windows2003-建立域
- Active Directory
- 建立DNS
- 建立域
- 查看日志
- xp 加入域
Active Directory
活动目录是一个包括文件、打印机、应用程序、服务器、域、用户账户等对象的数据库。
常见概念:对象、属性、容器
-
域组件(Domain Component,DC):用DNS域名代替
-
组织单位(Organization Units,OU):可包含其他对象、OU、组策略
-
域树:内含多个域的网络可设置为 domain tree 架构,例如根域 root domain 是abc.com,下面有子域 sales.abc.com, mkt.abc.com。活动域的域名采用DNS,域树内所有域共享一个 Active Directory,数据分散在各个子域内,且每个域只存储该域内部数据(用户账户、计算机账户等)
-
信任:两个域间建立“信任关系”才可访问对方域内资源,一个域加入域树后父域和子域将相互信任,信任关系具有“双向传递性”,通过 Kerberos 安全协议实现
AC间称为隐性信任关系(implicit trust) -
林:一个网络内多个域树组成一个“林(forest)”,每个域树都有自己唯一的命名空间(域名)。第一个域树的根域也是整个林的根域,即林的名称与第一个域的名称相同。根域间自动建立双向信任
-
架构 Schema:活动域内对象类和属性数据的定义
-
域控制器、活动域的复制:域控制器由服务器级windows扮演
活动域存在域控制器内,一台域控制器的Active Directory数据变动时自动复制到其他域控制器的Active Directory内。
用户登录域内某台机器时由域控制器根据Active Directory内账户数据审核输入账户密码是否正确。多台域控制器可实现容错、分担压力的效果
复制方式:-
多主机复制:活动域内大部分主机这样复制,直接更新任何一台域控制器的Active Directory对象,更新后对象自动复制到其他域控制器。
-
单主机复制:少部分机器采用,由一台域控制器“操作主机”处理变更对象数据的请求,再由这台主机复制到其他域控制器。如:新增删除一个域的变动数据都保存到扮演“域命名主机”角色的域控制器内,再由其复制到其他域控制器
-
-
轻型目录访问协议:Lightweight Directory Access Protocol,LDAP 是一种查询更新活动域目录服务的通信协议。LDAP命名路径表示域内对象位置,包括:
-
可辨别名称(Distinguished Name、DN)例如某用户账户:abc.com\业务部\业务一组\张三 对应 DC\OU\OU\CN
-
相对可辨别名称(Relative Distinguished Name, RDN):代表某个对象的部分路径
-
用户规则名(User Principal Name,UPN):类似email地址,如:suername@abc.com
-
服务规则名(Service Principal Name,SPN):内含多重设定值的名称,根据DNS主机名建立,代表某台机器支持的服务,用于机器间沟通
-
-
全局编录:域树内所有域共享一个 Active Directory,但是数据是分散存在各个域自身内,为了让用户和程序快速定位其它域中对象,域控制器提供了“全局编录”。包含每个对象的部分常用属性,用于定位。
还提供用户登录时其隶属的“万用组”数据,或当用户利用UPN登录时提供该用户隶属哪个域的数据。一个林中所有域树共享“全局编录”,某人将林内第一台域控制器设为“全局编录”,可手动修改 -
站点:一个或数个IP子网组成,一般将一个LAN化为一个站点,WAN内各个LAN化为不同站点
域是逻辑分组,站点是物理分组,不是一一对应,可能机器的所属是交叉的。 -
域功能、林功能:设置会影响这个域内部,或整个林内所有域
-
目录分区(Directory Partition):Active Directory 数据库被逻辑地分为多个目录分区
-
Schema Directory Partition:整个林中共享,存储林中所有对象和属性及其规则,复制到所有域控制器
-
Configuration Directory Partition:存储整个Active Directory结构,如有哪些域、哪些站点、哪些域控制器。在林中所有域控制器间复制
-
Domain Directory Partition:每个域各不相同,在一个域内部的域控制器间复制,保存用户、组、计算机、OU等对象
-
Application Directory Partition:由应用建立使用,如DNS会在此建立存储域名相关信息,复制到林中某些特定域控制器
-
建立DNS
域控制器依赖DNS域名确定后修改很麻烦。先配置静态IP
然后插入安装CD,直接点击驱动或进入管理器
然后点击安装:
管理DNS,建立正向解析的域名:
然后输入域名、选择允许动态更新
创建成功后新建主机
创建反向解析
建立域
打开ActiveDirectory安装向导,可通过“运行”框输入 dcpromo 启动。一路下一步,选择“新域的域控制器”-> “在新林中的域” -> 输入“abc.com” -> 一直下一步期间会看见系统共享卷 SYSVOL ->
期间出现下图,是DNS解析的问题,本机安装DNS可选择第2个
在创建域时选择“现有域的额外域控制器”,创建新的域并挂载到这个父域下。可通过网络或备份文件复制 Active Directory 数据库。
可以通过创建问答文件使用 dcpromo 进行自动创建
查看日志
运行,输入 eventvwr.msc
xp 加入域
输入一个高权限的账号和密码,用其进行登录
35598426855055
windows2003-建立域
