建立單域雙DC之步驟

1、組建單域雙DC步驟目的：建立一個(gè)單域雙DC的域環(huán)境，域名為：。域中有多臺(tái)DC的優(yōu)點(diǎn)：提高用戶登錄效率。因?yàn)槎嗯_(tái)域控制器可以同時(shí)分擔(dān)審核用戶名與密碼的工作，因此可以加快用戶登錄的速度。提供容錯(cuò)的功能。即使其中一臺(tái)域控制器出現(xiàn)故障，仍然可以由其他域控制器來(lái)提供服務(wù)，讓用戶可以正常登錄。實(shí)驗(yàn)環(huán)境：本實(shí)驗(yàn)使用Vmware Workstation v6.0，全新正常安裝兩個(gè)windows server 2003 sp2 enterprise chs虛擬機(jī)，各有一個(gè)網(wǎng)卡，計(jì)算機(jī)名分別為DC1，DC2。新建一 Windows XP SP3 cht虛擬機(jī)，計(jì)算機(jī)名為Client1。DC1的IP設(shè)置情況是：IP

2、: 子網(wǎng)掩碼：網(wǎng)關(guān)：無(wú)（可根據(jù)實(shí)際情況填寫）首選DNS服務(wù)器：DC2的IP設(shè)置情況是：IP: 子網(wǎng)掩碼：網(wǎng)關(guān)：無(wú)（可根據(jù)實(shí)際情況填寫）首選DNS服務(wù)器： （在DC2提升為第二臺(tái) DC前，需將 DNS指向第一臺(tái) DC的IP）Client1的IP設(shè)置情況待建域完成后再設(shè)置在DC1， DC2上都安裝上 Windows Support Tools, Windows Resource Kit Tools, GPMC等工具，方便以后管理和維護(hù)域控制器。Windows

3、Support Tools和Windows Resource Kit Tools 是微軟工程師及微軟技術(shù)愛(ài)好者開(kāi)發(fā)的工具集，二者都包括很多 強(qiáng)大的命令行工具、圖形工具，及腳本等，女口 support tools 工具集中的 dcdiag.exe, dsastat.exe,getsid.exe，,netdiag.exe, ntfrsutl.exe，repadmin.exe，replmon.exe 等常用工具， Resource Kit Tools 工具集中有 gpotool.exe， lockoutstatus.exe， robocopy.exe 等常用工 具，對(duì)于我們管理、維護(hù)及對(duì)域環(huán)境的排錯(cuò)

4、有很大的幫助，值得好好研究。Windows Support Tools 在系統(tǒng)光盤 SUPPORT'TOOLS 中，雙擊 SUPTOOLS.MSI 安裝即可。Windows Resource Kit Tools 要到微軟網(wǎng)站上下載： nloads/details.aspx?FamilylD=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLa ng=e n下載安裝即可。GPMC是Group Policy Ma nageme nt Con sole，即是組策略管理控制臺(tái)，此程序功能相當(dāng)強(qiáng)大，對(duì)于我們管理、部署及對(duì) 組策略的排錯(cuò)非常方便高效，

5、推薦安裝。此程序?yàn)槊赓M(fèi)軟件，要到微軟網(wǎng)站上下載： nloads/details.aspx?FamilylD=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLa ng=zh-c n 稍后文中會(huì)介紹使用方法。建立篇1首先將DC1提升為第一臺(tái) DC （即主域控制器）在DC1中，點(diǎn)擊“開(kāi)始”-> “執(zhí)行”，輸入“ dcpromd'命令:3#點(diǎn)擊"確定”，出現(xiàn)#點(diǎn)擊“下一步”，出現(xiàn)#請(qǐng)行 VfLDdowi Server 2006 的或 勞蠱用更安全的方式與域控制盟建用的玄全去萱要求客戶諒和耳燉服矗作系聊菱容性Windows Sti

6、ver 2003中改進(jìn)酌安全設(shè)瓷疊至響前版本的Iflindonn#些回扳衣鬥WindmvE ®括Vindovs 95和HI 4.0 SF3或更早版 醞嚼疇鉛巔竝蠶：蹄亦Z咗DS '轎有關(guān)更實(shí)厲息請(qǐng)繪聞董客性幫旳<上一勢(shì)創(chuàng)歸貶竝桑1點(diǎn)擊“下一步”出現(xiàn)#Active Dir«ctor7 安裝向?qū)控制器類型潔扌錠想要此服務(wù)器擔(dān)任的角色0建丈新域2d燃想要此服務(wù)的域控制器還是現(xiàn)有域的頷外域控制器”I檸 肆躅域瀚器“現(xiàn)有域卜域控制器新域樹戒新林.出艮務(wù)器將成為新理中的第一 建立額外域控制器，就是輛助域控制器4主用這平選項(xiàng)來(lái)處理將會(huì)刪除所有在這亍巌務(wù)器上的本地怙

