【转载】部署第一个域:Active Directory系列之二

部署第一个域
在上篇博文中我们介绍了部署域的意义,今天我们来部署第一个域。一般情况下,域中有三种计算机,一种是域控制器,域控制器上存储着 Active Directory ;一种是成员服务器,负责提供邮件,数据库, DHCP 等服务;还有一种是工作站,是用户使用的客户机。我们准备搭建一个基本的域环境,拓扑如下图所示, Florence 是域控制器, Berlin 是成员服务器, Perth 是工作站。
部署一个域大致要做下列工作:
1 DNS 前期准备
2 创建域控制器
3 创建计算机账号
4 创建用户账号
DNS 前期准备
DNS 服务器对域来说是不可或缺的,一方面,域中的计算机使用 DNS 域名, DNS 需要为域中的计算机提供域名解析服务;另外一个重要的原因是域中的计算机需要利用 DNS 提供的 SRV 记录来定位域控制器,因此我们在创建域之前需要先做好 DNS 的准备工作。那么究竟由哪台计算机来负责做 DNS 服务器呢?一般工程师有两种选择,要么使用域控制器来做 DNS 服务器,要么使用一台单独的 DNS 服务器。我一般使用一台独立的计算机来充当 DNS 服务器,这台 DNS 服务器不但为域提供解析服务,也为公司其他的业务提供 DNS 解析支持,大家可以根据具体的网络环境来选择 DNS 服务器。
在创建域之前, DNS 服务器需要做好哪些准备工作呢?
1 创建区域并允许动态更新
首先我们要在 DNS 服务器上创建出一个区域,区域的名称和域名相同,域内计算机的 DNS 记录都创建在这个区域中。我们在 DNS 服务器上打开 DNS 管理器,如下图所示,右键单击正向查找区域,选择新建一个区域。出现新建区域向导后,点击下一步继续。
 
区域类型选择“主要区域”。
 
区域名称和域名相同,是 adtest.com
 
区域一定要允许动态更新,因为在创建域的过程中需要向 DNS 区域中写入 A 记录, SRV 记录和 Cname 记录。
 
区域创建完毕,点击完成结束创建。
 
2 检查 NS SOA 记录
区域创建完成后,一定要检查一下区域的 NS 记录和 SOA 记录。在前面的 DNS 课程中,我们已经介绍了 NS 记录和 SOA 记录的意义, NS 记录描述了有多少个 DNS 服务器可以解析这个区域, SOA 记录描述了哪个 DNS 服务器是区域的主服务器。如果 NS 记录和 SOA 记录出错,域的创建过程中就无法向 DNS 区域中写入应有的记录。在 DNS 服务器上打开 DNS 管理器,在 adtest.com 区域中检查 ns 记录,如下图所示,我们发现 ns 记录不是一个有效的完全合格域名,我们需要对它进行修改。
 
如下图所示,我们把 ns 记录改为 ns.adtest.com. ,解析出的 IP 地址和 DNS 服务器的 IP 是吻合的,这样我们就完成了 ns 记录的修改。
 
如下图所示,我们把区域的 SOA 记录也同样进行修改,现在区域的主服务器是 ns.adtest.com. ,这样 SOA 记录也修改完毕了。
 
至此, DNS 准备工作完成,我们接下来可以部署域了。

 
创建域控制器
有了 DNS 的支持,我们现在可以开始创建域控制器了,域控制器是域中的第一台服务器,域控制器上存储着 Active Directory ,可以说,域控制器就是域的灵魂。我们准备在 Florence 上创建域控制器,首先检查 Florence 网卡的 TCP/IP 属性,注意, Florence 应该使用 192.168.11.1 作为自己的 DNS 服务器。因为我们刚刚在 192.168.11.1 上创建了 adtest.com 区域。
 

如下图所示,在 Florence 上运行 Dcpromo ,开始域控制器的创建。
 

如下图所示,出现 Active Directory 安装向导,创建域控制器其实就是在 Florence 上安装一个 Active Directory 数据库,点击下一步继续。
 

