網(wǎng)絡(luò)操作系統(tǒng)教程——windows server2008管理與配置 教學(xué)課件 ppt 作者 劉本軍 [第4單元]域與活動(dòng)目錄的管理

1、網(wǎng)絡(luò)操作系統(tǒng)教程,---- Windows Server 2008管理與配置,湖北三峽職業(yè)技術(shù)學(xué)院 魏文勝 劉本軍,第4單元 域與活動(dòng)目錄的管理,當(dāng)管理的是中型以上規(guī)模的計(jì)算機(jī)網(wǎng)絡(luò)時(shí)，通常不再采用對(duì)等式工作的網(wǎng)絡(luò)，而會(huì)采用C/S工作模式的網(wǎng)絡(luò)，并應(yīng)用B/S的模式來(lái)組建網(wǎng)絡(luò)的應(yīng)用系統(tǒng)。有時(shí)，網(wǎng)絡(luò)雖然不大，但是需要的服務(wù)種類比較多，也需要組建具備強(qiáng)大管理功能的C/S網(wǎng)絡(luò)。在單域、域樹(shù)、域林等多種網(wǎng)絡(luò)的組織結(jié)構(gòu)中，企業(yè)只有規(guī)劃一個(gè)合

2、理的網(wǎng)絡(luò)結(jié)構(gòu)，才能很好地管理與使用網(wǎng)絡(luò)?；顒?dòng)目錄是域的核心，通過(guò)活動(dòng)目錄可以將網(wǎng)絡(luò)中各種完全不同的對(duì)象以相同的方式組織到一起。活動(dòng)目錄不但更有利于網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)的集中管理，方便用戶查找對(duì)象，也使得網(wǎng)絡(luò)的安全性大大增強(qiáng)。,單元描述：,第4單元 域與活動(dòng)目錄的管理,單元情境:,三峽縱橫科技信息技術(shù)有限公司是一家主要提供計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)與維護(hù)的網(wǎng)絡(luò)技術(shù)服務(wù)公司，2007年為上市公司宜昌安琪集團(tuán)建設(shè)了集團(tuán)總部?jī)?nèi)部的局域網(wǎng)絡(luò)，覆蓋了集團(tuán)四幢辦公

3、大樓，近1000個(gè)節(jié)點(diǎn)，擁有各種類型的服務(wù)器三十余臺(tái)。由于各種網(wǎng)絡(luò)與硬件設(shè)備分布在不同的辦公大樓和樓層，網(wǎng)絡(luò)資源和權(quán)限的管理非常麻煩，網(wǎng)絡(luò)管理人員疲于處理各種日常網(wǎng)絡(luò)問(wèn)題。作為技術(shù)人員，如何設(shè)計(jì)網(wǎng)絡(luò)，讓網(wǎng)絡(luò)更容易集中管理，能夠更輕松、自如地管理網(wǎng)絡(luò)，能夠?yàn)楣緶p少管理上的開(kāi)支，同時(shí)也減輕網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)？,我們組建局域網(wǎng)，就是要實(shí)現(xiàn)資源的共享，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的需要，共享的資源就會(huì)逐漸增多，如何來(lái)管理這些在不同機(jī)器上的資源

4、呢？工作組和域就是在這樣的環(huán)境中，產(chǎn)生的兩種不同的網(wǎng)絡(luò)資源管理模式。1、工作組（Work Group）工作組就是將不同的電腦按功能分別列入不同的組中，以方便管理。在一個(gè)網(wǎng)絡(luò)內(nèi)，可能有成百上千臺(tái)工作電腦，如果這些電腦不進(jìn)行分組，都列在“網(wǎng)上鄰居”內(nèi)，可想而知會(huì)有多么亂。為了解決這一問(wèn)題，Windows 引用了“工作組”這個(gè)概念，例如一個(gè)公司，會(huì)分為諸如行政部、市場(chǎng)部、技術(shù)部等幾個(gè)部門，然后行政部的電腦全都列入行政部的工作組中，市場(chǎng)部的

5、電腦全部都列入到市場(chǎng)部的工作組中。如果要訪問(wèn)別的部門的資源，就通過(guò)“網(wǎng)上鄰居”里找到那個(gè)部門的工作組名，雙擊就可以看到其它部門的電腦了。,4.1 域與活動(dòng)目錄概述,4.1.1 Windows Server 2008網(wǎng)絡(luò)類型,退出某個(gè)工作組方法也很簡(jiǎn)單，只要將工作組名稱改變一下即可。不過(guò)這樣在網(wǎng)上別人照樣可以訪問(wèn)你的共享資源，只不過(guò)換了一個(gè)工作組而已，工作組名并沒(méi)有太多的實(shí)際意義，只是在“網(wǎng)上鄰居”的列表中實(shí)現(xiàn)一個(gè)分組而已。也就是說(shuō)，

6、可以隨時(shí)加入同一網(wǎng)絡(luò)上的任何工作組，也可以隨時(shí)離開(kāi)一個(gè)工作組。“工作組”就像一個(gè)自由加入和退出的俱樂(lè)部一樣，它本身的作用僅僅是提供一個(gè)“房間”，以方便網(wǎng)上計(jì)算機(jī)共享資源的瀏覽。在Windows Server 2008系統(tǒng)中要啟用網(wǎng)絡(luò)發(fā)現(xiàn)功能，否則將無(wú)法找到網(wǎng)絡(luò)中的任何“鄰居”主機(jī)，也不會(huì)被其他的“鄰居”主機(jī)發(fā)現(xiàn)。用鼠標(biāo)右鍵單擊Windows Server 2008桌面中的“網(wǎng)絡(luò)”圖標(biāo)，在彈出的菜單中選擇“屬性”命令（也可以依次單擊Wi

7、ndows Server 2008桌面中的“開(kāi)始”→“設(shè)置”→“控制面板”命令，雙擊“網(wǎng)絡(luò)和共享中心”圖標(biāo)），打開(kāi)“網(wǎng)絡(luò)和共享中心”管理窗口，如圖4-1所示，單擊“網(wǎng)絡(luò)發(fā)現(xiàn)”設(shè)置項(xiàng)右側(cè)的向下箭頭按鈕，展開(kāi)“網(wǎng)絡(luò)發(fā)現(xiàn)”功能設(shè)置區(qū)域，選中“啟用網(wǎng)絡(luò)發(fā)現(xiàn)”單選項(xiàng)，單擊“應(yīng)用”按鈕，這樣就可以尋找網(wǎng)絡(luò)的“鄰居”主機(jī)了。,4.1 域與活動(dòng)目錄概述,4.1.1 Windows Server 2008網(wǎng)絡(luò)類型,4.1 域與活動(dòng)目錄概述,4.1

