通信互聯(lián)網(wǎng)技術(shù)知識點(diǎn)精講之網(wǎng)絡(luò)基本概念

       下面是由希賽小編整理的通信互聯(lián)網(wǎng)技術(shù)知識點(diǎn)精講之網(wǎng)絡(luò)基本概念，希望能幫助學(xué)友們。具體內(nèi)容如下：

       WindowsNT/2000/XP網(wǎng)絡(luò)基本概念

       1.工作組

       工作組是一種將資源、管理和安全性都分布在整個(gè)網(wǎng)絡(luò)里的網(wǎng)絡(luò)方案。工作組中的所有計(jì)算機(jī)之間是一種平等的關(guān)系，沒有從屬之分，也沒有主次之分。工作組中的每一臺計(jì)算機(jī)都要管理自己的用戶賬號，也包括大量由較多成員組成的工作組的管理。WindowsNT中把組分為全局組和本地組，組使得授予權(quán)限和資源許可更加方便。

       工作組網(wǎng)絡(luò)方式的優(yōu)點(diǎn)有：對少量較集中的工作站很方便，且工作組中的所有計(jì)算機(jī)之間是一種平等關(guān)系。管理員的維護(hù)工作少，實(shí)現(xiàn)簡單。

       工作組網(wǎng)絡(luò)方式的缺點(diǎn)是：對工作站較多的網(wǎng)絡(luò)管理方案不合適，無集中式的賬號管理、資源管理和安全性策略，從而使得網(wǎng)絡(luò)效率減低、管理混亂、網(wǎng)絡(luò)資源的安全性難以保證。

       2.Windows域

       隨著WindowsNT的發(fā)布，Microsoft引入了“域”這個(gè)概念。域只是一組用戶、服務(wù)器和其他共享賬號和安全信息的資源。例如，在一個(gè)大型咨詢公司，軟件部可能就有它自己的域，記賬可能是屬于另一個(gè)域的，而且市場部可能屬于第三個(gè)域。在網(wǎng)絡(luò)中建立域是為了方便對資源和安全的組織與管理。某個(gè)機(jī)構(gòu)的域的最佳數(shù)量和結(jié)構(gòu)是取決于該機(jī)構(gòu)的需要的;例如，一個(gè)小型本地的圖形設(shè)計(jì)公司可能只需要使用一個(gè)域;但一家大型的跨國進(jìn)出口公司可能就需要使用上百個(gè)域。域可以歸為幾個(gè)不同層次或模型。在安裝WindowsNTServer時(shí)，可以通過分配一個(gè)域控制器，即一個(gè)域內(nèi)跟蹤資源、用戶和權(quán)限的服務(wù)器，然后把資源分配給該域來創(chuàng)建一個(gè)域。使用多臺WindowsNT服務(wù)器的網(wǎng)絡(luò)可能包含不止一個(gè)域控制器，其中有一個(gè)充當(dāng)主域控制器，并且至少有一個(gè)充當(dāng)備份域控制器。在安裝一個(gè)基于WindowsNT的網(wǎng)絡(luò)之前，仔細(xì)規(guī)劃它的域是很重要的。對己建立好的域做結(jié)構(gòu)上的變動(dòng)可能會(huì)浪費(fèi)一些時(shí)間并可能引起混亂，有時(shí)甚至是不可能的。例如，如果不重新安裝WindowsNT網(wǎng)絡(luò)操作系統(tǒng)，就不能改變域名或域控制器。

       (1)域的基本元素。

       每一個(gè)域都依靠主域控制器(PDC)來集中管理賬號信息和安全。每一個(gè)域都只有一個(gè)主域控制器存在。如果主域控制器出了故障，就必須依靠備份域控制器(BDC)來承擔(dān)管理的任務(wù)。備份域控制器(BDC)也能夠?yàn)橐卿浫胗虻挠脩籼峁┍O(jiān)督服務(wù)。每個(gè)域都可以允許有大量的備份域控制器(BDC)，但在一個(gè)域內(nèi)至少要有一臺備份域控制器(BDC)存在。因?yàn)閭浞萦蚩刂破?BDC)必須要能夠被主域控制器(PDC)讀寫，所以只有在主域控制器(PDC)正確運(yùn)行后才能創(chuàng)建備份域控制器(BDC)并把它加入網(wǎng)絡(luò)。如果主域控制器(PDC)離線了很長一段時(shí)間，網(wǎng)絡(luò)管理員就能夠升級備份域控制器(BDC)，并把它切換到主域控制器(PDC)的功能。升級只是Microsoft用來表示授予服務(wù)器更高權(quán)限的一個(gè)術(shù)語。

