活动目录系列之二……----安装后的检查和排错
活动目录系列之二
----
安装后的检查和排错
上一节我们通过情节
1
安装了活动目录,本节我重点介绍安装后的检查和排错,本节内容接上一节。
本节的实验环境:
1
,
域控制器
perth
,它是上一节中我们安装的域控制器。
2,
客户端
istanbul
。
3,
排错包括客户端加入域的常见错误。
试验如下:
首先启动域控制器
perth
,我输入密码登录到
itat.com
域。
如果能成功登录表示我们的域控制器正在工作,但还不能表明活动目录已经完全安装成功。所以我们还要在域控制器上检查如下几项:
第
1
项:查看管理工具中相关的项是否已经存在。如下图
第
2
项:检查
Active Directory
数据库文件与
SYSVOL
文件夹。
Active Directory
数据库文件会默认会安装到:
C:\WINDOWS\NTDS
文件夹中,此文件中有
7
个文件,其中
ntds.dit
便是
Active Directory
数据库文件,
.log
是日志文件。
而
SYSVOL
文件夹会默认安装到:
C:\WINDOWS\SYSVOL
,里面有
4
个文件夹,其中
sysvol
是共享文件夹,里面还有一个共享文件夹
scripts
,这个共享文件夹在域
itat.com
文件夹的里面。
你可以在运行中用
%systemroot%\NTDS
和
%systemroot%\SYSVOL
打开相关的文件夹,
还可以用
net share
命令查看共享。上面所述如下面这些图
第
3
项:检查
DNS
服务器内与
AD
相关的文件夹和
SRV
记录是否存在或完整。由于域控制器会把自己的主机名、
IP
地址以及所扮演的角色等数据登录到
DNS
服务器内,以便让其他的计算机通过
DNS
服务器来寻找这台域控制器。因此必须要检查这些文件夹和
SRV
记录,打开
DNS
,当然可以在管理工具下利用图形界面打开,这里可以用命令打开,如下图
我们发现有一个叫
itat.com
的正向查找区域,它是安装
AD
时候自动创建的,以便让域
itat.com
中的成员(域控制器、成员服务器、客户端)将数据登记到这个区域。从上图中我们看到
perth
已经成功将自己主机名称和
IP
地址登记到这个区域内。同时还有一个
_msdcs.itat.com
的正向查找区域,因为我们安装活动目录时顺便安装了
DNS
服务器,所以也创建了这个区域,此时
Windows Server 2003
域控制器会将数据登记到
_msdcs.itat.com
区域内,而不是
_msdcs
文件夹。
我们可以浏览这
2
个区域下的
_TCP
文件夹以及相应的
SRV
记录,如下图
关于
SRV
记录介绍:
SRV
记录
:
服务资源记录,用于定位整个
AD
中服务器的位置。
_ldap
:清亮目录访问协议,
_kerberos
:身份验证方式。
_gc
:全局编录,存放整个域中所有对象的常规属性。
从上面这些图中我们可以清晰的看到,域和站点的
GC
是谁,
LDAP
服务器是谁,以及
KDC
服务器是谁。
排错
1
:如果
DNS
中没有出现上面这些文件夹以及
SRV
记录。我们一般需要这么做。首先为域控制器指定正确的
DNS
服务器的
IP
地址,然后重新启动
Net Logon
服务。如果重启
Net Logon
服务还不正确,请按下面的步骤:
1
,首先为域控制器指定正确的
DNS
服务器的
IP
地址。
2
,在
DNS
服务器中建立和域名相同的正向查收区域,并启用动态更新。
3
,重新启动
Net Logon
服务。经过这
3
步相关的文件夹和
SRV
记录就应该出现了。
二,通过客户端加入域检查
首先我们登录到客户端
istanbul,
然后我的电脑
->
右键单击属性
->
计算机名,如下图
单击“更改”按钮,弹出“计算机名称更改”对话框
在“计算机名称更改”对话框中选择域,同时输入域名,单击“确定”按钮。此时会弹出如下对话框。
上图显示加入
itat.com
域失败,原因其实很简单,我们还没有配置
istanbul
客户端的
IP
地址。但是我们可以利用
NETBIOS
名来加入域,比如在上面不输入
itat.com
,而是输入
itat
,然后单击确定,如果还是出错,则有可能两个机器网络不同,将局域网计算机网卡设置为仅本地,再做尝试,就会弹出如下对话框,说明通过
NETBIOS
名我们找到了域控制器,此时使用的是广播。
为了使用域名而不是
NETBIOS
