设置Active Directory域
Duwamish Online
Aaron Ching
Microsoft开发人员网络
2000年12月
本页主要标题:
内容提要:本文提供了有关Microsoft Active Directory技术的概括性资料以及针对像DuwamishOnline.com这样的Web区设置Active Directory域的分步操作指导。
简介 | |
|
在针对Microsoft® Windows® 2000 Server操作系统所实施的多项重大改进中,Microsoft Active Directory?不仅是最为重要、而且也是最容易遭到混淆的技术特性。与其前身(Microsoft Windows NT®操作系统早期版本中所配备的域控制器)相比,内建于Windows 2000 Server的Active Directory提供了一种崭新的体系结构和一整套得到进一步扩展的功能特性。
尽管本文的目标并不在于针对Active Directory中所包含的全部特性加以讨论,然而,本文却提供了有关Active Directory技术的概括性资料,并将主要围绕以下两个新概念展开介绍:一种全新的域控制器体系结构模型和与DNS之间的一种新型集成化关系。这些特性对于理解像DuwamishOnline.com这样的Web区创建方式颇具裨益。此外,我们还将围绕借助Active Directory设置此类Web区的分步操作程序展开研讨。
本文假设读者已基本理解掌握了Windows NT早期版本中的网络互联概念。
Active Directory概述 | |
|
就像可提供人员与单位电话信息的电话目录服务一样,Active Directory也是一种可供用来存储全部网络资源信息、并提供针对此类信息之简易访问服务的目录服务功能。这里所说的网络资源主要包括计算机、打印机、共享文件夹和消息队列等对象。
Active Directory相当于整个网络环境中的主交换机。该技术可帮助用户和应用程序针对那些已处于网络连接状态的相关资源实施目标定位与访问调用,并在彼此之间实现网络互联。更重要的是,该技术还可供用来确保只有那些经过授权的用户或应用程序方可获准在具备安全保障的前提下针对相关资源实施访问调用。
在一个类似于Duwamish Online的服务器区内,部署Active Directory服务器的目的主要体现为,面向用户和应用程序提供针对网络上所有服务器的集中式、安全化访问调用服务。不仅如此,Active Directory还内建有可供消息队列(MSMQ)特性用来针对具备异步操作支持能力的消息队列实施管理的目录服务。(如需了解有关消息队列服务的更多信息资料,敬请参阅由我们提供的MSMQ专题文章。)
如需获取有关Active Directory的更多信息资料,敬请参阅“Active Directory概述”一文:http://www.microsoft.com/windows2000/guide/server/features/dirlist.asp。
接下来,我们将主要围绕首次被引入Active Directory的两个全新概念展开研讨。
域控制器最新体系结构模型
已安装有可提供目录服务功能之Active Directory组件的计算机设备通常被称作域控制器。而将Active Directory安装至某一运行Windows 2000 Server操作系统之计算机设备的处理过程则可将相关服务器转化或提升为对应于某一特定域的域控制器。
在使用Active Directory的前提下,所有Windows 2000 Server域控制器都将成为彼此对等的端点,并可为多主复制特性提供所需支持,同时,在全体域控制器范围内进行Active Directory信息复制操作。
而这恰恰是在体系结构设计方面针对Windows NT先前版本中存在于主域控制器(PDC)和备份域控制器(BDC)之间的主/从关系所做出的最为重大的修改。
在Windows NT操作系统早期版本中,只有PDC才保持着兼具读/写属性的目录信息主拷贝,并可将对应于目录信息的只读拷贝复制到BDC。而与Windows NT早期版本不同的是,Active Directory将在域控制器之间针对多主复制特性加以应用,并确保系统管理员具备从任一域控制器执行修改操作的能力。在某一域控制(特别是PDC)发生故障的情况下,这种机制将为系统提供更高层次的可靠性保障。
与DNS实现集成化
Active Directory中的另一项重大体系结构设计修订体现为该技术同域名系统(DNS)之间的高度集成化水平。在Windows 2000操作系统中,网络基本输入/输出系统(NetBIOS)名称已不再充当针对网上计算机或打印机加以识别的首要名称解析方法。取而代之的是一种被称作“完全合格域名(FQDN)”的属性,例如,“server1.microsoft.com”。这种完全合格域名将被用来执行上述识别任务。
