Windows Server 2003域網(wǎng)絡(luò)建立2．1 DNS和活動目錄DNS （Domain Name System – 域名解析系統(tǒng)）是一個 Internet 的標(biāo)準(zhǔn)服務(wù)，它可以將域名如 www.

Windows Server 2003域網(wǎng)絡(luò)建立

2．1 DNS和活動目錄

DNS （Domain Name System – 域名解析系統(tǒng)）是一個 Internet 的標(biāo)準(zhǔn)服務(wù)，它可以將域名如 www.microsoft.com 翻譯成計(jì)算機(jī)能夠識別的二進(jìn)制的 TCP/IP 地址。

Windows 2000/2003 的域名是以 DNS 分層命名結(jié)構(gòu)為基礎(chǔ)的，這是一個顛倒的目錄樹結(jié)構(gòu)：單個根域，以下可以是父域和子域（枝和葉）。例如，諸如 child.parent.microsoft.com 的 Windows 2000/2003 域名識別名為

“child” 的域，此域是名為 “parent” 域的一個子域，而 “parent” 域自身又是根域 microsoft.com 的一個子域。

域中的每臺計(jì)算機(jī)依靠其完整的合格域名識別。位于

child.parent.microsoft.com 域中計(jì)算機(jī)的完整合格域名應(yīng)是

computername.child.parent.microsoft.com 。

2.1.1 DNS和活動目錄的關(guān)系

活動目錄使用域名服務(wù)DNS 作為它的定位服務(wù)，同時(shí)也對標(biāo)準(zhǔn)的DNS 作了擴(kuò)充。在活動目錄中使用DNS 的最大好處在于，我們可以使Windows 2000域與Internet 上的域統(tǒng)一起來，即Windows 域名也是DNS 域名。

DNS 為活動目錄網(wǎng)絡(luò)提供了下列主要功能：

1. 名稱解析。 DNS通過將計(jì)算機(jī)的全稱域名（FQDN ）轉(zhuǎn)化為IP 地址來提供名稱解析，以便計(jì)算機(jī)之間的相互定位、查詢和訪問。。

2. 域命名約定。 AD使用DNS 的命名管理約定來命名Windows 的域名。在

Windows2000的網(wǎng)絡(luò)中，DNS 域和活動目錄域共享一個公共的分層命名結(jié)構(gòu)。

3. 定位活動目錄的物理組件。 DNS通過SRV （服務(wù)資源記錄）來標(biāo)識域控制器。當(dāng)有驗(yàn)證登錄請求或執(zhí)行一個活動目錄查詢時(shí)，客戶機(jī)可以通過詢問DNS 以查詢提供服務(wù)的域控制器。

DNS 與活動目錄的關(guān)系

DNS 和活動目錄集成目錄服務(wù)是微軟Windows 2000/2003的一個關(guān)鍵特性。DNS 和活動目錄的關(guān)系如下：

1.AD 和DNS 使用相同的命名層次結(jié)構(gòu)，共享相同的域名，故域和計(jì)算機(jī)可以使用DNS 的節(jié)點(diǎn)和AD 的對象來表示。

2.AD 和DNS 存儲了同一物理對象的不同信息，從而代表了兩 個不同的域名空間。DNS 存放資源記錄（如域名和IP 的映射）；AD 存放資源對象（如計(jì)算機(jī)、用用戶、組以及其相應(yīng)的屬性等）。

3.AD 使用DNS 來幫助搜索資源，AD 必須要依靠DNS ，用戶用DNS 來查詢DC 以使AD 提供服務(wù)；DNS 可以不依靠AD ，它只是AD 中的一個必須的工具而已。

2.1.2 服務(wù)資源記錄

Active Directory 將 DNS 用作域控制器定位機(jī)制，使計(jì)算機(jī)能找到域控制器的 IP 地址。為查找特定域或目錄林中的域控制器，客戶端向 DNS 查詢相應(yīng)的服務(wù)位置 (service location , SRV) 和地址 (address , A) 資源記錄。這些 DNS 資源記錄提供域控制器的名稱和 IP 地址。

因此，用于支持 Active Directory 部署的 DNS 服務(wù)器必須支持 SRV 記錄。而且，Microsoft 極力推薦這些 DNS 服務(wù)器也支持動態(tài)更新。域控制器動態(tài)注冊域控制器定位機(jī)制成功運(yùn)行所必需的 DNS 記錄。

