|
Windows 2000/03
域和活动目录
本文缩略词语
|
MS
:
Microsoft
微软公司
95
:
Windows 95
98
:
Windows 98
XP
:
Windows XP
NT
:
Windows NT Server
2000
:
Windows 2000 Server
03
:
Windows 2003 Server
S
:
Server
AS
:
Advanced Server
|
AD
:
Active Directory
即活动目录
DC
:
Domain Controller
即域控制器
GC
:
Global Catalog
全局编录
TS
:
Terminal Service
终端服务
PDC
:
Windows NT Server
域中的主域控制器
BDC
:
Windows NT Server
域中的备份控制器
SAM
库:安全帐号管理器
数据库
FQDN
:完全有效域名,如:
mcse.com
NetBIOS
名称:形如
mcse
|
本文的目的,是作为域和
AD
的一篇入门文章,使没有安装过域,或刚刚接触域的年轻网管能对域和
AD
有一个全面的了解,并利用此文入门,将所管理的网络实现一个基于域的管理模式。
一、认识
Windows
的域
本小节重点从理论上阐述域的概念、作用和
Windows
中域的产生。
一台
Windows
计算机,它要么隶属于工作组,要么隶属于域。所以说到域,我们就不得不提一下工作组,工作组是
MS
的概念,一般的普遍称谓是对等网。工作组通常是一个由不多于
10
台计算机组成的逻辑集合,如果要管理更多的计算机,
MS
推荐你使用域的模式进行集中管理,这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能,使你网络管理的工作量达到最小。当然这里的
10
台只是一个参考值,
11
台甚至
20
台,如果你不想进行集中的管理,那么你仍然可以使用工作组模式。
工作组的特点就是实现简单,不需要域控制器
DC
,每台计算机自己管理自己,适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义,只是在网上邻居的列表中实现一个分组而已;再就是对于
“
计算机浏览服务
”
,每一个工作组中,会自动推选出一个主浏览器,负责维护本工作组所有计算机的
NetBIOS
名称列表。用户可以使用默认的
workgroup
,也可以任意起个名字,同一工作组或不同工作组在访问时也没有什么分别。
域(
Domain
)是一个共用
“
目录服务数据库
”
的计算机和用户的集合,实现起来要复杂一些,至少需要一台计算机安装
NT/2000/03 Server
版本使其充当
DC
,来实现集中式的管理。
若考虑到容错的话,至少需要两台。对于
NT4
域就是一台
PDC
(具有唯一性),一至多台
BDC
,对于
2000/03
域,已经没有
PDC
和
BDC
的概念,要容错就需要两至多台
DC
。
域是逻辑分组,与网络的物理拓扑无关,可以很小,比如只有一台
DC
;也可以很大,包括遍布世界各地的计算机,比如大型跨国公司网络上的域(当然实际中他们多采用多域结构,还可以利用
AD
站点来优化
AD
复制)。
这个
“
目录服务数据库
”
,在
NT4
时,保存用户帐号名称和密码等安全安全信息,以及安全规则设置,又被称作安全帐号管理(
SAM
)数据库,简称
SAM
库。在非
DC
上的本地的
SAM
库与
DC
上域所用的
SAM
库类似,只不过对于
NT4
域的
SAM
库文件,保存有整个域的用户和计算机,用
“
域用户管理器
”
和
“服务器
管理器
”
来管理,本地的
SAM
库文件,保存有本地机的用户,由
“
用户管理器
”
来管理。
从
2000
开始,
MS
引入了活动目录
AD
,
DC
通过
AD
来提供目录的服务,例如它负责维护
