4计算机管理汇编.ppt

域控制器的安装和使用 域的相关概念 第一台域控制器的安装 额外的域控制器的安装 确认域控制器正确运行 客户机登录到域 基本概念 域：网络中若干个服务器和客户机的集合，windows网络系统的安全性边界 Active Directory（ AD活动目录）：域中负责提供目录服务的组件，用来存储域内用户账户、组、打印机、共享文件夹等对象。 命名空间：一个界定好的区域，区域内可以利用名称找到与该名称有关的信息。活动目录就是一个“命名空间”。 例如，文件系统就是一个“命名空间”，可以利用文件名称找到文件的大小、修改日期和内容等数据。 Win2003的域“命名空间”采用DNS架构，域名采用DNS格式命名。 基本概念 域树： 域树由多个域组成，这些域共享同一个表结构和配置，形成一个连续的名字空间 其最上层的域称为域树的根。 域树符合DNS域名空间的命名原则。 基本概念 域林： 域林是指一个或多个没有形成连续名字空间的域树。域林中的所有域树共享同一个表结构、配置和全局目录。 域林中的所有域树通过 Kerberos 信任关系建立起来，不同域树可以交叉引用其他域树中的对象。 基本概念 信任关系： 建立了“信任关系”之后的两个域可以访问对方域内的资源。 信任的功能通过Kerberos协议完成。 信任关系具有双向传递性。 在建立域树或者域林时，会自动建立域之间的信任关系，即域树或者域林内的所有域之间都是相互信任的。 信任关系的双向传递性 基本概念 域控制器：是安装活动目录的计算机。域中至少有一台域控制器，域控制器承担的工作：提供AD服务；保存和复制AD数据库；管理域中的活动等。 多台域控制器的域中，每台域控制器之间是平等的。当一台域控制器的AD数据发生变动后，变动的数据会被自动复制到其它域控制器的AD内。 成员服务器：成员服务器是指安装了服务器操作系统，但没有启用AD服务的计算机。 成员服务器是域的成员，可以为域提供某种服务，如文件服务、数据库服务、Web服务和电子邮件服务等。安装了AD之后，成员服务器就升级为域控制器。 独立服务器：独立服务器指安装了服务器操作系统，但不是域的成员的计算机。 独立服务器一旦加入域，就成为成员服务器，独立服务器安装了AD之后，也可以直接升级为域控制器。 活动目录支持的协议 建立域前的准备工作 DNS域名： 一个符合DNS规则的域名，域建立后修改域名很繁琐。 DNS服务器 使用现有的DNS服务器 将域控制器配置为DNS服务器 硬盘空间 至少250MB空间存储Active Diretory数据库 至少50MB空间存储日志文件 NTFS分区 域控制器的SYSVOL目录必须位于NTFS分区内。 建立域 方法： 先安装一台独立服务器，然后升级为域控制器。 先安装windows2003，然后使用Active Directory向导升级 建立第一台域控制器 建立了一个新林 建立了新林中的第一个域树 建立了域树中的第一个域 建立了域中的第一个域控制器 第一台域控制器的安装 启动Windows Server 2003系统自动打开“Server 2003配置服务器”窗口，或者选择“开始”/“程序”/“管理工具”/“配置服务器”，打开配置服务器向导窗口。 第一台域控制器的安装 第一台域控制器的安装 第一台域控制器的安装 上述步骤会打开AD安装向导 也可在运行行输入：dcpromo 启动AD安装向导 第一台域控制器的安装 选第一个选项，将跳出窗口。 第一台域控制器的安装 创建一个新的域目录树 第一台域控制器的安装 创建新的目录林（域林） 第一台域控制器的安装 为域输入符合DNS规则的域名 第一台域控制器的安装 为兼容早期NetBios确定NetBios名 第一台域控制器的安装 选择Active Directory数据库和日志文件的保存位置 放在不同的硬盘上会更好。 第一台域控制器的安装 选择sysvol文件夹位置 该文件夹必须在NTFS格式分区上 将被设置为共享并复制到本域的所有域控制器 第一台域控制器的安装 配置DNS服务器 为本域控制器安装DNS服务 第一台域控制器的安装 选择是否使用与win2000之前的版本兼容的权限 第一台域控制器的安装 为域的管理员指定登录密码 第一台域控制器的安装 根据你的设置，显示摘要信息，以供检查，确认执行任务。 第一台域控制器的安装 开始配置域控制器 第一台域控制器的安装 安装程序配置组件 第一台域控制器的安装 安装程序配置Active Directory和DNS 第一台域控制器的安装 安装完成 第一台域控制器的安装 安装域控制器完成后必须重新启动机器 额外的域控制器的安装 在已有的域中新增加一个额外的域控制器有两个作用 提高登录效率 提供容错功能 确保主DNS设置为要加入的域的DNS 额外