《AD域管理员手册(共63页).doc》由会员分享,可在线阅读,更多相关《AD域管理员手册(共63页).doc(63页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上目录第一章 AD域概述目录服务是一种分布式数据库,用于存储与网络资源有关的信息,以便于查找和管理。Microsoft Active Directory 是用于 Windows 目录服务的实现。涉及目录服务的基本问题围绕着可以将哪些信息存储在数据库中,存储的方式是什么,如何查询特定的信息,以及如何对结果进行处理。Active Directory 包含目录服务本身,以及允许访问支持 X.500 命名规则的数据库的从属服务活动目录服务提供了单一登录的能力并且为你的整个网络架构提供了一个集中的信息知识库,它大大的简化了用户和计算机的管理并且提供了网络资源的更好的访问方式。1.
2、1 AD的逻辑结构网络的逻辑结构是由无形的项目组成的,如对象、OU、域、目录树和目录林。Active Directory 的基本结构块是对象,这是一个代表网络资源的已命名特定属性集。对象属性是目录中对象的特征。对象也可以按类进行分组,类是对象的逻辑分组。用户、组和计算机是不同对象类的例子。在最低一层,某些对象代表网络上的单个实体,如用户或计算机。这些实体称为叶对象,它们不能包含其它对象。但是,为了简化目录的管理和组织,可以将叶对象放在其它对象(称为容器对象)内部。容器对象也可以采用嵌套(或层次)形式包含其它容器。容器对象最常用的类型是组织单元 (OU)。可以使用 OU 将对象进行分类,并将域变
3、成某种类型的逻辑管理分组。尤其要注意的是,域中 OU 的结构和层次与任何其它域的结构无关。所有网络对象只能在一个域中存在(无论是叶对象还是容器对象)。为反映组织网络的特点,可以使用域将相关对象分成一组。每个创建的域仅存储所包含对象的信息,而不存储其它对象的信息。每个域表示一个安全边界。对每个域中对象的访问是由访问控制项 (ACE) 控制的,后者包含在访问控制列表 (ACL) 中。这些安全设置并不跨越域边界。在 Active Directory 中,域也可以称为“分区”。因为域是 Active Directory 数据库的物理分区,所以您既可以按照业务功能(人力资源、销售或财务),也可以按照位置
4、(地理或相对)建立其结构。当将相关域分成一组以便共享全局资源时,您就创建了“目录树”。尽管目录树可以只包含一个域,但是您可以将层次结构中相同名称空间的多个域合并在一起。可以使用基于 Kerberos 的安全功能,通过双向信任关系将目录树中的域透明地连接在一起。这些信任关系可以是永久性的,也可以是暂时的。目录树中的所有域共享所有对象类型的正式定义(称为“架构”)。此外,任何给定目录树中的所有域还共享全局编录 。GC 是目录树中对象的中央储存库。在最高一级,可以将单独的目录树分成一组形成“目录林”。可使用目录林,将组织中的不同部门,甚至不同组织组合到一起。这些部门不必共享相同的命名架构并且独立运作
5、,但彼此之间可以进行通信。目录林中的所有目录树共享相同的架构、全局编录和配置容器。再者,基于 Kerberos 的安全功能在目录树之间提供了信任关系。1.2 AD的物理结构AD域的物理结构主要由两大部分组成:域控制器以及站点域控制器就是存储活动目录的地方,一个域可以有一个或几个域控制器。在域中,各域控制器相互复制活动目录的改变,在目录林中,各域控制器相互之间也把信息自动复制给对方。站点(Site)是由一个或多个IP子网中的一组计算机,确保目录信息的有效交换,站点中的计算机需要很好地连接,尤其是子网内的计算机。站点和域名称空间之间没有必要的连接。站点反映网络的物理结构,而域通常反映用户单位的逻辑
6、结构。逻辑结构和物理结构相互独立,所以网络的物理结构及其域结构之间没有必要的相关性,活动目录允许单个站点中有多个域,单个域中有多个站点。如果配置方案未组织成站点,则域和客户之间的信息交换可能非常混乱。站点能提高网络使用的效率。1.3 WIN2003 AD新特性Windows Server 2003 对于活动目录进行了许多的改善,使得它功能更强大,更可靠也更经济。Windows Server 2003 中的活动目录提供了如下特性:更易于部署和管理Windows Server 2003增强了管理员的能力以使其即使在包含多个森林、域及站点的大企业中也能有效的配置和管理活动目录。改进的迁移和管理工具连
7、同重命名域的功能,使得部署活动目录任务明显简化。工具也提供了更加人性化的拖曳、多对象的选择以及保存和重用查询的功能。另外对组策略进行了改进以使其能够被更加简单和有效地在活动目录环境中对大量用户和计算机进行管理。l ADMT 2.0 版本 l 重命名域 l 架构(Schema)重定义 l 活动目录应用模式(AD/AM) l 组策略的改进 l 增强的用户界面更加安全额外的安全特性使得管理多森林和跨域信任关系更加容易。跨森林的信任关系是有别于现有Windows信任关系的新类型,它可以管理两个森林间的安全关系大大简化了跨森林的安全管理以及验证。用户可以在不用牺牲单一登录功能的情况下,访问其他森林的资源
