电脑故障

位置:IT落伍者 >> 电脑故障 >> 浏览文章

Windows2000/2003server域和活动目录


发布日期:2023/8/30
 

本文的目的是作为域和AD的一篇入门文章使没有安装过域或刚刚接触域的年轻网管能对域和AD有一个全面的了解并利用此文入门将所管理的网络实现一个基于域的管理模式

认识Windows的域

本小节重点从理论上阐述域的概念作用和Windows中域的产生

一台Windows计算机它要么隶属于工作组要么隶属于域所以说到域我们就不得不提一下工作组工作组是MS的概念一般的普遍称谓是对等网工作组通常是一个由不多于台计算机组成的逻辑集合如果要管理更多的计算机MS推荐你使用域的模式进行集中管理这样的管理更有效你可以使用域活动目录组策略等等各种功能使你网络管理的工作量达到最小当然这里的台只是一个参考值台甚至如果你不想进行集中的管理那么你仍然可以使用工作组模式

工作组的特点就是实现简单不需要域控制器DC每台计算机自己管理自己适用于距离很近的有限数目的计算机另外工作组名并没有太多的实际意义只是在网上邻居的列表中实现一个分组而已再就是对于计算机浏览服务每一个工作组中会自动推选出一个主浏览器负责维护本工作组所有计算机的NetBIOS名称列表用户可以使用默认的workgroup也可以任意起个名字同一工作组或不同工作组在访问时也没有什么分别

域(Domain)是一个共用目录服务数据库的计算机和用户的集合实现起来要复杂一些至少需要一台计算机安装NT// Server版本使其充当DC来实现集中式的管理

若考虑到容错的话至少需要两台对于NT域就是一台PDC(具有唯一性)一至多台BDC对于/已经没有PDC和BDC的概念要容错就需要两至多台DC

域是逻辑分组与网络的物理拓扑无关可以很小比如只有一台DC也可以很大包括遍布世界各地的计算机比如大型跨国公司网络上的域(当然实际中他们多采用多域结构还可以利用AD站点来优化AD复制)

这个目录服务数据库在NT保存用户帐号名称和密码等安全安全信息以及安全规则设置又被称作安全帐号管理(SAM)数据库简称SAM库在非DC上的本地的SAM库与DC上域所用的SAM库类似只不过对于NT域的SAM库文件保存有整个域的用户和计算机域用户管理器服务器管理器来管理本地的SAM库文件保存有本地机的用户用户管理器来管理

开始MS引入了活动目录ADDC通过AD来提供目录的服务例如它负责维护AD数据库审核用户的账户和密码是否正确将AD数据库复制到其它的DC等AD库的核心文件就是winnt\ntds\ntdsdit文件注意组策略的具体设置值并不存在这个文件中而是保存在winnt\sysvol\sysvol这个共享夹下用于向其它DC复制传播给域成员来生效但需要说明的是/XP/的非DC域成员计算机上仍使用和NT一样的SAM库文件来保存本地帐号

正是由于所有域成员计算机和域用户都共用这个域的目录服务数据库域管理员就可以基于域的目录服务数据库来进行集中管理共享资源如用户计算机帐号权限设置组策略设置等等目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力目录服务也为用户提供唯一的用户名和密码用户只需一次登录即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行)而不需要多次提供用户名和密码登录

构建Windows 的域

这个过程简单说就是选一台S/AS计算机运行AD安装向导在其上安装活动目录使其成为DC然后将其它的计算机加入到这个域

说明至于是用S还是用AS对于一般的用户差别不大S支持最多个CPU最大G内存AS支持最多个CPU最大内存G还支持群集功能但这些我们一般用户都用不到所以对于普通用户来说选择S或AS都是一样的

系统要求

*一台S或AS独立或成员服务器DS只有OEM版随厂商硬件发售平常我们是见不到的

* 其上必须有一个NTFS 分区用来保存AD的sysvol文件夹注意的NTFS分区是NTFS NT的是NTFS NT必须安装SP才可访问的NTFS分区

* 网络上必须有可用的DNS服务器并且必须支持SRV记录(Service Locaion Resource Record)和动态更新功能MS WinS DNSUNIX的DNS BIND 及以上版本使用已有的NT DNS是不行的

