Active Directory 服务部署由一个或多个林组成,每个林又包含一个或多个域。在网络中创建初始域控制器 (DC) 时,就会在林中创建第一个域;域必须至少包含一个域控制器。创建的第一个域是第一个林的根域。同一域林中的其他域可以是子域或树根域。同一域树中位于一个域的上方与其紧邻的域被视为该域的父域。

Windows 2000/2003 操作系统支持多主控复制;域中的所有域控制器都可以接收对象更改,并且可以将这些更改复制到该域中的所有其他域控制器。默认情况下,在林中创建的第一个域控制器是全局编录服务器,它包含所在域的目录中所有对象的完整副本,还包括林中所有其他域的目录中存储的所有对象的部分副本。

在域控制器之间复制 Active Directory 数据有助于提高信息可用性、容错性、负载平衡和性能。在单元中,您可以通过安装多个域控制器,充分利用多主机模型提供的更好的容错性能。即使某个域控制器停止工作,也不会影响 Active Directory 的可用性。

2.2.1 安装活动目录的方法

域是Windows 2000/2003网络中的核心管理单元。在Windows 2000/2003中,域用来限定信息和资源的组织与管理方式。

在活动目录中创建的第一个域是整个目录林的根域或目录林的根。在Windows 2000网络上第一次安装活动目录时,需要在新目录林中创建第一个域控制器,同时也就创建了根域。

可以采用以下两种方法来安装活动目录:

1. 采用Dcpromo.exe命令进行常规安装。

2. 采用无人值守的安装脚本安装。安装命名为:Dcpromo.exe /answer:answerfile (其中answer file是解答文件的名字)。

2.2.2 域控制器的创建

网络环境简述:网络中有一台DNS服务器(计算机名为ESS-ISA-0A),现准备将其升级为DC,同时将网络中另一台成员服务器ESS-DC-11升级为附加的域控制器。下表列出了各个计算机的TCP/IP配置:

Snap1

DNS的基本配置

由于网络中已存在DNS服务器,在创建域前,我们先在上面为域创建区域和主机记录。创建过程如下:

1、在【管理工具】 ->【DNS】中打开DNS管理控制台。然后在正向搜索区域中选择【新建区域】。如图2-3所示。

创建AD森林中第一个域_第1张图片

图 2-3 新建区域

2、在【区域名】对话框中,输入新建区域的域名:esstest.com。然后点击【下一步】按钮,选择区域类型为标准主区域,然后按默认设置完成区域的创建。如图2-4所示。

clip_image004

图 2-4 输入区域名称

3、在esstest.com区域的属性中,将区域设置为【允许动态更新】。如图2-5所示。

创建AD森林中第一个域_第2张图片

图 2-5 设置允许动态更新

4、在esstest.com的区域中,为即将升级的为DC的计算机建立一条主机记录,如图2-6所示。

创建AD森林中第一个域_第3张图片

图 2-6 建立主机记录

建立第一个域控制器

网络上第一次安装活动目录就是在创建目录林的根域。活动目录的安装向导将逐步引导你指定新域控制器所需的信息。

在创建第一个DC的时候,也会创建下列的目录分区,并通过复制从而复制到以后创建的其它DC上。

按下列步骤创建根域:

1、在计算机ESS-ISA-01上,选择【开始】->【运行】,然后在运行对话框中输入dcpromo.exe命令,进入到活动目录安装向导。

2、在【域控制器类型】对话框中选择【新的域控制器】;在【创建目录树或子域】对话框中选择【创建一个新的目录树】;在【创建或加入目录林】选项中,选择【创建新的域目录林】。如图2-7所示。

