域樹和子域的建立(共22頁)

1、Microsoft 域樹和子域的建立 域樹和子域的建立操作系統(tǒng)：Windows Server 2008 R2完成日期：2011年11月4日最后修改：2011年11月4日版本：V1.0文中已盡量詳細(xì)化說明，但部分步驟不保證其完整性，見諒。 目錄 TOC o 1-3 h z u HYPERLINK l _Toc308180993 部署概述 PAGEREF _Toc308180993 h 2 HYPERLINK l _Toc308180994 概念 PAGEREF _Toc308180994 h 2 HYPERLINK l _Toc308180995 基本概念 PAGEREF _Toc3081809

2、95 h 2 HYPERLINK l _Toc308180996 網(wǎng)絡(luò)拓?fù)?PAGEREF _Toc308180996 h 3 HYPERLINK l _Toc308180997 部署前準(zhǔn)備 PAGEREF _Toc308180997 h 4 HYPERLINK l _Toc308180998 部署階段 PAGEREF _Toc308180998 h 5 HYPERLINK l _Toc308180999 域樹內(nèi)子域部署 PAGEREF _Toc308180999 h 5 HYPERLINK l _Toc308181000 構(gòu)建林 PAGEREF _Toc308181000 h 10 HYPE

3、RLINK l _Toc308181001 修改記錄 PAGEREF _Toc308181001 h 19部署(b sh)概述概念(ginin)基本概念A(yù)ctive Directory（AD）：活動(hu dng)目錄，用于存儲用戶帳戶、計(jì)算機(jī)帳戶、打印機(jī)與共享文件夾等對象。名稱空間：它是一塊界定好的區(qū)域，在此區(qū)域內(nèi)，可以利用某個名稱來查找與這個名稱有關(guān)的信息。對象：用于描述AD中的資源。屬性：用于描述對象的特征，一個對象就是一些屬性集合。容器：與對象相似，同樣為一些屬性的集合，但容器可以包含其他的對象，也可以包含其他的容器。組織單位：它為一個特殊的容器，其內(nèi)除了包含其他對象與組織單位之外，還

4、有組策略的功能。域樹：可以架構(gòu)包含數(shù)個域的網(wǎng)絡(luò)，同時(shí)具有分層登記的域環(huán)境。信任：通常指不同域間的信任關(guān)系，兩個與之間必須創(chuàng)建信任關(guān)系，才可以訪問對方與內(nèi)的資源。林：由一個或數(shù)個域樹組成，每個域樹都有自己唯一的名稱空間。架構(gòu)：用于定義對象的類型和屬性數(shù)據(jù)。Domain Controller（DC）：域控制器，用于存儲AD服務(wù)的目錄數(shù)據(jù)。一個域內(nèi)可以有多臺域控制器，每一臺域控制器的地位幾乎平等。成員服務(wù)器：服務(wù)器級別的計(jì)算機(jī)加入域后被稱為成員服務(wù)器，成員服務(wù)器內(nèi)沒有AD數(shù)據(jù)庫，它們也不負(fù)責(zé)審核AD的用戶名與密碼。其中的服務(wù)器級別指安裝了服務(wù)器操作系統(tǒng)的計(jì)算機(jī)。獨(dú)立服務(wù)器：具有服務(wù)器級別的計(jì)算機(jī)沒有

5、加入域則被稱為獨(dú)立服務(wù)器或工作組服務(wù)器。全局編錄(binl)服務(wù)器：存儲林內(nèi)所有AD數(shù)據(jù)庫內(nèi)的每一個對象(duxing)的部分屬性，不是全部屬性，這些屬性是常用于搜索的屬性。架構(gòu)目錄分區(qū)：存儲(cn ch)整個林中所有兌現(xiàn)與屬性的定義數(shù)據(jù)，同時(shí)存儲如何創(chuàng)建新對象與屬性的規(guī)則。整個林內(nèi)所有域共享一份相同的架構(gòu)目錄分區(qū)，它會被復(fù)制到林中所有域內(nèi)的所有域控制器。配置目錄分區(qū)：存儲整個AD的結(jié)構(gòu)。整個林內(nèi)所有域共享一份相同的架構(gòu)目錄分區(qū)，它會被復(fù)制到林中所有域內(nèi)的所有域控制器。域目錄分區(qū)：每一個域各自擁有一個唯一的域目錄分區(qū)，其內(nèi)存儲與該域有關(guān)的對象，此分區(qū)只會被復(fù)制到該域的所有域控制器。應(yīng)用程序目錄

