『壹』 請問一下什麼是域怎麼操作加入域
一、認識Windows 的域
本小節重點從理論上闡述域的概念、作用和Windows 中域的產生。
一台Windows 計算機,它要麼隸屬於工作組,要麼隸屬於域。所以說到域,我們就不得不提一下工作組,工作組是MS 的概念,一般的普遍稱謂是對等網。工作組通常是一個由不多於10 台計算機組成的邏輯集合,如果要管理更多的計算機,MS 推薦你使用域的模式進行集中管理,這樣的管理更有效。你可以使用域、活動目錄、組策略等等各種功能,使你網路管理的工作量達到最小。當然這里的10 台只是一個參考值,11 台甚至20 台,如果你不想進行集中的管理,那麼你仍然可以使用工作組模式。工作組的特點就是實現簡單,不需要域控制器DC,每台計算機自己管理自己,適用於距離很近的有限數目的計算機。另外工作組名並沒有太多的實際意義,只是在網上鄰居的列表中實現一個分組而已;再就是對於「計算機瀏覽服務」,每一個工作組中,會自動推選出一個主瀏覽器,負責維護本工作組所有計算機的NetBIOS 名稱列表。用戶可以使用默認的workgroup,也可以任意起個名字,同一工作組或不同工作組在訪問時也沒有什么分別。域(Domain)是一個共用「目錄服務資料庫」的計算機和用戶的集合,實現起來要復雜一些,至少需要一台計算機安裝NT/2000/03 Server 版本使其充當DC,來實現集中式的管理。若考慮到容錯的話,至少需要兩台。對於NT4 域就是一台PDC(具有唯一性),一至多台BDC,對於2000/03 域,已經沒有PDC 和BDC 的概念,要容錯就需要兩至多台DC。域是邏輯分組,與網路的物理拓撲無關,可以很小,比如只有一台DC;也可以很大,包括遍布世界各地的計算機,比如大型跨國公司網路上的域(當然實際中他們多採用多域結構,還可以利用AD 站點來優化AD 復制)。這個「目錄服務資料庫」,在NT4 時,保存用戶帳號名稱和密碼等安全安全信息,以及安全規則設置,又被稱作安全帳號管理(SAM)資料庫,簡稱SAM 庫。在非DC 上的本地的SAM庫與DC 上域所用的SAM 庫類似,只不過對於NT4 域的SAM 庫文件,保存有整個域的用戶和計算機,用「域用戶管理器」和「伺服器管理器」來管理,本地的SAM 庫文件,保存有本地機的用戶,由「用戶管理器」來管理。
從2000 開始,MS 引入了活動目錄AD,DC 通過AD 來提供目錄的服務,例如它負責維護AD 資料庫、審核用戶的賬戶和密碼是否正確、將AD 資料庫復制到其它的DC 等。AD 庫的核心文件就是winnt\ntds\ntds.dit 文件。注意組策略的具體設置值,並不存在這個文件中,而是保存在winnt\sysvol\sysvol 這個共享夾下,用於向其它DC 復制,傳播給域成員,來生效。但需要說明的是:2000/XP/03 的非DC 域成員計算機上仍使用和NT4 一樣的SAM 庫文件來保存本地帳號。正是由於所有域成員計算機和域用戶都共用這個域的「目錄服務資料庫」,域管理員就可以基於域的「目錄服務資料庫」來進行集中管理、共享資源,如用戶、組、計算機帳號、許可權設置、組策略設置等等。目錄服務為管理員提供從網路上任何一個計算機上查看和管理用戶和網路資源的能力。目錄服務也為用戶提供唯一的用戶名和密碼,用戶只需一次登錄,即可訪問本域或有信任關系的其它域上的所有資源(當然用戶得有許可權才行),而不需要多次提供用戶
名和密碼登錄。
二、構建Windows 2000 的域
這個過程簡單說就是:選一台2000S/AS 計算機,運行AD 安裝向導,在其上安裝活動目錄,使其成為DC。然後將其它的計算機加入到這個域。
