部署第一個域：Active Directory系列之二

部署第一個域

 

在上篇博文中咱們介紹了部署域的意義，今天咱們來部署第一個域。通常狀況下，域中有三種計算機，一種是域控制器，域控制器上存儲着Active Directory；一種是成員服務器，負責提供郵件，數據庫，DHCP等服務；還有一種是工做站，是用戶使用的客戶機。咱們準備搭建一個基本的域環境，拓撲以下圖所示，Florence是域控制器，Berlin是成員服務器，Perth是工做站。

部署一個域大體要作下列工做：

1  DNS 前期準備

2  建立域控制器

3  建立計算機帳號

4  建立用戶帳號

 

一 DNS 前期準備

DNS服務器對域來講是不可或缺的，一方面，域中的計算機使用DNS域名，DNS須要爲域中的計算機提供域名解析服務；另一個重要的緣由是域中的計算機須要利用DNS提供的SRV記錄來定位域控制器，所以咱們在建立域以前須要先作好DNS的準備工做。那麼究竟由哪臺計算機來負責作DNS服務器呢？通常工程師有兩種選擇，要麼使用域控制器來作DNS服務器，要麼使用一臺單獨的DNS服務器。我通常使用一臺獨立的計算機來充當DNS服務器，這臺DNS服務器不但爲域提供解析服務，也爲公司其餘的業務提供DNS解析支持，你們能夠根據具體的網絡環境來選擇DNS服務器。

在建立域以前，DNS服務器須要作好哪些準備工做呢？

1        建立區域並容許動態更新

首先咱們要在DNS服務器上建立出一個區域，區域的名稱和域名相同，域內計算機的DNS記錄都建立在這個區域中。咱們在DNS服務器上打開DNS管理器，以下圖所示，右鍵單擊正向查找區域，選擇新建一個區域。出現新建區域嚮導後，點擊下一步繼續。

 

區域類型選擇「主要區域」。

 

區域名稱和域名相同，是adtest.com。

 

區域必定要容許動態更新，由於在建立域的過程當中須要向DNS區域中寫入A記錄，SRV記錄和Cname記錄。

 

區域建立完畢，點擊完成結束建立。

 

2        檢查 NS 和 SOA 記錄

區域建立完成後，必定要檢查一下區域的NS記錄和SOA記錄。在前面的DNS課程中，咱們已經介紹了NS記錄和SOA記錄的意義，NS記錄描述了有多少個DNS服務器能夠解析這個區域，SOA記錄描述了哪一個DNS服務器是區域的主服務器。若是NS記錄和SOA記錄出錯，域的建立過程當中就沒法向DNS區域中寫入應有的記錄。在DNS服務器上打開DNS管理器，在adtest.com區域中檢查ns記錄，以下圖所示，咱們發現ns記錄不是一個有效的徹底合格域名，咱們須要對它進行修改。

 

以下圖所示，咱們把ns記錄改成 ns.adtest.com.，解析出的IP地址和DNS服務器的IP是吻合的，這樣咱們就完成了ns記錄的修改。

 

以下圖所示，咱們把區域的SOA記錄也一樣進行修改，如今區域的主服務器是ns.adtest.com.，這樣SOA記錄也修改完畢了。

 

至此，DNS準備工做完成，咱們接下來能夠部署域了。

 

二 建立域控制器

有了DNS的支持，咱們如今能夠開始建立域控制器了，域控制器是域中的第一臺服務器，域控制器上存儲着Active Directory，能夠說，域控制器就是域的靈魂。咱們準備在Florence上建立域控制器，首先檢查Florence網卡的TCP/IP屬性，注意，Florence應該使用192.168.11.1做爲本身的DNS服務器。由於咱們剛剛在192.168.11.1上建立了adtest.com區域。

以下圖所示，在Florence上運行Dcpromo，開始域控制器的建立。

以下圖所示，出現Active Directory安裝嚮導，建立域控制器其實就是在Florence上安裝一個Active Directory數據庫，點擊下一步繼續。

Adtest.com是一個新建立的域，由於咱們選擇建立「新域的域控制器」。

以下圖所示，咱們選擇建立一個「在新林中的域」，這個選項是什麼意思呢？咱們雖然只是簡單地建立了一個域，但其實從邏輯上講是建立了一個域林。由於域必定要隸屬於域樹，域樹必定要隸屬於域林。由於咱們其實是建立了一個域林，雖然這個域林內只有一棵域樹，域樹內只有一個樹根。

