软考网络工程师资料-第3章 创建Windows Server 2003 的域

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

创建WINDOWSSERVER2003域2020年4月26日星期日1一ActiveDirectory的基本概念二域,域树,域林,域森林三域间信任关系四轻型目录访问协议五域功能与林功能六建立WIN2003域七检测AD目录的服务八删除AD目录AcitveDirectory的基本概念2020年4月26日星期日2目录服务的功能组织管理控制资源集中管理单点管理用户只需登录一次,就可访问整个活动目录的资源Win2003域内的目录是用来存储用户账号,组,打印机,共享文件夹对象(Object)的,这些对象的存储称为目录数据库Win2003域内负责提供目录服务的组件就是AD。它负责目录数据库的保存新建删除修改与查询等服务AcitveDirectory的基本概念2020年4月26日星期日3适用范围:一台计算机一个小型局域网,数个广域网的结合命名空间:命名空间(namespace)是一个界定好的区域。Win2003域内,AD就是一个命名空间,可以通过对象的名称找到与这个对象有关的所有信息对象与属性:win2003域内的资源以对象的形式存在,如用户计算机打印机应用程序都是对象。一个对象是通过属性来描述其特征的。即对象本身就是属性的集合对象的对象对象属性张三用户(user)姓名电话号码地址等容器和OU:容器类似对象,有自己名称,一些属性的集合。并不代表一个实体。可以包含用户与计算机。OU可以包含除用户等对象外,还可包含组策略(Grouppolicy)活动目录就是以阶梯式的结构,将对象、容器、组织单位等组合起来,并将其存贮到活动目录数据库内。活动目录的对象2020年4月26日星期日4活动目录的对象代表网络资源属性存储描述对象的信息属性名字姓氏登陆名属性打印机名打印机的位置活动目录打印机打印机1打印机2SuzanFine用户DonHall访问属性对象打印机用户打印机3域树2020年4月26日星期日5•S1.abc.comSale.abc.comAbc.com•目录树域树内的所有域共享一个AD.即这个域树只有一个AD.这个AD内的数据分散地存储在各个域内,且每个域内只存储该域内的对象的数据Windows2003将存储在各个域内的对象总称为AD什么是目录树2020年4月26日星期日6父域子域连续的名字空间,(域后缀延续)sales.contoso.msft父域子域新域目录树根域contoso.msftsales.contoso.msft信任关系2020年4月26日星期日7contoso.msftau.contoso.msftasia.contoso.msft目录树双向可传递信任au.nwtraders.msftasia.nwtraders.msftnwtraders.msft目录林目录树双向可传递信任域林2020年4月26日星期日8•Domain•域•域•目录树•域•域•域•目录树•目录林•域•OU•OU•OU若一个网络内含多个域树,则可以将域树组合成为一个域林(domainforest).所建立的第一个域树的根域就是整个林的根域(forestrootdomain)建立林时自动建立根域之间的具有双向可传递的信任关系,因此每个域树中的用户只要有权限就可以访问其他任何一个域树内的资源,也可登陆任何一个域树内的计算机目录林2020年4月26日星期日9nwtraders.msftmarketing.nwtraders.msftsales.nwtraders.msftcontoso.msftsales.contoso.msft在目录林中的所有域共用一个公共配置、架构Schema、全局目录GC一个目录林是一个或多个目录树在目录林中的目录树都有自己的名称空间目录林目录树目录树域控制器2020年4月26日星期日10域控制器域控制器域复制=具有可写属性的活动目录数据库域控制器:参与活动目录复制在域中执行单主机操作轻型目录访问协议可辨识名称(DN)Distinguishedname是对象在AD内的完整路径Cn=张三,ou=sales,ou=业务部,dc=abc,dc=com相对可分辨名称RelativeDistinguishedname完整路径中,用来代表某个对象的部分路径全局唯一标识符(GUID)GlobalUniqueIdentifier是一个128bit的数值对于系统建立的任意对象都会指定一个唯一guid给整个对象,对象名称可变,但guid不变用户规则名(UPN)Userprincipalname类似电子邮件账户格式2020年4月26日星期日11LDAP是一种用来查询与更新AD的目录服务通信协议。Windows2003域是利用LDAP命名路径来表示对象在AD内的位置。以便利用它来访问在AD内的对象目录林根域2020年4月26日星期日12目录林根域是在林中第一个建立的域contoso.msft目录林目录林根域nwtraders.msft目录树目录树根域全局目录配置和架构企业EnterpriseAdminsSchemaAdminsmarketing.nwtraders.msftsales.contoso.msft目录树全局编录2020年4月26日星期日13可以利用某一用户的电话等属性来找到此用户的账号或利用打印机名称来找到打印机等。虽然在域树中所有域共享一个AD,但AD内数据却是分散存储在各个域内,而且每一个域内只存储该域本身的对象,因此为了让每一个用户,应用程序能快速地找到位于其他域内的对象,windows2003设计了全局编录。全局编录由DC来实现,包含活动目录内的每个对象,仅存储对象的部分属性,而不是全部属性。通常存储常用于搜索的属性一个林内的所有域树共享相同的GC。