Windows Server 域网络建立.docx
- 文档编号:17963691
- 上传时间:2023-08-05
- 格式:DOCX
- 页数:24
- 大小:549.36KB
Windows Server 域网络建立.docx
《Windows Server 域网络建立.docx》由会员分享,可在线阅读,更多相关《Windows Server 域网络建立.docx(24页珍藏版)》请在冰点文库上搜索。
WindowsServer域网络建立
WindowsServer2003域网络建立
2.1DNS和活动目录
DNS(DomainNameSystem–域名解析系统)是一个Internet的标准服务,它可以将域名如翻译成计算机能够识别的二进制的TCP/IP地址。
Windows2000/2003的域名是以DNS分层命名结构为基础的,这是一个颠倒的目录树结构:
单个根域,以下可以是父域和子域(枝和叶)。
例如,诸如的Windows2000/2003域名识别名为“child”的域,此域是名为“parent”域的一个子域,而“parent”域自身又是根域的一个子域。
域中的每台计算机依靠其完整的合格域名识别。
位于域中计算机的完整合格域名应是。
2.1.1DNS和活动目录的关系
活动目录使用域名服务DNS作为它的定位服务,同时也对标准的DNS作了扩充。
在活动目录中使用DNS的最大好处在于,我们可以使Windows2000域与Internet上的域统一起来,即Windows域名也是DNS域名。
DNS为活动目录网络提供了下列主要功能:
1.名称解析。
DNS通过将计算机的全称域名(FQDN)转化为IP地址来提供名称解析,以便计算机之间的相互定位、查询和访问。
。
2.域命名约定。
AD使用DNS的命名管理约定来命名Windows的域名。
在Windows2000的网络中,DNS域和活动目录域共享一个公共的分层命名结构。
3.定位活动目录的物理组件。
DNS通过SRV(服务资源记录)来标识域控制器。
当有验证登录请求或执行一个活动目录查询时,客户机可以通过询问DNS以查询提供服务的域控制器。
DNS与活动目录的关系
DNS和活动目录集成目录服务是微软Windows2000/2003的一个关键特性。
DNS和活动目录的关系如下:
1.AD和DNS使用相同的命名层次结构,共享相同的域名,故域和计算机可以使用DNS的节点和AD的对象来表示。
2.AD和DNS存储了同一物理对象的不同信息,从而代表了两个不同的域名空间。
DNS存放资源记录(如域名和IP的映射);AD存放资源对象(如计算机、用用户、组以及其相应的属性等)。
3.AD使用DNS来帮助搜索资源,AD必须要依靠DNS,用户用DNS来查询DC以使AD提供服务;DNS可以不依靠AD,它只是AD中的一个必须的工具而已。
2.1.2服务资源记录
ActiveDirectory将DNS用作域控制器定位机制,使计算机能找到域控制器的IP地址。
为查找特定域或目录林中的域控制器,客户端向DNS查询相应的服务位置(servicelocation,SRV)和地址(address,A)资源记录。
这些DNS资源记录提供域控制器的名称和IP地址。
因此,用于支持ActiveDirectory部署的DNS服务器必须支持SRV记录。
而且,Microsoft极力推荐这些DNS服务器也支持动态更新。
域控制器动态注册域控制器定位机制成功运行所必需的DNS记录。
服务资源记录的功能
当DC启动后,Netlogonservice会自动在DNSServer中注册SRV记录。
SRV记录有以下功能:
1.服务记录的信息将服务名和DNS的提供该服务的域控制器的计算机名连接起来。
2.服务记录允许允许客户机通过DNS查找提供特定活动目录服务的服务器。
SRV资源记录可以标识:
1.在特定的域和森林中的域控制器。
2.在同一个站点作为客户机的域控制器。
3.注册成为全局目录服务器的域控制器。
4.注册成为KerberosKDC服务器的域控制器。
服务资源记录使用的格式
所有服务资源记录使用下列格式:
_service-Protocol.namettkclassSRVpriorityweightporttarget
例:
_ldap._tcp.contoso.msft600INSRV0100389london.contoso.msft.
