第四部分 組建基于域的局域網(wǎng)知識(shí)背景域（Domain ）是網(wǎng)絡(luò)中對(duì)計(jì)算機(jī)和用戶的一種邏輯分組，是相對(duì)獨(dú)立的管理單元。 在大型的網(wǎng)絡(luò)中，可以設(shè)置多個(gè)域。每個(gè)域管理一部分計(jì)算機(jī)和賬號(hào)，這樣域內(nèi)的用戶輕易

第四部分 組建基于域的局域網(wǎng)

知識(shí)背景

域（Domain ）是網(wǎng)絡(luò)中對(duì)計(jì)算機(jī)和用戶的一種邏輯分組，是相對(duì)獨(dú)立的管理單元。 在大型的網(wǎng)絡(luò)中，可以設(shè)置多個(gè)域。每個(gè)域管理一部分計(jì)算機(jī)和賬號(hào)，這樣域內(nèi)的用戶輕易不能超越域訪問其他域。域和域之間建立信任關(guān)系后，允許一些用戶可以訪問其他域。

使用域來管理計(jì)算機(jī)網(wǎng)絡(luò)主要有兩方面的含義：

安全性：域就是一個(gè)邏輯上的安全邊界，域的管理者只對(duì)域內(nèi)的計(jì)算機(jī)有管理權(quán)限，每個(gè)域都有自己的安全策略和與其他域之間的聯(lián)系方式。

網(wǎng)絡(luò)管理：域可以使用組織單元管理賬號(hào)和域中的計(jì)算機(jī)資源；創(chuàng)建多個(gè)域，每個(gè)域針對(duì)特定的用戶群，管理員可以將目錄分段或者分區(qū)，從而更好地服務(wù)于不同的用戶群。

安裝了Active Directory活動(dòng)目錄的計(jì)算機(jī)稱為域控制器，它提供活動(dòng)目錄服務(wù)供客戶機(jī)使用。域控制器存儲(chǔ)著目錄數(shù)據(jù)并管理用戶域的交互關(guān)系，其中包括用戶登錄、身份驗(yàn)證和目錄搜索等。對(duì)用戶而言，只要加入并接受域控制器的管理，就可以一次登錄，全網(wǎng)使用（不必象訪問每個(gè)成員服務(wù)器那樣需要輸入不同的賬號(hào)和密碼），方便地訪問活動(dòng)目錄所提供的網(wǎng)絡(luò)資源。對(duì)于管理員而言，通過對(duì)活動(dòng)目錄的集中式管理就能管理全網(wǎng)的資源。 在一臺(tái)計(jì)算機(jī)上安裝了Windows Server 2003后，如果將其加入到一個(gè)WORKGROUP 中，稱此Windows Server 2003為獨(dú)立服務(wù)器；如果在此獨(dú)立服務(wù)器上安裝Active Directory，使其成為域控制器，即域服務(wù)器；如果將一臺(tái)獨(dú)立服務(wù)器加入到某一域中，此獨(dú)立服務(wù)器就是成員服務(wù)器。

在Windows 網(wǎng)絡(luò)中，域是網(wǎng)絡(luò)中特定的資源集合，具有統(tǒng)一的域名和安全管理體系，由域控制器承擔(dān)全域資源的統(tǒng)一管理。它以“活動(dòng)目錄”來組織網(wǎng)絡(luò)內(nèi)的全部資源，包括：用戶、計(jì)算機(jī)、及其它網(wǎng)絡(luò)設(shè)備。

Windows Server 2003對(duì)計(jì)算機(jī)的硬件配置有一定的要求：

●

● 應(yīng)該使用133MHz Pentium以上的CPU ，最好采用Pentium Xeon。 內(nèi)存至少需要256MB ，最多支持32GB 的內(nèi)存空間，建議使用512MB ：

● 考慮到Windows Server 2003操作系統(tǒng)的復(fù)雜性，硬盤的空間應(yīng)該超過4GB ，并且要保證在安裝完畢之后，還有850MB 以上的剩余空間。

● 從光盤安裝時(shí)，應(yīng)該選擇40速或更高的光盤驅(qū)動(dòng)器，它將確保從光盤順利、快速地讀出安裝程序。

Windows Server 2003的磁盤分區(qū)可采用三種類型的文件系統(tǒng)：NTFS 、FA T16、FA T32。Windows Server 2003的NTFS 文件系統(tǒng)在原有的安全特性之上又添加了新的特性，比如活動(dòng)目錄。如果希望Windows 2003和早期操作系統(tǒng)之間建立多重啟動(dòng)，就需要使用FA T 文件系統(tǒng)，用戶必須把系統(tǒng)配置成多重啟動(dòng)并在硬盤上用FA T 分區(qū)作為活動(dòng)分區(qū)；如果Windows Server 2003服務(wù)器不需要配置多重啟動(dòng)功能，用戶最好使用NTFS 格式的文件系統(tǒng)。

