第12章创建域.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,创建,Windows 2003,域,12,安装活动目录,运行,dcpromo.exe,准备工作、指定信息,可利用自动应答文件来安装,AD,计算机上运行的是,Windows2003 S,、,E,、,DS,AD,数据库至少需要,200 MB,AD,数据库的事务日志文件，另需,50 MB,若为,DC,，,还需一定的空间,系统卷（,SYSVOL,）,文件夹，必须,NTFS,安装,TCP/IP,并且配置了,DNS,如果是在现存的,2003,网络上创建域，,那么还需要创建域所需的管理特权,活动目录安装准备,TCP/IP,NTFS,创建第一个域,（多媒体演示）,启动,AD,安装向导：,dcpromo.exe,选择域控制器和域类型,指定所需信息,域、,DNS,和,NetBIOS,名,AD,数据库、日志文件和共用系统卷,SYSVOL,的位置,选择权限：以前兼容,/2003,指定“,目录服务恢复模式,”管理员密码,AD,不启动，由,NT,的一个小,SAM,库来验证,AD,安装向导将,:,安装活动目录,AD,把计算机转换为域控制器,DC,添加附加域控制器,为了容错，一个域中至少两个,DC,在域中，一个以上的,DC,也可用来分布负载,登录请求、,GC,查询、其它服务,运行,Dcpromo.exe,加一个,DC,到已存在的域,AD,安装向导将,:,转换计算机为域控制器,DC,复制活动目录,AD,从一个已存在的,DC,至少有一个,DC,联机,使用无人值守安装脚本来安装活动目录,DCInstall,RebootOnSuccess,=Yes,DatabasePath,=C:,Winntntds,LogPath,=C:,Winntntds,SYSVOLPath,=C:,WinntSysvol,SiteName,=Default-First-Site-Name,ReplicaOrNewDomain,=Domain,TreeOrChild,=Tree,CreateOrJoin,=Create,DomainNetbiosName,=,gpmcse,NewDomainDNSName,=,DNSOnNetwork,=No,No,表示不利用已有的，为新域创建新的,DNS,AutoConfigDNS,=Yes,运行：,dcpromo.exe,/answer:,应答文件,1,实验,A,：,创建,Windows 2003,域,活动目录安装进程,配置参数,用户界面验证,管理员、,2003S/AS/DS,等,命名验证,AD,站点和服务,sitesdefault first site nameservers,s58,不可重名，否则,s58,将被删除,TCP/IP,配置验证,必须有效,IP,（,静态,/,动态）,DNS,：,必须动态更新的,DNS,否则将安装一个,DNS,和,NetBIOS,域名字的生效,必须唯一,NetBIOS,名字，有效,15,位,用户身份验证,新林，不需要,加入，需林管理员,文件位置的验证,SYSVOL,需,NTFS,有足够的空间,检查活动目录默认结构,Active Directory Users and Computers,C,onsole,W,indow,H,elp,A,ctive,V,iew,Active Directory Users and Co.,contoso.msft,8 objects,Name,Builtin,Computers,Domain Controllers,ForeignSecurityPrincipals,LostAndFound,System,Users,Builtin,Computers,Domain Controllers,ForeignSecurityPrincipals,LostAndFound,System,Users,Infrastructure,contoso.msft,Tree,默认的,Windows 2003,安全组,默认的计算机帐号存储位置,默认的,DC,的计算机帐号存储位置,外部安全原则：保存外部有信任关系的域的,SID,保存独立的对象,保存一些内置的系统设置,用户帐号和组帐号的默认位置,验证,SRV,记录，,DNS,验证系统卷,SYSVOL,，,WINNTSYSVOL,验证目录数据库和日志文件,WINNTNTDS,通过检查事件日志验证安装结果,SYSVOL,DNS,Database and Log Files,验证活动目录安装,12-7,执行后活动目录安装任务,验证活动目录安装,验证,SRV,资源记录,DNS,管理器,Nslookup,Ls-t,srv,域名,或,set type=,srv,验证,SYSVOL,Domain,、,staging,、,staging areas,、,sysvol,共享：,netlogon,sysvol,domainscripts,sysvol,sysvol,验证目录数据库和日志文件,Ntds.dit,edb,.*,res,*.log,实现,AD,集成区域,DNS,可利用,AD,存储和复制区域数据库,DNS,服务器,contoso.msft,区域,数据库,AD,集成区域,在,DNS,中使用,AD,集成区域,实现正向区域,实现反向区域,确保,AD,集成区域：安全更新,只有,AD,集成区域才可配置：仅安全更新,在,DNS,的,AD,集成区域使用：安全更新,这样你可以控制区域和资源记录的访问,DNS,服务器,contoso.msft,AD,集成区域,区域,数据库,安全更新,客户,转换域模式,本机模式,域控制器,DC(Windows 2003 only),混合模式,域控制器,DC,(Windows 2003),和,域控制器,DC(Windows NT 4.0),AD,安装后，运行在混合模式下，提供对已存在的,NT,域的支持,但组嵌套和安全通用组必需域在本机模式下,混合模式,本机模式,单向不可逆,操作,管理工具,AD,用户和计算机,/AD,域和信任,域,属性,常规,改变模式,设计组织单元,OU,结构,Users,Sales,Computers,如果你想要设计,OU,结构,增强管理控制,对网络资源委派管理控制,组织相似的网络资源到,OU,简单对象管理和控制网络资源的访问,使资源管理更有效,控制组策略的应用,使用“,AD,用户和计算机”在域,/OU,中建立一个,OU,权限要求,父：读，列表，创建子，列组件,实验,B,：,执行后活动目录安装任务,解决,AD,安装过程中出现的问题,在创建或添加,DC,的时候，访问被拒绝，,（新：本管，加：域管）,Err,or,DNS,或,NetBIOS,域名称不统一,Err,or,不能与域取得联系,Err,or,磁盘空间不足,Err,or,删除活动目录,域控制器,DC(Windows 2003),提供管理证书,Enterprise,Admins,组成员,Domain,Admins,组成员,删除活动目录,AD,删除活动目录通过：,Remove Active Directory by:,AD,安装向导,提供适当的管理证书,AD,安装向导，执行特定的删除操作依赖于,DC,的类型,