域樹和子域的建立 操作系統(tǒng)：Windows Server 2008 R2完成日期：2011年11月4日最后修改：2011年11月4日版本：V1.0[文中已盡量詳細(xì)化說明，但部分步驟不保證其完整性，見諒

域樹和子域的建立 操作系統(tǒng)：Windows Server 2008 R2

完成日期：2011年11月4日

最后修改：2011年11月4日

版本：V1.0

[文中已盡量詳細(xì)化說明，但部分步驟不保證其完整性，見諒。]

Microsoft 域樹和子域的建立 目錄

部署概述........................................................................................................................................... 2

概念........................................................................................................................................... 2

基本概念 . .......................................................................................................................... 2

網(wǎng)絡(luò)拓?fù)?. .......................................................................................................................... 3

部署前準(zhǔn)備....................................................................................................................................... 4

部署階段........................................................................................................................................... 5

域樹內(nèi)子域部署 . ...................................................................................................................... 5

構(gòu)建林....................................................................................................................................... 9

修改記錄......................................................................................................................................... 19

[1]

Microsoft 域樹和子域的建立 部署概述

概念

基本概念

Active Directory （AD ）：活動目錄，用于存儲用戶帳戶、計算機(jī)帳戶、打印機(jī)與共享文件夾等對象。

名稱空間：它是一塊界定好的區(qū)域，在此區(qū)域內(nèi)，可以利用某個名稱來查找與這個名稱有關(guān)的信息。

對象：用于描述AD 中的資源。

屬性：用于描述對象的特征，一個對象就是一些屬性集合。

容器：與對象相似，同樣為一些屬性的集合，但容器可以包含其他的對象，也可以包含其他的容器。

組織單位：它為一個特殊的容器，其內(nèi)除了包含其他對象與組織單位之外，還有組策略的功能。

域樹：可以架構(gòu)包含數(shù)個域的網(wǎng)絡(luò)，同時具有分層登記的域環(huán)境。

信任：通常指不同域間的信任關(guān)系，兩個與之間必須創(chuàng)建信任關(guān)系，才可以訪問對方與內(nèi)的資源。

林：由一個或數(shù)個域樹組成，每個域樹都有自己唯一的名稱空間。

架構(gòu)：用于定義對象的類型和屬性數(shù)據(jù)。

Domain Controller（DC ）：域控制器，用于存儲AD 服務(wù)的目錄數(shù)據(jù)。一個域內(nèi)可以有多臺域控制器，每一臺域控制器的地位幾乎平等。

成員服務(wù)器：服務(wù)器級別的計算機(jī)加入域后被稱為成員服務(wù)器，成員服務(wù)器內(nèi)沒有AD 數(shù)據(jù)庫，它們也不負(fù)責(zé)審核AD 的用戶名與密碼。其中的服務(wù)器級別指安裝了服務(wù)器操作系統(tǒng)的計算機(jī)。

獨(dú)立服務(wù)器：具有服務(wù)器級別的計算機(jī)沒有加入域則被稱為獨(dú)立服務(wù)器或工作組服務(wù)器。 全局編錄服務(wù)器：存儲林內(nèi)所有AD 數(shù)據(jù)庫內(nèi)的每一個對象的部分屬性，不是全部屬性，這些屬性是常用于搜索的屬性。

架構(gòu)目錄分區(qū)：存儲整個林中所有兌現(xiàn)與屬性的定義數(shù)據(jù)，同時存儲如何創(chuàng)建新對象與屬性的規(guī)則。整個林內(nèi)所有域共享一份相同的架構(gòu)目錄分區(qū)，它會被復(fù)制到林中所有域內(nèi)的

[2]

Microsoft 域樹和子域的建立 所有域控制器。

配置目錄分區(qū)：存儲整個AD 的結(jié)構(gòu)。整個林內(nèi)所有域共享一份相同的架構(gòu)目錄分區(qū)，它會被復(fù)制到林中所有域內(nèi)的所有域控制器。

域目錄分區(qū)：每一個域各自擁有一個唯一的域目錄分區(qū)，其內(nèi)存儲與該域有關(guān)的對象，此分區(qū)只會被復(fù)制到該域的所有域控制器。

應(yīng)用程序目錄分區(qū)：由應(yīng)用程序創(chuàng)建，內(nèi)部存儲與該應(yīng)用程序相關(guān)的數(shù)據(jù)。 網(wǎng)絡(luò)拓?fù)?/p>

