超级会员免费看
理解与使用Active Directory功能及动手搭建实践
1. 空根AD设计
创建一个初始域,仅添加一两个账户,之后不再进行其他操作,这种设计被称为空根AD设计。一些公司即便只有一个域的企业,也会创建空根域,以防未来收购其他公司。这是一种不错的风险对冲策略,但也有缺点,需要有一个或两个域控制器(DC)持续运行,且每个DC都需要一份Server 2003副本。不过,这可能是一项不错的投资,在这种情况下,可以打破单域偏好。
2. 在AD下查找用于登录的域控制器
Active Directory使得2000、XP和2003系统在登录方面比NT 4域客户端更智能。以下简述AD如何利用站点和DNS实现机器和用户的登录:
- 登录基础 :Windows 2000及更高版本的桌面机器启动时需登录到Active Directory域,这里的“机器”指运行某些NT版本(NT 3.1 - 4、Windows 2000、XP Pro、Server 2003)的系统,Windows 9x和XP Home系统不参与域登录。登录的难点在于找到提供Kerberos登录服务的域控制器。一旦系统找到DC,处理Kerberos关于检查密码和用户ID的交互就很简单。
- 查找DC的基本方式 :机器通过向DNS询问“我是bigfirm.biz域的成员,该域中是否有提供Kerberos协议的机器?”来查找DC,这利用了SRV记录。DNS服务器会响应提供Kerberos服务的系统及端口88。但用户希望由本地DC登录,以减少广域网流量等待时间。
- AD对DNS SRV记录的组织
订阅专栏 解锁全文
扫一扫
3874
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