8、.1 Windows Server 2008網(wǎng)絡(luò)類型,圖4-1 啟用網(wǎng)絡(luò)發(fā)現(xiàn),如果上述設(shè)置不能幫助我們從網(wǎng)絡(luò)中尋找到“鄰居”主機(jī)，那就有必要檢查一下Windows Server 2008系統(tǒng)是否安裝了“啟用文件和打印機(jī)共享”功能組件。在“網(wǎng)絡(luò)和共享中心”管理窗口中，單擊左邊的“管理網(wǎng)絡(luò)連接”任務(wù)，在列表中選擇本地連接，進(jìn)入如圖4-2所示的“本地連接屬性”對(duì)話框。在該對(duì)話框的網(wǎng)絡(luò)功能組件列表中，確?！癢indows網(wǎng)絡(luò)的文件和打印機(jī)共享”

9、功能選項(xiàng)處于選中狀態(tài)。此外，還需要檢查TCP/IP屬性參數(shù)是否設(shè)置正確，以保證Windows Server 2008系統(tǒng)主機(jī)的IP地址，與要尋找的“鄰居”主機(jī)的IP地址處于同一個(gè)網(wǎng)段。如果仍然無(wú)法在“網(wǎng)絡(luò)和共享中心”管理窗口中查看到網(wǎng)絡(luò)中的工作組信息，可以檢查系統(tǒng)相關(guān)的“Computer Browser”服務(wù)信息，其操作步驟如下：選擇“開(kāi)始”→“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行文本框中，輸入命令“services.msc”，單擊“確定”

10、按鈕后，進(jìn)入系統(tǒng)服務(wù)列表窗口，找到系統(tǒng)服務(wù)“Computer Browser”，雙擊該服務(wù)器選項(xiàng)，打開(kāi)如圖4-3所示的“Computer Browser的屬性”對(duì)話框。設(shè)置該服務(wù)的啟動(dòng)類型為“自動(dòng)”，單擊“應(yīng)用”按鈕，然后單擊“啟動(dòng)”按鈕，將服務(wù)狀態(tài)設(shè)置為“已啟動(dòng)”。還應(yīng)及時(shí)檢查“Computer Browser”服務(wù)所依賴的另外兩個(gè)系統(tǒng)服務(wù)“Workstation”和“Server”是否運(yùn)行正常，這兩個(gè)系統(tǒng)服務(wù)提供了最基本的網(wǎng)絡(luò)訪問(wèn)支

11、持。,4.1 域與活動(dòng)目錄概述,4.1.1 Windows Server 2008網(wǎng)絡(luò)類型,4.1 域與活動(dòng)目錄概述,4.1.1 Windows Server 2008網(wǎng)絡(luò)類型,圖4-2 啟用文件和打印機(jī)共享,圖4-3 啟用Computer Browser服務(wù),2、域（Domain）：是一個(gè)有安全邊界的計(jì)算機(jī)集合，也可以理解為服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合。在對(duì)等網(wǎng)（工作組）模式下，任何一臺(tái)電腦只要接入網(wǎng)絡(luò)，其它機(jī)

12、器就都可以訪問(wèn)共享資源，如共享上網(wǎng)等。盡管對(duì)等網(wǎng)絡(luò)上的共享文件可以加訪問(wèn)密碼，但是非常容易被破解。在由Windows 構(gòu)成的對(duì)等網(wǎng)中，數(shù)據(jù)的傳輸是非常不安全的。在主從式網(wǎng)絡(luò)中，資源集中存放在一臺(tái)或者幾臺(tái)服務(wù)器上，如果僅僅只有一臺(tái)服務(wù)器，問(wèn)題就很簡(jiǎn)單，在服務(wù)器上為每一位員工建立一個(gè)賬戶即可，用戶只需登錄該服務(wù)器就可以使用服務(wù)器中的資源。然而如果資源分布在多臺(tái)服務(wù)器上呢？如圖所示4-4所示，要在每臺(tái)服務(wù)器分別為每一員工建立一個(gè)賬戶（共M&

13、#215;N個(gè)），用戶需要在每臺(tái)服務(wù)器上（共M臺(tái)）登錄，感覺(jué)又回到了對(duì)等網(wǎng)的模式。 在使用了域之后，如圖4-5所示，服務(wù)器和用戶的計(jì)算機(jī)都在同一域中，用戶在域中只要擁有一個(gè)賬戶，用賬戶登錄后即取得一個(gè)身份，有了該身份便可以在域中漫游，訪問(wèn)域中任一臺(tái)服務(wù)器上的資源。在每一臺(tái)存放資源的服務(wù)器上并不需要為每一用戶創(chuàng)建賬戶，而只需要把資源的訪問(wèn)權(quán)限分配給用戶在域中的賬戶即可。,4.1 域與活動(dòng)目錄概述,4.1.1 Windows Serv

14、er 2008網(wǎng)絡(luò)類型,4.1 域與活動(dòng)目錄概述,4.1.1 Windows Server 2008網(wǎng)絡(luò)類型,圖4-4　資源分布在多臺(tái)服務(wù)器上,圖4-5　域的模式,在使用了域之后，如圖4-5所示，服務(wù)器和用戶的計(jì)算機(jī)都在同一域中，用戶在域中只要擁有一個(gè)賬戶，用賬戶登錄后即取得一個(gè)身份，有了該身份便可以在域中漫游，訪問(wèn)域中任一臺(tái)服務(wù)器上的資源。在每一臺(tái)存放資源的服務(wù)器上并不需要為每一用戶創(chuàng)建賬戶，而只需要把資源的訪問(wèn)權(quán)限分配給用戶在域

15、中的賬戶即可。不過(guò)在“域”模式下，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡(jiǎn)寫為DC）”，它包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄，不能登錄

16、，用戶就不能訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源，只能以對(duì)等網(wǎng)用戶的方式訪問(wèn)Windows共享出來(lái)的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。,4.1 域與活動(dòng)目錄概述,4.1.1 Windows Server 2008網(wǎng)絡(luò)類型,然而隨著網(wǎng)絡(luò)的不斷發(fā)展，有的企業(yè)的網(wǎng)絡(luò)大的驚人，當(dāng)網(wǎng)絡(luò)有十萬(wàn)個(gè)用戶甚至更多時(shí)，域控制器存放的用戶數(shù)據(jù)量很大，更為關(guān)鍵的是如果用戶頻繁登錄，域控制器可能因此不堪重負(fù)。在實(shí)際的應(yīng)用中，我們?cè)诰W(wǎng)絡(luò)中劃分多個(gè)域，每個(gè)域的

