一、域結(jié)構(gòu)簡(jiǎn)介1、域的含義：域是由一群以網(wǎng)絡(luò)連接在一起的計(jì)算機(jī)所組成的，它們將計(jì)算機(jī)內(nèi)的資源共享給其他人使用。2、與工作組結(jié)構(gòu)網(wǎng)絡(luò)區(qū)別：域內(nèi)所有的計(jì)算機(jī)共享一個(gè)集中式的目錄數(shù)據(jù)庫(kù)，它包括整個(gè)域內(nèi)的用戶

一、域結(jié)構(gòu)簡(jiǎn)介

1、域的含義：

域是由一群以網(wǎng)絡(luò)連接在一起的計(jì)算機(jī)所組成的，它們將計(jì)算機(jī)內(nèi)的資源共享給其他人使用。

2、與工作組結(jié)構(gòu)網(wǎng)絡(luò)區(qū)別：

域內(nèi)所有的計(jì)算機(jī)共享一個(gè)集中式的目錄數(shù)據(jù)庫(kù)，它包括整個(gè)域內(nèi)的用戶與安全數(shù)據(jù)。而工作組結(jié)構(gòu)的網(wǎng)絡(luò)，每臺(tái)計(jì)算機(jī)的位置平等?？梢韵嗷サ墓蚕怼?/p>

3、域中的計(jì)算機(jī)類型：

A 、 域控制器：

只有WIN2000SERVER 或WIN2003才可以做域控制器，域控制器在一個(gè)網(wǎng)絡(luò)中可以有多個(gè)。一臺(tái)的目錄數(shù)據(jù)庫(kù)可以自動(dòng)復(fù)制到別一個(gè)域服務(wù)器的目錄數(shù)據(jù)庫(kù)中，域可以審核登錄用戶的用戶名和密碼。多臺(tái)域服務(wù)器共同審核用戶的登錄可以提高效率。

B 、 成員服務(wù)器：

域內(nèi)的WIN2000服務(wù)器如果不是域控制器，就是成員服務(wù)器，如果不加入域就是獨(dú)立服務(wù)器，成員服務(wù)器沒(méi)有活動(dòng)目錄，不能審核域用戶的登錄，但它們都有自己的本地安全數(shù)據(jù)庫(kù)。以審核本地用戶。

C 、 其他計(jì)算機(jī)：

其他計(jì)算機(jī)可以用來(lái)訪問(wèn)這些計(jì)算機(jī)的資源。

二、活動(dòng)目錄定義

1、概述：

目錄：

舉例來(lái)說(shuō)一個(gè)電話本：其中有姓名、與姓名相對(duì)應(yīng)的又有電話號(hào)碼、通訊地址等，這些就是目錄，我可以很容易從找到所需的數(shù)據(jù)。

目錄服務(wù)：

就讓用戶很容易在目錄中查找所要的數(shù)據(jù)。而在WIN2000或WIN2003中，存儲(chǔ)用戶、組、打印機(jī)等對(duì)象相關(guān)數(shù)據(jù)的位置稱為目錄數(shù)據(jù)庫(kù)，負(fù)責(zé)提供目錄服務(wù)的組件稱為活動(dòng)目錄。

2、 適用范圍

應(yīng)用范圍很廣，可以在一臺(tái)計(jì)算機(jī)、一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，大至數(shù)據(jù)廣域網(wǎng)的組合。

3、 名稱空間

A 、 名稱空間的含義：就是一塊劃好的區(qū)域。在這個(gè)區(qū)域內(nèi)，可以利用某個(gè)名字來(lái)找

到與這個(gè)名字有關(guān)的信息。

B 、 WIN2000或WIN2003中的活動(dòng)目錄就是“名稱空間”，可以利用對(duì)象名稱找到相

關(guān)的數(shù)據(jù)。

C 、 WIN2000或WIN2003的名稱結(jié)構(gòu)采用了DNS 的結(jié)構(gòu)。

4、對(duì)象與屬性

WIN2000或WIN2003中的資源都是以對(duì)象的形式存在，而一個(gè)對(duì)象通過(guò)屬性來(lái)描述其特征。如用戶就是一個(gè)對(duì)象類別。用戶的姓、名、電話，就是用戶的屬性。

