《服务器搭建与管理——WindowsServer2003》由会员分享,可在线阅读,更多相关《服务器搭建与管理——WindowsServer2003(56页珍藏版)》请在金锄头文库上搜索。
1、服务器搭建与管理服务器搭建与管理 Windows Server 2003v课题课题内容:内容: Win Server 2003域的安装与管理域的安装与管理 v教学教学目的:目的: 掌握掌握Windows Server 2003 中域控制器的安装方法。中域控制器的安装方法。v 掌握掌握Windows Server 2003 中域控制器的删除方法。中域控制器的删除方法。v教学教学方法方法:演示法、练习法演示法、练习法v重重 难难 点:域控制器的安装与删除。点:域控制器的安装与删除。v能力培养能力培养:培养安装和删除域控制器及域的使用能力:培养安装和删除域控制器及域的使用能力。v课堂类型:讲授课课堂
2、类型:讲授课v教教 具:投影仪、多媒体设备具:投影仪、多媒体设备 授课班级授课班级 计应计应/英英1001班班第第25次次课课 授课时间授课时间 4月月20日星期三日星期三 授课地点授课地点知知701局域网中两种常见的组织方式一、工作组模式在工作组模式的网络中,各计算机是独立的,各计算机中的账户和资源也是各自进行管理的。如果一个人想要访问不同的计算机,就需要在每台计算机中建立账户。访问时,也需要分别登录。ABCABCABC二、域模式在域模式的网络中,可以把各计算机组织起来,各计算机中的账户和资源也可以组织起来进行集中管理。当一个域用户要访问域中不同的计算机,他只需登录一次就可以访问域中的各台计
3、算机中的共享资源。ABC域控制器 某公司组建的单位内部的办公网络,原来是基某公司组建的单位内部的办公网络,原来是基于工作组方式的,近期由于公司业务发展,人员激于工作组方式的,近期由于公司业务发展,人员激增,基于网络的安全管理需要,考虑将基于工作组增,基于网络的安全管理需要,考虑将基于工作组的网络升级为基于域的网络,现在需要将一台或多的网络升级为基于域的网络,现在需要将一台或多台计算机升级为域控制器,并将其它所有计算机加台计算机升级为域控制器,并将其它所有计算机加入到域成为成员服务器。同时对原来的本地用户账入到域成为成员服务器。同时对原来的本地用户账户和组也升级为域用户和组进行管理。户和组也升级
4、为域用户和组进行管理。项目描述目描述 掌握规划和安装局域网中的活动目录;掌握规划和安装局域网中的活动目录; 掌握在掌握在Windows 2003 ServerWindows 2003 Server中创建管理域用户及组;中创建管理域用户及组; 掌握在掌握在Windows 2003 ServerWindows 2003 Server中添加和管理各种域服务器。中添加和管理各种域服务器。 掌握将局域网中的计算机加入到在掌握将局域网中的计算机加入到在Windows 2003 ServerWindows 2003 Server的域服务器中。的域服务器中。项目目目目标域网络的结构一、域控制器在域结构的网络中
5、,需要一个对账户和资源进行统一管理的机制,这个机制就是活动目录(Active Directory)。域中所有的账户和共享资源都需要在活动目录中进行登记。用户可以利用活动目录查找和使用这些资源。安装有活动目录的计算机称为域控制器。二、域名每个域都有一个域名,用于标识一个域。域名通常采用层次结构命名。如:jsj.local三、成员计算机域建立后,只有那些加入到域中的计算机才能用来访问域中的资源,这些计算机是成员计算机。成员计算机的计算机全名:计算机名.域名如:一台计算机名字为A,当它加入 jsj.local 域后,它的全名变为 A.jsj.local。四、DNS服务器在网络中访问计算机时使用的地址
6、是IP地址。当我们用计算机名访问成员计算机时,需要先通过DNS服务器把计算机名转换为IP地址再访问。A.jsj.local192.168.0.10B.jsj.local192.168.0.11A192.168.0.10DNS服务器人员B在网上邻居中找到了域中的计算机A,双击计算机A的图标提出访问请求。DNS服务器将计算机A的名字解析为IP地址,并将IP地址回送给人员B。人员B利用IP地址访问计算机A。五、域的其它组成部分DHCP服务器:用于为域中的各成员计算机分配IP地址等配置信息。如果域中的计算机都采用手工配置IP地址,则可以不需要DHCP服务器。域用户帐户:用于域使用者的身份验证,只有拥有