这就意味着,Active Directory域目前正使用着同DNS域完全一致的命名结构(或名称空间)。举例来说,在Windows NT早期版本中,某一计算机设备既可能在对应于Windows网络域的NetBIOS下被引用为“SERVER1”,又可能在DNS域下被引用为“server1.microsoft.com”。而在Windows 2000操作系统中,该计算机则将在Active Directory域和DNS域下被同时引用为“server1.microsoft.com”。
当然,针对Active Directory与DNS之间的区别加以充分认识同样具有至关重要的意义。即使在两者处于高度协作状态的情况下,仍然存储着不同的数据资料,并针对不同对象实施管理。
DNS是一项对应于传输控制协议/Internet协议(TCP/IP)的名称解析服务。该服务针对资源记录进行存储的目的主要在于,将域名转化为与之相对应的IP地址。虽然DNS可在无需Active Directory支持的前提下独立发挥作用,但其所存储的数据却可在Active Directory中接受集成化处理,并被存储起来。而DNS信息则将在Active Directory中被自动复制到其它域控制器,进而,为DNS服务提供得到改进的可靠性与安全性保障。
另一方面,Active Directory还是一项可针对域对象名称请求加以存储、并将其解析为对象记录数据(例如,针对计算机网络配置请求做出回应)的目录服务功能。如需针对某一Active Directory服务器执行定位操作,Active Directory客户端首先应就其所指定的DNS服务器进行查询,以便发现对应于Active Directory服务器的IP地址。而作为系统设计方案的组成部分,DNS还是确保Active Directory正常发挥作用的必要条件。事实上,只要系统未能在网络上查找到既有DNS服务器,针对Active Directory域控制器进行设置的操作便会在安装过程中一并安装DNS服务器。
如需了解有关DNS名称空间构造方法和DNS与Active Directory关联方式的更多信息资料,敬请参阅题为设置域名系统的技术文章。
设置Active Directory域控制器 | |
|
正如我们在
网络与系统配置专题文章中所提到的那样,我们已将两部服务器设置为对应于内部域“intdomain.com”的Active Directory域控制器。我们借助专用计算机设置了第一个域控制器,并为实现系统冗余而在管理服务器上设置了第二个域控制器。
由于域控制器必须具备既可从Web服务器和命令处理服务器(针对消息队列)、又可从两个已实现群集化的数据库服务器接受访问调用的能力,因此,就必须与后端网络、管理网络或以上两者同时建立连接。
在接下来的章节中,我们将针对设置Active Directory域控制器的分步操作程序以及设置对应于特定域的Active Directory客户端的操作程序加以详细说明。
安装第一个域控制器
请依次执行下列步骤,以便创建一个新的域,并在某一服务器上安装Active Directory服务,然后,将该服务器设定为对应于新建域的第一个域控制器:
- 在开始菜单上单击运行,并在随后出现的对话框内输入dcpromo,然后,单击确定。上述操作将启动Active Directory安装向导。
- 在通过欢迎屏幕后,向导程序将要求您为即将安装Active Directory的服务器指定域控制器类型。请保持相关选项的缺省状态,以便将该服务器设置为对应于新建域的域控制器。
- 接下来,向导程序将要求您生成一个新的域树,或在现有域树中生成新建一个子域。在这个例子中,应针对内部域新建一个域树。
- 然后,向导程序将要求您新建一个森林,或加入一个现有森林。因为您正在创建第一个域,而且目前尚不存在现成的森林,所以,请保持有关系选项的缺省设置状态,以便创建一个同域树相对应的新森林。
- 如前所述,Windows 2000所配备的Active Directory服务目前主要将完全合格域名(FQDN)作为首选命名规范加以应用。当向导程序要求您为新建域设定名称时,就请键入同内部域相对应的FQDN(在本例中,应输入“intdomain.com”)。
- Active Directory具备针对Windows NT早期版本的向后兼容性,这主要取决于同这些版本命名规范相对应的NetBIOS名称。出于连贯性方面的考虑,我们应选用与NetBIOS名称完全相同的域名。在这个例子中,应接受系统为NetBIOS设定的缺省域名“INTDOMAIN”。
- 向导程序将在接下来的两个对话框中要求您针对Active Directory数据库与活动日志的存储位置以及共享系统卷加以指定。为实现更加理想的性能表现及可恢复能力,我们建议您将数据库和日志存储在独立硬盘上。为简化操作过程,我们选择接受所有缺省位置。