5、容量與組織單位

A 、容量與對(duì)象相似，也有自己的名稱，也有自己的屬性，但它不是一個(gè)實(shí)體，而可以一組對(duì)象和其它容量。

B 、組織單位，就是一個(gè)容量，可以包括其他對(duì)象和組織單位。

6、域目錄樹(shù)

A 、 域目錄樹(shù)：對(duì)一個(gè)包含多個(gè)域的網(wǎng)絡(luò)，則可以將網(wǎng)絡(luò)設(shè)置成域目錄樹(shù)的結(jié)構(gòu)，也就

是說(shuō)這些域以樹(shù)狀的形式存在。

B 、域目錄樹(shù)中的子域名包含著父域的域名

C 、域目錄樹(shù)中的所有的域共享一個(gè)活動(dòng)目錄。但活動(dòng)目錄中的數(shù)據(jù)分散地存儲(chǔ)在各個(gè)域內(nèi)。將各個(gè)域內(nèi)的數(shù)據(jù)合并為一個(gè)活動(dòng)目錄。

7、信任

兩個(gè)域之間，必須建立信任關(guān)系，才可以訪問(wèn)對(duì)方域內(nèi)的資源，一個(gè)域加入到一個(gè)域目錄樹(shù)中后，這個(gè)域會(huì)自動(dòng)信任其上一層域，并且這些信任關(guān)系具備雙傳遞性。

8、域目錄林

如果一個(gè)網(wǎng)絡(luò)設(shè)置成多個(gè)域目錄樹(shù)的結(jié)構(gòu)，那么可以讓這些域目錄樹(shù)合并為一個(gè)域目錄林。如Abc.com 域與zyx.com 域。

9、架構(gòu)

在活動(dòng)目錄內(nèi)的對(duì)象類別等數(shù)據(jù)定義在架構(gòu)內(nèi)，如定義了用戶這個(gè)對(duì)象類別內(nèi)飲食了哪些屬性等。在一個(gè)域目錄林中的所有域目錄樹(shù)共享一個(gè)架構(gòu)。

10、全局編錄

A 、 全局編錄的原因：活動(dòng)目錄內(nèi)的數(shù)據(jù)分散存儲(chǔ)在各個(gè)域內(nèi)，而每一個(gè)域只存儲(chǔ)與

些域本身相關(guān)數(shù)據(jù)。WIN2000將存儲(chǔ)在各個(gè)域內(nèi)的數(shù)據(jù)合并為一個(gè)活動(dòng)目錄。為了讓W(xué)IN2000用戶可以快速找到其它域內(nèi)的資源，WIN2000才設(shè)計(jì)了“全局編錄”。

B 、 “全局編錄”內(nèi)包含著目錄服務(wù)器中的每一個(gè)對(duì)象，不過(guò)只存儲(chǔ)每個(gè)對(duì)象的部分

屬性，而不是全部屬性。

C 、 “全局編錄”的數(shù)據(jù)存儲(chǔ)在全局編錄服務(wù)器，系統(tǒng)默認(rèn)第一臺(tái)域控制器就是全局編錄服務(wù)器。在域目錄林共享一個(gè)全局編錄服務(wù)器。

11、站點(diǎn)

A 、 站點(diǎn)的含義：指的是一個(gè)或多個(gè)IP 子網(wǎng)，這些子網(wǎng)之間是通過(guò)高速（512K ）網(wǎng)絡(luò)

互連的，這些子網(wǎng)就是站點(diǎn)。

B 、 站點(diǎn)與域的區(qū)別：域是實(shí)體的分組，而站點(diǎn)是實(shí)體的分組，、每個(gè)站點(diǎn)可能會(huì)包含

多個(gè)域，而一個(gè)域也可以同時(shí)屬于多個(gè)站點(diǎn)。

12、名稱

活動(dòng)目錄內(nèi)，每個(gè)對(duì)象都有一個(gè)名稱，并且利用名稱來(lái)識(shí)別每個(gè)對(duì)象。

A 、 可分辨的名稱（ND ）：它包含對(duì)象所在的完整路徑，abc.comnorthsalesbobyong.

