Windows Server 2003搭建域控的基本教程

1、拓樸： 實(shí)驗(yàn)?zāi)康模捍罱ㄒ粋€(gè)域控制器并將客戶機(jī)加入域 準(zhǔn)備工作： bitscn.com網(wǎng)管聯(lián)盟 1.一臺(tái)裝windows server 2003的server2.一臺(tái)裝windows xp的client3.用交叉線連起來，并如圖分配好ip地址 實(shí)驗(yàn)步驟： bbs.bitscn.com國內(nèi)最早的網(wǎng)管論壇 1.配置server （1）配置ip地址參數(shù) 中國網(wǎng)管聯(lián)盟 （2）運(yùn)行dcpromo命令 （3）彈出active directory安裝向?qū)Вc(diǎn)下一步 （4）這里以默認(rèn)，點(diǎn)下一步 bitscn_com 5）選新域的域控制器，點(diǎn)下一步 f國內(nèi)最早的網(wǎng)管網(wǎng)站 （6

2、）選新林中的域，點(diǎn)下一步 （7）輸入域的dns全名,如：zhen.cwj，點(diǎn)下一步 （8）輸入nerbios名，這里以默認(rèn)，點(diǎn)下一步 9）選擇數(shù)據(jù)庫和日志的安裝路徑，點(diǎn)下一步 dl.bitscn.com網(wǎng)管軟件下載 play.bitscn.com小游戲 （10）選擇共享的系統(tǒng)卷的安裝路徑，點(diǎn)下一步 f國內(nèi)最早的網(wǎng)管網(wǎng)站 bitscn_com （11） 選擇第2個(gè)，點(diǎn)下一步 （12）這個(gè)模式以默認(rèn)，點(diǎn)下一步 www.bitscn.net網(wǎng)管博客等你來搏 dl.b（13）輸入還原密碼，點(diǎn)下一步 （14） 點(diǎn)下一步 （15）直到安裝完成，并重器計(jì)算機(jī) 09網(wǎng)管求職 （1

3、6）重啟后輸入dsa.msc，可以看到active directory用戶和計(jì)算機(jī) 2.client配置 （1）配置ip地址參數(shù) www.bitscn.net網(wǎng)管博客等你來搏 dl.bitscn.com網(wǎng)管軟件下載 （2）打開計(jì)算機(jī)屬性選擇計(jì)算機(jī)名點(diǎn)更改，點(diǎn)域輸入域名zhen.cwj （3）輸入域控制器管理員用戶名和密碼，直到完成，并重齊即可。 09網(wǎng)管求職 （4）重啟后可以看到登陸到域和本地 isa server是建立在windows 2000操作系統(tǒng)上的一種可擴(kuò)展的企業(yè)級防火墻和web緩存服務(wù)器。isa server的多層防火墻可以保護(hù)網(wǎng)絡(luò)資源免受病毒、黑客的入侵和未經(jīng)授權(quán)的訪

4、問。而且，通過本地而不是internet為對象提供服務(wù)，其web緩存服務(wù)器允許組織能夠?yàn)橛脩籼峁└斓膚eb訪問。在網(wǎng)絡(luò)內(nèi)安裝isa server時(shí)，可以將其配置成防火墻，也可以配置成web緩存服務(wù)器，或二者兼?zhèn)?。isa server提供直觀而強(qiáng)大的管理工具，包括microsoft 管理控制臺(tái)管理單元、圖形化任務(wù)板和逐步進(jìn)行的向?qū)?。利用這些工具，isa server能將執(zhí)行和管理一個(gè)堅(jiān)固的防火墻和緩存服務(wù)器所遇到的困難減至最小。本文的目的，是作為域和ad的一篇入門文章，使沒有安裝過域，或剛剛接觸域的年輕網(wǎng)管能對域和ad有一個(gè)全面的了解，并利用此文入門，將所管理的網(wǎng)絡(luò)實(shí)現(xiàn)一個(gè)基于域的管理模式。我

5、是網(wǎng)管博客&csh|_k:p5s一、認(rèn)識windows的域kcm7oyneo0本小節(jié)重點(diǎn)從理論上闡述域的概念、作用和windows中域的產(chǎn)生。我是網(wǎng)管博客c0tr*u:c2y6h bm/c4o一臺(tái)windows計(jì)算機(jī)，它要么隸屬于工作組，要么隸屬于域。所以說到域，我們就不得不提一下工作組，工作組是ms的概念，一般的普遍稱謂是對等網(wǎng)。工作組通常是一個(gè)由不多于10臺(tái)計(jì)算機(jī)組成的邏輯集合，如果要管理更多的計(jì)算機(jī)，ms推薦你使用域的模式進(jìn)行集中管理，這樣的管理更有效。你可以使用域、活動(dòng)目錄、組策略等等各種功能，使你網(wǎng)絡(luò)管理的工作量達(dá)到最小。當(dāng)然這里的10臺(tái)只是一個(gè)參考值，11臺(tái)甚至20臺(tái)，如果你不想進(jìn)

6、行集中的管理，那么你仍然可以使用工作組模式。我是網(wǎng)管博客fq;n4l/q8n 工作組的特點(diǎn)就是實(shí)現(xiàn)簡單，不需要域控制器dc，每臺(tái)計(jì)算機(jī)自己管理自己，適用于距離很近的有限數(shù)目的計(jì)算機(jī)。另外工作組名并沒有太多的實(shí)際意義，只是 在網(wǎng)上鄰居的列表中實(shí)現(xiàn)一個(gè)分組而已；再就是對于“計(jì)算機(jī)瀏覽服務(wù)”，每一個(gè)工作組中，會(huì)自動(dòng)推選出一個(gè)主瀏覽器，負(fù)責(zé)維護(hù)本工作組所有計(jì)算機(jī)的 netbios名稱列表。用戶可以使用默認(rèn)的workgroup，也可以任意起個(gè)名字，同一工作組或不同工作組在訪問時(shí)也沒有什么分別。df5r%(h9n:_lo:l!j0域（domain）是一個(gè)共用“目錄服務(wù)數(shù)據(jù)庫”的計(jì)算機(jī)和用戶的集合，實(shí)現(xiàn)起來

