《Windows2003上安装AD》由会员分享,可在线阅读,更多相关《Windows2003上安装AD(11页珍藏版)》请在金锄头文库上搜索。
1、本文的目的,是作为域和 AD 的一篇入门文章,使没有安装过域,或刚刚接触域的年轻网管能对域和 AD 有一个全面的了解,并利用此文入门,将所管理的网络实现一个基于域的管理模式。MS:Microsoft 微软公司95:Windows 9598:Windows 98XP:Windows XPNT:Windows NT Server2000:Windows 2000 Server03: Windows 2003 ServerS:ServerAS:Advanced ServerAD:Active Directory 即活动目录DC:Domain Controller 即域控制器GC:Global Cat
2、alog 全局编录TS:Terminal Service 终端服务PDC:Windows NT Server 域中的主域控制器BDC:Windows NT Server 域中的备份控制器SAM 库:安全帐号管理器数据库FQDN:完全有效域名,如:NetBIOS 名称:形如 mcse 一、认识 Windows 的域本小节重点从理论上阐述域的概念、作用和 Windows 中域的产生。一台 Windows 计算机,它要么隶属于工作组,要么隶属于域。所以说到域,我们就不得不提一下工作组,工作组是 MS 的概念,一般的普遍称谓是对等网。工作组通常是一个由不多于 10 台计算机组成的逻辑集合,如果要管理更
3、多的计算机,MS 推荐你使用域的模式进行集中管理,这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能,使你网络管理的工作量达到最小。当然这里的 10 台只是一个参考值,11 台甚至 20 台,如果你不想进行集中的管理,那么你仍然可以使用工作组模式。工作组的特点就是实现简单,不需要域控制器 DC,每台计算机自己管理自己,适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义,只是在网上邻居的列表中实现一个分组而已;再就是对于“计算机浏览服务”,每一个工作组中,会自动推选出一个主浏览器,负责维护本工作组所有计算机的 NetBIOS 名称列表。用户可以使用默认的 workgro
4、up,也可以任意起个名字,同一工作组或不同工作组在访问时也没有什么分别。域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,实现起来要复杂一些,至少需要一台计算机安装 NT/2000/03 Server 版本使其充当 DC,来实现集中式的管理。若考虑到容错的话,至少需要两台。对于 NT4 域就是一台 PDC(具有唯一性),一至多台 BDC,对于 2000/03 域,已经没有 PDC 和 BDC 的概念,要容错就需要两至多台 DC。域是逻辑分组,与网络的物理拓扑无关,可以很小,比如只有一台 DC;也可以很大,包括遍布世界各地的计算机,比如大型跨国公司网络上的域(当然实际中他们多采
5、用多域结构,还可以利用 AD 站点来优化 AD 复制)。这个“目录服务数据库”,在 NT4 时,保存用户帐号名称和密码等安全安全信息,以及安全规则设置,又被称作安全帐号管理(SAM)数据库,简称 SAM库。在非 DC 上的本地的 SAM 库与 DC 上域所用的 SAM 库类似,只不过对于 NT4域的 SAM 库文件,保存有整个域的用户和计算机,用“域用户管理器”和“服务器管理器”来管理,本地的 SAM 库文件,保存有本地机的用户,由“用户管理器”来管理。从 2000 开始,MS 引入了活动目录 AD,DC 通过 AD 来提供目录的服务,例如它负责维护 AD 数据库、审核用户的账户和密码是否正确
6、、将 AD 数据库复制到其它的 DC 等。AD 库的核心文件就是 winntntdsntds.dit 文件。注意组策略的具体设置值,并不存在这个文件中,而是保存在 winntsysvolsysvol 这个共享夹下,用于向其它 DC 复制,传播给域成员,来生效。但需要说明的是:2000/XP/03 的非 DC 域成员计算机上仍使用和 NT4 一样的 SAM 库文件来保存本地帐号。正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源,如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计
7、算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码,用户只需一次登录,即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行),而不需要多次提供用户名和密码登录。二、构建 Windows 2000 的域这个过程简单说就是:选一台 2000S/AS 计算机,运行 AD 安装向导,在其上安装活动目录,使其成为 DC。然后将其它的计算机加入到这个域。说明:至于是用 2000S,还是用 2000AS,对于一般的用户差别不大。2000S支持最多 4 个 CPU,最大 4G 内存;2000AS 支持最多 8 个 CPU,最大内存 8G,还支持群集功能。但这些我们一般用
8、户都用不到,所以对于普通用户来说,选择S 或 AS 都是一样的。1、系统要求*一台 2000S 或 2000AS 独立或成员服务器,2000DS 只有 OEM 版,随厂商硬件发售,平常我们是见不到的。* 其上必须有一个 NTFS 5.0 分区,用来保存 AD 的 sysvol 文件夹。注意:2000 的 NTFS 分区是 NTFS 5.0,NT4 的是 NTFS 4.0,NT4 必须安装 SP4 后,才可访问 2000 的 NTFS 分区。* 网络上必须有可用的 DNS 服务器,并且必须支持 SRV 记录(Service Locaion Resource Record)和动态更新功能。如:MS
