組建域模式局域網(wǎng)0. 背景知識(shí)介紹0.1 活動(dòng)目錄的作用活動(dòng)目錄是Windows 2000網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基本且不可分割的部分。它在Windows NT 4.0操作系統(tǒng)的域結(jié)構(gòu)基礎(chǔ)上改進(jìn)而成，并提

組建域模式局域網(wǎng)

0. 背景知識(shí)介紹

0.1 活動(dòng)目錄的作用

活動(dòng)目錄是Windows 2000網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基本且不可分割的部分。它在Windows NT 4.0操作系統(tǒng)的域結(jié)構(gòu)基礎(chǔ)上改進(jìn)而成，并提供了一套為分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)?；顒?dòng)目錄使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶(hù)的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶(hù)身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。同等重要的是，活動(dòng)目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集合點(diǎn)。

活動(dòng)目錄提供了對(duì)基于Windows 的用戶(hù)賬號(hào)、客戶(hù)、服務(wù)器和應(yīng)用程序進(jìn)行管理的唯一點(diǎn)。同時(shí)，它也幫助組織機(jī)構(gòu)通過(guò)使用基于Windows 的應(yīng)用程序和與Windows 相兼容的設(shè)備對(duì)非Windows 系統(tǒng)進(jìn)行集成，從而實(shí)現(xiàn)鞏固目錄服務(wù)并簡(jiǎn)化對(duì)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動(dòng)目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到Internet 上?；顒?dòng)目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值，同時(shí)，降低為使Windows 網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費(fèi)用。

總的來(lái)說(shuō)，活動(dòng)目錄的這些功能使組織機(jī)構(gòu)可以將標(biāo)準(zhǔn)化的商業(yè)規(guī)則貫徹于分布式應(yīng)用和網(wǎng)絡(luò)資源當(dāng)中，同時(shí)，無(wú)需管理員來(lái)維護(hù)各種不同的專(zhuān)用目錄。

0.2 活動(dòng)目錄的特點(diǎn)

活動(dòng)目錄是從一個(gè)數(shù)據(jù)存儲(chǔ)開(kāi)始的。它采用的是Exchange Server的數(shù)據(jù)存儲(chǔ)，稱(chēng)為：Extensible Storage Service （ESS ）。其特點(diǎn)是不需要事先定義數(shù)據(jù)庫(kù)的參數(shù)，可以做到動(dòng)態(tài)地增長(zhǎng)，性能非常優(yōu)良。這個(gè)數(shù)據(jù)存儲(chǔ)之上已建立索引的，可以方便快速地搜索和定位?；顒?dòng)目錄的分區(qū)是" 域（Domain ）" ，一個(gè)域可以存儲(chǔ)上百萬(wàn)的對(duì)象。域之間還有層次關(guān)系，可以建立域樹(shù)和域森林，無(wú)限地?cái)U(kuò)展。

在數(shù)據(jù)存儲(chǔ)之上，微軟建立了一個(gè)對(duì)象模型，以構(gòu)成活動(dòng)目錄。這一對(duì)象模型對(duì)輕型目錄訪問(wèn)協(xié)議 (Lightweight Directory Access Protocal, LDAP)有純粹的支持，還可以管理和修改Schema 。Schema 包括了在活動(dòng)目錄中的計(jì)算機(jī)、用戶(hù)和打印機(jī)等所有對(duì)象的定義，其本身也是活動(dòng)目錄的內(nèi)容之一，在整個(gè)域森林中是唯一的。通過(guò)修改Schema 的工具，用戶(hù)或開(kāi)發(fā)人員可以自己定義特殊的類(lèi)和屬性，來(lái)創(chuàng)建所需要的對(duì)象和對(duì)象屬性。

