《網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)》課件項(xiàng)目三 任務(wù)一 提高Windows系統(tǒng)活動(dòng)目錄服務(wù)的安全

項(xiàng)目三Windows服務(wù)器系統(tǒng)安全運(yùn)行與維護(hù)【項(xiàng)目描述】

在使用Windows操作系統(tǒng)的企業(yè)辦公網(wǎng)絡(luò)中，計(jì)算機(jī)之間互相連接，形成小型的辦公網(wǎng)環(huán)境。為了更加便捷、安全地管理企業(yè)網(wǎng)中的資源，網(wǎng)絡(luò)中的計(jì)算機(jī)共享資源時(shí)，需要進(jìn)行統(tǒng)一身份驗(yàn)證，為了更高效地管理網(wǎng)絡(luò)，需要搭建活動(dòng)目錄平臺及網(wǎng)絡(luò)服務(wù)器。搭建的服務(wù)器資源平臺，需要進(jìn)行安全設(shè)置，才能使它們更加安全、可靠地運(yùn)行。本項(xiàng)目從以下幾個(gè)方面講述以下各環(huán)節(jié)的安全配置。任務(wù)一

提高Windows系統(tǒng)活動(dòng)目錄服務(wù)的安全任務(wù)二

加強(qiáng)Windows系統(tǒng)DHCP服務(wù)的安全防御任務(wù)三

加強(qiáng)Windows系統(tǒng)IIS服務(wù)的安全防御任務(wù)四

加強(qiáng)Windows系統(tǒng)DNS服務(wù)的安全防御【學(xué)習(xí)目標(biāo)】能夠在Windowsserver2008系統(tǒng)中安裝和配置活動(dòng)目錄能夠設(shè)置域環(huán)境下的系統(tǒng)安全配置會在Windows系統(tǒng)中安裝DHCP服務(wù)和配置作用域能夠安裝IIS服務(wù)和部署IIS服務(wù)安全策略掌握SSL服務(wù)原理和作用，并會在Windows系統(tǒng)中配置SSL服務(wù)會在Windows系統(tǒng)中安裝和配置DNS服務(wù)項(xiàng)目三Windows服務(wù)器系統(tǒng)安全運(yùn)行與維護(hù)項(xiàng)目主要內(nèi)容：任務(wù)一提高Windows系統(tǒng)活動(dòng)目錄服務(wù)的安全任務(wù)二加強(qiáng)Windows系統(tǒng)DHCP服務(wù)的安全防御任務(wù)三加強(qiáng)Windows系統(tǒng)IIS服務(wù)的安全防御任務(wù)四加強(qiáng)Windows系統(tǒng)DNS服務(wù)的安全防御任務(wù)提出

企業(yè)為了保障辦公網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù)的安全，需要員工在訪問資源時(shí)，對其進(jìn)行身份驗(yàn)證，分配安全權(quán)限。通過安裝Windows活動(dòng)目錄可以對用戶進(jìn)行管理，將整個(gè)網(wǎng)絡(luò)作為一個(gè)獨(dú)立的整體提高安全性，比工作組的安全性更高。為了構(gòu)建安全的活動(dòng)目錄服務(wù)，需要通過實(shí)施以下安全措施達(dá)到安全管理目標(biāo)。1.安裝配置活動(dòng)目錄

在WindowsServer2008系統(tǒng)中安裝活動(dòng)目錄，對于擁有大量用戶的企業(yè)，可以實(shí)現(xiàn)對企業(yè)用戶的統(tǒng)一管理。2.配置安全策略管理活動(dòng)目錄

企業(yè)網(wǎng)內(nèi)部存在一定的安全風(fēng)險(xiǎn)，為了保障活動(dòng)目錄服務(wù)的安全運(yùn)行，需要在活動(dòng)目錄上配置安全策略加固Windows活動(dòng)目錄平臺的穩(wěn)定性。任務(wù)分析1.安裝配置活動(dòng)目錄

活動(dòng)目錄（ActiveDirectory，AD)是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目錄服務(wù)。ActiveDirectory不能運(yùn)行在WindowsWebServer上，但是可以通過它對運(yùn)行WindowsWebServer的計(jì)算機(jī)進(jìn)行管理。ActiveDirectory存儲了有關(guān)網(wǎng)絡(luò)對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。ActiveDirectory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進(jìn)行合乎邏輯的分層組織面向WindowsServer的目錄服務(wù)技術(shù)。

