域与活动目录的管理

任务一：安装Windows Server 2008域控制器

任务描述：

企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。虽然活动目录具有强大的功能，但是安装Windows Server 2008操作系统时并未自动生成活动目录。因此，管理员必须通过安装活动目录来建立域控制器，并通过活动目录的管理来实现针对各种对象的动态管理与服务。同时客户机登录域的操作也是组建域网络必不可少的部分，也是网络管理员应该熟练掌握的基本技能之一。

任务目标：

作为网络管理员，只有明确安装域控制器的条件和准备工作，掌握域网络的组建流程和操作技术，才能在服务器上安装好Windows Server 2008操作系统。为此，可以启用活动目录安装向导，成功安装活动目录后，将使得一个服务器升级为域控制器。同时通过任务，还应能够区分登录窗口，例如是登录域不是登录本机的登录框。

任务实施：

一、建立第一台域控制器：

活动目录是Windows Server 2008非常关键的服务，它不是孤立的，与许多协议和服务有着非常紧密的关系，并涉及整个操作系统的结构和安全。因此，活动目录的安装并非一般Windows组件那样简单，必须在安装前完成一系列的准备，注意事项如下：

（1）文件系统和网络协议：Windows Server 2008所在的分区必须是NTFS文件系统，同样活动目录必须安装在NTFS分区，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP协议。

（2）域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。在组建一个全新的Windows Server 2008网络时，所安装的第一台域控制器将生成第一个域，这个域也被称为根域，选择根域最为关键。根域名字的选择可以有以下几种方案：

使用一个已经注册的DNS域名作为活动目的根域名，使得企业的公共网络和私有网络使用同样的DNS名字。

使用一个已经注册的DNS域名的子域名作为活动目录的根域名。

活动目录使用与已经注册的DNS域名完全不同的域名，使企业网络在内部和互联网上呈现出两种完全不同的命名结构。

（3）域名策划：目录域名通常是该域的完整DNS名称，如“abc.net”。同时，为了确保向下兼容，每个域还应当有一个与Windows 2000 Server以前版本相兼容的名称，如“abc”。

以图1-1中的拓扑为样本，在该网络的域林中有两个域树：nos.com和nos.net，其中nos.com域树下有win.nos.com子域，在nos.com域中有两个域控制器，a.nos.com和b.nos.com；win.nos.com子域中除了有一个域控制器（b.win.nos.com）外，还有一个成员服务器（a.win.nos.com）。我们先创建nos.com域树，然后再创建nos.net域树，将其加入到林中。

用户要将自己的服务器配置成域控制器，应该首先安装活动目录，以发挥活动目录的作用。系统提供的活动目录安装向导，可以帮助用户配置自己的服务器，如果网络没有其它域控制器，可将服务器配置为域控制器，并新建子域、新建域目录树。如果网络中有其它域控制器，可以服务器设置为附加域控制器，加入旧域、旧目录树。

在配置各个服务器前要先更改机器的名字！

在Windows Server 2008中安装活动目录可以参照下述步骤进行操作：

（1）首先确认“本地连接”属性TCP/IP首选DNS是否指向了本机，然后选择“开始”→“服务器管理器”命令打开服务器管理器，在左侧选择“角色”一项之后，单击右部区域的“添加角色”链接，并且在如图所示的对话框中选择“Active Directory 域服务”复选框。

（2）单击“下一步”按钮继续操作，在如图所示的对话框中，针对域服务进行相关的介绍。

（3）单击“下一步”按钮继续操作，在如图所示的对话框中显示了安装域服务的相关信息，确认安装可以单击“安装”按钮。

（4）域服务安装完成之后，可以在如图所示的对话框中查看到当前计算机已经安装了Active Directory域控制器，单击“关闭”按钮退出添加角色向导对话框。

（5）返回服务器管理器窗口，在如图所示的窗口中可以查看到Active Directory域服务已经安装，但是还没有将当前服务器作为域控制器运行，因此需要单击右部窗格中蓝色的“运行Active Directory域服务安装向导（dcpromo.exe）”链接来继续安装域服务。也可以单击“开始”菜单 ，在搜索栏中输入dcpromo.exe命令打开域服务安装向导。