說明:至於是用2000S,還是用2000AS,對於一般的用戶差別不大。2000S 支持最多4 個
CPU,最大4G 內存;2000AS 支持最多8 個CPU,最大內存8G,還支持群集功能。但這些我們一般用戶都用不到,所以對於普通用戶來說,選擇S 或AS 都是一樣的。
1、系統要求
*一台2000S 或2000AS 獨立或成員伺服器,2000DS 只有OEM 版,隨廠商硬體發售,平常我們是見不到的。
* 其上必須有一個NTFS 5.0 分區,用來保存AD 的sysvol 文件夾。注意:2000 的NTFS 分區是NTFS 5.0,NT4 的是NTFS 4.0,NT4 必須安裝SP4 後,才可訪問2000 的NTFS 分區。
* 網路上必須有可用的DNS 伺服器,並且必須支持SRV 記錄(Service Locaion Resource Record)和動態更新功能。如:MS Win2000S DNS,UNIX 的DNS BIND 8.12 及以上版本,使用已有的NT4 DNS 是不行的。
說明:
構建NT4 域並不需要DNS 的支持,但2000 域必須有DNS,且滿足上述要求。SRV 記錄的作用是指明域和站點(site)的DC、PDC 模擬、GC 是誰。動態更新也是2000DNS的新特色,管理員不必再象NT4 DNS 那樣手動為計算機創建或修改相應記錄,在域成員計算機
重啟,或改名、改IP 時依賴周期性更新,自動動態實現。
如果沒有DNS 伺服器的話,也不一定非得預裝DNS,可以在安裝AD 過程中,選擇在本機上安裝2000 DNS。而且推薦初學者使用這種方法,因為系統會根據你提供的FQDN 域名,自動創建好DNS 區域(zone),並配置成AD 集成區域,僅安全動態更新。如果需要向外連或反向
解析,用戶只需配置上轉發器和反向區域即可,不需要的話,直接就可以用了。如果決定在安裝AD 過程中在本機安裝DNS,應在安裝前,將本機TCP/IP 配置/DNS 伺服器指向自己,這樣在安裝AD 完成後重啟時,SRV 記錄將被自動注冊到DNS 伺服器的區域當中
去的,生成四個以下劃線開頭的文件夾,如_msdcs,03DNS 在這里夾的層次結構有所變化,但本質沒變。當然如果忘了指,也可以後補上,只不過需要多重啟一次。
2、安裝步驟、注意事項、常見問題、經驗技巧
(1)啟動AD 安裝向導
方法一:開始/程序/管理工具/配置伺服器/ Active Directory /啟動AD 安裝向導。
方法二:熟練後一般常用,開始/運行:dcpromo。
(2)安裝選項:指定伺服器角色
三個界面,實現四種組合:
新域
附加DC
新樹
子域
新林
加入林
即:
* 新域—新樹—新林
* 附加DC
* 新域—子域
* 新域—新樹—加入林
全新安裝:新域—新樹—新林,這樣來建立第一個域中的第一台DC。
2000 的多域模型採用層次結構,不同於NT4 域的平面結構,NT4 的多個域之間只是通過信任關系關聯起來。接下來以下圖為例,對2000 的域、樹、林進行簡要說明:
ms.com
/ \
trainning.mcse.com lotus.com
這整個是一個林,ms.com 為林根域,有兩個樹,一個由ms.com 和它的子域trainning.ms.com組成,另一個由lotus.com 單獨組成,林中有ms.com,trainning.ms.com,lotus.com 三個域。相關
概念如下:
林根域:在林中第一個建立的域,如:ms.com
樹:共用連續的命名空間的多層域,如ms.com 和trainning.ms.com
