建立Active Directory域控制器完全自制手冊

本篇文章中所有的成員服務(wù)器均采用微軟的Windows Server 2003，客戶端則采用Windows XP。
　　首先，當(dāng)然是在成員服務(wù)器上安裝上Windows Server 2003，安裝成功后進(jìn)入系統(tǒng)，

　　我們要做的第一件事就是給這臺成員服務(wù)器指定一個固定的IP，在這里指定情況如下:

　　機器名:American

　　IP:192.168.0.253

　　子網(wǎng)掩碼:255.255.255.0

　　DNS: 192.168.0.253 (因為我要把這臺機器配置成DNS服務(wù)器)

　　點開始—運行 輸入dcpromo:

　　

 

　　待活動目錄安裝向?qū)�啟�?

　　

 

　　點擊下一步:

　　

 

     這里是一個兼容性的要求，Windows 95及NT 4 SP3以前的版本無法登陸運行到Windows Server 2003的域控制器，我建議大家盡量采用Windows 2000及以上的操作系統(tǒng)來做為客戶端。然后點擊“下一步”：

　　

 

　　在這里由于這是第一臺域控制器，所以選擇第一項:“新域的域控制器”，然后點“下一步”:

　　

 

　　既然是第一臺域控，那么當(dāng)然也是選擇“在新林中的域”, 然后點“下一步”:

　　

我們把DNS Server與域控制器集成是有很多好處：

　　1、 基于 Active Directory 功能的多主機更新和增強的安全性。

　　2、 只要將新的區(qū)域添加到 Active Directory 域，區(qū)域就會自動復(fù)制并同步至新的域控制器。

　　3、 通過將 DNS 區(qū)域數(shù)據(jù)庫的存儲集成到 Active Directory 中，可以針對網(wǎng)絡(luò)簡化數(shù)據(jù)庫復(fù)制規(guī)劃。

　　4、 與標(biāo)準(zhǔn) DNS 復(fù)制相比，目錄復(fù)制更快捷、更有效。

　　5、 該目錄中只能存儲主要區(qū)域。DNS 服務(wù)器不能在目錄中存儲輔助區(qū)域。因此，它必須在標(biāo)準(zhǔn)文本文件中存儲這些數(shù)據(jù)。如果將所有的區(qū)域都存儲在 Active Directory 中，Active Directory 的多主機復(fù)制模式將不再需要輔助區(qū)

　　域。

　　OK，我們默認(rèn)然后點“下一步”：

　　

 

　　在這里我們輸入我們預(yù)先想好的域名：American.com然后點“下一步”：

　　

 

　　這里是指定NetBIOS名，注意千萬別和下面的客戶端沖突，也就是說整個網(wǎng)絡(luò)里不能再有一臺PC的計算機名叫“demo”，雖然這里可以修改，但個人建議還是采用默認(rèn)的好，省得以后麻煩。在這里我們不要修改NetBIOS名稱，直接點擊“

      下一步”：

　　

 

　　在這里要指定域控制器數(shù)據(jù)庫和日志的存放位置，如果不是C盤的空間有問題的話，建議采用默認(rèn)。直接點擊“下一步”：

　　

 

　　在這里要指定域控制器為系統(tǒng)卷共享的文件夾存放的位置，注意改文件夾必須放在NTFS磁盤分區(qū)上。然后點“下一步”：

　　

 

　　第一次部署時總會出現(xiàn)上面那個DNS注冊診斷出錯的畫面，主要是因為雖然安裝了DNS，但由于并沒有配置它，網(wǎng)絡(luò)上還沒有可用的DNS服務(wù)器，所以才會 出現(xiàn)響應(yīng)超時的現(xiàn)像，所以在這里要選擇:“在這臺計算機上安裝并配置DNS，并將

     這臺DNS服務(wù)器設(shè)為這臺計算機的首選DNS服務(wù)器”。直接點擊“下一步”：

　　

 

　　這是一個權(quán)限的選擇項，這里你可以根據(jù)你的內(nèi)部網(wǎng)絡(luò)環(huán)境來進(jìn)行選擇，因為我內(nèi)部網(wǎng)絡(luò)中沒有低于Windows2000,所以我默認(rèn)選項，然后點“下一步”：

　　

 

　　OK，這里要求你輸入還原密碼，你可以設(shè)置密碼，記得一定要記在小本子上啊，否則忘就麻煩了，以后活動目錄出問題就沒有辦法還原活動目錄了。

 

然后點“下一步”：

　　

 

　　這是確認(rèn)畫面，請仔細(xì)檢查剛剛輸入的信息是否有誤，尤其是域名書寫是否正確，因為改域名可不是鬧著玩的，如果有的話可以點上一步進(jìn)入重輸，如果確認(rèn)無誤的話，直接點擊“下一步”：

　　

 

　　這里我們就可以出去抽根煙就等待創(chuàng)建活動目錄數(shù)據(jù)了。

　　

 

　　這里千萬不要點擊 跳過DNS 安裝，否則是DNS Server是不會安裝的，以后還得我們自己手動安裝，比較麻煩。

　　

 

　　好了，我們的域控制器終于安裝好了，我們點擊完成。立即重啟域控制器后，大功告成!