17、規(guī)?？刂圃谝欢ǖ姆秶鷥?nèi)，同時(shí)也是出于管理上的要求，將大的網(wǎng)絡(luò)劃分成小的網(wǎng)絡(luò)，每個(gè)小的網(wǎng)絡(luò)管理員管理自己所屬的賬戶，如圖4-6所示。劃分成小的網(wǎng)絡(luò)（域）后，域A中的用戶登錄后可以訪問(wèn)域A中的服務(wù)器上的資源，域B的用戶可以訪問(wèn)域B中的服務(wù)器上的資源，但域A的用戶訪問(wèn)不了域B中服務(wù)器上的資源，域B的用戶也訪問(wèn)不了域A中服務(wù)器上的資源。域是一個(gè)安全的邊界，實(shí)際上就是這層意思：當(dāng)兩個(gè)域獨(dú)立的時(shí)候，一個(gè)域中的用戶無(wú)法訪問(wèn)另一個(gè)域中的資源，如同國(guó)

18、家與國(guó)家之間的關(guān)系一樣。當(dāng)然在實(shí)際的應(yīng)用中，一個(gè)域中的常常有訪問(wèn)另一個(gè)域中的資源的需要。為了解決用戶跨域訪問(wèn)資源的問(wèn)題，可以在域之間引入信任，有了信任關(guān)系，域A的用戶想要訪問(wèn)B域中的資源，讓域B信任域A就行了。,4.1 域與活動(dòng)目錄概述,4.1.1 Windows Server 2008網(wǎng)絡(luò)類型,4.1 域與活動(dòng)目錄概述,4.1.1 Windows Server 2008網(wǎng)絡(luò)類型,圖4-6多域的模式,圖4-7　信任關(guān)系,信任關(guān)系

19、分為單向和雙向，如圖5-7所示。圖中①是單向的信任關(guān)系，箭頭指向被信任的域，即域A信任域B，域A稱為信任域，域B被稱為被信任域，因此域B的用戶可以訪問(wèn)域A中的資源。圖中②是雙向的信任關(guān)系，域A信任域B的同時(shí)域B也信任域A，因此域A的用戶可以訪問(wèn)域B的資源，反之亦然。信任關(guān)系有可傳遞和不可傳遞之分，如果A信任B，B又信任C，那么A是否信任C呢？如果信任關(guān)系是可傳遞的，A就信任C；如果信任關(guān)系是不可傳遞的，A就不信任C。Windows S

20、erver 2008中有的信任關(guān)系是可傳遞的，有的是不可傳遞的，有的是單向的，有的是雙向的，在使用時(shí)要注意。,4.1 域與活動(dòng)目錄概述,4.1.1 Windows Server 2008網(wǎng)絡(luò)類型,活動(dòng)目錄（Active Directory）是一種目錄服務(wù)，它存儲(chǔ)有關(guān)網(wǎng)絡(luò)對(duì)象（如用戶、組、計(jì)算機(jī)、共享資源、打印機(jī)和聯(lián)系人等）的信息，并將結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)作為目錄信息邏輯和分層組織的基礎(chǔ)，使管理員比較方便地查找并使用這些網(wǎng)絡(luò)信息?；顒?dòng)目錄

21、是在Windows 2000 Server就推出的新技術(shù)，它最大的突破性和成功之一也就在于它全新引入了活動(dòng)目錄服務(wù)（AD Directory Service），使 Windows 2000 Server與Internet上的各項(xiàng)服務(wù)和協(xié)議更加聯(lián)系緊密。通過(guò)在Windows 2000 Server的基礎(chǔ)上進(jìn)一步擴(kuò)展，Windows Server 2003提高了活動(dòng)目錄的多功能性、可管理性及可靠性。而在Windows Server 200

22、8中，活動(dòng)目錄服務(wù)有了一個(gè)新的名稱：Active Directory Domain Service（簡(jiǎn)稱ADDS）。名稱的改變意味著微軟對(duì)Windows Server 2008的活動(dòng)目錄進(jìn)行了較大的調(diào)整，增加了功能強(qiáng)大的新特性，例如新增了只讀域控制器（RODC）的域控制器類型、更新的活動(dòng)目錄域服務(wù)安裝向?qū)?、可重啟的活?dòng)目錄域服務(wù)、快照查看以及增強(qiáng)的Ntdsutil命令等，并且對(duì)原有特性進(jìn)行了增強(qiáng)。,4.1 域與活動(dòng)目錄概述,4.1.

23、2 活動(dòng)目錄概述,活動(dòng)目錄并不是Windows Server 2008中必須安裝的組件，并且其運(yùn)行時(shí)占用系統(tǒng)資源較多。設(shè)置活動(dòng)目錄的主要目的就是為了提供目錄服務(wù)功能，使網(wǎng)絡(luò)管理更簡(jiǎn)便，安全性更高。另外，活動(dòng)目錄的結(jié)構(gòu)比較復(fù)雜，適用于用戶或者網(wǎng)絡(luò)資源較多的環(huán)境。提示：活動(dòng)目錄源于“目錄服務(wù)”的概念，與Windows系統(tǒng)中的“文件夾目錄”以及DOS下的“目錄”在含義上完全不同。活動(dòng)目錄是指網(wǎng)絡(luò)中用戶以及各種資源在網(wǎng)絡(luò)中的具體位置及調(diào)用和管

24、理方式，就是把原來(lái)固定的資源存儲(chǔ)層次關(guān)系與網(wǎng)絡(luò)管理以及用戶調(diào)用關(guān)聯(lián)起來(lái)，從而提高了網(wǎng)絡(luò)資源的使用效率?；顒?dòng)目錄結(jié)構(gòu)是指網(wǎng)絡(luò)中所有用戶、計(jì)算機(jī)以及其他網(wǎng)絡(luò)資源的層次關(guān)系，就像是一個(gè)大型倉(cāng)庫(kù)中分出若干個(gè)小的儲(chǔ)藏間，每一個(gè)小儲(chǔ)藏間分別用來(lái)存放不同的東西一樣。通常情況下活動(dòng)目錄的結(jié)構(gòu)可以分為邏輯結(jié)構(gòu)和物理結(jié)構(gòu)，了解這些也是用戶理解和應(yīng)用活動(dòng)目錄的重要的一步。,4.1 域與活動(dòng)目錄概述,4.1.2 活動(dòng)目錄概述,1、活動(dòng)目錄的邏輯結(jié)構(gòu)在活