默认为林内第一台DC成为GC全局目录服务器(GC服务器)2020年4月26日星期日14全局目录GC服务器对象属性DomainDomainDomainDomainDomainDomain查询利用通用组成员身份的信息登录网络GC为globalcatalog全局编录建立一个GC服务器2020年4月26日星期日15ADSitesandServicesConsoleWindowHelpActiveViewTreeNameTypeDescriptionActiveDirectorySitesandServicesSitesDefault-First-Site-NameServersInter-SiteTransportsSubnetsATLANTALONDONNewActiveDirectoryConnectionNewAllTasksNewWindowfromHereDeleteRefresh属性HelpNTDSSettingsPropertiesGeneralObjectSecurityNTDSSettingsDescription:QueryPolicy:全局编录DomainControllerDefaultQueryPolicy启用或者禁用全局编录GC组织单元(OrganizationalUnits)2020年4月26日星期日16利用OU可以把对象组织到一个逻辑结构中,使其最好地适应你的组织需求可以把管理控制权委派给OU内的对象,通过指定权限到一个或几个用户和组组织结构SalesVancouverRepairUsersSalesComputers网络管理模式Site2020年4月26日星期日17站点:优化复制流量一个或多个子网组成使用户能够使用可靠、高速的连接登录到域控制器上站点IP子网IP子网LosAngelesSeattleChicagoNewYork域与站点2020年4月26日星期日18域是逻辑分组。而站点是物理分组。在AD中,一个站点会同时包含分属不同域的计算机,而一个域内的计算机也可能分属不同的站点关于复制:站点内复制:基于变化通知,不压缩站点间复制:基于时间调度,压缩一致性差一些域功能与林功能2020年4月26日星期日19Windows2003新增加了称为域与林功能的特性。域功能:Win2003的域功能设置只会影响到该域。Win2000混合模式:允许DC是win2003win2000winnt默认值Win2000原始模式:允许DC是win2003win2000Win2003模式:允许window2003域功能级别差异列表域特色WIN2000混合Win2000原始Win2003更改域控制器的计算机名称不支持不支持支持组嵌套有限制完全支持完全支持SID历史记录不支持支持:让用户帐号在不同域迁移时,仍然拥有原来的权限和权利支持:同左转换组不支持相互转换相互转换2020年4月26日星期日20域功能与林功能2020年4月26日星期日21林功能:Windows2003林功能设置会影响到该林的所有域Win2000允许dc是win2003,win2000与nt4默认值Win2003过渡版允许win2003及nt4。不能有win2000Win2003允许win2003林功能级别差异列表林特色WIN2000Win2003全局编录的复制改进不支持支持不同域林之间的信任关系不支持支持域的重命名不支持支持链接值的复制不支持支持:提升复制效率2020年4月26日星期日22二建立域的准备工作2020年4月26日星期日23DNS域名DNS服务器足够的硬盘空间一个NTFS分区首先定义一个DNS域名作为域的名字其次需要网络内有台DNS服务器(支持本地服务器资源记录)再次建议至少保留250M的空间来存储ad数据库,另外还要保留50M的空间来存储日志文件,如果这台服务器扮演全局编录的角色,则需要更多的空间最后DC上必须有一个NTFS分区存放SYSVOL文件夹(脚本文件系统基本设置netlogon共享文件夹sysvol共享文件夹组策略设置模板等)活动目录安装准备2020年4月26日星期日24计算机上运行的是Windows2000S、AS、DSAD数据库至少需要200MBAD数据库的事务日志文件,另需50MB若为GC,还需一定的空间系统卷(SYSVOL)文件夹,必须NTFS安装TCP/IP并且配置了DNS如果是在现存的2000网络上创建域,那么还需要创建域所需的管理特权建立域2020年4月26日星期日25建立网络中的第一台域控制器在网络中建立第一台控制器时,会同时建立此域控制器所隶属的域以及该域所隶属的林,这个域就是该域树的根域。由于这是网络中的第一个域树,因此,将同时建立一个新的林,这个林的名称就是第一个域树的根域的域名。demo安装活动目录2020年4月26日星期日26运行dcpromo.exe运行dcpromo.exe/adv准备工作、指定信息可利用自动应答文件来安装AD建立域2020年4月26日星期日27启动AD安装向导:dcpromo.exe选择域控制器和域类型指定所需信息–域、DNS和NetBIOS名–AD数据库、日志文件和共用系统卷SYSVOL的位置–选择权限:以前兼容/2000–指定“目录服务恢复模式”管理员密码AD安装向导将:–安装活动目录AD–把计算机转换为域控制器DC使用无人值守安装脚本来安装活动目录2020年4月26日星期日28[DCInstall]RebootOnSuccess=YesDatabasePath=C:\Winnt\ntdsLogPath=C:\Winnt\ntdsSYSVOLPath=C:\Winnt\SysvolSiteName=Default-First-Site-NameReplicaOrNewDomain=DomainTreeOrChild=TreeCreateOrJoin=CreateDomainNetbiosName=gpmcseNewDomainDNSName=gpmcse.comDNSOnNetwork=NoNo表示不利用已有的,为新域创建新的DNSAutoConfigDNS=Yes运行:dcpromo.exe/answer:应答文件确认AD是否正常安装2020年4月26日星期日

1 / 55
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功