Windows2000Server設定活動目錄域
在 Microsoft Windows2000 Server 作業系統的諸多增強功能中,Active Directory功能的引入意義最為重大,但也最常引起困惑。與其前輩(Microsoft Windows NT; 作業系統早期版本中的域控制器)相比,Windows 2000 Server 中的 Active Directory 提供了一個全新的體系結構和豐富得多的功能。
儘管本文並不打算討論 Active Directory 的所有功能,但其中確實概述了這項技術,重點在於討論兩個新概念:域控制器的全新體系結構模型以及與 DNS 的新的整合關係。這些功能對了解如何構建 DuwamishOnline.com 這樣的 Web 群非常有幫助。此外,我們將討論用 Active Directory 逐步設定 Web 群的過程。
本文假定讀者已基本瞭解 Windows NT 早期版本中的網路概念。
域控制器的全新體系結構模型
安裝了 Active Directory 元件以提供這種目錄服務的計算機稱為域控制器。如果將 Active Directory 安裝到執行 Windows 2000 Server 的計算機上,則會將伺服器轉換或提升為特定域的域控制器。
使用 Active Directory 時,所有 Windows 2000 Server 域控制器都是對等關係,支援多主複製,在所有域控制器之間複製 Active Directory 資訊。
這是一個重要的體系結構設計上的變化,改變了 Windows NT 早先版本中主域控制器 (PDC) 和備份域控制器 (BDC) 之間的主/從關係。
與 Windows NT 早先版本中的區別是,老版本中只有 PDC 保留可讀/寫的目錄資訊主副本,而將目錄資訊的只讀副本複製到 BDC 中;Active Directory 則在各個域控制器之間使用多主複製,因此管理員現在可以從任何域控制器進行更改。如果域控制器(特別是 PDC)失敗,這會為系統提供更大的可靠性。
與 DNS 整合
Active Directory 中另一個重要的體系結構設計上的變化是它與域名系統 (DNS) 的緊密整合。在 Windows 2000 中,網路基本輸入/輸出系統 (NetBIOS) 名稱不再是識別網路計算機或印表機首要的名稱解析方法。而是使用完全合格的域名稱 (FQDN)(如“server1.microsoft.com”)來識別。
這就意味著 Active Directory 域現在與 DNS 域共享同樣的命名結構(或名稱空間)。例如,在老版本的 Windows NT 中,引用同一臺計算機時,在 Windows 網路域的 NetBIOS 下可能是“SERVER1”,而在 DNS 域下可能是“server1.microsoft.com”。在 Windows 2000 中,該計算機在 Active Directory 域和 DNS 域中的引用名稱都是“server1.microsoft.com”。
然而,區分 Active Directory 與 DNS 之間的差異是非常重要的。雖然它們在一起配合得非常緊密,但各自儲存的資料和管理的物件都不同。
DNS 是一種傳輸控制協議/Internet 協議 (TCP/IP) 名稱解析服務,它儲存資源記錄,主要是為了將域名轉換為相應的 IP 地址。儘管 DNS 可以離開 Active Directory 而獨立工作,但其資料可整合並儲存到 Active Directory 中,在這裡 DNS 資訊被自動複製到其它域控制器中,這樣就增強了 DNS 服務的可靠性和安全性。
另一方面,Active Directory 是一個目錄服務,它可以儲存域物件名稱請求,並將其解析成物件記錄資料(例如答覆對計算機網路配置資訊的請求時)。要找到 Active Directory 伺服器,首先由 Active Directory 客戶查詢為它指定的 DNS 伺服器,找到此 Active Directory 伺服器的 IP 地址。根據設計,Active Directory 需要 DNS 才能工作。實際上,在安裝過程中,如果網路上找不到 DNS 伺服器,那麼設定 Active Directory 域控制器時通常需要同時安裝一個 DNS 伺服器。
有關 DNS 名稱空間如何構建以及 DNS 與 Active Directory 如何關聯的詳細資訊,請參見文章 Setting Up a Domain Name System。
設定 Active Directory 域控制器
