WindowsServer2003域网络建立终结篇.doc

Windows Server 2003域网络建立终结篇 21 DNS和活动目录DNS（Domain Name System 域名解析系统）是一个 Internet 的标准服务，它可以将域名如 翻译成计算机能够识别的二进制的 TCP/IP 地址。Windows 2000/2003 的域名是以 DNS 分层命名结构为基础的，这是一个颠倒的目录树结构：单个根域，以下可以是父域和子域（枝和叶）。例如，诸如 的 Windows 2000/2003 域名识别名为 “child” 的域，此域是名为 “parent” 域的一个子域，而 “parent” 域自身又是根域 的一个子域。域中的每台计算机依靠其完整的合格域名识别。位于 域中计算机的完整合格域名应是 。2.1.1 DNS和活动目录的关系活动目录使用域名服务DNS作为它的定位服务，同时也对标准的DNS作了扩充。在活动目录中使用DNS的最大好处在于，我们可以使Windows 2000域与Internet上的域统一起来，即Windows域名也是DNS域名。DNS为活动目录网络提供了下列主要功能：1.名称解析。 DNS通过将计算机的全称域名（FQDN）转化为IP地址来提供名称解析，以便计算机之间的相互定位、查询和访问。2.域命名约定。 AD使用DNS的命名管理约定来命名Windows的域名。在Windows2000的网络中，DNS域和活动目录域共享一个公共的分层命名结构。3.定位活动目录的物理组件。 DNS通过SRV（服务资源记录）来标识域控制器。当有验证登录请求或执行一个活动目录查询时，客户机可以通过询问DNS以查询提供服务的域控制器。DNS与活动目录的关系DNS和活动目录集成目录服务是微软Windows 2000/2003的一个关键特性。DNS和活动目录的关系如下：1.AD和DNS使用相同的命名层次结构，共享相同的域名，故域和计算机可以使用DNS的节点和AD的对象来表示。2.AD和DNS存储了同一物理对象的不同信息，从而代表了两 个不同的域名空间。DNS存放资源记录（如域名和IP的映射）；AD存放资源对象（如计算机、用用户、组以及其相应的属性等）。3.AD使用DNS来帮助搜索资源，AD必须要依靠DNS，用户用DNS来查询DC以使AD提供服务；DNS可以不依靠AD，它只是AD中的一个必须的工具而已。2.1.2 服务资源记录Active Directory 将 DNS 用作域控制器定位机制，使计算机能找到域控制器的 IP 地址。为查找特定域或目录林中的域控制器，客户端向 DNS 查询相应的服务位置 (service location , SRV) 和地址 (address , A) 资源记录。这些 DNS 资源记录提供域控制器的名称和 IP 地址。因此，用于支持 Active Directory 部署的 DNS 服务器必须支持 SRV 记录。而且，Microsoft 极力推荐这些 DNS 服务器也支持动态更新。域控制器动态注册域控制器定位机制成功运行所必需的 DNS 记录。服务资源记录的功能当DC启动后，Netlogon service会自动在DNS Server中注册SRV记录。SRV记录有以下功能：1.服务记录的信息将服务名和DNS的提供该服务的域控制器的计算机名连接起来。2.服务记录允许允许客户机通过DNS查找提供特定活动目录服务的服务器。SRV资源记录可以标识：1.在特定的域和森林中的域控制器。2.在同一个站点作为客户机的域控制器。3.注册成为全局目录服务器的域控制器。4.注册成为Kerberos KDC服务器的域控制器。服务资源记录使用的格式所有服务资源记录使用下列格式：_service-P ttk class SRV priority weight port target例：_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft. 下表给出了服务记录中每个字段的描述：定位域控制器当域控制器开始启动以及在运行过程中是周期性的，该域控制器的Netlogon服务会使用动态 DNS（DDNS）公布它的DNS SRV记录。此SRV记录描述了该域控制器提供的服务。例如：Kerberos 认证、轻量级目录访问协议以及AD 全局编录（Global Catalog，GC）查找。由于域控制器使用分层次结构的SRV记录，所以这就为工作站定位所属站点或者所属域提供了便利。图 2-1 SRV记录的命名层次结构如图2-1显示了SRV记录的命名层次结构。从其结构图中我们发现它的结构与Windows 2000/2003的DNS层次结构十分相似。这种结构的好处之一就是，工作站可以在不需要了解所需服务具体参数的情况下快速搜索。