摘要:下面是由希賽小編整理的通信互聯(lián)網(wǎng)技術知識點精講之網(wǎng)絡基本概念,希望能幫助學友們。具體內(nèi)容如下
下面是由希賽小編整理的通信互聯(lián)網(wǎng)技術知識點精講之網(wǎng)絡基本概念,希望能幫助學友們。具體內(nèi)容如下:
WindowsNT/2000/XP網(wǎng)絡基本概念
1.工作組
工作組是一種將資源、管理和安全性都分布在整個網(wǎng)絡里的網(wǎng)絡方案。工作組中的所有計算機之間是一種平等的關系,沒有從屬之分,也沒有主次之分。工作組中的每一臺計算機都要管理自己的用戶賬號,也包括大量由較多成員組成的工作組的管理。WindowsNT中把組分為全局組和本地組,組使得授予權限和資源許可更加方便。
工作組網(wǎng)絡方式的優(yōu)點有:對少量較集中的工作站很方便,且工作組中的所有計算機之間是一種平等關系。管理員的維護工作少,實現(xiàn)簡單。
工作組網(wǎng)絡方式的缺點是:對工作站較多的網(wǎng)絡管理方案不合適,無集中式的賬號管理、資源管理和安全性策略,從而使得網(wǎng)絡效率減低、管理混亂、網(wǎng)絡資源的安全性難以保證。
2.Windows域
隨著WindowsNT的發(fā)布,Microsoft引入了“域”這個概念。域只是一組用戶、服務器和其他共享賬號和安全信息的資源。例如,在一個大型咨詢公司,軟件部可能就有它自己的域,記賬可能是屬于另一個域的,而且市場部可能屬于第三個域。在網(wǎng)絡中建立域是為了方便對資源和安全的組織與管理。某個機構的域的最佳數(shù)量和結構是取決于該機構的需要的;例如,一個小型本地的圖形設計公司可能只需要使用一個域;但一家大型的跨國進出口公司可能就需要使用上百個域。域可以歸為幾個不同層次或模型。在安裝WindowsNTServer時,可以通過分配一個域控制器,即一個域內(nèi)跟蹤資源、用戶和權限的服務器,然后把資源分配給該域來創(chuàng)建一個域。使用多臺WindowsNT服務器的網(wǎng)絡可能包含不止一個域控制器,其中有一個充當主域控制器,并且至少有一個充當備份域控制器。在安裝一個基于WindowsNT的網(wǎng)絡之前,仔細規(guī)劃它的域是很重要的。對己建立好的域做結構上的變動可能會浪費一些時間并可能引起混亂,有時甚至是不可能的。例如,如果不重新安裝WindowsNT網(wǎng)絡操作系統(tǒng),就不能改變域名或域控制器。
(1)域的基本元素。
每一個域都依靠主域控制器(PDC)來集中管理賬號信息和安全。每一個域都只有一個主域控制器存在。如果主域控制器出了故障,就必須依靠備份域控制器(BDC)來承擔管理的任務。備份域控制器(BDC)也能夠為要登錄入域的用戶提供監(jiān)督服務。每個域都可以允許有大量的備份域控制器(BDC),但在一個域內(nèi)至少要有一臺備份域控制器(BDC)存在。因為備份域控制器(BDC)必須要能夠被主域控制器(PDC)讀寫,所以只有在主域控制器(PDC)正確運行后才能創(chuàng)建備份域控制器(BDC)并把它加入網(wǎng)絡。如果主域控制器(PDC)離線了很長一段時間,網(wǎng)絡管理員就能夠升級備份域控制器(BDC),并把它切換到主域控制器(PDC)的功能。升級只是Microsoft用來表示授予服務器更高權限的一個術語。
當原來的主域控制器(PDC)從故障中恢復正常時,在它再一次加入域時必須要把它降級為備份域控制器(BDC)。可以通過ServerManager的圖形界面來管理域控制器的升級和降級。為了打開ServerManager,可通過“Start-Program-AdministrativeTools(Common)-ServerManager)”命令。
還有許多成員服務器也可能屬于該WindowsNT域。成員服務器(MS)是不負責管理賬號或安全的服務器,它們通常都只是運行諸如MSSQLServer的那些要求專門的處理資源的特殊應用。使用成員服務器來運行應用程序可以讓域控制器放手去“進行賬號管理工作”。