AD
数据库、审核用户的账户和密码是否正确、将
AD
数据库复制到其它的
DC
等。
AD
库的核心文件就是
winnt/ntds/ntds.dit
文件。注意组策略的具体设置值,并不存在这个文件中,而是保存在
winnt/sysvol/sysvol
这个共享夹下,用于向其它
DC
复制,传播给域成员,来生效。但需要说明的是:
2000/XP/03
的非
DC
域成员计算机上仍使用和
NT4
一样的
SAM
库文件来保存本地帐号。
正是由于所有域成员计算机和域用户都共用这个域的
“
目录服务数据库
”
,域管理员就可以基于域的
“
目录服务数据库
”
来进行集中管理、共享资源,如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码,用户只需一次登录,即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行),而不需要多次提供用户名和密码登录。
二、构建
Windows 2000
的域
这个过程简单说就是:选一台
2000S/AS
计算机,运行
AD
安装向导,在其上安装活动目录,使其成为
DC
。然后将其它的计算机加入到这个域。
说明:至于是用
2000S
,还是用
2000AS
,对于一般的用户差别不大。
2000S
支持最多
4
个
CPU
,最大
4G
内存;
2000AS
支持最多
8
个
CPU
,最大内存
8G
,还支持群集功能。但这些我们一般用户都用不到,所以对于普通用户来说,选择
S
或
AS
都是一样的。
1
、系统要求
*
一台
2000S
或
2000AS
独立或成员服务器,
2000DS
只有
OEM
版,随厂商硬件发售,平常我们是见不到的。
*
其上必须有一个
NTFS 5.0
分区,用来保存
AD
的
sysvol
文件夹。注意:
2000
的
NTFS
分区是
NTFS 5.0
,
NT4
的是
NTFS 4.0
,
NT4
必须安装
SP4
后,才可访问
2000
的
NTFS
分区。
*
网络上必须有可用的
DNS
服务器,并且必须支持
SRV
记录(
Service Locaion Resource Record
)和动态更新功能。如:
MS Win2000S DNS
,
UNIX
的
DNS BIND 8.12
及以上版本,使用已有的
NT4 DNS
是不行的。
说明:
构建
NT4
域并不需要
DNS
的支持,但
2000
域必须有
DNS
,且满足上述要求。
SRV
记录的作用是指明域和站点(
site
)的
DC
、
PDC
仿真、
GC
是谁。动态更新也是
2000DNS
的新特色,管理员不必再象
NT4 DNS
那样手动为计算机创建或修改相应记录,在域成员计算机重启,或改名、改
IP
时依赖周期性更新,自动动态实现。
如果没有
DNS
服务器的话,也不一定非得预装
DNS
,可以在安装
AD
过程中,选择在本机上安装
2000 DNS
。而且推荐初学者使用这种方法,因为系统会根据你提供的
FQDN
域名,自动创建好
DNS
区域(
zone
),并配置成
AD
集成区域,仅安全动态更新。如果需要向外连或反向解析,用户只需配置上转发器和反向区域即可,不需要的话,直接就可以用了。
如果决定在安装
AD
过程中在本机安装
DNS
,应在安装前,将本机
TCP/IP
配置
/DNS
服务器指向自己,这样在安装
AD
完成后重启时,
SRV
记录将被自动注册到
DNS
服务器的区域当中去的,生成四个以下划线开头的文件夹,如
_msdcs
,
03DNS
在这里夹的层次结构有所变化,但本质没变。当然如果忘了指,也可以后补上,只不过需要多重启一次。
2
、安装步骤、注意事项、常见问题、经验技巧
(
1
)启动
AD
安装向导
方法一:开始
/
程序
/
管理工具
/
配置服务器
/ Active Directory /
启动
