win2003_server域和活动目录
Windows 2000/2003server 域和活动目录本文的目的,是作为域和AD 的一篇入门文章,使没有安装过域,或刚刚接触域的年轻网管能对域和AD 有一个全面的了解,并利用此文入门,将所管理的
Windows 2000/2003server 域和活动目录
本文的目的,是作为域和AD 的一篇入门文章,使没有安装过域,或刚刚接触域的年轻网管能对域和AD 有一个全面的了解,并利用此文入门,将所管理的网络实现一个基于域的管理模式。
一、认识Windows 的域
本小节重点从理论上阐述域的概念、作用和Windows 中域的产生。
一台Windows 计算机,它要么隶属于工作组,要么隶属于域。所以说到域,我们就不得不提一下工作组,工作组是MS 的概念,一般的普遍称谓是对等网。工作组通常是一个由不多于10台计算机组成的逻辑集合,如果要管理更多的计算机,MS推荐你使用域的模式进行集中管理,这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能,使你网络管理的工作量达到最小。当然这里的10台只是一个参考值,11台甚至20台,如果你不想进行集中的管理,那么你仍然可以使用工作组模式。
工作组的特点就是实现简单,不需要域控制器DC,每台计算机自己管理自己,适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义,只是在网上邻居的列表中实现一个分组而已;再就是对于“计算机浏览服务”,每一个工作组中,会自动推选出一个主浏览器,负责维护本工作组所有计算机的NetBIOS 名称列表。用户可以使用默认的workgroup,也可以任意起个名字,同一工作组或不同工作组在访问时也没有什么分别。域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,实现起来要复杂一些,至少需要一台计算机安装NT/2000/03Server 版本使其充当DC,来实现集中式的管理。
若考虑到容错的话,至少需要两台。对于NT4域就是一台PDC(具有唯一性),一至多台BDC,对于2000/03域,已经没有PDC 和BDC 的概念,要容错就需要两至多台DC。
域是逻辑分组,与网络的物理拓扑无关,可以很小,比如只有一台DC;也可以很大,包括遍布世界各地的计算机,比如大型跨国公司网络上的域(当然实际中他们多采用多域结构,还可以利用AD 站点来优化AD 复制)。
这个“目录服务数据库”,在NT4时,保存用户帐号名称和密码等安全安全信息,以及安全规则设置,又被称作安全帐号管理(SAM)数据库,简称SAM 库。在非DC 上的本地的SAM 库与DC 上域所用的SAM 库类似,只不过对于NT4域的SAM 库文件,保存有整个域的用户和计算机,用“域用户管理器”和“服务器管理器”来管理,本地的SAM 库文件,保存有本地机的用户,由“用户管理器”来管理。
从2000开始,MS引入了活动目录AD,DC通过AD 来提供目录的服务,例如它负责维护AD 数据库、审核用户的账户和密码是否正确、将AD 数据库复制到其它的DC 等。AD库的核心文件就是winntntdsntds.dit文件。注意组策略的具体设置值,并不存在这个文件中,而是保存在winntsysvolsysvol这个共享夹下,用于向其它DC 复制,传播给域成员,来
,生效。但需要说明的是:2000/XP/03的非DC 域成员计算机上仍使用和NT4一样的SAM 库文件来保存本地帐号。
正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源,如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码,用户只需一次登录,即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行),而不需要多次提供用户名和密码登录。
二、构建Windows 2000的域
这个过程简单说就是:选一台2000S/AS计算机,运行AD 安装向导,在其上安装活动目录,使其成为DC。然后将其它的计算机加入到这个域。
说明:至于是用2000S,还是用2000AS,对于一般的用户差别不大。2000S支持最多4个CPU,最大4G内存;2000AS支持最多8个CPU,最大内存8G,还支持群集功能。但这些我们一般用户都用不到,所以对于普通用户来说,选择S 或AS 都是一样的。
1、系统要求
*一台2000S或2000AS独立或成员服务器,2000DS只有OEM 版,随厂商硬件发售,平常我们是见不到的。