8、,并且由于只需在用户所在的森林中维护它的用户ID和口令,因此管理也被大大的简化了。这对于一些需要在某些分公司或区域拥有自己森林的场景提供了更好的灵活性,同时也有利于对活动目录的维护。此外,Windows Server 2003提供了一个新的凭证管理器来放置用户的凭证以及X.509证书。软件控制策略使得管理员可以阻止用户在网络中安装不被允许的程序。l 跨森林验证l 跨森林授权 l 交叉认证的增强(Cross-Certification) l IAS和跨森林验证 l 凭证管理器(Credential Manager) l 软件限制策略改进的性能与可靠性Windows Server 2003能够更加
9、有效的管理活动目录的复制与同步。不管是在域内还是在域间管理员都可以更好地控制需要在域控制器间进行同步的信息类型。此外,活动目录提供了许多技术可以智能地选择只将那些发生了更改的信息进行复制,而不是机械地复制整个目录数据库。u 在远程办公室更容易登录 u 组成员列表复制的增强u 应用程序目录分区u 利用媒介安装副本 u 可靠性的改善 第二章 AD域的安装和卸载2.1 安装WIN2003 AD所有的新安装都是安装成为Member Server,如果您在新安装WIN2003 SERVER时选择安装了“活动目录”选项,则系统就会出现类似于“如果您此时安装活动目录则系统中的所有域名就不能再次改变”之类的提
10、示。一般情况下我们在新安装系统时不选择安装活动目录,以便我们有时间来具体规划与活动目录有关的协议和系统结构。目录服务都需要事后用Dcpromo的命令特别安装。Dcpromo是一个图形化的向导程序,引导用户一步一步地建立域控制器,可以新建一个域森林,一棵域树,或者仅仅是域控制器的另一个备份,非常方便。很多其他的网络服务,比如DNS Server、DHCP Server和Certificate Server等,都可以在以后与活动目录集成安装,便于实施策略管理等。这个图形化界面向导程序也没有什么特别之处,只要我们在前面理解好了活动目录的含义,并进行了安装前的一系列规划,则可以很容易完成所有的安装任务
11、。活动目录还充分地考虑到了备份和恢复目录服务的需要,WIN2K备份工具中有专门备份活动目录的选项,在出现意外事故的时候,可以在机器启动时按F8进入安全恢复模式,保证减少灾难的恶性影响。1、在“运行”菜单内键入“Dcpromo”,系统自动出现如下菜单:2、单击“下一步”按钮,打开“域控制器类型”对话框,选择“新域的域控制器”单选按钮,使服务器成为新域中的第一个域控制器。如果网上已有域控制器,可选择“现有域的额外域控制器”单选按钮。 3、单击“下一步”按钮,打开“创建目录树或子域”对话框,如果用户不想让新域成为现有域的子域,可选择“创建一个新的域目录树”单选按钮。如果用户希望新域成为现有域的子域,
12、可选择“在现有域目录树中创建一个新的子域”单选按钮。这里,选择“创建一个新的域目录树”单选按钮。4、单击“下一步”按钮,打开 “创建或加入目录林”对话框,如果所创建的域为单位的第一个域,或者希望所创建的新域独立于现有目录林,可选择“创建新的域或目录树”单选按钮。如果希望新的域目录树中的用户可访问现有域目录树中的资源,或希望现有域目录树中的用户访问新域目录树中的资源,可选择“将这个新的域目录树放入现有的目录林中”单选按钮。这里,选择“创建新的域目录树”单选按钮。5、单击“下一步”按钮,打开“新的域名”对话框,在“新域的DNS全名”文本框中输入新建域的DNS全名,例如。 6、单击“下一步”按钮,打
13、开所示的“NetBIOS域名”对话框,在“域NetBIOS名”文本框中输入NetBIOS域名,或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。 7、单击“下一步”按钮,打开“数据库和日志文件位置”对话框,在“数据库位置”文本框中输入保存数据库的位置,或者单击“浏览”按钮选择路径,在“日志位置”文本框中输入保存日志的位置或单击“浏览”按钮选择路径。注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上。 8、单击“下一步”按钮,打开 “共享的系统卷”对话框,在Windows 2000中,Sys.vol文件夹存放域的公用文件的服务器副本,