AD
安装向导。
方法二:熟练后一般常用,开始
/
运行:
dcpromo
。
(
2
)安装选项:指定服务器角色
三个界面,实现四种组合:
即:
*
新域
—
新树
—
新林
*
附加
DC
*
新域
—
子域
*
新域
—
新树
—
加入林
全新安装:新域
—
新树
—
新林,这样来建立第一个域中的第一台
DC
。
2000
的多域模型采用层次结构,不同于
NT4
域的平面结构,
NT4
的多个域之间只是通过信任关系关联起来。接下来以下图为例,对
2000
的域、树、林进行简要说明:
ms.com
/
/
trainning.mcse.com
lotus.com
这整个是一个林,
ms.com
为林根域,有两个树,一个由
ms.com
和它的子域
trainning.ms.com
组成,另一个由
lotus.com
单独组成,林中有
ms.com
,
trainning.ms.com
,
lotus.com
三个域。相关概念如下:
林根域:在林中第一个建立的域,如:
ms.com
树:共用连续的命名空间的多层域,如
ms.com
和
trainning.ms.com
树根域:树最高层的域,名最短。如:
ms.com
说明:
2000
可采用多层域结构,但最有效、最简便的管理方法仍是单域,所以大家在实际工作中要记住一个原则
“
能用单域解决,就不用多域
”
。
再者
2000AD
是针对大中型网络设计的,而我们一般管理的网络也就几百个节点,属于小型网络,一般来讲用一个单域结构就够用了,不要人为将管理环境复杂化。在实验中,我们甚至可以一个林中只有一个树,一个树中只有一个域,一个域里只有一台
DC
。
另外前面已经说过了,域是逻辑分组,与网络的物理拓扑无关,不要总试图规划一个子网一个域。当然实际中多个子网一个域,子网中若有
95/98/NT
老计算机,无法利用
DNS
直接登录到域,可以安装一台
WINS
服务器解决问题。将所有计算机,包括
WINS
服务器本身的
TCP/IP
配置中的
WINS
服务器指向此
WINS
服务器即可。
(
3
)安装选项:新域的
DNS
全名
说明:
在这里应该输入新域的完全有效域名
FQDN
,形如:
mcse.com
。系统会打算以
mcse
作为此域的
NetBIOS
名称,并在网络中检查是否存在重名,需要等一会儿。不重名则设为
mcse
,建议用户不要修改此名;重名则设为
mcse0
,建议用户最好换个名字。这也就是说,网络中如果已有一个域,名字叫做
mcse.org
,也会出现
NetBIOS
名称冲突的问题。
(
4
)安装选项:为新域指定一个
NetBIOS
名称
说明:
NetBIOS
名称,只是为
95/98/NT
等老版本用户通过
“
浏览服务
”
或
WINS
来识别这个域用的,如果确信域用户都是
2000
及以上系统(它们通过
DNS
定位域),其实
NetBIOS
名称冲不冲突,都无所谓。
(
5
)安装选项:指定
AD
库和日志文件位置
说明:
如果仅是实验,用默认值即可。若是在真正的服务器上,都会有多块物理硬盘,最好分开存放,以提高性能。另外需要强调的是:
AD
库和日志文件并不要求非得
NTFS 5.0
分区,很多
2000/03
书在此语焉不详。
(
6
)安装选项:指定
sysvol
文件夹位置
说明:
是
sysvol
这个文件夹要求必须得
NTFS 5.0
分区。在它当中存储有
DC
间
AD
要同步的内容,包括组策略的设置值。
(
7
)这时网络中若无可用
DNS
服务器,就会出现提示:找不到
DNS
服务器,需要考虑在本机上安装一个
DNS
服务器。可先不必理会,点
“
确定
”
,接下来选
“
是,在本机上安装并配置
DNS”
。初学者在此不要选
“
否,我将自己安装并配置
DNS”
。
(
8
)几分后,安装完成,需要重启。
说明:
若硬盘或网络上没有可用的
2000S
源文件,会提示要
2000S