7、了域用户帐户的人员才能登录到域。域共享资源:可被域用户共享的资源。单域网络的构建第一步:安装域控制器一个域可以有一个或多个域控制器,各域控制器是平等的,管理员可以在任一台域控制器上更新域中的信息,更新的信息会自动传递到网络中的其它域控制器中。设置多个域控制器可以提高域的安全性。域控制器、DNS服务器、DHCP服务器可以安装在不同计算机中,不过,在多数情况下,它们都安装在同一台计算机中。安装域控制器就是安装 Active Directory 的过程。安装了 Active Directory 的计算机就成为域控制器。安装过程:准备工作:选择一台准备作为域控制器的计算机。它必须有一个NTFS分区。如
8、果它已经存在DNS服务器或DHCP服务器,应该将它们卸载。检查该机IP设置:如果将来DNS和DHCP服务器都要装在该计算机中,应该设置一个固定的IP地址,DNS服务器地址也应该设置为本机IP地址。方法一: 运行dcpromo命令。方法二:单击“开始 | 管理工具 | 配置您的服务器向导”。在服务器角色中选择“域控制器”,单击“下一步”,启动 Active Directory 安装向导。选择“域控制器类型”:若选择“新域的域控制器”则表示创建一个新域;若选择“现有域的额外域控制器”则表示在现有域中增加域控制器。选择“域的类型”:若选择“在新林中的域”表示建立一个独立的域。指定域名:输入新域的域名
9、。域名必须符合DNS域名规则,输入后,系统会花一些时间在网络中检查该域名。由于域名建立后很难更改,所以最好一次确定域名,避免更改。指定NetBIOS名:默认为DNS域名的前半段,一般不需修改。设置数据库和日志文件文件夹位置:如果条件许可,这两个文件夹最好放在两块不同的硬盘中。设置“共享的系统卷”的位置:这个文件夹必须设置在NTFS分区内。选择或安装DNS服务器:可以在本机上安装DNS服务器,也可以选择自己安装DNS服务器。权限设置:如果网络中有旧版本的域控制器,要选择与其对应的兼容性权限。设置还原模式下的管理员密码:还原模式是域控制器的安全模式,可用于修复活动目录数据库。参数设置完成,单击“下
10、一步”开始安装活动目录,这期间需要插入 Windows Server 2003 安装盘。安装时间需要几分钟。安装完成后,要求重新启动计算机。重启之后,域控制器安装完成。安装了第一个域控制器后意味着域已经建立。其后还需进行以下工作:安装额外的域控制器:可根据需要安装。将计算机加入域:这些计算机成为该域的成员计算机。创建域用户帐户,并把它们分配给特定人员:这些人成为域用户。向域中添加共享资源:这些资源可以供域用户共享。删除域控制器如果域中有多个域控制器,删除了一个域控制器,该计算机就降格为成员计算机。如果删除了域中所有域控制器,则该域也被删除。删除方法:与安装方法一样。方法一: 运行dcpromo
11、命令。方法二:单击“开始 | 管理工具 | 配置您的服务器向导”。在服务器角色中选择“域控制器”,单击“下一步”,启动 Active Directory 安装向导。按照提示完成操作就删除了域控制器。多域网络如果一个单位有多个部门,可以在每个部门建立一个域。多域网络通常有3种结构:1、彼此独立的域域A域B2、域树结构根域A子域B子域C子域D3、域林结构根域A子域C子域E子域D根域B域信任关系彼此独立的域之间没有信任关系。这种域之间不能互访对方的共享资源。建立了信任关系的域,经过一定的授权后,用户可以在一个域中访问另一个域中的共享资源。信任关系有方向性和传递性。域A域B域C假设域A和域B建立了双向
12、可传递的信任关系,域B和域C建立了双向可传递的信任关系,则域A和域C自动成为双向信任的。信任类型1、父子:双向、可传递用于构建域树结构,父域与子域之间为父子信任关系。2、树根:双向、可传递用于构建域林结构,域林中根域之间为树根信任关系。根域A子域C子域E子域D根域B父子父子父子树根3、外部、领域、林、快捷用于建立一些有特殊要求的信任。多域网络的构建一、构建多个彼此独立的域在各个域中分别安装域控制器,在安装每个域的第一台域控制器时应选择:域控制器类型域类型新域的域控制器在新林中的域各域的域名可以分别设置,不需要关联。二、构建域树在各个域中分别安装域控制器,但应该先建立父域,再建立子域,在安装子域