（6）域服务安装向导的欢迎界面中可以选择“使用高级模式安装”复选框，这样可以针对域服务器更多的高级选项部分进行设置，如图所示，单击“下一步”按钮继续操作。

（7）在如图所示的“操作系统兼容性”窗口中，简介介绍了Windowws Server 2008域控制器和以前版本的Windows之间有可能存在兼容性问题，可以了解下相关知识，单击“下一步”按钮。

（8）在如图所示的“选择某一部署配置”窗口中，如果以前曾在该服务器上安装过Active Directory，可以选择“现有林”下的“向现有域添加域控制器”或“在现有林中新建域”选项；如果是第一次安装，则建议选择“在新林中新建域”选项，然后再单击“下一步”按钮继续操作。

    （9）在如图所示的“命令林根域”窗口中，输入目录林根级域的FQDN，在此输入“nos.com”，单击“下一步”按钮继续操作

（10）在如图所示的“域NetBIOS”窗口中，系统会自动出现默认的NetBIOS名称，此时可以直接单击“下一步”按钮。NetBIOS名称的意义在于，让其它早期Windows版本的用户可以识别新域。

（11）在如图所示的“设置林功能级别”窗口中，可以选择多个不同的林功能级别“Windows 2000”、“Windows Server 2003”、“Windows Server 2008”，考虑到网络中有低版本的Windows系统计算机，此时建议选择“Windows 2000”一项，然后单击“下一步”按钮。

提示：林和域的功能级越高，兼容性越小，但是能使用更多域的功能。要注意的是，功能级的提升是单向的，例如选择Windows Server 2008的林功能级别，就不能再降为Windows Server 2003或是Windows 2000。

（12）在如图所示的“设置域功能级别”窗口中，可以选择多个不同的域功能级别“Windows 2000纯模式”、“Windows Server 2003”、“Windows Server 2008”，考虑到网络中有低版本的Windows系统计算机，此时建议选择“Windows 2000纯模式” 一项。

（13）单击“按钮，在如图所示的“其他域控制器选项”窗口中，可以对域控制器的其他方面进行设置。系统会检测是否有已安装好的DNS，由于没有安装其他的DNS服务器，系统会自动选择“DNS服务器”复选框来一并安装DNS服务，使得该域控制器同时也作为一台DNS服务器，该域的DNS区域及该区域的授权会被自动创建。由于林中的第一台域控制器必须是全局编录服务器，且不能是只读域控制器（RODC），所以这两项为不可选状态。

（14）单击“下一步”按钮，在如图所示的信息提示对话框中，单击“是”按钮继续安装，之后在活动目录的安装过程中，将在这台计算机上自动安装和配置DNS服务，并且自动配置自己为首选DNS服务器。

（15）单击“下一步”按钮，在如图所示的“数据库、日志文件和SYSVOL的位置”窗口中，需要指定将包含这些文件所在的卷及文件夹的位置。

提示：数据库存储有关用户、计算机和网络中的其他对象的信息。日志文件记录与活动目录服务有关的活动，例如有关当前更新对象的信息。SYSVOL存储组策略对象和脚本。默认情况下，SYSVOL是位于%windir%目录中的操作系统文件的一部分，必须位于NTFS分区。如果在计算机上安装有RAID(冗余磁盘阵列)或几块磁盘控制器，为了获得更好的性能和可恢复性，建议将数据库和日志文件分别存储在不包含程序或者其他非目录文件的不同卷（或磁盘）上。

（16）单击“下一步”按钮，在如图所示的“目录服务还原模式Administrator密码”窗口中输入两次完全一致的密码，用以创建目录服务还原模式的超级用户帐户密码。