B 、 相對(duì)可分辨的名稱（RDN ）：RDN 是DN 的完整路徑中。

C 、 全局標(biāo)識(shí)符：GUID 是一個(gè)128的數(shù)值，所建立的任何一個(gè)對(duì)象，系統(tǒng)都會(huì)自動(dòng)給

這個(gè)對(duì)象指定一個(gè)唯一的GUID 。GUID 永遠(yuǎn)不會(huì)改變的。

D 、 用戶主體名稱{VPN}：todayhero@abc.com這是一個(gè)用戶的主體名稱。

活動(dòng)目錄介紹

（一）目錄服務(wù)

目錄，是一個(gè)數(shù)據(jù)庫(kù)，存貯了網(wǎng)絡(luò)資源相關(guān)的信息，包括了資源的位置、管理等信息。 目錄服務(wù) 是一種網(wǎng)絡(luò)服務(wù)，目錄服務(wù)標(biāo)記管理網(wǎng)絡(luò)中的所有實(shí)體資源（比如計(jì)算機(jī)、用戶、打印機(jī)、文件、應(yīng)用等），并且提供了命名、描述、查找、訪問(wèn)以及保護(hù)這些實(shí)體信息的一致的方法，使網(wǎng)絡(luò)中的所有用戶和應(yīng)用都能訪問(wèn)到這些資源。

（二）活動(dòng)目錄（Active Directory）

活動(dòng)目錄 是Windows 2000完全實(shí)現(xiàn)的目錄服務(wù)，也是Windows 2000網(wǎng)絡(luò)體系的基本結(jié)構(gòu)模型，是Windows 2000網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心管理機(jī)構(gòu)。

Microsoft 在Windows 2000中提供的活動(dòng)目錄是一個(gè)全面的目錄服務(wù)管理方案，也是一個(gè)企業(yè)級(jí)的目錄服務(wù)，具有很好的可伸縮性?；顒?dòng)目錄采用了Internet 的標(biāo)準(zhǔn)協(xié)議，它與操作系統(tǒng)緊密地集成在一起?；顒?dòng)目錄不僅可以管理基本的網(wǎng)絡(luò)資源，比如計(jì)算機(jī)對(duì)象、用戶賬戶、打印機(jī)等，它也充分考慮了現(xiàn)代應(yīng)用的業(yè)務(wù)需求，為這些應(yīng)用提供了基本的管理對(duì)象模型，比如用戶賬戶對(duì)象具有辦公電話、手機(jī)、呼機(jī)、住址、上司、下屬、電子郵件等屬性。幾乎所有的應(yīng)用可以直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動(dòng)目錄也具有很好的擴(kuò)充能力，允許應(yīng)用程序定制目錄中對(duì)象的屬性或者添加新的對(duì)象類型。

（三）活動(dòng)目錄的用處

利用AD 的優(yōu)點(diǎn)：

● 簡(jiǎn)化管理 提供對(duì)用戶、應(yīng)用程序和設(shè)備的單一、一致性的管理點(diǎn)。

● 加強(qiáng)安全性 向用戶提供單一的網(wǎng)絡(luò)資源登錄，為管理員提供強(qiáng)大、一致性的工具

以使他們能夠管理為內(nèi)部臺(tái)式機(jī)用戶、遠(yuǎn)程撥號(hào)用戶以及外部電子商務(wù)客戶提供

的安全服務(wù)。

● 擴(kuò)展的互操作性 向所有活動(dòng)目錄特性提供基于標(biāo)準(zhǔn)的存取方式以及對(duì)通用目錄

的同步支持。

（四）活動(dòng)目錄的邏輯結(jié)構(gòu)

活動(dòng)目錄的邏輯結(jié)構(gòu)非常靈活，它為活動(dòng)目錄提供了完全的樹(shù)狀層次結(jié)構(gòu)視圖，邏輯結(jié)構(gòu)與前面我們討論過(guò)的名字空間有直接的關(guān)系。邏輯結(jié)構(gòu)為用戶和管理員查找、定位對(duì)象提供了極大的方便。活動(dòng)目錄中的邏輯單元包括：域、組織單元（Organizational Unit，簡(jiǎn)稱OU ）、域樹(shù)、域森林。