13、中第一台域控制器时应选择:域控制器类型域类型新域的域控制器在现有域树中的子域域树中子域的域名必须与父域的域名相关联。根域A子域B子域Dlinite.localsales.linite.localgroup.sales.linite.local三、构建域林在各个域中分别安装域控制器,在建立新域树的第一台域控制器时应选择:域控制器类型域类型新域的域控制器在现有的林中的域树域林中各根域的域名之间不需要相关联。根域A子域B根域Elinite.localsales.linite.localcome.cc说明:域间的信任关系一般是在建立域时创建。如果想要建立一些特殊的信任关系,可以先建立彼此独立的域,然后
14、在域控制器上使用“新建信任向导”设置域间的信任类型。小结域控制器DNS域名:jsj.local域(Domain)是一系列计算机、用户和各种资源的集合。在域模式中,资源是集中进行管理的。用户只要登录一次,就可以访问位于不同计算机上的资源。每个域中至少有一台域控制器,用于对域中的资源进行登记并管理。练习题1、简述一个域网络的构建过程。第一步:安装一台域控制器(同时安装DNS服务器),这样域就创建了。第二步:为域用户创建域用户帐户。只有拥有域用户帐户的人才能登录到域。第三步:把计算机加入域中。只有通过这些计算机才能登录到域中。第四步:将计算机中的共享资源加入到域中。2、构建多域网络时,常用的结构有哪
15、两种?它们使用什么样的信任关系?常用的结构有域树结构和域林结构。域树结构通过父子信任关系搭建;域林结构通过树根信任关系搭建。3、域账户是在哪台计算机上创建并管理的?使用的控制台是哪个控制台?域账户是在域控制器上创建并管理的,使用的控制台是“Active Directory 用户和计算机”。4、在域控制器上,Administrator账户默认隶属于哪些组?Administrator账户默认隶属于Administrators、Domain Admins和Enterprise Admins组。5、新建的域用户账户自动加入哪个组?新建的域用户账户自动加入Domain Users组。6、如果你拥有了一个
16、域用户账户,你可以在哪种计算机上登录到域?A.域控制器 B.已加入域的成员计算机 C.自己家里的计算机 D.网络中的任一台计算机选B。域结构网络的创建 预习实验内容:1、创建完全独立的域2、创建有多个域控制器的域3、创建具有父子信任关系的域树4、创建具有树根信任关系的域林基本要求:1、如何安装和卸载域控制器?2、如何在域中安装额外的域控制器?3、如何安装子域的域控制器?4、如何在现有域林中创建新域树?任务2 备份与恢复活动目录1. 活动目录的备份活动目录的备份 (1 1)WindowsWindows备份备份(2 2)命令行备份)命令行备份在在“开始开始”“程序程序”“附件附件”“系统工具系统工
17、具”“备份备份”内进行备份内进行备份 。ntbackupntbackup backup backup systemstatesystemstate /J /J “Backup Job 1Backup Job 1” /F /F “D:D:backup.bkfbackup.bkf” 备份过程与备份过程与WindowsWindows状态下备份活动目录一样状态下备份活动目录一样 任务2 备份与恢复活动目录2. 活动目录的恢复活动目录的恢复 活动目录的恢复应用在下面的三种情况:活动目录的恢复应用在下面的三种情况: (1 1)网络中只有一台域控制器,在重新安装系统后,必须)网络中只有一台域控制器,在重新安
18、装系统后,必须 恢复活动目录。恢复活动目录。 (2 2)如果服务器发生故障,借助于备份文件恢复。)如果服务器发生故障,借助于备份文件恢复。 (3 3)利用备份的数据,快速安装新的额外的域外控制器。)利用备份的数据,快速安装新的额外的域外控制器。任务3 管理活动目录1在活动目录中使用在活动目录中使用OU OUOU是组织单元,在活动目录(是组织单元,在活动目录( Active Active DirectoryDirectory,ADAD)中扮演特殊的角色,它是一个当普)中扮演特殊的角色,它是一个当普通边界不能满足要求时创建的边界。通边界不能满足要求时创建的边界。 OU OU 把域中的把域中的对象组