名让客户端加入域,我们必须配置
Clients
客户端的
IP
地址。如下图
确保两台机器的网络是可以通的,
配置完
IP
之后,再次单击“计算机名称更改”对话框中的“确定”按钮。此时就会顺利找到域控制器了。我们知道计算机之间通信是通过
IP
地址进行的,我们这里输入域名
itat.com
后,事实上是
DNS
服务器帮我们把
itat.com
域名解析成域控制器的
IP
地址。所以客户端加入域需要
DNS
服务器的支持。此时弹出和上面用
NETBIOS
名加入域一样的对话框。我们在里面输入域的管理员账户和密码。单击“确定”按钮,如下图
此时弹出欢迎加入
itat.com
域的对话框,如下图
单击确定之后会提示你必须重启计算机才能使更改生效。重启计算机后,我们发现
istanbul
客户端的登录框已经变成如下图所示,表示这台计算机已经成功加入域。我们可以选择登录到本地,也可以选择登录到域。
此时我们打开
perth
的计算机
Active Directory
用户和计算机。我们发现
Computers
中已经多了一台计算机
istanbul
。如下图
当选择登录到域时,我们还必须在域控制器
perth
上为这个客户端创建一个用户账户。
现在我们来创建一个用户账户
shenleigang
,在
Active Directory
用户和计算机的
Users
上单击右键
->
新建
->
用户,过程如下图
密码默认要符合复杂度定义条件,
A-Z
,
a-z
,
0-9
,特殊字符等任选三种,同时长度必须大于等于
7
位。可以选择密码永不过期,这样可以解除默认
42
天的限制。
我们发现
shenleigang
这个用户账户已经创建成功。如下图
最后我们用
shenleigang
在
istanbul
客户端登录域控制器
perth
,第一次登录会稍慢一些。登录成功后的画面如下图。
这时一切就
OK
了。
与活动目录相关的概念
1
,
命名空间
命名空间是一个界定好的区域,。而
Windows Server 2003
的活动目录就一个命名空间,我们通过活动目录里的对象的名称就可以找到与这个对象相关的信息。活动目录的“命名空间”采用
DNS
的架构,所以活动目录的域名采用
DNS
的格式来命名。我们可以把域名命名为
itat.com,abc.com
等。
2
,
域、域树、林和组织单元
活动目录的逻辑结构包裹:域(
Domain
)、域树
(Domain Tree)
、林(
Forest
)和组织单元(
Organization Unit
)。
域是一种逻辑分组,准确的说是一种环境,域是安全的最小边界。域环境能对网络中的资源集中统一的管理,要想实现域环境,你必须要计算机中安装活动目录。
域树是由一组具有连续命名空间的域组成的。
域树内的所有域共享一个
Active Directory(
活动目录
)
,这个活动目录内的数据分散地存储在各个域内,且每一个域只存储该域内的数据,如该域内的用户账户,计算机账户等,
Windows Server 2003
将存储在各个域内的对象总称为
Active Directory
。
林(
Forest
)是有一棵或多棵域树组成的,每棵域树独享连续的命名空间,不同域树之间没有命名空间的连续性。林中第一棵域树的根域也整个林的根域,同时也是林的名称。
组织单元(
OU
)是一种容器,它里面可以包含对象(用户账户,计算机账户等),也可以包含其他的组织单元(
OU
)。
3
,
域控制器和站点
活动目录的物理结构由域控制器和站点组成。
域控制器(
Domain Controller
)是活动目录的存储地方,也就是说活动目录存储在域控制器内。安装了活动目录的计算机就称为域控制器,其实在你第一次安装活动目录的时候,你安装活动目录的那台计算机就成为了域控制器。一个域可以有一台或多台域控制器。最经典的做法是做一个主辅域控。呵呵,再解释一次,域是逻辑组织形式,它能够对网络中的资源进行统一管理,就像工作组环境对网络进行分散管理一样,要想实现域,必须在一台计算机上安装活动目录才能实现,而安装了活动目录的计算机就称为域控制器(
DC
)。
当一台域控制器的活动目录数据库发生改动时,这些改动的数据将会复制到其他域控制器的活动目录数据库内。
站点(
Site
)一般与地理位置相对应。它由一个或几个物理子网组成。创建站点的目的是为了优化
DC
之间的复制。活动目录允许一个站点可以有多个域,一个域也是可以属于多个站点
本文出自 “申雷岗 鸿鹄驰骋 欢迎您” 博客,转载请与作者联系!