创建AD森林中第一个域_第4张图片

图 2-7 创建新的域控制器

3、在【新的域名】对话框中,输入在DNS中为之建立的区域名:esstest.com。然后在域NetBios名中保留ESSTEST名。如图2-8所示。

创建AD森林中第一个域_第5张图片

图 2-8 输入新域的DNS全名

4、在【共享的系统卷】选项中,将文件夹位置放到一个NTFS文件系统的分区或卷上。如图2-9所示。

创建AD森林中第一个域_第6张图片

图 2-9 将Sysvol文件夹放在一个NTFS分区或卷上

5、在【配置DNS】对话框中,选择【否,我将自己安装并配置DNS】。如图2-10所示。

创建AD森林中第一个域_第7张图片

图 2-10 配置DNS

6、在【目录服务恢复模式的管理员密码】中,输入相应的口令,以便在将来AD受到破坏时,可以通过这个口令进入到目录服务恢复模式进行对AD的恢复。如图2-11所示。

创建AD森林中第一个域_第8张图片

图 2-11 设置目录恢复模式口令

7、以上设置完成后,将进行活动目录的安装配置。配置完毕后,重启计算机,登录到域中。

8、展开DNS管理控制台,在esstest.com区域的属性对话框中,将区域类型更改为【Active Directory 集成的】,在【允许动态更新】选项中选择【仅安全更新】。如图2-12所示。

创建AD森林中第一个域_第9张图片

图 2-12 设置活动目录集成区域

添加复制域控制器

在要域控制器意外脱机的情况下具有容错性,就需要在一个域中至少有两个域控制器。当有多个域控制器时,可以通过复制来保护活动目录中的一致性,也可以保证登录请求、全局目录查询和共它域控制器提供的服务在进行的时候不会出现单个域控制器过载的现象。

可以按下列步骤把一个域控制器加入到现存的域上:

建立一个附加的域控制器:

1、在计算机ESS-DC-01上,选择【开始】->【运行】,然后在运行对话框中输入dcpromo.exe命令,进入到活动目录安装向导。

2、在【域控制器类型】对话框中选择【现有域的额外域控制器】,然后单击【下一步】按钮进行继续安装。如图2-13所示。

创建AD森林中第一个域_第10张图片

图 2-13 添加复制域控制器

3、在【网络凭据】对话框中,输入“Administrator”作为用户名,然后输入管理员密码,并键入esstest.com作为域名,然后单击【下一步】按钮。如图2-14所示。

创建AD森林中第一个域_第11张图片

图 2-14 提供网络凭据

4、在【额外的域控制器】对话框上,输入esstest.com作为域名称,在【NetBIOS 域名】对话框中,接受默认值ESSTEST。

5、在数据库和日志位置对话框上,接受默认值,在【共享的系统卷】,将文件夹存放于一个NTFS文件系统的分区或卷上。 并按照默认设置完成余下的安装。

6、安装完毕后,选择【管理工具】->【Active Directory用户和计算机】,展开所创建的域,在容器Domani Controllers中,可以看到在域中已存在两台域控制器。如图2-15所示。

创建AD森林中第一个域_第12张图片

图 2-15 活动目录管理工具

2.2.3 将工作站加入到域中

当完成第一台域控制器的创建后,就可以将网络中的其它工作站加入到域中,从而形成域管理的网络模式。

将一台工作站加入到域中过程如下:

1、以本机管理员身份登录到客户机Clinet1上,在我的电脑属性对话框中,选择【网络标识】,然而点击【属性】按钮。

2、在【标识更改】对话框中,修改【隶属于】选项,并输入域名esstest.com,然后点击【确定】按钮。如图2-16所示。

创建AD森林中第一个域_第13张图片

图 2-16 将一台计算机加入到域中

3、在出现的【域用户名和密码】对话框中,输入要加入的域的管理员的凭证。

4、当出现欢迎加入域的网络标识消息框时,表示工作站已成功加入到域中。

5、重启客户机Client1,进入登录界面时,以域用户身份登录,并选择登录到域中。登录成功后,用户将访问域中的资源。如图2-17所示。

创建AD森林中第一个域_第14张图片

图 2-17 选择登录到域中