例如：要在域森林中查找全局编录的服务器，只需要在搜索条件中指定域森林的名称和协议类型（可以使用forestname._tcp来搜索_gc SRV记录），这个搜索将返回指定域内所有全局编录服务器的SRV记录。如果工作站已经知道AD站点的名称，可以使用 forestname._sites.sitename._tcp来搜索_gc SRV记录，这个搜索将返回指定站点内的全局编录服务器的SRV记录。在 DNS中周期性地公布SRV记录对于工作站快速定位域控制器有很大帮助。当工作站被认证属于某一个域后，工作站就需要在该AD站点中选择一个域控制器。工作站上运行的Netlogon进程将控制整个认证过程。作为Netlogon组件之一的DC Locator负责为工作站定位域控制器。早期版本Windows中的DC Locator使用WINS来定位域控制器，在Windows 2000以及其他AD工作站中都使用搜索SRV记录的方法定位域控制器。在工作站第一次被认证之前，它不知道自身所在的站点。所以此时工作站的第一个任务就是查找域内的所有域控制器。工作站首先向本机TCP/IP设置中的主DNS服务器发出搜索请求，在 _tcp.dcs._msdcs.domainname内搜索_ldap SRV记录。如果该DNS服务器没有响应，工作站将会向辅DNS服务器发出请求。DNS服务器在收到查询请求后，会向工作站返回域内所有域控制器的列表。收到列表后工作站对所有记录初始化低优先级的值，之后依次AD Ping（一个基于UDP的LDAP查询命令）每个域控制器。如果域控制器没有在十分之一秒内响应，工作站会继续测试下一个，依次类推，直到有一个域控制器响应。当域控制器收到来自工作站的AD Ping，域控制器在返回之前需要对两个重要信息进行判断。首先，域控制器需要判断与工作站最近的站点。如何判断？域控制器使用内存中保留的站点和子网的 IP地址与AD Ping的源IP地址相比较。然后，域控制器判断自身是否处于该站点（同样从IP地址对比的角度）。最后将这些信息和该域控制器所处站点的名称以一个 UDP数据报返回给工作站。工作站在接收到响应后，检查回应的域控制器是否位于最近站点中。如果是，就将该工作站所属的站点信息保存到注册表“HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet ServicesNetlogonParameters”下的“DynamicSiteName”子键中，并且将该域控制器作为将来提供认证服务的提供者。如果域控制器返回的信息表明它不在最近的站点中，工作站就使用所提供的站点名称向DNS服务器请求此站点内域控制器的列表。向 _tcp.sitename.sites.dc._msdcs.domainname区域查找_ldap SRV记录。DNS服务器根据指定的站点名称返回域控制器列表。之后工作站将再次重复，在收到列表之后对所有记录设置低优先级值，依次AD Ping域控制器，直到有域控制器在十分之一秒内响应。如果在工作站所处站点中没有一个域控制器响应，那会怎样？在这种情况下（当然我们希望这种情况最好永远别发生），工作站将尝试与任何能够通讯的域控制器联系。2.1.3 AD集成区域当在Windows 2000/2003中实现了DNS，就可以把活动目录中的服务当作数据存储和复制的引擎来使用，也即将DNS和AD集成在一起，将DNS的区域类型更改为“活动目录集成区域”。图 2-2 活动目录集成区域DNS和活动目录集成区域的好处之一就是能够将DNS的域和活动目录数据结合起来。主DNS区域也将作为对象存储在活动目录数据库。而且当DNS进行区域文件数据库的复制时，也将随着AD的复制而进行。活动目录集成区域也须在一台域控制器上才能创建，它具有有以下的优点：1. 消除了主DNS服务器作为单个失败点而带来的不足。DNS复制是单个主控，它依靠主DNS服务器来更新所有其它辅助服务器。而活动目录复制是多主控复制，因此可以对任何服务器进行更新，更改将复制给其它的域控制器。因此如将DNS区域和活动目录进行集成，活动目录复制将总会同步DNS信息。2.能够进行安全可靠的动态更新。因为DNS区域在活动目录集成区域中是活动目录对象，在那些区域的记录中可以设置权限来控制哪台计算机可以动态的更新。因此使用安全的动态更新协议的更新将仅来自那些授权的计算机，如域中的计算机。3.对那些没有注册为域控制器的DNS服务器执行标准区域传送。必须使用标准区域传输来把区域复制到其它域中的DNS服务器。22 创建域Active Directory 服务部署由一个或多个林组成，每个林又包含一个或多个域。在网络中创建初始域控制器 （DC）时，就会在林中创建第一个域；域必须至少包含一个域控制器。