7、6; 所有密鑰將被刪除，應(yīng)該在繼續(xù)之前將密鑰導(dǎo)岀.熬翩敬嚴(yán)或曲'55上一歩|壬一歩？#，點(diǎn)擊“下一步”因?yàn)槲覀兪且⑿掠?，所以選擇第一項(xiàng)（稍后建第二臺(tái)DC （額外域控制器）時(shí)，要選第二項(xiàng)）#選擇第一項(xiàng)，點(diǎn)擊“下一步”輸入域名： con toso.co m,點(diǎn)擊“下一步”5Netbios域名默認(rèn)即可，此處默認(rèn)是：contoso。點(diǎn)擊"下一步”此處設(shè)置的是 AD （活動(dòng)目錄）數(shù)據(jù)庫(kù)和日志存放的位置，默認(rèn)即可。點(diǎn)擊“下一步”Sysvol文件夾的存放位置默認(rèn)即可，點(diǎn)擊“下一步”78#DNS服務(wù)DC1此前活動(dòng)目錄是和 DNS服務(wù)緊密聯(lián)系在一起的，DNS服務(wù)可以離開(kāi)活動(dòng)目錄的支持，但活

8、動(dòng)目錄一定不能離開(kāi)的支持（活動(dòng)目錄與 DNS服務(wù)可以不在同一臺(tái)電腦上，但安裝活動(dòng)目錄必須要連接到一臺(tái)DNS服務(wù)器上）。因?yàn)槟J(rèn)第二項(xiàng)即可，點(diǎn)擊“下一步”并沒(méi)有安裝DNS服務(wù)，所以此時(shí)要選擇安裝上DNS服務(wù)。選擇默認(rèn)的第二項(xiàng)，點(diǎn)擊“下一步”在上圖中設(shè)置目錄服務(wù)還原模式的系統(tǒng)管理員密碼，“目錄服務(wù)還原模式”是一個(gè)安全模式( safe mode)，進(jìn)入該模式可以修復(fù)Acitve Directory數(shù)據(jù)庫(kù)，我們可以在系統(tǒng)開(kāi)機(jī)啟動(dòng)時(shí)按F8鍵進(jìn)入該模式，不過(guò)必須輸入上面設(shè)置的密碼。此環(huán)境下目錄服務(wù)不在運(yùn)行，可以進(jìn)行已刪除的域賬號(hào)恢復(fù)，AD數(shù)據(jù)庫(kù)及日志存放位置的轉(zhuǎn)移等等操作?！澳夸浄?wù)還原模式”的系統(tǒng)管理員

9、與域的系統(tǒng)管理員是不同的賬號(hào)，其密碼也可以設(shè)為不同的密碼，請(qǐng)不要混淆。此處設(shè)置的密碼如果忘了，也可以 通過(guò)在正常模式下的命令提示符窗口中，使用ntdsutil命令進(jìn)行重設(shè)(當(dāng)然，最好是不要忘了！)。此處設(shè)置好密碼后，點(diǎn)擊“下一步”點(diǎn)擊“下一步”，開(kāi)始安裝活動(dòng)目錄安裝期間要求插入 windows server 2003系統(tǒng)光盤，等待幾分鐘時(shí)間，安裝完成后，重啟計(jì)算機(jī)。重啟完成后，輸入域 管理員密碼，登錄到“ contoso ”(此時(shí)只能登錄到 contoso域，無(wú)其它選項(xiàng))。進(jìn)入桌面后，檢查DC是否安裝成功：1) .檢查DC1的IP設(shè)置的首選DNS服務(wù)器是否是指向自身，確定是：192.16821

10、。2) .檢查“開(kāi)始”-> “程序”-> “管理工具”里，確保有以下幾項(xiàng)：曲Dirsetory用戶和計(jì)直機(jī) Directory堀和信任關(guān)系 嚅如tiv* Dirtetory站點(diǎn)和服務(wù)3) .檢查 C:windowssysvolsysvol 和 C:windowssysvolsysvol'scripts文件夾是否共享成功F-H |_Jj srchasiEit二I g-yst amE 亡| syaIH lZj systol E lj_j dtimknIrii ctafineu*h.e.cento5a. com-H LJFoLacisIl .( scripts ICJTAPI4)

11、 .檢查DNS安裝是否成功。打開(kāi)DNS控制臺(tái)，檢查 DNS的"_ ”區(qū)域和" ”的屬性是否如下:“ ”區(qū)域?qū)傩裕?1#DC 后面是否有*號(hào)。注意：點(diǎn)開(kāi)"_”屬性的"名稱服務(wù)器”窗口，檢測(cè)#如果有*號(hào)，則說(shuō)明該 DNS服務(wù)器可能沒(méi)有存儲(chǔ)真正的記錄，要修復(fù)此問(wèn)題，可將此項(xiàng)刪除，重建。在上圖中，選定"DC "項(xiàng)，點(diǎn)擊"刪除"，將此項(xiàng)刪除，然后點(diǎn)擊"添加"：如上圖操作，確定后完成新建，如下圖:點(diǎn)擊上圖中“確定”點(diǎn)擊“是”，完成操作?！?con ”區(qū)域?qū)傩?1213檢查DNS各項(xiàng)記錄是否完整:S + 圍固

12、鸞回凰輕回|包1|禪呂oss£- KI*1 lul爭(zhēng)件查看貉B LJ正向査找區(qū)域.sdcs. tomt©冨。 de domains gc pdiccontoso- c>ob 10 個(gè)記錄名稱冋* _l-_|A Ui CJ冋tottt <i3d._R>sd?sS O jiZS -LJ _tcp LJ _adpffi 'C Diiwn &inDuZ one s 回 口 FrtitDMZoMS * -J反向査駆越IjTjJ _msdcs _| _sitesI_tcpQj_udpC_J Daaai nDn&Z om s CjFcmg 仙期$

