网络工程师讲义张智勇企业电子邮件系统
CEAC国家信息化计算机教育认证项目
www.ceac.org.cn
网络工程师讲义张智勇创建基于Windows
2000的域网络工程师讲义张智勇概述
�z介绍如何创建基于Windows 2000的域
�z安装活动目录
�z活动目录安装过程
�z活动目录默认结构
�z活动目录安装后的工作
�z解决活动目录安装过程中出现的问题
�z删除活动目录
�z最佳方案网络工程师讲义张智勇介绍如何创建基于Windows 2000的域
�z域是核心管理单元
�z活动目录中创建的第一个域是整个目录林中的根域或根
�z使用活动目录安装向导可以创建域和域控制器附加的域控制器
(复制伙伴)
目录树根( 第一个域)
目录树根( 第一个域)
新目录树第一个域控制器网络工程师讲义张智勇安装活动目录
�z准备安装活动目录
�z创建第一个域
�z添加一个复制域控制器
�z使用无人职守的安装脚本来安装活动目录网络工程师讲义张智勇准备安装活动目录计算机上运行的必须是Windows 2000 Server,
Windows 2000 Advanced Server,或Windows 2000
Datacenter Server
为活动目录数据库准备200 MB的磁盘空间,和
50 MB记录日志文件的磁盘空间基于NTFS文件系统的分区或卷安装并配制可以使用DNS的TCP/IP
如果在现存的Windows 2000 网络上创建域,还要有创建域所需的管理特权安装活动目录的条件安装活动目录的条件安装活动目录的条件
TCP/IP
NTFS
网络工程师讲义张智勇创建第一个域
�z启动活动目录安装向导
�z选择域控制器和域的类型
�z定制新域所需要的信息
�{域名,DNS名,和NetBIOS名
�{数据库文件,日志文件,和共享系统卷的位置
�{Select to weaken permissions
�{指定使用目录服务恢复模式的密码
�z活动目录安装向导:
�{安装活动目录
�{把计算机转换成域控制器网络工程师讲义张智勇添加一个复制域控制器
�z为保证容错的需要,一个域中至少应有两个域控制器
�z具有一个以上的域控制器,可防止单个域控制器过载的现象发生
�z使用Dcpromo命令把域控制器加入到现存的域中
�z活动目录安装向导:
�{可把计算机转换成域控制器
�{从现存的域控制器上复制活动目录网络工程师讲义张智勇活动目录安装过程
�z配置参数
�z站点配置
�z配置目录服务
�z服务与安全配置
�z附加的活动目录安装选项网络工程师讲义张智勇配置参数用户界面验证
NetBIOS名和服务器名验证
TCP/IP配置验证
DNS和NetBIOS域名验证用户身份验证文件位置的验证活动目录安装前,安装向导将检查配置参数活动目录安装前,安装向导将检查配置参数活动目录安装前,安装向导将检查配置参数网络工程师讲义张智勇站点配置
�z域控制器加入其子网所属的站点中
�z如果没有子网,服务器被放置在
Default-First-Site-Name站点上
�z活动目录安装向导在合适的站点上为域控制器创建服务器对象
Active Directory Sites and Service
Sites
Servers
DENVER
LONDON
VANCOUVER
SYDNEY
Default-First-Site-Name
Servers
Licensing Site Settings
NTDS Site Settings
Server …
Licensi …
Site Se …
Console Window Help
Active View
Tree
AD Sites and Services
Name Type
网络工程师讲义张智勇配置目录服务对各种类型都相同的操作
�?创建所需的注册表选项
�?设置活动目录的性能计数器
�?配置服务器,使其自动申请X.509 域控制器资格
�?启动Kerberos V5 验证服务
�?设置本地安全权限(LSA) 策略
�?安装活动目录管理工具的快捷方式目录分区配置
�?创建schema 目录分区
�?创建configuration 目录分区
�?创建域目录分区目录服务设置操作目录服务设置操作目录服务设置操作网络工程师讲义张智勇服务与安全配置设置自动启动服务
�?远程程序调用定位器(RPC)
�?网络登录
�?KDC
�?站点间信息传递
�?分布式链接跟踪服务器
�?窗口时间设置安全
�?为目录服务和文件复制的文件夹设置安全
�?配置活动目录中文件和对象的默认访问控制列表
(DACLs)
�?使用安全模板配置默认的组策略配置服务与安全配置服务与安全配置服务与安全网络工程师讲义张智勇附加的活动目录安装选项
�?设置计算机DNS根域名称
�?确定服务器计算机是否是域的成员
�?在域控制器OU中创建计算机账户
�?把用户提供的密码作为管理员账户
�?在配置容器中创建交互参考对象(Cross-Reference Object)
�?添加快捷方式
�?创建SYSVOL文件夹
�?创建Schema 和Configuration 容器
�?给域控制器分配具体的角色附加操作附加操作附加操作网络工程师讲义张智勇活动目录默认结构
Active Directory Users and Computers
Console Window Help
Active View
Active Directory Users and Co..