说明

构建NT域并不需要DNS的支持域必须有DNS且满足上述要求

SRV记录的作用是指明域和站点(site)的DCPDC仿真GC是谁动态更新也是DNS的新特色管理员不必再象NT DNS那样手动为计算机创建或修改相应记录在域成员计算机重启或改名改IP时依赖周期性更新自动动态实现

如果没有DNS服务器的话也不一定非得预装DNS可以在安装AD过程中选择在本机上安装 DNS而且推荐初学者使用这种方法因为系统会根据你提供的FQDN域名自动创建好DNS区域(zone)并配置成AD集成区域仅安全动态更新如果需要向外连或反向解析用户只需配置上转发器和反向区域即可不需要的话直接就可以用了

如果决定在安装AD过程中在本机安装DNS应在安装前将本机TCP/IP配置/DNS服务器指向自己这样在安装AD完成后重启时SRV记录将被自动注册到DNS服务器的区域当中去的生成四个以下划线开头的文件夹如_msdcsDNS在这里夹的层次结构有所变化但本质没变当然如果忘了指也可以后补上只不过需要多重启一次

安装步骤注意事项常见问题经验技巧

)启动AD安装向导

方法一开始/程序/管理工具/配置服务器/ Active Directory /启动AD安装向导

方法二熟练后一般常用开始/运行dcpromo

)安装选项指定服务器角色

三个界面实现四种组合

新域

附加DC

新树

子域

新林

加入林

* 新域—新树—新林

* 附加DC

* 新域—子域

* 新域—新树—加入林

全新安装新域—新树—新林这样来建立第一个域中的第一台DC

的多域模型采用层次结构不同于NT域的平面结构NT的多个域之间只是通过信任关系关联起来接下来以下图为例的域林进行简要说明

/

这整个是一个林为林根域有两个树一个由和它的子域组成另一个由单独组成林中有三个域相关概念如下

林根域在林中第一个建立的域

共用连续的命名空间的多层域如和

树根域树最高层的域名最短

说明

可采用多层域结构但最有效最简便的管理方法仍是单域所以大家在实际工作中要记住一个原则能用单域解决就不用多域

再者AD是针对大中型网络设计的而我们一般管理的网络也就几百个节点属于小型网络一般来讲用一个单域结构就够用了不要人为将管理环境复杂化在实验中我们甚至可以一个林中只有一个树一个树中只有一个域一个域里只有一台DC

另外前面已经说过了域是逻辑分组与网络的物理拓扑无关不要总试图规划一个子网一个域当然实际中多个子网一个域子网中若有//NT老计算机无法利用DNS直接登录到域可以安装一台WINS服务器解决问题将所有计算机包括WINS服务器本身的TCP/IP配置中的WINS服务器指向此WINS服务器即可

)安装选项新域的DNS全名

说明

在这里应该输入新域的完全有效域名FQDN形如系统会打算以mcse作为此域的NetBIOS名称并在网络中检查是否存在重名需要等一会儿不重名则设为mcse建议用户不要修改此名重名则设为mcse建议用户最好换个名字这也就是说网络中如果已有一个域名字叫做也会出现NetBIOS名称沖突的问题

)安装选项为新域指定一个NetBIOS名称

说明

NetBIOS名称只是为//NT等老版本用户通过浏览服务或WINS来识别这个域用的如果确信域用户都是及以上系统(它们通过DNS定位域)其实NetBIOS名称沖不沖突都无所谓

)安装选项指定AD库和日志文件位置

说明

如果仅是实验用默认值即可若是在真正的服务器上都会有多块物理硬盘最好分开存放以提高性能另外需要强调的是AD库和日志文件并不要求非得NTFS 分区很多/书在此语焉不详

