2008额外域控制器设置重点

Windows Server 2008中Active Directory域的配置管理摘要：随着计算机技术的发展，利用域管理网内计算机的新技术得到广泛应用，本文图例介绍了windows平台的active directory 域及配置管理方法关键词：windows server active directory域配置管理中图分类号：tp316 文献标识码：a 文章编号：1007-9416(2012)02-0155-02活动目录（active directory）是windows server 2008操作系统提供的一种新的目录服务。

所谓目录服务其实就是提供了一种按层次结构组织的信息，然后按名称关联检索信息的服务方式。

这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企业的管理负担。

另外，它还为用户和应用程序提供了对其所包含信息的安全访问。

活动目录作为用户、计算机和网络服务相关信息的中心，支持现有的行业标准ldap（lightweight directory access protocal，轻量目录访问协议）第8版，使任何兼容ldap 的客户端都能与之相互协作，可访问存储在活动目录中的信息，如linux、novell系统等。

创建域之前需验证windows server 2008系统具备以下条件：(1)在安装windows server 2008的计算机上至少有一个ntfs分区，至少有250m的空间。

(2)计算机上必须配置好ip地址和dns服务器地址。

(3)具须具备管理员权限。

dns服务可以在安装活动目录前安装，也可以在活动目录集成安装，即在安装活动目录过程中安装。

1、安装active directory域一般情况下，在新安装系统时，系统会提示是否选择安装【活动目录】选项，通常不安装活动目录，以便用户有时间来规划与活动目录有关的协议和系统结构。

活动目录服务一般需要在安装windows server 2008后进行安装，可以使用“dcpromo”命令，“dcpromo”是一个图形化的向导程序，它将引导用户一步一步地建立域控制器。

实训二配置额外域控制器一、知识点：额外域控制器：假如域中只有一台域控制器，一旦出现物理故障，我们时可以备份还原AD 。

部署额外域控制器，指的是在域中部署第二个甚至更多的域控制器，每个域控制器都拥有一个Active Directory 数据库。

只读域控制器： RODC只好单向的从其余可读写域控制器央求信息，而不会把任何更正传递给其余可写域控制器，这样做不单可以降低主域服务器的工作负载及监控负载的工作量，还可以提升分支机构网络的安全性，同时便于管理。

二、着手实验：实验目的：利用 windows server 2008 搭建辅助域环境，认识辅助域控制器的作用，不单学会安装辅助域控制器，并且还应学会如何配置辅助域，并实现辅助域在域环境中的作用。

实验内容：1、配置域环境中额外域控制器2、配置域环境中的只读域控制器（RODC ）3、测试辅助控制器能否搭建成功实验要求：1、完成实训内容，并做成实验报告。

实验步骤：第一步配置域环境中额外域控制器（1）部署环境设置网络环境（ 2）与主域的IP 地址要互Ping 的通（3）依据拓扑图要求，将额外控制器的名称改为“BDC1 ”输入域点击确立（ 4）安装额外域控制器开始 ------ 运转 --- 输入dcpromo输入dcpromo 点击确立以后会弹出以下导游对话框，点击下一步在弹出“部署配置”对话框勾选“现有林 ---向现有于增添域控制器”下一步，输入主域名“”点击“设置”输入“用户名和密码”点击“确立”点击“下一步”选择域“”点击下一步，选择默认站点Default-First-Site-Name 点击下一步，选择需要的“选项”点击下一步，设置组或用户（无必需可跳过）。

点击下一步，设置数据库，日记文件和SYSVOL 的地点（默认 C 盘）。

下一步，设置还原模式的密码设置完密码，点击“下一步”会弹出以下对话框，记得勾选“完成后重新启动”对话框，耐心等候导游完成。

最后完成，会重启计算机，这样就完成额外域的安装。

Windowsserver2008服务器配置知识点总结1. 系统内部使⽤安全标识符来识别⽤户的⾝份。

（SID）2. 系统内置账户Administartor 管理⽤户和来宾⽤户（Guest）3. 账户类型分为本地⽤户，域⽤户，组账户。

根据服务器⼯作模式分为⼯作组和域。

4. ⼯作组模式下，本地⽤户的账户信息存储在SAM中。

域模式下，⽤户账户存储在DC中。

5. 活动⽬录中，组按照能够接受的范围分为本地域组，全局组和通⽤组。

6. ⼯作组（计算机之间是平等的，⼯作组可以跨⼯作组访问）和域环境（必须有DC）本地⽤户和域⽤户。

7. Win2008的三种⾓⾊域控制器，成员服务器，独⽴服务器。

安装win2008内存不低于512MB，硬盘可⽤空间不低于10GB，只⽀持64位版本。

8. AD是活动⽬录，域（逻辑单位）就是共享同⼀份AD数据库（DC（域控制器）⾥边）的计算机所组成的集合。

AD数据库⽂件保存在%systemRoot%中。

9. AD数据库中包含⽤户账户，⽤户密码，计算机账户，权限设定。

10. 每⼀个window域都需要⼀个唯⼀的域名与之对应。

（DNS域名和LDAP域名两种格式）DNS服务器是⽤来解析DNS域名。

域名空间连续的称为⼀个域树，两个域树形成域森林。

信任关系：双向可传递的。

11. 站点代表⽹络的物理结构或拓扑，是⼀组有效连接的⼦⽹，站点和域不同，站点代表⽹络的物理结构，⽽域代表组织的逻辑结构。

12. Ou组织单位也是⼀个容器，⽐喻⼩⼀个规模的容器。

⼀个⽤户账号只能属于⼀个Ou⽽⽤户账号可以加⼊多个组中，所以OU是管理模型，⽽组是权限和权⼒的划分。

13. OU是活动⽬录的⼀种对象，可以将安全策略应⽤域OU，ou是AD的容器，在其中存放⽤户,组，计算机和其他OU14. 特殊规则：读，写，取得所有权。

15. 拒绝优先，组规则⽆冲突时，执⾏累加规则。

16. ⽂件移动复制规则继承：同⼀磁盘移动将会保留⽂件原有权限，其它都是随着⽬标地址的规则⽽改变。

实训一安装域控制器，配置主DNS一、知识点：1、域的功能作用及安装条件2、DNS的作用二、动手实验实验目的：利用windows server 2008搭建域环境，熟悉域控制器的安装，并学会如何配置DNS，搭建域环境，并体会域控制器在整个服务器群中的作用。