contoso.msft 8 objects
Name
Builtin
Computers
Domain Controllers
ForeignSecurityPrincipals
LostAndFound
System
Users
Builtin
Computers
Domain Controllers
ForeignSecurityPrincipals
LostAndFound
System
Users
Infrastructure
contoso.msft
Tree
用来保存默认的Windows
2000 安全组用来保存默认的Windows
2000 安全组计算机账户的默认位置计算机账户的默认位置域控制器计算机账户的默认位置域控制器计算机账户的默认位置保存外部有信任关系域的安全标识(SIDs)
保存外部有信任关系域的安全标识(SIDs)
保存孤立的对象保存孤立的对象保存内建的系统设置保存内建的系统设置用户和组账号的默认位置用户和组账号的默认位置网络工程师讲义张智勇活动目录安装后的工作
�z校验活动目录安装
�z实现活动目录集成区域
�z确保活动目录集成区域安全更新
�z转换域模式
�z实现组织单元(OU)结构网络工程师讲义张智勇校验活动目录安装校验SRV 资源纪录校验SYSVOL
校验目录数据库和日志文件通过事件查看器来校验安装结果
SYSVOL
DNS
数据库和日志文件数据库和日志文件校验活动目录安装校验活动目录安装校验活动目录安装网络工程师讲义张智勇实现活动目录集成区域
DNS
服务器
contoso.msft
区域数据库区域数据库活动目录集成的区域
�z使用与活动目录集成的DNS区域
�z实现正向查找区域
�z实现反向查找区域网络工程师讲义张智勇确保活动目录集成区域安全更新
�z使用活动目录集成的区域来确保DNS
的安全更新
�z通过安全的活动目录集成的区域,用户可以控制区域和资源纪录的访问
DNS
服务器
contoso.msft
活动目录集成的区域区域数据库区域数据库安全更新客户机网络工程师讲义张智勇转换域模式
�z本地模式域控制器
(Windows 2000 only)
域控制器
(Windows 2000 only)
�z混合模式域控制器
(Windows 2000)
和域控制器
(Windows NT 4.0)
�z把活动目录安装成混合模式可以提供对早期域控制器的支持
�z组嵌套和通用安全组只有在本地模式下可以实现网络工程师讲义张智勇实现组织单元(OU)结构
Users
Sales
Computers
�z实现OU结构,可以:
�{加强管理控制
�9在网络资源上委派管理控制
�9可以把相似的网络资源用OU来分组
�9简化对象管理,控制网络资源的可视性
�9使资源管理更有效
�{控制组策略的应用
�z利用活动目录用户和计算机可以在域或OU上创建OU
网络工程师讲义张智勇解决活动目录安装过程中出现的问题创建或添加域控制器时,访问被拒绝创建或添加域控制器时,访问被拒绝
Error
DNS 或NetBIOS域名不唯一
DNS 或NetBIOS域名不唯一
Error
不能与域取得联系不能与域取得联系
Error
磁盘空间不足磁盘空间不足
Error
网络工程师讲义张智勇删除活动目录域控制器
(Windows 2000)
提供证书:
�?Enterprise Admins组成员
�?Domain Admins组成员提供证书:
组成员组成员删除活动目录删除活动目录
�z删除活动目录:
�{使用活动目录安装向导
�{必须具有合适的管理证书
�z对于不同类型的域控制器,活动目录安装向导执行不同的删除操作网络工程师讲义张智勇最佳方案在域中实现多个域控制器在域中实现多个域控制器通过把对象和相应的安全要求集合到OU 中来减少管理费用通过把对象和相应的安全要求集合到OU 中来减少管理费用建立功能良好的DNS基础结构建立功能良好的基础结构把活动目录数据库和日志文件安装在不同的分区上把活动目录数据库和日志文件安装在不同的分区上有足够的空间来确保SYSVOL文件夹的增长有足够的空间来确保文件夹的增长有足够的空间来确保活动目录数据库和日志文件的增长有足够的空间来确保活动目录数据库和日志文件的增长实现单域结构实现单域结构网络工程师讲义张智勇复习
�z介绍如何创建基于Windows 2000的域
�z安装活动目录
�z活动目录安装过程
�z活动目录默认结构
�z活动目录安装后的工作
�z解决活动目录安装过程中出现的问题
�z删除活动目录
�z最佳方案
CEAC国家信息化计算机教育认证项目
www.ceac.org.cn
网络工程师讲义张智勇创建基于Windows
2000的域网络工程师讲义张智勇概述
�z介绍如何创建基于Windows 2000的域
�z安装活动目录
�z活动目录安装过程
�z活动目录默认结构
�z活动目录安装后的工作
�z解决活动目录安装过程中出现的问题
�z删除活动目录