)安装选项指定sysvol文件夹位置

说明

是sysvol这个文件夹要求必须得NTFS 分区在它当中存储有DC间AD要同步的内容包括组策略的设置值

)这时网络中若无可用DNS服务器就会出现提示找不到DNS服务器需要考虑在本机上安装一个DNS服务器可先不必理会确定接下来选在本机上安装并配置DNS初学者在此不要选我将自己安装并配置DNS

)几分后安装完成需要重启

说明

若硬盘或网络上没有可用的S源文件会提示要S光盘

最好用新装S来安装AD这样不容易出问题如果你是用一个台运行了一段时间的S/AS来安装AD使其成为DC重启及登录时可能会很慢(有时可能长达分钟)这是较常见的现象一般次以后就好了如果多 次重启后还那样那就要重装系统及AD了

域成员计算机

)将计算机加入到域

首先将客户机TCP/IP配置中所配的DNS服务器指向DC所用的DNS服务器然后我的电脑/右键/属性/网络标识/属 性/隶属于选择域输入域名确定提示输入用户口和口令确定后提示重启

说明

加入域时如果输入的域名为FQDN格式形如必须利用DNS中的SRV记录来找到DC如果客户机的DNS 指的不对就无法加入到域

加入域时如果输入的域名为NetBIOS格式如mcse也可以利用浏览服务(广播方式)直接找到DC但它不是 一个完善的服务有时就会不好使

这样虽然也可把计算机加入到域而且在等较长时间后也可以登录到域上去但不推荐因为客户机的DNS指的 不对则它无法利用DNS的动态更新动能也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录 那么同一域另一子网的及以上计算机就无法利用DNS找到它这本应是可以的

再者管理员无法在客户机上利用域的管理工具来远程管理域因为这些管理工具必须使用DNS出错提示找 不到域命名信息(有时客户机的DNSClient服务有问题也会出现上述提示重启服务即可)这种情况下要 进行远程管理就只能利用TS(终端服务)基于IP来连了

当然用户也可以手动配置WINS或Lmhosts文件来查找DC这主要用于//NT老版本计算机跨子网(路由)查 找DC或加入域因为这些老版本计算机无法利用DNS来查找DC浏览服务又是广播方式只能在本网段进行因为广 播信息是无法通过路由器的RFC标准的路由器可设置成允许DHCP的广播数据通过仅是一个特例需要说明 的是/可以使用域用户帐号登录到域但并不能加入到域在AD中也没有计算机帐号而NT可以

计算机加入域成功后未重启即已在AD用户和计算机/computer容器下生成计算机帐号了实验中查看 时需要手动刷新一下而在DNS中记录必须在计算机重启后(不必登录)或分钟后才能自动注册或更新到DNS区域 但若我们平常修改一个计算机的名字或IP要马上更新到DNS区域倒不一定非得重启可利用ipconfig/re gisterdns命令就行明白以上讨论可用于排错不一定非得重启登录后才知道结果

加入到NT域时需要有管理特权才行从Windows开始微软作了改进在Windows/域 中默认AuthenticatedUsers即可在域中最多创建个计算机帐户AuthenticatedUsers 指被验证的用户组也就是说任何经过身份验证的普通域用户都可以加最多台计算机到域常见问题在实际中用 普通域帐号加计算机到域有时会不好使原因是同名计算机帐号(极可能是它自己已经失效的计算机帐号)已存在 而无权覆盖这时就得用域管理员帐号了

)在加入域的计算机上用域用户帐号登录到域

说明

在域中的非DC计算机上可以选择登录到域或本机这是因为它同时还拥有本地用户帐号而在DC上只能选择登 录到域了因为整个域都是DC的它没有必要再保留本地帐号了是个红叉干脆就没有了

安装AD时会自动删除本地帐号即使将来删除AD也无法将本地帐号复原而是重新生成的这一点一定要注 意如果本地有EFS加密的文件一定要将证书导出或将文件解密后再在这台计算机上做AD安装实验