服務(wù)資源記錄的功能

當(dāng)DC 啟動后，Netlogon service會自動在DNS Server中注冊SRV 記錄。SRV 記錄有以下功能：

1. 服務(wù)記錄的信息將服務(wù)名和DNS 的提供該服務(wù)的域控制器的計(jì)算機(jī)名連接起來。

2. 服務(wù)記錄允許允許客戶機(jī)通過DNS 查找提供特定活動目錄服務(wù)的服務(wù)器。 SRV 資源記錄可以標(biāo)識：

1. 在特定的域和森林中的域控制器。

2. 在同一個站點(diǎn)作為客戶機(jī)的域控制器。

3. 注冊成為全局目錄服務(wù)器的域控制器。

4. 注冊成為Kerberos KDC服務(wù)器的域控制器。

服務(wù)資源記錄使用的格式

所有服務(wù)資源記錄使用下列格式：

_service-Protocol.name ttk class SRV priority weight port target

例：_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft.

下表給出了服務(wù)記錄中每個字段的描述：

定位域控制器

當(dāng)域控制器開始啟動以及在運(yùn)行過程中是周期性的，該域控制器的Netlogon 服務(wù)會使用動態(tài) DNS（DDNS ）公布它的DNS SRV 記錄。此SRV 記錄描述了該域控制器提供的服務(wù)。例如：Kerberos 認(rèn)證、輕量級目錄訪問協(xié)議以及AD 全局編錄（Global Catalog ，GC ）查找。由于域控制器使用分層次結(jié)構(gòu)的SRV 記錄，所以這就為工作站定位所屬站點(diǎn)或者所屬域提供了便利。

圖 2-1 SRV記錄的命名層次結(jié)構(gòu)

如圖2-1顯示了SRV 記錄的命名層次結(jié)構(gòu)。從其結(jié)構(gòu)圖中我們發(fā)現(xiàn)它的結(jié)構(gòu)與Windows 2000/2003的DNS 層次結(jié)構(gòu)十分相似。這種結(jié)構(gòu)的好處之一就是，工作站可以在不需要了解所需服務(wù)具體參數(shù)的情況下快速搜索。例如：要在域森林中查找全局編錄的服務(wù)器，只需要在搜索條件中指定域森林的名稱和協(xié)議類型（可以使用forestname._tcp來搜索_gc SRV 記錄），這個搜索將返回指定域內(nèi)所有全局編錄服務(wù)器的SRV 記錄。如果工作站已經(jīng)知道AD 站點(diǎn)的名稱，可以使用 forestname._sites.sitename._tcp來搜索_gc SRV記錄，這個搜索將返回指定站點(diǎn)內(nèi)的全局編錄服務(wù)器的SRV 記錄。

在 DNS中周期性地公布SRV 記錄對于工作站快速定位域控制器有很大幫助。當(dāng)工作站被認(rèn)證屬于某一個域后，工作站就需要在該AD 站點(diǎn)中選擇一個域控制器。

工作站上運(yùn)行的Netlogon 進(jìn)程將控制整個認(rèn)證過程。作為Netlogon 組件之一的DC Locator負(fù)責(zé)為工作站定位域控制器。早期版本W(wǎng)indows 中的DC Locator使用WINS 來定位域控制器，在Windows 2000以及其他AD 工作站中都使用搜索SRV 記錄的方法定位域控制器。

在工作站第一次被認(rèn)證之前，它不知道自身所在的站點(diǎn)。所以此時(shí)工作站的第一個任務(wù)就是查找域內(nèi)的所有域控制器。工作站首先向本機(jī)TCP/IP設(shè)置中的主DNS 服務(wù)器發(fā)出搜索請求，在 _tcp.dcs._msdcs.domainname內(nèi)搜索_ldap SRV 記錄。如果該DNS 服務(wù)器沒有響應(yīng)，工作站將會向輔DNS 服務(wù)器發(fā)出請求。

DNS 服務(wù)器在收到查詢請求后，會向工作站返回域內(nèi)所有域控制器的列表。收到列表后工作站對所有記錄初始化低優(yōu)先級的值，之后依次AD Ping （一個基于UDP 的LDAP 查詢命令）每個域控制器。如果域控制器沒有在十分之一秒內(nèi)響應(yīng)，工作站會繼續(xù)測試下一個，依次類推，直到有一個域控制器響應(yīng)。