1、 域（Domain ）

域 既是Windows 網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，也是Internet 的邏輯組織單元，在Windows 2000系統(tǒng)中，域是安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問(wèn)或者管理其他的域。每個(gè)域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。

2、 OU(Organizational Unit)

OU 是一個(gè)容器對(duì)象，我們可以把域中的對(duì)象組織成邏輯組，所以O(shè)U 純粹是一個(gè)邏輯概念，它可以幫助我們簡(jiǎn)化管理工作。OU 可以包含各種對(duì)象，比如用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)，甚至可以包括其他的OU 。所以我們可以利用OU 把域中的對(duì)象形成一個(gè)完全邏輯上的層次結(jié)構(gòu)，對(duì)于一個(gè)企業(yè)來(lái)講，我們可以按部門把所有的用戶和設(shè)備組成一個(gè)OU 層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個(gè)OU 層次結(jié)構(gòu)。由于OU 層次結(jié)構(gòu)局限于域的內(nèi)部，所以一個(gè)域中的OU 層次結(jié)構(gòu)與另一個(gè)域中的OU 層次結(jié)構(gòu)完全獨(dú)立。

3、 樹(shù)

當(dāng)多個(gè)域通過(guò)信任關(guān)系連接起來(lái)之后，所有的域共享公共的表結(jié)構(gòu)(schema) 、配置和全局目錄(global catalog) ，從而形成 域樹(shù) 。域樹(shù)由多個(gè)域組成，這些域共享同一個(gè)表結(jié)構(gòu)和配置，形成一個(gè)連續(xù)的名字空間。樹(shù)中的域通過(guò)信任關(guān)系連接起來(lái)?；顒?dòng)目錄包含一個(gè)或多個(gè)域樹(shù)。

4、 森林

域森林 是指一個(gè)或多個(gè)沒(méi)有形成連續(xù)名字空間的域樹(shù)。域林中的所有域樹(shù)共享同一個(gè)表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹(shù)通過(guò)Kerberos 信任關(guān)系建立起來(lái)，所以每個(gè)域樹(shù)都知道Kerberos 信任關(guān)系，不同域樹(shù)可以交叉引用其他域樹(shù)中的對(duì)象。

（五）其它

（1）域控制器(Domain Controller)

域控制器是指運(yùn)行Windows 2000 Server版本的服務(wù)器，它保存了活動(dòng)目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個(gè)域中的其他域控制器上。域控制器也負(fù)責(zé)用戶的登錄過(guò)程，以及其他與域有關(guān)的操作，比如身份認(rèn)證、目錄信息查找等。 一個(gè)域可以有多個(gè)域控制器。規(guī)模較小的域可以只需要兩個(gè)域控制器，一個(gè)實(shí)際使用，另一個(gè)用于容錯(cuò)性檢查；規(guī)模較大的域可以使用多個(gè)域控制器。

Windows 2000的域結(jié)構(gòu)與Windows NT 4的域結(jié)構(gòu)不同的是，活動(dòng)目錄中的域控制器沒(méi)有主次之分，活動(dòng)目錄采用了多主機(jī)復(fù)制方案，每一個(gè)域控制器都有一個(gè)可寫入的目錄副本。在某一個(gè)時(shí)刻，不同的域控制器中的目錄信息可能有所不同，一旦活動(dòng)目錄中的所有域控制器執(zhí)行同步操作之后，最新的變化信息就會(huì)一致。

（2）活動(dòng)目錄與DNS

活動(dòng)目錄使用域名服務(wù)DNS 作為它的定位服務(wù)，同時(shí)也對(duì)標(biāo)準(zhǔn)的DNS 作了擴(kuò)充。在活動(dòng)目錄中使用DNS 的最大好處在于，我們可以使Windows 2000域與Internet 上的域統(tǒng)一起來(lái)，即Windows 域名也是DNS 域名。