輸入域的DNS名稱，adtest.com。

域的NETBIOS名稱是ADTEST，因爲.在NETBIOS名稱中是非法字符，由於基本上域的NETBIOS名稱就是域名中.以前的部分。

 

Active Directory數據庫的路徑咱們使用了默認值，若是在生產環境，能夠考慮把數據庫和日誌部分分開存儲。

 

Sysvol文件夾的路徑咱們也使用默認值，至於Sysvol文件夾是幹嗎的，咱們後續會有介紹。

 

接下來Active Directory的安裝嚮導會對DNS服務器進行檢測，檢查是否在DNS服務器上已經建立了和域名相同的區域，並且區域是否容許動態更新。以下圖所示，DNS檢測經過。注意，若是DNS檢測有問題，咱們應該及時排除故障，而不該該繼續向下進行。

 

接下來要選擇用戶和組的默認權限，咱們選擇了不容許匿名用戶查詢域中的信息。

 

設置一下還原模式的管理員口令，咱們從備份中恢復Active Directory時須要用到。

 

好，以下圖所示仔細檢查一下建立域的各項設置是否正確，若是沒有問題咱們就開工了！

 

以下圖所示，Active Directory安裝嚮導開始在Florence上安裝Active Directory。

 

以下圖所示，重啓計算機後便可完成Active Directory的安裝。

 

重啓Florence後咱們發現已經能夠用域管理員的身份登陸了，adtest.com域已經被成功建立了。

 

檢查DNS服務器，咱們發現DNS區域中已經自動建立了不少記錄，這些記錄的做用之後咱們再來分析，如今你們只要注意檢查一下建立域時有沒有把這些記錄建立出來，若是沒有那就有問題了。

 

至此，咱們完成了域控制器的建立，adtest.com域誕生了！

 

三 建立計算機帳號

建立計算機帳號就是把成員服務器和用戶使用的客戶機加入域，這些計算機加入域時會在Active Directory中建立計算機帳號。建立計算機帳號從操做上看很是簡單，但其實背後涉及的東西不少，例如域控制器和加入域的計算機要共享一個密鑰等等，這些內容咱們在後期會爲你們介紹。

以Berlin爲例爲你們介紹如何把計算機加入域，首先要確保Berlin已經使用了192.168.11.1做爲本身的DNS服務器，不然Berlin沒法利用DNS定位域控制器。

 

以下圖所示，在Berlin的計算機屬性中切換到「計算機名」標籤，點擊「更改」。

 

咱們選擇讓Berlin隸屬於域，域名是adtest.com。

 

這時系統須要咱們輸入一個有權限在Active Directory中建立計算機帳號的用戶名和口令，咱們輸入了域管理員的用戶名和密碼。

 

系統彈出一個窗口歡迎Berlin加入域，這時在Florence上打開Active Directory用戶和計算機，以下圖所示，咱們發現Berlin的計算機帳號已經被建立出來了。

 

四 建立用戶帳號

建立完計算機帳號後，咱們須要爲企業內的員工在Active Directory中建立關聯的用戶帳號。首先咱們應該在Active Directory中利用組織單位展現出企業的管理架構，以下圖所示，咱們爲你們演示一下如何建立一個組織單位。打開Active Directory用戶和計算機，選擇新建組織單位。

 

輸入組織單位的名稱，點擊肯定後一個組織單位就建立完成了，是否是很簡單呢。

 

建立了組織單位後，咱們就能夠在組織單位中建立用戶帳號了，以下圖所示，咱們在人事部的組織單位中選擇新建一個用戶。

 

輸入用戶的姓名及登陸名等參數，點擊下一步繼續。

 

輸入用戶密碼，選擇「密碼永不過時」。

 

點擊完成後咱們就能夠輕鬆地建立出一個用戶帳號。其實，用戶帳號中有不少的配置工做須要作，咱們在後續的課程中會有一個專題爲你們介紹。

 

目前爲止，咱們已經建立了一個域，也在域中建立了計算機帳號和用戶帳號。那麼，域的管理優點如何可以加以體現，目前這個域模型有沒有什麼缺陷呢？咱們在下篇博文中將解決這個問題。