14、它的内容将被复制到域中的所有域控制器上。在“文件夹位置”文本框中输入Sys.vol文件夹位置,或单击“浏览”按钮选择路径。9、单击“下一步”按钮,如果用户没有配置名称为的DNS服务器,则系统会提示用户配置DNS服务器,单击“确定”按钮,即可打开“配置DNS”对话框。10、如果通过向导为新域安装和配置DNS服务器,选择“是,在这台计算机上安装和配置DNS(推荐)”单选按钮。如果要在安装活动目录之后再安装和配置DNS,可选择“否,我将自己安装并配置”单选按钮。11、单击“下一步”按钮,打开“Windows NT 4.0 RAS服务器”对话框,如果希望减弱Windows NT 4.0 RAS的访问权
15、限选择“是,减弱权限”单选按钮。如果不更改访问权限,选择“否,不要更改权限”单选按钮。12、单击“下一步”按钮,打开“摘要”对话框。通过该对话框,用户可检查并确认选定的选项。13、经过几分钟之后,配置完成。同时,打开“完成” Active Directory安装向导”对话框,单击“完成”按钮,即完成活动目录的安装,重新启动计算机,活动目录即会生效。2.2 确认AD的安装Active Directory 的成功安装是非常重要的。当执行升级后,通常可以通过验证以下各项来验证是否将服务器提升为域控制器。 2.2.1 默认容器默认容器:它们在创建第一个域时自动创建。打开 Active Director
16、y 用户和计算机,然后验证存在以下容器:计算机、用户和 ForeignSecurityPrincipals。默认的组织:该单元包含第一个域控制器,另外还用作新 Windows 2000 域控制器的默认容器。打开 Active Directory 用户和计算机,然后验证该组织单位。 默认站点:在将服务器提升为域控制器的过程中,Dcpromo.exe 程序会确定该域控制器可以成为哪个站点的成员。如果所创建的域控制器是新域控制器林中的第一个域控制器,则会创建一个名为“Default-First-Site-Name”的默认站点,而域控制器将成为该站点的成员,直至配置相应的子网和站点。您可以使用“Act
17、ive Directory 站点和服务”来验证此项。2.2.2 Active Directory 数据库Active Directory 数据库:Active Directory 数据库就是 Ntds.dit 文件。验证它是否存在于 %Systemroot%Ntds 文件夹中。全局编录服务器:默认情况下,第一个域控制器会成为全局编录服务器。若要验证此项,请执行以下操作:单击开始,指向程序,单击管理工具,然后单击 Active Directory 站点和服务。双击站点以将其展开,展开服务器,然后选择您的域控制器。双击域控制器以展开服务器内容。该服务器下会显示 NTDS 设置对象。右键单击该对象,
18、然后单击属性。默认情况下,常规选项卡上会显示已选中的全局编录复选框。2.2.3 根域验证根域:安装第一个域控制器时会创建目录林的根。在我的电脑中验证计算机的网络标识。计算机的域名系统 (DNS) 前缀应该与域控制器所属的域名相匹配。另外,确保计算机已注册正确的计算机角色。若要验证此角色,请使用 net accounts 命令。根据计算机是否为域中的第一个域控制器,计算机角色应显示“主”(primary)或“备份”(backup)。共享系统卷:Windows 2000 域控制器应该含有位于 %Systemroot%SysvolSysvol 文件夹中的共享系统卷。若要验证此项,请使用 net sh
19、are 命令。在安装过程中,Active Directory 还会创建两个标准的策略:“默认域”策略和“默认域控制器”策略(位于 %Systemroot%SysvolDomainPolicies 文件夹中)。这些策略显示为以下全局唯一标识符 (GUID):表示“默认域”策略的 31B2F340-016D-11D2-945F-00C04FB984F9 表示“默认域控制器”策略的 6AC1786C-016F-11D2-945F-00C04fB984F9 2.2.4 DNSSRV 资源记录:您必须装有为 Active Directory 安装并配置的 DNS 服务器和相关客户端软件,才能正常地工作。
20、Microsoft 建议使用 Microsoft DNS 服务器,它随 Windows 2000 Server 作为 DNS 服务器提供。但是,Microsoft DNS 服务器并不是必需的。您使用的 DNS 服务器必须支持服务资源记录 (SRV RR) 注释请求文件 (RFC) 2052 以及动态更新协议 (RFC 2136)。使用 DNS Manager Microsoft Management Console (MMC) 管理单元来验证为每个 DNS 区域创建了适当的区域和资源记录。Active Directory 在以下文件夹中创建其 SRV RR:_Msdcs/Dc/_Sites/D
