域樹和子域的建立(共22頁)

1、Microsoft 域樹和子域的建立 域樹和子域的建立操作系統(tǒng)：Windows Server 2008 R2完成日期：2011年11月4日最后修改：2011年11月4日版本：V1.0文中已盡量詳細化說明，但部分步驟不保證其完整性，見諒。 目錄 TOC o 1-3 h z u HYPERLINK l _Toc308180993 部署概述 PAGEREF _Toc308180993 h 2 HYPERLINK l _Toc308180994 概念 PAGEREF _Toc308180994 h 2 HYPERLINK l _Toc308180995 基本概念 PAGEREF _Toc3081809

2、95 h 2 HYPERLINK l _Toc308180996 網絡拓撲 PAGEREF _Toc308180996 h 3 HYPERLINK l _Toc308180997 部署前準備 PAGEREF _Toc308180997 h 4 HYPERLINK l _Toc308180998 部署階段 PAGEREF _Toc308180998 h 5 HYPERLINK l _Toc308180999 域樹內子域部署 PAGEREF _Toc308180999 h 5 HYPERLINK l _Toc308181000 構建林 PAGEREF _Toc308181000 h 10 HYPE

3、RLINK l _Toc308181001 修改記錄 PAGEREF _Toc308181001 h 19部署(b sh)概述概念(ginin)基本概念Active Directory（AD）：活動(hu dng)目錄，用于存儲用戶帳戶、計算機帳戶、打印機與共享文件夾等對象。名稱空間：它是一塊界定好的區(qū)域，在此區(qū)域內，可以利用某個名稱來查找與這個名稱有關的信息。對象：用于描述AD中的資源。屬性：用于描述對象的特征，一個對象就是一些屬性集合。容器：與對象相似，同樣為一些屬性的集合，但容器可以包含其他的對象，也可以包含其他的容器。組織單位：它為一個特殊的容器，其內除了包含其他對象與組織單位之外，還

4、有組策略的功能。域樹：可以架構包含數個域的網絡，同時具有分層登記的域環(huán)境。信任：通常指不同域間的信任關系，兩個與之間必須創(chuàng)建信任關系，才可以訪問對方與內的資源。林：由一個或數個域樹組成，每個域樹都有自己唯一的名稱空間。架構：用于定義對象的類型和屬性數據。Domain Controller（DC）：域控制器，用于存儲AD服務的目錄數據。一個域內可以有多臺域控制器，每一臺域控制器的地位幾乎平等。成員服務器：服務器級別的計算機加入域后被稱為成員服務器，成員服務器內沒有AD數據庫，它們也不負責審核AD的用戶名與密碼。其中的服務器級別指安裝了服務器操作系統(tǒng)的計算機。獨立服務器：具有服務器級別的計算機沒有

5、加入域則被稱為獨立服務器或工作組服務器。全局編錄(binl)服務器：存儲林內所有AD數據庫內的每一個對象(duxing)的部分屬性，不是全部屬性，這些屬性是常用于搜索的屬性。架構目錄分區(qū)：存儲(cn ch)整個林中所有兌現與屬性的定義數據，同時存儲如何創(chuàng)建新對象與屬性的規(guī)則。整個林內所有域共享一份相同的架構目錄分區(qū)，它會被復制到林中所有域內的所有域控制器。配置目錄分區(qū)：存儲整個AD的結構。整個林內所有域共享一份相同的架構目錄分區(qū)，它會被復制到林中所有域內的所有域控制器。域目錄分區(qū)：每一個域各自擁有一個唯一的域目錄分區(qū)，其內存儲與該域有關的對象，此分區(qū)只會被復制到該域的所有域控制器。應用程序目錄

6、分區(qū)：由應用程序創(chuàng)建，內部存儲與該應用程序相關的數據。網絡拓撲實驗環(huán)境中一共有三臺服務器，其中包含兩個域樹和一個林，如圖（1-1）。圖（1-1）在上面的拓撲(tu p)中可以看出拓撲中包含一個林，林中包含了H3C域樹和H2C兩個(lin )域樹，在H3C域樹中包含(bohn)一個H3C根域和一個H3C子域，根域的FQDN為V，子域的FQDN為TDC2.。在H2C域樹中包含一個H2C根域，根域的FQDN為TDC1.。在實驗中H3C根域，即V已經創(chuàng)建，實驗中主要在于了解如何創(chuàng)建H3C子域TDC2.和如何創(chuàng)建H2C根域TDC1.。部署前準備網絡環(huán)境中需要擁有至少三臺計算機，并安裝Windows Se

7、rver版操作系統(tǒng)。在其中一臺計算機上安裝并配置AD域服務，此計算機用來做拓撲圖中H3C的根域。為計算機配置合理的IP地址，使其能互相通訊。將其與兩臺計算機的首選DNS服務器地址指向H3C根域。在H3C根域上配置測試域帳戶，以便驗證子域和林是否成功創(chuàng)建。部署(b sh)階段域樹內子域部署(b sh)登錄(dn l)服務器TDC2，然后進入“服務器角色”管理中添加“Active Directory域服務”，安裝過程不做詳細說明。安裝完成后執(zhí)行“運行Active Driectory域服務安裝向導”，之后系統(tǒng)彈出“AD服務安裝向導”界面，在其中勾選“使用高級模式安裝”并“下一步”。如圖（3-1）。圖

