第17章 附加域控制器和活动目录复制

域控制器是活动⽬录域AD中的⼀个基本元素，很多刚接触活动⽬录域AD的朋友，不知道该从哪⾥下⼿，活动⽬录域控制器到底是什么意思？有什么⽤？如何新建⽴域控制器？主域控制器、额外域控制器有什么区别？域控制器的设备配置备份还原⼜该如何做？⼀⼤堆的问题，都困扰了活动⽬录域AD的初学者，《域控制器》这篇⽂章源⾃微软活动⽬录域AD操作指南教程，⼤家通过它可以对如何开始建⽴活动⽬录域AD域控制器有⼀个⼤致的了解。

域控制器 当您在组织中创建第⼀个域控制器时，同时也创建了第⼀个域、第⼀个林、第⼀个站点，并安装了 Active Directory。

运⾏ Windows Server 2003 的域控制器存储着⽬录数据，并管理⽤户和域的交互，包括⽤户登录进程、⾝份验证和⽬录搜索。

域控制器是使⽤“Active Directory 安装向导”创建的。

详细信息，请参阅使⽤ Active Directory 安装向导。

注意 Examda提⽰: 不能在运⾏ Windows Server 2003, Web Edition 的计算机上安装 Active Directory，但可以将该计算机作为成员服务器加⼊到 Active Directory 域中。

有关 Windows Server 2003, Web Edition 的详细信息，请参阅 Windows Server 2003 Web Edition 概述。

在组织中使⽤域控制器时，需要考虑需要多少个域控制器、这些域控制器的物理安全性，以及备份域数据和升级域控制器的计划。

确定所需的域控制器数 为了获得⾼可⽤性和容错能⼒，使⽤单个局域 (LAN) 的⼩型组织可能只需要⼀个具有两个域控制器的域。

具有多个络位置的⼤型组织在每个站点都需要⼀个或多个域控制器以提供⾼可⽤性和容错能⼒。

如果您的络划分为多个站点，那么通常⼀种较好的做法是在每个站点中⾄少配置⼀台域控制器以提⾼络性能。

当⽤户登录络时，作为登录进程的⼀部分必须联系域控制器。

强制活动目录复制
以下步骤查看默认站点、站点内的复制频率以及强制活动目录复制。

1.以域管理员身份登录域控制器WINServer，打开Active Directory站点和服务
管理工具。

2.如图27-3所示，点中Default-First-Site-Name，右击“NTDS Site
Settings”，点击“属性”。

3.如图27-4所示，在出现的NTDS Site Settings 属性对话框，点击“更改计划”。

图27-3 查看属性图27-4 更改计划
4.如图27-5所示，你可以看到默认站点内的复制频率是一小时一次，当然你可以更
改复制频率。

5.如图27-6所示，右击自动生成的复制对象，点击“立即复制”。

提示：复制完成。

通过这种方式可以强制活动目录复制，而不必按一小时一次的计划。

图27-5 复制频率图27-6 立即复制。

实验六删除活动目录实验目的：学会如何降级一台域控制器。

了解如何使用无人参与脚本文件来降级一台域控制器。

实验条件：完成实验四后的网络环境。

或者是拥有两台域控制器的网络环境。

结构如图：实验步骤：一．通过活动目录安装向导来降级一台域控制器。

1．登录到S2（附加的域控制器）上，单击“开始”，在运行里面输入“dcpromo”。

2．在欢迎使用Active Directory安装向导页面中，单击“下一步”。

3．在删除Active Directory页面中，保留“这个服务器是域中的最后一个域控制器”这一项不被选中。

因为S2并非域中的最后一台域控制器。

单击“下一步”。

4．在管理员密码页面中，输入要指派到这服务器的管理员密码。

创建的这个密码就是当这台计算机不是域控制器后，用户登录计算机的本地管理员密码。

单击“下一步”。

5．在摘要页面中，确认相关信息后，单击“下一步”。

等活动目录卸载后，重新启动计算机。

问题1：附加域控制器降级以后，它是成为一台单独的计算机，还是成为域中的一台客户计算机？________________________________________________________二．用无人参与脚本文件来删除活动目录。