7、要復(fù)雜一些，至少需要一臺(tái)計(jì)算機(jī)安裝nt/2000/03 server版本使其充當(dāng)dc，來實(shí)現(xiàn)集中式的管理。我是網(wǎng)管博客l0;_&r6o若考慮到容錯(cuò)的話，至少需要兩臺(tái)。對于nt4域就是一臺(tái)pdc（具有唯一性），一至多臺(tái)bdc，對于2000/03域，已經(jīng)沒有pdc和bdc的概念，要容錯(cuò)就需要兩至多臺(tái)dc。8|bezah0域是邏輯分組，與網(wǎng)絡(luò)的物理拓?fù)錈o關(guān)，可以很小，比如只有一臺(tái)dc；也可以很大，包括遍布世界各地的計(jì)算機(jī)，比如大型跨國公司網(wǎng)絡(luò)上的域（當(dāng)然實(shí)際中他們多采用多域結(jié)構(gòu)，還可以利用ad站點(diǎn)來優(yōu)化ad復(fù)制）。1?:|*u#sf(z!0 這個(gè)“目錄服務(wù)數(shù)據(jù)庫”，在nt4時(shí)，保存用戶帳號名稱和密碼

8、等安全安全信息，以及安全規(guī)則設(shè)置，又被稱作安全帳號管理（sam）數(shù)據(jù)庫，簡稱sam 庫。在非dc上的本地的sam庫與dc上域所用的sam庫類似，只不過對于nt4域的sam庫文件，保存有整個(gè)域的用戶和計(jì)算機(jī)，用“域用戶管理器”和 “服務(wù)器管理器”來管理，本地的sam庫文件，保存有本地機(jī)的用戶，由“用戶管理器”來管理。我是網(wǎng)管博客mcyl?!yw&e*g3b從2000開始，ms引入了活動(dòng)目錄ad，dc通過ad來提供目錄的服務(wù)，例如它負(fù)責(zé)維護(hù)ad數(shù)據(jù)庫、審核用戶的賬戶和密碼是否正確、將ad數(shù)據(jù)庫復(fù)制到其它的dc 等。ad庫的核心文件就是winntntdsntds.dit文件。注意組策略的具體設(shè)置值，

9、并不存在這個(gè)文件中，而是保存在winnt sysvolsysvol這個(gè)共享夾下，用于向其它dc復(fù)制，傳播給域成員，來生效。但需要說明的是：2000/xp/03的非dc域成員計(jì)算機(jī)上仍使 用和nt4一樣的sam庫文件來保存本地帳號。/r/m(c9h nb0 正是由于所有域成員計(jì)算機(jī)和域用戶都共用這個(gè)域的“目錄服務(wù)數(shù)據(jù)庫”，域管理員就可以基于域的“目錄服務(wù)數(shù)據(jù)庫”來進(jìn)行集中管理、共享資源，如用戶、 組、計(jì)算機(jī)帳號、權(quán)限設(shè)置、組策略設(shè)置等等。目錄服務(wù)為管理員提供從網(wǎng)絡(luò)上任何一個(gè)計(jì)算機(jī)上查看和管理用戶和網(wǎng)絡(luò)資源的能力。目錄服務(wù)也為用戶提供唯一的 用戶名和密碼，用戶只需一次登錄，即可訪問本域或有信任關(guān)系

10、的其它域上的所有資源（當(dāng)然用戶得有權(quán)限才行），而不需要多次提供用戶名和密碼登錄。ry /k+gnu _+car/_h0我是網(wǎng)管博客$y/xwf+ct8n t二、構(gòu)建windows 2000的域ii-l$x.m5r0這個(gè)過程簡單說就是：選一臺(tái)2000s/as計(jì)算機(jī)，運(yùn)行ad安裝向?qū)?，在其上安裝活動(dòng)目錄，使其成為dc。然后將其它的計(jì)算機(jī)加入到這個(gè)域。(s1rvc:v0說明：至于是用2000s，還是用2000as，對于一般的用戶差別不大。2000s支持最多4個(gè)cpu，最大4g內(nèi)存；2000as支持最多8個(gè)cpu，最大內(nèi)存8g，還支持群集功能。但這些我們一般用戶都用不到，所以對于普通用戶來說，選擇s或

11、as都是一樣的。p_0uk6x6z0我是網(wǎng)管博客$p1 8c!?h-i5if(q1、系統(tǒng)要求我是網(wǎng)管博客-ge zuy:d#rz*一臺(tái)2000s或2000as獨(dú)立或成員服務(wù)器，2000ds只有oem版，隨廠商硬件發(fā)售，平常我們是見不到的。nb_r4z:j0* 其上必須有一個(gè)ntfs 5.0分區(qū)，用來保存ad的sysvol文件夾。注意：2000的ntfs分區(qū)是ntfs 5.0，nt4的是ntfs 4.0，nt4必須安裝sp4后，才可訪問2000的ntfs分區(qū)。4a/e,k+hpe0 * 網(wǎng)絡(luò)上必須有可用的dns服務(wù)器，并且必須支持srv記錄（service locaion resource re