正如在網路和系統配置文章中所述,我們已設定了兩個伺服器作為內部域“intdomain.com”的 Active Directory 域控制器。我們用一臺專用計算機來設定第一個域控制器,並在管理伺服器上設定另外一個域控制器作冗餘。
由於域控制器必須要能透過 Web 伺服器和訂單處理伺服器(用於建立訊息佇列)以及兩個設成群集的資料庫伺服器進行訪問,因此它們必須連線到後端網路、管理網路,或者同時連線這兩個網路。
在下面的部分,我們將介紹如何逐步設定這些 Active Directory 域控制器,以及為該域設定 Active Directory 客戶端的步驟。
安裝第一個域控制器
按照以下步驟建立一個新的域,並在某個伺服器上安裝 Active Directory 服務,使該伺服器成為該域的第一個域控制器:
在開始選單中,單擊執行。鍵入 dcpromo,然後單擊確定。這將啟動 Active Directory 安裝嚮導。
出現歡迎螢幕以後,系統將要求您為該伺服器指定“域控制器型別”。保持預設選項,將該伺服器設定為新域的域控制器。
接著,將要求您建立一個新的域目錄樹或在現有域目錄樹中新建一個子域。在本例中,為內部域建立一個新域目錄樹。
接下來,系統將要求您建立一個新的目錄林或加入現有的一個目錄林。因為這是第一個域,沒有現有的目錄林,所以保持預設的選項建立新的域目錄林。
如前所述,Windows 2000 中的 Active Directory 現在用完全合格的域名稱 (FQDN) 作為其主命名規則。當要求輸入新的域名稱時,鍵入內部域的 FQDN(在本例中我們使用“intdomain.com”)。
Active Directory 向後相容老版本的 Windows NT,後者使用 NetBIOS 名稱作為其命名規則。為了保持一致,我們選擇使用與 NetBIOS 名稱相同的域名稱。在本例中,接受預設的“INTDOMAIN”作為 NetBIOS 域名稱。
在後面的兩個對話方塊中,系統將要求您指定 Active Directory 資料庫和活動日誌的位置,以及共享系統卷。要獲得更好的效能和可恢復性,建議將資料庫和日誌分別儲存在不同的硬碟上。為簡化此過程,我們選擇接受所有的預設位置。
此時,安裝嚮導將嘗試為新域聯絡一個 DNS 伺服器。如果已經存在使用該域的 DNS 伺服器,並且能夠在網上找到,則該向導將移至下一步;如果不存在,則嚮導將詢問您是要在同一臺計算機上安裝和配置一個 DNS 伺服器(作為 Active Directory 安裝過程的一部分),還是希望以後再安裝 DNS 伺服器。建議保持預設選項作為第一選擇,除非您確實想自己設定所有的 DNS 資源記錄。
安裝嚮導接下來顯示的對話方塊都與安全問題有關。如果該域中的所有計算機都在執行 Windows 2000(在 Duwamish Online 中就是這樣),則選擇只與 Windows 2000 伺服器相相容的許可權選項。隨後指定“管理員”密碼。
最後,將顯示一個摘要螢幕,確認您的選擇。如果資訊正確,則單擊下一步進行確認。當配置過程完成後,重新啟動伺服器。
安裝另一個域控制器
再安裝一個 Active Directory 域控制器比安裝第一個域控制器要簡單得多。在開始此過程之前,要確保此新增伺服器有權訪問同一網路段,這樣它才可以與第一個伺服器進行通訊。此外,需要指定一個 DNS 伺服器的 IP 地址(根據前面的建議,這應該是第一個域控制器),反過來,查詢充當域控制器的計算機時也要使用這個地址。
若要指定 DNS 伺服器
右鍵單擊網路上的芳鄰並選擇屬性。在網路和撥號連線對話方塊中,右鍵單擊區域網連線圖示並選擇屬性。注意 如果您的計算機上有多個網路適配卡連線不同的網段(就像 Duwamish Online 網路配置),而且您不能確定哪個網路卡連線到內部網路,則可以用直接斷開實際連線到內部網路的電纜的辦法來辨別網路卡。其結果表現為,被斷開地連線的圖示將顯示為禁用狀態。在恢復網路電纜之前,相應地重新命名此連線。
選擇 Internet 協議 (TCP/IP),然後單擊屬性。在 Internet 協議 (TCP/IP) 屬性對話方塊中,選擇使用下面的 DNS 伺服器地址選項。在首選 DNS 伺服器欄位中輸入 IP 地址。(如果已經在第一個 Active Directory 伺服器的安裝過程中設定了 DNS 伺服器,則輸入該伺服器的 IP 地址。請參見前面的“安裝第一個域控制器”的第 8 步。)單擊確定,確認此更改。指定 DNS 後,現在就可以安裝另一個域控制器。
若要再安裝一個域控制器
在開始選單中,單擊執行。鍵入 dcpromo,然後單擊確定。這將啟動 Active Directory 安裝嚮導。出現歡迎螢幕以後,系統將要求您為該伺服器指定“域控制器型別”。選擇設定一個現有域的額外域控制器。接著,系統將要求您輸入一個使用者名稱、密碼和域名稱(本例中為“intdomain”)。
