2_实现AD的森林与域.pptVIP

第二章: 实现活动目录的森林和域 概述 建立森林和域 检验活动目录集成DNS 提升森林和域的功能级别 建立信任关系 2.1 建立森林和域 安装活动目录所需要满足的要求 如何建立森林和域 如何添加备份域控制器 如何更改域控制器的名称 如何从活动目录中删除域控制器 如何检验活动目录的安装 对活动目录的安装进行排错 2.1.1 安装活动目录所需要满足的要求 一台运行Windows?Server?2003的计算机 最少具有250MB的磁盘空间，并且有一个被格式化为NTFS的分区 具有建立域的管理权利 安装了TCP/IP协议，并且配置使用了DNS服务 有一台管理DNS域的DNS服务器 ，并且支持SRV资源记录 2.1.2 如何建立森林和域 2.1.3 如何添加备份域控制器 2.1.4 如何更改域控制器的名称 2.1.5 如何从活动目录中删除域控制器 2.1.6 如何检验活动目录的安装 2.1.7 对活动目录的安装进行排错 2.2 检验活动目录集成DNS DNS名称空间与活动目录名称空间 什么是活动目录集成区域？ 什么是SRV资源记录？ 由域控制器注册的SRV记录 如何检验由域控制器注册的记录 客户机如何使用DNS来寻找域控制器和服务 2.2.1 DNS名称空间与活动目录名称空间 2.2.2 什么是活动目录集成区域？ 2.2.3 什么是SRV资源记录？ 2.2.4 由域控制器注册的SRV记录 2.2.5 如何检验由域控制器注册的记录 2.2.6 客户机如何使用DNS来寻找域控制器和服务 2.3 提升森林和域的功能级别 什么是森林和域的功能性? 如何提升功能级别 2.3.1 什么是森林和域的功能性？ 2.3.2 如何提升功能级别 2.4 建立信任关系 信任的类型 森林内的信任如何工作 森林间的信任如何工作 如何建立信任 如何检验和吊销信任 2.4.1 信任的类型 2.4.2 森林内的信任如何工作 2.4.3 森林间的信任如何工作 2.4.4 如何建立信任 2.4.5 如何检验和吊销信任 在建立森林和域时可以参考下面的步骤 在添加备份域控制器时可以参考下面的步骤 教师将演示如何更改域控制器的名称 在删除域控制器时可以参考下面的步骤 教师将演示如何: 检验 SYSVOL文件夹及其共享文件夹的建立 活动目录数据库和日志文件的建立 默认活动目录结构的建立 通过检查事件日志来检验活动目录安装的结果 可用的磁盘空间小于安装活动目录所需要的最小磁盘空间 磁盘空间不够 网络错误 DNS 错误 不能与域建立联系 另一个域也使用了相同的DNS或NetBIOS域名 DNS或NetBIOS域名不唯一 可能的原因 症状 没有使用本地管理员组中的用户 帐号登录 所使用的用户凭据不是Domain Admins组或Enterprise Admins组中的成员 在建立或添加域控制器时拒绝访问 training microsoft = DNS节点(域或计算机) = 活动目录域 sales computer1 DNS根域 “.” com. DNS名称空间 活动目录名称空间 microsoft.msft sales. microsoft.msft training. microsoft.msft 活动目录集成区域 是指以对象的形式存储在活动目录数据库中的DNS主区和存根区 可以被存储在活动目录的应用程序分区或域分区中 提供以下好处 多主复制 安全的动态更新 与其它DNS服务器进行标准的区域传输 SRV资源记录是把一种服务与提供该服务的计算机的DNS名称联系在一起的DNS记录。 SRV记录的格式 举例 _ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft _Service_.Protocol.DomainName??Ttl??Class??SRV?Priority?Weight?Port?Target 运行Windows Server 2003的域控制器在 _msdcs 子域中注册如下格式的SRV记录： 举例 _ldap._tcp.DnsDomainName _ldap._tcp.SiteName._sites.dc _gc._tcp.DnsForestName _gc._tcp.SiteName._sites.DnsForestName _kerberos._tcp.DnsDomainName _kerberos._tcp.SiteName _Service._Protocol.DcType._msdcs.DnsDomainName 教师将演示如何