设置域控制器及其作用
什么是域控制器 如何设置域控制器 域控制器的作用
“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。
1. 服务器端设置
以系统管理员身份在已经设置好Active Directory(活动目录)的Windows 2000 Server上登录,选择“开始”菜单中“程序”选项中的“管理工具”,然后再选择“Active Directory用户和计算机”,之后在程序界面中右击“Computers”,在弹出的菜单中单击“新建”,然后选择“计算机”,之后填入想要加入域的计算机名即可。要加入域的计算机名最好为英文,中文计算机名可能会引起一些问题。
2. 客户端设置
首先要确认计算机名称是否正确,然后在桌面“网上邻居”上右击鼠标,点击“属性”出现网络属性设置窗口,确认“主网络登录”为“Microsoft网络用户”。选中窗口上方的“Microsoft网络用户”(如果没有此项,说明没有安装,点击“添加”安装“Microsoft网络用户”选项)。点击“属性”按钮,出现“Microsoft网络用户属性”对话框,选中“登录到Windows NT域”复选框,在“Windows NT域”中输入要登录的域名即可。这时,如果是Windows 98操作系统的话,系统会提示需要重新启动计算机,重新启动计算机之后,会出现一个登录对话框。在输入正确的域用户账号、密码以及登录域之后,就可以使用Windows 2000 Server域中的资源了。请注意,这里的域用户账号和密码,必须是网络管理员为用户建的那个账号和密码,而不是由本机用户自己创建的账号和密码。如果没有将计算机加入到域中,或者登录的域名、用户名、密码有一项不正确,都会出现错误信息。
安装域控制器
域控制器为网络用户和计算机提供了 Active Directory 目录服务,它存储并复制目录数据,并管理用户与域的交互,包括用户登录进程、身份验证和目录搜索。每个域至少必须包含一个域控制器。可以通过在任何成员服务器或独立服务器(除了那些具有限制性许可协议的服务器)上安装 Active Directory 来安装域控制器。
当您将第一个域控制器安装到组织中时,您就创建了第一个域(也称根域)和第一个林。可以在现有的域中添加附加的域控制器来提供容错功能、提高服务的可用性以及平衡现有域控制器的负载。
还可以安装域控制器来创建一个新的子域或新的域树。当您想要与一个或多个域共享连续的名称空间的域时,请创建新的子域。意思是,新域的名称中包含父域的完整名称。例如,sales.microsoft.com 可以是 microsoft.com 的一个子域。仅当您想要的域的域名系统 (DNS) 名称空间与该林中的其他域无关时,才创建一个新的域树。也就是说,新域树的根域(及其所有子域)的名称不包含父域的完整名称。一个林中可以包含一个或多个域树。
在安装域控制器之前,需要考虑与 Windows 2000 以前版本兼容的安全级别,并标识域的 DNS 名称。有关详细信息,请参阅清单:在现有的域中创建其他域控制器。
安装域控制器时,最常执行的任务是在新的林中创建新域、在现有的域树中创建新的子域、在现有的林中创建新的域树和在现有的域中安装域控制器。
有关安装域控制器时需要做的重要决策的信息,请参阅使用 Active Directory 安装向导。
在新的林中创建新域
1.
打开 Active Directory 安装向导。
2.
单击“域控制器类型”页面上的“新域的域控制器”,然后单击“下一步”。
3.
在“创建一个新域”页面上,单击“在新林中的域”,然后单击“下一步”。
4.
在“新的域名”页面上,键入新域的 DNS 全名,然后单击“下一步”。
5.
验证“NetBIOS 域名”页面上的 NetBIOS 名称,然后单击“下一步”。
6.
在“数据库和日志文件文件夹”页面上,键入要放置数据库和日志文件文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
7.
在“共享的系统卷”页面上,键入要放置 Sysvol 文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
8.
在“DNS 注册诊断”页面上,验证现有 DNS 服务器是否具有该林的管理权,或者在必要时通过单击“在这台计算机上安装并配置 DNS 服务器,并将这台 DNS 服务器设为这台计算机的首选 DNS 服务器”,然后单击“下一步”,选择在该服务器上安装和配置 DNS。
9.
在“权限”页面上,选择以下选项之一:
与 Windows 2000 Server 之前版本的操作系统兼容的权限
只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限
10.
查看“摘要”页面,然后单击“下一步”开始安装。
11.
重新启动计算机。
注意
要执行该过程,您必须是本地计算机上 Administrators 组的成员,或者您必须被委派了适当的权限。如果计算机已加入某个域,则 Domain Admins 组的成员可能会执行该过程。作为安全性最佳操作,请考虑使用“运行方式”执行此过程。详细信息,请参阅默认本地组、默认组以及使用“运行方式”。
执行本过程时所在的服务器将被升级为林根域中的第一个域控制器。
“权限”页上的向导选项会影响与 Windows 2000 和 Windows Server 2003 操作系统之前版本的应用程序兼容性,而与域功能无关。
“Active Directory 安装向导”允许域名最多包含 64 个字符或 155 个字节。虽然 64 个字符限制通常在 155 个字节限制之前达到,但如果名称中包含采用三个字节的 Unicode 字符,则会发生相反的情况。这些限制不适用于计算机名。
在现有的域树中创建新的子域
1.
打开 Active Directory 安装向导。
2.
单击“域控制器类型”页面上的“新域的域控制器”,然后单击“下一步”。
3.
在“创建一个新域”页面上,单击“现有域树中的子域”,然后单击“下一步”。
4.