*其上必须有一个NTFS 5.0分区,用来保存AD 的sysvol 文件夹。注意:2000的NTFS 分区是NTFS 5.0,NT4的是NTFS 4.0,NT4必须安装SP4后,才可访问2000的NTFS 分区。
*网络上必须有可用的DNS 服务器,并且必须支持SRV 记录(ServiceLocaion Resource Record)和动态更新功能。如:MSWin2000S DNS,UNIX的DNS BIND 8.12及以上版本,使用已有的NT4DNS 是不行的。
说明:
构建NT4域并不需要DNS 的支持,但2000域必须有DNS,且满足上述要求。
SRV 记录的作用是指明域和站点(site)的DC、PDC 仿真、GC 是谁。动态更新也是2000DNS的新特色,管理员不必再象NT4DNS 那样手动为计算机创建或修改相应记录,在域成员计算机重启,或改名、改IP 时依赖周期性更新,自动动态实现。
如果没有DNS 服务器的话,也不一定非得预装DNS,可以在安装AD 过程中,选择在本机上安装2000DNS。而且推荐初学者使用这种方法,因为系统会根据你提供的FQDN 域名,自动创建好DNS 区域(zone),并配置成AD 集成区域,仅安全动态更新。如果需要向外连或反向解析,用户只需配置上转发器和反向区域即可,不需要的话,直接就可以用了。
如果决定在安装AD 过程中在本机安装DNS,应在安装前,将本机TCP/IP配置/DNS服务器指向自己,这样在安装AD 完成后重启时,SRV记录将被自动注册到DNS 服务器的区域当中去的,生成四个以下划线开头的文件夹,如_msdcs,03DNS 在这里夹的层次结构有所变化,但本质没变。当然如果忘了指,也可以后补上,只不过需要多重启一次。
,2、安装步骤、注意事项、常见问题、经验技巧
(1)启动AD 安装向导
方法一:开始/程序/管理工具/配置服务器/Active Directory /启动AD 安装向导。方法二:熟练后一般常用,开始/运行:dcpromo。
(2)安装选项:指定服务器角色
三个界面,实现四种组合:
新域
附加DC
新树
子域
新林
加入林
即:
*新域—新树—新林
*附加DC
*新域—子域
*新域—新树—加入林
全新安装:新域—新树—新林,这样来建立第一个域中的第一台DC。
2000的多域模型采用层次结构,不同于NT4域的平面结构,NT4的多个域之间只是通过信任关系关联起来。接下来以下图为例,对2000的域、树、林进行简要说明:
ms.com
/trainning.mcse.com lotus.com
这整个是一个林,ms.com为林根域,有两个树,一个由ms.com 和它的子域
trainning.ms.com 组成,另一个由lotus.com 单独组成,林中有ms.com,trainning.ms.com,lotus.com 三个域。相关概念如下:
林根域:在林中第一个建立的域,如:ms.com
树:共用连续的命名空间的多层域,如ms.com 和trainning.ms.com
树根域:树最高层的域,名最短。如:ms.com
,说明:
2000可采用多层域结构,但最有效、最简便的管理方法仍是单域,所以大家在实际工作中要记住一个原则“能用单域解决,就不用多域”。
再者2000AD是针对大中型网络设计的,而我们一般管理的网络也就几百个节点,属于小型网络,一般来讲用一个单域结构就够用了,不要人为将管理环境复杂化。在实验中,我们甚至可以一个林中只有一个树,一个树中只有一个域,一个域里只有一台DC。
另外前面已经说过了,域是逻辑分组,与网络的物理拓扑无关,不要总试图规划一个子网一个域。当然实际中多个子网一个域,子网中若有95/98/NT老计算机,无法利用DNS 直接登录到域,可以安装一台WINS 服务器解决问题。将所有计算机,包括WINS 服务器本身的TCP/IP配置中的WINS 服务器指向此WINS 服务器即可。
(3)安装选项:新域的DNS 全名
说明:
在这里应该输入新域的完全有效域名FQDN,形如:mcse.com。系统会打算以mcse 作为此域的NetBIOS 名称,并在网络中检查是否存在重名,需要等一会儿。不重名则设为mcse,建议用户不要修改此名;重名则设为mcse0,建议用户最好换个名字。这也就是说,网络中如果已有一个域,名字叫做mcse.org,也会出现NetBIOS 名称冲突的问题。
(4)安装选项:为新域指定一个NetBIOS 名称
说明:
NetBIOS 名称,只是为95/98/NT等老版本用户通过“浏览服务”或WINS 来识别这个域用的,如果确信域用户都是2000及以上系统(它们通过DNS 定位域),其实NetBIOS 名称冲不冲突,都无所谓。
(5)安装选项:指定AD 库和日志文件位置
说明:
