网管员必读网络组建(第2版)第六章

本文格式为Word版，下载可任意编辑——网管员必读网络组建(第2版)第六章

网管员必读——网络组建

第六章域控制器的安装与配置本章将分别介绍适合于小型企业的单域控制器及适合于中型或以上企业的额外域控制器、现有域树中的子域、现有域林中的域树的安装与配置方法。同时介绍Windows2000和WindowsNT4.0域系统升级的方法。本章重点如下:WindowsServer2023的ActiveDirectory新功能运行第一台服务器典型设置的条件第一台服务器的典型设置方法新域控制器的安装和配置方法额外域控制器的安装和配置方法子域控制器的安装和配置方法从Windows2000域系统升级到WindowsServer2023域所需进行的准备工作

网管员必读——网络组建

6.1域控制器基础6.1.1域控制器的定义及主要作用在Windows2000/Server2023系统中，域控制器是一台安装了ActiveDirectory(活动目录)的服务器。所以所有域控制器必需先安装ActiveDirectory,无论第一个域控制器、额外域控制器，还是子域控制器。域控制器包含了ActiveDirectory数据库的可写副本，它参与ActiveDirectory复制并控制对网络资源的访问。域控制器为网络用户和计算机提供了ActiveDirectory目录服务，该服务可存储和复制目录数据并管理用户和域的交互操作，包括用户登录过程、身份验证及目录探寻。每个域至少必需包含一个域控制器。域控制器管理员能够管理用户账户、网络访问权限、共享资源、站点拓扑及来自林内任意域控制器的其他目录对象。

网管员必读——网络组建

6.1.2域控制器的规划1.确定所需的域控制器数域控制器数的多少主要受网络规模、网络应用和繁杂性的限制。对于小型企业来讲，多数可能只有一个域控制器，很明显这样的网络可用性不可能很高，由于单一域控制器无论如何都不能保证网络的持续、永久运行。当然可能因为这类小型网络本身就不需要持续、永久运行，而是在每天的晚上或每周休息日关闭。但对于大多数需要持续、永久运行的企业网络来说，为了获得高可用性和容错能力，即使是使用单个局域网(LAN)的小型企业也可能只需要一个具有两个或以上域控制器的域。具有多个网络位置的大公司在每个站点和子网中都需要一个或多个域控制器以提供高可用性和容错能力。

网管员必读——网络组建

2.物理安全对域控制器的物理访问会为恶意用户提供对加密密码的未授权访问。因此，建议将单位中的所有域控制器锁在一个安全的房间里，只允许有限的公开访问。还可以采取其他安全措施(譬如系统密钥实用程序Syskey)以进一步保护域控制器。3.备份域控制器可以使用“备份〞工具(包含在WindowsServer2023家族中)从域中的任何域控制器备份域目录分区数据和其他目录分区的数据。4.升级域控制器运行WindowsNT4.0

的域控制器上，要成功升级该域首先需要升级主域控制器(PDC)。升级PDC之后，就可以升级备份域控制器(BDC)了。假使目前有一个不含任何运行WindowsServer2023域控制器的Windows2000林，那么需要在准备该林和目标域之后才能升级运行Windows2000的域控制器。以上具体内容参见书中介绍。

网管员必读——网络组建

6.2ActiveDirectory基础6.2.1ActiveDirectory简介ActiveDirectory目录服务可安装在运行WindowsServer2023StandardEdition、WindowsServer2023EnterpriseEdition和WindowsServer2023DatacenterEdition的服务器上。ActiveDirectory存储有关网络上的对象的信息，并使管理员和用户更便利地查找和使用这种信息。ActiveDirectory使用结构化的数据存储作为目录信息的规律化、分层结构的基础。这种数据存储，也称为目录，包含与ActiveDirectory对象有关的信息。这些对象寻常包括共享资源，如服务器、卷、打印机、网络用户和计算机账户，并通过登录验证及目录中对象的访问控制，将安全性集成到ActiveDirectory中。ActiveDirectory的主要功能包括：一套规则；目录中每个对象信息的全局编录；查询和索引机制；通过网络分发目录数据的复制服务和支持ActiveDirectory客户端软件。