（3）Active Directory命名規(guī)范

a. 辨別名( distinguished name (DN))

活動(dòng)目錄中的每一個(gè)對(duì)象都會(huì)有一個(gè)唯一的辨別名DN 。DN 由域名、對(duì)象名組成：

DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用戶對(duì)象James Smith在contoso.com 域中的Users 組織單元中的Teacher 單元中．

b. User Principal Name : 由用戶登錄名和域名組成，如 。

（4）域運(yùn)行模式

（1） 混合模式 。混合模式的域既可以有Windows 2000的域控制器，也可以有Windows

NT 4的域控制器。這是一個(gè)過(guò)渡模式，利用這種模式，我們可以對(duì)現(xiàn)有的系統(tǒng)逐步升級(jí)。但是，在混合模式下，活動(dòng)目錄中有些功能不能很好地發(fā)揮出來(lái)。

（2）準(zhǔn)模式 。活動(dòng)目錄的標(biāo)準(zhǔn)模式要求所有的域控制器都必須運(yùn)行Windows 2000。

只有在這個(gè)時(shí)候，活動(dòng)目錄的所有功能和特性才能充分體現(xiàn)出來(lái)。

活動(dòng)目錄的安裝

運(yùn)行 Active Directory 安裝向?qū)?Windows 2000 Server 計(jì)算機(jī)升級(jí)為域控制器會(huì)創(chuàng)建一

個(gè)新域或者向現(xiàn)有的域添加其他域控制器。創(chuàng)建域控制器可以：

§ 創(chuàng)建網(wǎng)絡(luò)中的第一個(gè)域。

§ 在樹(shù)林中創(chuàng)建其他的域。

§ 提高網(wǎng)絡(luò)可用性和可靠性。

§ 提高站點(diǎn)之間的網(wǎng)絡(luò)性能。

要?jiǎng)?chuàng)建 Windows 2000 域，必須在該域中至少創(chuàng)建一個(gè)域控制器。創(chuàng)建域控制器也將創(chuàng)建該域。不可能有沒(méi)有域控制器的域。如果確定用戶的單位需要一個(gè)以上的域，則必須為每個(gè)附加的域至少創(chuàng)建一個(gè)域控制器。樹(shù)林中的附加域可以是：新的子域、新域樹(shù)的根。 安裝步驟示例

1、安裝域中第一臺(tái)域控制器

在安裝 Active Directory 前首先確定DNS 服務(wù)正常工作，下面用戶來(lái)安裝根域?yàn)?nt2000.com 的域中第一臺(tái)域控制器。

步驟1 利用配置服務(wù)器啟動(dòng)位于 Systemrootsystem32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe 。

如圖1單擊" 下一步"

步驟2 由于用戶所建立的是域中的第一臺(tái)域控制器所以選擇" 新域的域控制器" 單擊" 下一步"

步驟3 選擇" 創(chuàng)建一個(gè)新域的域目錄樹(shù)" ,單擊" 下一步"

步驟4 選擇" 創(chuàng)建一個(gè)新域的域目錄林", 單擊" 下一步"

步驟5 在" 新域的 DNS 全名" 中輸入要?jiǎng)?chuàng)建得域名，nt2000.com 如圖 2單擊" 下一步

"

步驟6 安裝向?qū)ё詣?dòng)將域控制器的 NetBIOS 名設(shè)置為 "nt2000" ,單擊" 下一步"

步驟7 顯示數(shù)據(jù)庫(kù)、目錄文件 及Sysvol 文件的保存位置，一般不必作修改。單擊" 下一步"

步驟8 配置 DNS 服務(wù), 單擊" 下一步", （如果在安裝 Active Directory 之前未配置 DNS 服務(wù)器可以在此讓安裝向?qū)渲?DNS ，推薦使用這種方法。）

步驟9 為用戶和組選擇默認(rèn)權(quán)限，考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本，所以選擇" 與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限"

如圖 3單擊" 下一步"

步驟10 輸入以目錄恢復(fù)模式下的管理員密碼, 單擊" 下一步"