實(shí)驗(yàn)環(huán)境中一共有三臺服務(wù)器，其中包含兩個域樹和一個林，如圖（1-1）。

圖（1-1）

在上面的拓?fù)渲锌梢钥闯鐾負(fù)渲邪粋€林，林中包含了H3C 域樹和H2C 兩個域樹，在H3C 域樹中包含一個H3C 根域和一個H3C 子域，根域的FQDN 為Virus.h3c.com.cn ，子域的FQDN 為TDC2.tt.h3c.com.cn 。在H2C 域樹中包含一個H2C 根域，根域的FQDN 為TDC1.h2c.com.cn 。在實(shí)驗(yàn)中H3C 根域，即Virus.h3c.com.cn 已經(jīng)創(chuàng)建，實(shí)驗(yàn)中主要在于了解如何創(chuàng)建H3C 子域TDC2.tt.h3c.com.cn 和如何創(chuàng)建H2C 根域TDC1.h2c.com.cn 。

[3]

Microsoft 域樹和子域的建立 部署前準(zhǔn)備

1、 網(wǎng)絡(luò)環(huán)境中需要擁有至少三臺計算機(jī)，并安裝Windows Server版操作系統(tǒng)。

2、 在其中一臺計算機(jī)上安裝并配置AD 域服務(wù)，此計算機(jī)用來做拓?fù)鋱D中H3C 的根域。

3、 為計算機(jī)配置合理的IP 地址，使其能互相通訊。

4、 將其與兩臺計算機(jī)的首選DNS 服務(wù)器地址指向H3C 根域。

5、 在H3C 根域上配置測試域帳戶，以便驗(yàn)證子域和林是否成功創(chuàng)建。

[4]

Microsoft 域樹和子域的建立 部署階段

域樹內(nèi)子域部署

登錄服務(wù)器TDC2，然后進(jìn)入“服務(wù)器角色”管理中添加“Active Directory域服務(wù)”，安裝過程不做詳細(xì)說明。安裝完成后執(zhí)行“運(yùn)行Active Driectory域服務(wù)安裝向?qū)А保笙到y(tǒng)彈出“AD 服務(wù)安裝向?qū)А苯缑?，在其中勾選“使用高級模式安裝”并“下一步”。如圖（3-1）。

圖(3-1)

之后出現(xiàn)些信息，不必理會，直接“下一步”繼續(xù)配置操作。出現(xiàn)如圖（3-2）所示界面是請注意選擇。應(yīng)選擇“現(xiàn)有林”之后是“在現(xiàn)有林中新建域”。

圖（3-2）

[5]

Microsoft 域樹和子域的建立 之后系統(tǒng)要求輸入，要加入域的域名以及加入這個域時需要提供的合法憑證，如圖（3-3）。

圖（3-3）

圖（3-3）界面下一步后，系統(tǒng)要求輸入父域的FQDN ，同時要求輸入子域的單標(biāo)簽DNS 名稱，輸入完成后“下一步”。如圖（3-4）。

圖（3-4）

繼續(xù)配置過程，系統(tǒng)會提示輸入NetBIOS 以便為不支持DNS

的計算機(jī)提供服務(wù)，不必

[6]

Microsoft 域樹和子域的建立 理會，保持默認(rèn)直接“下一步”即可。如圖（3-5）。

圖（3-5）

然后系統(tǒng)要求選擇站點(diǎn)名稱，根據(jù)自己網(wǎng)絡(luò)環(huán)境，選擇相應(yīng)的站點(diǎn)名稱后，直接“下一步”繼續(xù)配置。如圖（3-6）。

圖（3-6）

然后為系統(tǒng)配置其他選項(xiàng)，一般默認(rèn)即可，除非有特殊需要，可以自行更改其他選項(xiàng)。系統(tǒng)默認(rèn)只安裝DNS 服務(wù)器。如圖（3-7）。

圖（3-7）

圖（3-7）界面“下一步”后系統(tǒng)要求選擇“源域控制器”，一般保持默認(rèn)，即“讓向?qū)нx擇一個合適的域控制器”，當(dāng)然你也可以自己手動選擇源域控制器。如圖（3-8）。

[7]

Microsoft 域樹和子域的建立

圖（3-8）

之后系統(tǒng)要求指定AD 數(shù)據(jù)庫的保存位置以及日志文件和SYSVOL 文件的保存位置，此處最好將AD 數(shù)據(jù)庫與后兩者安裝于不同的分區(qū)中，如圖（3-9）。

圖（3-9）

選擇好AD 數(shù)據(jù)庫存儲位置后，系統(tǒng)將要求輸入“目錄還原模式”的密碼，根據(jù)自己的要求輸入密碼，這個密碼不可為空。如圖（3-10）。

[8]

Microsoft 域樹和子域的建立

圖（3-10）

繼續(xù)配置，系統(tǒng)將給出摘要信息，確認(rèn)信息無誤后“下一步”，系統(tǒng)開始自動配置相關(guān)信息直至出現(xiàn)如圖（3-11）。重啟計算機(jī)則完成子域的添加。

圖（3-11）

構(gòu)建林

之前已經(jīng)完成了H3C.com.cn 的子域tt.h3c.com.cn ，那么現(xiàn)在將開始新建h2c.com.cn

這

[9]