       當(dāng)原來的主域控制器(PDC)從故障中恢復(fù)正常時(shí)，在它再一次加入域時(shí)必須要把它降級為備份域控制器(BDC)?？梢酝ㄟ^ServerManager的圖形界面來管理域控制器的升級和降級。為了打開ServerManager,可通過“Start-Program-AdministrativeTools(Common)-ServerManager)”命令。

       還有許多成員服務(wù)器也可能屬于該WindowsNT域。成員服務(wù)器(MS)是不負(fù)責(zé)管理賬號或安全的服務(wù)器，它們通常都只是運(yùn)行諸如MSSQLServer的那些要求專門的處理資源的特殊應(yīng)用。使用成員服務(wù)器來運(yùn)行應(yīng)用程序可以讓域控制器放手去“進(jìn)行賬號管理工作”。

       WindowsNT域內(nèi)的服務(wù)器必須是主域控制器(PDC)、備份域控制器(BDC)或MS(MemberServer)。

       (2)信任關(guān)系。

       信任關(guān)系(簡稱信任)是域間的一種關(guān)系，它使得一個(gè)域內(nèi)的用戶訪問另一個(gè)域內(nèi)的資源成為可能。授權(quán)其他域訪問自己資源的域稱為信任域。訪問其他域資源的域稱為被信任域。如圖6-3所示，當(dāng)域A允許域B內(nèi)的用戶訪問其資源時(shí)，一個(gè)單向域信任關(guān)系就建立了。

       在單向域信任關(guān)系中，提供共享資源的域信任有想訪問這些資源的用戶，而不是別的方向。有一個(gè)類似的情形：有一個(gè)愛好賽車的人，其鄰居想借他的賽車用一下，當(dāng)車主把鑰匙交給鄰居時(shí)，他想和鄰居建立一種信任關(guān)系，以保證鄰居能安全行車并把車子完好無損地歸還給他。在這個(gè)例子中，車主就是域A(提供共享資源的域)，鄰居是域B(有用戶想訪問這些資源的域)，而賽車就是資源。

       網(wǎng)絡(luò)經(jīng)常使用幾個(gè)單向域信任關(guān)系。如果有一個(gè)內(nèi)部審計(jì)部的域，加上財(cái)會(huì)、IT、銷售和研究部門的域，就可能會(huì)使用很多個(gè)單向域信任關(guān)系。在這種情況下，內(nèi)部審計(jì)部可能需要訪問位于財(cái)會(huì)、IT、銷售和研究部門的服務(wù)器上的賬目和合同信息。基于安全方面的考慮，后面的4個(gè)域應(yīng)該不允許訪問內(nèi)部審計(jì)部門的域。在這種情況下，應(yīng)該建立幾條單向信任：財(cái)會(huì)、IT、銷售、研究部門的域分別到內(nèi)部審計(jì)部門域這4條單向域信任關(guān)系。

       如果域B的用戶能夠訪問域A,并且域A的用戶可以訪問域B,就要建立一條雙向域信任關(guān)系了。雙向域信任關(guān)系在需要兩個(gè)或更多地方管理域的這種廣域網(wǎng)環(huán)境中是很常見的。例如，一家國際性保險(xiǎn)公司的總部設(shè)在Reno,它的網(wǎng)絡(luò)維護(hù)部門設(shè)在Portland和Denver.為了在這3個(gè)地方之間共享信息，就需要在Reno和Denver、Reno和Portland以及Portland和Denver之間都建立雙向域信任關(guān)系。完全信任域模型是在網(wǎng)絡(luò)中所有的域間都建立雙向域信任關(guān)系而實(shí)現(xiàn)的。

       即使域間的信任關(guān)系都已經(jīng)建立了，但這些域內(nèi)的用戶和組必須還要從被信任的服務(wù)器那里取得許可才能訪問對方資源。只有在服務(wù)器間的信任關(guān)系建立以后才能為用戶和組分配許可證。例如，如果厲于域A的SallyChen能夠訪問域B,但這并不意味著她能夠打開域B的備份域控制器(BDC)上的擴(kuò)展性電子表格。然而，如果沒有建立信任關(guān)系，域B就根本不能識別Sally.注意，不管是用單向還是雙向域信任關(guān)系都要為它們分配許可證。