12、cord）和動(dòng)態(tài)更新功能。如：ms win2000s dns，unix的dns bind 8.12及以上版本，使用已有的nt4 dns是不行的。我是網(wǎng)管博客? basmm說明：ss h0d6(t5u0構(gòu)建nt4域并不需要dns的支持，但2000域必須有dns，且滿足上述要求。6hvi1zghi0s0srv記錄的作用是指明域和站點(diǎn)（site）的dc、pdc仿真、gc是誰。動(dòng)態(tài)更新也是2000dns的新特色，管理員不必再象nt4 dns那樣手動(dòng)為計(jì)算機(jī)創(chuàng)建或修改相應(yīng)記錄，在域成員計(jì)算機(jī)重啟，或改名、改ip時(shí)依賴周期性更新，自動(dòng)動(dòng)態(tài)實(shí)現(xiàn)。5b%lc/w-j)p0 如果沒有dns服務(wù)器的話，也不一定非

13、得預(yù)裝dns，可以在安裝ad過程中，選擇在本機(jī)上安裝2000 dns。而且推薦初學(xué)者使用這種方法，因?yàn)橄到y(tǒng)會(huì)根據(jù)你提供的fqdn域名，自動(dòng)創(chuàng)建好dns區(qū)域（zone），并配置成ad集成區(qū)域，僅安全動(dòng)態(tài)更新。 如果需要向外連或反向解析，用戶只需配置上轉(zhuǎn)發(fā)器和反向區(qū)域即可，不需要的話，直接就可以用了。我是網(wǎng)管博客y8f*cu 如果決定在安裝ad過程中在本機(jī)安裝dns，應(yīng)在安裝前，將本機(jī)tcp/ip配置/dns服務(wù)器指向自己，這樣在安裝ad完成后重啟時(shí)，srv記錄將被 自動(dòng)注冊到dns服務(wù)器的區(qū)域當(dāng)中去的，生成四個(gè)以下劃線開頭的文件夾，如_msdcs，03dns在這里夾的層次結(jié)構(gòu)有所變化，但本質(zhì)沒變

14、。當(dāng)然如果忘 了指，也可以后補(bǔ)上，只不過需要多重啟一次。我是網(wǎng)管博客kr(a 2、安裝步驟、注意事項(xiàng)、常見問題、經(jīng)驗(yàn)技巧8q:knshcp0（1）啟動(dòng)ad安裝向?qū)$wnr0方法一：開始/程序/管理工具/配置服務(wù)器/ active directory /啟動(dòng)ad安裝向?qū)?。l1x$n2xh:m$0方法二：熟練后一般常用，開始/運(yùn)行：dcpromo。我是網(wǎng)管博客#dn&q6a?（2）安裝選項(xiàng)：指定服務(wù)器角色5m$zi s5zsb0三個(gè)界面，實(shí)現(xiàn)四種組合：我是網(wǎng)管博客%s(zi!mz5e.yl#vpe 新域附加dc 新樹子域 新林加入林 我是網(wǎng)管博客o-_id即：zh7knumlhg0* 新域新樹新

15、林我是網(wǎng)管博客d/g6vop7w)6uw-?e* 附加dcle)c+pbfzk9dd0* 新域子域#kp5fv&h:e0* 新域新樹加入林我是網(wǎng)管博客0mj%_*g(l(n1s全新安裝：新域新樹新林，這樣來建立第一個(gè)域中的第一臺(tái)dc。我是網(wǎng)管博客!6f$d,r)wzs8i2000的多域模型采用層次結(jié)構(gòu)，不同于nt4域的平面結(jié)構(gòu)，nt4的多個(gè)域之間只是通過信任關(guān)系關(guān)聯(lián)起來。接下來以下圖為例，對2000的域、樹、林進(jìn)行簡要說明：我是網(wǎng)管博客hy_%&n.?k.wdar;f%xl_i0p0b:h5g#ur0x/sx j i:l0$n&d0我是網(wǎng)管博客nyr;we z(2_/dg(t6

16、o$jwn!wpq我是網(wǎng)管博客wzcg o7d8j2tr這整個(gè)是一個(gè)林，為林根域，有兩個(gè)樹，一個(gè)由和它的子域組成，另一個(gè)由單獨(dú)組成，林中有，，三個(gè)域。相關(guān)概念如下：我是網(wǎng)管博客7wl5wm#ii+sz林根域：在林中第一個(gè)建立的域，如：f ?-r k3z _:y0樹：共用連續(xù)的命名空間的多層域，如和我是網(wǎng)管博客ir-z4r+u樹根域：樹最高層的域，

17、名最短。如：tc|aag0說明：我是網(wǎng)管博客(4rngy1ux,z2000可采用多層域結(jié)構(gòu)，但最有效、最簡便的管理方法仍是單域，所以大家在實(shí)際工作中要記住一個(gè)原則“能用單域解決，就不用多域”。我是網(wǎng)管博客.g8s h?b2zce:j9y再者2000ad是針對大中型網(wǎng)絡(luò)設(shè)計(jì)的，而我們一般管理的網(wǎng)絡(luò)也就幾百個(gè)節(jié)點(diǎn)，屬于小型網(wǎng)絡(luò)，一般來講用一個(gè)單域結(jié)構(gòu)就夠用了，不要人為將管理環(huán)境復(fù)雜化。在實(shí)驗(yàn)中，我們甚至可以一個(gè)林中只有一個(gè)樹，一個(gè)樹中只有一個(gè)域，一個(gè)域里只有一臺(tái)dc。我是網(wǎng)管博客kl vi e4h-w 另外前面已經(jīng)說過了，域是邏輯分組，與網(wǎng)絡(luò)的物理拓?fù)錈o關(guān)，不要總試圖規(guī)劃一個(gè)子網(wǎng)一個(gè)域