活動(dòng)目錄包括兩個(gè)方面：一個(gè)目錄和與目錄相關(guān)的服務(wù)。目錄是存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器；而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)?；顒?dòng)目錄是一個(gè)分布式的目錄服務(wù)。信息可以分散在多臺(tái)不同的計(jì)算機(jī)上，保證快速訪問(wèn)和容錯(cuò)；同時(shí)不管用戶(hù)從何處訪問(wèn)或信息處在何處，都對(duì)用戶(hù)提供統(tǒng)一的視圖。

在活動(dòng)目錄中，目錄存儲(chǔ)只有一種形式，即域控制器（Domain Controller），包括了完整的域目錄的信息，不再有主域控制器和備份域控制器的區(qū)別。所有的域控制器在用戶(hù)訪問(wèn)和提供服務(wù)方面都是相同的。它們之間的同步是采用了一種先進(jìn)的多主復(fù)制的技術(shù)，稱(chēng)為Update Sequence Numbers (USN)。每個(gè)服務(wù)器跟蹤其復(fù)制伙伴的最新USN 列表，保證及時(shí)更新并且更新不會(huì)有沖突或相互覆蓋等。

Windows 2000的安全性服務(wù)（如Kerberos ，PKI 和智能卡等）和活動(dòng)目錄緊密結(jié)合?；顒?dòng)目錄存儲(chǔ)了域安全政策的信息，比如域口令的限制政策、系統(tǒng)訪問(wèn)權(quán)限等，實(shí)施了基于對(duì)象的安全模型和訪問(wèn)控制機(jī)制。在活動(dòng)目錄中的每個(gè)對(duì)象都有一個(gè)獨(dú)有的安全性描述，定義了瀏覽或更新對(duì)象屬性所需要的訪問(wèn)權(quán)限。但是，當(dāng)LDAP 客戶(hù)端訪問(wèn)活動(dòng)目錄時(shí)，操作系統(tǒng)會(huì)實(shí)施訪問(wèn)安全控制，而不是由活動(dòng)目錄來(lái)決定訪問(wèn)控制的。Windows 2000 安全性和活動(dòng)目錄相輔相成，可以共同完成任務(wù)和協(xié)同管理。

另外，活動(dòng)目錄還充分地考慮到了備份和恢復(fù)目錄服務(wù)的需要。Windows 2000備份工具中有專(zhuān)門(mén)備份活動(dòng)目錄的選項(xiàng)，在出現(xiàn)意外事故的時(shí)候，可以在機(jī)器啟動(dòng)時(shí)按F8進(jìn)入安全模式，來(lái)進(jìn)行目錄服務(wù)的恢復(fù)，保證減少災(zāi)難的惡性影響。

在活動(dòng)目錄安裝之后，主要有三個(gè)活動(dòng)目錄的微軟管理界面（MMC ），一個(gè)是活動(dòng)目錄用戶(hù)和計(jì)算機(jī)管理，主要用于實(shí)施對(duì)域的管理；一個(gè)是活動(dòng)目錄的域和域信任關(guān)系的管理，主要用于管理多域的關(guān)系；還有一個(gè)是活動(dòng)目錄的站點(diǎn)管理，可以把域控制器置于不同的站點(diǎn)。一般局域網(wǎng)的范圍內(nèi)，為一個(gè)站點(diǎn)，站點(diǎn)內(nèi)的域控制器之間的復(fù)制是自動(dòng)進(jìn)行的；站點(diǎn)間的域控制器之間的復(fù)制，需要管理員設(shè)定，以?xún)?yōu)化復(fù)制流量，提高可伸縮性。從活動(dòng)目錄管理界面，還可以對(duì)SDOU(站點(diǎn)、域和組織單元的統(tǒng)稱(chēng)) 右鍵點(diǎn)擊，啟動(dòng)組策略（Group Policy ）的管理界面，實(shí)施對(duì)對(duì)象的細(xì)致管理。