21、efault-first-site-name/_Tcp_Msdcs/Dc/_Tcp在这些位置,将显示以下服务的 SRV RR: _kerberos_ldap2.3 自动卸载WIN2003 AD在卸载WIN2003的活动目录前必须检查以下各项,当都满足后在执行活动目录的降级工作。l 检查待降级服务器是否有操作主控l 检查待降级服务器是否是全局编目服务器l 检查待降级服务器是否与DNS通讯正常l 检查待降级服务器是否能与其他DC通讯l 检查是否能访问操作主控以及操作主控是否正常卸载具体操作步骤:1. 在 Run 文本框中,键入 dcpromo ,然后单击 OK。2. 会出现 Active Dire
22、ctory 安装向导。在欢迎屏幕单击 Next 。3. 将有一个选项选择此服务器为域中最后的域控制器。若选择此选项,向导会试图从林中删除该域。 不要选择此选项。单击 Next。 4. 在管理密码屏幕,输入并确认删除 Active Directory 后要分配给本地管理员帐户的密码。单击 Next。 5. 在摘要屏幕,确认信息正确,然后单击 Next 继续删除。 6. 向导继续进行删除 Active Directory。完成后,向导显示完成屏幕。单击 Finish 关闭向导。 7. 单击 Restart 重新启动域控制器。2.4 手动卸载WIN2003 AD如果使用dcpromo降级失败,我们尝
23、试可以使用dcpromo/removal对活动目录进行强制降级。但是强制降级是一个非常规过程,因此降级后需要对AD的信息进行清理。Active Directory 安装向导 (Dcpromo.exe) 用于将服务器提升为域控制器,以及将域控制器降级为成员服务器(或者在该域控制器是域中的最后一个域控制器时,将其降级为工作组中的独立服务器)。作为降级过程的一部分,此向导会将该域控制器的配置数据从 Active Directory 中删除。此数据的形式是“NTDS 设置”对象,在“Active Directory 站点和服务”中作为服务器对象的一个子对象存在。该信息位于 Active Directo
24、ry 中的以下位置:CN=NTDS Settings,CN=,CN=Servers,CN=,CN=Sites,CN=Configuration,DC=.“NTDS 设置”对象的属性包括:代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的名称上下文、域控制器是否为全局编录服务器,以及默认查询策略。“NTDS 设置”对象也是一个容器,其中可以包含代表域控制器的直接复制伙伴的子对象。该数据是域控制器在环境中运行所必需的,但域控制器降级后就不再使用该数据了。如果未正确删除“NTDS 设置”对象(例如,未从降级尝试中正确删除“NTDS 设置”对象),管理员可以使用 Ntdsutil.exe
25、 实用工具手动删除“NTDS 设置”对象。以下步骤列出了在特定域控制器的 Active Directory 中删除“NTDS 设置”对象的过程。具体步骤1. 单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。 2. 在命令提示符处,键入 ntdsutil,然后按 Enter 键。 3. 键入 metadata cleanup,然后按 Enter 键。根据所给出的选项,管理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数。 4. 键入 connections,然后按 Enter 键。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限,可以在建立
26、连接之前指定要使用的替代凭据。为此,请键入 set creds DomainNameUserNamePassword,然后按 Enter 键。如果密码为空,则键入 null 作为密码参数。 5. 键入 connect to server servername,然后按 Enter 键。然后出现一条确认消息,说明已成功建立该连接。如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。注意:如果尝试连接的服务器正是要删除的服务器,那么在尝试删除第 15 步提到的服务器时,将显示以下错误信息:Error 2094. The DSA Object cannot be
