扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:ChinaITLa 来源:ChinaITLa 2008年7月1日
在本页阅读全文(共2页)
3、域成员计算机
(1)将计算机加入到域
首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。然后我的电脑/右键/属性/网络标识/属 性/隶属于,选择域:输入域名,确定。提示输入用户口和口令,确定后提示重启。
说明:
加入域时,如果输入的域名为FQDN格式,形如mcse.com,必须利用DNS中的SRV记录来找到DC,如果客户机的DNS 指的不对,就无法加入到域。
加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但它不是 一个完善的服务,有时就会不好使。
这样虽然也可把计算机加入到域,而且在等较长时间后也可以登录到域上去,但不推荐。因为客户机的DNS指的 不对,则它无法利用2000DNS的动态更新动能,也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录 。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它,这本应是可以的。
再者,管理员无法在客户机上利用域的管理工具来远程管理域,因为这些管理工具必须使用DNS,出错提示:找 不到域命名信息(有时客户机的DNS Client服务有问题也会出现上述提示,重启服务即可)。这种情况下,要 进行远程管理,就只能利用TS(终端服务)基于IP来连了。
当然用户也可以手动配置WINS或Lmhosts文件,来查找DC。这主要用于95/98/NT老版本计算机跨子网(路由)查 找DC或加入域,因为这些老版本计算机无法利用DNS来查找DC,浏览服务又是广播方式,只能在本网段进行,因为广 播信息是无法通过路由器的,RFC1542标准的路由器,可设置成允许DHCP的广播数据通过,仅是一个特例。需要说明 的是:95/98可以使用域用户帐号登录到域,但并不能加入到域,在AD中也没有计算机帐号,而NT可以。
计算机加入域成功后,未重启,即已在AD用户和计算机/computer容器下生成计算机帐号了,实验中查看 时,需要手动刷新一下。而在DNS中记录必须在计算机重启后(不必登录)或15分钟后才能自动注册或更新到DNS区域 。但若我们平常修改一个计算机的名字或IP,要马上更新到DNS区域,倒不一定非得重启,可利用ipconfig /re gisterdns命令就行。明白以上讨论可用于排错,不一定非得重启登录后才知道结果。
加入到NT4域时,需要有管理特权才行;从Windows 2000开始,微软作了改进:在Windows 2000/03域 中,默认Authenticated Users即可在域中最多创建 10 个计算机帐户。Authenticated Users 指被验证的用户组,也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。常见问题:在实际中用 普通域帐号加计算机到域,有时会不好使,原因是同名计算机帐号(极可能是它自己已经失效的计算机帐号)已存在 而无权覆盖,这时就得用域管理员帐号了。
(2)在加入域的计算机上,用域用户帐号登录到域。
说明:
在域中的非DC计算机上,可以选择登录到域或本机,这是因为它同时还拥有本地用户帐号。而在DC上只能选择登 录到域了,因为整个域都是DC的,它没有必要再保留本地帐号了。2000是个红叉,03干脆就没有了。
安装AD时,会自动删除本地帐号,即使将来删除AD,也无法将本地帐号复原,而是重新生成的。这一点一定要注 意:如果本地有EFS加密的文件,一定要将证书导出或将文件解密后,再在这台计算机上做AD安装实验。
在2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS根据SRV记 录告诉它DC是谁,客户机联系DC,验证后登录。
(3)深入讨论:
如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。
前面我们在步骤(1)中强调“加入域前,首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务 器。”其实如果域中有多个DNS服务器,也可以指向其它的DNS服务器,当然这些DNS服务器之间得有区域复制关系。 这样做的目的恰恰是:大中型网络为了平衡DNS负载。