     我們已經(jīng)把一臺名為Server的成員服務(wù)器提升為了域控制器，那我們現(xiàn)在來看一下如何把下面的工作站加入到域。

　　我們從網(wǎng)絡(luò)安全性考慮，盡量避免使用域管理員帳號，以免域管理員帳號外泄。所以我們先在域控制器上建立一個委派帳號，登陸到域控制器，運行“dsa.msc”，出現(xiàn)“AD用戶和計算機”管理控制臺:

　　

 

　　先來新建一個用戶，展開“American.com”，在“Users”上擊右鍵，點“新建”-“用戶”:

　　

 

　　然后出現(xiàn)一個新建用戶的向?qū)В�在這里，我新建了一個名為“Kenya”的用戶，并且把密碼設(shè)為“永不過期”。

　　

 

這樣點“下一步”，直到完成，就可以完成用戶的創(chuàng)建。然后在“American.com”上點擊右鍵，先擇“委派控制”:

　　

 

　　然后出現(xiàn)一個“委派控制向?qū)А?

　　

 

　　點擊“下一步”:

    點擊中間的“添加”按鈕，并輸入剛剛創(chuàng)建的“Kenya”帳號并按“檢查名稱”來核實:

　 　

 

　　然后點擊“確定”:

　　

 

　　再點“下一步”:

　　

 

　　此時，我們暫時不需要讓該用戶有其他管理權(quán)限，所以在這里，僅僅選擇“將計算機加入到域”。

然后點“下一步”：

　　

 

　　最后這里是一個核實的畫面，要是沒有什么問題的話，直接點“完成”就可以了。

　　接下來看我如何把Kenya加入到域的，(注：在實驗中采用的客戶端操作系統(tǒng)是Windows XP專業(yè)版，需要大家注意的是Windows XP 的Home版由于針對的是家庭用戶，所以不能加入域，大家別弄錯了喲。)我們先來設(shè)置一下這臺XP的網(wǎng)絡(luò):

　　計算機名:Kenya

　　IP地址: 192.168.0.8

　　子網(wǎng)掩碼:255.255.225.0

　　網(wǎng)關(guān)： 192.168.0.1

　　DNS服務(wù)器:192.168.0.253

　　設(shè)置完網(wǎng)絡(luò)以后，在“我的電腦”上擊右鍵，選“屬性”，點“計算機名”，再點擊“更改”。

 

　　在這里把“隸屬于”改成域，并輸入:“American.com”，并點確定，這是會出現(xiàn)如下畫面:

　　

 

　　輸入剛剛在域控上建的那個“Kenya”的帳號、密碼，點確定:

　　

 

　　出現(xiàn)如上述畫面就表示成功加入了American.com域了，然后點確定，點重啟就算OK了。

　　下面我們來用域帳號來登錄Kenya這臺計算機(注意在登錄畫面一定要把登陸到選擇是域而不是本地登錄)：

　　

 

　

　　當(dāng)把客戶端加入到域后，如果域控制器處于關(guān)閉狀態(tài)或者出現(xiàn)DOWN機的話，那么，會發(fā)現(xiàn)下面的客戶機無法登陸到域，所以再建立一臺域控制器，用來防止其中一臺出現(xiàn)意外損壞的情況是很有必要的，或者是因為網(wǎng)絡(luò)中的計算機過多，

我們可以再建一臺域控制器來實現(xiàn)負(fù)載均衡。在Windows2003中第二臺域控制器叫額外域控制器:

　　安裝額外域控制器

　　首先我們來設(shè)置額外域控制器的網(wǎng)絡(luò):

　　計算機名:France

　　IP:192.168.0.254

　　子網(wǎng)掩碼:255.255.255.0

　　網(wǎng)關(guān)：192.168.0.1

　　DNS:192.168.0.253

　　

 

　　然后我們要讓France成功的加入到American.com域中來，既然是提升為域控制器，那么DNS組件也是要添加的，添加方法如下:“開始—設(shè)置—控制面板—添加刪除程序”，然后再點擊“添加/刪除Windows組件”，則可以看到如下畫面:

　　

 

     找到“網(wǎng)絡(luò)服務(wù)”，點擊下面的“詳細(xì)信息”進(jìn)行自定義安裝，勾選“域名系統(tǒng)(DNS)”

　　

 

　　然后就是點“確定”，一直點“下一步”就可以完成整個DNS的安裝。在整個安裝過程中請保證Windows Server 2003安裝光盤位于光驅(qū)中，否則會出現(xiàn)找不到文件的提示，那就需要手動定位了。

　　安裝完DNS以后，點擊“開始”-“運行”-“dcpromo”啟動活動目錄安裝向?qū)?