       至少要有兩個(gè)域才能配置信任關(guān)系。另外，還要對這些域具備管理員權(quán)限，也就是說，必須要作為管理員或者用一個(gè)具有可以修改服務(wù)器有關(guān)參數(shù)的權(quán)限的ID來登錄服務(wù)器。為了改變某一個(gè)域的信任關(guān)系，可以選擇“Start-Programs-AdministrativeTools-UserManagerforDomains”命令，在彈出的“UserManagerforDomains”對話框中選擇“Policies-TrustRelationships”命令，彈出“TrustRelationship”對話框，它允許添加或刪除域間的信任關(guān)系。

       信任關(guān)系在建立后可以再斷開，然而用戶可能還需要從其他域獲取資源。在刪除信任關(guān)系時(shí)，一定要保證沒有用戶會(huì)使用它了。例如，可能已經(jīng)在財(cái)會(huì)和內(nèi)部審計(jì)部門間建立了信任關(guān)系-在財(cái)政年年終，一位屬于IT域的上級會(huì)計(jì)師可能會(huì)在封存賬簿前編輯內(nèi)部審計(jì)部門域的主域控制器(PDC)上的擴(kuò)展性電子表格。如果斷開了這兩個(gè)域間的信任關(guān)系，這位會(huì)計(jì)師就不能訪問內(nèi)部審計(jì)部門的服務(wù)器了，更不能在這臺服務(wù)器上修改或創(chuàng)建擴(kuò)展性電子表格了。

       (3)域模型。

       在WindowsNT網(wǎng)絡(luò)上成功創(chuàng)建一個(gè)或更多的域之前，需要理解建議使用的組織域的方法。Microsoft推薦使用下列4種域模型中的任何一種：單域、主域、多主域或完全域信任。

       這4種域模型有各自的特征以及優(yōu)缺點(diǎn)。

       單域模型是最簡單的WindowsNT域模型。正如其名，單域模型只使用一個(gè)域來為一個(gè)機(jī)構(gòu)的用戶和資源服務(wù)。它適用于幾乎不關(guān)心安全問題的小型機(jī)構(gòu)。例如，一個(gè)只有6名代理商的旅游中介公司可能只需用單域模型來連接用戶和共享打印機(jī)。單個(gè)WindowsNT域能夠支持多達(dá)26000個(gè)用戶，但實(shí)際支持的用戶數(shù)目取決于用戶要求的應(yīng)用的種類、用戶要求的存儲(chǔ)空間大小、用戶訪問服務(wù)的頻率、服務(wù)器硬件以及其他因素。

       主域模型用單域?qū)τ脩糍~號信息實(shí)施控制，另外再用獨(dú)立的資源域來管理諸如連網(wǎng)的打印機(jī)等這些資源。這種模型適合于這種環(huán)境：機(jī)構(gòu)的各部門都各自控制自己部門的文件和打印共享，并且有一個(gè)中心信息技術(shù)部門管理用戶ID、組以及域間的信任關(guān)系。這種安排提供了集中控制與分散控制相結(jié)合的方法，并且比單域模型更靈活一些。它也允許把所有的資源按邏輯組來分離。例如，廣告部的彩色打印機(jī)不能由財(cái)會(huì)部的會(huì)計(jì)師使用，即使財(cái)會(huì)部和廣告部都登錄到同一個(gè)域也不行。主域模型最多可以支持30000個(gè)用戶，但能支持的實(shí)際數(shù)目取決于該域內(nèi)的服務(wù)器數(shù)和使用的硬件類型。

