部署第一个域
在上篇博文中我们介绍了部署域的意义,今天我们来部署第一个域。一般情况下,域中有三种计算机,一种是域控制器,域控制器上存储着Active Directory;一种是成员服务器,负责提供邮件,数据库,DHCP等服务;还有一种是工作站,是用户使用的客户机。我们准备搭建一个基本的域环境,拓扑如下图所示,Florence是域控制器,Berlin是成员服务器,Perth是工作站。
部署一个域大致要做下列工作:
1 DNS前期准备
2 创建域控制器
3 创建计算机账号
4 创建用户账号
一 DNS前期准备
DNS服务器对域来说是不可或缺的,一方面,域中的计算机使用DNS域名,DNS需要为域中的计算机提供域名解析服务;另外一个重要的原因是域中的计算机需要利用DNS提供的SRV记录来定位域控制器,因此我们在创建域之前需要先做好DNS的准备工作。那么究竟由哪台计算机来负责做DNS服务器呢?一般工程师有两种选择,要么使用域控制器来做DNS服务器,要么使用一台单独的DNS服务器。我一般使用一台独立的计算机来充当DNS服务器,这台DNS服务器不但为域提供解析服务,也为公司其他的业务提供DNS解析支持,大家可以根据具体的网络环境来选择DNS服务器。
在创建域之前,DNS服务器需要做好哪些准备工作呢?
1 创建区域并允许动态更新
首先我们要在DNS服务器上创建出一个区域,区域的名称和域名相同,域内计算机的DNS记录都创建在这个区域中。我们在DNS服务器上打开DNS管理器,如下图所示,右键单击正向查找区域,选择新建一个区域。出现新建区域向导后,点击下一步继续。
区域类型选择“主要区域”。
区域名称和域名相同,是adtest.com。
区域一定要允许动态更新,因为在创建域的过程中需要向DNS区域中写入A记录,SRV记录和Cname记录。
区域创建完毕,点击完成结束创建。
2 检查NS和SOA记录
区域创建完成后,一定要检查一下区域的NS记录和SOA记录。在前面的DNS课程中,我们已经介绍了NS记录和SOA记录的意义,NS记录描述了有多少个DNS服务器可以解析这个区域,SOA记录描述了哪个DNS服务器是区域的主服务器。如果NS记录和SOA记录出错,域的创建过程中就无法向DNS区域中写入应有的记录。在DNS服务器上打开DNS管理器,在adtest.com区域中检查ns记录,如下图所示,我们发现ns记录不是一个有效的完全合格域名,我们需要对它进行修改。
如下图所示,我们把ns记录改为 ns.adtest.com.,解析出的IP地址和DNS服务器的IP是吻合的,这样我们就完成了ns记录的修改。
如下图所示,我们把区域的SOA记录也同样进行修改,现在区域的主服务器是ns.adtest.com.,这样SOA记录也修改完毕了。
至此,DNS准备工作完成,我们接下来可以部署域了。
二 创建域控制器
有了DNS的支持,我们现在可以开始创建域控制器了,域控制器是域中的第一台服务器,域控制器上存储着Active Directory,可以说,域控制器就是域的灵魂。我们准备在Florence上创建域控制器,首先检查Florence网卡的TCP/IP属性,注意,Florence应该使用192.168.11.1作为自己的DNS服务器。因为我们刚刚在192.168.11.1上创建了adtest.com区域。
如下图所示,在Florence上运行Dcpromo,开始域控制器的创建。
如下图所示,出现Active Directory安装向导,创建域控制器其实就是在Florence上安装一个Active Directory数据库,点击下一步继续。
Adtest.com是一个新创建的域,因为我们选择创建“新域的域控制器”。
如下图所示,我们选择创建一个“在新林中的域”,这个选项是什么意思呢?我们虽然只是简单地创建了一个域,但其实从逻辑上讲是创建了一个域林。因为域一定要隶属于域树,域树一定要隶属于域林。因为我们实际上是创建了一个域林,虽然这个域林内只有一棵域树,域树内只有一个树根。
输入域的DNS名称,adtest.com。
域的NETBIOS名称是ADTEST,由于.在NETBIOS名称中是非法字符,因为基本上域的NETBIOS名称就是域名中.之前的部分。
Active Directory数据库的路径我们使用了默认值,如果在生产环境,可以考虑把数据库和日志部分分开存储。
Sysvol文件夹的路径我们也使用默认值,至于Sysvol文件夹是干嘛的,我们后续会有介绍。
接下来Active Directory的安装向导会对DNS服务器进行检测,检查是否在DNS服务器上已经创建了和域名相同的区域,而且区域是否允许动态更新。如下图所示,DNS检测通过。注意,如果DNS检测有问题,我们应该及时排除故障,而不应该继续向下进行。
接下来要选择用户和组的默认权限,我们选择了不允许匿名用户查询域中的信息。
设置一下还原模式的管理员口令,我们从备份中恢复Active Directory时需要用到。
好,如下图所示仔细检查一下创建域的各项设置是否正确,如果没有问题我们就开工了!