及以上计算机上登录到域的过程是这样的域成员计算机根据本机DNS配置去找DNS服务器DNS根据SRV记 录告诉它DC是谁客户机联系DC验证后登录

)深入讨论

如果是在林中跨域登录是首先查询DNS服务器问林的GC是谁

前面我们在步骤()中强调加入域前首先将客户机TCP/IP配置中所配的DNS服务器指向DC所用的DNS服务 器其实如果域中有多个DNS服务器也可以指向其它的DNS服务器当然这些DNS服务器之间得有区域复制关系 这样做的目的恰恰是大中型网络为了平衡DNS负载

建立其它域控制器

前面我们讨论了建立第一个域中的第一台域控制器分析得很细以下相同知识点的内容将不再赘述

安装附加DC

)以本机管理员身份登录在独立或成员服务器上启动AD安装向导

说明

将成为附加DC的计算机不必非得先加入域

DNS指向已有DC所用DNS服务器以便找到已有DC安装结束后一般应该手动在本机上再装一个DNS服务器以 实现DNS的容错

)选择现有域的额外域控制器

)输入域管理员帐号administratorpassword(或mcse)

常见找不到域的出错提示不是AD域或用于域的AD域控制器无法联系上

解决确保DNS指向已有DC所用DNS的服务器

其它Ping一下检查物理连通性高级用户是否设过TCP/IP筛选器或RRAS筛选器

)输入域名

)指定AD库和日志文件位置

)指定sysvol文件夹位置

)一般选与Windows服务器之前的版本相兼容的权限

)目录服务恢复模式的管理员密码

)几分后安装完成需要重启

)手动在本机上安装DNS服务器以实现DNS的容错

A开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统(DNS)

B开始/程序/管理工具/DNS

C正向搜索区域/右键/新建区域建议选择AD集成区域区域名已有区域的名称 自动生成起始授权机构(SOA)名称服务器(NS)主机(A)三条记录但此时SRV记录并未被复制过来需要等 待分钟后利用刷新或重新加载就可以看到复制过来的DNS记录了(对于马上就可以看到复制过来的全部DNS记 录)

深入讨论

功能更强大了但在域和AD的体系结构上并没有什么大的变化而且MS的产品十分讲究向前兼容 在一个域中可以既有DC又有DC也可以既有DNS又有DNS并且DC间的AD复制DNS间的区域传输 都好像没有版本差异一样

在我们这里要说的就是可作为域的附加DC也可以作为域的附加DC但第二种情况需要在DC (SP及更高)上运行光盘/I/adprep命令来做准备

具体第一步adprep/forestprep进行林准备第二步adprep/domainprep进行域准备

建立子域

)以本机管理员身份登录在独立或成员服务器上启动AD安装向导

说明

DNS指向林根域已有DC所用DNS服务器以便找到已有DC

保证域命名主控必须有效它默认在林根域的第一台DC上且具有林唯一性利用管理工具AD域和信任关系 可转移域命名主控

)选择新域的域控制器下一步在现有的树中创建一个新的子域

)输入林管理员帐号administratorpassword(或mcse)

常见出错提示不是AD域或用于域的AD域控制器无法联系上解决方法见前

)输入父域名输入子域名如sub注意不要输成

)指定AD库和日志文件位置

)指定sysvol文件夹位置

)一般选与Windows服务器之前的版本相兼容的权限

)目录服务恢复模式的管理员密码

)几分后安装完成需要重启

如果域命名主控失效将会出现如下出错提示由于以下原因操作失败AD无法与域命名主机xxx联系指定 的服务器无法运行指定的操作

解决保证域命名主控联机如果确信其已无法正常工作可强制传给林内的任意一个DC子域的DC也可以原 来的主机将必须被重做系统后才可连入网络以保证域命名主控的林唯一性

深入讨论

关于子域(子Domain)所对应的DNS子区域(子zone)是否委派的问题(以下简称子区域)

如果网络规模不是很大虽然实现了子域但总部二级单位的网管可能就是同一个人这种情况下就不需要委 派了可以把区域子区域都放在同一个DNS服务器上由同一名管理员来管理就可以了默认值即如此不需要手 动设置