- 安装向导将在这个环节尝试同对应于新建域的DNS服务器取得联系。如果对应于新建域的DNS服务器已经存在,并可在网络上被查找到,向导程序便会继续转移到下一个安装步骤;如果网络上并不存在上述DNS服务器,向导程序则将就是否在Active Directory安装过程中基于同一计算机安装并配置DNS服务器、亦或稍后安装DNS服务器向您进行询问。在此,我们建议您保持第一个选项的缺省设置状态,除非您确实需要亲自执行所有DNS资源记录的设置工作。
- 由安装向导显示的其余对话框将主要用来处理安全保障事宜。根据Duwamish Online案例,如果域内所有计算机都在运行Windows 2000操作系统,就请将仅与Windows 2000服务器相兼容的许可权限选项设定为选中状态。接下来,向导程序将要求您为管理员设定一个专用口令。
- 最后,向导程序将显示一个总结屏幕,以便就已经设定的选项与您进行确认。如果屏幕上所显示的信息正确无误,就请单击下一步确认。
- 当配置处理过程执行完毕后,重新启动服务器。
安装第二个域控制器
第二个Active Directory域控制器的安装过程要比第一个域控制器的安装过程简单得多。在启动安装程序之前,应首先确认第二台服务器已具备针对同一网络部分实施访问调用的权限。只有这样,该服务器才能与第一台服务器进行通信联络。此外,您还应为DNS服务器设定IP地址(根据前文所提供的建议,这个地址必须同第一个域控制器相对应),而这个IP地址则可供用来针对充当域控制器的计算机进行定位。
如需设定DNS服务器,则请依次执行下列操作步骤:
- 右键单击网络邻居,并在随后弹出的快捷菜单上选择属性命令。
- 从网络与拨号连接对话框内,右键单击本地连接图标,并在随后弹出的快捷菜单上选择属性命令。
说明:如果您的计算机配备有多块与不同网络部分相连的网络适配卡(类似于Duwamish Online网络配置方案),而您又无法对已同内部建立连接的网卡加以确认,那么,您便可通过以物理方式切断与内部网络相连之电缆的做法识别出所需查找的相关连接。这样一来,对应于目标连接的图标便会呈现出已被禁用的状态。请在恢复网络电缆连接之前,为刚刚查找到的连接重新指定相应名称。 - 选择Internet协议(TCP/IP),并单击属性。
- 在Internet协议(TCP/IP)属性对话框内,将使用下列DNS服务器地址选项设定为选中状态。
- 在首选DNS服务器栏内,输入相关IP地址。(如果DNS服务器已作为第一个Active Directory服务器安装过程的组成部分实现了安装,就请为该服务器输入IP地址。有关操作方法请参阅上一章节--“安装第一个域控制器”--中的第8步。)
- 单击确定,以便使修改生效。
DNS一经设定,您便可着手安装第二个域控制器。
如需安装第二个域控制器,则请依次执行下列操作步骤:
- 在开始菜单上单击运行,并在随后出现的对话框内输入dcpromo,然后,单击确定。上述操作将启动Active Directory安装向导。
- 在通过欢迎屏幕后,向导程序将要求您为相关器服务器指定域控制器类型。在此,应选择设置对应于现有域的第二个域控制器。
- 接下来,向导程序将要求您输入用户名、口令和域名(在这个例子中,请输入“intdomain”)。
- 根据向导程序提示,为特定域输入完全合格域名,而同这个域相对应的计算机则将成为第二个域控制器。(在这个例子中,请输入“intdomain.com”。)
- 与您安装第一个Active Directory服务器时的情形相似,向导程序将要求您针对数据库和日志存储位置以及共享系统卷加以指定。为简化操作过程,我们选择接受所有缺省位置。
- 在完成管理员口令设置工作后,向导程序将要求您在总结屏幕上重新核对并最终确认刚刚设定的信息。请单击下一步开始安装。
- 请在安装程序执行完毕后重新启动服务器。
设置Active Directory客户端
在Windows 2000安装过程中,向导程序将就是否加入现有域或工作组向您进行询问。如果域控制器在安装时尚不可用,您便只能在晚些时候加入相关域。
在开始执行设置过程前,请先确保计算机已具备针对同一网络部分的访问调用权限,以便使其能够同相关域进行通信联络。在设置第二个域控制器的过程中,您还应为DNS服务器指定相关IP地址。
下列步骤描述了在Windows 2000操作系统中将某一计算机添加至新建域的具体方法。
- 右键单击我的电脑,并在随后弹出的快捷菜单上选择属性命令。
- 在系统属性对话框内,先单击网络标识选项卡,再单击属性按钮。
- 在标识修改对话框内,将域单选框设定为选中状态,并输入完整域名(在这个例子中,请输入“intdomain.com”)。
- 单击确定,以便确认上述修改。向导程序还将提示您输入域用户名和口令。
- 重新启动服务器,以便使修改生效。