當系統要求時,輸入某個域的完全合格的域名稱,該計算機將變成該域的額外域控制器。(本例中輸入“intdomain.com”。)
與安裝第一個 Active Directory 伺服器時類似,系統將要求您指定資料庫和日誌的位置,以及共享系統卷。為簡化此過程,我們選擇接受預設位置。
指定“管理員”密碼後,系統將要求您檢查並確認摘要螢幕上的資訊。單擊下一步,開始安裝。當安裝完成後,重新啟動伺服器。設定 Active Directory 客戶。在安裝 Windows 2000 時,系統會要求您加入現有的域或工作組。如果在安裝時還沒有域控制器,則可以在以後加入此域。
在開始此過程之前,要確保該計算機有權訪問同一網段,這樣它才可以與此域進行通訊。因為在設定另一個域控制器時,需要指定 DNS 伺服器的 IP 地址。
以下步驟描述如何在 Windows 2000 中將一臺計算機加入新域:右鍵"我的電腦"-->"屬性"-->"網路標識"-->"屬性"-->"隸屬於"下選擇"域"並輸入你所建立的域名.[@more@]
儘管本文並不打算討論 Active Directory 的所有功能,但其中確實概述了這項技術,重點在於討論兩個新概念:域控制器的全新體系結構模型以及與 DNS 的新的整合關係。這些功能對了解如何構建 DuwamishOnline.com 這樣的 Web 群非常有幫助。此外,我們將討論用 Active Directory 逐步設定 Web 群的過程。
本文假定讀者已基本瞭解 Windows NT 早期版本中的網路概念。
域控制器的全新體系結構模型
安裝了 Active Directory 元件以提供這種目錄服務的計算機稱為域控制器。如果將 Active Directory 安裝到執行 Windows 2000 Server 的計算機上,則會將伺服器轉換或提升為特定域的域控制器。
使用 Active Directory 時,所有 Windows 2000 Server 域控制器都是對等關係,支援多主複製,在所有域控制器之間複製 Active Directory 資訊。
這是一個重要的體系結構設計上的變化,改變了 Windows NT 早先版本中主域控制器 (PDC) 和備份域控制器 (BDC) 之間的主/從關係。
與 Windows NT 早先版本中的區別是,老版本中只有 PDC 保留可讀/寫的目錄資訊主副本,而將目錄資訊的只讀副本複製到 BDC 中;Active Directory 則在各個域控制器之間使用多主複製,因此管理員現在可以從任何域控制器進行更改。如果域控制器(特別是 PDC)失敗,這會為系統提供更大的可靠性。
與 DNS 整合
Active Directory 中另一個重要的體系結構設計上的變化是它與域名系統 (DNS) 的緊密整合。在 Windows 2000 中,網路基本輸入/輸出系統 (NetBIOS) 名稱不再是識別網路計算機或印表機首要的名稱解析方法。而是使用完全合格的域名稱 (FQDN)(如“server1.microsoft.com”)來識別。
這就意味著 Active Directory 域現在與 DNS 域共享同樣的命名結構(或名稱空間)。例如,在老版本的 Windows NT 中,引用同一臺計算機時,在 Windows 網路域的 NetBIOS 下可能是“SERVER1”,而在 DNS 域下可能是“server1.microsoft.com”。在 Windows 2000 中,該計算機在 Active Directory 域和 DNS 域中的引用名稱都是“server1.microsoft.com”。
然而,區分 Active Directory 與 DNS 之間的差異是非常重要的。雖然它們在一起配合得非常緊密,但各自儲存的資料和管理的物件都不同。
DNS 是一種傳輸控制協議/Internet 協議 (TCP/IP) 名稱解析服務,它儲存資源記錄,主要是為了將域名轉換為相應的 IP 地址。儘管 DNS 可以離開 Active Directory 而獨立工作,但其資料可整合並儲存到 Active Directory 中,在這裡 DNS 資訊被自動複製到其它域控制器中,這樣就增強了 DNS 服務的可靠性和安全性。