1. 實(shí)驗(yàn)?zāi)康?/p>

⑴了解活動(dòng)目錄的概念和作用

⑵掌握域名解析的過(guò)程

⑶學(xué)會(huì)安裝活動(dòng)目錄服務(wù)與配置DNS 服務(wù)器

2．實(shí)驗(yàn)內(nèi)容

⑴兩個(gè)同學(xué)為一小組，將其中一臺(tái)計(jì)算機(jī)作為域控制器，建立一個(gè)以自己名字命名的域，向該域添加一個(gè)名字為ABC 的用戶(hù)，使用該用戶(hù)名登陸你剛才創(chuàng)建的域。

⑵將小組內(nèi)的另一臺(tái)計(jì)算機(jī)作為客戶(hù)機(jī)加入剛才創(chuàng)建的域。在域控制器中打開(kāi)Computers 容器，觀察有客戶(hù)機(jī)加入域前后的變化。

⑶打開(kāi)Computers 容器，管理已經(jīng)存在的計(jì)算機(jī)，對(duì)計(jì)算機(jī)設(shè)置“停用帳戶(hù)”，然后在被停用的計(jì)算機(jī)上使用一個(gè)域用戶(hù)登錄，觀察結(jié)果是否能夠登錄。重新啟用該計(jì)算機(jī)后，通過(guò)活動(dòng)目錄對(duì)該計(jì)算機(jī)進(jìn)行管理，查看其磁盤(pán)分區(qū)情況等。

⑷右擊某一用戶(hù)帳戶(hù)，選擇屬性，點(diǎn)擊賬戶(hù)頁(yè)簽，可看到登錄時(shí)間和登錄到兩個(gè)按鈕，點(diǎn)擊可以設(shè)置登錄時(shí)間和登錄的計(jì)算機(jī)，請(qǐng)?jiān)O(shè)置設(shè)置某一用戶(hù)只能在規(guī)定時(shí)間：周一至周五的上午8點(diǎn)～下午4點(diǎn)內(nèi)登錄。

⑸設(shè)置某一用戶(hù)只能在規(guī)定的計(jì)算機(jī)上登錄。并在客戶(hù)機(jī)上驗(yàn)證。

3. 實(shí)驗(yàn)步驟

3.1 實(shí)驗(yàn)內(nèi)容1

⑴選擇“開(kāi)始”→“運(yùn)行”，輸入：dcpromo ，啟動(dòng)活動(dòng)目錄安裝向?qū)?，如圖1-1,1-2

，所示：

圖1-1

圖2-2

⑵單擊“下一步” 按鈕，直至出現(xiàn)“域控制器類(lèi)型”頁(yè)面，如圖1-3所示。選擇新域的域控制器。

圖1-3

⑶單擊“下一步”按鈕，選擇新林中的域，如圖1-4所示：

圖1-4

⑷單擊“下一步”按鈕，輸入以你的名字命名的新域的名稱(chēng)，如：“zhongyy.com ”，如圖1-5所示：

圖1-5

⑸單擊“下一步”，使用默認(rèn)的NetBIOS 名稱(chēng)；

⑹單擊“下一步”，指定數(shù)據(jù)庫(kù)和日志文件存放的文件夾，如“E:WINDOWSNTDS”。注意：數(shù)據(jù)庫(kù)和日志文件最好存放在不同的硬盤(pán)上。

⑺單擊“下一步”，指定作為系統(tǒng)卷的共享的文件夾，例如：“E:WINDOWSSYSVOL”，。注意：指定的文件夾必須在硬盤(pán)的NTFS 分區(qū)。

⑻單擊“下一步”，出現(xiàn)“DNS 診斷頁(yè)面”，如圖1-6所示。選擇“在這臺(tái)計(jì)算機(jī)上安裝并配置DNS 服務(wù)器，并將這臺(tái)DNS 服務(wù)器設(shè)衛(wèi)這臺(tái)計(jì)算機(jī)的首選DNS 服務(wù)器(S)?！?/p> ,