25、動(dòng)目錄中，代表網(wǎng)絡(luò)資源的明確命名的一組屬性集合稱為對(duì)象。例如，“用戶”對(duì)像的屬性包括用戶的姓名、地址等。根據(jù)對(duì)象本身能否包含其他對(duì)象，可以將活動(dòng)目錄中的對(duì)象分為容器對(duì)象和葉對(duì)象兩大類。容器并不代表一個(gè)實(shí)體，容器內(nèi)可以包含一組對(duì)象及其他的容器。在活動(dòng)目錄的邏輯組件中，域、組織單元、域樹(shù)、域林等都屬于容器對(duì)象，而域中的用戶、組、計(jì)算機(jī)、共享文件夾、打印機(jī)等都屬于葉對(duì)象?；顒?dòng)目錄內(nèi)的對(duì)象類別與屬性數(shù)據(jù)定義在架構(gòu)內(nèi)。在一個(gè)域目錄林中的所有域目錄

26、樹(shù)共享相同的架構(gòu)。（1）組織單元組織單元是一個(gè)容器對(duì)象，可以把域中的對(duì)象組織成邏輯組，以簡(jiǎn)化管理工作。組織單元可以包含各種對(duì)象，比如用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)等，甚至可以包括其它的組織單元，所以可以利用組織單元把域中的對(duì)象組成一個(gè)完全邏輯上的層次結(jié)構(gòu)，如圖4-8所示。對(duì)于企業(yè)來(lái)講，可以按部門把所有的用戶和設(shè)備組成一個(gè)組織單元層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個(gè)組織層次結(jié)構(gòu)。,4.1 域與活動(dòng)目

27、錄概述,4.1.2 活動(dòng)目錄概述,4.1 域與活動(dòng)目錄概述,4.1.2 活動(dòng)目錄概述,圖4-8　組織單元示意圖,（2）域樹(shù)：微軟的網(wǎng)絡(luò)操作系統(tǒng)是考慮在大型企業(yè)構(gòu)建網(wǎng)絡(luò)和擴(kuò)展網(wǎng)絡(luò)的需要而設(shè)計(jì)的。在一個(gè)企業(yè)中可能會(huì)有分布在全世界的分公司等，分公司下又有各個(gè)部門存在，企業(yè)可能有十幾萬(wàn)的用戶、上千的服務(wù)器以及上百個(gè)域，資源的訪問(wèn)常?？赡芸邕^(guò)許多域。在Windows NT 4.0時(shí)，域和域之間的信任關(guān)系是不可傳遞的，考慮在一個(gè)網(wǎng)絡(luò)中如果有多個(gè)

28、域的情況，如果要實(shí)現(xiàn)多個(gè)域中的用戶可以跨域訪問(wèn)資源，必須創(chuàng)建多個(gè)雙向信任關(guān)系：n×(n-1)/2，如圖4-9所示。之所以會(huì)這樣，是因?yàn)锳、B、C、D、E域均被看成獨(dú)立的域，所以信任關(guān)系被看成不可傳遞的，而實(shí)際上A、B、C、D、E域又都在同一企業(yè)網(wǎng)絡(luò)中，很可能B是A的主管單位，C又是B的主管單位。從Windows 2000 Server起，域樹(shù)（Domain Tree）開(kāi)始出現(xiàn)，如圖4-9所示。域樹(shù)中的域以樹(shù)的出現(xiàn)，最上層的域

29、名為abc.com，是這個(gè)域樹(shù)的根域，根域下有兩個(gè)子域：asia.abc.com和europe.abc.com, asia.abc.com和europe.abc.com子域下又有自己的子域。在域樹(shù)中，父域和子域的信任關(guān)系是雙向可傳遞的，因此域樹(shù)中的一個(gè)域隱含地信任域樹(shù)中所有的域。圖4-10中共有七個(gè)域，所有域相互信任，也只需要六個(gè)信任關(guān)系，遠(yuǎn)比圖4-5中所示的7×（7－1）/2=21個(gè)信任關(guān)系要少得多。,4.1 域與活動(dòng)

30、目錄概述,4.1.2 活動(dòng)目錄概述,4.1 域與活動(dòng)目錄概述,4.1.2 活動(dòng)目錄概述,圖4-9　多個(gè)域的資源互訪需要多個(gè)信任關(guān)系,圖4-10　域樹(shù),（3）域林在域樹(shù)的介紹中，可以看到域樹(shù)中的域的名字和DNS域的名字非常相似，在Windows　2000　Server以后的系統(tǒng)中，域和DNS域的關(guān)系非常密切，因?yàn)橛蛑械挠?jì)算機(jī)使用DNS來(lái)定位域控制器和服務(wù)器以及其它計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)等，實(shí)際上域的名字就是DNS域的名字。在圖4-11中

31、，企業(yè)向Internet組織申請(qǐng)了一個(gè)DNS域名abc.com，所以根域就采用了該名，在abc.com域下的子域也就只能使用abc.com作為域名的后綴了，也就是說(shuō)在一個(gè)域樹(shù)中，域的名字是連續(xù)的。然而，企業(yè)可能同時(shí)擁有abc.com和abc.net兩個(gè)域名，如果某個(gè)域用abc.net作為域名，abc.net將無(wú)法掛在abc.com域樹(shù)中，這個(gè)時(shí)候只能單獨(dú)創(chuàng)建另一個(gè)域樹(shù)，如圖4-10所示，新的域樹(shù)根域?yàn)閍bc.net，這兩個(gè)域樹(shù)共同構(gòu)成了

32、域林（Domain Forest）。在同一域林中的域樹(shù)的信任關(guān)系，也是雙向可傳遞的。,4.1 域與活動(dòng)目錄概述,4.1.2 活動(dòng)目錄概述,4.1 域與活動(dòng)目錄概述,4.1.2 活動(dòng)目錄概述,圖4-11　域林,2、活動(dòng)目錄的物理結(jié)構(gòu)活動(dòng)目錄的物理結(jié)構(gòu)與邏輯結(jié)構(gòu)有很大不同，它們是彼此獨(dú)立的兩個(gè)概念。邏輯結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)資源的管理，而物理結(jié)構(gòu)則側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化?；顒?dòng)目錄的物理結(jié)構(gòu)，主要著眼于活動(dòng)目錄信息的復(fù)制和用戶登錄網(wǎng)絡(luò)時(shí)的性