6、分區(qū)：由應(yīng)用程序創(chuàng)建，內(nèi)部存儲與該應(yīng)用程序相關(guān)的數(shù)據(jù)。網(wǎng)絡(luò)拓?fù)鋵?shí)驗(yàn)環(huán)境中一共有三臺服務(wù)器，其中包含兩個域樹和一個林，如圖（1-1）。圖（1-1）在上面的拓?fù)?tu p)中可以看出拓?fù)渲邪粋€林，林中包含了H3C域樹和H2C兩個(lin )域樹，在H3C域樹中包含(bohn)一個H3C根域和一個H3C子域，根域的FQDN為V，子域的FQDN為TDC2.。在H2C域樹中包含一個H2C根域，根域的FQDN為TDC1.。在實(shí)驗(yàn)中H3C根域，即V已經(jīng)創(chuàng)建，實(shí)驗(yàn)中主要在于了解如何創(chuàng)建H3C子域TDC2.和如何創(chuàng)建H2C根域TDC1.。部署前準(zhǔn)備網(wǎng)絡(luò)環(huán)境中需要擁有至少三臺計(jì)算機(jī)，并安裝Windows Se

7、rver版操作系統(tǒng)。在其中一臺計(jì)算機(jī)上安裝并配置AD域服務(wù)，此計(jì)算機(jī)用來做拓?fù)鋱D中H3C的根域。為計(jì)算機(jī)配置合理的IP地址，使其能互相通訊。將其與兩臺計(jì)算機(jī)的首選DNS服務(wù)器地址指向H3C根域。在H3C根域上配置測試域帳戶，以便驗(yàn)證子域和林是否成功創(chuàng)建。部署(b sh)階段域樹內(nèi)子域部署(b sh)登錄(dn l)服務(wù)器TDC2，然后進(jìn)入“服務(wù)器角色”管理中添加“Active Directory域服務(wù)”，安裝過程不做詳細(xì)說明。安裝完成后執(zhí)行“運(yùn)行Active Driectory域服務(wù)安裝向?qū)А保笙到y(tǒng)彈出“AD服務(wù)安裝向?qū)А苯缑?，在其中勾選“使用高級模式安裝”并“下一步”。如圖（3-1）。圖

8、(3-1)之后出現(xiàn)些信息，不必理會，直接“下一步”繼續(xù)配置操作。出現(xiàn)如圖（3-2）所示界面是請注意選擇。應(yīng)選擇“現(xiàn)有林”之后是“在現(xiàn)有林中新建域”。圖（3-2）之后系統(tǒng)要求輸入，要加入域的域名以及加入這個域時(shí)需要(xyo)提供的合法憑證，如圖（3-3）。圖（3-3）圖（3-3）界面(jimin)下一步后，系統(tǒng)要求輸入父域的FQDN，同時(shí)要求(yoqi)輸入子域的單標(biāo)簽DNS名稱，輸入完成(wn chng)后“下一步”。如圖（3-4）。圖（3-4）繼續(xù)配置過程，系統(tǒng)會提示輸入NetBIOS以便為不支持DNS的計(jì)算機(jī)提供服務(wù)，不必理會，保持默認(rèn)直接“下一步”即可。如圖（3-5）。圖（3-5）然后系

9、統(tǒng)要求選擇站點(diǎn)名稱，根據(jù)自己網(wǎng)絡(luò)環(huán)境，選擇相應(yīng)的站點(diǎn)名稱后，直接“下一步”繼續(xù)配置。如圖（3-6）。圖（3-6）然后為系統(tǒng)配置其他選項(xiàng)，一般默認(rèn)即可，除非(chfi)有特殊需要，可以自行更改其他選項(xiàng)。系統(tǒng)默認(rèn)只安裝DNS服務(wù)器。如圖（3-7）。圖（3-7）圖（3-7）界面“下一步”后系統(tǒng)要求選擇“源域控制器”，一般保持默認(rèn)，即“讓向?qū)нx擇一個(y )合適的域控制器”，當(dāng)然你也可以自己手動選擇(xunz)源域控制器。如圖（3-8）。圖（3-8）之后系統(tǒng)要求(yoqi)指定AD數(shù)據(jù)庫的保存位置以及(yj)日志文件和SYSVOL文件(wnjin)的保存位置，此處最好將AD數(shù)據(jù)庫與后兩者安裝于不同的分

10、區(qū)中，如圖（3-9）。圖（3-9）選擇好AD數(shù)據(jù)庫存儲位置后，系統(tǒng)將要求輸入“目錄還原模式”的密碼，根據(jù)自己的要求輸入密碼，這個密碼不可為空。如圖（3-10）。圖（3-10）繼續(xù)配置，系統(tǒng)(xtng)將給出摘要信息，確認(rèn)信息無誤后“下一步”，系統(tǒng)開始自動配置相關(guān)信息直至出現(xiàn)如圖（3-11）。重啟計(jì)算機(jī)則完成(wn chng)子域的添加。圖（3-11）構(gòu)建(u jin)林之前已經(jīng)(y jing)完成了H3C.的子域，那么(n me)現(xiàn)在將開始新建這個新的域樹。登錄到TDC1服務(wù)器上，在“服務(wù)器角色管理”中添加“Active Directory域服務(wù)”，安裝完成后啟動“Active Driecto