域的合法用戶可以在局域網(wǎng)的工作站上登錄到域，從而共享域內(nèi)資源。

Windows Server 2003所支持的用戶帳戶分為二類：域用戶帳戶和本地帳戶。域用戶帳戶建立在域控制器的Active Directory 數(shù)據(jù)庫(kù)內(nèi)，在“Active Directory 用戶和計(jì)算機(jī)”中創(chuàng)建和管理。用戶可以在域中任何一臺(tái)計(jì)算機(jī)上用域用戶帳戶登錄到域，以訪問本域內(nèi)的共享資源。登錄時(shí)由域控制器來檢查用戶名和密碼的正確性。而本地用戶帳戶建立在Windows Server 2003獨(dú)立服務(wù)器、成員服務(wù)器的本地安全數(shù)據(jù)庫(kù)內(nèi)，而不是域控制器的Active Directory 數(shù)據(jù)庫(kù)內(nèi)，用戶在本地“計(jì)算機(jī)管理”中可以新增和管理本地用戶，本地用戶只能登錄到本地計(jì)算機(jī)，根據(jù)本地安全數(shù)據(jù)庫(kù)來檢查身份的合法性。它僅能使用對(duì)等的共享網(wǎng)絡(luò)資源（要求通過另一臺(tái)對(duì)等計(jì)算機(jī)的本地安全認(rèn)證，即輸入用戶名和口令），而不能使用域中的共享資源。當(dāng)Windows Server 2003成為域控制器后，就不允許再新增本地用戶帳戶，只能新增域用戶帳戶。

實(shí)驗(yàn)九 安裝活動(dòng)目錄

【實(shí)驗(yàn)條件】

已正確安裝了Windows Server 2003

【實(shí)驗(yàn)說明】

1. 安裝活動(dòng)目錄，將Windows Server 2003獨(dú)立服務(wù)器上升為域控制器

2. 在安裝活動(dòng)目錄的同時(shí)，安裝DNS

【實(shí)驗(yàn)任務(wù)】

1. 安裝活動(dòng)目錄

2. 安裝DNS

3. 將Windows Server 2003域控制器下降為獨(dú)立服務(wù)器

【實(shí)驗(yàn)?zāi)康摹?/p>

1. 會(huì)將Windows Server 2003獨(dú)立服務(wù)器上升為域控制器 2. 會(huì)將Windows Server 2003域控制器下降為獨(dú)立服務(wù)器

【實(shí)驗(yàn)內(nèi)容】

一、安裝活動(dòng)目錄

[操作步驟]（以01小組為例，將“-01”改變自己的組號(hào)如“-xx ”）

1. 在Windows Server 2003上，檢查計(jì)算機(jī)名稱是否正確

右擊“我的電腦”→ “屬性” → 選擇“計(jì)算機(jī)名”選項(xiàng)卡 ，→ 檢查計(jì)算機(jī)名和組名，完整的計(jì)算機(jī)名win2003s-01 → 工作名：workgroup-01， → 單擊“更改”鈕，可重命名，正確設(shè)置名，將重啟計(jì)算機(jī)，以確保正確。

2. 安裝AD （Active Directory，活動(dòng)目錄）

（1）“開始” → “程序” →“管理工具” → “配置您的服務(wù)器向?qū)А保蜷_如圖4-1-1所示的對(duì)話框，單擊“下一步”。

圖4-1-1

（2）在如圖4-1-2所示的畫面上單擊“下一步”。

圖4-1-2

（3）出現(xiàn)“正在進(jìn)行網(wǎng)絡(luò)連接測(cè)試”的進(jìn)程，在接下來出現(xiàn)的如圖4-1-3所示對(duì)話框中選擇“第一臺(tái)服務(wù)器的典型配置”，單擊“下一步”。

圖4-1-3

（4）在“Active Directory 域名”窗口中的文本框中輸入Active Directory 域名：Nserver-01.com ，單擊“下一步”，如圖4-1-4所示。

圖4-1-4

（5）在接下來的窗口中選擇“否，不轉(zhuǎn)發(fā)查詢”，如圖4-1-5所示，單擊“下一步”。

圖4-1-5

（6）在下一個(gè)窗口中單擊“下一步”，如圖4-1-6所示。

圖4-1-6

（7）顯示“正在應(yīng)用選擇”的進(jìn)程，如圖4-1-7所示，單擊“確定”按鈕。

圖4-1-7

（8）提示將Windows Server 2003安裝光盤插入光驅(qū)后按“確定”按鈕，如圖4-1-8所示。

圖4-1-8

（9）插入光盤后，系統(tǒng)會(huì)自動(dòng)安裝DNS 、DHCP 等Windows 組件，并同時(shí)安裝Active Directory ，如圖4-1-9所示。