　　

 

    點擊“下一步”:

　　

 

　　這里仍然是一個兼容性的要求，Windows 95及NT 4 SP3以前的版本無法登陸運行到Windows Server 2003的域控制器，我建議大家盡量采用Windows 2000及以上的操作系統(tǒng)來做為客戶端。然后點擊“下一步”：

　　

 

　　因為我們是搭建額外域控制器，所以這里要選擇的是“現(xiàn)有域的額外域控制器”，然后點“下一步”

　　

 

　　在這里，輸入域的管理員帳號的密碼，在“域”里是默認(rèn)填好域的DNS全名或NetBios名，因為該計算機之前已經(jīng)加入了域，所以這里不需要填寫了。

點“下一步”:

　　

 

　　在這里一定要填入現(xiàn)有域的DNS全名，這里已經(jīng)默認(rèn)填好，我們直接點“下一步”：

　　

 

　　這里我就不多說了，如沒有特殊要求，不要修改“數(shù)據(jù)庫”和“日志文件夾”的存放位置，這里我直接點“下一步”：

　　

這里也同樣，我們默認(rèn)直接點“下一步”：

　　

 

　　同樣我們輸入密碼，點“下一步”開始創(chuàng)建額外域控制器文件：

　　

 

　　然后點擊“完成”。重啟France這臺計算機后，我們的額外域控制器就算安裝完成了。

     建立DHCP服務(wù)器

　　在一個使用TCP/IP協(xié)議的網(wǎng)絡(luò)中，每一臺計算機都必須至少有一個IP地址，才能與其他計算機連接通信。為了便于統(tǒng)一規(guī)劃和管理網(wǎng)絡(luò)中的IP地址，DHCP(Dynamic Host Configure Protocol，動態(tài)主機配置協(xié)議)應(yīng)運而生了。這種網(wǎng)絡(luò)

　　服務(wù)有利于對校園網(wǎng)絡(luò)中的客戶機IP地址進(jìn)行有效管理，而不需要一個一個手動指定IP地址。

　　1. 依次點擊“開始→設(shè)置→控制面板→添加/刪除程序→添加/刪除Windows組件”，打開相應(yīng)的對話框。

　　

 

　　2. 用鼠標(biāo)左鍵點擊選中對話框的“組件”列表框中的“網(wǎng)絡(luò)服務(wù)”一項，單擊[詳細(xì)信息]按鈕，出現(xiàn)帶有具體內(nèi)容的對話框。在對話框“網(wǎng)絡(luò)服務(wù)的子組件”列表框中勾選“動態(tài)主機配置協(xié)議(DHCP)”，單擊[確定]按鈕(根據(jù)屏幕提

　　示放入Windows 2000安裝光盤，復(fù)制所需要的程序)：

　　

 

3.點擊“完成”，在“開始→程序→管理工具”下就會出現(xiàn)“DHCP”一項，說明DHCP服務(wù)安裝成功。

　　

 

　　出于對網(wǎng)絡(luò)安全管理的考慮，并不是在Windows 2000 Server中安裝了DHCP功能后就能直接使用，還必須進(jìn)行授權(quán)操作，未經(jīng)授權(quán)操作的服務(wù)器無法提供DHCP服務(wù)。對DHCP服務(wù)器授權(quán)操作的過程如下：

　　1. 依次點擊“開始→程序→管理工具→DHCP”，打開DHCP控制臺窗口。

　　

 

　　2. 在控制臺窗口中，用鼠標(biāo)左鍵點擊選中服務(wù)器名，然后單擊右鍵，在快捷菜單中選中“授權(quán)”，此時需要幾分鐘的等待時間。注意：如果系統(tǒng)長時間沒有反應(yīng)，可以按F5鍵或選擇菜單工具中的“操作”下的“刷新”進(jìn)行屏幕刷新，或先關(guān)閉DHCP控制臺，在服務(wù)器名上用鼠標(biāo)右鍵點擊。如果快捷菜單中的“授權(quán)”已經(jīng)變?yōu)椤俺废�授�?quán)”，則表示對DHCP服務(wù)器授權(quán)成功。此時，最明顯的標(biāo)記是服務(wù)器名前面紅色向上的箭頭變成了綠色向下的箭頭。這樣，這臺被授權(quán)的DHCP服務(wù)器就有分配IP的權(quán)利了。