下表给出了服务记录中每个字段的描述:
定位域控制器
当域控制器开始启动以及在运行过程中是周期性的,该域控制器的Netlogon服务会使用动态DNS(DDNS)公布它的DNSSRV记录。
此SRV记录描述了该域控制器提供的服务。
例如:
Kerberos认证、轻量级目录访问协议以及AD全局编录(GlobalCatalog,GC)查找。
由于域控制器使用分层次结构的SRV记录,所以这就为工作站定位所属站点或者所属域提供了便利。
图2-1SRV记录的命名层次结构
如图2-1显示了SRV记录的命名层次结构。
从其结构图中我们发现它的结构与Windows2000/2003的DNS层次结构十分相似。
这种结构的好处之一就是,工作站可以在不需要了解所需服务具体参数的情况下快速搜索。
例如:
要在域森林中查找全局编录的服务器,只需要在搜索条件中指定域森林的名称和协议类型(可以使用forestname._tcp来搜索_gcSRV记录),这个搜索将返回指定域内所有全局编录服务器的SRV记录。
如果工作站已经知道AD站点的名称,可以使用forestname._sites.sitename._tcp来搜索_gcSRV记录,这个搜索将返回指定站点内的全局编录服务器的SRV记录。
在DNS中周期性地公布SRV记录对于工作站快速定位域控制器有很大帮助。
当工作站被认证属于某一个域后,工作站就需要在该AD站点中选择一个域控制器。
工作站上运行的Netlogon进程将控制整个认证过程。
作为Netlogon组件之一的DCLocator负责为工作站定位域控制器。
早期版本Windows中的DCLocator使用WINS来定位域控制器,在Windows2000以及其他AD工作站中都使用搜索SRV记录的方法定位域控制器。
在工作站第一次被认证之前,它不知道自身所在的站点。
所以此时工作站的第一个任务就是查找域内的所有域控制器。
工作站首先向本机TCP/IP设置中的主DNS服务器发出搜索请求,在_tcp.dcs._msdcs.domainname内搜索_ldapSRV记录。
如果该DNS服务器没有响应,工作站将会向辅DNS服务器发出请求。
DNS服务器在收到查询请求后,会向工作站返回域内所有域控制器的列表。
收到列表后工作站对所有记录初始化低优先级的值,之后依次ADPing(一个基于UDP的LDAP查询命令)每个域控制器。
如果域控制器没有在十分之一秒内响应,工作站会继续测试下一个,依次类推,直到有一个域控制器响应。
当域控制器收到来自工作站的ADPing,域控制器在返回之前需要对两个重要信息进行判断。
首先,域控制器需要判断与工作站最近的站点。
如何判断?
域控制器使用内存中保留的站点和子网的IP地址与ADPing的源IP地址相比较。
然后,域控制器判断自身是否处于该站点(同样从IP地址对比的角度)。
最后将这些信息和该域控制器所处站点的名称以一个UDP数据报返回给工作站。
工作站在接收到响应后,检查回应的域控制器是否位于最近站点中。
如果是,就将该工作站所属的站点信息保存到注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters”下的“DynamicSiteName”子键中,并且将该域控制器作为将来提供认证服务的提供者。
如果域控制器返回的信息表明它不在最近的站点中,工作站就使用所提供的站点名称向DNS服务器请求此站点内域控制器的列表。
向_tcp.sitename.sites.dc._msdcs.domainname区域查找_ldapSRV记录。
DNS服务器根据指定的站点名称返回域控制器列表。
之后工作站将再次重复,在收到列表之后对所有记录设置低优先级值,依次ADPing域控制器,直到有域控制器在十分之一秒内响应。
如果在工作站所处站点中没有一个域控制器响应,那会怎样?
