理论:
1.域(Domain):
域就是一些计算机的组合,也是安全的边界,那么如果计算机想要加入这个组合,处于安全的考虑,就需要对该计算机进行验证,如果通过,则可以进入,否则 不可进入, 那谁应该担任这验证的职责呢?这就出现来下一个概念:
2.域控(Domain Controller):
职责:负责每一台想要进入该域的电脑和用户的验证工作,相当于一个单位的门卫一样。
3.活动目录(AD):
活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别,仅仅是一个对象,是一实体;而目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,因为多台机上有相同的信息,所以在信息容氏方面具有很强的控制能力,正因如此,不管用户从何处访问或信息处在何处,都对用户提供统一的视图。
4.域名解析(Domain Name System)
每一个域名对应一个IP地址,所谓域名 通常是指我们所说的网址,计算机只有通过IP才能相互认识,为了便于记忆,出现了域名解析,也就是把域名解析为对应的IP地址。
5.动态主机设置协议(Dynamic Host Configuration Protocol, DHCP)
是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网路服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。
实践:
I.如何建域:(只能在server机器上,eg:win2k3 ,2k8,2k8 R2...)
1. 单击开始,单击运行,然后键入 dcpromo。
2. 单击确定以启动“Active Directory 安装向导”,然后单击下一步。
3. 单击“新域的域控制器”,然后单击下一步。
4. 单击“在新林中的域”,然后单击下一步。
5. 为新域指定完整的 DNS 名称。请注意,由于此过程用于实验室环境,并且您没有将该环境集成到现有的 DNS 基础结构中,因此可以为此设置使用一般名称,如 mycompany.local。单击下一步。
6. 接受域的默认 NetBIOS 名(如果使用步骤 6 中的建议,则它为“mycompany”)。单击下一步。
7. 将数据库和日志文件的位置设置为默认设置 c:/winnt/ntds 文件夹,然后单击下一步。
8. 将 Sysvol 文件夹的位置设置为默认设置 c:/winnt/sysvol 文件夹,然后单击下一步。
9. 单击“在这台计算机上安装并配置 DNS 服务器”,然后单击下一步。
10. 单击“只与 Windows 2000 或 Windows Server 2003 服务器或操作系统兼容的权限”,然后单击下一步。
11. 因为这是实验室环境,所以将目录服务还原模式的管理员密码保留为空。请注意,在完整的生产环境中,应使用安全密码格式设置此密码。单击下一步。
12. 检查并确认您选择的选项,然后单击下一步。
13. Active Directory 的安装将继续进行。请注意,该操作可能需要几分钟。
14. 出现提示时,重新启动计算机。计算机重新启动后,确认已经为新的域控制器创建了域名系统 (DNS) 服务位置记录。要确认已创建了 DNS 服务位置记录,请按照下列步骤操作: a. 单击开始,指向管理工具,然后单击 DNS 以启动 DNS 管理员控制台。
b. 展开服务器名称,展开正向查找区域,然后展开该域。
c. 确认 _msdcs、_sites、_tcp 和 _udp 文件夹已存在。这些文件夹和它们包含的服务位置记录对于 Active Directory 和 Windows Server 2003 的运行至关重要。
建域过程中常见问题:
Q1:出现下面对话框弹出属于正常,原因是该DC/DNS是域或林中第一个DC/DNS 。
Q2:Win2k或Win2k3安装过程中需要指定i386 文件夹的位置,OS〉=Win2k8 则不需要。
II. DNS table(了解所谓DNS 解析):
在DNS table 也就是 计算机和IP地址之间的对应关系。可以通过开始-〉管理员工具-〉DNS 查看,如下图:
如果删除该处的对应关系,则该机器虽在AD中存在:
但都会ping 不通:
