Active Directory部署之完全手册.doc

Active Directory部署之完全手册本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:AmericanIP:53子网掩码:DNS: 53 (因为我要把这台机器配置成DNS服务器)点开始运行 输入dcpromo:待活动目录安装向导启动:点击下一步:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”：在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”, 然后点“下一步”:我们把DNS Server与域控制器集成是有很多好处：1、 基于 Active Directory 功能的多主机更新和增强的安全性。2、 只要将新的区域添加到 Active Directory 域，区域就会自动复制并同步至新的域控制器。3、 通过将 DNS 区域数据库的存储集成到 Active Directory 中，可以针对网络简化数据库复制规划。4、 与标准 DNS 复制相比，目录复制更快捷、更有效。5、 该目录中只能存储主要区域。DNS 服务器不能在目录中存储辅助区域。因此，它必须在标准文本文件中存储这些数据。如果将所有的区域都存储在 Active Directory 中，Active Directory 的多主机复制模式将不再需要辅助区域。OK，我们默认然后点“下一步”：在这里我们输入我们预先想好的域名：A然后点“下一步”：这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。在这里我们不要修改NetBIOS名称，直接点击“下一步”：在这里要指定域控制器数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。直接点击“下一步”：在这里要指定域控制器为系统卷共享的文件夹存放的位置，注意改文件夹必须放在NTFS磁盘分区上。然后点“下一步”：第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会 出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。直接点击“下一步”：这是一个权限的选择项，这里你可以根据你的内部网络环境来进行选择，因为我内部网络中没有低于Windows2000,所以我默认选项，然后点“下一步”：OK，这里要求你输入还原密码，你可以设置密码，记得一定要记在小本子上啊，否则忘就麻烦了，以后活动目录出问题就没有办法还原活动目录了。然后点“下一步”：这是确认画面，请仔细检查刚刚输入的信息是否有误，尤其是域名书写是否正确，因为改域名可不是闹着玩的，如果有的话可以点上一步进入重输，如果确认无误的话，直接点击“下一步”：这里我们就可以出去抽根烟就等待创建活动目录数据了。这里千万不要点击 跳过DNS 安装，否则是DNS Server是不会安装的，以后还得我们自己手动安装，比较麻烦。好了，我们的域控制器终于安装好了，我们点击完成。立即重启域控制器后，大功告成!我们已经把一台名为Server的成员服务器提升为了域控制器，那我们现在来看一下如何把下面的工作站加入到域。我们从网络安全性考虑，尽量避免使用域管理员帐号，以免域管理员帐号外泄。所以我们先在域控制器上建立一个委派帐号，登陆到域控制器，运行“dsa.msc”，出现“AD用户和计算机”管理控制台:先来新建一个用户，展开“A”，在“Users”上击右键，点“新建”-“用户”:然后出现一个新建用户的向导，在这里，我新建了一个名为“Kenya”的用户，并且把密码设为“永不过期”。这样点“下一步”，直到完成，就可以完成用户的创建。然后在“A”上点击右键，先择“委派控制”:然后出现一个“委派控制向导”:点击“下一步”:点击中间的“添加”按钮，并输入刚刚创建的“Kenya”帐号并按“检查名称”来核实:然后点击“确定”:再点“下一步”:此时，我们暂时不需要让该用户有其他管理权限，所以在这里，仅仅选择“将计算机加入到域”。然后点“下一步”：最后这里是一个核实的画面，要是没有什么问题的话，直接点“完成”就可以了。