圖1-6

⑼一直單擊“下一步”，直至出現(xiàn)“摘要”頁(yè)面，如圖1-7所示。仔細(xì)閱讀“摘要”，確定所有設(shè)置正確無(wú)誤

圖1-7

⑽單擊“下一步”，開(kāi)始安裝活動(dòng)目錄；當(dāng)系統(tǒng)提示需要安裝文件時(shí)，指定安裝文件的位置為“2.168.1.100win200I386”, 如圖1-8所示：

圖1-8

⑾安裝完成后重新啟動(dòng)計(jì)算機(jī)，使設(shè)置生效。

⑿“開(kāi)始”→“設(shè)置”→“控制面板” →“管理工具” →“Active 用戶(hù)和計(jì)算機(jī)”，打開(kāi)“Active 用戶(hù)和計(jì)算機(jī)”控制臺(tái)，如圖1-9所示：

圖1-9

⒀展開(kāi)“zhongyy.com ”節(jié)點(diǎn)，右鍵單擊“Users ”容器，在彈出的快捷菜單中選擇“新建” →“用戶(hù)”，打開(kāi)新建用戶(hù)窗口，填入用戶(hù)登陸名“ABC ”, 姓“ZHONG ”, 名“YY ”，如圖1-10所示

圖1-10

⒁單擊“下一步”，輸入登錄密碼，再單擊“下一步”，完成用戶(hù)“ABC ”的添加。

⒂“開(kāi)始”→“設(shè)置”→“控制面板” →“管理工具” →“域控制器安全策略”，打開(kāi)“域控制器安全策略”控制臺(tái)，如圖1-11所示：

圖1-11

⒃依次展開(kāi)“安全設(shè)置” →“本地策略”節(jié)點(diǎn)，單擊“用戶(hù)權(quán)利指派”，打開(kāi)控制臺(tái)，開(kāi)始編輯本地策略，如圖1-12所示：

圖1－12

⒄找到“允許在本地登陸選項(xiàng)”，雙擊之，打開(kāi)如圖1-13所示的頁(yè)面

圖1-13

⒅單擊“添加用戶(hù)或組”按鈕，添加用戶(hù)“ZHONGYY?C”，如圖1-14所示：

圖1-14

⒆單擊“確定”按鈕完成用戶(hù)添加?！伴_(kāi)始” →“關(guān)機(jī)” →“注銷(xiāo)Administrator ”，使用帳戶(hù)“ABC ”登陸。

⒇將客戶(hù)機(jī)加入域：首先更改客戶(hù)機(jī)的DNS 服務(wù)器為域控制的IP 地址，然后在客戶(hù)機(jī)桌面上右擊“我的電腦”選“屬性”，點(diǎn)擊“網(wǎng)絡(luò)標(biāo)識(shí)”選項(xiàng)卡，點(diǎn)擊“屬性”按鈕，點(diǎn)擊“隸屬于”單選按鈕，輸入隸屬于的域，如，想作為zhongyy.com 的客戶(hù)機(jī)，可輸入zhongyy, 等待片刻，會(huì)出現(xiàn)輸入用戶(hù)名和密碼對(duì)話(huà)框，輸入在域控制器上建立的用戶(hù)賬戶(hù)和相應(yīng)的密碼，或輸入域控制上的管理員administrator 賬戶(hù)，其初始密碼為空。等待片刻，會(huì)出現(xiàn)歡迎加入XXX 域?qū)υ?huà)框。重起計(jì)算機(jī)

3.2 實(shí)驗(yàn)內(nèi)容2

⑴“開(kāi)始”→“設(shè)置”→“控制面板” →“管理工具” →“DNS ”，打開(kāi)DNS 控制臺(tái)，單擊DNS 服務(wù)器，展開(kāi)該節(jié)點(diǎn)，再展開(kāi)“正向查找區(qū)域”節(jié)點(diǎn)，如圖1-15所示：