计算机培训 Windows2008管理 创建域环境

第1章WindowsServer2008活动目录教学目标：活动目录介绍创建WindowsServer2008活动目录域设计活动目录组织单位创建和管理域用户漫游式用户配置文件在活动目录中使用组1.1活动目录介绍以下讲述计算机的两种组织形式，工作组和域。先讲述工作组的限制，在讲述活动目录的功能，然后讲述活动目录的功能，也就是将计算机组织成域的形式能解决工作组面临的难题。1.1.1工作组中的限制计算机安装操作系统后，默认的计算机属于workgroup工作组。工作组是最简单的计算机组织形式。工作组中的计算机没有统一的管理机制，每台计算机的管理员只能管理本地计算机，比如设置计算机的安全策略，本地连接和共享等等管理工作。工作组的计算机也没有对用户帐户的统一的身份验证机制，用户登录计算机只能使用该计算机的本地用户帐户，有本地计算机来验证用户的身份。当访问网络上的共享资源，还需要提供访问网络资源的凭据。用户需要记住访问各个服务器用的账号和密码。工作组的计算机也没有统一查找网络资源的机制，比如网络中的共享的打印机，企业的用户帐户信息，共享文件夹等。基于以上限制，工作组是较小规模计算机网络组织的形式，在大企业中网络规模大，计算机数量多，需要统一的管理和集中的身份验证，并且能够给用户提供方便的搜索和使用网络资源的方式，工作组的组织形式就不适合了。1.1.2活动目录的功能域将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域域是组织与存储资源的核心管理单元活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法活动目录有以下特点集中管理便捷的网络资源访问用户一次登录就可访问整个网络资源网络资源主要包含用户帐户、组、共享文件夹、打印机等可扩展性1.1.3DNS服务器在域环境中的作用ADDS服务器角色要求域名系统(DNS)服务按名称查找计算机、域控制器、成员服务器和网络服务。DNS服务器角色通过将名称映射到IP地址为基于TCP/IP的网络提供DNS名称解析服务，从而使计算机可以查找ADDS环境中的网络资源。域名解析DNS服务器通过其A记录将域名解析成IP地址定位活动目录服务客户机通过DNS服务器上SRV记录定位目录服务通常情况下，DNS和DC两个服务装在同一个计算机上。客户机如果要想找到域控制器，客户机的DNS必须指向域控制器的上DNS。1.2实战1：创建WindowsServer2008域任务描述下面将创建如下域环境DCServer作为域控制器和DNS服务器，服务器有FileServer，Research是研发部门的计算机，Sales是销售部门的计算机。HanLG是研发部门的用户帐户，ZhangJL是研发部门的归档帐户，WangRS是销售部门的用户帐户。FielServer存放用户的漫游配置文件和“公共空间”文件夹。ProfileServer存放共享公司共享文件夹“研发图纸”和“销售资料”。试验环境DCServer安装了WindowsServer2008企业版操作系统IP地址10.7.10.12FileServer安装了WindowsServer2008企业版操作系统Research安装了WindowsServer2008企业版操作系统ProfileServer安装WindowsServer2008企业版核心Sales安装了Vista操作系统试验目标学会在WindowsServer2008企业版操作系统中安装活动目录安装活动目录后的检查学会将计算机加入域能够根据部门结构在活动目录中创建组织单元创建和管理域用户在域环境中使用组创建漫游式用户配置文件该试验中用到了以下虚拟机，点击“VM”“Settings”，在VirtualMachineSettings对话框中，点击“Options”，在Virtualmachinename输入虚拟机的名字。1.2.1任务1：在DCServer上安装活动目录以管理员的身份登录DCServer，更改计算机名为DCServer，重启操作系统。将DCServer的IP地址配置成静态IP地址10.7.10.12，子网掩码255.255.255.0，网关10.7.10.1，首选DNS服务器10.7.10.12。因为安装活动目录的同时也要将其安装DNS服务，DNS服务要求服务器使用静态IP地址。安装活动目录步骤：1.点击“开始”“运行”，输入“dcpromo”点击“确定”，打开活动目录安装向导，点击“下一步”，在“操作系统兼容性”对话框中，点击“下一步”。2.选中“在新林中新建域”，点击“下一步”，输入目录林根级域的完全限定域名（FQDN）“ESS.COM”，点击“下一步”。注：输入的域名要求是FQDN名字，不能是类似于“ESS”这样的名字。比如微软公司要创建一个域，域名可以输入“microsoft.com”，但不能是“Microsoft”。3.林功能级别选中“WindowsServer2008”，点击“下一步”，在“其他域控制器选项”对话框中，选中“DNS服务器”点击“下一步”。注：此林功能级别不提供Windows2003林功能级别之上的任何新功能。但是，它确保在该林中创建的任何新域将自动在WindowsServer2008域功能级别运行，这样可提供独特的功能。4.在出现提示对话框，点击“是”。在出现的“ActiveDirectory数据库、日志文件和SYSVOL的位置”对话框，指定ctiveDirectory数据库、日志文件和SYSVOL的位置，点击“下一步”。数据库存储有关用户、计算机和网络中的其他对象的信息。日志文件记录与ADDS有关的活动，例如有关当前更新对象的信息。SYSVOL存储组策略对象和脚本。默认情况下，SYSVOL是位于%windir%目录中的操作系统文件的一部分。对于更加复杂的安装，您可能需要配置您的硬盘存储以优化ADDS的性能。