接下来看我如何把Kenya加入到域的，(注：在实验中采用的客户端操作系统是Windows XP专业版，需要大家注意的是Windows XP 的Home版由于针对的是家庭用户，所以不能加入域，大家别弄错了哟。)我们先来设置一下这台XP的网络:计算机名:KenyaIP地址: 子网掩码:网关： DNS服务器:53设置完网络以后，在“我的电脑”上击右键，选“属性”，点“计算机名”，再点击“更改”。在这里把“隶属于”改成域，并输入:“A”，并点确定，这是会出现如下画面:输入刚刚在域控上建的那个“Kenya”的帐号、密码，点确定:出现如上述画面就表示成功加入了A域了，然后点确定，点重启就算OK了。下面我们来用域帐号来登录Kenya这台计算机(注意在登录画面一定要把登陆到选择是域而不是本地登录)：当把客户端加入到域后，如果域控制器处于关闭状态或者出现DOWN机的话，那么，会发现下面的客户机无法登陆到域，所以再建立一台域控制器，用来防止其中一台出现意外损坏的情况是很有必要的，或者是因为网络中的计算机过多，我们可以再建一台域控制器来实现负载均衡。在Windows2003中第二台域控制器叫额外域控制器:安装额外域控制器首先我们来设置额外域控制器的网络:计算机名:FranceIP:54子网掩码:网关：DNS:53然后我们要让France成功的加入到A域中来，既然是提升为域控制器，那么DNS组件也是要添加的，添加方法如下:“开始设置控制面板添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:找到“网络服务”，点击下面的“详细信息”进行自定义安装，勾选“域名系统(DNS)”然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。安装完DNS以后，点击“开始”-“运行”-“dcpromo”启动活动目录安装向导:点击“下一步”:这里仍然是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”：因为我们是搭建额外域控制器，所以这里要选择的是“现有域的额外域控制器”，然后点“下一步”在这里，输入域的管理员帐号的密码，在“域”里是默认填好域的DNS全名或NetBios名，因为该计算机之前已经加入了域，所以这里不需要填写了。点“下一步”:在这里一定要填入现有域的DNS全名，这里已经默认填好，我们直接点“下一步”：这里我就不多说了，如没有特殊要求，不要修改“数据库”和“日志文件夹”的存放位置，这里我直接点“下一步”：这里也同样，我们默认直接点“下一步”：同样我们输入密码，点“下一步”开始创建额外域控制器文件：然后点击“完成”。重启France这台计算机后，我们的额外域控制器就算安装完成了。建立DHCP服务器在一个使用TCP/IP协议的网络中，每一台计算机都必须至少有一个IP地址，才能与其他计算机连接通信。为了便于统一规划和管理网络中的IP地址，DHCP(Dynamic Host Configure Protocol，动态主机配置协议)应运而生了。这种网络服务有利于对校园网络中的客户机IP地址进行有效管理，而不需要一个一个手动指定IP地址。1. 依次点击“开始设置控制面板添加/删除程序添加/删除Windows组件”，打开相应的对话框。2. 用鼠标左键点击选中对话框的“组件”列表框中的“网络服务”一项，单击详细信息按钮，出现带有具体内容的对话框。在对话框“网络服务的子组件”列表框中勾选“动态主机配置协议(DHCP)”，单击确定按钮(根据屏幕提示放入Windows 2000安装光盘，复制所需要的程序)：3.点击“完成”，在“开始程序管理工具”下就会出现“DHCP”一项，说明DHCP服务安装成功。出于对网络安全管理的考虑，并不是在Windows 2000 Server中安装了DHCP功能后就能直接使用，还必须进行授权操作，未经授权操作的服务器无法提供DHCP服务。对DHCP服务器授权操作的过程如下：1. 依次点击“开始程序管理工具DHCP”，打开DHCP控制台窗口。2. 在控制台窗口中，用鼠标左键点击选中服务器名，然后单击右键，在快捷菜单中选中“授权”，此时需要几分钟的等待时间。