网管员必读——网络组建

6.2.2WindowsServer2023ActiveDirectory的新功能默认状况下在运行WindowsServer2023的域控制器上可用的ActiveDirectory功能包括：用户对象的多重选择；拖放功能；有效的探寻功能；保存的查询；ActiveDirectory命令行工具；InetOrgPerson类；应用程序目录分区；使用备份媒体添加其他域控制器的能力；通用组成员身份缓存；保护LDAP通信；用户和计算机账户的不同位置选项；ActiveDirectory配额。具体内容请参见书中介绍。6.2.3新的域和林范围的ActiveDirectory功能当域或林的功能级别被提升到WindowsServer2023时可启用的域和林范围的ActiveDirectory功能包括：域控制器重命名工具；域的重命名；林信任；林的重新构建；已失效的架构对象；动态辅助类；全局编录复制改进；复制增强；在域或林之间对资源的用户访问控制。具体内容请参见书中介绍。

网管员必读——网络组建

6.2.4操作主机角色在每个林中，至少有5个指派给一个或多个域控制器的操作主机角色。在每个林中，林范围的操作主机角色必需只出现一次。在林中的每个域中，域范围的操作主机角色必须在每个域中出现一次。1.林范围内的操作主机角色每个林必需具有“架构主机〞和“域命名主机〞两种角色。在林中这些角色必需是惟一的，这意味着在整个林中，只能有一个架构主机和一个域命名主机。2.域范围内的操作主机角色林中的每个域都必需有“相对ID(RID)主机〞、“主域控制器

(PDC)仿真主机〞和“结构主机〞三种主机角色。同样，在每个域中这些角色都必需是惟一的，即林中的每个域都只能有一个相对ID主机、PDC仿真主机及结构主机。

网管员必读——网络组建

6.3第一台服务器的安装寻常只是对网络中安装的第一台WindowsServer2023系统服务器进行第一台服务器典型设置，后续安装的其他服务器不执行这样的安装和设置过程。6.3.1主要术语林：共享一致类和属性定义(架构)、站点和复制信息(配置)及林范围探寻能力(全局编录)的一个或多个ActiveDirectory域。域树：在DNS中，域树是指用来索引域名的反向分层树结构。在ActiveDirectory中，域树是指一个或多个域的分层结构，通过可传递的双向信任实现连接，从而形成了一个连续的名称空间。多个域树可以属于同一个林。域：在ActiveDirectory中，域是指由管理员定义的计算机、用户和组对象的集合。子域：对于DNS和ActiveDirectory,子域是指直接位于另一个域(父域)之下的名称空间树中的域。

网管员必读——网络组建

域名：由管理员赋予网络计算机集合的名称，这些计算机共享一个公用目录。域名是DNS命名结构的一部分，由一系列用句点分隔的名称标签组成。域名系统(DNS):一种分层的分布式数据库，它包含从DNS域名到各种数据类型(例如IP地址)的映射。成员服务器：参与到域中但不是域控制器的服务器。成员服务器寻常用做文件服务器、应用程序服务器、数据库服务器、Web服务器、证书服务器、防火墙或远程访问服务器等。域控制器：在ActiveDirectory林中，域控制器是一台服务器，它包含ActiveDirectory数据库的可写副本，参与ActiveDirectory复制并控制对网络资源的访问。它包含林内所有域目录分区的部分副本。全局编录：一个目录数据库，应用程序和客户能够查询该数据库以定位林内的任意对象。全局编录位于林内的一个或多个域控制器上。

网管员必读——网络组建

6.3.2第一台服务器的典型设置过程及所需条件1.第一台服务器的典型设置基本过程第一台服务器的典型设置的基本过程如下：安装ActiveDirectory,并将计算机升级为域控制器在该服务器上的ActiveDirectory中创立应用程序目录分区，设置应用程序命名环境安装域名系统(DNS),并为网络创立完整的域名更改默认的NetBIOS名称指派首选DNS服务器安装DHCP服务器服务指派静态IP地址和子网掩码在检测到有多个网络连接的状况下，系统会自动提醒安装路由和远程访问服务