在这种情况下(当然我们希望这种情况最好永远别发生),工作站将尝试与任何能够通讯的域控制器联系。
2.1.3AD集成区域
当在Windows2000/2003中实现了DNS,就可以把活动目录中的服务当作数据存储和复制的引擎来使用,也即将DNS和AD集成在一起,将DNS的区域类型更改为“活动目录集成区域”。
图2-2活动目录集成区域
DNS和活动目录集成区域的好处之一就是能够将DNS的域和活动目录数据结合起来。
主DNS区域也将作为对象存储在活动目录数据库。
而且当DNS进行区域文件数据库的复制时,也将随着AD的复制而进行。
活动目录集成区域也须在一台域控制器上才能创建,它具有有以下的优点:
1.消除了主DNS服务器作为单个失败点而带来的不足。
DNS复制是单个主控,它依靠主DNS服务器来更新所有其它辅助服务器。
而活动目录复制是多主控复制,因此可以对任何服务器进行更新,更改将复制给其它的域控制器。
因此如将DNS区域和活动目录进行集成,活动目录复制将总会同步DNS信息。
2.能够进行安全可靠的动态更新。
因为DNS区域在活动目录集成区域中是活动目录对象,在那些区域的记录中可以设置权限来控制哪台计算机可以动态的更新。
因此使用安全的动态更新协议的更新将仅来自那些授权的计算机,如域中的计算机。
3.对那些没有注册为域控制器的DNS服务器执行标准区域传送。
必须使用标准区域传输来把区域复制到其它域中的DNS服务器。
2.2创建域
ActiveDirectory服务部署由一个或多个林组成,每个林又包含一个或多个域。
在网络中创建初始域控制器(DC)时,就会在林中创建第一个域;域必须至少包含一个域控制器。
创建的第一个域是第一个林的根域。
同一域林中的其他域可以是子域或树根域。
同一域树中位于一个域的上方与其紧邻的域被视为该域的父域。
域用来实现各种网络管理目标,如构造网络、划定安全范围、应用组策略以及复制信息等。
ActiveDirectory允许将域控制器用作对等计算机;因此,客户端可通过域中的任何域控制器来更新ActiveDirectory。
这与WindowsNTServer主域控制器(PDC)和备份域控制器(BDC)所扮演的读写/只读角色具有非常大的差异。
WindowsNTServer域系统支持单主机复制,它要求所有更改都必须在PDC上进行。
Windows2000/2003操作系统支持多主控复制;域中的所有域控制器都可以接收对象更改,并且可以将这些更改复制到该域中的所有其他域控制器。
默认情况下,在林中创建的第一个域控制器是全局编录服务器,它包含所在域的目录中所有对象的完整副本,还包括林中所有其他域的目录中存储的所有对象的部分副本。
在域控制器之间复制ActiveDirectory数据有助于提高信息可用性、容错性、负载平衡和性能。
在单元中,您可以通过安装多个域控制器,充分利用多主机模型提供的更好的容错性能。
即使某个域控制器停止工作,也不会影响ActiveDirectory的可用性。
2.2.1安装前的准备
域是Windows2000/2003网络中的核心管理单元。
在Windows2000/2003中,域用来限定信息和资源的组织与管理方式。
在活动目录中创建的第一个域是整个目录林的根域或目录林的根。
在Windows2000网络上第一次安装活动目录时,需要在新目录林中创建第一个域控制器,同时也就创建了根域。
安装Windows2000活动目录的系统要求:
在利用活动目录安装向导安装活动目录之前,必须确保计算机系统满足安装活动目录所需的所有要求:
1.计算机上运行的是Windows2000Server、Windows2000AdvancedServer、Windows2000DatacenterServer(即服务器版的Win2000操作系统);
2.用于活动目录数据库的最小磁盘空间200MB,另外还需要附加的50MB的空间用于活动目录数据库的事务日志文件。
如果域控制器同时也作为全局目录服务器,则还需要额外的空间。
3.必须有一个NTFS文件系统格式化的分区或卷,这是系统卷(Sysvol)文件夹所必需的;
4.如果DNS服务器不是本机,那么应把将要安装活动目录的服务器作为DNS的客户端(安装并配置成可以使用DNS的TCP/IP);
5.如果是在现存的Windows2000网络上创建域,那么还需要有创建域所需的管理特权。
安装活动目录的方法
可以采用以下两种方法来安装活动目录:
1.采用Dcpromo.exe命令进行常规安装。
2.采用无人值守的安装脚本安装。
安装命名为:
Dcpromo.exe/answer:
answerfile(其中answerfile是解答文件的名字。
此文件有相关安装信息,详细资料参考Windows2000AdvancedServerCD中的\Support\Tools里面)。