27、 deleted0x2094 6. 键入 quit,然后按 Enter 键。将出现清除元数据菜单。 7. 键入 select operation target,然后按 Enter 键。 8. 键入 list domains,然后按 Enter 键。将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号。 9. 键入 select domain number,然后按 Enter 键;其中 number 是与要删除的域相关联的编号。您选择的域用于确定要删除的服务器是否为该域的最后一个域控制器。 10. 键入 list sites,然后按 Enter 键。将显示一个站点列表,每个站点都有一个
28、关联的编号。 11. 键入 select site number,然后按 Enter 键;其中 number 是与要删除的域相关联的编号。将出现一条确认消息,其中列出了所选的站点和域。 12. 键入 list servers in site,然后按 Enter 键。将显示一个列出站点中所有服务器的列表,每个服务器都有一个关联的编号。 13. 键入 select server number,其中 number 是与要删除的服务器关联的编号。将出现一条确认消息,其中列出所选的服务器、该服务器的域名服务器 (DNS) 主机名,以及要删除的服务器的计算机帐户的位置。 14. 键入 quit,然后按 E
29、nter 键。将出现清除元数据菜单。 15. 键入 remove selected server,然后按 Enter 键。将出现一条确认消息,说明删除成功完成。如果出现以下错误信息:Error 8419 (0x20E3)The DSA object could not be found 则说明“NTDS 设置”对象可能已从 Active Directory 中删除,原因是其他管理员删除了该“NTDS 设置”对象,或者在运行 DCPROMO 实用工具成功删除对象后再执行一次此操作。注意:尝试绑定到要删除的域控制器时,也可能会出现此错误。Ntdsutil 必须绑定到要用 metadata clea
30、nup 删除的域控制器以外的其他域控制器。 16. 在每个菜单中键入 quit,退出 NTDSUTIL 实用工具。将出现一条确认消息,说明连接已成功断开。 17. 在 DNS 的 _msdcs.root domain of forest 区域中删除 cname 记录。假定要重新安装并重新提升 DC,因此使用新的 GUID 和 DNS 中匹配的 cname 记录来创建新的“NTDS 设置”对象。您不希望现有 DC 使用旧的 cname 记录。最佳做法是删除主机名和其他 DNS 记录。如果已超出为脱机服务器分配的动态主机配置协议 (DHCP) 地址上所剩的租用时间,另一个客户端即可获得问题 DC
31、的 IP 地址。 既然“NTDS 设置”对象已删除,因此可以删除计算机帐户、FRS 成员对象、_msdcs 容器中的 cname(或别名)记录、DNS 中的 A(或主机)记录、已删除的子域的 trustDomain 对象以及域控制器。 Windows 2000 Server 和 Windows Server 2003 的 Windows 支持工具功能中都附带有 Adsiedit 实用工具。要安装 Windows 支持工具,请按照下列步骤操作: Windows 2000 Server:在 Windows 2000 Server 安装光盘上,打开 SupportTools 文件夹,双击“Setup
32、.exe”,然后按照屏幕上的说明操作。 Windows Server 2003:在 Windows Server 2003 安装光盘上,打开 SupportTools 文件夹,双击“Suptools.msi”,单击“安装”,然后按照 Windows 支持工具安装向导中的步骤操作以完成安装。 1. 使用 ADSIEdit 删除计算机帐户。为此,请按照下列步骤操作: a. 单击“开始”,单击“运行”,在“打开”框中键入 adsiedit.msc,然后单击“确定”。 b. 展开“域 NC”容器。 c. 展开“DC=Your Domain Name, DC=COM, PRI, LOCAL, NET”。
33、 d. 展开“OU=Domain Controllers”。 e. 右键单击“CN=domain controller name”,然后单击“删除”。 如果在试图删除 DSA 对象时出现“DSA object cannot be deleted”错误信息,请更改 UserAccountControl 值。要更改 UserAccountControl 值,请在 ADSIEdit 中右键单击该域控制器,然后单击“属性”。在“请选择要查看的属性”下,单击“UserAccountControl”。单击“清除”,将该值更改为 4096,然后单击“设置”。现在您可以删除该对象了。注意:删除计算机对象时,也