光盘。
最好用新装
2000S
来安装
AD
,这样不容易出问题。如果你是用一个台运行了一段时间的
2000S/AS
,来安装
AD
,使其成为
DC
。重启及登录时可能会很慢(有时可能长达
20
分钟),这是较常见的现象。一般
2-3
次以后就好了,如果多次重启后还那样,那就要重装系统及
AD
了。
3
、域成员计算机
(
1
)将计算机加入到域
首先将客户机
TCP/IP
配置中所配的
DNS
服务器,指向
DC
所用的
DNS
服务器。然后我的电脑
/
右键
/
属性
/
网络标识
/
属性
/
隶属于,选择域:输入域名,确定。提示输入用户口和口令,确定后提示重启。
说明:
加入域时,如果输入的域名为
FQDN
格式,形如
mcse.com
,必须利用
DNS
中的
SRV
记录来找到
DC
,如果客户机的
DNS
指的不对,就无法加入到域。
加入域时,如果输入的域名为
NetBIOS
格式,如
mcse
,也可以利用浏览服务(广播方式)直接找到
DC
,但它不是一个完善的服务,有时就会不好使。
这样虽然也可把计算机加入到域,而且在等较长时间后也可以登录到域上去,但不推荐。因为客户机的
DNS
指的不对,则它无法利用
2000DNS
的动态更新动能,也就是说无法在
DNS
区域中自动生成关于这台计算机的
A
记录和
PTR
记录。那么同一域另一子网的
2000
及以上计算机就无法利用
DNS
找到它,这本应是可以的。
再者,管理员无法在客户机上利用域的管理工具来远程管理域,因为这些管理工具必须使用
DNS
,出错提示:找不到域命名信息(有时客户机的
DNS Client
服务有问题也会出现上述提示,重启服务即可)。这种情况下,要进行远程管理,就只能利用
TS
(终端服务)基于
IP
来连了。
当然用户也可以手动配置
WINS
或
Lmhosts
文件,来查找
DC
。这主要用于
95/98/NT
老版本计算机跨子网(路由)查找
DC
或加入域,因为这些老版本计算机无法利用
DNS
来查找
DC
,浏览服务又是广播方式,只能在本网段进行,因为广播信息是无法通过路由器的,
RFC1542
标准的路由器,可设置成允许
DHCP
的广播数据通过,仅是一个特例。需要说明的是:
95/98
可以使用域用户帐号登录到域,但并不能加入到域,在
AD
中也没有计算机帐号,而
NT
可以。
计算机加入域成功后,未重启,即已在
AD
用户和计算机
/computer
容器下生成计算机帐号了,实验中查看时,需要手动刷新一下。而在
DNS
中记录必须在计算机重启后(不必登录)或
15
分钟后才能自动注册或更新到
DNS
区域。但若我们平常修改一个计算机的名字或
IP
,要马上更新到
DNS
区域,倒不一定非得重启,可利用
ipconfig /registerdns
命令就行。明白以上讨论可用于排错,不一定非得重启登录后才知道结果。
加入到
NT4
域时,需要有管理特权才行;从
Windows 2000
开始,微软作了改进:在
Windows 2000/03
域中,默认
Authenticated Users
即可在域中最多创建
10
个计算机帐户。
Authenticated Users
指被验证的用户组,也就是说任何经过身份验证的普通域用户都可以加最多
10
台计算机到域。常见问题:在实际中用普通域帐号加计算机到域,有时会不好使,原因是同名计算机帐号(极可能是它自己已经失效的计算机帐号)已存在而无权覆盖,这时就得用域管理员帐号了。
(
2
)在加入域的计算机上,用域用户帐号登录到域。
说明:
在域中的非
DC
计算机上,可以选择登录到域或本机,这是因为它同时还拥有本地用户帐号。而在
DC
上只能选择登录到域了,因为整个域都是
DC
的,它没有必要再保留本地帐号了。
2000
是个红叉,
03
干脆就没有了。
安装
AD
时,会自动删除本地帐号,即使将来删除
AD