如果仅是实验,用默认值即可。若是在真正的服务器上,都会有多块物理硬盘,最好分开存放,以提高性能。另外需要强调的是:AD库和日志文件并不要求非得NTFS 5.0分区,很多2000/03书在此语焉不详。
,(6)安装选项:指定sysvol 文件夹位置
说明:
是sysvol 这个文件夹要求必须得NTFS 5.0分区。在它当中存储有DC 间AD 要同步的内容,包括组策略的设置值。
(7)这时网络中若无可用DNS 服务器,就会出现提示:找不到DNS 服务器,需要考虑在本机上安装一个DNS 服务器。可先不必理会,点“确定”,接下来选“是,在本机上安装并配置DNS”。初学者在此不要选“否,我将自己安装并配置DNS”。
(8)几分后,安装完成,需要重启。
说明:
若硬盘或网络上没有可用的2000S源文件,会提示要2000S光盘。
最好用新装2000S来安装AD,这样不容易出问题。如果你是用一个台运行了一段时间的2000S/AS,来安装AD,使其成为DC。重启及登录时可能会很慢(有时可能长达20分钟),这是较常见的现象。一般2-3次以后就好了,如果多次重启后还那样,那就要重装系统及AD 了。
3、域成员计算机
(1)将计算机加入到域
首先将客户机TCP/IP配置中所配的DNS 服务器,指向DC 所用的DNS 服务器。然后我的电脑/右键/属性/网络标识/属性/隶属于,选择域:输入域名,确定。提示输入用户口和口令,确定后提示重启。
说明:
,加入域时,如果输入的域名为FQDN 格式,形如mcse.com,必须利用DNS 中的SRV 记录来找到DC,如果客户机的DNS 指的不对,就无法加入到域。
加入域时,如果输入的域名为NetBIOS 格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但它不是一个完善的服务,有时就会不好使。
这样虽然也可把计算机加入到域,而且在等较长时间后也可以登录到域上去,但不推荐。因为客户机的DNS 指的不对,则它无法利用2000DNS的动态更新动能,也就是说无法在DNS 区域中自动生成关于这台计算机的A 记录和PTR 记录。那么同一域另一子网的2000及以上计算机就无法利用DNS 找到它,这本应是可以的。
再者,管理员无法在客户机上利用域的管理工具来远程管理域,因为这些管理工具必须使用DNS,出错提示:找不到域命名信息(有时客户机的DNS Client 服务有问题也会出现上述提示,重启服务即可)。这种情况下,要进行远程管理,就只能利用TS(终端服务)基于IP 来连了。
当然用户也可以手动配置WINS 或Lmhosts 文件,来查找DC。这主要用于95/98/NT老版本计算机跨子网(路由)查找DC 或加入域,因为这些老版本计算机无法利用DNS 来查找DC,浏览服务又是广播方式,只能在本网段进行,因为广播信息是无法通过路由器的,RFC1542标准的路由器,可设置成允许DHCP 的广播数据通过,仅是一个特例。需要说明的是:95/98可以使用域用户帐号登录到域,但并不能加入到域,在AD 中也没有计算机帐号,而NT 可以。
计算机加入域成功后,未重启,即已在AD 用户和计算机/computer容器下生成计算机帐号了,实验中查看时,需要手动刷新一下。而在DNS 中记录必须在计算机重启后(不必登录)或15分钟后才能自动注册或更新到DNS 区域。但若我们平常修改一个计算机的名字或IP,要马上更新到DNS 区域,倒不一定非得重启,可利用ipconfig /registerdns 命令就行。明白以上讨论可用于排错,不一定非得重启登录后才知道结果。
加入到NT4域时,需要有管理特权才行;从Windows 2000开始,微软作了改进:在Windows 2000/03域中,默认Authenticated Users 即可在域中最多创建10个计算机帐户。Authenticated Users 指被验证的用户组,也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。常见问题:在实际中用普通域帐号加计算机到域,有时会不好使,原因是同名计算机帐号(极可能是它自己已经失效的计算机帐号)已存在而无权覆盖,这时就得用域管理员帐号了。
(2)在加入域的计算机上,用域用户帐号登录到域。
,说明:
在域中的非DC 计算机上,可以选择登录到域或本机,这是因为它同时还拥有本地用户帐号。而在DC 上只能选择登录到域了,因为整个域都是DC 的,它没有必要再保留本地帐号了。2000是个红叉,03干脆就没有了。
安装AD 时,会自动删除本地帐号,即使将来删除AD,也无法将本地帐号复原,而是重新生成的。这一点一定要注意:如果本地有EFS 加密的文件,一定要将证书导出或将文件解密后,再在这台计算机上做AD 安装实验。