13、J與父文件來(lái)相同） a與父文件夾相同） g與爻空件夾相同）=del起始技叔機(jī)構(gòu)GW 名稱服勞器弧） 主機(jī) 王機(jī)的SV, del contDSO. c4m., del. ewit mo. com192. 16S.2 1192. 16S.2. 1#_tep2叩記錄塔稱|賓型1耳Zb"此tsav）服老竝遐CSKV）0 100 86 Q1OO3B9 d<i. eonUie co*.El" 3 KI r y爭(zhēng)件查看器 -_l正向查攏區(qū)鎖S-tey msdes. contosa- eoaB- Cj Ac 白 O _lit*a 冋 l_la gfil_J _lcp51

14、一I domainsffl -O fit S"CJ pd©:J_注意：以上各個(gè)分支都點(diǎn)開(kāi)看一下，如果DNS各項(xiàng)內(nèi)容不完整，可以在命令提示符下輸入：nItest /dsregdns，或者重啟netlogon服務(wù)進(jìn)行修復(fù)。檢查并確保安裝成功后，因我們新建域中的DC只有windows server 2003操作系統(tǒng)，為了發(fā)揮 widnows server 2003域的最大功能，須將“域功能級(jí)別”和“林功能級(jí)別”都提升到Windows server 2003模式，方法如下：在DC1中，打開(kāi)管理工具中的 “Active Directory 域和信任關(guān)系”，右擊""

15、，將"域功能級(jí)別” 提升到"Windowsserver 2003 模式。#->2. -Windows Server 2Q03n 模式當(dāng)前域功d那別Tindwt 2000混合根式丄.右擊* contO5Q.com ”-選棄“提升 域功能飯別*選特一亍町用的熾功能鑲別findovs; Server 2003JS 舗鈔能醐腳操惟是不可逆的有關(guān)更列功總級(jí)別的詳細(xì)營(yíng)息誼單擊提升點(diǎn)擊“提升”-> “確定”-> “確定”，完成域功能級(jí)別的提升。右擊"Active Directory 域和信任關(guān)系”，提升“林功能級(jí)別”至Windows Server 2003 &

16、quot;模式。點(diǎn)擊“提升”-> “確定”'確定”，完成林功能級(jí)別的提升。S3BE文件（£）操作 查看 幫助®1 右擊"Actin Direclory域和信任關(guān)選擇“提升林功能圾剔”I K4IActiw Directorr關(guān)系2安裝第二臺(tái)DC （額外域控制器）在DC2上用本地管理員賬號(hào)登錄，點(diǎn)擊“開(kāi)始”-> “執(zhí)行”，輸入“ dcpromo "確定，點(diǎn)擊“下一步”，一直到下面窗口15Ac-tive Directory 安裝向 9詵指定炬要此服務(wù)器擔(dān)任的螢色.XJ16世咚要此甌芻爵成為新W：的啟控割器迅是現(xiàn)百戰(zhàn)的範(fàn)引威控黑!1靳威的域擰

17、制黯遼）選揮此選項(xiàng)來(lái)創(chuàng)理新子螳、新威村陀新抹此.楓觀將或向新域中的第一 -T軀制署.u現(xiàn)首秋的師可瓦拄起鴿|£ .尋遠(yuǎn)個(gè)氐頂來(lái)處刪合AH蹤所有狂這個(gè)服務(wù)器上的本臧戶.卿密朝苗植M除.應(yīng)碗樂(lè)讀之前葩匹鑰號(hào)出.翳翩儡翩曲電網(wǎng)件選擇“現(xiàn)有域的額外控制器”，點(diǎn)擊“下一步”#在上面窗口輸入 DC1的域管理員賬號(hào)，密碼，域名是，點(diǎn)擊“下一步"#點(diǎn)擊“瀏覽"，選擇 ,點(diǎn)擊“下一步"#默認(rèn)即可，點(diǎn)擊“下一步默認(rèn)即可，點(diǎn)擊“下一步”輸入目錄服務(wù)還原模式的管理員密碼，點(diǎn)擊“下一步”，開(kāi)始安裝活動(dòng)目錄。安裝完成后，重啟電腦。重啟后輸入域管理員賬號(hào)和密碼，登錄到contoso域

18、。檢查DC2活動(dòng)目錄是否建立成功：1) .檢查“開(kāi)始”-> “程序”-> “管理工具”里，確保有以下幾項(xiàng):Active Directory用戶和計(jì)算機(jī) % Active Directory域和信任關(guān)系 ijji Active Directory 站點(diǎn)和服務(wù)2) .檢查 C:windowssysvolsysvol 和 C:windowssysvolsysvol'script文件夾是否共享成功b M X | 屈 e18#注意：有時(shí)這兩個(gè)文件夾會(huì)沒(méi)有共享?？梢酝ㄟ^(guò)以下方法修復(fù)：在DC2中，打開(kāi)“管理工具”的“Active Directory 站點(diǎn)和服務(wù)”，檢查下圖中，分別點(diǎn)擊DC

19、1和DC2的NTDS Settings， 檢查右面是否有相應(yīng)的連接， 如果沒(méi)有自動(dòng)生成， 則需要手動(dòng)建立。 右擊窗口右側(cè)空白處， 選擇"新建acitve directory連接"， 選擇另一個(gè)DC，"確定”，即可手動(dòng)建立連接。盤 文件匹査看 窗口血 幫朋®FTDSB-NTDS Setting畑站點(diǎn).和服備 IB- O SitHesD«£kul t-F irstS it«-Nui*El LJ Server sB 3 D£1Eb 匚JTransports1*1 r 1 Sut&e I a#確定分別點(diǎn)擊 DC1和