,也无法将本地帐号复原,而是重新生成的。这一点一定要注意:如果本地有
EFS加密
的文件,一定要将证书导出或将文件解密后,再在这台计算机上做
AD
安装实验。
在
2000
及以上计算机上登录到域的过程是这样的:域成员计算机根据本机
DNS
配置去找
DNS
服务器,
DNS
根据
SRV
记录告诉它
DC
是谁,客户机联系
DC
,验证后登录。
(
3
)深入讨论:
如果是在林中跨域登录,是首先查询
DNS
服务器,问林的
GC
是谁。
前面我们在步骤(
1
)中强调
“
加入域前,首先将客户机
TCP/IP
配置中所配的
DNS
服务器,指向
DC
所用的
DNS
服务器。
”
其实如果域中有多个
DNS
服务器,也可以指向其它的
DNS
服务器,当然这些
DNS
服务器之间得有区域复制关系。这样做的目的恰恰是:大中型网络为了平衡
DNS
负载。
三、建立其它域控制器
前面我们讨论了
“
建立第一个域中的第一台域控制器
”
,分析得很细。以下相同知识点的内容将不再赘述。
1
、安装附加
DC
(
1
)以本机管理员身份登录,在独立或成员服务器上,启动
AD
安装向导。
说明:
将成为附加
DC
的计算机,不必非得先加入域。
DNS
指向已有
DC
所用
DNS
服务器,以便找到已有
DC
。安装结束后,一般应该手动在本机上再装一个
DNS
服务器,以实现
DNS
的容错。
(
2
)选择:现有域的额外域控制器
(
3
)输入域管理员帐号,如:
administrator
,
password
,
mcse.com
(或
mcse
)。
常见找不到域的出错提示:域
“mcse.com”
不是
AD
域,或用于域的
AD
域控制器无法联系上。
解决:确保
DNS
指向已有
DC
所用
DNS
的服务器。
其它:
Ping
一下,检查物理连通性。高级用户是否设过
TCP/IP
筛选器或
RRAS
筛选器。
(
4
)输入域名,如:
mcse.com
。
(
5
)指定
AD
库和日志文件位置
(
6
)指定
sysvol
文件夹位置
(
7
)一般选:
“
与
Windows 2000
服务器之前的版本相兼容的权限
”
(
8
)目录服务恢复模式的管理员密码
(
9
)几分后,安装完成,需要重启。
(
10
)手动在本机上安装
DNS
服务器,以实现
DNS
的容错。
A
、开始
/
设置
/
控制面板
/
添加删除程序
/Windows组件/
网络服务
/
域名系统(
DNS
)。
B
、开始
/
程序
/
管理工具
/DNS
C
、正向搜索区域
/
右键
/
新建区域,建议选择
“AD
集成区域
”
,区域名:已有区域的名称,如
mcse.com
。自动生成起始授权机构(
SOA
)、名称服务器(
NS
)、主机(
A
)三条记录,但此时
SRV
记录并未被复制过来。需要等待
5-15
分钟后,利用刷新或重新加载就可以看到复制过来的
DNS
记录了(对于
03
马上就可以看到复制过来的全部
DNS
记录)。
深入讨论:
03
和
2000
比,功能更强大了。但在域和
AD
的体系结构上并没有什么大的变化,而且
MS
的产品十分讲究向前兼容。在一个域中可以既有
2000DC
,又有
03DC
;也可以既有
2000DNS
,又有
03DNS
,并且
DC
间的
AD
复制,
DNS
间的区域传输,都好像没有版本差异一样。
在我们这里要说的就是:
2000
可作为
03
域的附加
DC
,
03
也可以作为
2000
域的附加
DC
,但第二种情况需要在
2000DC
(
SP2
及更高)上运行
03
光盘
/I386/adprep
命令来做准备。
具体第一步:
adprep /forestprep
进行林准备,第二步
adprep /domainprep
进行域准备。
2
、建立子域
(
1
)以本机管理员身份登录,在独立或成员服务器上,启动
AD
安装向导。
说明:
DNS
指向林根域已有
DC
所用