18、。當(dāng)然實(shí)際中多個(gè)子網(wǎng)一個(gè)域，子網(wǎng)中若有95/98/nt老計(jì) 算機(jī)，無法利用dns直接登錄到域，可以安裝一臺(tái)wins服務(wù)器解決問題。將所有計(jì)算機(jī)，包括wins服務(wù)器本身的tcp/ip配置中的wins服務(wù)器指 向此wins服務(wù)器即可。我是網(wǎng)管博客)x7|)duu i（3）安裝選項(xiàng)：新域的dns全名n#e%rz)qak ew0說明：我是網(wǎng)管博客hjn%e)e0t%si 在這里應(yīng)該輸入新域的完全有效域名fqdn，形如：。系統(tǒng)會(huì)打算以mcse作為此域的netbios名稱，并在網(wǎng)絡(luò)中檢查是否存在重 名，需要等一會(huì)兒。不重名則設(shè)為mcse，建議用戶不要修改此名；重名則設(shè)為mcse0，建議用戶

19、最好換個(gè)名字。這也就是說，網(wǎng)絡(luò)中如果已有一個(gè)域，名字 叫做，也會(huì)出現(xiàn)netbios名稱沖突的問題。我是網(wǎng)管博客!3mdg z.x（4）安裝選項(xiàng)：為新域指定一個(gè)netbios名稱我是網(wǎng)管博客1l|b; hy說明：_/nqwh$v9w$u9e:dq0netbios名稱，只是為95/98/nt等老版本用戶通過“瀏覽服務(wù)”或wins來識別這個(gè)域用的，如果確信域用戶都是2000及以上系統(tǒng)（它們通過dns定位域），其實(shí)netbios名稱沖不沖突，都無所謂。我是網(wǎng)管博客2cc u6nn3i(ba?7w（5）安裝選項(xiàng)：指定ad庫和日志文件位置我是網(wǎng)管博客0k8v.emvb說明：我是網(wǎng)管博客0a

20、3msr!uy如果僅是實(shí)驗(yàn)，用默認(rèn)值即可。若是在真正的服務(wù)器上，都會(huì)有多塊物理硬盤，最好分開存放，以提高性能。另外需要強(qiáng)調(diào)的是：ad庫和日志文件并不要求非得ntfs 5.0分區(qū)，很多2000/03書在此語焉不詳。我是網(wǎng)管博客gmpp7i（6）安裝選項(xiàng)：指定sysvol文件夾位置xtm&ffkb8e0說明：tu0t_i0是sysvol這個(gè)文件夾要求必須得ntfs 5.0分區(qū)。在它當(dāng)中存儲(chǔ)有dc間ad要同步的內(nèi)容，包括組策略的設(shè)置值。&u4cgioe,cwm6b0（7）這時(shí)網(wǎng)絡(luò)中若無可用dns服務(wù)器，就會(huì)出現(xiàn)提示：找不到dns服務(wù)器，需要考慮在本機(jī)上安裝一個(gè)dns服務(wù)器?？上炔槐乩頃?huì)，點(diǎn)“確定”，

21、接下來選“是，在本機(jī)上安裝并配置dns”。初學(xué)者在此不要選“否，我將自己安裝并配置dns”。我是網(wǎng)管博客1q0|bzqm我是網(wǎng)管博客mo|!s(q b bhb s,o3r9k l%u0我是網(wǎng)管博客_v;r1u;j:（8）幾分后，安裝完成，需要重啟。我是網(wǎng)管博客+kc:h5kcb說明：+0f5d)t$m+qxk0若硬盤或網(wǎng)絡(luò)上沒有可用的2000s源文件，會(huì)提示要2000s光盤。我是網(wǎng)管博客tt3sl9 最好用新裝2000s來安裝ad，這樣不容易出問題。如果你是用一個(gè)臺(tái)運(yùn)行了一段時(shí)間的2000s/as，來安裝ad，使其成為dc。重啟及登錄時(shí)可能 會(huì)很慢（有時(shí)可能長達(dá)20分鐘），這是較常見的現(xiàn)象。一

22、般2-3次以后就好了，如果多次重啟后還那樣，那就要重裝系統(tǒng)及ad了。我是網(wǎng)管博客m8k;q0ijwh p0v8zjw *ld03、域成員計(jì)算機(jī)我是網(wǎng)管博客yb,f*c!x我是網(wǎng)管博客pm h/j!c1oxh&g/d*s0（1）將計(jì)算機(jī)加入到域我是網(wǎng)管博客1kqht%w4_l首先將客戶機(jī)tcp/ip配置中所配的dns服務(wù)器，指向dc所用的dns服務(wù)器。然后我的電腦/右鍵/屬性/網(wǎng)絡(luò)標(biāo)識/屬性/隸屬于，選擇域：輸入域名，確定。提示輸入用戶口和口令，確定后提示重啟。我是網(wǎng)管博客ckp#p*qq0?s3xaj說明：|b&_iys!n5s+kl0加入域時(shí)，如果輸入的域名為fqdn格式，形如mcse.co

23、m，必須利用dns中的srv記錄來找到dc，如果客戶機(jī)的dns指的不對，就無法加入到域。我是網(wǎng)管博客.rnr3t!tm/d +r*t加入域時(shí)，如果輸入的域名為netbios格式，如mcse，也可以利用瀏覽服務(wù)（廣播方式）直接找到dc，但它不是一個(gè)完善的服務(wù)，有時(shí)就會(huì)不好使。k o+jpj_0 這樣雖然也可把計(jì)算機(jī)加入到域，而且在等較長時(shí)間后也可以登錄到域上去，但不推薦。因?yàn)榭蛻魴C(jī)的dns指的不對，則它無法利用2000dns的動(dòng)態(tài)更新 動(dòng)能，也就是說無法在dns區(qū)域中自動(dòng)生成關(guān)于這臺(tái)計(jì)算機(jī)的a記錄和ptr記錄。那么同一域另一子網(wǎng)的2000及以上計(jì)算機(jī)就無法利用dns找到它，這本 應(yīng)是可以的。我是