注意：如果系统长时间没有反应，可以按F5键或选择菜单工具中的“操作”下的“刷新”进行屏幕刷新，或先关闭DHCP控制台，在服务器名上用鼠标右键点击。如果快捷菜单中的“授权”已经变为“撤消授权”，则表示对DHCP服务器授权成功。此时，最明显的标记是服务器名前面红色向上的箭头变成了绿色向下的箭头。这样，这台被授权的DHCP服务器就有分配IP的权利了。假如箭头没有变为绿色，则可以尝试重启DHCP服务。当DHCP服务器被授权后，还需要对它设置IP地址范围。通过给DHCP服务器设置IP地址范围后，当DHCP客户机在向DHCP服务器申请IP地址时，DHCP服务器就会从所设置的IP地址范围中选择一个还没有被使用的IP地址进行动态分配。添加IP地址范围的操作如下：1. 点击“开始程序管理工具DHCP”，打开DHCP控制台窗口。2. 选中DHCP服务器名，在服务器名上点击鼠标右键，在出现的快捷菜单中选择“新建作用域”：在出现的窗口中单击下一步按钮：在出现的对话框中输入相关信息，单击下一步按钮：3.根据自己网络环境中的实际情况所使用的IP段，输入作用域分配的地址范围，然后单击下一步按钮4.在此输入需要排除的IP地址范围。由于我们的网络中有很多网络设备需要指定静态IP地址(即固定的IP地址)，如服务器、交换机、路由器等，此时必须把这些已经分配的IP地址从DHCP服务器的IP地址范围中排除，否则会引起IP地址的冲突，导致网络故障。单击下一步按钮：5. 单击下一步按钮，在出现的“租约期限”窗口中可以设置IP地址租期的时间值。一般情况下，网络环境中的IP地址比较紧张的时候，可以把租期设置短一些，而IP地址比较宽松时，可以把租期设置长一些。设置完后，单击下一步按钮，出现“配置DHCP选项”窗口。6. 在“配置DHCP选项”窗口中，如果选择“是，我想现在配置这些选项”，此时可以对DNS服务器、默认网关、WINS服务器地址等内容进行设置;如果选择“否，我想稍后配置这些选项”，可以在需要这些功能时再进行配置。此处，我们选择前者，单击下一步按钮。7. 在出现的窗口中，常常输入网络中路由器的IP地址(即默认网关的IP地址)或是NAT服务器(网络地址转换服务器)的IP地址。这样，客户机从DHCP服务器那里得到的IP信息中就包含了默认网关的设定了。单击下一步按钮：8.在此对话框中设置有关客户机DNS域的名称，同时输入DNS服务器的名称和IP地址。然后单击添加按钮进行确认。单击下一步按钮：在出现的窗口中进行WINS服务器的相关设置，由于我这里没有WINS服务器，所有我留空。设置完后单击下一步按钮：9. 在出现的窗口中，选择“是，我想现在激活此作用域”后，单击下一步按钮：10.我们点击完成按钮，此时，就可以在DHCP管理器中看到我们刚刚建好的作用域。OK，我们DHCP Server 已经配置好了，下面我们在客户端Kenya上进行测试。首先我们把客户端的IP已经DNS设置为自动获取：然后我们点击开始-运行-输入CMD-输入IPCONFIG /ALLOK，我们看到Kenya这台客户端的IP、子网掩码、网关、DHCP Server、DNS Server都是自动获取的。到此我们DHCP服务器已经配置完成。技术QA：如何把EXE转成MSI？MSI, EXE, 技术引子：在我们使用组策略来安装部署应用软件时，最常碰到的问题就是：活动目录中软件分发只能分发MSI文件，不能分发exe文件。虽然使用SMS可以分发exe和msi文件，但在我们企业的生产环境中可能没有部署或并不想去部署SMS。Q：如何把EXE转成MSI？A：VERITAS、InstallShield、Wise Solutions，这些软件公司都提供了一些工具程序，我们可以利用它们来编辑 Windows Installer Package，或是将传统Setup安装软件包装成为.msi安装软件包。其中VERITAS的WINSTALL LE是一个简单、容易使用的工具，也是先前比较常用的工具。该工具可以在Windows2000服务器版本的安装光盘中找到，具体的路径为：Valueadd3rdpartyMgmtWinstleSwiadmle.msi。