33、能優(yōu)化。物理結(jié)構(gòu)的兩個(gè)重要概念是站點(diǎn)和域控制器。（1）站點(diǎn)站點(diǎn)由一個(gè)或多個(gè)IP子網(wǎng)組成，這些子網(wǎng)通過(guò)高速網(wǎng)絡(luò)設(shè)備連接在一起。站點(diǎn)往往由企業(yè)的物理位置分布情況決定，可以依據(jù)站點(diǎn)結(jié)構(gòu)配置活動(dòng)目錄的訪問(wèn)和復(fù)制拓?fù)潢P(guān)系，這樣能使得網(wǎng)絡(luò)更有效地連接，并且可使復(fù)制策略更合理，用戶登錄更快速?；顒?dòng)目錄中的站點(diǎn) 與域是兩個(gè)完全獨(dú)立的概念，一個(gè)站點(diǎn)中可以有多個(gè)域，多個(gè)站點(diǎn)也可以位于同一域中?；顒?dòng)目錄站點(diǎn)和服務(wù)，可以通過(guò)使用站點(diǎn)提高大多數(shù)配置目

34、錄服務(wù)的效率?？梢酝ㄟ^(guò)使用活動(dòng)目錄站點(diǎn)和服務(wù)，向活動(dòng)目錄發(fā)布站點(diǎn)的方法提供有關(guān)網(wǎng)絡(luò)物理結(jié)構(gòu)的信息，活動(dòng)目錄使用該信息確定如何復(fù)制目錄信息和處理服務(wù)的請(qǐng)求。,4.1 域與活動(dòng)目錄概述,4.1.2 活動(dòng)目錄概述,計(jì)算機(jī)站點(diǎn)是根據(jù)其在子網(wǎng)或一組已連接好子網(wǎng)中的位置指定的，子網(wǎng)提供一種表示網(wǎng)絡(luò)分組的簡(jiǎn)單方法，這與我們常見(jiàn)的郵政編碼將地址分組類似。將子網(wǎng)格式化成可方便發(fā)送有關(guān)網(wǎng)絡(luò)與目錄連接物理信息的形式，將計(jì)算機(jī)置于一個(gè)或多個(gè)連接好的子網(wǎng)中，

35、充分體現(xiàn)了站點(diǎn)所有計(jì)算機(jī)必須連接良好這一標(biāo)準(zhǔn)，原因是同一子網(wǎng)中計(jì)算機(jī)的連接情況通常優(yōu)于網(wǎng)絡(luò)中任意選取的計(jì)算機(jī)。（2）域控制器域控制器是指運(yùn)行Windows Server 2008的服務(wù)器，它保存了活動(dòng)目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個(gè)域中的其它域控制器上，使各域控制器上的目錄信息同步。域控制器也負(fù)責(zé)用戶的登錄過(guò)程以及其它與域有關(guān)的操作，比如身份 鑒定、目錄信息查找等。一個(gè)域可以有多個(gè)域控制器。

36、規(guī)模較小的域可以只需要兩個(gè)域控制器，一個(gè)實(shí)際使用，另一個(gè)用于容錯(cuò)性檢查，規(guī)模較大的域可以使用多個(gè)域控制器。,4.1 域與活動(dòng)目錄概述,4.1.2 活動(dòng)目錄概述,盡管活動(dòng)目錄支持多主機(jī)復(fù)制方案，然而由于復(fù)制引起的通信流量以及網(wǎng)絡(luò)潛在的沖突，變化的傳播并不一定能夠順利進(jìn)行，因此有必要在域控制器中指定全局目錄服務(wù)器以及操作主機(jī)。全局目錄是一個(gè)信息倉(cāng)庫(kù)，包含活動(dòng)目錄中所有對(duì)象的一部分屬性，往往是在查詢過(guò)程中訪問(wèn)最為頻繁的屬性。利用這些信息，

37、可以定位到任何一個(gè)對(duì)象實(shí)際所在的位置。全局目錄服務(wù)器是一個(gè)域控制器，它保存了全局目錄的一份副本，并執(zhí)行對(duì)全局目錄的查詢操作。全局目錄服務(wù)器可以提高活動(dòng)目錄中大范圍內(nèi)對(duì)象檢索的性能，比如在域林中查詢所有的打印機(jī)操作。如果沒(méi)有一個(gè)全局目錄服務(wù)器，那么這樣的查詢操作必須要調(diào)動(dòng)域林中每一個(gè)域的查詢過(guò)程。如果域中只有一個(gè)域控制器，那么它就是全局目錄服務(wù)器；如果有多個(gè)域控制器，那么管理員必須把一個(gè)域控制器配置為全局目錄控制器。,4.1 域與活

38、動(dòng)目錄概述,4.1.2 活動(dòng)目錄概述,在域結(jié)構(gòu)的網(wǎng)絡(luò)中，計(jì)算機(jī)身份是一種不平等的關(guān)系，存在著四種類型：（1）域控制器：域控制器類似于網(wǎng)絡(luò)“看門人”，用于管理所有的網(wǎng)絡(luò)訪問(wèn)，包括登錄服務(wù)器、訪問(wèn)共享目錄和資源。域控制器存儲(chǔ)了所有的域范圍內(nèi)的賬戶和策略信息，包括安全策略、用戶身份驗(yàn)證信息和賬戶信息。在網(wǎng)絡(luò)中，可以有多臺(tái)計(jì)算機(jī)配置為域控制器，以分擔(dān)用戶的登錄和訪問(wèn)。多個(gè)域控制器可以一起工作，自動(dòng)備份用戶賬戶和活動(dòng)目錄數(shù)據(jù)，即使部分域控制器癱

39、瘓后，網(wǎng)絡(luò)訪問(wèn)仍然不受影響，提高網(wǎng)絡(luò)安全性和穩(wěn)定性。（2）成員服務(wù)器：成員服務(wù)器是指安裝了Windows Server 2008操作系統(tǒng)，又加入了域的計(jì)算機(jī)，但沒(méi)有安裝活動(dòng)目錄，這時(shí)服務(wù)器的主要目的是為了提供網(wǎng)絡(luò)資源，也被稱為現(xiàn)有域中的附加域控制器。成員服務(wù)器通常具有以下類型服務(wù)器的功能：文件服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、Web服務(wù)器、證書服務(wù)器、防火墻、遠(yuǎn)程訪問(wèn)服務(wù)器、打印服務(wù)器等。,4.1 域與活動(dòng)目錄概述,4.1.3 域