樹根域:樹最高層的域,名最短。如:ms.com
說明:
2000 可採用多層域結構,但最有效、最簡便的管理方法仍是單域,所以大家在實際工作中要記住一個原則「能用單域解決,就不用多域」。再者2000AD 是針對大中型網路設計的,而我們一般管理的網路也就幾百個節點,屬於小型網路,一般來講用一個單域結構就夠用了,不要人為將管理環境復雜化。在實驗中,我們甚至可以一個林中只有一個樹,一個樹中只有一個域,一個域里只有一台DC。
另外前面已經說過了,域是邏輯分組,與網路的物理拓撲無關,不要總試圖規劃一個子網
一個域。當然實際中多個子網一個域,子網中若有95/98/NT 老計算機,無法利用DNS 直接登錄到域,可以安裝一台WINS 伺服器解決問題。將所有計算機,包括WINS 伺服器本身的TCP/IP
配置中的WINS 伺服器指向此WINS 伺服器即可。
(3)安裝選項:新域的DNS 全名
說明:
在這里應該輸入新域的完全有效域名FQDN,形如:mcse.com。系統會打算以mcse 作為此
域的NetBIOS 名稱,並在網路中檢查是否存在重名,需要等一會兒。不重名則設為mcse,建議用戶不要修改此名;重名則設為mcse0,建議用戶最好換個名字。這也就是說,網路中如果已有一個域,名字叫做mcse.org,也會出現NetBIOS 名稱沖突的問題。
(4)安裝選項:為新域指定一個NetBIOS 名稱
說明:
NetBIOS 名稱,只是為95/98/NT 等老版本用戶通過「瀏覽服務」或WINS 來識別這個域用的,如果確信域用戶都是2000 及以上系統(它們通過DNS 定位域),其實NetBIOS 名稱沖不沖突,都無所謂。
(5)安裝選項:指定AD 庫和日誌文件位置
說明:
如果僅是實驗,用默認值即可。若是在真正的伺服器上,都會有多塊物理硬碟,最好分開存放,以提高性能。另外需要強調的是:AD 庫和日誌文件並不要求非得NTFS 5.0 分區,很多2000/03 書在此語焉不詳。
(6)安裝選項:指定sysvol 文件夾位置
說明:
是sysvol 這個文件夾要求必須得NTFS 5.0 分區。在它當中存儲有DC 間AD 要同步的內容,包括組策略的設置值。
(7)這時網路中若無可用DNS 伺服器,就會出現提示:找不到DNS 伺服器,需要考慮在本機上安裝一個DNS 伺服器。可先不必理會,點「確定」,接下來選「是,在本機上安裝並配置DNS」。初學者在此不要選「否,我將自己安裝並配置DNS」。
(8)幾分後,安裝完成,需要重啟。
說明:
若硬碟或網路上沒有可用的2000S 源文件,會提示要2000S 光碟。
最好用新裝2000S 來安裝AD,這樣不容易出問題。如果你是用一個台運行了一段時間的2000S/AS,來安裝AD,使其成為DC。重啟及登錄時可能會很慢(有時可能長達20 分鍾),這是較常見的現象。一般2-3 次以後就好了,如果多次重啟後還那樣,那就要重裝系統及AD 了。
3、域成員計算機
(1)將計算機加入到域
首先將客戶機TCP/IP 配置中所配的DNS 伺服器,指向DC 所用的DNS 伺服器。然後我的
電腦/右鍵/屬性/網路標識/屬性/隸屬於,選擇域:輸入域名,確定。提示輸入用戶口和口令,確定後提示重啟。
說明:
加入域時,如果輸入的域名為FQDN 格式,形如mcse.com,必須利用DNS 中的SRV 記錄
來找到DC,如果客戶機的DNS 指的不對,就無法加入到域。
加入域時,如果輸入的域名為NetBIOS 格式,如mcse,也可以利用瀏覽服務(廣播方式)