20、DC2下的NTDS Settings，右側(cè)窗口中都有連接后，右擊這兩處的連接，選擇“立即復(fù)制副本” 如復(fù)制成功，則會(huì)彈岀以下窗口：稍等幾分鐘后或者重啟計(jì)算機(jī)后，再檢查 DC2 的 C:windowssysvolsysvol 和 C:windowssysvolsysvol'script兩個(gè)文件夾是否共享成功。此時(shí)第二臺(tái)DC已建立完畢，此時(shí)需要檢查兩臺(tái)DC間是否能正常通信及工作，使用命令dcdiag,netdiag,gpotool,repadmin/showreps，命令查看生成結(jié)果中是否有failed或error。（后面的維護(hù)篇有詳細(xì)介紹）為了實(shí)現(xiàn)DNS服務(wù)的容錯(cuò)（假如 DC1掛掉了，那

21、DC2同樣可以臨時(shí)維持網(wǎng)絡(luò)及客戶端驗(yàn)證服務(wù)的正常運(yùn)行），也需要在DC2上安裝DNS服務(wù)（上面DC2提升為第二臺(tái) DC后并不會(huì)自動(dòng)安裝 DNS服務(wù)，它使用的還是第一臺(tái) DC的DNS服務(wù)）， 并和DC1上的DNS區(qū)域一樣設(shè)置成主要區(qū)域，與 DC1上的DNS實(shí)現(xiàn)區(qū)域復(fù)制，互做冗余。在DC2上建立DNS服務(wù)前，先要在 DC1上的DNS進(jìn)行設(shè)置，以允許 DC1上的DNS的設(shè)定及信息能傳送給DC2的DNS，實(shí)現(xiàn)由 DC1 DNS至U DC2 DNS的區(qū)域復(fù)制。在DC1中，打開(kāi)DNS控制臺(tái)，右擊“_ ，選擇"屬性”，點(diǎn)擊"名稱服務(wù)器”，把 "添 加”進(jìn)去。19->點(diǎn)擊“區(qū)

22、域復(fù)制”_«sdcE. CCntCiS'O. COB J9£t*t區(qū)域復(fù)制區(qū)威宜制垸送1Z域的刖本劉話求的服君器.P允許區(qū)戲宴制©.C劉所有服毋器（DI悴貝百在“宮秫服冬器”選頂卡中列出的服IR見(jiàn)許到下列服務(wù)器QO勵(lì)勵(lì)I(lǐng)需嚎萼理 |曙週知輔助服為-諸選擇-目動(dòng)通知"碗龍堆址空:瞻® |涇在“名肺服躍"謹(jǐn)項(xiàng)卡上列岀的服務(wù)器下列冬器 ip地址吧：3.選擇北項(xiàng)要指定服拓器授收區(qū)威更新調(diào)卻，話單m2.點(diǎn)擊占通知”Th通知應(yīng)用如取消右擊“ 區(qū)域，選擇“屬性”，再次進(jìn)行上面相同的設(shè)置F面開(kāi)始在DC2上安裝DNS服務(wù)，在DC2的“控制面板”

23、中，打開(kāi)“添加或刪除程序”-> “添加/刪除Windows組件”“網(wǎng)絡(luò)服務(wù)”，勾上“域名系統(tǒng)（DNS ）”，“確定”，插入 Windows server 2003系統(tǒng)光盤，安裝上 DNS服務(wù)211T 世 adW* indovs 組件可以添加或H際Win-icw|Dfx；J|OMB要更Wlh如T程序帕E讓 軽t c c - _k wmn!吐 VM-1 -1 -1組件©:3；：!網(wǎng)絡(luò)巖勢(shì)用杠萃服務(wù)弱.占選程存錯(cuò)n |由訐書;第描述:包含各種專I所需琳盤空間町用犠益至|田懿?鶴諜蹄:灰色框表示曲5岡箱廉務(wù)的子蛆件（£） HTTP代理上的RFC Sloiterne t驗(yàn)證程勞

24、nlindowE Internet 名稱服務(wù) OINS）:列動(dòng)態(tài)主機(jī)配置WF）閒單TCP/IP服務(wù)Mr!描述一矩1.5MB2dC/DCOr1遴過(guò)Internet信島鞭務(wù)器（I的HI7F進(jìn)行通訊°所希班盤空間: 可用班盤空間:4. 3 MB3689.8 MB ; - -詳蛹石JT-|確定 取消安裝完成后，等待一段時(shí)間后（一般15分鐘內(nèi)），打開(kāi)DNS控制臺(tái):A立件®操作® 查看通窗口址）幫助囪因廚國(guó)曲住回|ma b二 dluiSBgBt - DISDC2 1EH查找匿JS'fonl："。- co»罠MIS-J DC2*妙事件査看邸9-0正向

25、查找區(qū)域El "(gp _msdc3. cant a so. com1£ _l ic 匡 Cl domainsE 2J $c£ ,_| pdc- 引 contosc comE jj _m4ci匡 I _si Les+ O _tcp lr -一I _udp莊 I DoBinllniZoiuE+ _J ForestDnsHtmEE *1 -J廈向査找叵或effintoso- coa13 平記錄數(shù)據(jù)|1bl：_mEdc5亠i"Qj曲|_|_iiidp匸3 Dc>m ai nDn.sZ one sg (與交文件夾相同j起始授權(quán)機(jī)構(gòu)蝕帕37dc2. cGnt