9、 Win2000S DNS,UNIX 的DNS BIND 8.12 及以上版本,使用已有的 NT4 DNS 是不行的。说明:构建 NT4 域并不需要 DNS 的支持,但 2000 域必须有 DNS,且满足上述要求。SRV 记录的作用是指明域和站点(site)的 DC、PDC 仿真、GC 是谁。动态更新也是 2000DNS 的新特色,管理员不必再象 NT4 DNS 那样手动为计算机创建或修改相应记录,在域成员计算机重启,或改名、改 IP 时依赖周期性更新,自动动态实现。如果没有 DNS 服务器的话,也不一定非得预装 DNS,可以在安装 AD 过程中,选择在本机上安装 2000 DNS。而且推荐初
10、学者使用这种方法,因为系统会根据你提供的 FQDN 域名,自动创建好 DNS 区域(zone),并配置成 AD 集成区域,仅安全动态更新。如果需要向外连或反向解析,用户只需配置上转发器和反向区域即可,不需要的话,直接就可以用了。如果决定在安装 AD 过程中在本机安装 DNS,应在安装前,将本机 TCP/IP配置/DNS 服务器指向自己,这样在安装 AD 完成后重启时,SRV 记录将被自动注册到 DNS 服务器的区域当中去的,生成四个以下划线开头的文件夹,如_msdcs,03DNS 在这里夹的层次结构有所变化,但本质没变。当然如果忘了指,也可以后补上,只不过需要多重启一次。2、安装步骤、注意事项
11、、常见问题、经验技巧(1)启动 AD 安装向导方法一:开始/程序/管理工具/配置服务器/ Active Directory /启动 AD安装向导。方法二:熟练后一般常用,开始/运行:dcpromo。(2)安装选项:指定服务器角色三个界面,实现四种组合:新域附加 DC新树子域新林加入林即:* 新域新树新林* 附加 DC* 新域子域* 新域新树加入林全新安装:新域新树新林,这样来建立第一个域中的第一台 DC。2000 的多域模型采用层次结构,不同于 NT4 域的平面结构,NT4 的多个域之间只是通过信任关系关联起来。接下来以下图为例,对 2000 的域、树、林进行简要说明: 为林根域,有两个树,一
12、个由 和它的子域 组成,另一个由 单独组成,林中有,, 三个域。相关概念如下:林根域:在林中第一个建立的域,如:树:共用连续的命名空间的多层域,如 和 树根域:树最高层的域,名最短。如:说明:2000 可采用多层域结构,但最有效、最简便的管理方法仍是单域,所以大家在实际工作中要记住一个原则“能用单域解决,就不用多域”。再者 2000AD 是针对大中型网络设计的,而我们一般管理的网络也就几百个节点,属于小型网络,一般来讲用一个单域结构就够用了,不要人为将管理环境复杂化。在实验中,我们甚至可以一个林中只有一个树,一个树中只有一个域,一个域里只有一台 DC。另外前面已经说过了,域是逻辑分组,
13、与网络的物理拓扑无关,不要总试图规划一个子网一个域。当然实际中多个子网一个域,子网中若有 95/98/NT 老计算机,无法利用 DNS 直接登录到域,可以安装一台 WINS 服务器解决问题。将所有计算机,包括 WINS 服务器本身的 TCP/IP 配置中的 WINS 服务器指向此WINS 服务器即可。(3)安装选项:新域的 DNS 全名说明:在这里应该输入新域的完全有效域名 FQDN,形如:。系统会打算以 mcse 作为此域的 NetBIOS 名称,并在网络中检查是否存在重名,需要等一会儿。不重名则设为 mcse,建议用户不要修改此名;重名则设为 mcse0,建议用户最好换个名字。这也就是说,
14、网络中如果已有一个域,名字叫做 mcse.org,也会出现 NetBIOS 名称冲突的问题。(4)安装选项:为新域指定一个 NetBIOS 名称说明:NetBIOS 名称,只是为 95/98/NT 等老版本用户通过“浏览服务”或 WINS来识别这个域用的,如果确信域用户都是 2000 及以上系统(它们通过 DNS 定位域),其实 NetBIOS 名称冲不冲突,都无所谓。(5)安装选项:指定 AD 库和日志文件位置说明:如果仅是实验,用默认值即可。若是在真正的服务器上,都会有多块物理硬盘,最好分开存放,以提高性能。另外需要强调的是:AD 库和日志文件并不要求非得 NTFS 5.0 分区,很多 2
15、000/03 书在此语焉不详。(6)安装选项:指定 sysvol 文件夹位置说明:是 sysvol 这个文件夹要求必须得 NTFS 5.0 分区。在它当中存储有 DC 间AD 要同步的内容,包括组策略的设置值。(7)这时网络中若无可用 DNS 服务器,就会出现提示:找不到 DNS 服务器,需要考虑在本机上安装一个 DNS 服务器。可先不必理会,点“确定”,接下来选“是,在本机上安装并配置 DNS”。初学者在此不要选“否,我将自己安装并配置 DNS”。(8)几分后,安装完成,需要重启。说明:若硬盘或网络上没有可用的 2000S 源文件,会提示要 2000S 光盘。最好用新装 2000S 来安装 AD,这样不容易出问题。如果你是用一个台运行了一段时间的 2000S/AS,来安装 AD,使其成为 DC。重启及登录时可能会很慢(有时可能长达 20 分钟),这是较常见的现象。一般 2-3 次以后就好了,如果多次重启后还那样,那就要重装系统及 AD 了。3、域成员计算机(1)将计算机加入到域首先将客户机 TCP/IP 配置中所配的 DNS 服务器,指向 DC 所用的 DNS 服务器。然后我的电脑/右键/属性/网络标识/属性/隶属于,选择域:输入域名,确定。提示输入用户口和口令,确定后提示重启。说明:加入域时,如果输入的域名为 FQDN 格式,形如 ,必须利用 DNS中的 S
