Windows Server 2008实验-1安装活动目录.doc

实验名称： Active Directory安装配置管理 使用主要设备： Windows 2008 Server服务器、2008 Server安装光盘 实验目的： 1、了解Active Directory的基本概念 2、安装配置域服务器 3、创建组织单位、域用户、组帐户和计算机 一、安装域服务器（统一在虚拟机客系统中完成）【实验步骤】1、安装域服务器之前的状态（机房内是统一使用相同的windows 2008安装盘，大家的计算机名会重名）：2、修改计算机名时的界面：3、重新启动后要修改客系统IP地址，否则会有IP地址冲突（IP地址不做统一要求，但要把“首选DNS”清空，截图如下）4、修改计算机名之后界面：5、设置域名时的界面：（姓名的拼音简写 学号末尾二位.com, 如：）6、NetBIOS截图（名称为：姓名的拼音，如jiaoshi）7、摘要截图8、完成安装后如下图（还未重新启动电脑前）9、配置完成后系统信息如下图：10、安装DNS二、创建组织单位、域用户、组帐户和计算机1、新建组织单位和用户：新建3个组织单位（隶属关系如下图所示）：业务部、业务一部、业务二部。在“业务部”组织单位中建二个用户，推荐密码：123.com ；二台计算机。【实验结果和体会】【讨论与思考】如果系统盘（C盘）为FAT32格式，是否可以安装活动目录？确认AD是否正常1. 检查DNS服务器内的记录是否完备检查主机名称与IP地址利用DNS控制台来检查SRV记录利用NSLOOKUP程序来检查SRV记录 (1) “开始”“运行”输入“CMD”，进入“命令提示符”窗口 (2) 运行nslookup (3) 输入set type =srv命令 (4) 输入_ldap._tcp.dc._ (5) 可利用_gc._命令查看扮演全局编录的域控制器,利用1S -t SRV 查看所有的SRV记录(注：DNS服务器需将允许区域转送的权利向您的PC开放,您才可以在您的PC上运行此命令) 所扮演的角色是否登记到DNS服务器内,利用(MMC)控制台来检查SRV记录:_msdls,_sites,_tlp,_udp等文件夹 记录有：a:_ldap._tcp.DNS域名, b:_ldap._tcp.站点名称._sites.dc._msdcs.DNS域名, c:_gc._tcp.DNS林名称, d:_gc._tcp.站点名称._sites.DNS林名称, e:_kerberos._tcp.DNS域名, f:_kerberos._tcp.站点名称._sites.DNS域名 (b),以为域控制器的TCP/IP设定问题,网络连接问题或DNS服务器的问题 排除登记失败的问题P.45第一台域控制器，顺便安装了DNS服务器，则“AD安装向导”会自动在此DNS服务器内建立一个支持此域的区域。若使用其他DNS服务器，则必须在建立域控制器前增加此区域步骤：（a）在DNS服务器上“正向查找区域”“新建区域” （b）在“欢迎添加区域向导”框中直接单击“下一步” （c）选择“主要区域”，若DNS服务器本身是域控，还可以将此区域的数据库存储到AD数据库，该区域被称为“AD集成的区域” （d）若是“AD集成区域”可选“只允许安全的动态更新”和“允许非安全和安全动态更新.”；若不是则选第二者。如果是域控制器（或域成员计算机）本身的设置有误或者是网络问题，造成它们无法将数据注册到DNS服务器，可以在问题解决后，通过重新启动这些计算机的方式来重新注册，或者使用以下的方法来手动注册：如果因为域控制器2. 检查AD数据库文件与SYSVOL文件夹 P.48AD数据文件与日志文件默认存储在%systemroot%ntds文件夹内。利用“开始”“运行”输入“%systemroot%ntds”来检查文件夹与文件是否已被正确建立。SYSVOL默认建立在“%systemroot%SYSVOL”文件夹内。利用“开始”“运行”输入“%systemroot%SYSVOL”来检查。3. 新增加的管理工具4. 查看事件日志文件管理本帐号和组，修改帐号安全策略 添加新用户（自己姓名拼音缩写）并将其隶属于Power User组 禁用GUEST帐户 重命名Administrator帐号 设置帐号密码必须满足复杂性要求 设置SAM数据库安全策略：对匿名连接采用“不允许枚举SAM帐号和共享” 设置用户连续登录失败3次则锁定30分钟 设置密码长度必须大于8 设置账户密码最长存留期为60天，最短存留期为10天2. 端口 禁止除SM