1．登录到S1（第一台域控制器）上，在运行里面输入“notepad”打开记事本。

2．在记事本里输入以下信息。

学员们把自己的脚本填写在后面：[DCInstall]IsLastDCInDomain=yes 是否是网络上的最后一台域控制器UserName=administrator 用于卸载操作的用户名称Password=s1 用于卸载操作的用户密码UserDomain= 用于卸载操作的用户所在的域名称AdministratorPassword=local 卸载完毕后给本地管理员创建的密码[DCInstall]_________________________________________________________________________________________________________________________________________________________________________________________3．保存到C:\ 下面，取名为delxinhua（学员可以自己更改名称）。

FSMO五种角色的作用、查找及规划FSMO中文翻译成操作主机，在说明FSMO的作用以前，先给大家介绍两个概念:单主复制:所谓的单主复制就是指从一个地方向其它地方进行复制，这个主要是用于以前的NT4域，我们知道，在NT4域的年代，域网络上区分PDC和BDC，所有的复制都是从PDC到BDC上进行的，因为NT4域用的是这种复制机构，所以要在网络上进行对域的修改就必须在PDC上进行，在BDC上进行是无效的。

如果你的网络较小的话，那么这种机构的缺点不能完全的体现，但是如果是一个跨城区的网络，比如你的PDC在上海，而BDC 在北京的话，那么你的网络修改就会显得非常的麻烦。

多主复制:多主复制是相对于单主复制而言的，它是指所有的域控制器之间进行相互复制，主要是为了弥补单主复制的缺陷，微软从Windows 2000域开始，不再在网络上区分PDC和BDC，所有的域控制器处于一种等价的地位，在任意一台域控制器上的修改，都会被复制到其它的域控制器上。

既然Windows 2000域中的域控制器都是等价的，那么这些域控制器的作用是什么呢?在Windows 2000域中的域控制器的作用不取决于它是网络中的第几台域控制器，而取决于FSMO五种角色在网络中的分布情况，现在开始进入正题，FSMO有五种角色，分成两大类:1、森林级别(即一个森林只存在一台DC有这个角色):(1)、Schema Master中文翻译成:架构主机(2)、Domain Naming Master中文翻译成:域命名主机2、域级别(即一个域里面只存一台DC有这个角色):(1)、PDC Emulator 中文翻译成:PDC仿真器(2)、RID Master 中文翻译成:RID主机(3)、Infrastructure Master 中文翻译成:基础结构主机一、接下来就来说明一下这五种角色空间有什么作用:1、Schema Maste用是修改活动目录的源数据。

我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对像和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Maste，如果大家部署过Excahnge的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema Maste进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在Schema Maste上进行扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