24、網(wǎng)管博客6rd(rc-f-q9e再 者，管理員無法在客戶機(jī)上利用域的管理工具來遠(yuǎn)程管理域，因?yàn)檫@些管理工具必須使用dns，出錯(cuò)提示：找不到域命名信息（有時(shí)客戶機(jī)的dns client服務(wù)有問題也會(huì)出現(xiàn)上述提示，重啟服務(wù)即可）。這種情況下，要進(jìn)行遠(yuǎn)程管理，就只能利用ts（終端服務(wù)）基于ip來連了。a7i_v&lw0 當(dāng)然用戶也可以手動(dòng)配置wins或lmhosts文件，來查找dc。這主要用于95/98/nt老版本計(jì)算機(jī)跨子網(wǎng)（路由）查找dc或加入域，因?yàn)檫@些 老版本計(jì)算機(jī)無法利用dns來查找dc，瀏覽服務(wù)又是廣播方式，只能在本網(wǎng)段進(jìn)行，因?yàn)閺V播信息是無法通過路由器的，rfc1542標(biāo)準(zhǔn)的路由器，可

25、設(shè)置 成允許dhcp的廣播數(shù)據(jù)通過，僅是一個(gè)特例。需要說明的是：95/98可以使用域用戶帳號登錄到域，但并不能加入到域，在ad中也沒有計(jì)算機(jī)帳號，而 nt可以。a j.rpbh0 計(jì)算機(jī)加入域成功后，未重啟，即已在ad用戶和計(jì)算機(jī)/computer容器下生成計(jì)算機(jī)帳號了，實(shí)驗(yàn)中查看時(shí)，需要手動(dòng)刷新一下。而在dns中記錄必須 在計(jì)算機(jī)重啟后（不必登錄）或15分鐘后才能自動(dòng)注冊或更新到dns區(qū)域。但若我們平常修改一個(gè)計(jì)算機(jī)的名字或ip，要馬上更新到dns區(qū)域，倒不一定非 得重啟，可利用ipconfig /registerdns命令就行。明白以上討論可用于排錯(cuò)，不一定非得重啟登錄后才知道結(jié)果。我是網(wǎng)

26、管博客7g4mga g9o 加入到nt4域時(shí)，需要有管理特權(quán)才行；從windows 2000開始，微軟作了改進(jìn)：在windows 2000/03域中，默認(rèn)authenticated users即可在域中最多創(chuàng)建 10 個(gè)計(jì)算機(jī)帳戶。authenticated users指被驗(yàn)證的用戶組，也就是說任何經(jīng)過身份驗(yàn)證的普通域用戶都可以加最多10臺(tái)計(jì)算機(jī)到域。常見問題：在實(shí)際中用普通域帳號加計(jì)算機(jī)到域，有時(shí)會(huì) 不好使，原因是同名計(jì)算機(jī)帳號（極可能是它自己已經(jīng)失效的計(jì)算機(jī)帳號）已存在而無權(quán)覆蓋，這時(shí)就得用域管理員帳號了。我是網(wǎng)管博客nn z z4u8iib+hz;k$o0q!qi+l mz*s0（2）在

27、加入域的計(jì)算機(jī)上，用域用戶帳號登錄到域。我是網(wǎng)管博客l.?6:fhk)u p:tf說明：我是網(wǎng)管博客niclk p-ga.r+w在域中的非dc計(jì)算機(jī)上，可以選擇登錄到域或本機(jī)，這是因?yàn)樗瑫r(shí)還擁有本地用戶帳號。而在dc上只能選擇登錄到域了，因?yàn)檎麄€(gè)域都是dc的，它沒有必要再保留本地帳號了。2000是個(gè)紅叉，03干脆就沒有了。我是網(wǎng)管博客v)4w%i6n安裝ad時(shí)，會(huì)自動(dòng)刪除本地帳號，即使將來刪除ad，也無法將本地帳號復(fù)原，而是重新生成的。這一點(diǎn)一定要注意：如果本地有efs加密的文件，一定要將證書導(dǎo)出或?qū)⑽募饷芎螅僭谶@臺(tái)計(jì)算機(jī)上做ad安裝實(shí)驗(yàn)。bgk|*j0在2000及以上計(jì)算機(jī)上登錄到域的

28、過程是這樣的：域成員計(jì)算機(jī)根據(jù)本機(jī)dns配置去找dns服務(wù)器，dns根據(jù)srv記錄告訴它dc是誰，客戶機(jī)聯(lián)系dc，驗(yàn)證后登錄。jk5fhne6jd0（3）深入討論：9al!a9uuc/yfg0如果是在林中跨域登錄，是首先查詢dns服務(wù)器，問林的gc是誰。#bl-b0k ilt r u0 前面我們在步驟（1）中強(qiáng)調(diào)“加入域前，首先將客戶機(jī)tcp/ip配置中所配的dns服務(wù)器，指向dc所用的dns服務(wù)器?！逼鋵?shí)如果域中有多個(gè)dns 服務(wù)器，也可以指向其它的dns服務(wù)器，當(dāng)然這些dns服務(wù)器之間得有區(qū)域復(fù)制關(guān)系。這樣做的目的恰恰是：大中型網(wǎng)絡(luò)為了平衡dns負(fù)載。我是網(wǎng)管博客9pk&wri三、建立其它