8、(3-1)之后出現些信息，不必理會，直接“下一步”繼續(xù)配置操作。出現如圖（3-2）所示界面是請注意選擇。應選擇“現有林”之后是“在現有林中新建域”。圖（3-2）之后系統(tǒng)要求輸入，要加入域的域名以及加入這個域時需要(xyo)提供的合法憑證，如圖（3-3）。圖（3-3）圖（3-3）界面(jimin)下一步后，系統(tǒng)要求輸入父域的FQDN，同時要求(yoqi)輸入子域的單標簽DNS名稱，輸入完成(wn chng)后“下一步”。如圖（3-4）。圖（3-4）繼續(xù)配置過程，系統(tǒng)會提示輸入NetBIOS以便為不支持DNS的計算機提供服務，不必理會，保持默認直接“下一步”即可。如圖（3-5）。圖（3-5）然后系

9、統(tǒng)要求選擇站點名稱，根據自己網絡環(huán)境，選擇相應的站點名稱后，直接“下一步”繼續(xù)配置。如圖（3-6）。圖（3-6）然后為系統(tǒng)配置其他選項，一般默認即可，除非(chfi)有特殊需要，可以自行更改其他選項。系統(tǒng)默認只安裝DNS服務器。如圖（3-7）。圖（3-7）圖（3-7）界面“下一步”后系統(tǒng)要求選擇“源域控制器”，一般保持默認，即“讓向導選擇一個(y )合適的域控制器”，當然你也可以自己手動選擇(xunz)源域控制器。如圖（3-8）。圖（3-8）之后系統(tǒng)要求(yoqi)指定AD數據庫的保存位置以及(yj)日志文件和SYSVOL文件(wnjin)的保存位置，此處最好將AD數據庫與后兩者安裝于不同的分

10、區(qū)中，如圖（3-9）。圖（3-9）選擇好AD數據庫存儲位置后，系統(tǒng)將要求輸入“目錄還原模式”的密碼，根據自己的要求輸入密碼，這個密碼不可為空。如圖（3-10）。圖（3-10）繼續(xù)配置，系統(tǒng)(xtng)將給出摘要信息，確認信息無誤后“下一步”，系統(tǒng)開始自動配置相關信息直至出現如圖（3-11）。重啟計算機則完成(wn chng)子域的添加。圖（3-11）構建(u jin)林之前已經(y jing)完成了H3C.的子域，那么(n me)現在將開始新建這個新的域樹。登錄到TDC1服務器上，在“服務器角色管理”中添加“Active Directory域服務”，安裝完成后啟動“Active Driecto

11、ry域服務安裝向導”，首先是歡迎界面，其中選擇“使用高級模式安裝”，然后選擇部署配置，其中應選擇“現有林”，再選擇“在現有林中新建域”，并勾選“新建域樹而不是新子域”。如圖（3-12）。圖（3-12）繼續(xù)配置操作，此時需要填入林中包含的任意一個域樹的域名，本實驗環(huán)境輸入的是“”，同時需要填入相應域樹的合法憑證。如圖（3-13）。圖（3-13）之后(zhhu)系統(tǒng)要求填入新域樹的FQDN，根據自己的需要(xyo)填寫即可。如圖（3-14）。圖（3-14）完成(wn chng)新域樹的FQDN填寫后，下一步后，系統(tǒng)要求輸入NetBIOS，保持默認直接下一步繼續(xù)配置，之后將出現站點選擇，根據自己的網

12、絡環(huán)境選擇相應站點“下一步”。如圖（3-15）。圖（3-15）站點選擇后指定其他選項，一般情況保持(boch)默認即可，默認(mrn)只安裝“DNS服務器”，如圖（3-16）。圖（3-16）圖（3-16）下一步后會有警告提示，選擇(xunz)“是”即可。因為新建的域樹的這臺服務器是這個新域樹的根域，不需要通過父域來分配。所以直接選擇是，繼續(xù)配置過程。繼續(xù)配置操作，系統(tǒng)提示選擇(xunz)“源域控制器”，一般保持默認，除非特殊情況，則依據自己(zj)的網絡環(huán)境選擇“源域控制器”。如圖（3-17）。圖（3-17）同樣(tngyng)，又是選擇AD數據庫及日志等文件的保存位置，同子域建立的方式，此處

13、不再贅述。如圖（3-18）。圖（3-18）之后又是輸入“目錄還原模式”密碼，輸入后直接下一步，然后將出現摘要(zhiyo)信息，核對信息正確后“下一步”，系統(tǒng)將自行配置，直至完成，然后(rnhu)重啟計算機。重啟后進入“DNS管理器”展開服務器名下的“正向查找區(qū)域”，選擇當前(dngqin)域樹，郵件查看屬性。如圖（3-19）。圖（3-19）在“屬性”頁面，選擇(xunz)“區(qū)域傳送”選項卡，勾選“允許區(qū)域(qy)傳送”，再選擇“只允許到下列(xili)服務器”，然后在其中添加域樹的根域。如圖（3-20）。圖（3-20）然后(rnhu)登錄域樹的根域，登錄后同樣(tngyng)打開“DNS管理

14、器”，展開服務器名，在“正向查找(ch zho)區(qū)域”上右鍵選擇“新建區(qū)域”。如圖（3-21）。圖（3-21）在“新建區(qū)域”界面(jimin)中選擇“輔助區(qū)域”然后下一步，如圖（3-22）。圖（3-22）圖（3-22）界面(jimin)中，下一步后彈出如圖（3-23）的界面，其中要求輸入輔助區(qū)域的域名，也就是我們(w men)當前林環(huán)境中新域樹的域名。圖（3-23）繼續(xù)配置過程是，系統(tǒng)(xtng)要求輸入主DNS服務器的IP地址(dzh)或者是FQDN，這個(zh ge)主DNS實際就是我們創(chuàng)建的這個輔助區(qū)域的DNS服務器IP地址或FQDN。如圖（3-24）。圖（3-24）填入主(r zh)DNS服務器IP地址后，下一步(y b)，進入完成界面，單擊完成即可。如圖（3-25）。圖（3-25）完成(wn chng)后應在DNS管理器中的“正向查找區(qū)