第一章1.计算机网络的目的是实现实现资源共享和实时通信通信设备通信线路,它通过通信设备和通信线路把计算机连接在一起.2.根据网络覆盖的地理范围,计算机网络可以分为LAN MAN WAN3.网络协议实际上就是可以使计算机互相通信的一组规则4.对等式网络中的计算机同时充当服务器和客户机5.主从式网络适合于规模较大的场合.6.双绞线分为UTP和STP,双绞的目的是减小一对线对对其他线对的电磁干扰,同时也可以减少别的线对产生的电磁干扰对自己的影响7.T568B中,线序是白橙,橙,白绿,蓝,白蓝,绿,白褐,褐8.星型结构的网络有何突出的优点以至于现在被普遍采用?一台计算机所使用的线路如果发生故障不会影响到其他计算机;故障排查容易;而且由于有集中点,管理也集中,工作量也小得多.9.为什么说集线器上的计算机是共享带宽?集线器是物理层设备,其功能是简单地将某个端口收到的信号(即0和1物理层信号)从其他所有的端口复制出去.正因为如此,如果有一台计算机发送信号,其他接口上所有计算机(甚至在其他集线器上的的计算机)将能同时接受到信号.这也意味着其他计算机在此刻不能同时发送信号,如果它们也同时发送信号就会发生冲突,用集线器构成的网络在任何时候只能有一台计算机在发送数据,这样每一台计算机发送数据的机会就被平均了,所以集线器所接的计算机是共享同一网络带宽的.10.简单说明交换机的工作原理.交换机信赖于一个MAC地址与端口的映射表来进行工作的,当一台计算机发送过数据时,发送者的MAC地址和所在的端口就被记录在表中;如果有其他计算机向这台计算机发送数据时,交换机查询该映射表,数据只会从这台计算机所在的端口转发出去,而不会从其他端口转发.11.以太网采用的介质访问控制方式是CSMA/CD第二章1.Windows Server 2003有4个版本,分别为Web版标准版企业版数据中心版2.某中型企业,准备购买Windows Server 2003,服务器上令人欲发布网页,同时作为SQL服务器,考虑到服务器的负载和冗余问题,需要采用集群,应使用WEB 版.3.推荐Windows Server 2003 安装在NTFS文件系统分区.4.某企业规划有两台Windows Server 2003和50台Windows 2000 Professional,每台服务器最多只有15个人同时访问,最好采用每服务器授权模式.5.在Windows 2000 Professional下,可以使用Windows Server 2003安装光盘中i386目录下的程序winnt32.exe进行安装.6.管理员的用户名为 Administrator7.无人值守安装的命令格式为winnt32 /s:F:\i386 /unattend:a:\unattend.txt8.Windows NT 4.0 Server 和Windows 2000 Server 可以升级到Windows Server 2003.9.使用安装管理器(setupmgr.exe)可以自动产生无人值守安装的应答文件.10.安装Windows Server 2003标准版,最低需要128MB内存.11.采用升级到Windows Server 2003的好处是什么?升级到Windows Server 2003可以保留原有系统的各种配置,例如用户名和密码,文件权限,原有的应用程序,因此通常升级会比安装全新的Windows Server 2003后重新配置少不少工作量,同时还可保证系统过渡的连续性.第三章1.Windows Server 2003 中集成的防火墙有什么作用？防火墙可以阻止网络中的其他计算机对本地计算机的主动访问，保护本地计算机上的资源，不妨碍本地计算机对其他计算机的主动访问。

单元一：Windows Server 2008域与活动目录任务一：安装Windows Server 2008域控制器任务描述：企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。

虽然活动目录具有强大的功能，但是安装Windows Server 2008操作系统时并未自动生成活动目录。

因此，管理员必须通过安装活动目录来建立域控制器，并通过活动目录的管理来实现针对各种对象的动态管理与服务。

同时客户机登录域的操作也是组建域网络必不可少的部分，也是网络管理员应该熟练掌握的基本技能之一。

任务目标：作为网络管理员，只有明确安装域控制器的条件和准备工作，掌握域网络的组建流程和操作技术，才能在服务器上安装好Windows Server 2008操作系统。

为此，可以启用活动目录安装向导，成功安装活动目录后，将使得一个独立服务器升级为域控制器。

同时通过任务，还应能够区分登录窗口，例如是登录域不是登录本机的登录框。

任务实施：一、建立第一台域控制器：活动目录是Windows Server 2008非常关键的服务，它不是孤立的，与许多协议和服务有着非常紧密的关系，并涉及整个操作系统的结构和安全。

因此，活动目录的安装并非一般Windows组件那样简单，必须在安装前完成一系列的准备，注意事项如下：（1）文件系统和网络协议：Windows Server 2008所在的分区必须是NTFS文件系统，同样活动目录必须安装在NTFS分区，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP协议。

（2）域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。

在组建一个全新的Windows Server 2008网络时，所安装的第一台域控制器将生成第一个域，这个域也被称为根域，选择根域最为关键。

根域名字的选择可以有以下几种方案：使用一个已经注册的DNS域名作为活动目的根域名，使得企业的公共网络和私有网络使用同样的DNS名字。