DNS
服务器,以便找到已有
DC
。
保证域命名主控必须有效,它默认在林根域的第一台
DC
上,且具有林唯一性。利用管理工具
“AD
域和信任关系
”
可转移域命名主控。
(
2
)选择:新域的域控制器,下一步,在现有的树中创建一个新的子域
(
3
)输入林管理员帐号,如:
administrator
,
password
,
mcse.com
(或
mcse
)。
常见出错提示:域
“mcse.com”
不是
AD
域,或用于域的
AD
域控制器无法联系上。解决方法见前。
(
4
)输入父域名,如:
mcse.com
;输入子域名,如
sub
,注意不要输成
sub.mcse.com
。
(
5
)指定
AD
库和日志文件位置
(
6
)指定
sysvol
文件夹位置
(
7
)一般选:
“
与
Windows 2000
服务器之前的版本相兼容的权限
”
(
8
)目录服务恢复模式的管理员密码
(
9
)几分后,安装完成,需要重启。
如果域命名主控失效将会出现如下出错提示:
“
由于以下原因,操作失败:
AD
无法与域命名主机
xxx
联系。指定的服务器无法运行指定的操作。
”
解决:保证域命名主控联机,如果确信其已无法正常工作,可强制传给林内的任意一个
DC
,子域的
DC
也可以。原来的主机将必须被重做系统后,才可连入网络,以保证域命名主控的林唯一性。
深入讨论:
关于子域(子
Domain
)所对应的
DNS
子区域(子
zone
)是否委派的问题。(以下简称:子区域)
如果网络规模不是很大,虽然实现了子域,但总部、二级单位的网管可能就是同一个人。这种情况下就不需要委派了。可以把区域、子区域都放在同一个
DNS
服务器上,由同一名管理员来管理就可以了。默认值即如此,不需要手动设置。
如果网络规模较大,且二级单位需要能够控制自己的
DNS
子区域,比如自己增加
www1,www2……
这样的主机记录;在自己的子区域下再建子区域。这种情况下就需要委派子区域了,由二级单位的
DNS
管理员自己来管理。否则二级单位涉及
DNS
的每一个小变化,都需要找总部
DNS
管理员批准。
子区域委派,操作步骤如下:(最好按如下步骤进行,不容易出问题)
A
、
DNS
指向林根域(如:
mcse.com
)已有
DC
所用
DNS
服务器
B
、利用
AD
安装向导,安装子域(如:
sub.mcse.com
),重启机。
C
、在林根
DNS
控制台上查看,确保已在
mcse.com
生成子文件夹
sub
,且
sub
下有
4
个以下划线开头的,保存有
SRV
记录的子文件夹(
_msdcs
、
_sites
、
_tcp
、
_udp
)已生成;
sub
下还应有如下
2
条
A
记录:(第二条记录如果未生成,手动补上也可以。)
(与父文件夹相同)主机
IP
SUBdc
主机
IP
D
、在父域(如:
mcse.com
)右键
/
新建委派
/
下一步
/
子区域名:
sub
。(不必担心重名,因为委派完成后,灰颜色的委派的
sub
夹将取代黄颜色的
sub
夹,但注意操作过程中会共存一段时间)接下来,指定负责子区域的名称服务器:
SUBdc.sub.mcse.com
及它的
IP
,以生成粘合记录,下一步,完成。
E
、在子域
DC
上安装
DNS
,操作:开始
/
设置
/
控制面板
/
添加删除程序
/Windows
组件
/
网络服务
/
域名系统(
DNS
)。
F
、开始
/
程序
/
管理工具
/DNS
G
、正向搜索区域
/
右键
/
新建区域,建议选择
“AD
集成区域
”
,区域名:
sub.mcse.com
。自动生成
SOA
、
NS
、
A
、
A
四条记录(后两条
A
记录,如
C
步中述),此时
SRV
记录也被复制过来了。
H
、在
DNS
服务器的计算机名上
/
右键
/
属性
/
转发器:指向上一级或林根
DNS
的
IP
。
I
、将子域
DC