當(dāng)域控制器收到來自工作站的AD Ping ，域控制器在返回之前需要對兩個重要信息進(jìn)行判斷。首先，域控制器需要判斷與工作站最近的站點(diǎn)。如何判斷？域控制器使用內(nèi)存中保留的站點(diǎn)和子網(wǎng)的 IP地址與AD Ping的源IP 地址相比較。然后，域控制器判斷自身是否處于該站點(diǎn)（同樣從IP 地址對比的角度）。最后將這些信息和該域控制器所處站點(diǎn)的名稱以一個 UDP數(shù)據(jù)報(bào)返回給工作站。 工作站在接收到響應(yīng)后，檢查回應(yīng)的域控制器是否位于最近站點(diǎn)中。如果是，就將該工作站所屬的站點(diǎn)信息保存到注冊表“HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet ServicesNetlogonParameters”下的

“DynamicSiteName”子鍵中，并且將該域控制器作為將來提供認(rèn)證服務(wù)的提供者。如果域控制器返回的信息表明它不在最近的站點(diǎn)中，工作站就使用所提供的站點(diǎn)名稱向DNS 服務(wù)器請求此站點(diǎn)內(nèi)域控制器的列表。向

_tcp.sitename.sites.dc._msdcs.domainname區(qū)域查找_ldap SRV 記錄。DNS 服務(wù)器根據(jù)指定的站點(diǎn)名稱返回域控制器列表。之后工作站將再次重復(fù)，在收到列表之后對所有記錄設(shè)置低優(yōu)先級值，依次AD Ping 域控制器，直到有域控制器在十分之一秒內(nèi)響應(yīng)。

如果在工作站所處站點(diǎn)中沒有一個域控制器響應(yīng)，那會怎樣？在這種情況下（當(dāng)然我們希望這種情況最好永遠(yuǎn)別發(fā)生），工作站將嘗試與任何能夠通訊的域控制器聯(lián)系。

2.1.3 AD集成區(qū)域

當(dāng)在Windows 2000/2003中實(shí)現(xiàn)了DNS ，就可以把活動目錄中的服務(wù)當(dāng)作數(shù)據(jù)存儲和復(fù)制的引擎來使用，也即將DNS 和AD 集成在一起，將DNS 的區(qū)域類型更改為“活動目錄集成區(qū)域”。

圖 2-2 活動目錄集成區(qū)域

DNS 和活動目錄集成區(qū)域的好處之一就是能夠?qū)NS 的域和活動目錄數(shù)據(jù)結(jié)合起來。主DNS 區(qū)域也將作為對象存儲在活動目錄數(shù)據(jù)庫。而且當(dāng)DNS 進(jìn)行區(qū)域文件數(shù)據(jù)庫的復(fù)制時(shí)，也將隨著AD 的復(fù)制而進(jìn)行。

活動目錄集成區(qū)域也須在一臺域控制器上才能創(chuàng)建，它具有有以下的優(yōu)點(diǎn)：

1. 消除了主DNS 服務(wù)器作為單個失敗點(diǎn)而帶來的不足。DNS 復(fù)制是單個主控，它依靠主DNS 服務(wù)器來更新所有其它輔助服務(wù)器。而活動目錄復(fù)制是多主控復(fù)制，因此可以對任何服務(wù)器進(jìn)行更新，更改將復(fù)制給其它的域控制器。因此如將DNS 區(qū)域和活動目錄進(jìn)行集成，活動目錄復(fù)制將總會同步DNS 信息。

2. 能夠進(jìn)行安全可靠的動態(tài)更新。因?yàn)镈NS 區(qū)域在活動目錄集成區(qū)域中是活動目錄對象，在那些區(qū)域的記錄中可以設(shè)置權(quán)限來控制哪臺計(jì)算機(jī)可以動態(tài)的更新。因此使用安全的動態(tài)更新協(xié)議的更新將僅來自那些授權(quán)的計(jì)算機(jī)，如域中的計(jì)算機(jī)。

3. 對那些沒有注冊為域控制器的DNS 服務(wù)器執(zhí)行標(biāo)準(zhǔn)區(qū)域傳送。必須使用標(biāo)準(zhǔn)區(qū)域傳輸來把區(qū)域復(fù)制到其它域中的DNS 服務(wù)器。

2．2 創(chuàng)建域

Active Directory 服務(wù)部署由一個或多個林組成，每個林又包含一個或多個域。在網(wǎng)絡(luò)中創(chuàng)建初始域控制器 （DC ）時(shí)，就會在林中創(chuàng)建第一個域；域必須至少包含一個域控制器。創(chuàng)建的第一個域是第一個林的根域。同一域林中的其他域可以是子域或樹根域。同一域樹中位于一個域的上方與其緊鄰的域被視為該域的父域。

域用來實(shí)現(xiàn)各種網(wǎng)絡(luò)管理目標(biāo)，如構(gòu)造網(wǎng)絡(luò)、劃定安全范圍、應(yīng)用組策略以及復(fù)制信息等。