26、oso. cm.a （與父文件夾相同）名稱服舊器CHS）del.住onto名口.com.0 （與哎立件夾相同】名稱嚴(yán)勢(shì)器血）de2. ciLtoED. com.g（與芟文件夾相同j主機(jī)00192. 168.2.2團(tuán)（與父文件夾相間】主機(jī)GO192 16$ 2.1崗血1主機(jī)192.16S.2. 1JjBC2主機(jī)的192.16®.2.2打開(kāi)“正向查找區(qū)域”，相應(yīng)的DNS區(qū)域應(yīng)該會(huì)自動(dòng)從DC1的DNS中復(fù)制過(guò)來(lái)。分別檢查 "區(qū)域和" "區(qū)域的屬性，進(jìn)行以下操作:1）查看“名稱服務(wù)器”中是否如下，如缺少某一項(xiàng)，則手動(dòng)加進(jìn)去:232）查看"區(qū)域復(fù)制”，進(jìn)

27、行下面設(shè)定。3) “ _ ”區(qū)域?qū)傩?24con ”區(qū)域?qū)傩?現(xiàn)在可以修改 DC1和DC2的DNS設(shè)置了。將DC1的首選DNS服務(wù)器設(shè)置成：192.16821 ,備用DNS服務(wù)器設(shè)置成：192.168 22, DC2的首選 DNS服務(wù)器設(shè)置成：，備用 DNS服務(wù)器設(shè)置成：。（推薦此種 DNS設(shè)置） 設(shè)置完成后，在DC1和DC2上的命令提示符窗口中，分別運(yùn)行“n Itest /dsregd ns "，再次將自已注冊(cè)到 DNS中，稍后使用dcdiag，netdiag， gpotool， repadmin /showreps命令檢查域是否正常（使

28、用方法見(jiàn)維護(hù)篇）。GC又稱為global catalog（全局編錄），由域控制器來(lái)扮演，它包含本域中的AD的所有對(duì)象及屬性，還包括林中其它域的Active Directory內(nèi)所有對(duì)象，不過(guò)只存儲(chǔ)每一個(gè)對(duì)象的部分屬性，而不是全部的屬性。這些屬性都是平常比較 常用的，如用戶的姓，名，登錄賬號(hào)名稱等，“全局編錄”讓用戶即使在不知道對(duì)象是位于哪一個(gè)域內(nèi)的情況下，仍然可以很快速的找到所需的對(duì)象。一個(gè)林內(nèi)的所有域樹共享相同的“全局編錄”， 默認(rèn)情況下，林中的第一臺(tái)DC是默認(rèn)的GC，此處DC1是GC,為了 GC容錯(cuò)，也將 DC2設(shè)置成GC，方法如下：打開(kāi)“ Active Directory 站點(diǎn)和服務(wù)”，

29、點(diǎn)開(kāi)DC2，右擊“ NTDS Settings 選擇“屬性”-> “常規(guī)”，勾上“全局編錄” （GC）。此時(shí)，單域雙 DC域環(huán)境已建立完成。DC2 有兩塊網(wǎng)卡,下圖：IP地址分別為：和，這樣域建好之后，DNS中會(huì)有兩項(xiàng) A記錄IP地址指向DC1，如罩，DIE二日Ml三CJ正自查找區(qū)域出(qJ s x. rantozo. cm0-曲 anloE®.3_m i de s.Ellias3 LJ _lep屮匚 J _Tlllp (3- l_l3 I Feres t J) ns Zones: 島口更向查挽區(qū)轉(zhuǎn)補(bǔ)充：在有些實(shí)際環(huán)境中，DC可能同時(shí)安裝

30、了兩塊網(wǎng)卡，例如DC1有兩塊網(wǎng)卡，IP地址分別為：192.16821和10.4221 ,C«At«5O- £©15個(gè)足錄若稱1貰型1數(shù)基O_3 it 43-|_lcpILM_J d git 電 j OlFore'二 i（與爻文忡滅相同J起嚅擾權(quán)機(jī)杓GOA）721, dlcl. contoxo.r kos tnas t er.與父文件賣相同J宮肺服務(wù)器朋）dc2. vgt».（與盤立件夾相同名聃服務(wù)器0（5 ）del a cgtQ沁 ccm脫空標(biāo)相同）主機(jī)知（宵龍文伸滅相同J繭機(jī)加1龍.163.2.1de

31、l主機(jī)如!«. 163.2. 1dd主機(jī)0010 42. 2.BC2主機(jī)如10.12. 2.2HC2主機(jī)加DC安裝有兩塊網(wǎng)卡有時(shí)會(huì)影響客戶端登錄驗(yàn)證的使用，一定要注意以下幾處：1）設(shè)定偵聽(tīng)I(yíng)P:在DC1的DNS控制臺(tái)中，右擊 DNS服務(wù)器名“ DC1 ”，選擇“屬性”，切換到“接口”窗口,26默認(rèn)情況下 DNS服務(wù)器在兩個(gè)IP地址上同時(shí)偵聽(tīng)，因?yàn)槲覀兊腄C只對(duì)網(wǎng)段提供服務(wù)，所以在此處把10.4221 去掉2）設(shè)定網(wǎng)絡(luò)服務(wù)訪問(wèn)的優(yōu)先順序在DC1中，右擊“網(wǎng)上鄰居”-> “屬性”，點(diǎn)擊菜單欄中“高級(jí)”-> “高級(jí)配置”，打開(kāi)網(wǎng)絡(luò)服務(wù)