由于数据库和日志文件以不同方式利用磁盘存储空间，因此您可以通过将每种内容分配到不同的硬盘主轴来提高ADDS的性能。5.在“目录服务还原模式的Administrator密码”对话框中，输入活动目录恢复时用到的管理员密码。点击“下一步”。点击“下一步”，完成向导，选中“完成之后重启”。在ActiveDirectory域服务(ADDS)未运行（因为ADDS已停止或因为域控制器已在DSRM中启动）时，目录服务还原模式(DSRM)密码是登录域控制器所必需的。注：卸载活动目录也是用dcpromo命令。注：安装上活动目录后，本地用户和组将不可用。1.2.2任务2：安装后的检查以管理员身份登录到域控制器。1.更改域控制器的使用的DNS服务器打开TCP/IPv4协议，将首选的DNS服务器更改10.7.1.110。注意：默认安装活动目录后，首选DNS会指定成127.0.0.1，所以启动后的第一件事就是将首选的DNS指向自己的IP地址。2.打开服务管理器，检查DNS上的SRV记录。注意上面是4项，下面是6项。这些SRV记录是域控制器注册的。通过这些记录，客户机能够找到ESS.COM这个域的域控制器。如果安装完活动目录后，发现SRV记录不全。客户端就没有办法找到域控制器。如何做呢？请看下面的任务。3.检查活动目录的默认结构点击服务器管理器中的“角色”“ActiveDirectory域服务”“ActiveDirectory用户和计算机”“ESS.COM”。Builtin存放的是内置的组。Computers默认计算机加入域后，计算机账号存放的位置就是Computers。DomainControllers存放该域中的域控制器，不要轻易将域控制器移动到其他位置。ForeignSecurityPrincipals存放信任的外部域中安全主体。Users默认用户的存放位置。选中ESS.COM，点击“查看”“高级功能”，你能看到活动目录中更多容器。1.2.3任务3：让域控制器向DNS服务器注册SRV记录由于某种原因，装完活动目录后发现DNS上的正向区域和SRV记录没有或不全，你需要采取一下措施，强制让域控制器向DNS注册SRV记录。下面先删除DNS服务器上的正向区域，同时也就删除了该区域下的所有记录。然后，将会让域控制器向DNS服务器注册其SRV记录。步骤：1.打开服务管理器。2.右击“_msdcs.ess.com”区域，点击“删除”。3.在弹出的提示框中，点击“是”。4.选中“ess.com”区域，点击“删除”。5.在弹出的提示框中，点击“是”。现在相当于DNS没有配置成功，没有正向查找区域，也没有SRV记录。这种情况域中的其他计算机没有办法通过DNS找到ESS.COM域的域控制器。6.右击正向查找区域，点击“新建区域”。7.在新建区域向导中，点击“下一步”。8.区域类型选择如下，点击“下一步”。9.在“ActiveDirectory区域作用域”中，选择“至此域中的所有DNS服务器”10.输入区域名字“_msdcs.ESS.COM”，点击“下一步”。11.在“动态更新”中，选中“只允许安全的更新”。注意：_msdcs这是固定格式。12.点击“下一步”，点击“完成”。13.按照上面的步骤创建一个“ESS.COM”区域。这个名字必须是活动目录的名字。14.注意观察，刚建的两个区域下面没有SRV记录15.确保域控制器的TCP/IPv4的首选DNS指向自己的地址。16.在域控制器上运行netstopnetlogon17.再运行netstartnetlogon18.选中DNS服务器刚才创建的两个区域，按F5刷新。你会发现已经注册成功SRV记录。1.2.4SRV记录注册不成功的可能的原因默认情况，安装完活动目录就会DNS中的SRV记录就注册成功了，如果您在域控制器上重启Netlogon服务，有可能还是不能注册SRV记录到DNS服务器上，以下是总结的需要检查的几点。DNS区域名字是否正确，是否允许安全更新创建的正向查找的区域的名字必须是活动目录的名字，还必须创建一个_msdcs.活动目录名字区域。双击创建的区域，确保动态更新是“安全”或“非安全”，不能选择“无”。确保域控制器全名已经包括了活动目录的名字，如图，默认是包括的。如果域控制器的全名没有包括ess.com后缀，点击“更改”按钮。在弹出的对话框中，点击“确定”。在下面的对话框中点击“其他”。默认已经选中了“在域成员身份变化时，更改主DNS后缀”，输入ESS.COM后缀，点击“确定”。这样就给域控制器的计算机添加了一个域后缀。确保域控制器的TCP/IP属性已经选中“在DNS中注册此链接的地址”。1.2.5任务4:将计算机加入域将Sales计算机的计算机名称改成Sales，重启系统。以管理员的身份登录Sales，更改Sales计算机的本地连接的首选DNS服务器为10.7.10.12。右击“我的电脑”，点击“属性”，在出现的对话框中，点击“改变设置”。在出现的“系统属性”对话框中，点击“更改”。在出现的“计算机名/域更改”对话框，输入“ESS.COM”域名，点击“确定”。输入域管理员账号和密码，点击“确定”。重新计算机。注：将计算机加入域，自动的会在活动目录中computers目录下创建计算机账号。您也可以在活动目录中先创建计算机账号，在将计算机加入域。将计算机脱离域，只需将计算机加入工作组即可从域中退出。检查加入到域之后计算机的名称，发现计算机名称后自动添加了域后缀。1.2.6任务5：将WindowsServerCore操作系统加入域或退出域用虚拟机打开安装有WindowsServerCore的ProfileServer虚拟机。以管理员的身份登录ProfileServer虚拟机。输入hostname查看计算机名称。输入netdomrenamecomputerFileServer/newname:ProfileServer更改计算机名称为ProfileServer。输入netshinterfaceipv4setaddressname=”本地连接”source=sta