步驟11 安裝向?qū)э@示摘要信息, 單擊" 下一步" 開(kāi)始安裝如圖

4

步驟12 安裝完成之后，重新啟動(dòng)計(jì)算機(jī)。

檢驗(yàn)安裝結(jié)果

在安裝完成后，可以通過(guò)以下方法檢驗(yàn) Active Directory 安裝正確，在安裝過(guò)程中一項(xiàng)最重要的工作是在 DNS 數(shù)據(jù)庫(kù)中添加服務(wù)記錄( SRV 記錄) 。

1．檢查 DNS 文件的SRV 記錄

用文本編輯器打開(kāi) systemroot/system32/config/ 中的 Netlogon.dns 文件，察看 LDAP 服務(wù)記錄，在本例中為

_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.

2. 驗(yàn)證 SRV 記錄在 NSLOOKUP 命令工具中運(yùn)行正常

步驟1 在命令提示行下，輸入 NSLOOKUP

步驟2 輸入 set type=srv

步驟3 輸入 _ldap._tcp.nt2000.com

如果返回了服務(wù)器名和 IP 地址，說(shuō)明 SRV 記錄工作正常

2、安裝第二臺(tái)域控制器

在安裝完第一臺(tái)域控制器后其域名為 nt2000.com ,在上例中該服務(wù)器用于總公司，如果由于公司擴(kuò)展的需要為其新建的工廠建立自己的域名和域控制器，則用戶將工廠的域名定義為 man.nt2000.com ，由于此域名與 nt2000.com 是連續(xù)的域名，所以他們組成了一個(gè)目錄樹(shù)，今后隨著工廠的發(fā)展用戶還可以在這個(gè)目錄樹(shù)下繼續(xù)逐級(jí)添加子域（如：accounting.man.nt2000.com ），如果需要添加的域名與該目錄樹(shù)不連續(xù)（如：nt3000.com ）則用戶就需要建立一個(gè)新的目錄樹(shù)，這樣由多個(gè)目錄樹(shù)組成了域目錄林。

在安裝第二臺(tái)域控制器之前，首先檢驗(yàn)它的IP 設(shè)置和DNS 設(shè)置，以保證可以訪問(wèn)域控制器（n2k_server.nt2000.com）。

步驟1 利用配置服務(wù)器啟動(dòng)位于 Systemrootsystem32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe 。如上圖1擊" 下一步"

步驟2 由于用戶所建立的是域中的一臺(tái)域控制器所以選擇" 新域的域控制器" 單擊" 下一步" 步驟3 選擇" 在現(xiàn)有域目錄樹(shù)中創(chuàng)建一個(gè)新的子域" ,單擊" 下一步"

步驟4 在" 網(wǎng)絡(luò)憑據(jù)" 對(duì)話框中輸入上一級(jí)域的域名及具有管理員權(quán)限的用戶名和密碼, 單擊" 下一步"

步驟5 在" 子域安裝" 對(duì)話框中輸入父域域名（nt2000.com ）和子域域名（man ）, 在下方的子域完整域名中會(huì)自動(dòng)顯示 man.nt2000.com, 單擊" 下一步"

步驟6 安裝向?qū)ё詣?dòng)將域控制器的 NetBIOS 名設(shè)置為"man", 用戶也可以進(jìn)行修改 , 單擊" 下一步"

步驟7 顯示數(shù)據(jù)庫(kù)、目錄文件及 Sysvol 文件的保存位置，一般不必作修改。單擊" 下一步" 步驟8 為用戶和組選擇默認(rèn)權(quán)限，考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本，所以選擇" 與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限", 單擊" 下一步" 步驟9 單擊" 下一步" 開(kāi)始安裝，在重新啟動(dòng)后，在 n2k_server.nt2000.com 的" Active Directory 域和信任關(guān)系" 中將顯示新建的子域 man.nt2000.com 如圖

