第四部分组建基于域的局域网

第四部分 组建基于域的局域网知识背景域（Domain ）是网络中对计算机和用户的一种逻辑分组，是相对独立的管理单元。 在大型的网络中，可以设置多个域。每个域管理一部分计算机和账号，这样域内的用户轻易

第四部分 组建基于域的局域网

知识背景

域（Domain ）是网络中对计算机和用户的一种逻辑分组，是相对独立的管理单元。 在大型的网络中，可以设置多个域。每个域管理一部分计算机和账号，这样域内的用户轻易不能超越域访问其他域。域和域之间建立信任关系后，允许一些用户可以访问其他域。

使用域来管理计算机网络主要有两方面的含义：

安全性：域就是一个逻辑上的安全边界，域的管理者只对域内的计算机有管理权限，每个域都有自己的安全策略和与其他域之间的联系方式。

网络管理：域可以使用组织单元管理账号和域中的计算机资源；创建多个域，每个域针对特定的用户群，管理员可以将目录分段或者分区，从而更好地服务于不同的用户群。

安装了Active Directory活动目录的计算机称为域控制器，它提供活动目录服务供客户机使用。域控制器存储着目录数据并管理用户域的交互关系，其中包括用户登录、身份验证和目录搜索等。对用户而言，只要加入并接受域控制器的管理，就可以一次登录，全网使用（不必象访问每个成员服务器那样需要输入不同的账号和密码），方便地访问活动目录所提供的网络资源。对于管理员而言，通过对活动目录的集中式管理就能管理全网的资源。 在一台计算机上安装了Windows Server 2003后，如果将其加入到一个WORKGROUP 中，称此Windows Server 2003为独立服务器；如果在此独立服务器上安装Active Directory，使其成为域控制器，即域服务器；如果将一台独立服务器加入到某一域中，此独立服务器就是成员服务器。

在Windows 网络中，域是网络中特定的资源集合，具有统一的域名和安全管理体系，由域控制器承担全域资源的统一管理。它以“活动目录”来组织网络内的全部资源，包括：用户、计算机、及其它网络设备。

Windows Server 2003对计算机的硬件配置有一定的要求：

●

● 应该使用133MHz Pentium以上的CPU ，最好采用Pentium Xeon。 内存至少需要256MB ，最多支持32GB 的内存空间，建议使用512MB ：

● 考虑到Windows Server 2003操作系统的复杂性，硬盘的空间应该超过4GB ，并且要保证在安装完毕之后，还有850MB 以上的剩余空间。

● 从光盘安装时，应该选择40速或更高的光盘驱动器，它将确保从光盘顺利、快速地读出安装程序。

Windows Server 2003的磁盘分区可采用三种类型的文件系统：NTFS 、FA T16、FA T32。Windows Server 2003的NTFS 文件系统在原有的安全特性之上又添加了新的特性，比如活动目录。如果希望Windows 2003和早期操作系统之间建立多重启动，就需要使用FA T 文件系统，用户必须把系统配置成多重启动并在硬盘上用FA T 分区作为活动分区；如果Windows Server 2003服务器不需要配置多重启动功能，用户最好使用NTFS 格式的文件系统。

域的合法用户可以在局域网的工作站上登录到域，从而共享域内资源。

Windows Server 2003所支持的用户帐户分为二类：域用户帐户和本地帐户。域用户帐户建立在域控制器的Active Directory 数据库内，在“Active Directory 用户和计算机”中创建和管理。用户可以在域中任何一台计算机上用域用户帐户登录到域，以访问本域内的共享资源。登录时由域控制器来检查用户名和密码的正确性。而本地用户帐户建立在Windows Server 2003独立服务器、成员服务器的本地安全数据库内，而不是域控制器的Active Directory 数据库内，用户在本地“计算机管理”中可以新增和管理本地用户，本地用户只能登录到本地计算机，根据本地安全数据库来检查身份的合法性。它仅能使用对等的共享网络资源（要求通过另一台对等计算机的本地安全认证，即输入用户名和口令），而不能使用域中的共享资源。当Windows Server 2003成为域控制器后，就不允许再新增本地用户帐户，只能新增域用户帐户。

实验九 安装活动目录

【实验条件】

已正确安装了Windows Server 2003

【实验说明】

1. 安装活动目录，将Windows Server 2003独立服务器上升为域控制器

2. 在安装活动目录的同时，安装DNS

【实验任务】

1. 安装活动目录

2. 安装DNS

3. 将Windows Server 2003域控制器下降为独立服务器

【实验目的】

1. 会将Windows Server 2003独立服务器上升为域控制器 2. 会将Windows Server 2003域控制器下降为独立服务器

【实验内容】

一、安装活动目录

[操作步骤]（以01小组为例，将“-01”改变自己的组号如“-xx ”）

1. 在Windows Server 2003上，检查计算机名称是否正确

右击“我的电脑”→ “属性” → 选择“计算机名”选项卡 ，→ 检查计算机名和组名，完整的计算机名win2003s-01 → 工作名：workgroup-01， → 单击“更改”钮，可重命名，正确设置名，将重启计算机，以确保正确。