它擴(kuò)展了傳統(tǒng)的基于Windows的目錄服務(wù)功能，并增加了一些全新的功能。活動(dòng)目錄具有安全、分布式、可分區(qū)和可復(fù)制的特征?；顒?dòng)目錄保證了能在任何規(guī)模的環(huán)境中正常工作，它不僅可以支持只有幾百個(gè)對象和1臺服務(wù)器的小型系統(tǒng)，也可以支持擁有數(shù)百萬對象和上千臺服務(wù)器的龐大系統(tǒng)?；顒?dòng)目錄增加了許多新功能，這些功能使得管理大量信息變得更容易，為管理員和終端用戶節(jié)約了時(shí)間。通過登錄驗(yàn)證以及對目錄中對象的訪問控制，將對本地計(jì)算機(jī)訪問的安全性集成到活動(dòng)目錄中。通過一次網(wǎng)絡(luò)登錄，管理員可管理整個(gè)網(wǎng)絡(luò)中的目錄數(shù)據(jù)，而且獲得授權(quán)的網(wǎng)絡(luò)用戶可訪問網(wǎng)絡(luò)上任何地方的資源。2.配置安全策略管理活動(dòng)目錄

在活動(dòng)目錄中，提供了域名系統(tǒng)、可傳遞信任關(guān)系、輕型目錄訪問協(xié)議、Kerberos網(wǎng)絡(luò)認(rèn)證協(xié)議、組策略、全局編錄等功能組件，可以對域成員提供安全服務(wù)，并設(shè)置域成員提供權(quán)限設(shè)置。另外在活動(dòng)目錄中，還可以通過將系統(tǒng)升級為域級別、林級別、森林級別，提高系統(tǒng)的功能級別，為每個(gè)級別的域成員提供不同級別的服務(wù)。對于使用多域環(huán)境的企業(yè)，可以通過雙向信任關(guān)系傳遞信任，進(jìn)行資源的跨域分配。相關(guān)知識

目錄服務(wù)——目錄服務(wù)（DirectoryService)是一種存儲網(wǎng)絡(luò)信息的層次結(jié)構(gòu)。目錄是用來存儲有用對象的信息源，如電話目錄用于存儲用戶的電話信息。在文件系統(tǒng)中，目錄用于存儲文件的信息。在分布式計(jì)算機(jī)系統(tǒng)或者Internet這樣的公用計(jì)算機(jī)網(wǎng)絡(luò)中，有許多有用的對象，例如打印機(jī)、傳真機(jī)、應(yīng)用軟件、數(shù)據(jù)庫和用戶。用戶希望尋找并使用這些對象，而管理員則希望管理這些對象，目錄服務(wù)為此提供了強(qiáng)大的功能。

域——域（domain)是基于WindowsNT的計(jì)算機(jī)網(wǎng)絡(luò)的安全邊界，活動(dòng)目錄由一個(gè)或多個(gè)域組成。在一個(gè)獨(dú)立的工作站中，域就是計(jì)算機(jī)自身。域可以跨越多個(gè)物理區(qū)域，每一個(gè)域都有自己的安全策略和與其他域的安全關(guān)系。當(dāng)多個(gè)域通過信任關(guān)系連接起來，它們就組成一棵域樹，多棵域樹可以組成森林。

樹——樹（tree)是通過可傳遞、雙向信任關(guān)系連接在一起的WindowsNT域的集合，它們共享相同的模式、配置和全局目錄。域必須組成層次式的名稱空間，例如，是樹根，是的孩子。活動(dòng)目錄是一個(gè)或多個(gè)域樹的組合。

森林——森林（forest)是相互信任的一個(gè)或多個(gè)活動(dòng)目錄樹形成的小組。森林中的所有樹共享一個(gè)模式、配置和全局目錄，森林中的所有樹沒有形成連續(xù)的名稱空間，森林中的所有樹通過信任關(guān)系的雙向傳遞相互彼此信任。與樹不同的是，森林不需要一個(gè)可分辨的名稱（domainname,DN)。森林作為一組交叉引用的對象和成員樹之間的信任關(guān)系而存在，森林中的樹形成一個(gè)層次信任關(guān)系。組織單元——組織單元（OrganizationalUnit，0U)是一個(gè)容器對象，它把活動(dòng)目錄劃分成可管理的單元。0U可以包含用戶、小組、資源和其他0U。組織單元可以將管理權(quán)限委托給目錄中的子樹，組織單元的結(jié)構(gòu)一般限制在一個(gè)域內(nèi)。