WindowsNT域內(nèi)的服務器必須是主域控制器(PDC)、備份域控制器(BDC)或MS(MemberServer)。
(2)信任關系。
信任關系(簡稱信任)是域間的一種關系,它使得一個域內(nèi)的用戶訪問另一個域內(nèi)的資源成為可能。授權其他域訪問自己資源的域稱為信任域。訪問其他域資源的域稱為被信任域。如圖6-3所示,當域A允許域B內(nèi)的用戶訪問其資源時,一個單向域信任關系就建立了。
在單向域信任關系中,提供共享資源的域信任有想訪問這些資源的用戶,而不是別的方向。有一個類似的情形:有一個愛好賽車的人,其鄰居想借他的賽車用一下,當車主把鑰匙交給鄰居時,他想和鄰居建立一種信任關系,以保證鄰居能安全行車并把車子完好無損地歸還給他。在這個例子中,車主就是域A(提供共享資源的域),鄰居是域B(有用戶想訪問這些資源的域),而賽車就是資源。
網(wǎng)絡經(jīng)常使用幾個單向域信任關系。如果有一個內(nèi)部審計部的域,加上財會、IT、銷售和研究部門的域,就可能會使用很多個單向域信任關系。在這種情況下,內(nèi)部審計部可能需要訪問位于財會、IT、銷售和研究部門的服務器上的賬目和合同信息?;诎踩矫娴目紤],后面的4個域應該不允許訪問內(nèi)部審計部門的域。在這種情況下,應該建立幾條單向信任:財會、IT、銷售、研究部門的域分別到內(nèi)部審計部門域這4條單向域信任關系。
如果域B的用戶能夠訪問域A,并且域A的用戶可以訪問域B,就要建立一條雙向域信任關系了。雙向域信任關系在需要兩個或更多地方管理域的這種廣域網(wǎng)環(huán)境中是很常見的。例如,一家國際性保險公司的總部設在Reno,它的網(wǎng)絡維護部門設在Portland和Denver.為了在這3個地方之間共享信息,就需要在Reno和Denver、Reno和Portland以及Portland和Denver之間都建立雙向域信任關系。完全信任域模型是在網(wǎng)絡中所有的域間都建立雙向域信任關系而實現(xiàn)的。
即使域間的信任關系都已經(jīng)建立了,但這些域內(nèi)的用戶和組必須還要從被信任的服務器那里取得許可才能訪問對方資源。只有在服務器間的信任關系建立以后才能為用戶和組分配許可證。例如,如果厲于域A的SallyChen能夠訪問域B,但這并不意味著她能夠打開域B的備份域控制器(BDC)上的擴展性電子表格。然而,如果沒有建立信任關系,域B就根本不能識別Sally.注意,不管是用單向還是雙向域信任關系都要為它們分配許可證。
至少要有兩個域才能配置信任關系。另外,還要對這些域具備管理員權限,也就是說,必須要作為管理員或者用一個具有可以修改服務器有關參數(shù)的權限的ID來登錄服務器。為了改變某一個域的信任關系,可以選擇“Start-Programs-AdministrativeTools-UserManagerforDomains”命令,在彈出的“UserManagerforDomains”對話框中選擇“Policies-TrustRelationships”命令,彈出“TrustRelationship”對話框,它允許添加或刪除域間的信任關系。
信任關系在建立后可以再斷開,然而用戶可能還需要從其他域獲取資源。在刪除信任關系時,一定要保證沒有用戶會使用它了。例如,可能已經(jīng)在財會和內(nèi)部審計部門間建立了信任關系-在財政年年終,一位屬于IT域的上級會計師可能會在封存賬簿前編輯內(nèi)部審計部門域的主域控制器(PDC)上的擴展性電子表格。如果斷開了這兩個域間的信任關系,這位會計師就不能訪問內(nèi)部審計部門的服務器了,更不能在這臺服務器上修改或創(chuàng)建擴展性電子表格了。
(3)域模型。
在WindowsNT網(wǎng)絡上成功創(chuàng)建一個或更多的域之前,需要理解建議使用的組織域的方法。Microsoft推薦使用下列4種域模型中的任何一種:單域、主域、多主域或完全域信任。
這4種域模型有各自的特征以及優(yōu)缺點。