34、将删除 FRS 订户对象,因为它是计算机帐户的子对象。 2. 使用 ADSIEdit 删除 FRS 成员对象。为此,请按照下列步骤操作: a. 单击“开始”,单击“运行”,在“打开”框中键入 adsiedit.msc,然后单击“确定”。 b. 展开“域 NC”容器。 c. 展开“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。 d. 展开“CN=System”。 e. 展开“CN=File Replication Service”。 f. 展开“CN=Domain System Volume (SYSVOL share)”。 g. 右键单击要删除的域控制器,然
35、后单击删除。 3. 在 DNS 控制台中,使用 DNS MMC 删除 DNS 中的 A 记录。A 记录也称为“主机”记录。要删除 A 记录,请右键单击 A 记录,然后单击“删除”。还要删除“_msdcs”容器中的 cname(也称为“别名”)记录。为此,请展开“_msdcs”容器,右键单击 cname,然后单击“删除”。重要说明:如果这是一台 DNS 服务器,请在名称服务器选项卡中删除对该 DC 的引用。为此,在 DNS 控制台中,在正向搜索区域下单击该域名,然后从名称服务器选项卡中删除该服务器。注意:如果有反向搜索区域,也要将服务器从这些区域中删除。 4. 如果删除的计算机是子域中的最后一个
36、域控制器,而且该子域也已删除,则使用 ADSIEdit 删除该子域的 trustDomain 对象。为此,请按照下列步骤操作: a. 单击“开始”,单击“运行”,在“打开”框中键入 adsiedit.msc,然后单击“确定”。 b. 展开“域 NC”容器。 c. 展开“DC=Your Domain, DC=COM, PRI, LOCAL, NET”。 d. 展开“CN=System”。 e. 右键单击“Trust Domain”对象,然后单击“删除”。 5. 使用“Active Directory 站点和服务”删除域控制器。为此,请按照下列步骤操作: a. 启动“Active Director
37、y 站点和服务”。 b. 展开“站点”。 c. 展开服务器的站点。默认站点为“Default-First-Site-Name”。 d. 展开“服务器”。 e. 右键单击域控制器,然后单击删除。 另外,请考虑以下几点: 如果删除的域控制器曾经是一台全局编录服务器,请评估指向这台脱机全局编录服务器的应用程序服务器是否必须指向一台活动的全局编录服务器。 如果删除的 DC 曾经是一台全局编录服务器,请评估是否必须提升其他全局编录,以解决站点、域或林全局编录的负载问题。 如果删除的 DC 曾经担任 Flexible Single Master Operation (FSMO) 角色,请将这些角色重新分配
38、给一台活动 DC。 如果删除的 DC 曾经是一台 DNS 服务器,请更新所有成员工作站、成员服务器以及其他可能使用过这台 DNS 服务器进行名称解析的 DC 上的 DNS 客户端配置。如果需要,请修改 DHCP 作用域,以反映出 DNS 服务器已删除。 如果删除的 DC 曾经是一台 DNS 服务器,请更新所有其他可能指向该 DC 以进行名称解析的 DNS 服务器上的转发器设置和委派设置。第三章 基本配置3.1 划分OU组织单位用于组织树中的对象,也作为管理边界。将OU作为组件可创建不同种类的结构.通常来说,划分OU有几个原则就是根据组织、职能以及地域进行划分。要创建一个OU,使用位于管理工具组
39、的活动目录用户和计算机工具。右击想创建新的OU所在的层,并选择“新建”,然后是”组织单位”看到如图所示的窗口为新的组织单位提供一个名字,然后单击确定按钮。2、创建用户要创建一个用户账户,使用位于管理工具组的活动目录用户和计算机程序。右击想放置用户账户的容器,然后选择新建-用户,如图所示。在此,键入用户的名,姓和登录名。单击下一步。为用户分配第一个口令,并针对该账户设置几个选项。该过程的最后一个屏幕是确认选择,单击完成以结束账户的创建3.2 站点管理Active Directory 站点对象代表 Internet 协议 (IP) 子网集合,通常情况下,该集合构成一个物理局域网 (LAN)。通过站
40、点链接对象连接多个站点进行复制。管理 Active Directory 中的站点包括在网络增大时添加新子网、站点以及站点链接对象,还有为站点链接配置进度表和成本。可修改站点链接进度表、成本,以优化站点间的复制。当再不需要对站点进行复制或客户端不再需要使用这些站点查找网络资源时,则可从 Active Directory 中删除此站点及关联的对象创建站点对象具体步骤1. 在 Active Directory 站点和服务上,鼠标右键单击 Sites 容器,然后单击 New Site。2. 在 Name 框中,键入站点名。3. 在 Link Name 列表中,单击此站点的站点链接,然后单击 OK。4.