三、建立其它域控制器
前面我们讨论了“建立第一个域中的第一台域控制器”,分析得很细。以下相同知识点的内容将不再赘述。
1、安装附加DC
(1)以本机管理员身份登录,在独立或成员服务器上,启动AD安装向导。
说明:
将成为附加DC的计算机,不必非得先加入域。
DNS指向已有DC所用DNS服务器,以便找到已有DC。安装结束后,一般应该手动在本机上再装一个DNS服务器,以 实现DNS的容错。
(2)选择:现有域的额外域控制器
(3)输入域管理员帐号,如:administrator,password,mcse.com(或mcse)。
常见找不到域的出错提示:域“mcse.com”不是AD域,或用于域的AD域控制器无法联系上。
解决:确保DNS指向已有DC所用DNS的服务器。
其它:Ping一下,检查物理连通性。高级用户是否设过TCP/IP筛选器或RRAS筛选器。
(4)输入域名,如:mcse.com。
(5)指定AD库和日志文件位置
(6)指定sysvol文件夹位置
(7)一般选:“与Windows 2000服务器之前的版本相兼容的权限”
(8)目录服务恢复模式的管理员密码
(9)几分后,安装完成,需要重启。
(10)手动在本机上安装DNS服务器,以实现DNS的容错。
A、开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统(DNS)。
B、开始/程序/管理工具/DNS
C、正向搜索区域/右键/新建区域,建议选择“AD集成区域”,区域名:已有区域的名称,如mcse.com。 自动生成起始授权机构(SOA)、名称服务器(NS)、主机(A)三条记录,但此时SRV记录并未被复制过来。需要等 待5-15分钟后,利用刷新或重新加载就可以看到复制过来的DNS记录了(对于03马上就可以看到复制过来的全部DNS记 录)。
深入讨论:
03和2000比,功能更强大了。但在域和AD的体系结构上并没有什么大的变化,而且MS的产品十分讲究向前兼容。 在一个域中可以既有2000DC,又有03DC;也可以既有2000DNS,又有03DNS,并且DC间的AD复制,DNS间的区域传输, 都好像没有版本差异一样。
在我们这里要说的就是:2000可作为03域的附加DC,03也可以作为2000域的附加DC,但第二种情况需要在2000DC (SP2及更高)上运行03光盘/I386/adprep命令来做准备。
具体第一步:adprep /forestprep进行林准备,第二步adprep /domainprep进行域准备。
2、建立子域
(1)以本机管理员身份登录,在独立或成员服务器上,启动AD安装向导。
说明:
DNS指向林根域已有DC所用DNS服务器,以便找到已有DC。
保证域命名主控必须有效,它默认在林根域的第一台DC上,且具有林唯一性。利用管理工具“AD域和信任关系” 可转移域命名主控。
(2)选择:新域的域控制器,下一步,在现有的树中创建一个新的子域
(3)输入林管理员帐号,如:administrator,password,mcse.com(或mcse)。
常见出错提示:域“mcse.com”不是AD域,或用于域的AD域控制器无法联系上。解决方法见前。
(4)输入父域名,如:mcse.com;输入子域名,如sub,注意不要输成sub.mcse.com。
(5)指定AD库和日志文件位置
(6)指定sysvol文件夹位置
(7)一般选:“与Windows 2000服务器之前的版本相兼容的权限”
(8)目录服务恢复模式的管理员密码
(9)几分后,安装完成,需要重启。
如果域命名主控失效将会出现如下出错提示:“由于以下原因,操作失败:AD无法与域命名主机xxx联系。指定 的服务器无法运行指定的操作。”
解决:保证域命名主控联机,如果确信其已无法正常工作,可强制传给林内的任意一个DC,子域的DC也可以。原 来的主机将必须被重做系统后,才可连入网络,以保证域命名主控的林唯一性。
深入讨论:
关于子域(子Domain)所对应的DNS子区域(子zone)是否委派的问题。(以下简称:子区域)
如果网络规模不是很大,虽然实现了子域,但总部、二级单位的网管可能就是同一个人。这种情况下就不需要委 派了。可以把区域、子区域都放在同一个DNS服务器上,由同一名管理员来管理就可以了。默认值即如此,不需要手 动设置。