创建的第一个域是第一个林的根域。同一域林中的其他域可以是子域或树根域。同一域树中位于一个域的上方与其紧邻的域被视为该域的父域。域用来实现各种网络管理目标，如构造网络、划定安全范围、应用组策略以及复制信息等。Active Directory 允许将域控制器用作对等计算机；因此，客户端可通过域中的任何域控制器来更新 Active Directory。这与 Windows NT Server 主域控制器 （PDC）和备份域控制器 （BDC） 所扮演的读写/只读角色具有非常大的差异。Windows NT Server 域系统支持单主机复制，它要求所有更改都必须在 PDC 上进行。Windows 2000/2003 操作系统支持多主控复制；域中的所有域控制器都可以接收对象更改，并且可以将这些更改复制到该域中的所有其他域控制器。默认情况下，在林中创建的第一个域控制器是全局编录服务器，它包含所在域的目录中所有对象的完整副本，还包括林中所有其他域的目录中存储的所有对象的部分副本。在域控制器之间复制 Active Directory 数据有助于提高信息可用性、容错性、负载平衡和性能。在单元中，您可以通过安装多个域控制器，充分利用多主机模型提供的更好的容错性能。即使某个域控制器停止工作，也不会影响 Active Directory 的可用性。2.2.1 安装前的准备域是Windows 2000/2003网络中的核心管理单元。在Windows 2000/2003中，域用来限定信息和资源的组织与管理方式。在活动目录中创建的第一个域是整个目录林的根域或目录林的根。在Windows 2000网络上第一次安装活动目录时，需要在新目录林中创建第一个域控制器，同时也就创建了根域。安装Windows 2000活动目录的系统要求：在利用活动目录安装向导安装活动目录之前，必须确保计算机系统满足安装活动目录所需的所有要求：1.计算机上运行的是Windows 2000 Server、Windows 2000 Advanced Server、Windows 2000 Datacenter Server（即服务器版的Win2000操作系统）；2.用于活动目录数据库的最小磁盘空间200MB，另外还需要附加的50MB的空间用于活动目录数据库的事务日志文件。如果域控制器同时也作为全局目录服务器，则还需要额外的空间。3.必须有一个NTFS文件系统格式化的分区或卷，这是系统卷（Sysvol）文件夹所必需的；4.如果DNS服务器不是本机，那么应把将要安装活动目录的服务器作为DNS的客户端（安装并配置成可以使用DNS的TCP/IP）；5.如果是在现存的Windows 2000网络上创建域，那么还需要有创建域所需的管理特权。安装活动目录的方法可以采用以下两种方法来安装活动目录：1. 采用Dcpromo.exe命令进行常规安装。2. 采用无人值守的安装脚本安装。安装命名为：Dcpromo.exe /answer:answerfile （其中answer file是解答文件的名字。此文件有相关安装信息，详细资料参考Windows2000 Advanced Server CD中的SupportTools里面）。应答文件的准备当要选择无人参与的安装脚本进行活动目录安装，就应先做好一个应答文件。活动目录安装向导的应答文件只包含一个部分：DCIstall。安装向导中的每个操作都会用到这个文件中的具体参数。如果没有指定具体的参数值，就会使用默认参数值。应答文件示例如下：UnattendedDcinstallRebootonsuccess=yes (计算机安装完毕后需要重启动)Databasepath=d:winntNtds （数据库路径）Logpath=d:winntNtds （日志文件路径）Sysvolpath=e:winntsysvol （系统卷路径）Sitename=site1 （站点名）ReplicaorNewDomain=Domain （复制或新域，此处选新域）TreeorChild=Tree （目录树或子域，此处选新建一个目录树）CreatorJoin=Creat （创建或添加，此处选择创建）DomainNetBIOSName=esstest （域的Netbios名）NewDomainDnsName= （新域的DNS名）DnsonNetwork=Yes （利用网上原有的DNS配置）AutoconfigDNS=No （在安装过程中不配置DNS）2.2.2 域控制器的创建网络环境简述：网络中有一台DNS服务器（计算机名为ESS-ISA-0A），现准备将其升级为DC，同时将网络中另一台成员服务器ESS-DC-11升级为附加的域控制器。