直接找到DC,但它不是一個完善的服務,有時就會不好使。
這樣雖然也可把計算機加入到域,而且在等較長時間後也可以登錄到域上去,但不推薦。因為客戶機的DNS 指的不對,則它無法利用2000DNS 的動態更新動能,也就是說無法在DNS區域中自動生成關於這台計算機的A 記錄和PTR 記錄。那麼同一域另一子網的2000 及以上計算機就無法利用DNS 找到它,這本應是可以的。
再者,管理員無法在客戶機上利用域的管理工具來遠程管理域,因為這些管理工具必須使用DNS,出錯提示:找不到域命名信息(有時客戶機的DNS Client 服務有問題也會出現上述提
示,重啟服務即可)。這種情況下,要進行遠程管理,就只能利用TS(終端服務)基於IP 來連了。
當然用戶也可以手動配置WINS 或Lmhosts 文件,來查找DC。這主要用於95/98/NT 老版本計算機跨子網(路由)查找DC 或加入域,因為這些老版本計算機無法利用DNS 來查找DC,瀏覽服務又是廣播方式,只能在本網段進行,因為廣播信息是無法通過路由器的,RFC1542 標
準的路由器,可設置成允許DHCP 的廣播數據通過,僅是一個特例。需要說明的是:95/98 可以使用域用戶帳號登錄到域,但並不能加入到域,在AD 中也沒有計算機帳號,而NT 可以。計算機加入域成功後,未重啟,即已在AD 用戶和計算機/computer 容器下生成計算機帳號
了,實驗中查看時,需要手動刷新一下。而在DNS 中記錄必須在計算機重啟後(不必登錄)或15 分鍾後才能自動注冊或更新到DNS 區域。但若我們平常修改一個計算機的名字或IP,要馬上更新到DNS 區域,倒不一定非得重啟,可利用ipconfig /registerdns 命令就行。明白以上討論可用於排錯,不一定非得重啟登錄後才知道結果。
加入到NT4 域時,需要有管理特權才行;從Windows 2000 開始,微軟作了改進:在Windows2000/03 域中,默認Authenticated Users 即可在域中最多創建 10 個計算機帳戶。Authenticated Users
指被驗證的用戶組,也就是說任何經過身份驗證的普通域用戶都可以加最多10 台計算機到域。
常見問題:在實際中用普通域帳號加計算機到域,有時會不好使,原因是同名計算機帳號(極
可能是它自己已經失效的計算機帳號)已存在而無權覆蓋,這時就得用域管理員帳號了。
(2)在加入域的計算機上,用域用戶帳號登錄到域。
說明:
在域中的非DC 計算機上,可以選擇登錄到域或本機,這是因為它同時還擁有本地用戶帳號。而在DC 上只能選擇登錄到域了,因為整個域都是DC 的,它沒有必要再保留本地帳號了。
2000 是個紅叉,03 乾脆就沒有了。安裝AD 時,會自動刪除本地帳號,即使將來刪除AD,也無法將本地帳號復原,而是重新
生成的。這一點一定要注意:如果本地有EFS 加密的文件,一定要將證書導出或將文件解密後,再在這台計算機上做AD 安裝實驗。
在2000 及以上計算機上登錄到域的過程是這樣的:域成員計算機根據本機DNS 配置去找DNS 伺服器,DNS 根據SRV 記錄告訴它DC 是誰,客戶機聯系DC,驗證後登錄。
(3)深入討論:
如果是在林中跨域登錄,是首先查詢DNS 伺服器,問林的GC 是誰。
前面我們在步驟(1)中強調「加入域前,首先將客戶機TCP/IP 配置中所配的DNS 伺服器,指向DC 所用的DNS 伺服器。」其實如果域中有多個DNS 伺服器,也可以指向其它的DNS 伺服器,當然這些DNS 伺服器之間得有區域復制關系。這樣做的目的恰恰是:大中型網路為了平衡DNS 負載。