站點(diǎn)——站點(diǎn)（site)是包含活動(dòng)目錄服務(wù)器的網(wǎng)絡(luò)位置。站點(diǎn)定義了一個(gè)或多個(gè)連接良好的TCP/IP子網(wǎng)，“連接良好”指網(wǎng)絡(luò)連接非?？煽亢涂焖?。定義站點(diǎn)為一組子網(wǎng)，則允許管理員快速輕松地配置活動(dòng)目錄和復(fù)制拓?fù)?，以便充分利用物理網(wǎng)絡(luò)。當(dāng)用戶登錄上網(wǎng)時(shí)，活動(dòng)目錄客戶機(jī)將以用戶的身份在同一個(gè)站點(diǎn)找到活動(dòng)目錄服務(wù)器。由于網(wǎng)絡(luò)中同一個(gè)站點(diǎn)的機(jī)器彼此鄰近，所以它們之間的通信可靠、快速并且高效。由于用戶的工作站已經(jīng)知道位于哪一個(gè)TCP/IP子網(wǎng)上并且能將子網(wǎng)直接轉(zhuǎn)變?yōu)榛顒?dòng)目錄站點(diǎn)，所以在登錄時(shí)確定本地站點(diǎn)就變得很容易。

域名系統(tǒng)——域名系統(tǒng)（DomainNameSystem,DNS)是一種層次分布式數(shù)據(jù)庫，用來進(jìn)行域名/IP地址轉(zhuǎn)換。域名系統(tǒng)是Internet上使用的名稱空間，可以將計(jì)算機(jī)和服務(wù)名稱轉(zhuǎn)換成為IP地址。活動(dòng)目錄在它的定位服務(wù)中使用DNS，以便客戶端可以通過DNS查詢找到域控制器，所以在配置主域控制器時(shí)，必須在主域控制器上安裝DNS服務(wù)，然后備份域控制器、子域控制器及成員的域名必須設(shè)置為主域控制器的IP。

可傳遞信任關(guān)系——Windows2008域中的樹、森林中的域、森林中的樹、森林之間存在固有的信任關(guān)系。當(dāng)一個(gè)域加入到一個(gè)已有的森林或域樹時(shí)，自動(dòng)地建立可傳遞信任(transitivetrust)?？蓚鬟f信任一般是雙向關(guān)系。域樹中的父子域、森林中域樹的根域這一系列信任關(guān)系允許森林中的所有域相互之間彼此信任，例如，域A信任域B，域B信任域C，那么域A可以信任域C。

Kerberos——Kerberos是一種用來給用戶授權(quán)的安全系統(tǒng)。Kerberos不對服務(wù)或數(shù)據(jù)庫提供授權(quán)，它為用戶登錄提供授權(quán)，并保障用戶整個(gè)會話的安全。Kerberos協(xié)議提供了Windows2000操作系統(tǒng)的主要授權(quán)機(jī)制。組策略——組策略(GroupPolicy)指將策略應(yīng)用到活動(dòng)目錄容器中的計(jì)算機(jī)組和用戶。所包括的策略類型不僅是出現(xiàn)在WindowsNT4.0服務(wù)器中的基于注冊的策略，還可以是目錄服務(wù)所允許的用來存儲策略數(shù)據(jù)的多種類型，例如文件配置、應(yīng)用程序配置、登錄和注銷腳本、啟動(dòng)和關(guān)機(jī)腳本、域安全、Internet協(xié)議安全(InternetProtocolSecurity,IPSec)等，這些策略的集合稱為組策略對象（GroupPolicyObject,GPO)。