5

DHCP 服務(wù)管理

在一個(gè)使用TCP/IP協(xié)議的網(wǎng)絡(luò)中，每一臺(tái)計(jì)算機(jī)都必須至少有一個(gè)IP 地址，才能與其他計(jì)算機(jī)連接通信。為了便于統(tǒng)一規(guī)劃和管理網(wǎng)絡(luò)中的IP 地址，DHCP （Dynamic Host Configure Protocol ，動(dòng)態(tài)主機(jī)配置協(xié)議）應(yīng)運(yùn)而生了。這種網(wǎng)絡(luò)服務(wù)有利于對(duì)校園網(wǎng)絡(luò)中的客戶機(jī)IP

地址進(jìn)行有效管理，而不需要一個(gè)一個(gè)手動(dòng)指定IP 地址。

（一）DHCP 服務(wù)的安裝

DHCP 指的是由服務(wù)器控制一段IP 地址范圍，客戶機(jī)登錄服務(wù)器時(shí)就可以自動(dòng)獲得服務(wù)器分配的IP 地址和子網(wǎng)掩碼。首先，DHCP 服務(wù)器必須是一臺(tái)安裝有Windows 2000 Server/Advanced Server系統(tǒng)的計(jì)算機(jī)；其次，擔(dān)任DHCP 服務(wù)器的計(jì)算機(jī)需要安裝TCP/IP協(xié)議，并為其設(shè)置靜態(tài)IP 地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等內(nèi)容。默認(rèn)情況下，DHCP 作為Windows 2000 Server的一個(gè)服務(wù)組件不會(huì)被系統(tǒng)自動(dòng)安裝，必須把它添加進(jìn)來(lái)：

1. 依次點(diǎn)擊“開(kāi)始→設(shè)置→控制面板→添加/刪除程序→添加/刪除Windows 組件”，打開(kāi)相應(yīng)的對(duì)話框。

2. 用鼠標(biāo)左鍵點(diǎn)擊選中對(duì)話框的“組件”列表框中的“網(wǎng)絡(luò)服務(wù)”一項(xiàng)，單擊[詳細(xì)信息]按鈕，出現(xiàn)帶有具體內(nèi)容的對(duì)話框。

3. 在對(duì)話框“網(wǎng)絡(luò)服務(wù)的子組件”列表框中勾選“動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP ）”，單擊[確定]按鈕，根據(jù)屏幕提示放入Windows 2000安裝光盤，復(fù)制所需要的程序。

4. 重新啟動(dòng)計(jì)算機(jī)后，在“開(kāi)始→程序→管理工具”下就會(huì)出現(xiàn)“DHCP ”一項(xiàng)，說(shuō)明DHCP 服務(wù)安裝成功。

（二）DHCP 服務(wù)器的授權(quán)

出于對(duì)網(wǎng)絡(luò)安全管理的考慮，并不是在Windows 2000 Server中安裝了DHCP 功能后就能直接使用，還必須進(jìn)行授權(quán)操作，未經(jīng)授權(quán)操作的服務(wù)器無(wú)法提供DHCP 服務(wù)。對(duì)DHCP 服務(wù)器授權(quán)操作的過(guò)程如下：

1. 依次點(diǎn)擊“開(kāi)始→程序→管理工具→DHCP ”，打開(kāi)DHCP 控制臺(tái)窗口。

2. 在控制臺(tái)窗口中，用鼠標(biāo)左鍵點(diǎn)擊選中服務(wù)器名，然后單擊右鍵，在快捷菜單中選中“授權(quán)”，此時(shí)需要幾分鐘的等待時(shí)間。注意：如果系統(tǒng)長(zhǎng)時(shí)間沒(méi)有反應(yīng)，可以按F5鍵或選擇菜單工具中的“操作”下的“刷新”進(jìn)行屏幕刷新，或先關(guān)閉DHCP 控制臺(tái)，在服務(wù)器名上用鼠標(biāo)右鍵點(diǎn)擊。如果快捷菜單中的“授權(quán)”已經(jīng)變?yōu)椤俺废跈?quán)”，則表示對(duì)DHCP 服務(wù)器授權(quán)成功。此時(shí)，最明顯的標(biāo)記是服務(wù)器名前面紅色向上的箭頭變成了綠色向下的箭頭。這樣，這臺(tái)被授權(quán)的DHCP 服務(wù)器就有分配IP 的權(quán)利了。