如果网络规模较大且二级单位需要能够控制自己的DNS子区域比如自己增加wwwwww……这样的主机记录在自 己的子区域下再建子区域这种情况下就需要委派子区域了由二级单位的DNS管理员自己来管理否则二级单位涉 及DNS的每一个小变化都需要找总部DNS管理员批准

子区域委派操作步骤如下(最好按如下步骤进行不容易出问题)

ADNS指向林根域(如)已有DC所用DNS服务器

B利用AD安装向导安装子域(如重启机

C在林根DNS控制台上查看确保已在生成子文件夹sub且sub下有个以下划线开头的保存有SRV记 录的子文件夹(_msdcs_sites_tcp_udp)已生成sub下还应有如下条A记录(第二条记录如果未生成手 动补上也可以

(与父文件夹相同)主机IP

SUBdc主机IP

D在父域(如)右键/新建委派/下一步/子区域名sub(不必担心重名因为委派完成后灰颜 色的委派的sub夹将取代黄颜色的sub夹但注意操作过程中会共存一段时间)接下来指定负责子区域的名称服务器 及它的IP以生成粘合记录下一步完成

E在子域DC上安装DNS操作开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统(DNS)

F开始/程序/管理工具/DNS

G正向搜索区域/右键/新建区域建议选择AD集成区域区域名自动生成SOANS AA四条记录(后两条A记录如C步中述)此时SRV记录也被复制过来了

H在DNS服务器的计算机名上/右键/属性/转发器指向上一级或林根DNS的IP

I将子域DC的DNS指向自己以后加入子域的计算机也使用子域的DNS以实现DNS分担负荷(当然子域中的 计算机可以使用林中任一台DNS也都好使)

注意

由上述过程大家可以了解到做为被委派的DNS子区域的二级单位DNS管理员是不能随意更改自己的DNS服务 器的比如修改DNS服务器的IP需要通知上级管理员及时更新委派子区域的NS记录否则林中其它用户就会找不 到你这个子域的计算机

新域—新树—加入林

此种情况平常较少用到因为一般企业只用一套命名体系很少采用两上或两个以上的树微软举的例子一个 大企业兼并另一企业并且想保留它的命名体系技术上对应实现就是目录树和DNS名称空间

说明此种应该预先建好DNS正向搜索区因为它不能像建子域那样利用AD向导自动在已有DNS区域中创 建子区域下面以前文中的图示为例进行说明

)在林根DNS上与并列创建区域最好选AD集成区域

)以本机管理员身份登录在独立或成员服务器上启动AD安装向导

说明

DNS指向林根域已有DC所用DNS服务器并保证域命名主控必须有效

)选择新域—新树—加入林

)输入林管理员帐号administratorpassword(或mcse)

说明

输入的欲登录的林根域名也就告诉了系统要加入哪个林

)输入新域的DNS全名域NetBIOS名MY

)指定AD库和日志文件位置

)指定sysvol文件夹位置

)一般选与Windows服务器之前的版本相兼容的权限

)目录服务恢复模式的管理员密码

)几分后安装完成需要重启

说明

用预建DNS这种方式加入林使用的是林根上已有DNS服务器所以此计算机在林根DNS的区域下仅生成 一条主机(A)记录(如需要可手动添加treedc主机IP)SOA和NS记录都是林根DNS服务器但在my com区域会有相应的SRV记录来标识它是这个树根域的DC这种并没有实现DNS的分担负荷如想实现利用辅助区域 来做

实验中发现万不可像全新安装那样在安装过程中选择在本地安装一个DNS这样将会这把个树根域安装成 一个独立的林根域原因吗?去问微软吧

卸载AD

在实际工作中有时我们需要改变服务器角色或者将实验中安装的DC回复到普通成员/独立服务器身份 这就要进行AD的卸载

卸载时会提示给新的本地管理员设置密码

附加DC卸载后仍在域中

如果AD不能卸载应从以下几方面考虑

)权限

权限要求与安装AD类似若一个林中只有一个域那么你要卸载的就是林根域需要林管理员权限卸载附加DC 需要该域的域管理员权限卸载子域或树涉及到林结构的改变也需要林管理员权限