       第三種域模型是多主域模型，它把兩個(gè)或更多個(gè)主域以雙向信任關(guān)系連接起來，管理許多資源域，就像在主域模型中一樣，多主域模型中的資源域也是由許多獨(dú)立的資源(如打印機(jī))組成，并且必須和主域有單向信任關(guān)系。多主域模型中的用戶能夠登錄到一個(gè)主域，并且可以使用幾個(gè)不同資源域中的資源。多主域?yàn)榧泄芾硭杏脩鬒D、組和賬號信息提供了選擇。但它也可以采取分散管理的方式，換句話說，如果希望的話，每個(gè)獨(dú)立的部分都可以從一個(gè)獨(dú)立的主域管理它的用戶訪問資源域。另外，多主域允許用戶從網(wǎng)絡(luò)中任何地方登錄，不管是在局域網(wǎng)還是廣域網(wǎng)的節(jié)點(diǎn)處。這個(gè)特性使得遠(yuǎn)程用戶也可以使用資源。多主域模型比前面提到的兩種模型能提供更大的冗余。這是因?yàn)榫钟蚓W(wǎng)或廣域網(wǎng)中許多不同節(jié)點(diǎn)都可以被分配為備份域控制器(BDC)，從而在幾個(gè)地方都可以維護(hù)賬號信息。理論上，多主域模176|通信專業(yè)實(shí)務(wù)一一互聯(lián)網(wǎng)技術(shù)型可以支持超過40000名用戶。

       完全信任域模型與主域模型的不同之處在于前者的管理是完全分散的。該模型中的每一個(gè)域都管理它自己的用戶、組、賬號以及文件和打印共享信息。為了使域之間能夠相互通信，完全信任域模型中的所有域之間都要建立起雙向信任關(guān)系。由于每一個(gè)信任關(guān)系都需要有一些配置和維護(hù)工作，所以這種模型增加了網(wǎng)絡(luò)管理員的負(fù)擔(dān)?如果有4個(gè)域，就有12個(gè)信任關(guān)系要建立起來：如果有12個(gè)域，要建立的信任關(guān)系的數(shù)目就猛增到132個(gè)。由于每個(gè)信任關(guān)系都要導(dǎo)致產(chǎn)生服務(wù)器間共享數(shù)據(jù)的傳輸，所以使用這種模型也會(huì)增加網(wǎng)絡(luò)的負(fù)擔(dān)。然而，對于己經(jīng)完成吞并計(jì)劃的公司或者對集中管理還沒有一個(gè)淸晰計(jì)劃的機(jī)構(gòu)而言，這種模型也許會(huì)很有用處。

       選擇哪種域模型取決于該機(jī)構(gòu)的劃分(不管是按功能還是按地理區(qū)域)、現(xiàn)有的基礎(chǔ)、要支持的用戶數(shù)《、管理網(wǎng)絡(luò)的位置以及來自管理層的潛在的政策壓力。構(gòu)建域的一個(gè)途徑是為每一個(gè)地理位置分配一個(gè)域，另一種途徑是為公司的每一個(gè)部門單獨(dú)創(chuàng)建一個(gè)域。如果某機(jī)構(gòu)是一家小公司(少于20人〉，使用單域模型就足夠了。另一方面，如果該機(jī)構(gòu)有成千上萬的用戶，使用多個(gè)域?qū)?huì)提高性能并且能夠減輕管理負(fù)擔(dān)。

       在任何情況下，在試圖執(zhí)行前仔細(xì)規(guī)劃域的結(jié)構(gòu)是非常必要的。把現(xiàn)有網(wǎng)絡(luò)從一種域模型轉(zhuǎn)向另一種域模型時(shí)，要求一定要重新審査域間的所有信任關(guān)系，包括決定讓多少個(gè)用戶依靠這些關(guān)系訪問資源。如果在轉(zhuǎn)換域模型的過程中那些很重要的信任關(guān)系斷開了，工作將不得不停止。而且，轉(zhuǎn)換域模型毫無疑問會(huì)給網(wǎng)絡(luò)管理員增添很多麻煩，他必須確定并參加所有的修改工作。

       返回目錄：通信互聯(lián)網(wǎng)技術(shù)知識點(diǎn)精講之網(wǎng)絡(luò)操作系統(tǒng)匯總

       點(diǎn)擊進(jìn)入：互聯(lián)網(wǎng)技術(shù)網(wǎng)絡(luò)課堂課堂之網(wǎng)絡(luò)操作系統(tǒng)精講

       相關(guān)推薦：

       中級通信互聯(lián)網(wǎng)技術(shù)知識點(diǎn)精講之網(wǎng)絡(luò)安全技術(shù)匯總

       中級通信互聯(lián)網(wǎng)技術(shù)知識點(diǎn)精講之?dāng)?shù)據(jù)庫技術(shù)匯總

       通信互聯(lián)網(wǎng)技術(shù)知識點(diǎn)精講之交換技術(shù)匯總