如下图所示,Active Directory安装向导开始在Florence上安装Active Directory。
如下图所示,重启计算机后即可完成Active Directory的安装。
重启Florence后我们发现已经可以用域管理员的身份登录了,adtest.com域已经被成功创建了。
检查DNS服务器,我们发现DNS区域中已经自动创建了很多记录,这些记录的作用以后我们再来分析,现在大家只要注意检查一下创建域时有没有把这些记录创建出来,如果没有那就有问题了。
至此,我们完成了域控制器的创建,adtest.com域诞生了!
三 创建计算机账号
创建计算机账号就是把成员服务器和用户使用的客户机加入域,这些计算机加入域时会在Active Directory中创建计算机账号。创建计算机账号从操作上看非常简单,但其实背后涉及的东西很多,例如域控制器和加入域的计算机要共享一个密钥等等,这些内容我们在后期会为大家介绍。
以Berlin为例为大家介绍如何把计算机加入域,首先要确保Berlin已经使用了192.168.11.1作为自己的DNS服务器,否则Berlin无法利用DNS定位域控制器。
如下图所示,在Berlin的计算机属性中切换到“计算机名”标签,点击“更改”。
我们选择让Berlin隶属于域,域名是adtest.com。
这时系统需要我们输入一个有权限在Active Directory中创建计算机账号的用户名和口令,我们输入了域管理员的用户名和密码。
系统弹出一个窗口欢迎Berlin加入域,这时在Florence上打开Active Directory用户和计算机,如下图所示,我们发现Berlin的计算机账号已经被创建出来了。
四 创建用户账号
创建完计算机账号后,我们需要为企业内的员工在Active Directory中创建关联的用户账号。首先我们应该在Active Directory中利用组织单位展示出企业的管理架构,如下图所示,我们为大家演示一下如何创建一个组织单位。打开Active Directory用户和计算机,选择新建组织单位。
输入组织单位的名称,点击确定后一个组织单位就创建完成了,是不是很简单呢。
创建了组织单位后,我们就可以在组织单位中创建用户账号了,如下图所示,我们在人事部的组织单位中选择新建一个用户。
输入用户的姓名及登录名等参数,点击下一步继续。
输入用户密码,选择“密码永不过期”。
点击完成后我们就可以轻松地创建出一个用户账号。其实,用户账号中有很多的配置工作需要做,我们在后续的课程中会有一个专题为大家介绍。
目前为止,我们已经创建了一个域,也在域中创建了计算机账号和用户账号。那么,域的管理优势如何能够加以体现,目前这个域模型有没有什么缺陷呢?我们在下篇博文中将解决这个问题。
本文出自 “岳雷的微软网络课堂” 博客,请务必保留此出处http://yuelei.blog.51cto.com/202879/114661
部署第一个域:Active Directory系列之二
superzyc1、djjz、一切A现实
社区:
