WIN2000 server 域控制器安裝教程控制器, server, 教程how two： 四種AD 安裝的情況以及配置方法(簡易版)----------------看到論壇里面很多人問AD 使用中

WIN2000 server 域控制器安裝教程

控制器, server, 教程

how two： 四種AD 安裝的情況以及配置方法(簡易版)

----------------

看到論壇里面很多人問AD 使用中出現(xiàn)問題，比如找不到另一臺域控制器，其實很多問題是安裝AD 不當造成的，有些和DNS 也有關系。

AD 涉及的內(nèi)容還是比較多的，所以今晚寫一個簡易的安裝AD 的步驟出來。AD 有問題的時候可以check 一下，看安裝是否正確。

我這里寫的比較簡單，主要是沒有詳細寫關于DNS delegate如何做，所有場景均使用一個dns 服務器，如果要設置更詳細，可以參考win2000 dns white paper，微軟網(wǎng)站有下載。 另外個人建議，如果要管理好AD ，對DNS 還是要下一些功夫弄清楚。否則即使裝了，管理起來出問題也很難排錯。

----------------

----------------

環(huán)境：

兩臺win2k server,配置如下

1： 計算機名： server1

IP: 192.168.0.1

2: 計算機名： server2

IP: 192.168.0.2

－－－－－－－－

－－－－－－－－－－－－－－－－情況一：單域，單域控制器－－－－－－－－－－－－－－

目標：

將server1做成域控制器，域名為test.com ，server2作為member server

AD 需要DNS 的支持，DNS 可以在安裝AD 的前中后裝，建議在AD 安裝之前裝，并手動配置 (1A) 安裝DNS(server1上)

1:安裝DNS 服務。（如果是給forestroot 做DNS ，建議先將機器上原來的DNS 卸干凈，包括system32下DNS 目錄也刪掉。再安裝服務）

2：創(chuàng)建forward lookup zone,為test.com 。reverse lookup zone填網(wǎng)絡號192.168.0 3：設置兩個zone 允許dynamic update

4：在本地連接中將DNS 地址指向192.168.0.1

5:設置primary dns suffix為test.com

6：按照提示，restart ，建議一定重起。

7: 重起后發(fā)現(xiàn)test.com 中有server1的A 記錄，說明一切正常。反向zone 中有ptr 記錄 (需要注意的是，域名第一片和計算機名不要一樣，如果在計算機abc 上不要做abc.com ，否則默認情況下domain 的netbios 名和計算機的netbios 名會一樣)

(1B)

按照正常情況Dcpromo ，選擇安裝成新域的域控制器，新樹，新森林。

安裝過程中應不會提示任何諸如“DNS 找不到”的信息，這就正常了。

裝完AD 后看看DNS 的的test.com 內(nèi)是否有放置SRV 記錄的四個目錄，目錄名為TCP,UDP,MSDCS,Sites 。如果一個也沒有，重新啟動Net logon服務，如果

還是沒有，那裝得有問題。一般應該都是正常的。

同時查看事件查看器中是否有任何關于directory service的錯誤日志。

(1C) 將server2設置成member server

在server2上將dns 指向server1，修改primary dns suffix為test.com ，重起，然后將server2加入domian ，在server1上打開ad user and

computer ，其中computer 容器內(nèi)可以看到server2的計算機帳號。DNS 中也會有server2的A 記錄。查看事件查看器，確保無任何不良記錄。

－－－－－－－－－－－－－－－－情況2，單域，兩個域控制器－－－－－－－－－ 目標：server1作為第一臺域控制器，server2作為第二臺域控制器，域名test.com server1的安裝同1a ，1b 。

對于server2。

（2a ）

1：安裝前，此機器屬于domain 或者工作組沒有關系。

2：將dns 指向server1（192.168.0.1）

3:修改primary suffix為test.com （suffix 是可以自動改，但是手動改總是放心些） 4：重起機器，建議一定重起。

5：檢查server1上的dns ，在test.com 這個zone 內(nèi)會發(fā)現(xiàn)server2的a 記錄。如果沒有，那配置有問題，可以用ipconfig/registerdns手動注冊，再看

有沒有，如果還是沒有，那就有問題了（dns 沒有按照1a 設置好）。

（2b ）

1：dcpromo ，啟動向?qū)?/p>

2：選擇，安裝成一個已經(jīng)存在的域的另外一臺域控制器

3：按照提示，輸入身份，這個身份是enterprise admins的身份，也就是現(xiàn)在test.com 的administrator 以及其密碼

4：選擇要加入的domain ，這里是test.com

5：完成其他選項

（3c ）

1：安裝后可以在ad user and computer (ad u&c)中的domain controller ou 中看見server1和server2的計算機帳號

2：dns 的test.com 的四個目錄（tcp udp msdcs sites ，里面為srv 記錄）中可以發(fā)現(xiàn)server2的srv 記錄。如果沒有，重起server2上的netlogon 服務

，同時可以嘗試用ipcpnfig /registerdns重新注冊。

3：可以在兩臺域控制器上添加新的，然后看相互復制是否正常。

4：當然，其他比如dcdiag ，repmonitor 等工具可以用來檢查一些問題，不過這是個簡易貼，就不說了阿。

5：查看事件查看器，確保無任何不良記錄。

－－－－－－－－－－－－－－－－情況3，一個森林，一個樹，兩個域－－－－－－ 安裝完后，森林內(nèi)有一棵樹，兩個domain ：test.com, sub.test.com,其中server2為sub 的DC 。

關于test 。com 的安裝方法，仍然參照1a,1b

下面是將server2安裝成sub.test.com 的dc 。

3a)dns 配置

1：在server1的dns 上（簡易做法），創(chuàng)建sub.test.com 的zone ，設置動態(tài)更新為yes 2：將server2的dns 指向192。168。0。1

3：修改server2的primary dns suffix為sub.test.com

4：重起

5：在sub.test.com 這個zone 中找到server2的a 記錄

3b ）

1：dcpromo

2：選擇安裝為新域的域控制器－－放入一個已經(jīng)存在的樹

3：填入enterprise admin的身份信息（administrator/password/test.com）

4: 出來一個界面，讓填域名，上面是父域的名字（test.com ），中間填入sub, 下面自動完成，顯示全名為sub.test.com

5：完成其他選項

3c ）

1：完成后，在server2的 ad user and computer中的domain controller ou中可以找到server2的計算機帳號

2：在dns 的sub.test.com 這個zone 中可以找到關于server2的srv 記錄（四個目錄），如果沒有，按3c-2的方法在注冊一次

3：看看server2上的ad domain and trust 工具中是否顯示出sub.test.com 這個domain （在test.com 下有個sub ）

4：打開ad site and service看看是否有所有的site 信息，有，說明configuration 分區(qū)的復制大致沒有什么問題。

5：查看事件查看器，確保無任何不良記錄。

6：有其他問題，到論壇提問吧 ^_^

----------------------------情況4，一個森林，兩棵樹，兩個域－－－－－－－－－ 安裝完成后，server1為test.com 的dc ，server2為lab.com 的dc

4a) 準備

1：在server1的dns 上創(chuàng)建lab.com 這個zone ，設置動態(tài)更新

2：將server2的dns 指向192。168。0。1

3：修改server2的primary dns suffix為lab.com

4：重起

5：在lab.com 這個zone 中找到server2的a 記錄

4b)

1：dcpromo

2：選擇安裝為新域的域控制器－－新樹－－放入一個已經(jīng)存在的森林

3：填入enterprise admin的身份信息（administrator/password/test.com）

4：填入樹名為lab.com

5：完成其他選項

4c)

1：完成后，在server2的 ad user and computer中的domain controller ou中可以找到server2的計算機帳號

2：在dns 的lab.com 這個zone 中可以找到關于server2的srv 記錄（四個目錄），如果沒有，按3c-2的方法在注冊一次

3：看看server2上的ad domain and trust工具中是否顯示出lab.com 這個domain

4：打開ad site and service看看是否有所有的site 信息，有，說明configuration 分區(qū)的復制大致沒有什么問題。

5：查看事件查看器，確保無任何不良記錄。

cisco 四種類型的網(wǎng)絡防火墻技術匯總

我們知道防火墻有四種類型：集成防火墻功能的路由器，集成防火墻功能的代理服務器，專用的軟件防火墻和專用的軟硬件結(jié)合的防火墻。Cisco 的防火墻解決方案中包含了四種類型中的第一種和第四種，即：集成防火墻功能的路由器和專用的軟硬件結(jié)合的防火墻。

一、 集成在路由器中的防火墻技術

1、 路由器IOS 標準設備中的ACL 技術

ACL 即Access Control Lis t（訪問控制列表），簡稱Access List（訪問列表），它是后續(xù)所述的IOS Firewall Feature Set 的基礎，也是Cisco 全線路由器統(tǒng)一界面的操作系統(tǒng)IOS （Internet Operation System，網(wǎng)間操作系統(tǒng)）標準配置的一部分。這就是說在購買了路由器后，ACL 功能已經(jīng)具備，不需要額外花錢去買。

2、 IOS Firewall Feature Set（IOS 防火墻軟件包）

IOS Firewall Feature Set是在ACL 的基礎上對安全控制的進一步提升，由名稱可知，它是一套專門針對防火墻功能的附加軟件包，可通過IOS 升級獲得，并且可以加載到多個Cisco 路由器平臺上。

目前防火墻軟件包適用的路由器平臺包括Cisco 1600、1700、2500、2600和3600，均屬中、低端系列。對很多傾向與使用"all-in-one solution"（一體化解決方案），力求簡單化管理的中小企業(yè)用戶來說，它能很大程度上滿足需求。之所以不在高端設備上實施集成防火墻功能，這是為了避免影響大型網(wǎng)絡的主干路由器的核心工作--數(shù)據(jù)轉(zhuǎn)發(fā)。在這樣的網(wǎng)絡中，應當使用專用的防火墻設備。

Cisco IOS防火墻特征：

l 基于上下文的訪問控制（CBAC ）為先進應用程序提供基于應用程序的安全篩選并支持最新協(xié)議

l Java能防止下載動機不純的小應用程序

l 在現(xiàn)有功能基礎上又添加了拒絕服務探測和預防功能，從而增加了保護

l 在探測到可疑行為后可向中央管理控制臺實時發(fā)送警報和系統(tǒng)記錄錯誤信息 l TCP/UDP事務處理記錄按源/目的地址和端口對跟蹤用戶訪問

l 配置和管理特性與現(xiàn)有管理應用程序密切配合

二、 專用防火墻--PIX

PIX （Private Internet eXchange ）屬于四類防火墻中的第四種--軟硬件結(jié)合的防火墻，它的設計是為了滿足高級別的安全需求，以較好的性能價格比提供嚴密的、強有力的安全防范。除了具備第四類防火墻的共同特性，并囊括了IOS Firewall Feature Set的應有功能。 PIX 成為Cisco 在網(wǎng)絡安全領域的旗艦產(chǎn)品已有一段歷史了，它的軟硬件結(jié)構(gòu)也經(jīng)歷了較大的發(fā)展。現(xiàn)在的PIX 有515和520兩種型號（520系列容量大于515系列），從原來的僅支持兩個10M 以太網(wǎng)接口，到10/100M以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI 的多介質(zhì)、多端口（最多4

個）應用；其專用操作系統(tǒng)從v5.0開始提供對IPSec 這一標準隧道技術的支持，使PIX 能與更多的其它設備一起共同構(gòu)筑起基于標準VPN 連接。

Cisco 的PIX Firewall 能同時支持16，000多路TCP 對話，并支持數(shù)萬用戶而不影響用戶性能，在額定載荷下，PIX Firewall的運行速度為45Mbps ，支持T3速度，這種速度比基于UNIX 的防火墻快十倍。

主要特性：

l 保護方案基于適應性安全算法（ASA ），能提供任何其它防火墻都不能提供的最高安全保護

l 將獲專利的" 切入代理" 特性能提供傳統(tǒng)代理服務器無法匹敵的高性能

l 安裝簡單，維護方便，因而降低了購置成本

l 支持64路同時連接，企業(yè)發(fā)展后可擴充到16000路

l 透明支持所有通用TCP/IP Internet 服務，如萬維網(wǎng)（WWW ）文件傳輸協(xié)議（FTP ）、Telnet 、Archie 、Gopher 和rlogin

l 支持多媒體數(shù)據(jù)類型，包括Progressive 網(wǎng)絡公司的Real Audio，Xing 技術公司的Steamworks ，White Pines公司腃USeeMe ，Vocal Te公司的Internet Phone，VDOnet 公司的VDOLive ，Microsoft 公司的NetShow 和Uxtreme 公司的Web Theater 2

l 支持H323兼容的視頻會議應用，包括Intel 的Internet Video Phone和Microsoft 的NetMeeting

l 無需因安裝而停止運行

l 無需升級主機或路由器

l 完全可以從未注冊的內(nèi)部主機訪問外部Internet

l 能與基于Cisco IOS的路由器互操作

三、 兩種防火墻技術的比較

IOS FIREWALL FEATURE SET PIX FIREWALL

網(wǎng)絡規(guī)模 中小型網(wǎng)絡，小于250節(jié)點的應用。 大型網(wǎng)絡，可支持多于500用戶的應用 工作平臺 路由器IOS 操作系統(tǒng) 專用PIX 工作平臺

性能 最高支持T1/E1（2M ）線路 可支持多條T3/E3（45M ）線路

工作原理 基于數(shù)據(jù)包過濾，核心控制為CBAC 基于數(shù)據(jù)包過濾，核心控制為ASA

配置方式 命令行或圖形方式（通過ConfigMaker ） 命令行方式或圖形方式（通過Firewall Manager）

應用的過濾 支持Java 小程序過濾 支持Java 小程序過濾

身份認證 通過IOS 命令，支持TACACS 、RADIUS 服務器認證。 支持TACACS 、RADIUS 集中認證

虛擬專網(wǎng)（VPN ） 通過IOS 軟件升級可支持IPSec 、L2F 和GRE 隧道技術，支持40或56位DES 加密。 支持Private Link或IPSec 隧道和加密技術

網(wǎng)絡地址翻譯（NAT ） 集成IOS Plus實現(xiàn) 支持

冗余特性 通過路由器的冗余協(xié)議HSRP 實現(xiàn) 支持熱冗余

自身安全 支持Denial-of-Service 支持Denial-of-Service

代理服務 無，通過路由器的路由功能實現(xiàn)應用 切入的代理服務功能

管理 通過路由器的管理工具，如Cisco Works 通過Firewall Manager實現(xiàn)管理 審計功能 一定的跟蹤和報警功能 狀態(tài)化數(shù)據(jù)過濾，可通過Firewall Manager 實現(xiàn)較好

的額監(jiān)控、報告功能

四、 Centri防火墻

主要特性：

l 核心代理體系結(jié)構(gòu)

l 針對Windows NT定制TCP/IP棧

l 圖形用戶結(jié)構(gòu)可制訂安全政策

l 可將安全政策拖放到網(wǎng)絡、網(wǎng)絡組、用戶和用戶組

l ActiveX、Java 小應用程序、Java 和Vb 模塊

l 通用資源定位器（URL ）模塊

l 端口地址轉(zhuǎn)換

l 網(wǎng)絡地址轉(zhuǎn)換

l 透明支持所有通用TCP/IP應用程序，包括WWW 、文件傳輸協(xié)議（FTP ）Telnet 和郵件 l 為Web 、Telnet 和FTP 提供代理安全服務

l 根據(jù)IP 地址、IP 子網(wǎng)和IP 子網(wǎng)組進行認證

l 使用sl 口令和可重復使用口令Telnet 、Web 和ftp 提供聯(lián)機用戶認證

l 使用Windows NT對所有網(wǎng)絡服務進行帶外認證

l 防止拒絕服務型攻擊，包括SYN Flood、IP 地址哄騙和Ping-of-Death

進入PIX 系統(tǒng)；此時系統(tǒng)提示pixfirewall>。

3. 輸入命令：enable, 進入特權模式，此時系統(tǒng)提示為pixfirewall#。

4. 輸入命令： configure terminal,對系統(tǒng)進行初始化設置。

5. 配置以太口參數(shù):

interface ethernet0 auto （auto 選項表明系統(tǒng)自適應網(wǎng)卡類型 ）interface ethernet1 auto

6. 配置內(nèi)外網(wǎng)卡的IP 地址：

ip address inside ip_address netmask

ip address outside ip_address netmask

7. 指定外部地址范圍：

global 1 ip_address-ip_address

8. 指定要進行要轉(zhuǎn)換的內(nèi)部地址：

nat 1 ip_address netmask

9. 設置指向內(nèi)部網(wǎng)和外部網(wǎng)的缺省路由

route inside 0 0 inside_default_router_ip_address

route outside 0 0 outside_default_router_ip_address

10. 配置靜態(tài)IP 地址對映:

static outside ip_address inside ip_address

11. 設置某些控制選項：

conduit global_ip port<-port> protocol foreign_ip global_ip 指的是要控制的地址

port 指的是所作用的端口，其中0代表所有端口

protocol 指的是連接協(xié)議，比如：TCP 、UDP 等

foreign_ip 表示可訪問global_ip的外部ip ，其中表示所有的ip 。

12. 設置telnet 選項：

telnet local_ip

local_ip 表示被允許通過telnet 訪問到pix 的ip 地址（如果不設此項， PIX的配置只能由consle 方式進行）。

13. 將配置保存：

wr mem

14. 幾個常用的網(wǎng)絡測試命令：

#ping

#show interface 查看端口狀態(tài)

#show static 查看靜態(tài)地址映射

六、PIX 與路由器的結(jié)合配置

（一）、PIX 防火墻

1、設置PIX 防火墻的外部地址：

ip address outside 131.1.23.2

2、設置PIX 防火墻的內(nèi)部地址：

ip address inside 10.10.254.1

3、設置一個內(nèi)部計算機與Internet 上計算機進行通信時所需的全局地址池： global1 131.1.23.10-131.1.23.254

4、允許網(wǎng)絡地址為10.0.0.0的網(wǎng)段地址被PIX 翻譯成外部地址：

nat 110.0.0.0

5、網(wǎng)管工作站固定使用的外部地址為131.1.23.11：

static 131.1.23.11 10.14.8.50 6、允許從RTRA 發(fā)送到到網(wǎng)管工作站的系統(tǒng)日志包通過PIX 防火墻： conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255 7、允許從外部發(fā)起的對郵件服務器的連接（131.1.23.10）：

mailhost 131.1.23.10 10.10.254.3

8、允許網(wǎng)絡管理員通過遠程登錄管理IPX 防火墻：

telnet 10.14.8.50

9、在位于網(wǎng)管工作站上的日志服務器上記錄所有事件日志：

syslog facility 20.7

syslog host 10.14.8.50

（二）、路由器RTRA

RTRA 是外部防護路由器，它必須保護PIX 防火墻免受直接攻擊，保護FTP/HTTP服務器，同時作為一個警報系統(tǒng)，如果有人攻入此路由器，管理可以立即被通知。

1、阻止一些對路由器本身的攻擊：www.stcore.com

no service tcps mall-servers

2、強制路由器向系統(tǒng)日志服務器發(fā)送在此路由器發(fā)生的每一個事件，包括被存取斜砭芫? 陌? 吐酚善髖渲玫母謀?；这庚f? 骺梢宰魑? 韻低徹芾碓鋇腦縉讜ぞ?? な居腥嗽謔醞脊セ髀酚善鰨? 蛘咭丫? ト肼酚善鰨?? 謔醞脊セ鞣闌鵯劍?BR>logging trapde bugging

3、此地址是網(wǎng)管工作站的外部地址，路由器將記錄所有事件到此主機上： logging 131.1.23.11

4、保護PIX 防火墻和HTTP/FTP服務器以及防衛(wèi)欺騙攻擊（見存取列表）： enable secret xxxxxxxxxxx

interface Ethernet 0

ipaddress 131.1.23.1 255.255.255.0

interfaceSerial 0

ip unnumbered ethernet 0

ip access-group 110 in

5、禁止任何顯示為來源于路由器RTRA 和PIX 防火墻之間的信息包，這可以防止欺騙攻擊：

access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog

6、防止對PIX 防火墻外部接口的直接攻擊并記錄到系統(tǒng)日志服務器任何企圖連接PIX 防火墻外部接口的事件：

access-list 110 deny ip any host 131.1.23.2 log

7、允許已經(jīng)建立的TCP 會話的信息包通過：

access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established

8、允許和FTP/HTTP服務器的FTP 連接：

access-list 110 permit tcp any host 131.1.23.3 eq ftp

9、允許和FTP/HTTP服務器的FTP 數(shù)據(jù)連接： access-list 110 permit tcp any host 131.1.23.2 eq ftp-data 10、允許和FTP/HTTP服務器的HTTP 連接： access-list 110 permit tcp any host 131.1.23.2 eq www

11、禁止和FTP/HTTP服務器的別的連接并記錄到系統(tǒng)日志服務器任何企圖連接FTP/HTTP的事件：

access-list 110 deny ip any host 131.1.23.2 log

12、允許其他預定在PIX 防火墻和路由器RTRA 之間的流量：

access-list 110 permit ip any 131.1.23.0 0.0.0.255

13、限制可以遠程登錄到此路由器的IP 地址：

line vty 0 4

login

password xxxxxxxxxx

access-class 10 in

14、只允許網(wǎng)管工作站遠程登錄到此路由器，當你想從Internet 管理此路由器時，應對此存取控制列表進行修改：

access-list 10 permit ip 131.1.23.11

（三）、路由器RTRB

RTRB 是內(nèi)部網(wǎng)防護路由器，它是你的防火墻的最后一道防線，是進入內(nèi)部網(wǎng)的入口。

1、記錄此路由器上的所有活動到網(wǎng)管工作站上的日志服務器，包括配置的修改： logging trap debugging

logging 10.14.8.50

2、允許通向網(wǎng)管工作站的系統(tǒng)日志信息：

interface Ethernet 0 ip address 10.10.254.2 255.255.255.0 no ip proxy-arp ip access-group 110 in

access-list 110 permit udp host 10.10.254.0 0.0.0.255

3、禁止所有別的從PIX 防火墻發(fā)來的信息包：

access-list 110 deny ip any host 10.10.254.2 log

4、允許郵件主機和內(nèi)部郵件服務器的SMTP 郵件連接：

access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp

5、禁止別的來源與郵件服務器的流量：

access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255

6、防止內(nèi)部網(wǎng)絡的信任地址欺騙：

access-list deny ip any 10.10.254.0 0.0.0.255

7、允許所有別的來源于PIX 防火墻和路由器RTRB 之間的流量：

access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255

8、限制可以遠程登錄到此路由器上的IP 地址：

line vty 0 4

login

password xxxxxxxxxx

access-class 10 in

9、只允許網(wǎng)管工作站遠程登錄到此路由器，當你想從Internet 管理此路由器時，應對此存取控制列表進行修改：

access-list 10 permit ip 10.14.8.50

按以上設置配置好PIX 防火墻和路由器后，PIX 防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口，也不可能判斷出內(nèi)部任何一臺主機的IP 地址，即使告訴了內(nèi)部主機的IP 地址，要想直接對它們進行Ping 和連接也是不可能的。這樣就可以對整個內(nèi)部網(wǎng)進行有效的保護

收藏 分享 評分