差異 何謂目錄服務(wù) 計(jì)算機(jī)網(wǎng)絡(luò)為何需要目錄服務(wù),何謂目錄,其實(shí)目錄早已存在日常生活中,例如電話簿可用來(lái)查詢用戶的電話號(hào)碼、姓名與地址,就是一種目錄。 而計(jì)算機(jī)的文件系統(tǒng)記錄了文件夾與檔案的名稱、建立日期、修改日期、儲(chǔ)存位置等等 從以上的例子可知,目錄是用來(lái)記載特定環(huán)境中、一群對(duì)象的相關(guān)信息。 在此所謂的對(duì)象,泛指環(huán)境中的各種獨(dú)立個(gè)體包括人、事、物。,目錄與數(shù)據(jù)庫(kù)的差異,目錄與數(shù)據(jù)庫(kù)都是用來(lái)儲(chǔ)存資料,兩者的確很相似。不過(guò),深入比較其細(xì)節(jié),就會(huì)發(fā)現(xiàn)通常有以下兩點(diǎn)差異： 目錄強(qiáng)調(diào)查詢,數(shù)據(jù)庫(kù)重視異動(dòng)。 目

17、錄對(duì)于查詢動(dòng)作做過(guò)優(yōu)化,因此查詢的速度很快,適合處理變動(dòng)少、查詢多的數(shù)據(jù)。 數(shù)據(jù)庫(kù)則是重視異動(dòng)（Transcation）,適合處理變動(dòng)較多的數(shù)據(jù)。 目錄以樹(shù)狀架構(gòu)為主,數(shù)據(jù)庫(kù)以關(guān)系型數(shù)據(jù)表為主。,目錄的架構(gòu),目錄的架構(gòu)是指在目錄中儲(chǔ)存對(duì)象的方式,明白這方面的知識(shí),有助于未來(lái)的維護(hù)和設(shè)計(jì)工作。 目錄樹(shù) 對(duì)象的屬性,目錄樹(shù),若目錄中的對(duì)象是以階層式樹(shù)狀架構(gòu)來(lái)組織,則該架構(gòu)稱為目錄樹(shù)(Directory Tree),包含以下兩類的對(duì)象： 容器對(duì)象(Container Object)：這類對(duì)象的下層可再存放其他對(duì)象。位于整個(gè)目錄樹(shù)頂端的容器對(duì)象,稱為根對(duì)象(Root Object)。 非容器對(duì)象(No

18、n-container Object)：這類對(duì)象的下層不可再存放其他對(duì)象。非容器對(duì)象必定是位于目錄樹(shù)的末端,又稱為葉對(duì)象(Leaf Object)。,目錄樹(shù),整體的架構(gòu)圖如下：,對(duì)象的屬性,在目錄樹(shù)中,各對(duì)象都有所謂的屬性 (Attribute),記載著該對(duì)象的特性。對(duì)象與屬性的關(guān)系,類似于數(shù)據(jù)庫(kù)中紀(jì)錄與字段的關(guān)系。 舉例來(lái)說(shuō)：使用者（User）對(duì)象有公司名稱部門(mén)名稱和電話號(hào)碼這些屬性,但是文件夾對(duì)象就沒(méi)有這些屬性,而有建立日期和大小等屬性。 屬性的內(nèi)容通常稱為屬性值,不同對(duì)象的某些屬性值可以相同、某些則必須唯一。 例如：A、B兩位使用者隸屬于相同部門(mén),所以它們的公司名稱、部門(mén)名稱,甚至電話號(hào)

19、碼都相同,但是員工編號(hào)就絕對(duì)不能相同。,X.500和LDAP,目錄觀念剛萌芽時(shí), ITU-T發(fā)表了一系列名為X.500 Recommandation文件,探討目錄的觀念、模型、存取協(xié)議等等技術(shù)。 業(yè)界便以X.500作為目錄的標(biāo)準(zhǔn),以DAP (Directory Access Protocol)協(xié)議作為存取X.500目錄的共同方式。 但是廠商在實(shí)作時(shí),發(fā)覺(jué)DAP協(xié)定過(guò)于復(fù)雜,而且客戶端程序的負(fù)荷太大,于是將其改良,推出了LDAP (Lightweight Directory Access Protocol)協(xié)定。,LDAP (Lightweight Directory Access Protoc

20、ol),顧名思義, LDAP為輕量級(jí)(Lightweight)的DAP,一方面簡(jiǎn)化架構(gòu)、易于設(shè)計(jì),另一方面也減輕客戶端軟件的負(fù)荷,因此成為主流。 Lotus Domino、Sun One Directory Server、Novell Directory Services (NDS)和微軟的Active Directory Services等等目錄服務(wù)產(chǎn)品,都標(biāo)榜支持LDAP協(xié)定。,LDAP名稱(對(duì)象名稱),AD是采用LDAP 3協(xié)議的目錄服務(wù),因此客戶端可透過(guò)LDAP協(xié)定來(lái)存取AD中的對(duì)象。 存取時(shí)所指定的對(duì)象名稱,可區(qū)分為以下2類： DN (Distinguished Name)與RDN

21、(Relative Distinguished Name) 標(biāo)準(zhǔn)名稱,DN與RDN,RDN DN 其中, CN (Common Name)通常用來(lái)代表對(duì)象名稱,例如用戶名稱、打印機(jī)名稱等等；OU (Organizational Unit)代表組織單位名稱；DC (Domain Component)代表域名。,標(biāo)準(zhǔn)名稱,標(biāo)準(zhǔn)名稱是以簡(jiǎn)化方式表示LDAP的DN,假設(shè)對(duì)象的DN為： 則在AD中此對(duì)象的標(biāo)準(zhǔn)名稱為： 換言之,標(biāo)準(zhǔn)名稱省略了DN中的CN=、OU=等等保留字,并改用DNS域名來(lái)表示DN中的域名。,AD目錄服務(wù),微軟自Windows 2000 Server開(kāi)始提供完整的目錄服務(wù),命名為AD（

22、ActiveDirectory）目錄服務(wù)。 搭配該服務(wù)的目錄便稱為AD目錄許多文件是以AD數(shù)據(jù)庫(kù)來(lái)稱呼AD目錄。 雖然AD目錄與AD目錄服務(wù)大致上符合X.500及LDAP規(guī)范,但是難免加入了微軟獨(dú)家的規(guī)格與技術(shù),因此本節(jié)將介紹其中比較值得注意的一些特性。,AD目錄的架構(gòu),AD目錄仍然是以對(duì)象組合成樹(shù)狀架構(gòu),不過(guò)卻多了域（Domain）對(duì)象。將一般對(duì)象先整合到域中,再形成所謂的域樹(shù)（Domain Tree）,AD對(duì)象的特性,在AD目錄中的對(duì)象稱為AD對(duì)象。雖然大多數(shù)AD對(duì)象的特性各不相同,但是卻有一些共同點(diǎn)。 GUID ACL AD Schema,GUID,Windows Server 2008會(huì)賦予各對(duì)象一個(gè)獨(dú)一無(wú)二的代碼,稱為GUID(Globally Unique Identifier,全局唯一識(shí)別元)。 GUID的長(zhǎng)度高達(dá)128位,以確保不會(huì)彼此重復(fù)。 對(duì)象的GUID一旦產(chǎn)生,永遠(yuǎn)不會(huì)改變,因此不論對(duì)