下表列出了各个计算机的TCP/IP配置：DNS的基本配置由于网络中已存在DNS服务器，在创建域前，我们先在上面为域创建区域和主机记录。创建过程如下：1、在【管理工具】 => 【DNS】中打开DNS管理控制台。然后在正向搜索区域中选择【新建区域】。如图2-3所示。2、在【区域名】对话框中，输入新建区域的域名：。然后点击【下一步】按钮，选择区域类型为标准主区域，然后按默认设置完成区域的创建。如图2-4所示。3、在区域的属性中，将区域设置为【允许动态更新】。如图2-5所示。4、在的区域中，为即将升级的为DC的计算机建立一条主机记录，如图2-6所示。图 2-3 新建区域图 2-4 输入区域名称图 2-5 设置允许动态更新图 2-6 建立主机记录建立第一个域控制器网络上第一次安装活动目录就是在创建目录林的根域。活动目录的安装向导将逐步引导你指定新域控制器所需的信息。在创建第一个DC的时候，也会创建下列的目录分区，并通过复制从而复制到以后创建的其它DC上。1.架构目录分区。 包含架构容器，用来存储所有现存的和可能创建的AD对象和属性的定义。在目录林中复制。2.配置目录分区。 包含配置容器，用来存储整个目录林的所有配置对象，如站点、服务和目录分区等信息。在目录林中复制。3.域目录分区。 包含域容器，如，用来存储用户、计算机、组和其它Windows2000域所要求的具体对象。在同一个域中复制。按下列步骤创建根域：1、在计算机ESS-ISA-01上，选择【开始】 => 【运行】，然后在运行对话框中输入dcpromo.exe命令，进入到活动目录安装向导。2、在【域控制器类型】对话框中选择【新的域控制器】；在【创建目录树或子域】对话框中选择【创建一个新的目录树】；在【创建或加入目录林】选项中，选择【创建新的域目录林】。如图2-7所示。图 2-7 创建新的域控制器3、在【新的域名】对话框中，输入在DNS中为之建立的区域名：。然后在域NetBios名中保留ESSTEST名。如图2-8所示。图 2-8 输入新域的DNS全名4、在【共享的系统卷】选项中，将文件夹位置放到一个NTFS文件系统的分区或卷上。如图2-9所示。图 2-9 将Sysvol文件夹放在一个NTFS分区或卷上5、在【配置DNS】对话框中，选择【否，我将自己安装并配置DNS】。如图2-10所示。图 2-10 配置DNS6、在【目录服务恢复模式的管理员密码】中，输入相应的口令，以便在将来AD受到破坏时，可以通过这个口令进入到目录服务恢复模式进行对AD的恢复。如图2-11所示。图 2-11 设置目录恢复模式口令7、以上设置完成后，将进行活动目录的安装配置。配置完毕后，重启计算机，登录到域中。8、展开DNS管理控制台，在区域的属性对话框中，将区域类型更改为【Active Directory 集成的】，在【允许动态更新】选项中选择【仅安全更新】。如图2-12所示。图 2-12 设置活动目录集成区域添加复制域控制器在要域控制器意外脱机的情况下具有容错性，就需要在一个域中至少有两个域控制器。当有多个域控制器时，可以通过复制来保护活动目录中的一致性，也可以保证登录请求、全局目录查询和共它域控制器提供的服务在进行的时候不会出现单个域控制器过载的现象。可以按下列步骤把一个域控制器加入到现存的域上：建立一个附加的域控制器：1、在计算机ESS-DC-01上，选择【开始】 => 【运行】，然后在运行对话框中输入dcpromo.exe命令，进入到活动目录安装向导。2、在【域控制器类型】对话框中选择【现有域的额外域控制器】，然后单击【下一步】按钮进行继续安装。如图2-13所示。图 2-13 添加复制域控制器3、在【网络凭据】对话框中，输入“Administrator”作为用户名，然后输入管理员密码，并键入作为域名，然后单击【下一步】按钮。如图2-14所示。图 2-14 提供网络凭据4、在【额外的域控制器】对话框上，输入作为域名称，在【NetBIOS 域名】对话框中，接受默认值ESSTEST。5、在数据库和日志位置对话框上，接受默认值，在【共享的系统卷】，将文件夹存放于一个NTFS文件系统的分区或卷上。 并按照默认设置完成余下的安装。6、安装完毕后，选择【管理工具】 => 【Active Directory用户和计算机】，展开所创建的域，在容器Domani Controllers中，可以看到在域中已存在两台域控制器。如图2-15所示。图 2-15 活动目录管理工具2.2.3 将工作站加入到域中 当完成第一台域控制器的创建后，就可以将网络中的其它工作站加入到域中，从而形成域管理的网络模式。将一台工作站加入到域中过程如下：1、以本机管理员身份登录到客户机Clinet1上，在我的电脑属性对话框中，选择【网络标识】，然而点击【属性】按钮。