32、訪問(wèn)的優(yōu)先順序窗口:27注意：此處必須將提供域控制器服務(wù)對(duì)應(yīng)的網(wǎng)絡(luò)連接排在最上面，否則域控制器提供相關(guān)服務(wù)時(shí)時(shí)會(huì)出現(xiàn)問(wèn)題，此處將LAN1調(diào)在最上面：3）上面看到，DNS中，會(huì)有兩條A記錄指向DC1，因?yàn)?0.4221這條記錄并不會(huì)用到，所以可以將其刪除，但發(fā)現(xiàn)，刪除后不久，它又會(huì)再次岀現(xiàn)，其實(shí)這是這個(gè)網(wǎng)絡(luò)連接屬性中有個(gè)默認(rèn)項(xiàng)要修改一下才行：右擊“網(wǎng)上鄰居”-> “屬性”，點(diǎn)擊“ LAN2 ”本地連接-> “屬性”，雙擊“ In ter net協(xié)議（TCP/IP ）” -> “高級(jí)” -> “ DNS”, 將“在DNS中注冊(cè)此連接的地址”前的勾去掉即可，

33、然后在DNS中刪除的A記錄，以后就再不會(huì)岀現(xiàn)了。注意：以上三步再在 DC2上操作一次！ ！ ！操作篇Windows Server 2003域建好并確定成功后，就可以設(shè)計(jì)0U，添加計(jì)算機(jī)賬號(hào)，用戶賬號(hào)，部署組策略了。1. 設(shè)計(jì)0U對(duì)于服務(wù)器與客戶端眾多的大公司來(lái)說(shuō)，0U設(shè)計(jì)一定要合理，這樣以后在管理中才會(huì)方便。一般設(shè)計(jì)0U有以下思想：將DC放在DC所在的默認(rèn) OU （ Domain Controllers ）中并單獨(dú)管理為用戶和計(jì)算機(jī)創(chuàng)建單獨(dú)的OU使用OU把用戶/計(jì)算機(jī)按照角色分組默認(rèn)情況下，所有新賬戶創(chuàng)建在users或者computers容器中（不能鏈接GPO），所以，如果在

34、 Windows 2003域，并且域功能級(jí)別提升到 Windows server 2003模式時(shí)，可以使用"redirusr.exe”和"redircmp.exe ”指定所有新用戶 賬戶和計(jì)算機(jī)創(chuàng)建時(shí)默認(rèn)的 OU，這樣就允許使用組策略管理新創(chuàng)建的賬戶了。點(diǎn)擊"開(kāi)始"-> “程序"-> "管理工具"，打開(kāi)“Active Directory 用戶和計(jì)算機(jī)"（或在"運(yùn)行"中，輸入“ dsa.msc"） 下圖是個(gè)示例，用戶應(yīng)該根據(jù)自已的實(shí)際情況來(lái)設(shè)計(jì)OU :30Active Dir

35、ectory 用戶和計(jì)璇fl母文件I）撰作査看迪窗口 1）幫助如*1包固 eirf a 包回|邀諱遏它匂31$ Active Directory 用戶和計(jì)算機(jī)DC1 保存的直詢|- =歲 COJltOLO. Com 口 Euiltin l Computers|Carktrallirs_| Far si gnSiturityFr inrip*l s | UggCoutosa2個(gè)對(duì)象名稱r組銀單位0匚omputerS組襄單位#日 0 ContosoE ；型 Users 胡 Engineer 型 Finance 母 I Market=田 MIS."Si Conput ers 型 Serve

36、rs<51 CliftlltE2. 客戶端加域加域的過(guò)程很簡(jiǎn)單，將客戶端 Client1的IP設(shè)置為：192.168211，子網(wǎng)掩碼：，網(wǎng)關(guān)：無(wú)（根據(jù)實(shí)際 情況填寫，首選 DNS服務(wù)器：，備用DNS服務(wù)器：。（以上IP設(shè)定可使用 DHCP服務(wù)器進(jìn)行設(shè) 置，客戶端自動(dòng)獲取相關(guān)設(shè)定。）在加域前，最好使用redircmp.exe命令復(fù)位向一下加域后計(jì)算器賬號(hào)存在的OU，在DC1上打開(kāi)命令提示符窗口，輸入以下命令：C - >redii*cmp 重定向成功*頁(yè) C : WlBDOVSKsyTleBSZCBd exeou=i

37、c lien ts r oii=coimputei*s 事ou=contosode =condeacon回車后，重定向成功。注意：此操作要求域功能級(jí)別為Windows server 2003模式。在Client1中，用本地管理員登錄，右擊“我的計(jì)算機(jī)”-> “屬性”-> “計(jì)算機(jī)名”-> “更改”，選擇“網(wǎng)域”輸入域名，“確定”時(shí)會(huì)彈岀窗口要求輸入有權(quán)加入域的賬號(hào)，可以使用域管理員賬號(hào)，也可以使用委派了加域權(quán)限的普通 域賬戶，如此處的普通域賬戶jerry賬號(hào)就是委派了加域權(quán)限。（事先在MIS OU中新建一用戶賬戶jerry，然后委派此用戶賬戶加域權(quán)限）蒂辭容翔容轉(zhuǎn)婪更竜腐容輯