另一方面,Active Directory 是一個目錄服務,它可以儲存域物件名稱請求,並將其解析成物件記錄資料(例如答覆對計算機網路配置資訊的請求時)。要找到 Active Directory 伺服器,首先由 Active Directory 客戶查詢為它指定的 DNS 伺服器,找到此 Active Directory 伺服器的 IP 地址。根據設計,Active Directory 需要 DNS 才能工作。實際上,在安裝過程中,如果網路上找不到 DNS 伺服器,那麼設定 Active Directory 域控制器時通常需要同時安裝一個 DNS 伺服器。
有關 DNS 名稱空間如何構建以及 DNS 與 Active Directory 如何關聯的詳細資訊,請參見文章 Setting Up a Domain Name System。
設定 Active Directory 域控制器
正如在網路和系統配置文章中所述,我們已設定了兩個伺服器作為內部域“intdomain.com”的 Active Directory 域控制器。我們用一臺專用計算機來設定第一個域控制器,並在管理伺服器上設定另外一個域控制器作冗餘。
由於域控制器必須要能透過 Web 伺服器和訂單處理伺服器(用於建立訊息佇列)以及兩個設成群集的資料庫伺服器進行訪問,因此它們必須連線到後端網路、管理網路,或者同時連線這兩個網路。
在下面的部分,我們將介紹如何逐步設定這些 Active Directory 域控制器,以及為該域設定 Active Directory 客戶端的步驟。
安裝第一個域控制器
按照以下步驟建立一個新的域,並在某個伺服器上安裝 Active Directory 服務,使該伺服器成為該域的第一個域控制器:
在開始選單中,單擊執行。鍵入 dcpromo,然後單擊確定。這將啟動 Active Directory 安裝嚮導。
出現歡迎螢幕以後,系統將要求您為該伺服器指定“域控制器型別”。保持預設選項,將該伺服器設定為新域的域控制器。
接著,將要求您建立一個新的域目錄樹或在現有域目錄樹中新建一個子域。在本例中,為內部域建立一個新域目錄樹。
接下來,系統將要求您建立一個新的目錄林或加入現有的一個目錄林。因為這是第一個域,沒有現有的目錄林,所以保持預設的選項建立新的域目錄林。
如前所述,Windows 2000 中的 Active Directory 現在用完全合格的域名稱 (FQDN) 作為其主命名規則。當要求輸入新的域名稱時,鍵入內部域的 FQDN(在本例中我們使用“intdomain.com”)。
Active Directory 向後相容老版本的 Windows NT,後者使用 NetBIOS 名稱作為其命名規則。為了保持一致,我們選擇使用與 NetBIOS 名稱相同的域名稱。在本例中,接受預設的“INTDOMAIN”作為 NetBIOS 域名稱。
在後面的兩個對話方塊中,系統將要求您指定 Active Directory 資料庫和活動日誌的位置,以及共享系統卷。要獲得更好的效能和可恢復性,建議將資料庫和日誌分別儲存在不同的硬碟上。為簡化此過程,我們選擇接受所有的預設位置。
此時,安裝嚮導將嘗試為新域聯絡一個 DNS 伺服器。如果已經存在使用該域的 DNS 伺服器,並且能夠在網上找到,則該向導將移至下一步;如果不存在,則嚮導將詢問您是要在同一臺計算機上安裝和配置一個 DNS 伺服器(作為 Active Directory 安裝過程的一部分),還是希望以後再安裝 DNS 伺服器。建議保持預設選項作為第一選擇,除非您確實想自己設定所有的 DNS 資源記錄。
安裝嚮導接下來顯示的對話方塊都與安全問題有關。如果該域中的所有計算機都在執行 Windows 2000(在 Duwamish Online 中就是這樣),則選擇只與 Windows 2000 伺服器相相容的許可權選項。隨後指定“管理員”密碼。
最後,將顯示一個摘要螢幕,確認您的選擇。如果資訊正確,則單擊下一步進行確認。當配置過程完成後,重新啟動伺服器。
安裝另一個域控制器
再安裝一個 Active Directory 域控制器比安裝第一個域控制器要簡單得多。在開始此過程之前,要確保此新增伺服器有權訪問同一網路段,這樣它才可以與第一個伺服器進行通訊。此外,需要指定一個 DNS 伺服器的 IP 地址(根據前面的建議,這應該是第一個域控制器),反過來,查詢充當域控制器的計算機時也要使用這個地址。
若要指定 DNS 伺服器
右鍵單擊網路上的芳鄰並選擇屬性。在網路和撥號連線對話方塊中,右鍵單擊區域網連線圖示並選擇屬性。注意 如果您的計算機上有多個網路適配卡連線不同的網段(就像 Duwamish Online 網路配置),而且您不能確定哪個網路卡連線到內部網路,則可以用直接斷開實際連線到內部網路的電纜的辦法來辨別網路卡。其結果表現為,被斷開地連線的圖示將顯示為禁用狀態。在恢復網路電纜之前,相應地重新命名此連線。