实验内容：1、部署环境2、安装域控制器，配置网络的主DNS。

3、将成员机加入域中。

实验要求：1、根据拓扑结构图，完成实训内容，并做成实验报告。

实验步骤：1、部署环境设置IP和DNS服务器地址根据拓扑图要求，将主域控制器的名称改为“PDC”2、安装域控制器，配置网络的主DNS。

在“PDC”主机上安装域控制器，域名：开始—运行---输入” dcpromo”确定，突出如下框，等待进度的完成。

接着会弹出“AD域服务安装向导”下一步，勾选“在新林中新建域”下一步，去年要求命名林根域“”。

下一步，按要求设置林功能级别：windows server 2008下一步，按要求勾选其他域控制器选项：“DNS服务器“下一步，设置“数据库，日志文件和SYSVOL的位置”（默认C盘）。

下一步，设置还原模式的密码。

下一步，等待DNS安装完成，并重启。

2、将其他主机加入到域中这里以BDC加入域为例：配置网络，修改IP：192.168.100.3；默认网关：192.168.100.1；首选DNS服务器：192.168.100.2。

网络配置完，ping下主机，查看网络是否可用。

按要求更改计算机名：BDC，并输入域：确定，已完成加入域。

在弹出欢迎对话框时，就说明完成加入域的操作。

接着按如上步骤依次把如下成员机加入主域：计算机名为：FD IP：192.168.100.4计算机名为：WF IP：192.168.100.5计算机名为：EXD IP：192.168.100.6总结通过这次实验，使我明白了在域控制器上，每一个成员计算机都有一个计算机账号，每一个域用户有一个域用户账号。

域管理员可以在域控制器上实现对域用户账号和计算机账号以及其他资源的管理。

选择Active Directory 域服务部署配置安装Active Directory 域服务(AD DS) 时，可以选择以下可能的部署配置之一：向域中添加新的域控制器向林中添加新的子域，或作为一个选项添加新的域树注意只有在选中位于Active Directory 域服务安装向导的“欢迎使用Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时，用于安装新域树的选项才会出现。

创建新的林下列各部分将详细介绍上述的每个部署配置。

向域中添加新的域控制器如果域中已有一个域控制器，则可以向该域添加其他域控制器，以提高网络服务的可用性和可靠性。

通过添加其他域控制器，有助于提供容错，平衡现有域控制器的负载，以及向站点提供其他基础结构支持。

当域中有多个域控制器时，如果某个域控制器出现故障或必须断开连接，该域可继续正常工作。

此外，多个域控制器使客户端在登录网络时可以更方便地连接到域控制器，从而还可以提高性能。

准备现有域向现有的Active Directory 域添加运行Windows Server 2008 R2 的域控制器之前，必须通过运行Adprep.exe 来准备林和域。

请务必运行Windows Server 2008 R2 安装介质随附的Adprep 版本。

此版本的Adprep 可以添加运行Windows Server 2008 R2 的域控制器所需的架构对象和属性，并且可以修改对新对象和现有对象的权限。

根据需要为环境运行以下adprep 参数：添加运行Windows Server 2008 R2 的域控制器之前，请在承载架构操作主机角色（架构主机）的林中的域控制器上运行一次adprep /forestprep。

若要运行此命令，您必须是包括架构主机的域的Enterprise Admins 组、Schema Admins 组和Domain Admins 组的成员。

此外，请在每个计划将运行Windows Server 2008 R2 的域控制器添加到其中的域中，在承载基础结构操作主机角色（基础结构主机）的域控制器上运行一次adprep /domainprep /gpprep。

（3）单击"下一步"按钮，显示"文件服务简介"对话框，单击"下一步"按钮，在"选择角色（6）单击"安装"按钮开始安装。

安装完成后，显示"安装结果"对话框，单击"关闭"（2）从"DFS管理"窗口中，用鼠标右键单击"命名空间"，从弹出的快捷菜单中选择"3.7.1 创建命名空间（2）（4）单击"下一步"按钮，打开"命名空间名称和设置"对话框。

在"名称"文本框中输入命名空间的名称，通常选择一个比较简短、易记的名称，本例中为"dfs-root" ，如图3-88所示。

（5）单击"编辑设置"按钮，打开"编辑设置"对话框，在"共享文件夹的本地路径"文本框中使用默认路径，选择"Administrator具有完全访问权限；其他用户具有只读权限"单选按钮，如图3-89所示。

（6）单击"确定"按钮，返回到"命名空间名称和设置"对话框后，单击"下一步"按钮，打开（8）单击"创建"按钮，显示"确认"对话框，如图3-92所示。

单击"关闭"按钮，返回到"DFS（2）单击"添加"按钮，显示"添加文件夹目标"对话框中，如图3-95所示。

（3）单击"浏览"按钮，打开"浏览共享文件夹"对话框，单击"浏览"按钮，打开"选择计算机"对话框，输入计算机名称，本例为"WIN2008SER"。