11、ry域服務(wù)安裝向?qū)А保紫仁菤g迎界面，其中選擇“使用高級模式安裝”，然后選擇部署配置，其中應(yīng)選擇“現(xiàn)有林”，再選擇“在現(xiàn)有林中新建域”，并勾選“新建域樹而不是新子域”。如圖（3-12）。圖（3-12）繼續(xù)配置操作，此時(shí)需要填入林中包含的任意一個域樹的域名，本實(shí)驗(yàn)環(huán)境輸入的是“”，同時(shí)需要填入相應(yīng)域樹的合法憑證。如圖（3-13）。圖（3-13）之后(zhhu)系統(tǒng)要求填入新域樹的FQDN，根據(jù)自己的需要(xyo)填寫即可。如圖（3-14）。圖（3-14）完成(wn chng)新域樹的FQDN填寫后，下一步后，系統(tǒng)要求輸入NetBIOS，保持默認(rèn)直接下一步繼續(xù)配置，之后將出現(xiàn)站點(diǎn)選擇，根據(jù)自己的網(wǎng)

12、絡(luò)環(huán)境選擇相應(yīng)站點(diǎn)“下一步”。如圖（3-15）。圖（3-15）站點(diǎn)選擇后指定其他選項(xiàng)，一般情況保持(boch)默認(rèn)即可，默認(rèn)(mrn)只安裝“DNS服務(wù)器”，如圖（3-16）。圖（3-16）圖（3-16）下一步后會有警告提示，選擇(xunz)“是”即可。因?yàn)樾陆ǖ挠驑涞倪@臺服務(wù)器是這個新域樹的根域，不需要通過父域來分配。所以直接選擇是，繼續(xù)配置過程。繼續(xù)配置操作，系統(tǒng)提示選擇(xunz)“源域控制器”，一般保持默認(rèn)，除非特殊情況，則依據(jù)自己(zj)的網(wǎng)絡(luò)環(huán)境選擇“源域控制器”。如圖（3-17）。圖（3-17）同樣(tngyng)，又是選擇AD數(shù)據(jù)庫及日志等文件的保存位置，同子域建立的方式，此處

13、不再贅述。如圖（3-18）。圖（3-18）之后又是輸入“目錄還原模式”密碼，輸入后直接下一步，然后將出現(xiàn)摘要(zhiyo)信息，核對信息正確后“下一步”，系統(tǒng)將自行配置，直至完成，然后(rnhu)重啟計(jì)算機(jī)。重啟后進(jìn)入“DNS管理器”展開服務(wù)器名下的“正向查找區(qū)域”，選擇當(dāng)前(dngqin)域樹，郵件查看屬性。如圖（3-19）。圖（3-19）在“屬性”頁面，選擇(xunz)“區(qū)域傳送”選項(xiàng)卡，勾選“允許區(qū)域(qy)傳送”，再選擇“只允許到下列(xili)服務(wù)器”，然后在其中添加域樹的根域。如圖（3-20）。圖（3-20）然后(rnhu)登錄域樹的根域，登錄后同樣(tngyng)打開“DNS管理

14、器”，展開服務(wù)器名，在“正向查找(ch zho)區(qū)域”上右鍵選擇“新建區(qū)域”。如圖（3-21）。圖（3-21）在“新建區(qū)域”界面(jimin)中選擇“輔助區(qū)域”然后下一步，如圖（3-22）。圖（3-22）圖（3-22）界面(jimin)中，下一步后彈出如圖（3-23）的界面，其中要求輸入輔助區(qū)域的域名，也就是我們(w men)當(dāng)前林環(huán)境中新域樹的域名。圖（3-23）繼續(xù)配置過程是，系統(tǒng)(xtng)要求輸入主DNS服務(wù)器的IP地址(dzh)或者是FQDN，這個(zh ge)主DNS實(shí)際就是我們創(chuàng)建的這個輔助區(qū)域的DNS服務(wù)器IP地址或FQDN。如圖（3-24）。圖（3-24）填入主(r zh)DNS服務(wù)器IP地址后，下一步(y b)，進(jìn)入完成界面，單擊完成即可。如圖（3-25）。圖（3-25）完成(wn chng)后應(yīng)在DNS管理器中的“正向查找區(qū)