的
DNS
指向自己,以后加入子域的计算机也使用子域的
DNS
,以实现
DNS
分担负荷。(当然,子域中的计算机可以使用林中任一台
DNS
,也都好使)
注意:
由上述过程,大家可以了解到,做为被委派的
DNS
子区域的二级单位
DNS
管理员,是不能随意更改自己的
DNS
服务器的。比如修改
DNS
服务器的
IP
,需要通知上级管理员,及时更新委派子区域的
NS
记录,否则林中其它用户就会找不到你这个子域的计算机。
3
、新域
—
新树
—
加入林
此种情况平常较少用到,因为一般企业只用一套命名体系,很少采用两上或两个以上的树。微软举的例子:一个大企业兼并另一企业,并且想保留它的命名体系,技术上对应实现就是目录树和
DNS
名称空间。
说明:此种应该预先建好
DNS
正向搜索区,因为它不能像建子域那样,利用
AD
向导自动在已有
DNS
区域中创建子区域。下面以前文中的
mcse.com
,
sub.mcse.com
,
my.com
图示为例进行说明。
(
1
)在林根
DNS
上,与
mcse.com
并列,创建区域
my.com
,最好选
AD
集成区域。
(
2
)以本机管理员身份登录,在独立或成员服务器上,启动
AD
安装向导。
说明:
DNS
指向林根域已有
DC
所用
DNS
服务器,并保证域命名主控必须有效。
(
3
)选择:新域
—
新树
—
加入林
(
4
)输入林管理员帐号,如:
administrator
,
password
,
mcse.com
(或
mcse
)。
说明:
输入的欲登录的林根域名,也就告诉了系统要加入哪个林。
(
5
)输入新域的
DNS
全名,如:
my.com
;域
NetBIOS
名:
MY
。
(
6
)指定
AD
库和日志文件位置
(
7
)指定
sysvol
文件夹位置
(
8
)一般选:
“
与
Windows 2000
服务器之前的版本相兼容的权限
”
(
9
)目录服务恢复模式的管理员密码
(
10
)几分后,安装完成,需要重启。
说明:
用预建
DNS
这种方式加入林,使用的是林根上已有
DNS
服务器,所以此计算机在林根
DNS
的
my.com
区域下,仅生成一条主机(
A
)记录(如需要可手动添加:
treedc
主机
IP
),
SOA
和
NS
记录都是林根
DNS
服务器,但在
my.com
区域会有相应的
SRV
记录来标识它是这个树根域的
DC
。这种并没有实现
DNS
的分担负荷,如想实现,利用辅助区域来做。
实验中发现:万不可像全新安装那样,在安装过程中,选择在本地安装一个
DNS
,这样将会这把个树根域安装成一个独立的林根域。原因吗?去问微软吧。
四、卸载
AD
在实际工作中有时我们需要改变服务器角色,或者将实验中安装的
DC
回复到普通成员
/
独立服务器身份,这就要进行
AD
的卸载。
1
、卸载时会提示给新的本地管理员设置密码
2
、附加
DC
卸载后,仍在域中。
3
、如果
AD
不能卸载,应从以下几方面考虑:
(
1
)权限
权限要求与安装
AD
类似,若一个林中只有一个域,那么你要卸载的就是林根域,需要林管理员权限;卸载附加
DC
需要该域的域管理员权限;卸载子域或树,涉及到林结构的改变,也需要林管理员权限。
(
2
)
DNS
一般应保证与安装时所用
DNS
一致。如果做了
DNS
规划,必须保证
1
中权限所要求的管理员身份能找到相应
DC
验证。
(
3
)域命名主控
卸载时只要涉及到林结构的改变,就需要保证域命名主控有效;卸载附加
DC
时不要求域命名主控有效。
但要注意的是:卸载时的出错信息与安装时的
“AD
无法与域命名主机
xxx
联系
”
提示不同,具体是:由于以下原因,操作失败。以提供的凭据绑定到服务器
xxx
失败。
“RPC
服务器不可用
”
。
(
4
)卸载的顺序
与安装顺序相反,应该先逐级卸载下面的子域,最后卸载树根域、林根域。否则将导致子域无法卸载,而存在的子域还有问题。