2、在【标识更改】对话框中，修改【隶属于】选项，并输入域名，然后点击【确定】按钮。如图2-16所示。图 2-16 将一台计算机加入到域中3、在出现的【域用户名和密码】对话框中，输入要加入的域的管理员的凭证。4、当出现欢迎加入域的网络标识消息框时，表示工作站已成功加入到域中。5、重启客户机Client1，进入登录界面时，以域用户身份登录，并选择登录到域中。登录成功后，用户将访问域中的资源。如图2-17所示。图 2-17 选择登录到域中23 域和林功能级别在活动目录安装和域创建完毕后，域和活动目录都处于Windows 2000混合模式下运行，这是默认的域模式。混合模式的域对于Windows 2000或Windows NT 4.0的域控制器都能支持。但由于要兼容Windows NT 4.0的域控制器功能，所以Windows 2000域网络的功能不能完全实现。如远程访问策略的控制、组嵌套和通用安全组的建立等，都只能在Windows 2000纯模式（本机模式下）实现，在混合模式下这些功能无效。而Windows Server 2003 Active Directory 中引入的域和林的功能提供了在您的网络环境中启用域或林范围的 Active Directory 功能的一种方法。根据您和环境，提供了不同级别的域功能和林功能。如果您的域或林中的所有域控制器都运行 Windows Server 2003 并且功能级别设置为 Windows Server 2003，那么可以使用域和林范围的所有功能。2.3.1 域功能级别域功能可启用影响整个域或只影响该域的功能。有四个域功能级别，它们是：Windows 2000 混合（默认）、Windows 2000 本机、Windows Server 2003 临时和 Windows Server 2003。默认情况下，域以 Windows 2000 混合功能级别操作。下表列出了域功能级别以及相应的所支持的域控制器。一旦提升域功能级别之后，就不能再将运行旧版操作系统的域控制器引入该域中。例如，如果将域功能级别提升至 Windows Server 2003，则不能再将运行 Windows 2000 Server 的域控制器添加到该域中。下表描述了为三种域功能级别启用的域范围的功能。2.3.2 林功能级别林功能可启用跨越林内所有域的功能。有三种林功能级别，它们是：Windows 2000（默认）、Windows Server 2003 临时和 Windows Server 2003。默认情况下，林工作在 Windows 2000 功能级别。可以将林功能级别提升到 Windows Server 2003。下表列出了林功能级别以及相应所支持的域控制器：一旦提升林的功能级别之后，就不能再将运行旧版操作系统的域控制器引入该林中。例如，如果将林功能级别提升至 Windows Server 2003，则不能再将运行 Windows 2000 Server 的域控制器添加到该林中。如果您正在升级第一个 Windows NT 4.0 域以便使其成为新 Windows Server 2003 林中的第一个域，则可以将域功能级别设置为 Windows Server 2003 临时。下表描述了为 Windows 2000 和 Windows Server 2003 林功能级别启用的林范围的功能。2.3.4 实现Windows Server 2003域功能级别的提升可以按下列步骤实现Windows Server 2003域功能级别的提升：1、选择【管理工具】 =>【Active Directory域和信任关系】。2、右击域，在出现的菜单中选择【提供域功能级别】。在出现的对话框中，选择将要提升到的级别，然后单击【提升】按钮。如图2-18所示。图 2-18 提升域功能级别24 验证活动目录的安装活动目录安装完成以后，应该验证目录数据库文件、SYSVOL文件夹和DNS资源记录都已创建完成，这样活动目录才能正常工作。验证SRV资源记录活动目录安装完成以后，新的域控制器在启动时会把SRV资源记录注册到DNS数据库中。用nslookup命令来验证SRV资源记录是否注册成功：在命令提示行下，输入nslookup命令；回车后输入ls -t SRV domainname命令，此时如果返回了一系列注册的SRV记录，表示SRV记录工作正常。利用DNS管理单元来验证SRV资源记录是否注册成功：在DNS管理控制台中，展开正向搜索区域中的相应区域，在域名下面的将出现下列的子域：_msdcs、_sites、 _tcp、 _udp如果SRV资源记录不出现，可开打开命令提示符，输入net stop netlogon以后回车，再输入net start netlogon命令进行强制注册SRV资源记录。验证SYS