应答文件的准备
当要选择无人参与的安装脚本进行活动目录安装,就应先做好一个应答文件。
活动目录安装向导的应答文件只包含一个部分:
[DCIstall]。
安装向导中的每个操作都会用到这个文件中的具体参数。
如果没有指定具体的参数值,就会使用默认参数值。
应答文件示例如下:
[Unattended]
[Dcinstall]
Rebootonsuccess=yes(计算机安装完毕后需要重启动)
Databasepath=d:
\winnt\Ntds(数据库路径)
Logpath=d:
\winnt\Ntds(日志文件路径)
Sysvolpath=e:
\winnt\sysvol(系统卷路径)
Sitename=site1(站点名)
ReplicaorNewDomain=Domain(复制或新域,此处选新域)
TreeorChild=Tree(目录树或子域,此处选新建一个目录树)
CreatorJoin=Creat(创建或添加,此处选择创建)
DomainNetBIOSName=esstest(域的Netbios名)
NewDomainDnsName=(新域的DNS名)
DnsonNetwork=Yes(利用网上原有的DNS配置)
AutoconfigDNS=No(在安装过程中不配置DNS)
2.2.2域控制器的创建
网络环境简述:
网络中有一台DNS服务器(计算机名为ESS-ISA-0A),现准备将其升级为DC,同时将网络中另一台成员服务器ESS-DC-11升级为附加的域控制器。
下表列出了各个计算机的TCP/IP配置:
DNS的基本配置
由于网络中已存在DNS服务器,在创建域前,我们先在上面为域创建区域和主机记录。
创建过程如下:
1、在【管理工具】=>【DNS】中打开DNS管理控制台。
然后在正向搜索区域中选择【新建区域】。
如图2-3所示。
2、在【区域名】对话框中,输入新建区域的域名:
。
然后点击【下一步】按钮,选择区域类型为标准主区域,然后按默认设置完成区域的创建。
如图2-4所示。
3、在区域的属性中,将区域设置为【允许动态更新】。
如图2-5所示。
4、在的区域中,为即将升级的为DC的计算机建立一条主机记录,如图2-6所示。
图2-3新建区域
图2-4输入区域名称
图2-5设置允许动态更新
图2-6建立主机记录
建立第一个域控制器
网络上第一次安装活动目录就是在创建目录林的根域。
活动目录的安装向导将逐步引导你指定新域控制器所需的信息。
在创建第一个DC的时候,也会创建下列的目录分区,并通过复制从而复制到以后创建的其它DC上。
1.架构目录分区。
包含架构容器,用来存储所有现存的和可能创建的AD对象和属性的定义。
在目录林中复制。
2.配置目录分区。
包含配置容器,用来存储整个目录林的所有配置对象,如站点、服务和目录分区等信息。
在目录林中复制。
3.域目录分区。
包含域容器,如,用来存储用户、计算机、组和其它Windows2000域所要求的具体对象。
在同一个域中复制。
按下列步骤创建根域:
1、在计算机ESS-ISA-01上,选择【开始】=>【运行】,然后在运行对话框中输入dcpromo.exe命令,进入到活动目录安装向导。
2、在【域控制器类型】对话框中选择【新的域控制器】;在【创建目录树或子域】对话框中选择【创建一个新的目录树】;在【创建或加入目录林】选项中,选择【创建新的域目录林】。
如图2-7所示。
图2-7创建新的域控制器
3、在【新的域名】对话框中,输入在DNS中为之建立的区域名:
。
然后在域NetBios名中保留ESSTEST名。
如图2-8所示。
图2-8输入新域的DNS全名
4、在【共享的系统卷】选项中,将文件夹位置放到一个NTFS文件系统的分区或卷上。
如图2-9所示。
图2-9将Sysvol文件夹放在一个NTFS分区或卷上
5、在【配置DNS】对话框中,选择【否,我将自己安装并配置DNS】。
如图2-10所示。
图2-10配置DNS
6、在【目录服务恢复模式的管理员密码】中,输入相应的口令,以便在将来AD受到破坏时,可以通过这个口令进入到目录服务恢复模式进行对AD的恢复。
如图2-11所示。
图2-11设置目录恢复模式口令
7、以上设置完成后,将进行活动目录的安装配置。
配置完毕后,重启计算机,登录到域中。
8、展开DNS管理控制台,在区域的属性对话框中,将区域类型更改为【ActiveDirectory集成的】,在【允许动态更新】选项中选择【仅安全更新】。
如图2-12所示。
图2-12设置活动目录集成区域
添加复制域控制器
在要域控制器意外脱机的情况下具有容错性,就需要在一个域中至少有两个域控制器。