网管员必读——网络组建

2.第一台服务器的典型设置运行的基本条件假使以下任一条件满足，则典型设置将不运行：该计算机运行WindowsServer2023Da

tacenterEdition。该计算机正在运行WindowsServer2023WebEdition。该计算机已参与到域中该计算机已经配置为域控制器。虽不是域控制器，但已启动“ActiveDirectory安装向导〞。该计算机是证书颁发机构(CA)。该计算机已配置为DNS服务器。该计算机已配置为DHCP服务器。没有网络适配器。只有一个启用IP的网络适配器，但采用的是DHCP自动IP地址分派方式。该计算机已在运行“路由和远程访问〞服务，但配置域控制器后可重新配置和运行“路由和远程访问〞服务。该计算机没有NTFS分区。当前会话是远程会话。

网管员必读——网络组建

6.3.3第一台服务器的典型设置第一台服务器的具体典型设置和配置步骤是通过“配置您的服务器向导〞进行的，只需在下图中选择“第一台服务器的典型配置〞单项选择按钮，然后按向导提醒一步步进行即可。具体步骤参见书中介绍。

网管员必读——网络组建

6.4域控制器的安装6.4.1新域控制器的安装与配置新域控制器的安装有两种方法：一是直接通过“配置您的服务器向导〞进行，在下图中选择“域控制器(ActiveDirectory)〞选项，然后在下面右图所示对话框中选择“新域的域控制器〞单项选择按钮，再继续按向导进行即可。具体步骤参见书中介绍。

网管员必读——网络组建

6.4.2额外域控制器的安装与配置当希望改进网络服务的可用性和可靠性时，可创立额外域控制器。添加额外域控制器，可提供容错，平衡现有域控制器的负载，向站点提供额外的结构支持，并能使客户端在登录到网络时更易于与域控制器连接。1.创立其他额外域控制器前的准备将服务器配置为域控制器之前，验证以下条件：服务器的TCP/IP配置，特别是DNS名称解析设置。建议所有现有磁盘卷使用NTFS文件系统。2.配置额外域控制器的配置步骤额外域控制器的配置也是通过“配置您的服务器向导〞进行的，在右图所示对话框中选择“现有域的额外域控制器〞单项选择按钮，然后按向导提醒进行。具体参见书中介绍。

网管员必读——网络组建

6.4.3子域控制器的安装与配置子域控制器就是在现有域基础上配置的下级域控制器。如在一个大的企业网络中，有一个根域，然后各主要部门可能想要配置一个单独的域，以便管理。这时就可以为这些部门配置专门的子域。子域控制器就是这些子域的控制器。但这些子域控制器必需在根域控制器正常运行的基础上工作。它与额外域控制器不同，额外域控制器是与现有域属于同一级别的，用来分担现有域控制器负荷。子域控制器的安装、配置方法与根域控制器的安装、配置方法类似，也是通过“配置您的服务器向导〞进行的。只需要在右

图所示对话框中选择“现有域中的子域〞单项选择按钮，然后依照向导提醒一步步进行即可。具体步骤参见书中介绍。

网管员必读——网络组建

6.4.4新域树的安装与配置新域树的安装与配置方法与新域控制器的安装与配置方法也大致类似。也是通过“配置您的服务器向导〞进行的，只需在下图左图所示对话框中选择“域控制器(ActiveDirectory)〞选项，在右图所示向导对话框中选择“在现有的林中的域树〞单项选择按钮，然后按向导提示进行配置即可。具体步骤参见书中介绍。

网管员必读——网络组建

录分区。创立应用程序目录分区的好处之一就是其中的数据可复制到林中不同的域控制器，以提供冗余、可用性和容错。该数据可复制到林中任何地方的特定域控制器或域控制器的任意集合。这与域目录分区不同，域目录分区中的数据可复制到该域中的所有域控制器。应用程序目录分区的另一个好处是：使用轻型目录访问协议(LDAP)的应用程序或服务可继续使用该协议在ActiveDirectory中访问和存储其应用程序数据。1.应用程序目录分区命名应用程序目录分区是整个林名称空间的一部分，就像域目录分区一样。它与域目录分区遵循一致的域名系统(DNS)和可分