輕型目錄訪問協(xié)議——輕型目錄訪問協(xié)議（LightDirectoryAccessProtocol,LDAP)是用來訪問目錄服務(wù)的一種協(xié)議，LDAP是活動(dòng)目錄的主要訪問協(xié)議。目前的Web瀏覽器和電子郵件程序中都實(shí)現(xiàn)了LDAP。LDAP是目錄訪問協(xié)議(DirectoryAccessProcotol，DAP)的一個(gè)簡化版本，可以用來訪問X.500目錄。編寫LDAP查詢代碼比DAP簡單，但是LDAP的功能不是十分完善。例如，如果沒有找到地址，DAP可以在其他的服務(wù)器上進(jìn)行初始化尋找，但是LDAP就不具備這個(gè)功能。全局編錄——全局編錄（GlobalCatalog,GC)是域林中所有對象的集合，是一臺特殊的域控制器。在默認(rèn)情況下，在活動(dòng)目錄中創(chuàng)建的第一個(gè)域控制器為全局編錄服務(wù)器，其他域控制器也可以被指派為全局編錄服務(wù)器，用于實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載平衡和冗余。全局編錄服務(wù)器負(fù)責(zé)響應(yīng)網(wǎng)絡(luò)中所有的全局編錄查詢，一旦出現(xiàn)問題，用戶將無法查詢和登錄。建議網(wǎng)絡(luò)安全要求較高的用戶配置多臺全局編錄服務(wù)器，以提高系統(tǒng)的可用性和可靠性。

在根域控制器上進(jìn)行相關(guān)操作，即可將其子域控制器或備份域控制器提升為全局編錄服務(wù)器。但是需要注意的是網(wǎng)絡(luò)中GC之間的復(fù)制可能會增加一定的網(wǎng)絡(luò)帶寬開銷。

當(dāng)域林中只有一個(gè)域時(shí)，則不必在登錄時(shí)從全局編錄獲取通用組成員身份。因?yàn)榛顒?dòng)目錄可以檢測到域林中沒有其他域，并阻止向全局編錄查詢此信息。在Windows2008多主機(jī)復(fù)制環(huán)境中，理論上任何域控制器都可以更改活動(dòng)目錄中的任何對象，但實(shí)際上并非如此，某些AD功能不允許在多臺DC上完成，否則可能會造成AD數(shù)據(jù)庫的一致性錯(cuò)誤，這些特殊的功能稱為“靈活單一主機(jī)操作”，常用FSMO來表示，擁有這些特殊功能執(zhí)行能力的主機(jī)被稱為FSMO角色主機(jī)。

域級別——普通系統(tǒng)一旦升級為WindowsServer2008，除了包含與Windows2003的域功能級別可用的所有功能，以及一些附加功能：（1）分布式文件系統(tǒng)復(fù)制支持SYSVOL，它提供SYSVOL內(nèi)容的更可靠、更詳細(xì)的復(fù)制。（2）高級加密服務(wù)（AES128和256）支持Kerberos協(xié)議。（3）上次交互登錄信息，顯示用戶上次成果交互登錄的時(shí)間等。