安装后，它会在“开始菜单”的“所有程序”内创建一个名为“VERITAS Software”的程序组，里面包含着以下两个工具：VERITAS Discover：用于将EXE文件打包为MSI。VERITAS Software Console：用于查看与修改MSI安装软件包。备注：微软的工程师现在推荐使用一个新的工具，那就是：FLEXnet AdminStudio SMS Edition，它可以将EXE文件打包为MSI并生成MST文件（MST是MSI的应答文件，可以提供MSI安装过程中需要的信息），从而完成无人应答安装。该工具可以在下面链接内下载到：/technet/downloads/sms/2003/tools/adminstudio.mspx请注意，由于这个工具属于第三方软件厂商的，微软不为这一工具提供支持，关于这一工具的问题，请访问下面这个链接：/admin.asp- 每个QA都汇集众多微软工程师的心血，在此由衷的向他们表示感谢！How to：使用FLEXnet AdminStudio SMS Edition进行软件重新打包前言 我们在使用SMS进行软件分发时，可能会遇到这样的情况：我们希望软件在安装过程中无需与用户进行交互，但软件的原有的安装程序不支持如我们在SMS2003软件分发指南一文所提及的参数，也没有提供*.sms、*.pdf等定义文件，那么，我们考虑使用第三方工具为这些不符合条件的安装程序重新进行打包，将其做成MSI类型的安装文件，再利用SMS或者组策略进行分发。 市面上流行的很多工具都可以实现重新打包的功能，其中Macrovision公司的FLEXnet AdminStudio是其中的佼佼者，其各个版本都带有repackager功能模块，更值得一提的是，FLEXnet AdminStudio免费提供For SMS的版本，此版本可以到微软官方站点进行下载。查看FLEXnet AdminStudio SMS Edtion的介绍可以点击这里。 重新打包过程描述 此次我们进行分发重新打包测试的软件为KindTools推出的KindDiary，其安装程序只有一个文件 kinddiary_setup.exe。我们建议在实际进行软件重新打包前，选择一台与实际客户环境相似的机器进行FLEXnet AdminStudio的安装，并在运行Repackager时关闭不必要的应用程序。限于试验条件，我在SMS Site Server上安装FLEXnet AdminStudio。 以下为使用FLEXnet AdminStudio SMS Edition为KindDiary安装程序进行重新打包的具体步骤： 从程序菜单中运行Repackager 图1 在打开的主界面中，我们可以看到完成Repackage的几个大致步骤： 图2 我们按向导，分三步完成相关过程。 (1)我们选择Start the Repackaging Wizard to capture a new setup,打开向导 图3 点击next，选择一种重新打包的方式 图4 我们有如下两种模式选择：Snapshot以及Installation Monitoring，两种模式的特点如下： a)Snapshot:需要与将来进行软件分发的目标机器相似同时较为干净的系统，通过其重新打包的软件可以在Windows 9x、NT 4、 Me、 2000、XP或更高版本的操作系统上运行； b)Installation Monitoring:运行过程显著快于Snapshot，且对操作系统的环境也相对Snapshot来说来得没有那么严格，但其重新打包的软件不支持在Windows 9x和Windows Me上运行。 具体的工作原理如图4中描述。 为了使重新打包的软件具有更好的兼容性，我们选择Snapshot方式。点击next，选择Single Setp做为Snapshot的模式： 图5 选择kinddiary软件的安装程序，并填写相关信息 图6 填写相关文件输出的路径： 图7 在开始相关第一次信息分析前，我们还可以选择需要分析内容以及限制分析的文件夹 图8 设置完相关选项后，我们开始第一次信息分析： 图9 等待其完成后，Repackager会提示你可以开始运行安装程序了 图10 图11 我们使用默认设置进行软件的安装，直至完成。 图12 点击Finish后，Repackager提示可以开始