在“网络凭据”页面上,键入要用于该操作的用户帐户的用户名、密码及用户域,然后单击“下一步”。
5.
在“子域安装”页面上,验证父域并键入新子域名称,然后单击“下一步”。
6.
在“NetBIOS 域名”页上,验证 NetBIOS 名称,然后单击“下一步”。
7.
在“数据库和日志文件文件夹”页面上,键入要放置数据库和日志文件文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
8.
在“共享的系统卷”页面上,键入要放置 Sysvol 文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
9.
在“DNS 注册诊断”页面上,验证 DNS 配置设置是否正确,然后单击“下一步”。
10.
在“权限”页面上,选择以下选项之一:
与 Windows 2000 Server 之前版本的操作系统兼容的权限
只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限
11.
在“目录服务还原模式的管理员密码”页面上,键入并确认要指派给服务器管理员帐户并让他/她在计算机以目录服务还原模式启动时使用的密码,然后单击“下一步”。
12.
查看“摘要”页面,然后单击“下一步”开始安装。
13.
重新启动计算机。
注意
要执行此过程,您必须是 Active Directory 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行方式”执行此过程。详细信息,请参阅默认本地组、默认组以及使用“运行方式”。
执行本过程时所在的服务器将被升级为新建子域中的第一个域控制器。
当子域被添加到现有的树域中时,默认情况下将建立一个双向、可传递的父子信任。
“权限”页上的向导选项会影响与 Windows 2000 和 Windows Server 2003 操作系统之前版本的应用程序兼容性,而与域功能无关。
“Active Directory 安装向导”允许域名最多包含 64 个字符或 155 个字节。虽然 64 个字符限制通常在 155 个字节限制之前达到,但如果名称中包含采用三个字节的 Unicode 字符,则会发生相反的情况。这些限制不适用于计算机名。
在现有的林中创建新的域树
1.
打开 Active Directory 安装向导。
2.
单击“域控制器类型”页面上的“新域的域控制器”,然后单击“下一步”。
3.
在“创建一个新域”页面上,单击“现有的林中的域树”。
4.
在“网络凭据”页面上,键入要用于该操作的用户帐户的用户名、密码及用户域,然后单击“下一步”。
5.
在“新域树”页面上,键入新域的 DNS 全名,然后单击“下一步”。
6.
验证“NetBIOS 域名”页面上的 NetBIOS 名称,然后单击“下一步”。
7.
在“数据库和日志文件文件夹”页面上,键入要放置数据库和日志文件文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
8.
在“共享的系统卷”页面上,键入要放置 Sysvol 文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
9.
在“DNS 注册诊断”页面上,验证现有 DNS 服务器是否具有该林的管理权,或者在必要时通过单击“在这台计算机上安装并配置 DNS 服务器,并将这台 DNS 服务器设为这台计算机的首选 DNS 服务器”,然后单击“下一步”,选择在该服务器上安装和配置 DNS。
10.
在“权限”页面上,选择以下选项之一:
与 Windows 2000 Server 之前版本的操作系统兼容的权限
只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限
11.
在“目录服务还原模式的管理员密码”页面上,键入并确认要指派给服务器管理员帐户并让他/她在计算机以目录服务还原模式启动时使用的密码,然后单击“下一步”。
12.
查看“摘要”页面,然后单击“下一步”开始安装。
13.
重新启动计算机。
注意
要执行此过程,您必须是 Active Directory 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行方式”执行此过程。详细信息,请参阅默认本地组、默认组以及使用“运行方式”。
执行本过程时所在的服务器将被升级为新建域树中的第一个域控制器。
在现有的林中创建新的域树时,默认情况下将建立一个双向、可传递的树根信任。
“权限”页上的向导选项会影响与 Windows 2000 和 Windows Server 2003 操作系统之前版本的应用程序兼容性,而与域功能无关。
“Active Directory 安装向导”允许域名最多包含 64 个字符或 155 个字节。虽然 64 个字符限制通常在 155 个字节限制之前达到,但如果名称中包含采用三个字节的 Unicode 字符,则会发生相反的情况。这些限制不适用于计算机名。
在现有的域中安装其他域控制器
1.
打开 Active Directory 安装向导。
2.
在“域控制器类型”页面上,单击“现有域的其他域控制器”,然后单击“下一步”。
3.
在“网络凭据”页面上,键入要用于该操作的用户帐户的用户名、密码及用户域,然后单击“下一步”。有关详细信息,请参阅下面的“注意”。
4.
在“额外的域控制器”页面上,输入该服务器将成为其一个域控制器的现有域的 DNS 全名,然后单击“下一步”。
5.
在“数据库和日志文件文件夹”页面上,键入要放置数据库和日志文件文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
6.
在“共享的系统卷”页面上,键入要放置 Sysvol 文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
7.
在“目录服务还原模式的管理员密码”页面上,键入并确认要指派给服务器管理员帐户并让他/她在计算机以目录服务还原模式启动时使用的密码,然后单击“下一步”。
8.
查看“摘要”页面,然后单击“下一步”开始安装。
9.
重新启动计算机。
注意
要执行此过程,您必须是 Active Directory 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行方式”执行此过程。详细信息,请参阅默认本地组、默认组以及使用“运行方式”。
要从还原的备份文件创建额外的域控制器,请在命令提示符下键入 dcpromo /adv 启动 Active Directory 安装向导。
http://bbs.tech.ccidnet.com/read.php?tid=39571
Tags: uncat, 域控制器
0 Responses to “设置域控制器及其作用”