選擇 Internet 協議 (TCP/IP),然後單擊屬性。在 Internet 協議 (TCP/IP) 屬性對話方塊中,選擇使用下面的 DNS 伺服器地址選項。在首選 DNS 伺服器欄位中輸入 IP 地址。(如果已經在第一個 Active Directory 伺服器的安裝過程中設定了 DNS 伺服器,則輸入該伺服器的 IP 地址。請參見前面的“安裝第一個域控制器”的第 8 步。)單擊確定,確認此更改。指定 DNS 後,現在就可以安裝另一個域控制器。
若要再安裝一個域控制器
在開始選單中,單擊執行。鍵入 dcpromo,然後單擊確定。這將啟動 Active Directory 安裝嚮導。出現歡迎螢幕以後,系統將要求您為該伺服器指定“域控制器型別”。選擇設定一個現有域的額外域控制器。接著,系統將要求您輸入一個使用者名稱、密碼和域名稱(本例中為“intdomain”)。
當系統要求時,輸入某個域的完全合格的域名稱,該計算機將變成該域的額外域控制器。(本例中輸入“intdomain.com”。)
與安裝第一個 Active Directory 伺服器時類似,系統將要求您指定資料庫和日誌的位置,以及共享系統卷。為簡化此過程,我們選擇接受預設位置。
指定“管理員”密碼後,系統將要求您檢查並確認摘要螢幕上的資訊。單擊下一步,開始安裝。當安裝完成後,重新啟動伺服器。設定 Active Directory 客戶。在安裝 Windows 2000 時,系統會要求您加入現有的域或工作組。如果在安裝時還沒有域控制器,則可以在以後加入此域。
在開始此過程之前,要確保該計算機有權訪問同一網段,這樣它才可以與此域進行通訊。因為在設定另一個域控制器時,需要指定 DNS 伺服器的 IP 地址。
以下步驟描述如何在 Windows 2000 中將一臺計算機加入新域:右鍵"我的電腦"-->"屬性"-->"網路標識"-->"屬性"-->"隸屬於"下選擇"域"並輸入你所建立的域名.[@more@]
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/658202/viewspace-1033543/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 活動目錄
- 活動目錄域:新增計算機與檔案共享計算機
- Word 設定目錄
- 在word中怎麼設定目錄 word設定目錄的方法
- 獲取和設定pdf目錄
- 在活動目錄裡面建立物件物件
- Vue設定許可權列表目錄Vue
- secureCRT如何設定sz傳輸目錄Securecrt
- RAC 設定NFS作為歸檔目錄NFS
- Windows 2000 活動目錄的特性(轉)Windows
- Windows 2000 活動目錄簡介(轉)Windows
- windows bat系列10:批量設定&取消共享目錄WindowsBAT
- vmware安裝VMware Tools,並設定共享目錄
- rsync 設定Linux下目錄同步[final]Linux
- 使用T-SQL進行活動目錄查詢SQL
- Nginx設定訪問伺服器某個目錄Nginx伺服器
- linux與linux之間共享目錄設定Linux
- oracle 10G設定歸檔目錄及命令Oracle 10g
- Oracle中常用的目錄許可權設定命令Oracle
- Unity中的自動更新目錄結構設定Unity
- windows 2000活動目錄之應用篇(轉)Windows
- windows 2000活動目錄之結構篇(轉)Windows
- Word中怎麼新增目錄連結?word目錄連結到相應頁碼設定教程
- 活動目錄的安裝:深入淺出Active Directory系列(二)
- Linux使用:檔案或目錄的許可權設定Linux
- Excel如何設定列印區域?Exce列印區域設定教程Excel
- 【目錄】JVM目錄JVM
- win10怎麼設定nfs共享目錄_win10啟動nfs共享目錄的操作步驟Win10NFS
- 轉儲活動目錄資料庫憑證的方法總結資料庫
- windows 2000活動目錄之與安裝配置篇(轉)Windows
- 【目錄】集合框架目錄框架
- BlueHost主機cPanel皮膚目錄隱私設定圖文教程
- Linux設定中文幫助文件、常見目錄、幫助命令Linux
- Linux下Web目錄和檔案安全許可權設定LinuxWeb
- linux下目錄、檔案顯示顏色的設定生效Linux
- Linux - 設定SFTP服務使用者目錄許可權LinuxFTP
- 目錄伺服器如何設定才能透過程式取得密碼?伺服器密碼
- vue 原始碼目錄設計Vue原始碼