40、中的計(jì)算機(jī)分類,（3）獨(dú)立服務(wù)器：獨(dú)立服務(wù)器和域沒(méi)有什么關(guān)系，如果服務(wù)器不加入到域中也不安裝活動(dòng)目錄，就稱為獨(dú)立服務(wù)器。獨(dú)立服務(wù)器可以創(chuàng)建工作組，和網(wǎng)絡(luò)上的其他計(jì)算機(jī)共享資源，但不能獲得活動(dòng)目錄提供的任何服務(wù)。（4）域中的客戶端：域中的計(jì)算機(jī)還可以是安裝了Windows XP/Windows 2000 Server等其它操作系統(tǒng)的計(jì)算機(jī)，用戶利用這些計(jì)算機(jī)和域中的賬戶，就可以登錄到域，成為域中的客戶端。域用戶賬號(hào)通過(guò)域的安全驗(yàn)證后，即

41、可訪問(wèn)網(wǎng)絡(luò)中的各種資源， 服務(wù)器的角色可以改變，例如服務(wù)器在刪除活動(dòng)目錄時(shí)，如果是域中最后一個(gè)域控制器，則使該服務(wù)器成為獨(dú)立服務(wù)器，如果不是域中唯一的域控制器，則將使該服務(wù)器成為成員服務(wù)器。同時(shí)獨(dú)立服務(wù)器既可以轉(zhuǎn)換為域控制器，也可以加入到某個(gè)域成為成員服務(wù)器。,4.1 域與活動(dòng)目錄概述,4.1.3 域中的計(jì)算機(jī)分類,4.2 安裝Windows Server 2008域控制器,企業(yè)網(wǎng)絡(luò)采用域的組織結(jié)構(gòu)，可以使得局域網(wǎng)的管理

42、工作變得更集中、更容易、更方便。雖然活動(dòng)目錄具有強(qiáng)大的功能，但是安裝操作系統(tǒng)時(shí)并未自動(dòng)生成活動(dòng)目錄。因此，管理員必須通過(guò)安裝活動(dòng)目錄來(lái)建立域控制器，并通過(guò)活動(dòng)目錄的管理來(lái)實(shí)現(xiàn)針對(duì)各種對(duì)象的動(dòng)態(tài)管理與服務(wù)。同時(shí)客戶機(jī)登錄域的操作也是組建域網(wǎng)絡(luò)必不可少的部分，也是網(wǎng)絡(luò)管理員應(yīng)該熟練掌握的基本技能之一。,任務(wù)目標(biāo):,作為網(wǎng)絡(luò)管理員，只有明確安裝域控制器的條件和準(zhǔn)備工作，掌握域網(wǎng)絡(luò)的組建流程和操作技術(shù)，才能在服務(wù)器上安裝好Windows Ser

43、ver 2008操作系統(tǒng)。為此，可以啟用活動(dòng)目錄安裝向?qū)В晒Π惭b活動(dòng)目錄后，將使得一個(gè)獨(dú)立服務(wù)器升級(jí)為域控制器。同時(shí)通過(guò)任務(wù)，還應(yīng)能夠區(qū)分登錄窗口，例如是登錄域不是登錄本機(jī)的登錄框。,任務(wù)描述：,活動(dòng)目錄是Windows Server 2008非常關(guān)鍵的服務(wù)，它不是孤立的，與許多協(xié)議和服務(wù)有著非常緊密的關(guān)系，并涉及整個(gè)操作系統(tǒng)的結(jié)構(gòu)和安全。因此，活動(dòng)目錄的安裝并非一般Windows組件那樣簡(jiǎn)單，必須在安裝前完成一系列的準(zhǔn)備，注意事項(xiàng)如

44、下：（1）文件系統(tǒng)和網(wǎng)絡(luò)協(xié)議Windows Server 2008所在的分區(qū)必須是NTFS文件系統(tǒng)，活動(dòng)目錄需要一個(gè)SYSVOL文件夾來(lái)存儲(chǔ)域共享文件，該文件夾必須創(chuàng)建在NTFS磁盤內(nèi)，系統(tǒng)默認(rèn)是將其新建在系統(tǒng)磁盤（安裝Windows Server 2008的磁盤，它是NTFS磁盤）。如果要將其存儲(chǔ)到其他磁盤的話，該磁盤必須是NTFS磁盤，同時(shí)計(jì)算機(jī)上要正確安裝了網(wǎng)卡驅(qū)動(dòng)程序，并啟用了TCP/IP協(xié)議。,4.2 安裝Window

45、s Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,（2）域結(jié)構(gòu)規(guī)劃活動(dòng)目錄可包含多個(gè)域，只有合理地規(guī)劃目錄結(jié)構(gòu)，才能充分發(fā)揮活動(dòng)目錄的優(yōu)越性。在組建一個(gè)全新的Windows Server 2008網(wǎng)絡(luò)時(shí)，所安裝的第一臺(tái)域控制器將生成第一個(gè)域，這個(gè)域也被稱為根域，選擇根域最為關(guān)鍵。根域名字的選擇可以有以下幾種方案：使用一個(gè)已經(jīng)注冊(cè)的DNS域名作為活動(dòng)目的根域名，使得企業(yè)的公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)使用同樣的DNS名字。使用

46、一個(gè)已經(jīng)注冊(cè)的DNS域名的子域名作為活動(dòng)目錄的根域名?；顒?dòng)目錄使用與已經(jīng)注冊(cè)的DNS域名完全不同的域名，使企業(yè)網(wǎng)絡(luò)在內(nèi)部和互聯(lián)網(wǎng)上呈現(xiàn)出兩種完全不同的命名結(jié)構(gòu)。,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,（3）域名策劃：目錄域名通常是該域的完整DNS名稱，如“abc.net”。同時(shí)，為了確保向下兼容，每個(gè)域還應(yīng)當(dāng)有一個(gè)與Windows 2000 Server以前版本相兼容的名稱，如

47、“abc”。提示：在TCP/IP網(wǎng)絡(luò)中，DNS（Domain Name System,域名解析）是用來(lái)解決計(jì)算機(jī)名字和IP地址的映射關(guān)系的?；顒?dòng)目錄和DNS的關(guān)系密不可分，它使用DNS服務(wù)器來(lái)登記域控制器的IP、各種資源的定位等等，因此在一個(gè)域林中至少要有一個(gè)DNS服務(wù)器存在。Windows Server 2008中的域也是采用DNS的格式來(lái)命名的。為了本單元說(shuō)明的方便，以圖4-12中的拓?fù)錇闃颖?，在該網(wǎng)絡(luò)的域林中有兩個(gè)域樹(shù)：cni