当有多个域控制器时,可以通过复制来保护活动目录中的一致性,也可以保证登录请求、全局目录查询和共它域控制器提供的服务在进行的时候不会出现单个域控制器过载的现象。
可以按下列步骤把一个域控制器加入到现存的域上:
建立一个附加的域控制器:
1、在计算机ESS-DC-01上,选择【开始】=>【运行】,然后在运行对话框中输入dcpromo.exe命令,进入到活动目录安装向导。
2、在【域控制器类型】对话框中选择【现有域的额外域控制器】,然后单击【下一步】按钮进行继续安装。
如图2-13所示。
图2-13添加复制域控制器
3、在【网络凭据】对话框中,输入“Administrator”作为用户名,然后输入管理员密码,并键入作为域名,然后单击【下一步】按钮。
如图2-14所示。
图2-14提供网络凭据
4、在【额外的域控制器】对话框上,输入作为域名称,在【NetBIOS域名】对话框中,接受默认值ESSTEST。
5、在数据库和日志位置对话框上,接受默认值,在【共享的系统卷】,将文件夹存放于一个NTFS文件系统的分区或卷上。
并按照默认设置完成余下的安装。
6、安装完毕后,选择【管理工具】=>【ActiveDirectory用户和计算机】,展开所创建的域,在容器DomaniControllers中,可以看到在域中已存在两台域控制器。
如图2-15所示。
图2-15活动目录管理工具
2.2.3将工作站加入到域中
当完成第一台域控制器的创建后,就可以将网络中的其它工作站加入到域中,从而形成域管理的网络模式。
将一台工作站加入到域中过程如下:
1、以本机管理员身份登录到客户机Clinet1上,在我的电脑属性对话框中,选择【网络标识】,然而点击【属性】按钮。
2、在【标识更改】对话框中,修改【隶属于】选项,并输入域名,然后点击【确定】按钮。
如图2-16所示。
图2-16将一台计算机加入到域中
3、在出现的【域用户名和密码】对话框中,输入要加入的域的管理员的凭证。
4、当出现欢迎加入域的网络标识消息框时,表示工作站已成功加入到域中。
5、重启客户机Client1,进入登录界面时,以域用户身份登录,并选择登录到域中。
登录成功后,用户将访问域中的资源。
如图2-17所示。
图2-17选择登录到域中
2.3域和林功能级别
在活动目录安装和域创建完毕后,域和活动目录都处于Windows2000混合模式下运行,这是默认的域模式。
混合模式的域对于Windows2000或WindowsNT4.0的域控制器都能支持。
但由于要兼容WindowsNT4.0的域控制器功能,所以Windows2000域网络的功能不能完全实现。
如远程访问策略的控制、组嵌套和通用安全组的建立等,都只能在Windows2000纯模式(本机模式下)实现,在混合模式下这些功能无效。
而WindowsServer2003ActiveDirectory中引入的域和林的功能提供了在您的网络环境中启用域或林范围的ActiveDirectory功能的一种方法。
根据您和环境,提供了不同级别的域功能和林功能。
如果您的域或林中的所有域控制器都运行WindowsServer2003并且功能级别设置为WindowsServer2003,那么可以使用域和林范围的所有功能。
2.3.1域功能级别
域功能可启用影响整个域或只影响该域的功能。
有四个域功能级别,它们是:
Windows2000混合(默认)、Windows2000本机、WindowsServer2003临时和WindowsServer2003。
默认情况下,域以Windows2000混合功能级别操作。
下表列出了域功能级别以及相应的所支持的域控制器。
一旦提升域功能级别之后,就不能再将运行旧版操作系统的域控制器引入该域中。
例如,如果将域功能级别提升至WindowsServer2003,则不能再将运行Windows2000Server的域控制器添加到该域中。
下表描述了为三种域功能级别启用的域范围的功能。
2.3.2林功能级别
林功能可启用跨越林内所有域的功能。
有三种林功能级别,它们是:
Windows2000(默认)、WindowsServer2003临时和WindowsServer2003。
默认情况下,林工作在Windows2000功能级别。
可以将林功能级别提升到WindowsServer2003。
下表列出了林功能级别以及相应所支持的域控制器:
一旦提升林的功能级别之后,就不能再将运行旧版操作系统的域控制器引入该林中。
例如,如果将林功能级别提升至WindowsServer2003,则不能再将运行Windows2000Server的域控制器添加到该林中。
如果您正在升级第一个WindowsNT4.0域以便
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows Server 域网络建立 网络 建立