單域模型是最簡單的WindowsNT域模型。正如其名,單域模型只使用一個域來為一個機構的用戶和資源服務。它適用于幾乎不關心安全問題的小型機構。例如,一個只有6名代理商的旅游中介公司可能只需用單域模型來連接用戶和共享打印機。單個WindowsNT域能夠支持多達26000個用戶,但實際支持的用戶數(shù)目取決于用戶要求的應用的種類、用戶要求的存儲空間大小、用戶訪問服務的頻率、服務器硬件以及其他因素。
主域模型用單域對用戶賬號信息實施控制,另外再用獨立的資源域來管理諸如連網(wǎng)的打印機等這些資源。這種模型適合于這種環(huán)境:機構的各部門都各自控制自己部門的文件和打印共享,并且有一個中心信息技術部門管理用戶ID、組以及域間的信任關系。這種安排提供了集中控制與分散控制相結合的方法,并且比單域模型更靈活一些。它也允許把所有的資源按邏輯組來分離。例如,廣告部的彩色打印機不能由財會部的會計師使用,即使財會部和廣告部都登錄到同一個域也不行。主域模型最多可以支持30000個用戶,但能支持的實際數(shù)目取決于該域內(nèi)的服務器數(shù)和使用的硬件類型。
第三種域模型是多主域模型,它把兩個或更多個主域以雙向信任關系連接起來,管理許多資源域,就像在主域模型中一樣,多主域模型中的資源域也是由許多獨立的資源(如打印機)組成,并且必須和主域有單向信任關系。多主域模型中的用戶能夠登錄到一個主域,并且可以使用幾個不同資源域中的資源。多主域為集中管理所有用戶ID、組和賬號信息提供了選擇。但它也可以采取分散管理的方式,換句話說,如果希望的話,每個獨立的部分都可以從一個獨立的主域管理它的用戶訪問資源域。另外,多主域允許用戶從網(wǎng)絡中任何地方登錄,不管是在局域網(wǎng)還是廣域網(wǎng)的節(jié)點處。這個特性使得遠程用戶也可以使用資源。多主域模型比前面提到的兩種模型能提供更大的冗余。這是因為局域網(wǎng)或廣域網(wǎng)中許多不同節(jié)點都可以被分配為備份域控制器(BDC),從而在幾個地方都可以維護賬號信息。理論上,多主域模176|通信專業(yè)實務一一互聯(lián)網(wǎng)技術型可以支持超過40000名用戶。
完全信任域模型與主域模型的不同之處在于前者的管理是完全分散的。該模型中的每一個域都管理它自己的用戶、組、賬號以及文件和打印共享信息。為了使域之間能夠相互通信,完全信任域模型中的所有域之間都要建立起雙向信任關系。由于每一個信任關系都需要有一些配置和維護工作,所以這種模型增加了網(wǎng)絡管理員的負擔?如果有4個域,就有12個信任關系要建立起來:如果有12個域,要建立的信任關系的數(shù)目就猛增到132個。由于每個信任關系都要導致產(chǎn)生服務器間共享數(shù)據(jù)的傳輸,所以使用這種模型也會增加網(wǎng)絡的負擔。然而,對于己經(jīng)完成吞并計劃的公司或者對集中管理還沒有一個淸晰計劃的機構而言,這種模型也許會很有用處。
選擇哪種域模型取決于該機構的劃分(不管是按功能還是按地理區(qū)域)、現(xiàn)有的基礎、要支持的用戶數(shù)《、管理網(wǎng)絡的位置以及來自管理層的潛在的政策壓力。構建域的一個途徑是為每一個地理位置分配一個域,另一種途徑是為公司的每一個部門單獨創(chuàng)建一個域。如果某機構是一家小公司(少于20人〉,使用單域模型就足夠了。另一方面,如果該機構有成千上萬的用戶,使用多個域將會提高性能并且能夠減輕管理負擔。
在任何情況下,在試圖執(zhí)行前仔細規(guī)劃域的結構是非常必要的。把現(xiàn)有網(wǎng)絡從一種域模型轉向另一種域模型時,要求一定要重新審査域間的所有信任關系,包括決定讓多少個用戶依靠這些關系訪問資源。如果在轉換域模型的過程中那些很重要的信任關系斷開了,工作將不得不停止。而且,轉換域模型毫無疑問會給網(wǎng)絡管理員增添很多麻煩,他必須確定并參加所有的修改工作。
返回目錄:通信互聯(lián)網(wǎng)技術知識點精講之網(wǎng)絡操作系統(tǒng)匯總
點擊進入:互聯(lián)網(wǎng)技術網(wǎng)絡課堂課堂之網(wǎng)絡操作系統(tǒng)精講
相關推薦:
中級通信互聯(lián)網(wǎng)技術知識點精講之網(wǎng)絡安全技術匯總
通信工程師備考資料免費領取
去領取