29、域控制器我是網(wǎng)管博客2.n2x;b_tp前面我們討論了“建立第一個(gè)域中的第一臺(tái)域控制器”，分析得很細(xì)。以下相同知識點(diǎn)的內(nèi)容將不再贅述。yy#t,fd8v01、安裝附加dcv/xpr%nn f0（1）以本機(jī)管理員身份登錄，在獨(dú)立或成員服務(wù)器上，啟動(dòng)ad安裝向?qū)А?g(zfgwiy6jd|0說明：我是網(wǎng)管博客so$em&x將成為附加dc的計(jì)算機(jī)，不必非得先加入域。我是網(wǎng)管博客%qq!n*a2bdns指向已有dc所用dns服務(wù)器，以便找到已有dc。安裝結(jié)束后，一般應(yīng)該手動(dòng)在本機(jī)上再裝一個(gè)dns服務(wù)器，以實(shí)現(xiàn)dns的容錯(cuò)。我是網(wǎng)管博客c3m+q |pv:g:cu（2）選擇：現(xiàn)有域的額外域控制器vn+c

30、w4xr0（3）輸入域管理員帳號，如：administrator，password，（或mcse）。h%e61g# gqgv0常見找不到域的出錯(cuò)提示：域“”不是ad域，或用于域的ad域控制器無法聯(lián)系上。我是網(wǎng)管博客6/eh7rc:p;4s解決：確保dns指向已有dc所用dns的服務(wù)器。9zec.t7r us&-f:w0其它：ping一下，檢查物理連通性。高級用戶是否設(shè)過tcp/ip篩選器或rras篩選器。我是網(wǎng)管博客2hisl ?y（4）輸入域名，如：。,j ?l)d8?4xg6vi0（5）指定ad庫和日志文件位置1ll-:cn+k9i)?:qr

31、0（6）指定sysvol文件夾位置+na:t j?r0（7）一般選：“與windows 2000服務(wù)器之前的版本相兼容的權(quán)限”+jct5l(k$q.ey4u0（8）目錄服務(wù)恢復(fù)模式的管理員密碼我是網(wǎng)管博客 y.u)kdi h1q-（9）幾分后，安裝完成，需要重啟。g k4_nbiu0（10）手動(dòng)在本機(jī)上安裝dns服務(wù)器，以實(shí)現(xiàn)dns的容錯(cuò)。j&ing;h2e#h0 a、開始/設(shè)置/控制面板/添加刪除程序/windows組件/網(wǎng)絡(luò)服務(wù)/域名系統(tǒng)（dns）。我是網(wǎng)管博客ligq b、開始/程序/管理工具/dns.qt;di?uh0 c、正向搜索區(qū)域/右鍵/新建區(qū)域，建議選擇“ad集成區(qū)域”，區(qū)域名

32、：已有區(qū)域的名稱，如。自動(dòng)生成起始授權(quán)機(jī)構(gòu)（soa）、名稱服務(wù) 器（ns）、主機(jī)（a）三條記錄，但此時(shí)srv記錄并未被復(fù)制過來。需要等待5-15分鐘后，利用刷新或重新加載就可以看到復(fù)制過來的dns記錄了（對于 03馬上就可以看到復(fù)制過來的全部dns記錄）。我是網(wǎng)管博客s#ki ggsc5nx-wc*a6px0深入討論：我是網(wǎng)管博客v&j6n3w9eqv0l 03和2000比，功能更強(qiáng)大了。但在域和ad的體系結(jié)構(gòu)上并沒有什么大的變化，而且ms的產(chǎn)品十分講究向前兼容。在一個(gè)域中可以既有2000dc，又 有03dc；也可以既有2000dns，又有03dns，并且dc間的ad復(fù)制，dn

33、s間的區(qū)域傳輸，都好像沒有版本差異一樣。+?p hrc0在我們這里要說的就是：2000可作為03域的附加dc，03也可以作為2000域的附加dc，但第二種情況需要在2000dc（sp2及更高）上運(yùn)行03光盤/i386/adprep命令來做準(zhǔn)備。:z3g;w7|8v3y0do0具體第一步：adprep /forestprep進(jìn)行林準(zhǔn)備，第二步adprep /domainprep進(jìn)行域準(zhǔn)備。我是網(wǎng)管博客r/h i+ns 2、建立子域|r.mnu0（1）以本機(jī)管理員身份登錄，在獨(dú)立或成員服務(wù)器上，啟動(dòng)ad安裝向?qū)?。l4kojq-l0說明：vz2pcc0dns指向林根域已有dc所用dns服務(wù)器，以便找

34、到已有dc。我是網(wǎng)管博客w9y)b9t#e 保證域命名主控必須有效，它默認(rèn)在林根域的第一臺(tái)dc上，且具有林唯一性。利用管理工具“ad域和信任關(guān)系”可轉(zhuǎn)移域命名主控。jb4_:1nv8k0（2）選擇：新域的域控制器，下一步，在現(xiàn)有的樹中創(chuàng)建一個(gè)新的子域我是網(wǎng)管博客2c0m&bss -e（3）輸入林管理員帳號，如：administrator，password，（或mcse）。#i:vx*r_km0常見出錯(cuò)提示：域“”不是ad域，或用于域的ad域控制器無法聯(lián)系上。解決方法見前。我是網(wǎng)管博客icx j#:an（4）輸入父域名，如：；輸入子域名，如sub，