38、QJ：clwnil芫簽竜關(guān)名稱:cBmtl.咸員課凰:犧感ipitfl辿迫上MdLf耳他園轄甌入W1育便審攤限的帳戶名輯及耀確朿加工網(wǎng)域連用E15CEJ：fi contosoWny確龍I 砲消確定后顯示成功加入域，重啟計(jì)算機(jī)，客戶端clie nt1成功加入域,Actiire Di recterr用尸和計(jì)算機(jī)總 丈芹 操作 萱看旨口肚|帚助辿3 二 百而 也口 X廚的話 包應(yīng) 遺132 V G EU Cmpiititrs-圍 ContGso日匚趣 CijmputeriServersrs® 3I Domain C&ntroilers田 LJ Foreipciir i tyFr i

39、fteiptls由匚J Users母Xuliw Dir.cto寸用戶和訐算機(jī)UCI1± _|保存的奩詢E cjl contflso, comEQ 匚J Bail tinCIji ents注：默認(rèn)情況下，所有的普通域賬號(hào)都有10次加域的權(quán)限，這是個(gè)危險(xiǎn)的設(shè)定，所以要修改所有的普通域用戶無(wú)權(quán)將計(jì)算機(jī)加入域，除非被委派了權(quán)限，以防止外來(lái)計(jì)算機(jī)隨便加入本公司域，提高安全性。修改方法如下：在 DC1 或 DC2 中，打開(kāi)"運(yùn)行”，輸入"adsiedit.msc”，打開(kāi) ADSI 編輯器，展開(kāi) Domain,右擊"DC=contoso,DC=com文件夾，選擇&qu

40、ot;屬性”，找到"ms-DS-MachineAccountQuota ”項(xiàng)，將其默認(rèn)值 10改為0，確定。如下圖：32畔|匡)畫| X S' 0 sAUribut Editor 安金kDSI Idit冷 M)SI Edi t-§ D«i»aia tDCl H LJ DC=tonlo3D BC=coffi 田唱 Coiififfursli 皿BC1 cantosI Scharik* DC1. contoso con取消 I應(yīng)用時(shí)IUS匚eoniios： OlZ=e*B Pr operfiAAbibute1 SyntaHI V竝tlmsDS'

41、;AlUisersT iwtQuolaiIrisger100CmS-Apprcwnnnried Sutadi.Irtcger15msDS-B ehavior-VersionInNeger2fr-DS-CohMtencyCNdCMjrtIrtegw<Not Set>mS-DS-ConsflerKiJGUdOdetStiing<N« sa>msDS-LogcHiTimeSrid nteivInlegef<Mo( SetJrnK-D S -W achneAcctxinlQ uctaInleger0msOsmasteredByDistinguished.ENrN

42、'DS SetlinnKDSMefrbsidFoiAzFtolsBLDtdinguished.<Mat Set>msDS NCRe|)CursorsUnicode String<DS RE.PL CURmsDSNCfieipInb 口 undMeighh.Unicode Shing<DS,REPLNEI(msDS N DRepOutboundN eig.UriiMde Stiing<DS_REPLNEI(1nwOS-NDriMwibeisBLDclinauithed.<Mot SS>臣 £hciw goandalory 甘Itnbdt

43、ejwP Show jQpiiond dhibutes廠 5 how onV atirfoufe that have values Aihiiutes;33，就會(huì)出現(xiàn)錯(cuò)誤窗口,以后加域時(shí)，如果使用未委派加域權(quán)限的普通域賬號(hào)加域（此設(shè)置不影響域管理員賬戶加域） 無(wú)法加域。3. 部署組策略建立與部署組策略要在GPMC中完成，在DC1中，點(diǎn)擊“開(kāi)始”-> “程序”-> “管理工具”-> “組策略管理”（或在"運(yùn)行"中，輸入"gpmc.msc"”，打開(kāi)組策略管理控制臺(tái)：#為方便演示：我們建立兩個(gè)組策略對(duì)象 （GPO），分別設(shè)定一個(gè)“計(jì)算機(jī)策略”

44、和一個(gè)“用戶策略”，計(jì)算機(jī)策略為“禁用系統(tǒng)防火墻”，用戶策略為“統(tǒng)一用戶桌面背景圖片”。默認(rèn)情況下，客戶端裝好XP SP2/SP3后，系統(tǒng)自帶的防火墻處于開(kāi)啟狀態(tài)，它會(huì)自動(dòng)攔截很多通信服務(wù)，不利于遠(yuǎn)程管理，所以要將其關(guān)閉，在此我們實(shí)現(xiàn)的是，客戶端在加入域后，自動(dòng)關(guān)閉系統(tǒng)自帶的防火墻。logo,我們?cè)诖艘獙?shí)現(xiàn)的是用戶在用域賬號(hào)登錄一般公司為提升企業(yè)形象，經(jīng)常要將客戶端桌面統(tǒng)一布署成公司后，顯示統(tǒng)一的桌面背景。建立禁用防火墻的計(jì)算機(jī)策略步驟如下：在DC1中(域DC2 )中，點(diǎn)擊"運(yùn)行"，輸入"gpmc.msc”，打開(kāi)"組策略控制臺(tái)"，右擊你想布署的