Active Directory 允許將域控制器用作對等計(jì)算機(jī)；因此，客戶端可通過域中的任何域控制器來更新 Active Directory 。這與 Windows NT Server 主域控制器 （PDC ）和備份域控制器 （BDC ） 所扮演的讀寫/只讀角色具有非常大的差異。Windows NT Server 域系統(tǒng)支持單主機(jī)復(fù)制，它要求所有更改都必須在 PDC 上進(jìn)行。

Windows 2000/2003 操作系統(tǒng)支持多主控復(fù)制；域中的所有域控制器都可以接收對象更改，并且可以將這些更改復(fù)制到該域中的所有其他域控制器。默認(rèn)情況下，在林中創(chuàng)建的第一個域控制器是全局編錄服務(wù)器，它包含所在域的目錄中所有對象的完整副本，還包括林中所有其他域的目錄中存儲的所有對象的部分副本。 在域控制器之間復(fù)制 Active Directory 數(shù)據(jù)有助于提高信息可用性、容錯性、負(fù)載平衡和性能。在單元中，您可以通過安裝多個域控制器，充分利用多主機(jī)模型提供的更好的容錯性能。即使某個域控制器停止工作，也不會影響 Active Directory 的可用性。

2.2.1 安裝前的準(zhǔn)備

域是Windows 2000/2003網(wǎng)絡(luò)中的核心管理單元。在Windows 2000/2003中，域用來限定信息和資源的組織與管理方式。

在活動目錄中創(chuàng)建的第一個域是整個目錄林的根域或目錄林的根。在Windows 2000網(wǎng)絡(luò)上第一次安裝活動目錄時(shí)，需要在新目錄林中創(chuàng)建第一個域控制器，同時(shí)也就創(chuàng)建了根域。

安裝Windows 2000活動目錄的系統(tǒng)要求：

在利用活動目錄安裝向?qū)О惭b活動目錄之前，必須確保計(jì)算機(jī)系統(tǒng)滿足安裝活動目錄所需的所有要求：

1. 計(jì)算機(jī)上運(yùn)行的是Windows 2000 Server、Windows 2000 Advanced Server、Windows 2000 Datacenter Server（即服務(wù)器版的Win2000操作系統(tǒng)）；

2. 用于活動目錄數(shù)據(jù)庫的最小磁盤空間200MB ，另外還需要附加的50MB 的空間用于活動目錄數(shù)據(jù)庫的事務(wù)日志文件。如果域控制器同時(shí)也作為全局目錄服務(wù)器，則還需要額外的空間。

3. 必須有一個NTFS 文件系統(tǒng)格式化的分區(qū)或卷，這是系統(tǒng)卷（Sysvol ）文件夾所必需的；

4. 如果DNS 服務(wù)器不是本機(jī)，那么應(yīng)把將要安裝活動目錄的服務(wù)器作為DNS 的客戶端（安裝并配置成可以使用DNS 的TCP/IP）；

5. 如果是在現(xiàn)存的Windows 2000網(wǎng)絡(luò)上創(chuàng)建域，那么還需要有創(chuàng)建域所需的管理特權(quán)。

安裝活動目錄的方法

可以采用以下兩種方法來安裝活動目錄：

1. 采用Dcpromo.exe 命令進(jìn)行常規(guī)安裝。

2. 采用無人值守的安裝腳本安裝。安裝命名為：Dcpromo.exe

/answer:answerfile （其中answer file是解答文件的名字。此文件有相關(guān)安裝信息，詳細(xì)資料參考Windows2000 Advanced Server CD中的SupportTools里面）。

應(yīng)答文件的準(zhǔn)備

當(dāng)要選擇無人參與的安裝腳本進(jìn)行活動目錄安裝，就應(yīng)先做好一個應(yīng)答文件。 活動目錄安裝向?qū)У膽?yīng)答文件只包含一個部分：[DCIstall]。安裝向?qū)е械拿總€操作都會用到這個文件中的具體參數(shù)。如果沒有指定具體的參數(shù)值，就會使用默認(rèn)參數(shù)值。

應(yīng)答文件示例如下：

[Unattended]

[Dcinstall]

Rebootonsuccess=yes (計(jì)算機(jī)安裝完畢后需要重啟動)

Databasepath=d:winntNtds （數(shù)據(jù)庫路徑）

Logpath=d:winntNtds （日志文件路徑）

Sysvolpath=e:winntsysvol （系統(tǒng)卷路徑）

Sitename=site1 （站點(diǎn)名）

ReplicaorNewDomain=Domain （復(fù)制或新域，此處選新域）

TreeorChild=Tree （目錄樹或子域，此處選新建一個目錄樹）

CreatorJoin=Creat （創(chuàng)建或添加，此處選擇創(chuàng)建）

DomainNetBIOSName=esstest （域的Netbios 名）

NewDomainDnsName=esstest.com （新域的DNS 名）

DnsonNetwork=Yes （利用網(wǎng)上原有的DNS 配置）

AutoconfigDNS=No （在安裝過程中不配置DNS ）

2.2.2 域控制器的創(chuàng)建

網(wǎng)絡(luò)環(huán)境簡述：網(wǎng)絡(luò)中有一臺DNS 服務(wù)器（計(jì)算機(jī)名為ESS-ISA-0A ），現(xiàn)準(zhǔn)備將其升級為DC ，同時(shí)將網(wǎng)絡(luò)中另一臺成員服務(wù)器ESS-DC-11升級為附加的域控制器。下表列出了各個計(jì)算機(jī)的TCP/IP配置：

DNS 的基本配置

由于網(wǎng)絡(luò)中已存在DNS 服務(wù)器，在創(chuàng)建域前，我們先在上面為域創(chuàng)建區(qū)域和主機(jī)記錄。創(chuàng)建過程如下：

1、在【管理工具】 => 【DNS 】中打開DNS 管理控制臺。然后在正向搜索區(qū)域中選擇【新建區(qū)域】。如圖2-3所示。

2、在【區(qū)域名】對話框中，輸入新建區(qū)域的域名：esstest.com 。然后點(diǎn)擊【下一步】按鈕，選擇區(qū)域類型為標(biāo)準(zhǔn)主區(qū)域，然后按默認(rèn)設(shè)置完成區(qū)域的創(chuàng)建。如圖2-4所示。

3、在esstest.com 區(qū)域的屬性中，將區(qū)域設(shè)置為【允許動態(tài)更新】。如圖2-5所示。

4、在esstest.com 的區(qū)域中，為即將升級的為DC 的計(jì)算機(jī)建立一條主機(jī)記錄，如圖2-6所示。

圖 2-3 新建區(qū)域

圖 2-4 輸入?yún)^(qū)域名稱

圖 2-5 設(shè)置允許動態(tài)更新

圖 2-6 建立主機(jī)記錄

建立第一個域控制器

網(wǎng)絡(luò)上第一次安裝活動目錄就是在創(chuàng)建目錄林的根域?；顒幽夸浀陌惭b向?qū)⒅鸩揭龑?dǎo)你指定新域控制器所需的信息。

在創(chuàng)建第一個DC 的時(shí)候，也會創(chuàng)建下列的目錄分區(qū)，并通過復(fù)制從而復(fù)制到以后創(chuàng)建的其它DC 上。

1. 架構(gòu)目錄分區(qū)。 包含架構(gòu)容器，用來存儲所有現(xiàn)存的和可能創(chuàng)建的AD 對象和屬性的定義。在目錄林中復(fù)制。

2. 配置目錄分區(qū)。 包含配置容器，用來存儲整個目錄林的所有配置對象，如站點(diǎn)、服務(wù)和目錄分區(qū)等信息。在目錄林中復(fù)制。

3. 域目錄分區(qū)。 包含域容器，如esstest.com ，用來存儲用戶、計(jì)算機(jī)、組和其它Windows2000域所要求的具體對象。在同一個域中復(fù)制。

按下列步驟創(chuàng)建根域：

1、在計(jì)算機(jī)ESS-ISA-01上，選擇【開始】 => 【運(yùn)行】，然后在運(yùn)行對話框中輸入dcpromo.exe 命令，進(jìn)入到活動目錄安裝向?qū)А?/p>

2、在【域控制器類型】對話框中選擇【新的域控制器】；在【創(chuàng)建目錄樹或子域】對話框中選擇【創(chuàng)建一個新的目錄樹】；在【創(chuàng)建或加入目錄林】選項(xiàng)中，選擇【創(chuàng)建新的域目錄林】。如圖2-7所示。

圖 2-7 創(chuàng)建新的域控制器

3、在【新的域名】對話框中，輸入在DNS 中為之建立的區(qū)域名：esstest.com 。然后在域NetBios 名中保留ESSTEST 名。如圖2-8所示。

圖 2-8 輸入新域的DNS 全名

4、在【共享的系統(tǒng)卷】選項(xiàng)中，將文件夾位置放到一個NTFS 文件系統(tǒng)的分區(qū)或卷上。如圖2-9所示。