19、织成逻辑管理组对象组织成逻辑管理组, ,而不是安全组或代表地理实而不是安全组或代表地理实体的组。体的组。OUOU是可以应用组策略和委派责任的最小单是可以应用组策略和委派责任的最小单位。位。任务3 管理活动目录1在活动目录中使用在活动目录中使用OU组织单元组织单元 组织单元是包含在活动目录中的容器对象。创建组织单元组织单元是包含在活动目录中的容器对象。创建组织单元的目的是对活动目录对象进行分类。的目的是对活动目录对象进行分类。 创建组织单元有如下好处创建组织单元有如下好处: (1 1)可以分类组织对象,使所有对象结构更清晰。)可以分类组织对象,使所有对象结构更清晰。 (2 2)可以对某些对象配置
20、组策略,实现对这些对象的管理)可以对某些对象配置组策略,实现对这些对象的管理和控制。和控制。 (3 3)可以委派管理控制权,如管理员可以给不同部门的网)可以委派管理控制权,如管理员可以给不同部门的网络主管授权络主管授权, ,让他们管理本部门的账号。让他们管理本部门的账号。任务3 管理活动目录谨慎添加谨慎添加OUOU:只在必要的时候才添加:只在必要的时候才添加OUOU,不要建太多的,不要建太多的OU,OU,建议不要为个别用户创建建议不要为个别用户创建OUOU。 保持层次简单:不要一开始就创建多层保持层次简单:不要一开始就创建多层OUOU,也不要使,也不要使OUOU的层次太深。的层次太深。 OUO
21、U与组的区别:真正的差别在于安全模型与组的区别:真正的差别在于安全模型- -组策略与权限。组策略与权限。如果一组用户或计算机需要。如果一组用户或计算机需要。使用使用OU注意要点注意要点 1在活动目录中使用在活动目录中使用OU任务3 管理活动目录2委派委派OU的管理的管理 (1 1)在左窗格中右击)在左窗格中右击OUOU对象,并从快捷菜单中选对象,并从快捷菜单中选择择“委派控制委派控制”。打开。打开“控制委派向导控制委派向导”,单击,单击“下下一步一步” (2 2)单击)单击“添加添加”打开打开“选择用户、计算机或组选择用户、计算机或组” 对话框。使用对话框中的选项选择委派对象的对对话框。使用对
22、话框中的选项选择委派对象的对象类型象类型 和位置。和位置。 (3 3)在接下来的窗口中,选择想要委派的任务。)在接下来的窗口中,选择想要委派的任务。操作步骤操作步骤任务3 管理活动目录2委派委派OU的管理的管理查看查看OU的安全属性的安全属性 (1 1)在)在“Active DirectoryActive Directory用户和计算机用户和计算机”的的菜单栏中选择菜单栏中选择“查看查看”“高级功能高级功能”。 (2 2)启用了)启用了“高级功能高级功能”之后,右击某个之后,右击某个OUOU,选择选择“属性属性”,就可以看见,就可以看见“安全安全”选项卡了。选项卡了。任务3 管理活动目录3创建
23、活动目录域的信任关系创建活动目录域的信任关系 1 1信任关系信任关系 信任关系是网络中不同域之间的一种内在联系。信任关系是网络中不同域之间的一种内在联系。2 2域林中的信任域林中的信任 子域和父域的双向、可传递的信任关系是在安装域控制器子域和父域的双向、可传递的信任关系是在安装域控制器时就自动建立的,同时由于域林中的信任关系是可传递的,时就自动建立的,同时由于域林中的信任关系是可传递的,因此同一域林中的所有域都显式或者隐式地相互信任。因此同一域林中的所有域都显式或者隐式地相互信任。3 3创建新的信任关系创建新的信任关系 任务3 管理活动目录4活动目录站点复制服务活动目录站点复制服务 活动目录站点复制服务,就是将同一活动目录站点复制服务,就是将同一Active Active DirectoryDirectory站点的数据内容,保存在网络中不同的位站点的数据内容,保存在网络中不同的位置,以便于所有用户的快速调用,同时还可以起到置,以便于所有用户的快速调用,同时还可以起到备份的目的。备份的目的。1 1站点间的复制站点间的复制 2 2站点内的复制站点内的复制3 3管理复制管理复制 域控制器DNS域名:jsj.local