2. 安装AD （Active Directory，活动目录）

（1）“开始” → “程序” →“管理工具” → “配置您的服务器向导”，打开如图4-1-1所示的对话框，单击“下一步”。

图4-1-1

（2）在如图4-1-2所示的画面上单击“下一步”。

图4-1-2

（3）出现“正在进行网络连接测试”的进程，在接下来出现的如图4-1-3所示对话框中选择“第一台服务器的典型配置”，单击“下一步”。

图4-1-3

（4）在“Active Directory 域名”窗口中的文本框中输入Active Directory 域名：Nserver-01.com ，单击“下一步”，如图4-1-4所示。

图4-1-4

（5）在接下来的窗口中选择“否，不转发查询”，如图4-1-5所示，单击“下一步”。

图4-1-5

（6）在下一个窗口中单击“下一步”，如图4-1-6所示。

图4-1-6

（7）显示“正在应用选择”的进程，如图4-1-7所示，单击“确定”按钮。

图4-1-7

（8）提示将Windows Server 2003安装光盘插入光驱后按“确定”按钮，如图4-1-8所示。

图4-1-8

（9）插入光盘后，系统会自动安装DNS 、DHCP 等Windows 组件，并同时安装Active Directory ，如图4-1-9所示。

图4-1-9

（10）Active Directory安装配置完成后，计算机会自动重新启动，登录后显示如图4-1-10所示的窗口，单击“下一步”按钮。

图4-1-10

（11）出现如图4-1-11所示的对话框，表示此域控制器已配置完成，单击“完成”按钮。

图4-1-11

（12）可以通过“管理工具“中的”管理您的服务器“来更改已设置的服务器配置，如图4-1-12。

图4-1-12

（13）还可以利用Active Directory 安装向导来建立网络中的第一台域控制器。在即将用作独立服务器或成员服务器的Windows Server 2003计算机上，执行“开始”→“运行”→输入dcpromo 命令，启动“Active Directory安装向导”，具体设置请自己练习。

【实验检测】

1. 作为域控制器的计算机，可以更改计算机名称，域名却不可改变，除非将此域控制器降级。

右击“我的电脑” → “属性” → 选择“计算机名”选项卡， 检查完整计算机名称：win2003s-01 . n server-01 . com 域名：nserver-01 . com →点击“更改”按钮，会弹出如图4-1-13所示的对话框，表示不允许更改域名，只有降级才可以，可以重命名计算机名，但会造成一些问题，建议不要轻意更改域控制器名。

图4-1-13

如需更改，点击“确定”按钮后进入如图4-1-14所示的对话框，可以在计算机名下的文本框中输入想更改的计算机名。

图4-1-14

2. 在管理工具中多了七个菜单项

“程序”→“管理工具”→菜单中将有“Active Directory用户和计算机”、“Active Directory域和信任关系”、“Active Directory 站点和服务”、“DNS ”、“DHCP ”“域安全策略、”“域控制器安全策略”菜单项。

3. 看安装了哪些Windows 组件

“开始” → “设置” → “控制面板” → “添加或删除程序” →“添加/删除Windows 组件”， → 出现“Windows 组件向导”对话框，勾选“网络服务”复选框，单击“详细信息”将发现在“网络服务”项已选中， → 单击“详细信息”按钮，→“动态主机配置协议（DHCP ）”、“域名系统（DNS ）”已被选中，说明将Windows Server 2003配置为DHCP 服务器和DNS 服务器，如图4-1-15所示。

图4-1-15

二、 降级

[操作步骤]

1. 检查安装AD 及域名服务器（DNS ）是否有错

“开始” → “程序” → “管理工具” → “事件查看器”， → 分别在“系统”，“目录服务”, “DNS 服务器”, “安全性”，“应用程序”，“文件复制服务”文件夹下查看无错误类型（X 标志），查看发生日期，如果无法确定错误产生的原因，则先将这些文件夹下的内容清空，重新启动系统，再来查看有无错误。

右击“系统”（或其它文件夹）→“ 清除所有事件” →“ 不保存日志文件”。

2. 如果安装AD 有严重错误，或需重命名域名，则使Active Directory降级

（1）“开始”菜单 → “运行”→ 在“运行”对话框中输入DCPROMO ，出现“Active Directory 安装向导”对话框，单击“下一步”按钮， 开始降级Active Directory ，出现如图4-1-16所示。单击“确定”按钮。

图4-1-16

（2）如果该域控制器是域中最后一个域控制器，会出现如图4-1-17所示对话框。选中“这个服务器是域中的最后一个域控制器”，单击“下一步”按钮。