若提示因为密码问题，可以先按ctr+alt+delete修改密码，密码要求大写字母，小写字母符号，数字四者中至少包含三个，并且至少六位；然后继续，若还是提示密码，可以在运行——输入cmd ——输入 

net user administrator /passwordreq:yes   解除密码策略；

（17）单击“下一步”按钮，在如图所示的“摘要”窗口中，可以查看以上各步骤中配置的相关信息。

（18）确认之后单击“下一步”按钮继续，安装向导将自动进行活动目录的安装和配置，如图所示，如果选择“完成后重新启动”复选框，则计算机会在域服务安装完成之后自动重新启动计算机，否则将会弹出如图所示的“完成Active Directory域服务安装向导”窗口，单击“完成”按钮，将重新启动计算机，即可完成活动目录的配置。

活动目录安装好之后，可以选择“开始”→“管理工具”命令，查看Windows Server 2008的管理工具安装前后出现的变化，如图所示。菜单中增加了有关活动目录的几个管理工具，其中“Active Directory用户和计算机”用于管理活动目录的对象、组策略和权限等；“Active Directory域和信任关系”用于管理活动目录的域和信任关系；“Active Directory站点和服务”用于管理活动目录的物理结构站点。

注意：在活动目录安装之后，不但服务器的开机和关机时间变长，而且系统的执行速度也变慢，所以如果用户对某个服务器没有特别要求或不把它作为域控制器来使用，可将该服务器上的活动目录删除，使其降级成为成员服务器或服务器。要删除活动目录，打开“开始”菜单，选择“运行”命令，打开“运行”对话框，输入dcpromo命令，然后单击“确定”按钮，打开“Active Directory安装向导”对话框，并按着向导的步骤进行删除，这里不再细述其过程。

在服务器上确认域控制器成功安装的方法如下：

（1）由于域中的所有对象都依赖于DNS服务，因此，首先应该确认与域控制器集成的DNS服务器的安装是否正确。测试方法：选择“开始”→“所有程序”→“管理工具”→“DNS”命令，打如图所示的窗口，选择“正向查找区域”选项，可以见到与域控制器集成的正向查找区域的多个子目录，这是域控制器安装成功的标志。

（2）选择“开始”→“管理工具”命令，在“管理工具”菜单选项的列表中，可以看到系统已经有域控制器的若干菜单选项。选择其中的“Active Directory用户和计算机”选项，打开如图所示的“Active Directory用户和计算机”窗口，选择“Domain Controllers”选项，可以看到安装成功的域控制器。此外，在“控制面板”的“系统属性”对话框中，选择“计算机名”选项卡，也可以看到域名表示的域控制器的完整域名。

（3） 选择“开始”→“命令提示符”命令，进入DOS命令提示符状态，输入“ping nos.com”，若能拼通，则代表域控制器成功安装，如图所示。

二、创建子域：

1、创建子域注意事项：虽说是创建子域，但容不得半点的马虎，稍有不慎就会导致操作失败，通常情况下应注意以下四个方面：

使用具有充分权限的用户账户登录域控制器：被提升为子域的计算机必须是已加入域的成员，并且以Active Directory中Domain Admins组或Enterprise Admins组的用户账户登录到域控制器，否则将会被提示无权提升域控制器。（如administrator账户）

操作系统版本的兼容性：被提升为子域控制器的计算机必须安装Windows Server    2008（Windows Server 2008 Web Edition除外）或Windows Server 2003操作系统。

正确配置DNS服务器：必须将当前计算机的DNS服务器指向主域控制器，并且保证域控制器的DNS已经被正确配置，否则将会被提示无法联系到Active Directory域控制器。

域名长度：Active Directory域名最多包含个字符或155个字节。

2．创建子域：当需要更为详细的划分某个域范围或者空间时，可以为其创建子域，建成子域后该域也就成了父域，其下所有的子域名称中均包含其（父域）名称。

创建子域的过程和创建主域控制器的过程基本相似，我们以在nos.com的域下面创建的win子域为例，介绍其具体的操作步骤：

（1）首先确认“本地连接”属性TCP/IP首选DNS是否指向了域控制器（本例为192.168.1.27，），同时确认本地IP地址（本例设置为192.168.1.28）和域控制器在同一个网段，然后选择“开始”→“服务器管理器”命令打开服务器管理器，按照上述“安装活动目录”的方法启动“Active Directory域服务安装向导”，进行至“选择某一部署配置”窗口中，选择“现有林”下的 “在现有林中新建域”选项。

