Windows系列：windows2003-建立域

---

Active Directory

活动目录是一个包括文件、打印机、应用程序、服务器、域、用户账户等对象的数据库。

常见概念：对象、属性、容器

• 域组件（Domain Component，DC）：用DNS域名代替

• 组织单位（Organization Units，OU）：可包含其他对象、OU、组策略

• 域树：内含多个域的网络可设置为 domain tree 架构，例如根域 root domain 是abc.com，下面有子域 sales.abc.com, mkt.abc.com。活动域的域名采用DNS，域树内所有域共享一个 Active Directory，数据分散在各个子域内，且每个域只存储该域内部数据（用户账户、计算机账户等）

• 信任：两个域间建立“信任关系”才可访问对方域内资源，一个域加入域树后父域和子域将相互信任，信任关系具有“双向传递性”，通过 Kerberos 安全协议实现

  
  AC间称为隐性信任关系（implicit trust）

• 林：一个网络内多个域树组成一个“林（forest）”，每个域树都有自己唯一的命名空间（域名）。第一个域树的根域也是整个林的根域，即林的名称与第一个域的名称相同。根域间自动建立双向信任

• 架构 Schema：活动域内对象类和属性数据的定义

• 域控制器、活动域的复制：域控制器由服务器级windows扮演
  活动域存在域控制器内，一台域控制器的Active Directory数据变动时自动复制到其他域控制器的Active Directory内。
  用户登录域内某台机器时由域控制器根据Active Directory内账户数据审核输入账户密码是否正确。多台域控制器可实现容错、分担压力的效果
  复制方式：

  • 多主机复制：活动域内大部分主机这样复制，直接更新任何一台域控制器的Active Directory对象，更新后对象自动复制到其他域控制器。

  • 单主机复制：少部分机器采用，由一台域控制器“操作主机”处理变更对象数据的请求，再由这台主机复制到其他域控制器。如：新增删除一个域的变动数据都保存到扮演“域命名主机”角色的域控制器内，再由其复制到其他域控制器

• 轻型目录访问协议：Lightweight Directory Access Protocol，LDAP 是一种查询更新活动域目录服务的通信协议。LDAP命名路径表示域内对象位置，包括：

  • 可辨别名称（Distinguished Name、DN）例如某用户账户：abc.com\业务部\业务一组\张三 对应 DC\OU\OU\CN

  • 相对可辨别名称（Relative Distinguished Name, RDN）：代表某个对象的部分路径

  • 用户规则名（User Principal Name，UPN）：类似email地址，如：[email protected]

  • 服务规则名（Service Principal Name，SPN）：内含多重设定值的名称，根据DNS主机名建立，代表某台机器支持的服务，用于机器间沟通

• 全局编录：域树内所有域共享一个 Active Directory，但是数据是分散存在各个域自身内，为了让用户和程序快速定位其它域中对象，域控制器提供了“全局编录”。包含每个对象的部分常用属性，用于定位。
  还提供用户登录时其隶属的“万用组”数据，或当用户利用UPN登录时提供该用户隶属哪个域的数据。一个林中所有域树共享“全局编录”，某人将林内第一台域控制器设为“全局编录”，可手动修改

• 站点：一个或数个IP子网组成，一般将一个LAN化为一个站点，WAN内各个LAN化为不同站点
  
  域是逻辑分组，站点是物理分组，不是一一对应，可能机器的所属是交叉的。

• 域功能、林功能：设置会影响这个域内部，或整个林内所有域

• 目录分区（Directory Partition）：Active Directory 数据库被逻辑地分为多个目录分区

  • Schema Directory Partition：整个林中共享，存储林中所有对象和属性及其规则，复制到所有域控制器

  • Configuration Directory Partition：存储整个Active Directory结构，如有哪些域、哪些站点、哪些域控制器。在林中所有域控制器间复制

  • Domain Directory Partition：每个域各不相同，在一个域内部的域控制器间复制，保存用户、组、计算机、OU等对象

  • Application Directory Partition：由应用建立使用，如DNS会在此建立存储域名相关信息，复制到林中某些特定域控制器

建立DNS

域控制器依赖DNS域名确定后修改很麻烦。先配置静态IP

然后插入安装CD，直接点击驱动或进入管理器

然后点击安装：

管理DNS，建立正向解析的域名：

然后输入域名、选择允许动态更新

创建成功后新建主机

创建反向解析

建立域

打开ActiveDirectory安装向导，可通过“运行”框输入 dcpromo 启动。一路下一步，选择“新域的域控制器”-> “在新林中的域” -> 输入“abc.com” -> 一直下一步期间会看见系统共享卷 SYSVOL ->

期间出现下图，是DNS解析的问题，本机安装DNS可选择第2个

在创建域时选择“现有域的额外域控制器”，创建新的域并挂载到这个父域下。可通过网络或备份文件复制 Active Directory 数据库。

可以通过创建问答文件使用 dcpromo 进行自动创建

查看日志

运行，输入 eventvwr.msc

xp 加入域

输入一个高权限的账号和密码，用其进行登录

---

35598426855055

windows2003-建立域