如果网络规模较大,且二级单位需要能够控制自己的DNS子区域,比如自己增加www1,www2……这样的主机记录;在自 己的子区域下再建子区域。这种情况下就需要委派子区域了,由二级单位的DNS管理员自己来管理。否则二级单位涉 及DNS的每一个小变化,都需要找总部DNS管理员批准。
子区域委派,操作步骤如下:(最好按如下步骤进行,不容易出问题)
A、DNS指向林根域(如:mcse.com)已有DC所用DNS服务器
B、利用AD安装向导,安装子域(如:sub.mcse.com),重启机。
C、在林根DNS控制台上查看,确保已在mcse.com生成子文件夹sub,且sub下有4个以下划线开头的,保存有SRV记 录的子文件夹(_msdcs、_sites、_tcp、_udp)已生成;sub下还应有如下2条A记录:(第二条记录如果未生成,手 动补上也可以。)
(与父文件夹相同)主机 IP
SUBdc 主机 IP
D、在父域(如:mcse.com)右键/新建委派/下一步/子区域名:sub。(不必担心重名,因为委派完成后,灰颜 色的委派的sub夹将取代黄颜色的sub夹,但注意操作过程中会共存一段时间)接下来,指定负责子区域的名称服务器:SUBdc.sub.mcse.com及它的IP,以生成粘合记录,下一步,完成。
E、在子域DC上安装DNS,操作:开始/设置/控制面板/添加删除程序/Windows组件/网络服务/域名系统(DNS)。
F、开始/程序/管理工具/DNS
G、正向搜索区域/右键/新建区域,建议选择“AD集成区域”,区域名:sub.mcse.com。自动生成SOA、NS 、A、A四条记录(后两条A记录,如C步中述),此时SRV记录也被复制过来了。
H、在DNS服务器的计算机名上/右键/属性/转发器:指向上一级或林根DNS的IP。
I、将子域DC的DNS指向自己,以后加入子域的计算机也使用子域的DNS,以实现DNS分担负荷。(当然,子域中的 计算机可以使用林中任一台DNS,也都好使)
注意:
由上述过程,大家可以了解到,做为被委派的DNS子区域的二级单位DNS管理员,是不能随意更改自己的DNS服务 器的。比如修改DNS服务器的IP,需要通知上级管理员,及时更新委派子区域的NS记录,否则林中其它用户就会找不 到你这个子域的计算机。
3、新域—新树—加入林
此种情况平常较少用到,因为一般企业只用一套命名体系,很少采用两上或两个以上的树。微软举的例子:一个 大企业兼并另一企业,并且想保留它的命名体系,技术上对应实现就是目录树和DNS名称空间。
说明:此种应该预先建好DNS正向搜索区,因为它不能像建子域那样,利用AD向导自动在已有DNS区域中创 建子区域。下面以前文中的mcse.com,sub.mcse.com,my.com图示为例进行说明。
(1)在林根DNS上,与mcse.com并列,创建区域my.com,最好选AD集成区域。
(2)以本机管理员身份登录,在独立或成员服务器上,启动AD安装向导。
说明:
DNS指向林根域已有DC所用DNS服务器,并保证域命名主控必须有效。
(3)选择:新域—新树—加入林
(4)输入林管理员帐号,如:administrator,password,mcse.com(或mcse)。
说明:
输入的欲登录的林根域名,也就告诉了系统要加入哪个林。
(5)输入新域的DNS全名,如:my.com;域NetBIOS名:MY。
(6)指定AD库和日志文件位置
(7)指定sysvol文件夹位置
(8)一般选:“与Windows 2000服务器之前的版本相兼容的权限”
(9)目录服务恢复模式的管理员密码
(10)几分后,安装完成,需要重启。
说明:
用预建DNS这种方式加入林,使用的是林根上已有DNS服务器,所以此计算机在林根DNS的my.com区域下,仅生成 一条主机(A)记录(如需要可手动添加:treedc 主机 IP),SOA和NS记录都是林根DNS服务器,但在my. com区域会有相应的SRV记录来标识它是这个树根域的DC。这种并没有实现DNS的分担负荷,如想实现,利用辅助区域 来做。
实验中发现:万不可像全新安装那样,在安装过程中,选择在本地安装一个DNS,这样将会这把个树根域安装成 一个独立的林根域。原因吗?去问微软吧。
四、卸载AD
在实际工作中有时我们需要改变服务器角色,或者将实验中安装的DC回复到普通成员/独立服务器身份, 这就要进行AD的卸载。
1、卸载时会提示给新的本地管理员设置密码
2、附加DC卸载后,仍在域中。