（2）单击“下一步”按钮，进入“网络凭据”窗口，如图所示，在文本框中输入域控制器的域名称，此处为“nos.com”。 

（3）单击“设置”按钮，弹出“网络凭据”对话框，输入登录到域控制器的用户名和密码，“域”文本框中会默认显示当前主域控制器的完整域名，如图所示。

（4）单击“下一步”按钮，进入“命名新域”窗口，在“父域的FQDN”文本框中输入当前域控制器的DNS全名“nos.com”，在“子域的单标签DNS名称”文本框中输入子域名称“win”，如图所示。

（5）单击“下一步”按钮，进入“NetBIOS域名”窗口，要求指定子域的NetBIOS名称，系统会出现默认的NetBIOS名称，建议不要更改。建成后的子域虽然仍要接受来自父域的管理，但是它已经是一台全新的域控制器，其下所有的用户均可直接登录到该域控制器。

（6）接下来的操作和全新域控制器的安装完全相同，利用安装向导连续单击“下一步”按钮，直至进入“摘要”窗口，此时会发现新的域名中包含父域的域名，可以单击“上一步”按钮，返回前面的窗口重新设置。

（7）单击“下一步”按钮即可开始安装子域，同样需要几分钟或者更长的时间，并且安装完成后需要重新启动计算机，即可完成子域的创建。

三、创建附加的域控制器：

通常情况下，一个功能强大的网络中至少应设置两台域控制器，即一台主域控制器和一台附加域控制器。网络中的第一台安装活动目录的服务器通常会默认被设置为主域控制器，其它域控制器（可以有多台）称为附加域控制器，主要用于主域控制器出现故障时及时接替其工作，继续提供各种网络服务，不致造成网络瘫痪，以及备份数据的作用。具体操作步骤如下：

（1）首先确认“本地连接”属性TCP/IP首选DNS是否指向了域控制器（本例为192.168.1.27），同时确认本地IP地址（本例设置为192.168.1.29）和域控制器在同一个网段，然后选择“开始”→“服务器管理器”命令打开服务器管理器，按照上述“安装活动目录”的方法启动“Active Directory域服务安装向导”，进行至“选择某一部署配置”窗口中，选择“现有林”下的 “在现有域添加域控制器”选项，将该计算机设置为域外控制器。

（2）单击“下一步”按钮，在“网络凭据”窗口中，输入主域控制器的名称以及用户名和密码。该用户名必须隶属于目的域的Domain Admins组、Enterprise Admins组，或者是其它授权用户。其它安装过程，请参见上述“安装活动目录”相关内容。

四、创建第二棵域树

在活动目录的安装里，多次介绍了域控制器的安装和DNS服务器有密切的关系，所以在域林中安装第二棵域树nos.net时，DNS服务器要做一定的设置：在nos.com域树中，首选DNS服务器IP 地址为192.168.1.27，仍然使用该DNS服务器作为nos.net域的DNS服务器，然后在nos.com服务器上创建新的DNS域nos.net，其具体操作步骤如下：

（1）选择“开始”→“管理工具”→DNS选项，弹出DNS管理窗口，如图所示，展开左部的列表，右击“正向查找区域”，在弹出的快捷菜单中选择“新建区域”命令。

（2）在“欢迎使用新建区域向导”窗口中，单击“下一步”按钮，进入“区域类型”窗口中，如图所示，选择“主要区域”单选按钮。

（3）单击“下一步”按钮，进入“Active Directory区域复制作用域”窗口，根据需要选择如何复制DNS区域数据，这里选择第二项“至Active Directory或nos.com中的所有DNS服务器”。