�z最佳方案网络工程师讲义张智勇介绍如何创建基于Windows 2000的域
�z域是核心管理单元
�z活动目录中创建的第一个域是整个目录林中的根域或根
�z使用活动目录安装向导可以创建域和域控制器附加的域控制器
(复制伙伴)
目录树根( 第一个域)
目录树根( 第一个域)
新目录树第一个域控制器网络工程师讲义张智勇安装活动目录
�z准备安装活动目录
�z创建第一个域
�z添加一个复制域控制器
�z使用无人职守的安装脚本来安装活动目录网络工程师讲义张智勇准备安装活动目录计算机上运行的必须是Windows 2000 Server,
Windows 2000 Advanced Server,或Windows 2000
Datacenter Server
为活动目录数据库准备200 MB的磁盘空间,和
50 MB记录日志文件的磁盘空间基于NTFS文件系统的分区或卷安装并配制可以使用DNS的TCP/IP
如果在现存的Windows 2000 网络上创建域,还要有创建域所需的管理特权安装活动目录的条件安装活动目录的条件安装活动目录的条件
TCP/IP
NTFS
网络工程师讲义张智勇创建第一个域
�z启动活动目录安装向导
�z选择域控制器和域的类型
�z定制新域所需要的信息
�{域名,DNS名,和NetBIOS名
�{数据库文件,日志文件,和共享系统卷的位置
�{Select to weaken permissions
�{指定使用目录服务恢复模式的密码
�z活动目录安装向导:
�{安装活动目录
�{把计算机转换成域控制器网络工程师讲义张智勇添加一个复制域控制器
�z为保证容错的需要,一个域中至少应有两个域控制器
�z具有一个以上的域控制器,可防止单个域控制器过载的现象发生
�z使用Dcpromo命令把域控制器加入到现存的域中
�z活动目录安装向导:
�{可把计算机转换成域控制器
�{从现存的域控制器上复制活动目录网络工程师讲义张智勇活动目录安装过程
�z配置参数
�z站点配置
�z配置目录服务
�z服务与安全配置
�z附加的活动目录安装选项网络工程师讲义张智勇配置参数用户界面验证
NetBIOS名和服务器名验证
TCP/IP配置验证
DNS和NetBIOS域名验证用户身份验证文件位置的验证活动目录安装前,安装向导将检查配置参数活动目录安装前,安装向导将检查配置参数活动目录安装前,安装向导将检查配置参数网络工程师讲义张智勇站点配置
�z域控制器加入其子网所属的站点中
�z如果没有子网,服务器被放置在
Default-First-Site-Name站点上
�z活动目录安装向导在合适的站点上为域控制器创建服务器对象
Active Directory Sites and Service
Sites
Servers
DENVER
LONDON
VANCOUVER
SYDNEY
Default-First-Site-Name
Servers
Licensing Site Settings
NTDS Site Settings
Server …
Licensi …
Site Se …
Console Window Help
Active View
Tree
AD Sites and Services
Name Type
网络工程师讲义张智勇配置目录服务对各种类型都相同的操作
�?创建所需的注册表选项
�?设置活动目录的性能计数器
�?配置服务器,使其自动申请X.509 域控制器资格
�?启动Kerberos V5 验证服务
�?设置本地安全权限(LSA) 策略
�?安装活动目录管理工具的快捷方式目录分区配置
�?创建schema 目录分区
�?创建configuration 目录分区
�?创建域目录分区目录服务设置操作目录服务设置操作目录服务设置操作网络工程师讲义张智勇服务与安全配置设置自动启动服务
�?远程程序调用定位器(RPC)
�?网络登录
�?KDC
�?站点间信息传递
�?分布式链接跟踪服务器
�?窗口时间设置安全
�?为目录服务和文件复制的文件夹设置安全
�?配置活动目录中文件和对象的默认访问控制列表
(DACLs)
�?使用安全模板配置默认的组策略配置服务与安全配置服务与安全配置服务与安全网络工程师讲义张智勇附加的活动目录安装选项
�?设置计算机DNS根域名称
�?确定服务器计算机是否是域的成员
�?在域控制器OU中创建计算机账户
�?把用户提供的密码作为管理员账户
�?在配置容器中创建交互参考对象(Cross-Reference Object)
�?添加快捷方式
�?创建SYSVOL文件夹
�?创建Schema 和Configuration 容器
�?给域控制器分配具体的角色附加操作附加操作附加操作网络工程师讲义张智勇活动目录默认结构
Active Directory Users and Computers
Console Window Help
Active View
Active Directory Users and Co..