41、 在 Active Directory 消息框中,读信息,然后单击 OK使 IP 地址范围与站点相关联1)创建子网对象或对象并使其与新站点相关联 创建子网对象,必须有以下信息: 子网要关联的站点。 范围内的网络地址或任何 IP 地址。 子网掩码。2)Active Directory 站点和服务将此信息转至子网地址。1. 在 Active Directory 站点和服务上,展开 Sites 容器。 2. 鼠标右键单击 Subnets,然后单击 New Subnet。 3. 在 New Object - Subnet 对话框的 Address 框中,键入子网的网络地址或 IP 地址范围内的任何 I
42、P 地址。 4. 在 Mask 框中,键入子网掩码。 5. 在 Site Name 框中,单击此子网关联的站点,然后单击 OK。 使现有子网对象与站点相关联1. 在 Active Directory 站点和服务上,展开 Sites 容器,然后单击 Subnets 容器。2. 在详细信息窗格,鼠标右键单击要与站点关联的子网,然后单击 Properties。3. 在 Site 框中,单击此子网关联的站点,然后单击 OK。3.3 建立域间信任域之间的信任关系建立了一个信任通信路径,通过这条路径,一个域中的计算机可与另一个域中的计算机进行通信。信任关系允许位于被信任域中的用户访问信任域中的资源。信任通
43、常需要有限管理具体步骤1. 与另一域的管理员就建立信任所用的安全信道密码达成一致。2. 在第一域,以域管理成员身份登录。3. 在 Active Directory 域和信任,展开 ,然后鼠标右键单击 。4. 单击 Properties,然后单击 Trusts 选项卡。5. 在 Domains trusted by this domain 框旁边,单击 Add。 6. 在 Trusted domain 框中,键入被信任域名。 若添加 Windows 2003 域,键入完整的 DNS 名。若域运行的是 Windows 的早期版本,则键入域名。 7. 在 Password 框中,键入约定密码。 8.
44、 在 Confirm password 框中,再次键入密码,然后单击 OK。 9. 出现消息显示信任无法验证。单击 OK。10. 在 Domains that trust this domain 框旁边,单击 Add。 11. 在 Trusting domain 框中,键入信任域名。若添加 Windows 2000 域,键入完整的 DNS 名(此例中为acquired01- )。若域运行的是 Windows 的早期版本,则键入域名(此例中为acquired01-int )。 12. 在 Password 框中,键入约定密码。 13. 在 Confirm password 框中,再次键入密码,然
45、后单击 OK。 14. 出现消息询问是否验证信任。单击 Yes。 15. 单击 OK 关闭 Properties 工作表。3.4 防病毒软件排除从扫描的文件和文件夹中排除以下文件和文件夹。这些文件并未处于受影响的风险中,由于文件锁定和域控制器之间的过多复制,包括这些文件在内都可能会导致严重的性能问题。而且,它们还可能导致 Active Directory 和 FRS 无法正常工作,也可能导致 Active Directory 或 FRS 数据丢。如果通过名称可标识指定的文件,则可只排除这些文件,而非整个文件夹。在某些情况下,必须排除整个文件夹。不要排除基于文件名扩展的任何文件(即,不要排除带有
46、 .dit 扩展名的所有文件)。Microsoft 没有控制可能选择使用与此处所示相同的扩展名的其他文件。AV 软件 必须不能 修改任何日志中的数据文件,和/或以下指定的 DSA 工作目录。 主要 NTDS 数据库文件。这些文件的位置指定为:HKLMSystemServicesNTDSParametersDSA Database File默认位置为 %windir%ntds。要排除的文件为:NTDS.dit。 Active Directory 事务日志文件。任一给定服务器上的日志目录指定在:HKLMSystemServicesNTDSParametersDatabase Log Files Path默认位置为 %windir%ntds。指定的将要排除的文件为:EDB*.log(注意这里的通配符可有几个)RES1.log RES2.log NTDS 工作文件夹指定在:HKLMSystemServicesNTDSParametersDSA WorkingDirectory要排除的指定文件为:TEMP.edbEDB.chk SYSVOL 文件 FRS 工作目录指定在:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNtFrsParametersWorking Directo