森林級別——域中的WindowsServer2008域控制器部署完畢后，接下來還需要選擇森林的功能級別。可以選擇Widowsserver2008、Widowsserver2008R2、Widowsserver2003等，具體選擇可以根據(jù)安裝中的提示進(jìn)行選擇。信任關(guān)系——在默認(rèn)情況下，一個(gè)域林中的多個(gè)域擁有雙向可信任的傳遞關(guān)系，可以進(jìn)行活動(dòng)目錄數(shù)據(jù)的傳輸。除此之外，父域和子域也同樣具有雙向可信任關(guān)系。在多域環(huán)境下，如何進(jìn)行資源的跨域分配呢？也就是說，該如何把A域的資源分配給B域的用戶呢？一般來說有兩種選擇。一種是使用鏡像帳戶，如果在A域和B域內(nèi)各自創(chuàng)建一個(gè)用戶名和口令都完全相同的用戶帳戶，然后在B域把資源分配給該帳戶后，A域內(nèi)的鏡像帳戶就可以訪問B域內(nèi)的資源。另一種是創(chuàng)建域信任關(guān)系，在兩個(gè)域之間創(chuàng)建了信任關(guān)系后，資源的跨域分配就非常容易了。域信任關(guān)系是有方向性的，如果A域信任B域，那么A域的資源可以分配給B域的用戶，但B域的資源并不能分配給A域的用戶，如果想達(dá)到這個(gè)目的，需要讓B域信任A域。任務(wù)實(shí)施1.安裝配置活動(dòng)目錄操作步驟如下：步驟1：實(shí)驗(yàn)準(zhǔn)備階段，根據(jù)項(xiàng)目一中任務(wù)一知識點(diǎn)，在VMwareWorkstation中部署三臺WindowsServer2008R2虛擬機(jī)Server1、Server2、Server3，并將三臺虛擬機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)連通，將Server1的IP地址設(shè)為Server1、Server2、Server3的默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器IP。三臺虛擬機(jī)的IP地址規(guī)劃如表所示。設(shè)備名稱設(shè)備角色設(shè)備簡稱操作系統(tǒng)IP地址DNSServer1域服務(wù)器PDCWindowsServer2008/24Server2備份域服務(wù)器BDCWindowsServer2008/24Server3子域服務(wù)器SubDCWindowsServer2008/24步驟2：將Server1、Server2、Server3的計(jì)算機(jī)名稱分別修改為PDC、BDC、SubDC。①在Server1上，右鍵單擊桌面上“計(jì)算機(jī)”圖標(biāo)，選擇“屬性”，在“系統(tǒng)”窗口中單擊“更改設(shè)置”，打開“系統(tǒng)屬性”窗口，如圖1所示。圖1②在“系統(tǒng)屬性”窗口中單擊“更改”按鈕，打開“計(jì)算機(jī)名/域更改”對話框，在“計(jì)算機(jī)名”一欄中輸入“PDC”，單擊“確定”按鈕，完成修改，如圖2所示。圖2③重新啟動(dòng)計(jì)算機(jī)，使計(jì)算機(jī)名更改生效。④按照①-③，分別將Server2、Server3的計(jì)算機(jī)名稱修改為BDC、SubDC。步驟3：在Server1上創(chuàng)建主域控制器①選擇“開始”-“運(yùn)行”菜單命令，打開“運(yùn)行”對話框，輸入命令dcpromo，如圖3所示。圖3②單擊“確定”按鈕，等待相應(yīng)文件加載完畢后，即可打開“ActiveDirectory域服務(wù)安裝向?qū)А睂υ捒?，如圖4所示。③單擊“下一步”按鈕，選中“在新林中新建域”單選項(xiàng)，如圖5所示。圖4圖5④在點(diǎn)擊“下一步”時(shí)，有時(shí)會彈出Administrator帳戶密碼不符合要求的警告提示，如圖6所示。圖6⑤在命令行窗口中輸入“netuseradministrator”，“需要密碼”一欄中的設(shè)置為“no”如圖7所示。

這是由于雖然在計(jì)算機(jī)管理中已經(jīng)為管理員設(shè)置過密碼，但是由于原來在裝系統(tǒng)時(shí)沒有對administrator管理帳號設(shè)置密碼，只是在系統(tǒng)安裝成功后添加了管理員密碼，在系統(tǒng)由工作組狀態(tài)轉(zhuǎn)向域狀態(tài)的時(shí)候，系統(tǒng)需要將本地的administrator轉(zhuǎn)為域管理帳號，而此時(shí)系統(tǒng)并未對administrator帳戶的信息及時(shí)更新，所以系統(tǒng)依然認(rèn)為administrator是空密碼，導(dǎo)致升級到域環(huán)境時(shí)失敗。圖7⑥在命令行窗口中輸入“netuseradministrator/passwordreq:yes”，更新管理員密碼，如圖8所示。再使用命令“netuseradministrator”查看管理員密碼時(shí)，顯示“需要密碼”一欄為“yes”，如圖9所示。圖8圖9⑦在第③步安裝“ActiveDirectory域服務(wù)安裝向?qū)А睂υ捒蛑?，單擊“下一步”，輸入新域的域名，如圖10所示。圖10⑧單擊“下一步”，計(jì)算機(jī)會檢測域名是否可用，接下來彈出“設(shè)置林功能級別”對話框，如圖11所示。根據(jù)需要可以將林功能級別設(shè)置為“WindowsServer2003”或其他可選級別，這里可以選擇“WindowsServer2003”級別，在后面操作中再對功能級別進(jìn)行提升。圖11⑨單擊“下一步”，進(jìn)入“其他域控制器選項(xiàng)”對話框，默認(rèn)的其他選項(xiàng)為“DNS服務(wù)器”，如圖12所示。⑩單擊“下一步”，系統(tǒng)將檢測計(jì)算機(jī)上的DNS服務(wù)器，由于計(jì)算機(jī)上沒有安裝配置DNS服務(wù)器，將提示無法創(chuàng)建該DNS服務(wù)器的委派，如圖13所示。圖12圖13單擊“是”，指定主域控制器的數(shù)據(jù)庫文件夾、日志文件文件夾、SYSVOL文件夾的存放路徑，如圖14所示。單擊“下一步”，輸入活動(dòng)目錄還原密碼，如圖15所示。圖14圖15單擊“下一步”，將生成域控制器的摘要信息，如圖16所示。單擊“下一步”，系統(tǒng)將安裝DNS服務(wù)器，完成活動(dòng)目錄的配置，如圖17所示。單擊“完成”按鈕，并重新啟動(dòng)計(jì)算機(jī)，使活動(dòng)目錄配置生效。圖16圖17步驟4：在Server2上創(chuàng)建備份域控制器打開“運(yùn)行”對話框，輸入命令dcpromo，開啟活動(dòng)目錄安裝向?qū)А螕簟跋乱徊健?，在選擇域控制器類型時(shí)選擇“現(xiàn)有林”-“向現(xiàn)有域添加域控制器”，如圖18所示。圖18