contoso.msft 8 objects
Name
Builtin
Computers
Domain Controllers
ForeignSecurityPrincipals
LostAndFound
System
Users
Builtin
Computers
Domain Controllers
ForeignSecurityPrincipals
LostAndFound
System
Users
Infrastructure
contoso.msft
Tree
用来保存默认的Windows
2000 安全组用来保存默认的Windows
2000 安全组计算机账户的默认位置计算机账户的默认位置域控制器计算机账户的默认位置域控制器计算机账户的默认位置保存外部有信任关系域的安全标识(SIDs)
保存外部有信任关系域的安全标识(SIDs)
保存孤立的对象保存孤立的对象保存内建的系统设置保存内建的系统设置用户和组账号的默认位置用户和组账号的默认位置网络工程师讲义张智勇活动目录安装后的工作
�z校验活动目录安装
�z实现活动目录集成区域
�z确保活动目录集成区域安全更新
�z转换域模式
�z实现组织单元(OU)结构网络工程师讲义张智勇校验活动目录安装校验SRV 资源纪录校验SYSVOL
校验目录数据库和日志文件通过事件查看器来校验安装结果
SYSVOL
DNS
数据库和日志文件数据库和日志文件校验活动目录安装校验活动目录安装校验活动目录安装网络工程师讲义张智勇实现活动目录集成区域
DNS
服务器
contoso.msft
区域数据库区域数据库活动目录集成的区域
�z使用与活动目录集成的DNS区域
�z实现正向查找区域
�z实现反向查找区域网络工程师讲义张智勇确保活动目录集成区域安全更新
�z使用活动目录集成的区域来确保DNS
的安全更新
�z通过安全的活动目录集成的区域,用户可以控制区域和资源纪录的访问
DNS
服务器
contoso.msft
活动目录集成的区域区域数据库区域数据库安全更新客户机网络工程师讲义张智勇转换域模式
�z本地模式域控制器
(Windows 2000 only)
域控制器
(Windows 2000 only)
�z混合模式域控制器
(Windows 2000)
和域控制器
(Windows NT 4.0)
�z把活动目录安装成混合模式可以提供对早期域控制器的支持
�z组嵌套和通用安全组只有在本地模式下可以实现网络工程师讲义张智勇实现组织单元(OU)结构
Users
Sales
Computers
�z实现OU结构,可以:
�{加强管理控制
�9在网络资源上委派管理控制
�9可以把相似的网络资源用OU来分组
�9简化对象管理,控制网络资源的可视性
�9使资源管理更有效
�{控制组策略的应用
�z利用活动目录用户和计算机可以在域或OU上创建OU
网络工程师讲义张智勇解决活动目录安装过程中出现的问题创建或添加域控制器时,访问被拒绝创建或添加域控制器时,访问被拒绝
Error
DNS 或NetBIOS域名不唯一
DNS 或NetBIOS域名不唯一
Error
不能与域取得联系不能与域取得联系
Error
磁盘空间不足磁盘空间不足
Error
网络工程师讲义张智勇删除活动目录域控制器
(Windows 2000)
提供证书:
�?Enterprise Admins组成员
�?Domain Admins组成员提供证书:
组成员组成员删除活动目录删除活动目录
�z删除活动目录:
�{使用活动目录安装向导
�{必须具有合适的管理证书
�z对于不同类型的域控制器,活动目录安装向导执行不同的删除操作网络工程师讲义张智勇最佳方案在域中实现多个域控制器在域中实现多个域控制器通过把对象和相应的安全要求集合到OU 中来减少管理费用通过把对象和相应的安全要求集合到OU 中来减少管理费用建立功能良好的DNS基础结构建立功能良好的基础结构把活动目录数据库和日志文件安装在不同的分区上把活动目录数据库和日志文件安装在不同的分区上有足够的空间来确保SYSVOL文件夹的增长有足够的空间来确保文件夹的增长有足够的空间来确保活动目录数据库和日志文件的增长有足够的空间来确保活动目录数据库和日志文件的增长实现单域结构实现单域结构网络工程师讲义张智勇复习
�z介绍如何创建基于Windows 2000的域
�z安装活动目录
�z活动目录安装过程
�z活动目录默认结构
�z活动目录安装后的工作
�z解决活动目录安装过程中出现的问题
�z删除活动目录
�z最佳方案