)DNS

一般应保证与安装时所用DNS一致如果做了DNS规划必须保证中权限所要求的管理员身份能找到相应D C验证

)域命名主控

卸载时只要涉及到林结构的改变就需要保证域命名主控有效卸载附加DC时不要求域命名主控有效

但要注意的是卸载时的出错信息与安装时的AD无法与域命名主机xxx联系提示不同具体是由于以下原因 操作失败以提供的凭据绑定到服务器xxx失败RPC服务器不可用

)卸载的顺序

与安装顺序相反应该先逐级卸载下面的子域最后卸载树根域林根域否则将导致子域无法卸载而 存在的子域还有问题

因为极有可能此时架构和域命名主控及GC未转移林管理员组和架构管理员组(SchemaAdmins)已 经随林根域的删除而没有了为什么这么说呢?因为如果管理员考虑到主控及GC等的转移问题也就不会误删林根域 了

从NT域升级到

预备知识

NT域采用单主控复制DC分为PDC和BDCBDC存储的只是PDC目录服务数据库文件的只读复本服务器 管理器中可以将一台BDC提升为PDC原PDC自动降为BDC

一个域中只能有一台PDC零到多台BDC以提供容错和分担负荷但大家不要理解为一个网络中只能有一台PDC 域是逻辑分组我们可以在一个子网中建多个域

域开始采用多主控复制DC不再有PDC和BDC之分DC间的AD复制是双向的域中会唯一有一台DC担当 PDC仿真主控负责充当NTBDC的PDC并为早期版本客户机提供服务PDC仿真主控还负责管理运行NT/ 计算机的密码变化写入AD接受密码变化的DC必须通知PDC仿真主控比如用户登录时如密码错误必先送至P DC仿真主控因为普通DC不能确认到底是密码错误还是它没有及时与PDC仿真主控同步它还负责同步整个域中计 算机的时间通过以上我们可以知道域中存在的NT域控制器它的身份只能是BDC

域模式分为混合(mixed)模式和本机(natived)模式默认为混合模式如果管理员确认域中所 有DC(注意这里强调的是DC域本机模式下可以有NT的成员服务器)都是DC没有NT的域控制器可以 手动在AD用户和计算机中将域模式更改为本机模式以充分利用AD的新功能比如使用通用组

通过以上分析我们可以知道如果在域中存在NT域控制器那么你只能使用域混合模式了 有人可能会想那我就不让它再当域控制器了但是NT域的DC和成员服务器之间角色转换必须重装NT系统不能象 那样利用AD安装向导方便地进行安装/卸载

原则由NT域向域升级第一个被升级的必须是NT域的PDC这样才可以把帐号安全设置配置等带到

MS推荐策略由于升级是一个极易出现各种问题的过程必须考虑备份再有就是实际操作时可以先将NT的BD C提升为PDC再升级到如果顺利的话再升级其它BDC如果不顺利的话可将原来PDC复原以此方法来避免 损失

深入讨论我们可以把前面的问题再深入讨论一下假设你的域中有NT的PDC并且在它上面运行的老程序不允 许你把它升级为但你还想要通过升级NT得到那么应该怎么办呢?答案很简单可以先将这台PDC 降为BDC再将新PDC升级为这样你既得到了又保留了NT的BDC

我的推荐原则在实际工作中只要能进行域的全新安装就用全新安装因为NT升级后得到的安全策 略设置等等是继承NT时的设置域的默认值有较大出入以后出问题不易排错也不易与其它人交流沟通 解决问题

本文基于自己几年来的实践心得讨论重点放在如何规划和最终实现Windows/域和活动目录 以及此过程中要考虑和解决的各种各样问题至于如何基于域和AD的优点进行网络管理降低TCOAD的维护主控 的管理将另行撰文专门讨论

上一篇:挖掘Web的另类应用(多图)

下一篇:使用GFI WebMonitor for ISA监控Web流量一(图)