單擊“下一步”，打開“網(wǎng)絡(luò)憑據(jù)”對話框，在域的名稱中輸入，單擊“備用憑據(jù)”下的“設(shè)置”按鈕，在Windows安全對話框中輸入PDC的管理員的用戶名和密碼，如圖19所示。單擊“確定”按鈕，完成網(wǎng)絡(luò)憑據(jù)設(shè)置，如圖20所示。圖19圖20單擊“下一步”，進(jìn)入“選擇域”對話框，選中域，如圖21所示。

單擊“下一步”，為額外域控制器選擇一個(gè)站點(diǎn)，如圖22所示。圖21圖22單擊“下一步”，為額外域控制器選擇其他域控制器選項(xiàng)，默認(rèn)情況下，系統(tǒng)已為額外域控制器選擇了DNS服務(wù)器和全局編錄選項(xiàng)，如圖23所示。單擊“下一步”，將為額外域控制器檢測DNS服務(wù)，由于該計(jì)算機(jī)上未安裝DNS服務(wù)器，會提示“無法創(chuàng)建該DNS服務(wù)器的委派”，如圖24所示。圖23圖24單擊“是”，將為該域控制器的數(shù)據(jù)庫文件夾、日志文件文件夾、SYSVOL文件夾指定存放路徑，如圖25所示。單擊“下一步”，輸入目錄服務(wù)還原模式的管理員密碼，如圖26所示。圖25圖26

單擊“下一步”，將生成額外域控制器的所有配置的摘要信息，如圖27所示。單擊“下一步”，系統(tǒng)將自動(dòng)安裝DNS服務(wù)器和活動(dòng)目錄相關(guān)信息，完成后單擊“完成”，并重新啟動(dòng)計(jì)算機(jī)，即可完成額外域控制器的配置。圖27

步驟5：在Server3上創(chuàng)建子域控制器打開“運(yùn)行”對話框，輸入命令dcpromo，開啟活動(dòng)目錄安裝向?qū)?。單擊“下一步”，在選擇域控制器類型時(shí)選擇“現(xiàn)有林”-“在現(xiàn)有林中新建域”，如圖28所示。圖28

在點(diǎn)擊“下一步”時(shí)，彈出Administrator帳戶密碼不符合要求的警告提示。在命令行窗口中輸入“netuseradministrator/passwordreq:yes”，更新管理員密碼。單擊“下一步”，輸入安裝子域控制器的網(wǎng)絡(luò)憑據(jù)。單擊“下一步”，進(jìn)入“命名新域”對話框，輸入父域的域名和子域的域名，如圖29所示。圖29單擊“下一步”，經(jīng)過驗(yàn)證之后，設(shè)置“域功能級別”為WindowsServer2003。單擊“下一步”，為子域控制器選擇站點(diǎn)。單擊“下一步”，進(jìn)入“其他域控制器選項(xiàng)”，與安裝PDC和BDC時(shí)不同的是默認(rèn)只選擇了DNS服務(wù)器，未勾選全局編錄復(fù)選框。單擊“下一步”，為子域控制器的數(shù)據(jù)庫文件夾、日志文件文件夾、SYSVOL文件夾指定存放路徑。單擊“下一步”，輸入目錄服務(wù)還原模式的管理員密碼。單擊“下一步”，將生成額外域控制器的所有配置的摘要信息。單擊“下一步”，系統(tǒng)將自動(dòng)安裝DNS服務(wù)器和活動(dòng)目錄相關(guān)信息，完成后單擊“完成”，并重新啟動(dòng)計(jì)算機(jī)，即可完成子域控制器的配置。在Server1上，打開“管理工具”-“DNS”，在DNS管理器對話框中，展開“PDC”-“”，可在右側(cè)列表中看到目前DNS服務(wù)器中已經(jīng)添加了PDC、BDC、sub三個(gè)主機(jī)，如圖30所示。圖302.配置安全策略管理活動(dòng)目錄