（4）单击“下一步”按钮，进入“区域名称”窗口，输入DNS区域名称“nos.net”。

（5）单击“下一步”按钮，如图所示,选择“只允许安全的动态更新”或者“允许非安全和安全动态更新”单选按钮中的任一个，不要选择“不允许动态更新”单选按钮。

（6）单击“下一步”按钮，在“新建区域向导”窗口中单击“完成”按钮，然后在DNS管理窗口中，可以看到已经创建的DNS域nos.net，如图所示。

在DNS服务器上做好相应的准备后，在另外一台服务器上安装与设置nos.net域树的域控制器，具体的操作步骤如下：

（1）首先确认“本地连接”属性TCP/IP首选DNS是否指向了域控制器（本例为192.168.1.27），同时确认本地IP地址（本例设置为192.168.1.30）和域控制器在同一个网段，然后选择“开始”→“服务器管理器”命令打开服务器管理器，按照上述“安装活动目录”的方法启动“Active Directory域服务安装向导”，进行至“选择某一部署配置”窗口中，选择“现有林”下的 “在现有林中新建域”选项，并选择“新建域树根而不是新子域”复选框。

（2）单击“下一步”按钮，输入已有域树的根域的域名和管理员的账户、密码，这里已有域树的根域的域名为nos.com，单击“下一步”按钮，如图所示，输入新域树根域的DNS名，这里应为nos.net。

（3）单击“下一步”按钮，由于新域的NetBIOS名有冲突，系统自动更改为为“noso”，单击“下一步”按钮，后继步骤和创建域林中的第一个域控制器的步骤类似，不再赘述。一一确定后，安装向导开始安装过程。

（4）安装完毕后重新启动计算机，单击“开始”→“管理工具”→“Active Directory域和信任关系”菜单项打开窗口，可以看到nos.net域已经存在了，如图所示。

五、客户机登录到域

域中的客户机既可以是安装了Windows XP专业版操作系统的计算机，也可以是Windows Server 2008操作系统的服务器。前者成为普通的域工作站，后者将成为域的成员服务器。安装Microsoft公司操作系统的各类客户机加入域的操作过程十分相拟。下面仅以安装Windows XP专业版操作系统的客户机为例，对于安装了其他操作系统的客户机，可以参照进行。

（1）先以Windows XP专业版（注意：家庭版不能登录到域）计算机管理员的身份登录本机，由于在设置客户端时，会更改本机的设置。因此在Windows XP专业版客户端，必须先以本机管理员的身份登录，否则系统的许多选项为查看模式，不能更改设置。登录本机时，“用户名”文本框应输入“Administrator”，“密码”文本框应输入在系统安装过程中确定的管理员密码。此时，登录使用的用户名及密码，会在本机的目录数据库中进行登录验证。

（2）在需要加入域的计算机上，选择“开始”→“控制面板”命令，在打开的“控制面板”窗口中，双击“系统”图标，在打开的“系统属性”对话框中，选择“计算机名”选项卡，如图所示。

（3）单击“更改”按钮，打开如图所示的“计算机名称更改”对话框，在此对话框中，确认计算机名正确。在“隶属于”选项区中，选中“域”单选钮，输入Windows XP专业版工作站要加入的域名，例如“nos.com”，最后单击“确定”按钮。

（4）当出现如图所示的“计算机名更改”对话框中，输入在域控制器中具有将工作站加入“域”权利的用户账号，而不是工作站本身的系统管理员账户或其他账户。

（5）如果成功地加入了域，将打开提示对话框，显示“欢迎加入nos.com域”的信息，否则提示出错信息，最后单击“确定”按钮。

（6）当出现“计算机名更改”的重新启动计算机的询问对话框时，单击“确定”按钮，重新启动计算机后，出现如图所示的三栏登录窗口。由于此时的目的是登录域，因此先在“登录到”下拉列表框中选择拟加入域的的域控制器的NetBIOS名称，如“CNINFO”，前二栏则应输入在活动目录中有效的用户名及相应的密码，即可登录到该域。

任务二：Windows Server 2008活动目录的管理

任务描述：

活动目录安装后，管理工具里增加了“Active Directory用户和计算机”、“Active Directory域和信任关系”、“Active Directory站点和服务”三个菜单，主要用于活动目录的相关管理。

任务目标：

通过任务熟悉活动用户和计算机的管理，熟悉活动目录域和信任关系的建立以及掌握活动目录域站点间与站点内的复制及管理。

活动用户和计算机的管理具体操作步骤如下：

（1）单击“开始”→“管理工具”→“Active Directory用户和计算机”菜单项，可以打开“Active Directory用户和计算机”窗口，在该窗口的左部，选择“Computers”，可以显示当前域中的计算机，即成员服务器和工作站，如图所示，登录的客户端工作站“computer”。