48、nfo.com和information.com，其中cninfo.com域樹(shù)下有hb.cninfo.com子域，在cninfo.com域中有兩個(gè)域控制器，a.cninfo.com和b.cninfo.com；hb.cninfo.com子域中除了有一個(gè)域控制器（b.hb.cninfo.com）外，還有一個(gè)成員服務(wù)器（a.cninfo.cninfo.com）。我們先創(chuàng)建cninfo.com域樹(shù)，然后再創(chuàng)建information.com域樹(shù)，將

49、其加入到林中。,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,圖4-12 網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D,用戶要將自己的服務(wù)器配置成域控制器，應(yīng)該首先安裝活動(dòng)目錄，以發(fā)揮活動(dòng)目錄的作用。系統(tǒng)提供的活動(dòng)目錄安裝向?qū)?，可以幫助用戶配置自己的服?wù)器，如果網(wǎng)絡(luò)沒(méi)有其它域控制器，可將服務(wù)器配置為域控制器，并新建子域、新

50、建域目錄樹(shù)。如果網(wǎng)絡(luò)中有其它域控制器，可以服務(wù)器設(shè)置為附加域控制器，加入舊域、舊目錄樹(shù)。在Windows Server 2008中安裝活動(dòng)目錄可以參照下述步驟進(jìn)行操作：1）首先確認(rèn)“本地連接”屬性TCP/IP首選DNS是否指向了本機(jī)（本例為192.168.1.27），然后選擇“開(kāi)始”→“服務(wù)器管理器”命令打開(kāi)服務(wù)器管理器，在左側(cè)選擇“角色”一項(xiàng)之后，單擊右部區(qū)域的“添加角色”鏈接，并且在如圖4-13話框中選擇“Active Direc

51、tory 域服務(wù)”復(fù)選框。2）單擊“下一步”按鈕繼續(xù)操作，在如圖4-14所示的對(duì)話框中，針對(duì)域服務(wù)進(jìn)行相關(guān)的介紹。,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,圖4-13 選擇“Active Directory 域服務(wù)”復(fù)選框,圖4-14 域服務(wù)簡(jiǎn)介,3）單擊“下一步”按鈕繼續(xù)操作，在如圖

52、4-15所示的對(duì)話框中顯示了安裝域服務(wù)的相關(guān)信息，確認(rèn)安裝可以單擊“安裝”按鈕。4）域服務(wù)安裝完成之后，可以在如圖4-16所示的對(duì)話框中查看到當(dāng)前計(jì)算機(jī)已經(jīng)安裝了Active Directory域控制器，單擊“關(guān)閉”按鈕退出添加角色向?qū)?duì)話框。5）返回服務(wù)器管理器窗口，在如圖4-17所示的窗口中可以查看到Active Directory域服務(wù)已經(jīng)安裝，但是還沒(méi)有將當(dāng)前服務(wù)器作為域控制器運(yùn)行，因此需要單擊右部窗格中藍(lán)色的“運(yùn)行Acti

53、ve Directory域服務(wù)安裝向?qū)В╠cpromo.exe）”鏈接來(lái)繼續(xù)安裝域服務(wù)。也可以單擊“開(kāi)始”菜單 ，在搜索欄中輸入dcpromo.exe命令打開(kāi)域服務(wù)安裝向?qū)А?4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,圖4-15 域服務(wù)安裝信息,圖4-16 域服務(wù)安裝成功,4.2

54、 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,圖4-17 服務(wù)器管理器窗口查看域服務(wù),6）域服務(wù)安裝向?qū)У臍g迎界面中可以選擇“使用高級(jí)模式安裝”復(fù)選框，這樣可以針對(duì)域服務(wù)器更多的高級(jí)選項(xiàng)部分進(jìn)行設(shè)置，如圖4-18所示，單擊“下一步”按鈕繼續(xù)操作。7）在如圖4-19所示的“操作系統(tǒng)兼容性”窗口中，簡(jiǎn)介介紹了Windows Server 2008域控制器和以前版本的Windows之間有可能存在兼容性

55、問(wèn)題，可以了解下相關(guān)知識(shí)，單擊“下一步”按鈕。提示：由于Windows Server 2008域控制器的允許與Windows NT 4.0兼容的密碼編譯算法策略默認(rèn)不允許客戶端采用安全性較差的舊式密碼編譯算法來(lái)跟Windows Server 2008域控制器通信。因此它會(huì)讓W(xué)indows NT 4.0等采用舊式算法的客戶端無(wú)法跟Windows Server 2008域控制器連接。這個(gè)策略也會(huì)影響到SAMBA等非Microsoft的SM

56、B客戶端與NAS存儲(chǔ)設(shè)備?？梢酝ㄟ^(guò)啟用此策略或在客戶端安裝更新程序的方式來(lái)解決此問(wèn)題。,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,圖4-18 安裝歡迎界面,圖4-19 兼容性介紹,8）在如圖4-20所示的“選擇某一部署配置”窗口中，如果以前曾在該服務(wù)器上安裝過(guò)Active Director

57、y，可以選擇“現(xiàn)有林”下的“向現(xiàn)有域添加域控制器”或“在現(xiàn)有林中新建域”選項(xiàng)；如果是第一次安裝，則建議選擇“在新林中新建域”選項(xiàng)，然后再單擊“下一步”按鈕繼續(xù)操作。9）在如圖4-21所示的“命令林根域”窗口中，輸入目錄林根級(jí)域的FQDN，在此輸入“cninof.com”，單擊“下一步”按鈕繼續(xù)操作。提示：FQDN：（Fully Qualified Domain Name）完全合格域名/全稱域名，是指主機(jī)名加上全路徑，全路徑中列出了序

58、列中所有域成員。它可以從邏輯上準(zhǔn)確地表示出主機(jī)在什么地方，也可以說(shuō)FQDN是主機(jī)名的一種完全表示形式。完全合格域名在實(shí)際中是非常有用的，電子郵件就使用它作為收信人的電子郵件地址，例如lbj7681@ angel.com.cn。,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,圖4-20 選擇“在