     假如箭頭沒有變?yōu)榫G色，則可以嘗試重啟DHCP服務(wù)。

　　

 

　　當(dāng)DHCP服務(wù)器被授權(quán)后，還需要對它設(shè)置IP地址范圍。通過給DHCP服務(wù)器設(shè)置IP地址范圍后，當(dāng)DHCP客戶機在向DHCP服務(wù)器申請IP地址時，DHCP服務(wù)器就會從所設(shè)置的IP地址范圍中選擇一個還沒有被使用的IP地址進(jìn)行動態(tài)分配。添加IP

　　地址范圍的操作如下：

　　1. 點擊“開始→程序→管理工具→DHCP”，打開DHCP控制臺窗口。

　　2. 選中DHCP服務(wù)器名，在服務(wù)器名上點擊鼠標(biāo)右鍵，在出現(xiàn)的快捷菜單中選擇“新建作用域”：

　　

 

　　在出現(xiàn)的窗口中單擊[下一步]按鈕：

　　

 

　　在出現(xiàn)的對話框中輸入相關(guān)信息，單擊[下一步]按鈕：

3.根據(jù)自己網(wǎng)絡(luò)環(huán)境中的實際情況所使用的IP段，輸入作用域分配的地址范圍，然后單擊[下一步]按鈕

　　

 

　　4.在此輸入需要排除的IP地址范圍。由于我們的網(wǎng)絡(luò)中有很多網(wǎng)絡(luò)設(shè)備需要指定靜態(tài)IP地址(即固定的IP地址)，如服務(wù)器、交換機、路由器等，此時必須把這些已經(jīng)分配的IP地址從DHCP服務(wù)器的IP地址范圍中排除，否則會引起IP地址的沖突，導(dǎo)致網(wǎng)絡(luò)故障。單擊[下一步]按鈕：

　　

 

5. 單擊[下一步]按鈕，在出現(xiàn)的“租約期限”窗口中可以設(shè)置IP地址租期的時間值。一般情況下，網(wǎng)絡(luò)環(huán)境中的IP地址比較緊張的時候，可以把租期設(shè)置短一些，而IP地址比較寬松時，可以把租期設(shè)置長一些。

　　

 

　　設(shè)置完后，單擊[下一步]按鈕，出現(xiàn)“配置DHCP選項”窗口。

 

　　6. 在“配置DHCP選項”窗口中，如果選擇“是，我想現(xiàn)在配置這些選項”，此時可以對DNS服務(wù)器、默認(rèn)網(wǎng)關(guān)、WINS服務(wù)器地址等內(nèi)容進(jìn)行設(shè)置;如果選擇“否，我想稍后配置這些選項”，可以在需要這些功能時再進(jìn)行配置。此處，我們選擇前者，單擊[下一步]按鈕。

 

　　7. 在出現(xiàn)的窗口中，常常輸入網(wǎng)絡(luò)中路由器的IP地址(即默認(rèn)網(wǎng)關(guān)的IP地址)或是NAT服務(wù)器(網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)器)的IP地址。這樣，客戶機從DHCP服務(wù)器那里得到的IP信息中就包含了默認(rèn)網(wǎng)關(guān)的設(shè)定了。單擊[下一步]按鈕：

　　

 

8.在此對話框中設(shè)置有關(guān)客戶機DNS域的名稱，同時輸入DNS服務(wù)器的名稱和IP地址。然后單擊[添加]按鈕進(jìn)行確認(rèn)。單擊[下一步]按鈕：

　　

 

　　在出現(xiàn)的窗口中進(jìn)行WINS服務(wù)器的相關(guān)設(shè)置，由于我這里沒有WINS服務(wù)器，所有我留空。

     設(shè)置完后單擊[下一步]按鈕：

　　

 

　　9. 在出現(xiàn)的窗口中，選擇“是，我想現(xiàn)在激活此作用域”后，單擊[下一步]按鈕：

　　

 

　　10.我們點擊[完成]按鈕，此時，就可以在DHCP管理器中看到我們剛剛建好的作用域。

    OK，我們DHCP Server 已經(jīng)配置好了，下面我們在客戶端Kenya上進(jìn)行測試。

　　

 

　　首先我們把客戶端的IP已經(jīng)DNS設(shè)置為自動獲取：

　　

 

　　然后我們點擊開始-運行-輸入CMD-輸入IPCONFIG /ALL

　　

 

　　OK，我們看到Kenya這臺客戶端的IP、子網(wǎng)掩碼、網(wǎng)關(guān)、DHCP Server、DNS Server都是自動獲取的。到此我們DHCP服務(wù)器已經(jīng)配置完成。