35、注意不要輸成。 d | rj0（5）指定ad庫和日志文件位置ce1saqk0（6）指定sysvol文件夾位置我是網(wǎng)管博客x-xhc（7）一般選：“與windows 2000服務(wù)器之前的版本相兼容的權(quán)限”我是網(wǎng)管博客jtfo(kq5c（8）目錄服務(wù)恢復(fù)模式的管理員密碼我是網(wǎng)管博客*w)r+v ajp/n（9）幾分后，安裝完成，需要重啟。我是網(wǎng)管博客d)?!x:v(nsa如果域命名主控失效將會(huì)出現(xiàn)如下出錯(cuò)提示：“由于以下原因，操作失?。篴d無法與域命名主機(jī)xxx聯(lián)系。指定的服務(wù)器無法運(yùn)行指定的操作。”我是網(wǎng)管博客b2i#s-h.mvd解決：保證域命名主控聯(lián)機(jī)，如果確信其已無

36、法正常工作，可強(qiáng)制傳給林內(nèi)的任意一個(gè)dc，子域的dc也可以。原來的主機(jī)將必須被重做系統(tǒng)后，才可連入網(wǎng)絡(luò)，以保證域命名主控的林唯一性。我是網(wǎng)管博客,bl)0for深入討論：j#ugj0關(guān)于子域（子domain）所對應(yīng)的dns子區(qū)域（子zone）是否委派的問題。（以下簡稱：子區(qū)域）z$e/s x2w0如果網(wǎng)絡(luò)規(guī)模不是很大，雖然實(shí)現(xiàn)了子域，但總部、二級單位的網(wǎng)管可能就是同一個(gè)人。這種情況下就不需要委派了?？梢园褏^(qū)域、子區(qū)域都放在同一個(gè)dns服務(wù)器上，由同一名管理員來管理就可以了。默認(rèn)值即如此，不需要手動(dòng)設(shè)置。我是網(wǎng)管博客c1_ f%i如 果網(wǎng)絡(luò)規(guī)模較大，且二級單位需要能夠控制自己的dns子區(qū)域，比如

37、自己增加www1,www2這樣的主機(jī)記錄；在自己的子區(qū)域下再建子區(qū)域。這種情況 下就需要委派子區(qū)域了，由二級單位的dns管理員自己來管理。否則二級單位涉及dns的每一個(gè)小變化，都需要找總部dns管理員批準(zhǔn)。$z3wgc4t+0子區(qū)域委派，操作步驟如下：（最好按如下步驟進(jìn)行，不容易出問題）mynph0a、dns指向林根域（如：）已有dc所用dns服務(wù)器我是網(wǎng)管博客le:ut2c#lnb、利用ad安裝向?qū)?，安裝子域（如：），重啟機(jī)。我是網(wǎng)管博客9h$wojolfg? c、在林根dns控制臺(tái)上查看，確保已在生成子文件夾sub，且sub下有4個(gè)以

38、下劃線開頭的，保存有srv記錄的子文件夾 （_msdcs、_sites、_tcp、_udp）已生成；sub下還應(yīng)有如下2條a記錄：（第二條記錄如果未生成，手動(dòng)補(bǔ)上也可以。）g(i g/or5nx;u*rv0|8ag4n4e0（與父文件夾相同）主機(jī) ip#rum)?+m,h(;h0subdc 主機(jī) ip d、在父域（如：）右鍵/新建委派/下一步/子區(qū)域名：sub。（不必?fù)?dān)心重名，因?yàn)槲赏瓿珊?，灰顏色的委派的sub夾將取代黃顏色 的sub夾，但注意操作過程中會(huì)共存一段時(shí)間）接下來，指定負(fù)責(zé)子區(qū)域的名稱服務(wù)器：sub及它的ip，以生成粘合記錄， 下一步

39、，完成。我是網(wǎng)管博客i%p;l r!en-e、在子域dc上安裝dns，操作：開始/設(shè)置/控制面板/添加刪除程序/windows組件/網(wǎng)絡(luò)服務(wù)/域名系統(tǒng)（dns）。我是網(wǎng)管博客j*gaq4wu1 f、開始/程序/管理工具/dnsn1lr0 g、正向搜索區(qū)域/右鍵/新建區(qū)域，建議選擇“ad集成區(qū)域”，區(qū)域名：。自動(dòng)生成soa、ns、a、a四條記錄（后兩條a記錄，如c步中述），此時(shí)srv記錄也被復(fù)制過來了。d+yyajq83jtp0h、在dns服務(wù)器的計(jì)算機(jī)名上/右鍵/屬性/轉(zhuǎn)發(fā)器：指向上一級或林根dns的ip。t7u6f qib&x0i、將子域dc的dns指向自己，以后加入

40、子域的計(jì)算機(jī)也使用子域的dns，以實(shí)現(xiàn)dns分擔(dān)負(fù)荷。（當(dāng)然，子域中的計(jì)算機(jī)可以使用林中任一臺(tái)dns，也都好使）&an-uzl!s%j d m0注意：+n4t;v0a llz0由上述過程，大家可以了解到，做為被委派的dns子區(qū)域的二級單位dns管理員，是不能隨意更改自己的dns服務(wù)器的。比如修改dns服務(wù)器的ip，需要通知上級管理員，及時(shí)更新委派子區(qū)域的ns記錄，否則林中其它用戶就會(huì)找不到你這個(gè)子域的計(jì)算機(jī)。:s$i$c;m%w6cvk,03、新域新樹加入林我是網(wǎng)管博客2u./i%ab此種情況平常較少用到，因?yàn)橐话闫髽I(yè)只用一套命名體系，很少采用兩上或兩個(gè)以上的樹。微軟舉的例子：一個(gè)大企業(yè)兼并另