圖4-1-9

（10）Active Directory安裝配置完成后，計(jì)算機(jī)會(huì)自動(dòng)重新啟動(dòng)，登錄后顯示如圖4-1-10所示的窗口，單擊“下一步”按鈕。

圖4-1-10

（11）出現(xiàn)如圖4-1-11所示的對(duì)話框，表示此域控制器已配置完成，單擊“完成”按鈕。

圖4-1-11

（12）可以通過“管理工具“中的”管理您的服務(wù)器“來更改已設(shè)置的服務(wù)器配置，如圖4-1-12。

圖4-1-12

（13）還可以利用Active Directory 安裝向?qū)斫⒕W(wǎng)絡(luò)中的第一臺(tái)域控制器。在即將用作獨(dú)立服務(wù)器或成員服務(wù)器的Windows Server 2003計(jì)算機(jī)上，執(zhí)行“開始”→“運(yùn)行”→輸入dcpromo 命令，啟動(dòng)“Active Directory安裝向?qū)А?，具體設(shè)置請(qǐng)自己練習(xí)。

【實(shí)驗(yàn)檢測(cè)】

1. 作為域控制器的計(jì)算機(jī)，可以更改計(jì)算機(jī)名稱，域名卻不可改變，除非將此域控制器降級(jí)。

右擊“我的電腦” → “屬性” → 選擇“計(jì)算機(jī)名”選項(xiàng)卡， 檢查完整計(jì)算機(jī)名稱：win2003s-01 . n server-01 . com 域名：nserver-01 . com →點(diǎn)擊“更改”按鈕，會(huì)彈出如圖4-1-13所示的對(duì)話框，表示不允許更改域名，只有降級(jí)才可以，可以重命名計(jì)算機(jī)名，但會(huì)造成一些問題，建議不要輕意更改域控制器名。

圖4-1-13

如需更改，點(diǎn)擊“確定”按鈕后進(jìn)入如圖4-1-14所示的對(duì)話框，可以在計(jì)算機(jī)名下的文本框中輸入想更改的計(jì)算機(jī)名。

圖4-1-14

2. 在管理工具中多了七個(gè)菜單項(xiàng)

“程序”→“管理工具”→菜單中將有“Active Directory用戶和計(jì)算機(jī)”、“Active Directory域和信任關(guān)系”、“Active Directory 站點(diǎn)和服務(wù)”、“DNS ”、“DHCP ”“域安全策略、”“域控制器安全策略”菜單項(xiàng)。

3. 看安裝了哪些Windows 組件

“開始” → “設(shè)置” → “控制面板” → “添加或刪除程序” →“添加/刪除Windows 組件”， → 出現(xiàn)“Windows 組件向?qū)А睂?duì)話框，勾選“網(wǎng)絡(luò)服務(wù)”復(fù)選框，單擊“詳細(xì)信息”將發(fā)現(xiàn)在“網(wǎng)絡(luò)服務(wù)”項(xiàng)已選中， → 單擊“詳細(xì)信息”按鈕，→“動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP ）”、“域名系統(tǒng)（DNS ）”已被選中，說明將Windows Server 2003配置為DHCP 服務(wù)器和DNS 服務(wù)器，如圖4-1-15所示。

圖4-1-15

二、 降級(jí)

[操作步驟]

1. 檢查安裝AD 及域名服務(wù)器（DNS ）是否有錯(cuò)

“開始” → “程序” → “管理工具” → “事件查看器”， → 分別在“系統(tǒng)”，“目錄服務(wù)”, “DNS 服務(wù)器”, “安全性”，“應(yīng)用程序”，“文件復(fù)制服務(wù)”文件夾下查看無錯(cuò)誤類型（X 標(biāo)志），查看發(fā)生日期，如果無法確定錯(cuò)誤產(chǎn)生的原因，則先將這些文件夾下的內(nèi)容清空，重新啟動(dòng)系統(tǒng)，再來查看有無錯(cuò)誤。

右擊“系統(tǒng)”（或其它文件夾）→“ 清除所有事件” →“ 不保存日志文件”。

2. 如果安裝AD 有嚴(yán)重錯(cuò)誤，或需重命名域名，則使Active Directory降級(jí)

（1）“開始”菜單 → “運(yùn)行”→ 在“運(yùn)行”對(duì)話框中輸入DCPROMO ，出現(xiàn)“Active Directory 安裝向?qū)А睂?duì)話框，單擊“下一步”按鈕， 開始降級(jí)Active Directory ，出現(xiàn)如圖4-1-16所示。單擊“確定”按鈕。

圖4-1-16

（2）如果該域控制器是域中最后一個(gè)域控制器，會(huì)出現(xiàn)如圖4-1-17所示對(duì)話框。選中“這個(gè)服務(wù)器是域中的最后一個(gè)域控制器”，單擊“下一步”按鈕。