因为极有可能此时架构和域命名主控及
GC
未转移,林管理员组和架构管理员组(
Schema Admins
)已经随林根域的删除而没有了。为什么这么说呢?因为如果管理员考虑到主控及
GC
等的转移问题,也就不会误删林根域了。
五、从
NT4
域升级到
2000
域
1
、预备知识:
NT4
域采用单主控复制,
DC
分为
PDC
和
BDC
,
BDC
存储的只是
PDC“
目录服务数据库
”
文件的只读复本。在
“
服务器管理器
”
中可以将一台
BDC
提升为
PDC
,原
PDC
自动降为
BDC
。
一个域中只能有一台
PDC
,零到多台
BDC
以提供容错和分担负荷。但大家不要理解为一个网络中只能有一台
PDC
,域是逻辑分组,我们可以在一个子网中建多个域。
2000
域开始采用多主控复制,
DC
不再有
PDC
和
BDC
之分,
DC
间的
AD
复制是双向的。但
2000
域中会唯一有一台
DC
担当
PDC
仿真主控,负责充当
NT4 BDC
的
PDC
,并为早期版本客户机提供服务。
PDC
仿真主控还负责管理运行
NT
、
95/98
计算机的密码变化,写入
AD
。接受密码变化的
DC
必须通知
PDC
仿真主控,比如:用户登录时,如密码错误,必先送至
PDC
仿真主控。因为普通
DC
不能确认到底是密码错误,还是它没有及时与
PDC
仿真主控同步。它还负责同步整个域中计算机的时间。通过以上我们可以知道:在
2000
域中存在的
NT4
域控制器,它的身份只能是
BDC
。
2000
域模式分为:混合(
mixed
)模式和本机(
natived
)模式。默认为混合模式,如果管理员确认域中所有
DC
(注意:这里强调的是
DC
,
2000
域本机模式下可以有
NT4
的成员服务器)都是
2000DC
,没有
NT4
的域控制器,可以手动在
“AD
用户和计算机中
”
将域模式更改为本机模式,以充分利用
AD
的新功能,比如使用
“
通用组
”
。
通过以上分析,我们可以知道:如果在
2000
域中存在
NT4
域控制器,那么你只能使用
2000
域混合模式了。有人可能会想那我就不让它再当域控制器了,但是
NT4
域的
DC
和成员服务器之间角色转换必须重装
NT4
系统,不能象
2000
那样利用
AD
安装向导,方便地进行安装
/
卸载。
2
、原则:由
NT4
域向
2000
域升级,第一个被升级的必须是
NT4
域的
PDC
。这样才可以把帐号、安全设置、配置等带到
2000
域
3
、
MS
推荐策略:由于升级是一个极易出现各种问题的过程,必须考虑备份。再有就是实际操作时,可以先将
NT4
的
BDC
提升为
PDC
,再升级到
2000
。如果顺利的话,再升级其它
BDC
。如果不顺利的话,可将原来
PDC
复原,以此方法来避免损失。
4
、深入讨论:我们可以把前面的问题再深入讨论一下,假设你的域中有
NT4
的
PDC
,并且在它上面运行的老程序不允许你把它升级为
2000
,但你还想要通过升级
NT4
域,得到
2000
域,那么应该怎么办呢?答案很简单,可以先将这台
PDC
降为
BDC
,再将新
PDC
升级为
2000
。这样你既得到了
2000
域,又保留了
NT4
的
BDC
。
5
、我的推荐原则:在实际工作中,只要能进行
2000
域的全新安装,就用全新安装。因为
NT4升级后得到的2000
安全策略设置等等是继承
NT4
时的设置,与
2000
域的默认值有较大出入,以后出问题,不易排错,也不易与其它人交流沟通、解决问题。
本文基于自己几年来的实践心得,讨论重点放在如何规划和最终实现
Windows 2000/03
域和活动目录,以及此过程中要考虑和解决的各种各样问题。至于如何基于域和
AD
的优点进行网络管理降低
TCO
,
AD
的维护,主控的管理,将另行撰文专门讨论。
,
| 
转播