59、新林中新建域”選項(xiàng),圖4-21 輸入域名,10）在如圖4-22所示的“域NetBIOS”窗口中，系統(tǒng)會(huì)自動(dòng)出現(xiàn)默認(rèn)的NetBIOS名稱，此時(shí)可以直接單擊“下一步”按鈕。提示：除了DNS域名cninfo.com之外，系統(tǒng)會(huì)另外創(chuàng)建一個(gè)NetBIOS域名，它讓不支持DNS域名的舊版的Windows系統(tǒng)，例如Windows 98、Windows NT，能夠通過(guò)NetBIOS域名來(lái)與此域通信。系統(tǒng)默認(rèn)的NetBIOS域名為DNS域名第1個(gè)句點(diǎn)

60、左邊的文字，例如DNS域名為cninfo.com，則NetBIOS域名為CNINFO。安裝程序會(huì)檢查DNS與NetBIOS域名是否已被使用。11）在如圖4-23所示的“設(shè)置林功能級(jí)別”窗口中，可以選擇多個(gè)不同的林功能級(jí)別“Windows 2000”、“Windows Server 2003”、“Windows Server 2008”，考慮到網(wǎng)絡(luò)中有低版本的Windows系統(tǒng)計(jì)算機(jī)，此時(shí)建議選擇“Windows 2000”一項(xiàng)，單擊“

61、下一步”按鈕。提示：林和域的功能級(jí)越高，兼容性越小，但是能使用更多域的功能，表4-1和表4-2分別闡釋了域和林的每一個(gè)功能級(jí)啟用的重要特性，也展示了被每一個(gè)功能級(jí)支持的域控制器操作系統(tǒng)。要注意的是，功能級(jí)的提升是單向的，例如選擇Windows Server 2008的林功能級(jí)別，就不能再降為Windows Server 2003或是Windows 2000。,4.2 安裝Windows Server 2008域控制器,4.2.1

62、創(chuàng)建第一臺(tái)域控制器,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,圖4-22 設(shè)置NetBIOS信息,圖4-23 選擇林功能級(jí)別,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,表4-1 林功能級(jí),4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,表4-2 域功能級(jí),12）在如圖4-24所示的

63、“設(shè)置域功能級(jí)別”窗口中，可以選擇多個(gè)不同的域功能級(jí)別“Windows 2000純模式”、“Windows Server 2003”、“Windows Server 2008”，考慮到網(wǎng)絡(luò)中有低版本的Windows系統(tǒng)計(jì)算機(jī)，此時(shí)建議選擇“Windows 2000純模式” 一項(xiàng)。13）單擊“下一步”按鈕，在如圖4-25所示的“其他域控制器選項(xiàng)”窗口中，可以對(duì)域控制器的其他方面進(jìn)行設(shè)置。系統(tǒng)會(huì)檢測(cè)是否有已安裝好的DNS，由于沒(méi)有安裝其他

64、的DNS服務(wù)器，系統(tǒng)會(huì)自動(dòng)選擇“DNS服務(wù)器”復(fù)選框來(lái)一并安裝DNS服務(wù)，使得該域控制器同時(shí)也作為一臺(tái)DNS服務(wù)器，該域的DNS區(qū)域及該區(qū)域的授權(quán)會(huì)被自動(dòng)創(chuàng)建。由于林中的第一臺(tái)域控制器必須是全局編錄服務(wù)器，且不能是只讀域控制器（RODC），所以這兩項(xiàng)為不可選狀態(tài)。,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)

65、建第一臺(tái)域控制器,圖4-24 選擇域功能級(jí)別,圖4-25設(shè)置其他域控制選項(xiàng),提示：①有了域林之后，同一域林中的域控制器共享一個(gè)活動(dòng)目錄，這個(gè)活動(dòng)目錄是分散存放在各個(gè)域的域控制器上的，每個(gè)域中的域控制器存有該域的對(duì)象的信息。如果一個(gè)域的用戶要訪問(wèn)另一個(gè)域中的資源，這個(gè)用戶要能夠查找到另一個(gè)域中的資源才行。為了讓每一用戶能夠快速查找到另一個(gè)域內(nèi)的對(duì)象，微軟設(shè)計(jì)了全局編錄（Global Catalog，GC）。全局編錄包含了整個(gè)活動(dòng)目錄中每一

66、個(gè)對(duì)象的最重要屬性（即部分屬性，而不是全部），這使得用戶或者應(yīng)用程序即使不知道對(duì)象位于哪個(gè)域內(nèi)，也可以迅速找到被訪問(wèn)的對(duì)象。②只讀域控制器必須從域內(nèi)運(yùn)行Windows Server 2008的可寫域控制器進(jìn)行復(fù)制，因此僅當(dāng)域內(nèi)存在Windows Server 2008的可寫域控制器的情況下添加一臺(tái)只讀域控制器至域時(shí)，該選項(xiàng)有效。,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,14）單擊“

67、下一步”按鈕，在如圖4-26所示的信息提示對(duì)話框中，單擊“是”按鈕繼續(xù)安裝，之后在活動(dòng)目錄的安裝過(guò)程中，將在這臺(tái)計(jì)算機(jī)上自動(dòng)安裝和配置DNS服務(wù)，并且自動(dòng)配置自己為首選DNS服務(wù)器。15）單擊“下一步”按鈕，在如圖4-27所示的“數(shù)據(jù)庫(kù)、日志文件和SYSVOL的位置”窗口中，需要指定將包含這些文件所在的卷及文件夾的位置。提示：數(shù)據(jù)庫(kù)存儲(chǔ)有關(guān)用戶、計(jì)算機(jī)和網(wǎng)絡(luò)中的其他對(duì)象的信息。日志文件記錄與活動(dòng)目錄服務(wù)有關(guān)的活動(dòng)，例如有關(guān)當(dāng)前更新對(duì)

68、象的信息。SYSVOL存儲(chǔ)組策略對(duì)象和腳本。默認(rèn)情況下，SYSVOL是位于%windir%目錄中的操作系統(tǒng)文件的一部分，必須位于NTFS分區(qū)。如果在計(jì)算機(jī)上安裝有RAID(獨(dú)立冗余磁盤陣列)或幾塊磁盤控制器，為了獲得更好的性能和可恢復(fù)性，建議將數(shù)據(jù)庫(kù)和日志文件分別存儲(chǔ)在不包含程序或者其他非目錄文件的不同卷（或磁盤）上。,4.2 安裝Windows Server 2008域控制器,4.2.1 創(chuàng)建第一臺(tái)域控制器,4.2 安裝Win