45、客戶端所在的0U(如Client OU)，“創(chuàng)建并鏈接 GPO”輸入組策略名稱“Disable Firewall ”，確定。34->右擊“ Disable Firewall ”，選擇“編輯”，打開(kāi)“組策略對(duì)象編輯器”，依次打開(kāi)“計(jì)算機(jī)配置”-> “管理模板”"網(wǎng)絡(luò)"-> “網(wǎng)絡(luò)連接"-> “Windows防火墻"-> “域配置文件"，雙擊右面的“ Windows防火墻：保護(hù)所有網(wǎng)絡(luò)連接" 選擇“已禁用”#Tindw敬丸匕：涇護(hù)用有砂建簽Httr天目帝心.一設(shè)趕叫| 下一設(shè)置確是 | 取消叵用確定，完成禁用

46、防火墻的設(shè)定。因?yàn)槲覀冎粚⒋瞬呗宰饔糜谟?jì)算機(jī)賬號(hào)，所以此策略的“用戶配置策略”用不到，為加快組策略處理速度，可以將“用戶配置策略”禁用掉。-» |E I Eg a I ffl|山1 亡 Firev«ll IDC1. comIvso.匡 _jias* _ WinJovl 役舌 B _|苣理頂極+ _| WLtid如,SB伴Id »媒F. _）網(wǎng) J8ffl _ Hlct«xd tt , _| IJfB 容尸iJS _|師文件 :-:_l鯛匡抿 B Cj Vindas 肪火:垮 _i嘲EH文伴 _|標(biāo)聯(lián)己査丈件 i±i _3Sca數(shù)鶴包計(jì)劃程序I

47、SfflP 石臺(tái)吿H錐送服務(wù) 打印機(jī)-盛用戶配直E歆件喪餐* _J W3 Ei.dlQ¥3 iSS導(dǎo)出列表g.目羅巻看它的描述.風(fēng)計(jì)境砸苗 虛用戶配置右聲"DisableFirewall",點(diǎn)辛嚼性"在打開(kāi)的窗口中，勾上“禁用用戶配置設(shè)置”，確定。35完成計(jì)算機(jī)配置的禁用防火墻策略，關(guān)閉組策略對(duì)象編輯器 設(shè)定統(tǒng)一用戶桌面背景圖片：首先將要設(shè)定的圖片（如picture1.jpg ）復(fù)制到 C:WINDOWSSYSVOLsysvol'SCRIPTS下（共享路徑為'NETLOGON ），此路徑比較特殊，在DC間做同步時(shí)，會(huì)自動(dòng)同步復(fù)制此文件夾中

48、所有的文件及文件夾。同計(jì)算機(jī)配置策略一樣，右擊你想設(shè)定的域用戶賬號(hào)的OU （如Market OU，此OU下有個(gè)tom的普通域用戶賬號(hào)）-> “創(chuàng)建并鏈接GPO”，輸入組策略名稱" Background Picture ”，36#H 蟲 ft： ccntc3D. cne國(guó)喊S contaso. con営alt Dcfibin Folity 曰匚OEitCEDE) 1 Cenpubfirs.S 型 Qi Di 51iL1c f j2 Servers B 閩 Vsers 型 Eiif n« ti* £l FbDATiC曰 p pafkE夏Stf ault恚 Dia

49、tbLt ± Mir爸飪霧* /站點(diǎn) 昂蛆集耳理脛 -3爼集曬節(jié)杲to30 . C I>T'p列站點(diǎn)、城和魁垠墾俛錢蘇J此CK tt）：寶全篩迭此敬內(nèi)的謖査只鬼用于下利組用FfiH+HflKS）：VM 0).-Ihi轎選比GFO鏈段到下列vra 馳器©:1&：| b血rk孕心aiJ P i Qtura I 直WES- Dormn ControllersDefault Duehlh Cctnlrolitr s-筑黃環(huán)對(duì)球三了 l-takgroiuid. Fic tiirtDoha.lil CbihlrollKr eDoiiain Folieybackgz

50、ound Ficture柞用取I詳閘信且I iSS Sift I在此俛逼內(nèi)顯示6接（L）：雰*kuthAD譏 c X aJ Us tr z#右擊"Background Picture ” -> "編輯"，打開(kāi)組策略編輯器，依次展開(kāi)"用戶配置" -> "管理模板"-> "桌面"-> “ ActiveDesktop ”，雙擊右邊的"Active Desktop 墻紙”，輸入相關(guān)信息:#U2dActive ia-Eklop 屈性37#tckpiui'J F卄t(ir&g

51、t; DCi ci -團(tuán) i+Ksua王_i炊件衣去i _| A'SBaawt iftE± _i karate.三竝用尸配査z 一I軟件設(shè)總R _ J 旳 Fiilcv五 i55曰-J普理根菽由口 VindiMiE巡件任君欄和開(kāi)対Sb-QIB ,|j'J 1 kslivt Daiiktopuu世査-> JB用D皿畑吊票用 Activa Btsktop 甬禁用斯有頂目 淨(jìng)不冊(cè)輙 斗奈止添加現(xiàn)目 莘禁止尉壊頂目ActLVfi Ik業(yè)tapActor曲緊止豪i頂目 半漿止兔訊頊冃Ac1lv« Desktop 墻眥斗口戀評(píng)快用也EUffifc名稱-P>'i.cc-nlcso. >:c«T,i.FETL7C*7JI，,>pi tt-ureJ, jjij崇:硏止不藥分谿軍黑示皴果不 同*推蕉說(shuō)曹成“找禪5例如:梗用CAw ind如u '皿礎(chǔ) 1出 klip kptrVliit. jp(