步驟6：配置全局編錄①在Server3上，依次選擇“開始”-“管理工具”-“ActiveDirectory站點(diǎn)和服務(wù)”菜單命令，打開“ActiveDirectory站點(diǎn)和服務(wù)”窗口，依次展開“Sites”-“Default-First-Site-Name(系統(tǒng)默認(rèn)站點(diǎn)名稱）”-“Servers”-“SUBDC(域控制器）”節(jié)點(diǎn)，如圖31所示。圖31②右擊“NTDSSettings”節(jié)點(diǎn)，在彈出的快捷菜單中選擇“屬性”命令，打開“NTDSSettings屬性”對話框，選中“全局編錄”復(fù)選框，如圖32所示。點(diǎn)擊“應(yīng)用”-“確定”，完成在Server3上配置全局編錄。圖32步驟7：配置操作主機(jī)以域級別中的RID主機(jī)角色為例，配置操作主機(jī)的過程如下。在Server2上，依次選擇“開始”-“管理工具”-“ActiveDirectory用戶和計(jì)算機(jī)”菜單命令，打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，如圖33所示。圖33右擊，在彈出的快捷菜單中選擇“操作主機(jī)”命令，打開“操作主機(jī)”對話框，如圖34所示。在“操作主機(jī)”對話框中，單擊“更改”按鈕，彈出詢問對話框，如圖35所示，單擊“是”按鈕，就可以成功傳送操作主機(jī)角色，如圖36所示。圖34圖35圖36步驟8：提升域功能級別

在活動(dòng)目錄的安裝過程中，已經(jīng)將域控制器的林功能級別設(shè)置為WindowsServer2003，不同的域功能級別支持的域控制器和域中可以啟用的功能不同。域功能提供了一種可以在網(wǎng)絡(luò)環(huán)境中啟用全域性功能的方法，如果域中所有控制器運(yùn)行的都是WindowsServer2008R2系統(tǒng)，則所有全域性功能都可用。WindowsServer2008域功能級別所包含的域功能有：所有默認(rèn)的ActiveDirectory功能、所有來自WindowsServer2003域功能級別的功能，以及以下功能：

（1）SYSVOL的分布式文件系統(tǒng)復(fù)制支持，可提供SYSVOL內(nèi)容的更穩(wěn)健更詳細(xì)的復(fù)制；

（2）Kerberos身份驗(yàn)證協(xié)議的高級加密服務(wù)。

以Server3為例，將域功能級別提升至WindowsServer2008的操作過程為：在Server3上，在“ActiveDirectory用戶和計(jì)算機(jī)”窗口，右擊“ActiveDirectory用戶和計(jì)算機(jī)”選項(xiàng)，在彈出的快捷菜單中選擇“所有任務(wù)”-“提升域功能級別”命令，打開“提升域功能級別”對話框，在列表框中選擇“WindowsServer2008”選項(xiàng)，如圖37所示。單擊“提升”按鈕，在打開的對話框單擊“確定”按鈕，完成域功能級別的提升，如圖38所示。圖37圖38步驟9：配置信任關(guān)系在Server3上，打開“ActiveDirectory域和信任關(guān)系”窗口，如圖39所示。右擊“”選項(xiàng)，在彈出的快捷菜單中選擇“屬性”命令，打開其屬性對話框，單擊“信任”選項(xiàng)，如圖40所示。圖39圖40單擊“新建信任”按鈕，進(jìn)入新建信任向?qū)?，如圖41所示。單擊“下一步”，輸入建立信任關(guān)系的域名，如圖42所示。圖41圖42單擊“下一步”按鈕，輸入本地域中管理員用戶名和密碼，如圖43所示。單擊“下一步”按鈕，選擇信任類型，如圖44所示。圖43圖44單擊“下一步”按鈕，選擇信任傳遞性，如圖45所示。單擊“下一步”按鈕，選擇信任方向?yàn)椤?/p>