（2）在“Active Directory用户和计算机”窗口左部，选择“Domain Controllers”，可以显示当前域中的域控制器，如图所示。

（3）在“Active Directory用户和计算机”窗口左部，选择“Users”或“Builtin”，可以显示域中的用户或组等情况。

（4）活动目录的逻辑结构非常灵活，包括域、域树、域林和组织单元（Organizational OU），它是一个容器对象，可以把域中的对象（用户、组、计算机等）组织成逻辑组，以简化管理工作，反映了企业行政管理的实际框架。具体的创建的方法为：在“Active Directory用户和计算机”窗口左部，选中information.com，右击，选择“新建”→“组织单元”命令，在“新建对象—组织单元”对话框中，输入组织单元名称，单击“确定”按钮即可。

活动目录和域的信任关系

众所周知，任何一个网络中都可能存在两台甚至多台域控制器，而对于企业网络而言更是如此，因此域和域之间的访问安全自然就成了主要问题，Windows Server 2008的活动目录为用户提供了信任关系功能，可以很好地解决这些问题。

1．信任关系

信任关系是两个域控制器之间实现资源互访的重要前提，任何一个Windows Server 2008域被加入到域目录树后，这个域都会自动信任父域，同时父域也会自动信任这个新域，而且这些信任关系具备双向传递性。由于这个信任关系的功能是通过所谓的Kerberos安全协议完成的，因此有时也被称为Kerberos信任。有时候信任关系并不是由加入域目录树或用户创建产生的，而是由彼此之间的传递得到的，这种信任关系也被称为隐含的信任关系。

2．创建信任关系

当网络中有多个不同的域，想要让每个用户都可以自由访问网络中的每台服务器（不管用户是否属于这个域）时，域之间需要创建信任关系。在前面的章节中，已创建了一个nos.com域，主域计算机名为Win2008，TCP/IP地址为：192.168.1.27，现在再创建一个network.com域，主域计算机名为Win2008-N，TCP/IP地址为：192.168.1.32。

下面就以这两个域为例，介绍信任关系的创建。创建信任关系时，首先在计算机Win2008-N上进行操作，具体的操作步骤为：

（1）单击“开始”→“管理工具”→“Active Directory域和信任关系”，从主窗口中右击network.com域名，从现出的菜单中选择“属性”，打开“域属性”窗口，接着单击“信任”标签，打开如图所示的“信任”选项卡。由于当前域尚未与其它任何域建立信任关系，所以此时列表为空。

（2）单击“新建信任”按钮，打开“新建信任向导”，单击“下一步”按钮，进入如图所示“信任名称”窗口，在“名称”文本框中输入要与之建立信任关系的NetBIOS名称或者DNS名称，这里为“nos.com”。

（3）单击“下一步”按钮，进入如图所示“信任方向”对话框，选择信任关系的方向，可以是“双向”、“单向：内传”、“单向：外传”。双向的信任关系实际上是由两个单向的信任关系组成的，因此也可以通过分别建立两个单向的信任关系来建立双向信任有关系。这里为了方便，选择“双向”单选按钮，单击“下一步”按钮。

（4）如图所示，由于信任关系要在一方建立传入，在另一方建立传出，为了方便，选择“这个域和指定的域”单选按钮，同时创建传入和传出信任，单击“下一步”按钮，否则必须在nos.com域上重复以上的步骤。

（5）如图所示，在对话框中输入nos.com域中管理员的账户和密码，单击“下一步”按钮。

（6）如图所示，选择“是，确认传出信任”按钮，即确认network.com域信任nos.com域，单击“下一步”按钮。

（7）如图所示，选择“是，确认传入”按钮，即确认nos.com域信任network.com域，单击“下一步”按钮，信任关系成功创建

如图所示，此时在“受此域信任的域”和“信任此域的域”列表框中均可看到刚才创建的信任关系。