3、如果AD不能卸载,应从以下几方面考虑:
(1)权限
权限要求与安装AD类似,若一个林中只有一个域,那么你要卸载的就是林根域,需要林管理员权限;卸载附加DC 需要该域的域管理员权限;卸载子域或树,涉及到林结构的改变,也需要林管理员权限。
(2)DNS
一般应保证与安装时所用DNS一致。如果做了DNS规划,必须保证1中权限所要求的管理员身份能找到相应D C验证。
(3)域命名主控
卸载时只要涉及到林结构的改变,就需要保证域命名主控有效;卸载附加DC时不要求域命名主控有效。
但要注意的是:卸载时的出错信息与安装时的“AD无法与域命名主机xxx联系”提示不同,具体是:由于以下原因, 操作失败。以提供的凭据绑定到服务器xxx失败。“RPC服务器不可用”。
(4)卸载的顺序
与安装顺序相反,应该先逐级卸载下面的子域,最后卸载树根域、林根域。否则将导致子域无法卸载,而 存在的子域还有问题。
因为极有可能此时架构和域命名主控及GC未转移,林管理员组和架构管理员组(Schema Admins)已 经随林根域的删除而没有了。为什么这么说呢?因为如果管理员考虑到主控及GC等的转移问题,也就不会误删林根域 了。
五、从NT4域升级到2000域
1、预备知识:
NT4域采用单主控复制,DC分为PDC和BDC,BDC存储的只是PDC“目录服务数据库”文件的只读复本。在“服务器管理器”中可以将一台BDC提升为PDC,原PDC自动降为BDC。
一个域中只能有一台PDC,零到多台BDC以提供容错和分担负荷。但大家不要理解为一个网络中只能有一台PDC, 域是逻辑分组,我们可以在一个子网中建多个域。
2000域开始采用多主控复制,DC不再有PDC和BDC之分,DC间的AD复制是双向的。但2000域中会唯一有一台DC担当 PDC仿真主控,负责充当NT4 BDC的PDC,并为早期版本客户机提供服务。PDC仿真主控还负责管理运行NT、95/98 计算机的密码变化,写入AD。接受密码变化的DC必须通知PDC仿真主控,比如:用户登录时,如密码错误,必先送至P DC仿真主控。因为普通DC不能确认到底是密码错误,还是它没有及时与PDC仿真主控同步。它还负责同步整个域中计 算机的时间。通过以上我们可以知道:在2000域中存在的NT4域控制器,它的身份只能是BDC。
2000域模式分为:混合(mixed)模式和本机(natived)模式。默认为混合模式,如果管理员确认域中所 有DC(注意:这里强调的是DC,2000域本机模式下可以有NT4的成员服务器)都是2000DC,没有NT4的域控制器,可以 手动在“AD用户和计算机中”将域模式更改为本机模式,以充分利用AD的新功能,比如使用“通用组”。
通过以上分析,我们可以知道:如果在2000域中存在NT4域控制器,那么你只能使用2000域混合模式了。 有人可能会想那我就不让它再当域控制器了,但是NT4域的DC和成员服务器之间角色转换必须重装NT4系统,不能象20 00那样利用AD安装向导,方便地进行安装/卸载。
2、原则:由NT4域向2000域升级,第一个被升级的必须是NT4域的PDC。这样才可以把帐号、安全设置、配置等带到20 00域
3、MS推荐策略:由于升级是一个极易出现各种问题的过程,必须考虑备份。再有就是实际操作时,可以先将NT4的BD C提升为PDC,再升级到2000。如果顺利的话,再升级其它BDC。如果不顺利的话,可将原来PDC复原,以此方法来避免 损失。
4、深入讨论:我们可以把前面的问题再深入讨论一下,假设你的域中有NT4的PDC,并且在它上面运行的老程序不允 许你把它升级为2000,但你还想要通过升级NT4域,得到2000域,那么应该怎么办呢?答案很简单,可以先将这台PDC 降为BDC,再将新PDC升级为2000。这样你既得到了2000域,又保留了NT4的BDC。
5、我的推荐原则:在实际工作中,只要能进行2000域的全新安装,就用全新安装。因为NT4升级后得到的2000安全策 略设置等等是继承NT4时的设置,与2000域的默认值有较大出入,以后出问题,不易排错,也不易与其它人交流沟通 、解决问题。
本文基于自己几年来的实践心得,讨论重点放在如何规划和最终实现Windows 2000/03域和活动目录 ,以及此过程中要考虑和解决的各种各样问题。至于如何基于域和AD的优点进行网络管理降低TCO,AD的维护,主控 的管理,将另行撰文专门讨论。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者