Adtest.com 是一个新创建的域,因为我们选择创建“新域的域控制器”。
 

如下图所示,我们选择创建一个“在新林中的域”,这个选项是什么意思呢?我们虽然只是简单地创建了一个域,但其实从逻辑上讲是创建了一个域林。因为域一定要隶属于域树,域树一定要隶属于域林。因为我们实际上是创建了一个域林,虽然这个域林内只有一棵域树,域树内只有一个树根。
 

输入域的 DNS 名称, adtest.com
 

域的 NETBIOS 名称是 ADTEST ,由于 . NETBIOS 名称中是非法字符,因为基本上域的 NETBIOS 名称就是域名中 . 之前的部分。
 
Active Directory 数据库的路径我们使用了默认值,如果在生产环境,可以考虑把数据库和日志部分分开存储。
 
Sysvol 文件夹的路径我们也使用默认值,至于 Sysvol 文件夹是干嘛的,我们后续会有介绍。
 
接下来 Active Directory 的安装向导会对 DNS 服务器进行检测,检查是否在 DNS 服务器上已经创建了和域名相同的区域,而且区域是否允许动态更新。如下图所示, DNS 检测通过。注意,如果 DNS 检测有问题,我们应该及时排除故障,而不应该继续向下进行。
 
接下来要选择用户和组的默认权限,我们选择了不允许匿名用户查询域中的信息。
 
设置一下还原模式的管理员口令,我们从备份中恢复 Active Directory 时需要用到。
 
好,如下图所示仔细检查一下创建域的各项设置是否正确,如果没有问题我们就开工了!
 
如下图所示, Active Directory 安装向导开始在 Florence 上安装 Active Directory
 
如下图所示,重启计算机后即可完成 Active Directory 的安装。
 
重启 Florence 后我们发现已经可以用域管理员的身份登录了, adtest.com 域已经被成功创建了。
 
检查 DNS 服务器,我们发现 DNS 区域中已经自动创建了很多记录,这些记录的作用以后我们再来分析,现在大家只要注意检查一下创建域时有没有把这些记录创建出来,如果没有那就有问题了。
 
至此,我们完成了域控制器的创建, adtest.com 域诞生了!
创建计算机账号
创建计算机账号就是把成员服务器和用户使用的客户机加入域,这些计算机加入域时会在 Active Directory 中创建计算机账号。创建计算机账号从操作上看非常简单,但其实背后涉及的东西很多,例如域控制器和加入域的计算机要共享一个密钥等等,这些内容我们在后期会为大家介绍。
Berlin 为例为大家介绍如何把计算机加入域,首先要确保 Berlin 已经使用了 192.168.11.1 作为自己的 DNS 服务器,否则 Berlin 无法利用 DNS 定位域控制器。
 
如下图所示,在 Berlin 的计算机属性中切换到“计算机名”标签,点击“更改”。
 
我们选择让 Berlin 隶属于域,域名是 adtest.com
 
这时系统需要我们输入一个有权限在 Active Directory 中创建计算机账号的用户名和口令,我们输入了域管理员的用户名和密码。
 
系统弹出一个窗口欢迎 Berlin 加入域,这时在 Florence 上打开 Active Directory 用户和计算机,如下图所示,我们发现 Berlin 的计算机账号已经被创建出来了。
 
创建用户账号
创建完计算机账号后,我们需要为企业内的员工在 Active Directory 中创建关联的用户账号。首先我们应该在 Active Directory 中利用组织单位展示出企业的管理架构,如下图所示,我们为大家演示一下如何创建一个组织单位。打开 Active Directory 用户和计算机,选择新建组织单位。
 
输入组织单位的名称,点击确定后一个组织单位就创建完成了,是不是很简单呢。
 
创建了组织单位后,我们就可以在组织单位中创建用户账号了,如下图所示,我们在人事部的组织单位中选择新建一个用户。
 
输入用户的姓名及登录名等参数,点击下一步继续。
 
输入用户密码,选择“密码永不过期”。
 
点击完成后我们就可以轻松地创建出一个用户账号。其实,用户账号中有很多的配置工作需要做,我们在后续的课程中会有一个专题为大家介绍。
 
目前为止,我们已经创建了一个域,也在域中创建了计算机账号和用户账号。那么,域的管理优势如何能够加以体现,目前这个域模型有没有什么缺陷呢?我们在下篇博文中将解决这个问题。

你可能感兴趣的:(2003,ad)