在2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS 配置去找DNS 服务器,DNS根据SRV 记录告诉它DC 是谁,客户机联系DC,验证后登录。
(3)深入讨论:
如果是在林中跨域登录,是首先查询DNS 服务器,问林的GC 是谁。
前面我们在步骤(1)中强调“加入域前,首先将客户机TCP/IP配置中所配的DNS 服务器,指向DC 所用的DNS 服务器。”其实如果域中有多个DNS 服务器,也可以指向其它的DNS 服务器,当然这些DNS 服务器之间得有区域复制关系。这样做的目的恰恰是:大中型网络为了平衡DNS 负载。
三、建立其它域控制器
前面我们讨论了“建立第一个域中的第一台域控制器”,分析得很细。以下相同知识点的内容将不再赘述。
1、安装附加DC
(1)以本机管理员身份登录,在独立或成员服务器上,启动AD 安装向导。
说明:
将成为附加DC 的计算机,不必非得先加入域。
DNS 指向已有DC 所用DNS 服务器,以便找到已有DC。安装结束后,一般应该手动在本机上再装一个DNS 服务器,以实现DNS 的容错。
(2)选择:现有域的额外域控制器
(3)输入域管理员帐号,如:administrator,password,mcse.com(或mcse)。
常见找不到域的出错提示:域“mcse.com”不是AD 域,或用于域的AD 域控制器无法联系上。
解决:确保DNS 指向已有DC 所用DNS 的服务器。
其它:Ping一下,检查物理连通性。高级用户是否设过TCP/IP筛选器或RRAS 筛选器。
(4)输入域名,如:mcse.com。
,(5)指定AD 库和日志文件位置
(6)指定sysvol 文件夹位置
(7)一般选:“与Windows 2000服务器之前的版本相兼容的权限”
(8)目录服务恢复模式的管理员密码
(9)几分后,安装完成,需要重启。
(10)手动在本机上安装DNS 服务器,以实现DNS 的容错。
A、开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统(DNS)。
B、开始/程序/管理工具/DNS
C、正向搜索区域/右键/新建区域,建议选择“AD集成区域”,区域名:已有区域的名称,如mcse.com。自动生成起始授权机构(SOA)、名称服务器(NS)、主机(A)三条记录,但此时SRV 记录并未被复制过来。需要等待5-15分钟后,利用刷新或重新加载就可以看到复制过来的DNS 记录了(对于03马上就可以看到复制过来的全部DNS 记录)。深入讨论:
03和2000比,功能更强大了。但在域和AD 的体系结构上并没有什么大的变化,而且MS 的产品十分讲究向前兼容。在一个域中可以既有2000DC,又有03DC;也可以既有2000DNS,又有03DNS,并且DC 间的AD 复制,DNS间的区域传输,都好像没有版本差异一样。
在我们这里要说的就是:2000可作为03域的附加DC,03也可以作为2000域的附加DC,但第二种情况需要在2000DC(SP2及更高)上运行03光盘/I386/adprep命令来做准备。具体第一步:adprep/forestprep进行林准备,第二步adprep /domainprep进行域准备。
2、建立子域
(1)以本机管理员身份登录,在独立或成员服务器上,启动AD 安装向导。
说明:
DNS 指向林根域已有DC 所用DNS 服务器,以便找到已有DC。
保证域命名主控必须有效,它默认在林根域的第一台DC 上,且具有林唯一性。利用管理工具“AD域和信任关系”可转移域命名主控。
(2)选择:新域的域控制器,下一步,在现有的树中创建一个新的子域
(3)输入林管理员帐号,如:administrator,password,mcse.com(或mcse)。
常见出错提示:域“mcse.com”不是AD 域,或用于域的AD 域控制器无法联系上。解决方法见前。
(4)输入父域名,如:mcse.com;输入子域名,如sub,注意不要输成sub.mcse.com。
(5)指定AD 库和日志文件位置
(6)指定sysvol 文件夹位置
(7)一般选:“与Windows 2000服务器之前的版本相兼容的权限”
(8)目录服务恢复模式的管理员密码
(9)几分后,安装完成,需要重启。
,如果域命名主控失效将会出现如下出错提示:“由于以下原因,操作失败:AD无法与域命名主机xxx 联系。指定的服务器无法运行指定的操作。”
解决:保证域命名主控联机,如果确信其已无法正常工作,可强制传给林内的任意一个DC,子域的DC 也可以。原来的主机将必须被重做系统后,才可连入网络,以保证域命名主控的林唯一性。
深入讨论:
关于子域(子Domain)所对应的DNS 子区域(子zone)是否委派的问题。(以下简称:子区域)
如果网络规模不是很大,虽然实现了子域,但总部、二级单位的网管可能就是同一个人。这种情况下就不需要委派了。可以把区域、子区域都放在同一个DNS 服务器上,由同一名管理员来管理就可以了。默认值即如此,不需要手动设置。
如果网络规模较大,且二级单位需要能够控制自己的DNS 子区域,比如自己增加
www1,www2……这样的主机记录;在自己的子区域下再建子区域。这种情况下就需要委派子区域了,由二级单位的DNS 管理员自己来管理。否则二级单位涉及DNS 的每一个小变化,都需要找总部DNS 管理员批准。
子区域委派,操作步骤如下:(最好按如下步骤进行,不容易出问题)
A、DNS指向林根域(如:mcse.com)已有DC 所用DNS 服务器
B、利用AD 安装向导,安装子域(如:sub.mcse.com),重启机。
C、在林根DNS 控制台上查看,确保已在mcse.com 生成子文件夹sub,且sub 下有4个以下划线开头的,保存有SRV 记录的子文件夹(_msdcs、_sites、_tcp、_udp)已生成;sub 下还应有如下2条A 记录:(第二条记录如果未生成,手动补上也可以。)
(与父文件夹相同)主机IP
SUBdc 主机IP
D、在父域(如:mcse.com)右键/新建委派/下一步/子区域名:sub。(不必担心重名,因为委派完成后,灰颜色的委派的sub 夹将取代黄颜色的sub 夹,但注意操作过程中会共存一段时间)接下来,指定负责子区域的名称服务器:SUBdc.sub.mcse.com及它的IP,以生成粘合记录,下一步,完成。
E、在子域DC 上安装DNS,操作:开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统(DNS)。
F、开始/程序/管理工具/DNS
G、正向搜索区域/右键/新建区域,建议选择“AD集成区域”,区域名:sub.mcse.com。自动生成SOA、NS、A、A四条记录(后两条A 记录,如C 步中述),此时SRV 记录也被复制过来了。
H、在DNS 服务器的计算机名上/右键/属性/转发器:指向上一级或林根DNS 的IP。
,I、将子域DC 的DNS 指向自己,以后加入子域的计算机也使用子域的DNS,以实现DNS 分担负荷。(当然,子域中的计算机可以使用林中任一台DNS,也都好使)
注意:
由上述过程,大家可以了解到,做为被委派的DNS 子区域的二级单位DNS 管理员,是不能随意更改自己的DNS 服务器的。比如修改DNS 服务器的IP,需要通知上级管理员,及时更新委派子区域的NS 记录,否则林中其它用户就会找不到你这个子域的计算机。
3、新域—新树—加入林
此种情况平常较少用到,因为一般企业只用一套命名体系,很少采用两上或两个以上的树。微软举的例子:一个大企业兼并另一企业,并且想保留它的命名体系,技术上对应实现就是目录树和DNS 名称空间。
说明:此种应该预先建好DNS 正向搜索区,因为它不能像建子域那样,利用AD 向导自动在已有DNS 区域中创建子区域。下面以前文中的mcse.com,sub.mcse.com,my.com 图示为例进行说明。
(1)在林根DNS 上,与mcse.com 并列,创建区域my.com,最好选AD 集成区域。
(2)以本机管理员身份登录,在独立或成员服务器上,启动AD 安装向导。
说明:
DNS 指向林根域已有DC 所用DNS 服务器,并保证域命名主控必须有效。
(3)选择:新域—新树—加入林
(4)输入林管理员帐号,如:administrator,password,mcse.com(或mcse)。说明:
输入的欲登录的林根域名,也就告诉了系统要加入哪个林。
(5)输入新域的DNS 全名,如:my.com;域NetBIOS 名:MY。
(6)指定AD 库和日志文件位置
(7)指定sysvol 文件夹位置
(8)一般选:“与Windows 2000服务器之前的版本相兼容的权限”
(9)目录服务恢复模式的管理员密码
(10)几分后,安装完成,需要重启。
说明:
用预建DNS 这种方式加入林,使用的是林根上已有DNS 服务器,所以此计算机在林根DNS 的my.com 区域下,仅生成一条主机(A)记录(如需要可手动添加:treedc 主机IP),SOA 和NS 记录都是林根DNS 服务器,但在my. com 区域会有相应的SRV 记录来标识它是这个树根域的DC。这种并没有实现DNS 的分担负荷,如想实现,利用辅助区域来做。
实验中发现:万不可像全新安装那样,在安装过程中,选择在本地安装一个DNS,这样将会这把个树根域安装成一个独立的林根域。原因吗?去问微软吧。
四、卸载AD