41、一企業(yè)，并且想保留它的命名體系，技術(shù)上對應(yīng)實(shí)現(xiàn)就是目錄樹和dns名稱空間。k3meq*x;q_z0說明：此種應(yīng)該預(yù)先建好dns正向搜索區(qū)，因?yàn)樗荒芟窠ㄗ佑蚰菢樱胊d向?qū)ё詣?dòng)在已有dns區(qū)域中創(chuàng)建子區(qū)域。下面以前文中的，，圖示為例進(jìn)行說明。q#tvjh9o,zq)p0（1）在林根dns上，與并列，創(chuàng)建區(qū)域，最好選ad集成區(qū)域。我是網(wǎng)管博客;x1w;zlwxc6_+g t2u（2）以本機(jī)管理員身份登錄，在獨(dú)立或成員服務(wù)器上，啟動(dòng)ad安裝向?qū)АＮ沂蔷W(wǎng)管博客i/n t?/rb說明：我是網(wǎng)管博客r htqmv%ldns

42、指向林根域已有dc所用dns服務(wù)器，并保證域命名主控必須有效。我是網(wǎng)管博客#wk%m.o0bl（3）選擇：新域新樹加入林c4|$b9ct6v9?%za p0（4）輸入林管理員帳號，如：administrator，password，（或mcse）。/7zl ?1yy(k0說明：i68d(60輸入的欲登錄的林根域名，也就告訴了系統(tǒng)要加入哪個(gè)林。!?-o3te-fu4?0（5）輸入新域的dns全名，如：；域netbios名：my。:gw2hr)a.v&q6q0（6）指定ad庫和日志文件位置我是網(wǎng)管博客b8ty0a o8s$h（7）指定sysvol文件夾位置我是網(wǎng)管博客nn

43、(fx zx0ik（8）一般選：“與windows 2000服務(wù)器之前的版本相兼容的權(quán)限”w,m9s6w0（9）目錄服務(wù)恢復(fù)模式的管理員密碼q r%s-pu0（10）幾分后，安裝完成，需要重啟。ey-m#s8h(u1qe|k6q0說明：我是網(wǎng)管博客wg|!p3e6b/o 用預(yù)建dns這種方式加入林，使用的是林根上已有dns服務(wù)器，所以此計(jì)算機(jī)在林根dns的區(qū)域下，僅生成一條主機(jī)（a）記錄（如需要可手 動(dòng)添加：treedc 主機(jī) ip），soa和ns記錄都是林根dns服務(wù)器，但在區(qū)域會(huì)有相應(yīng)的srv記錄來標(biāo)識它是這個(gè)樹根域的dc。這種并沒有實(shí)現(xiàn)dns的分擔(dān)負(fù) 荷，如想實(shí)現(xiàn)

44、，利用輔助區(qū)域來做。我是網(wǎng)管博客d5|*g?*b2x#d實(shí)驗(yàn)中發(fā)現(xiàn)：萬不可像全新安裝那樣，在安裝過程中，選擇在本地安裝一個(gè)dns，這樣將會(huì)這把個(gè)樹根域安裝成一個(gè)獨(dú)立的林根域。原因嗎？去問微軟吧。我是網(wǎng)管博客da%r;tul四、卸載ad我是網(wǎng)管博客ie#j.ftn|h.z:y 在實(shí)際工作中有時(shí)我們需要改變服務(wù)器角色，或者將實(shí)驗(yàn)中安裝的dc回復(fù)到普通成員/獨(dú)立服務(wù)器身份，這就要進(jìn)行ad的卸載。#w7_f 3q01、卸載時(shí)會(huì)提示給新的本地管理員設(shè)置密碼我是網(wǎng)管博客w8&4wr mpt2、附加dc卸載后，仍在域中。我是網(wǎng)管博客o*n:u( 3、如果ad不能卸載，應(yīng)從以下幾方面考慮：我是網(wǎng)管博客jb*b

45、%b a7oe（1）權(quán)限我是網(wǎng)管博客0q; &g權(quán)限要求與安裝ad類似，若一個(gè)林中只有一個(gè)域，那么你要卸載的就是林根域，需要林管理員權(quán)限；卸載附加dc需要該域的域管理員權(quán)限；卸載子域或樹，涉及到林結(jié)構(gòu)的改變，也需要林管理員權(quán)限。7rm b&hf&n2t&dhp0（2）dns$nmxfwt0 一般應(yīng)保證與安裝時(shí)所用dns一致。如果做了dns規(guī)劃，必須保證1中權(quán)限所要求的管理員身份能找到相應(yīng)dc驗(yàn)證。w:j:z6vi;hj0（3）域命名主控(m |)nde/g9:ez0y0 卸載時(shí)只要涉及到林結(jié)構(gòu)的改變，就需要保證域命名主控有效；卸載附加dc時(shí)不要求域命名主控有效。我是網(wǎng)管博客 gdl&qs5v但要注意的是：卸載時(shí)的出錯(cuò)信息與安裝時(shí)的“ad無法與域命名主機(jī)xxx聯(lián)系”提示不同，具體是：由于以下原因，操作失敗。以提供的憑據(jù)綁定到服務(wù)器xxx失敗?！皉pc服務(wù)器不可用”。我是網(wǎng)管博客k20rf3（4）卸載的順序#lcbs-|)yx0與安裝順序相反，應(yīng)該先逐級卸載下面的子域，最后卸載樹根域、林根域。否則將導(dǎo)致子域無法卸載，而存在的子域還有問題。a.pg3i f$d% t0因?yàn)闃O有可能此時(shí)架構(gòu)和域命名主控及gc未轉(zhuǎn)移，林管理員組和架構(gòu)管理員組（schema admins）已經(jīng)隨林根域的刪除而沒有了。為什么這么說呢？因