办公区域的域服务器怎样组建???

管理员要将自己的服务器用作域控制器，必须安装活动目录。活动目录可用于存储网络对象和共享打印机信息，并提供访问上述资源的信息。活动目录安装向导可将管理员的服务器配置为域控制器或附加域控制器，并可以在未连好网络时设置DNS。如果网络中没有其他域控制器，可将服务器配置为域控制器；如果网络中有其他域控制器，可将服务器设置为附加域控制器，并新建子域、域目录树或目录林。

　　安装活动目录的具体操作步骤如下:

　　(1) 执行“开始”→“程序”→“管理工具”→“配置服务器”命令，打开“Windows 2000配置服务器”对话框，如图3-9所示。

　　注释：

　　安装完Windows 2000 Server后，每次启动计算机，系统都会自动打开“Windows 2000配置服务器”对话框。

图1　“Windows 2000配置服务器”对话框

　　(2) 在左边的列表中单击Active Directory(活动目录)选项，并将右边的滚动条拖动到底部，使对话框如图3-10所示。

图2　显示活动目录选项

　　(3) 单击“开始Active Directory向导”选项，打开“欢迎使用Active Directory安装向导”对话框，如图3-11所示。该对话框显示了Active Directory安装向导的简单欢迎信息。

图3　“欢迎使用Active Directory安装向导”对话框

　　(4) 单击“下一步”按钮，打开“域控制器类型”对话框，如图3-12所示。选择“新域的域控制器”单选按钮，使服务器成为新域中的第一个域控制器。如果网上已有域控制器，可选择“现有域的额外域控制器”单选按钮。

图4　“域控制器类型”对话框

　　(5) 单击“下一步”按钮，打开“创建目录树或子域”对话框，如图3-13所示。如果用户不想让新域成为现有域的子域，可选择“创建一个新的域目录树”单选按钮；如果用户希望新域成为现有域的子域，可选择“在现有域目录树中创建一个新的子域”单选按钮。这里，选择“创建一个新的域目录树”单选按钮。

图5　“创建目录树或子域”对话框

　　(6) 单击“下一步”按钮，打开“创建或加入目录林”对话框，如图3-14所示。如果所创建的域为第一个域，或者希望所创建的新域独立于现有目录林，可选择“创建新的域目录树”单选按钮；如果希望新的域目录树中的用户可访问现有域目录树中的资源，或希望现有域目录树中的用户访问新域目录树中的资源，可选择“将这个新的域目录树放入现有的目录林中”单选按钮。这里，选择“创建新的域目录树”单选按钮。

图6　“创建或加入目录林”对话框

　　(7) 单击“下一步”按钮，如果用户没有配置的DNS服务器，则会提示用户配置DNS服务器，打开“安装或配置DNS”对话框，如图3-15所示。如果通过向导为新域安装和配置DNS服务器，可选择“是，将配置DNS客户”单选按钮；如果要在安装活动目录之后再安装和配置DNS，可选择“否，只在这台计算机上安装和配置DNS”单选按钮。

图7　“安装或配置DNS”对话框

　　(8) 单击“下一步”按钮，打开“配置域名服务客户”对话框，如图3-16所示。单击“配置DNS客户”按钮，即可打开“配置DNS客户”对话框。该对话框用于了解如何指定网络上DNS服务器的IP地址。

图8　“配置域名服务客户”对话框

　　(9) 单击“下一步”按钮，打开“新的域名”对话框，如图3-17所示。在“新域的DNS全名”文本框中输入新建域的DNS全名。

图9　“新的域名”对话框

　　(10) 单击“下一步”按钮，打开“NetBIOS域名”对话框，如图3-18所示。在“域NetBIOS 名”文本框中输入NetBIOS域名，或者接受显示的名称。

图10　“NetBIOS域名”对话框

　　注释：

　　NetBIOS域名是供早期的Windows用户来识别新域的。

　　(11) 单击“下一步”按钮，打开“数据库和日志文件位置”对话框，如图3-19所示。在“数据库位置”文本框中输入保存数据库的位置，或者单击“浏览”按钮选择路径，在“日志位置”文本框中输入保存日志的位置或单击该文本框右侧的“浏览”按钮选择路径。

图11　“数据库和日志文件位置”对话框

　　注释：

　　基于最佳性能和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。

　　(12) 单击“下一步”按钮，打开“共享的系统卷”对话框，如图3-20所示。在Windows 2000中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。在“文件夹位置”文本框中输入Sysvol文件夹位置，或单击“浏览”按钮选择路径。

图12　“共享的系统卷”对话框

　　(13) 单击“下一步”按钮，打开“Windows NT 40 RAS服务器”对话框，如图3-21所示。如果希望减弱Windows NT 40 RAS的访问权限，可选择“是，减弱权限”单选按钮；如果不更改访问权限，可选择“否，不要更改权限”单选按钮。

图13　“Windows NT 40 RAS服务器”对话框

　　(14) 单击“下一步”按钮，打开“摘要”对话框，如图3-22所示。通过该对话框，用户可检查并确认选定的选项。

图14　“摘要”对话框

　　(15) 单击“下一步”按钮，系统开始配置活动目录，同时打开“正在配置Active Directory”对话框显示配置过程，如图3-23所示。

　　(16) 几分钟之后，配置完成。同时，打开“完成Active Directory安装向导”对话框，如图3-24所示。单击“完成”按钮，即完成活动目录的安装。

图15　配置活动目录

图16　“完成Active Directory安装向导”对话框

　　注释：

　　活动目录被安装好之后，必须重新启动计算机才能生效，并且计算机启动和关闭时间比较长。

　　在活动目录安装之后，不但服务器的开机和关机时间变长，而且系统的执行速度也会变慢。所以，如果管理员对某个服务器没有特别要求或者不想把它作为域控制器来使用，可将该服务器上的活动目录删除，使其降级为成员服务器或独立服务器。

　　注释：

　　成员服务器是指安装到现有域中的附加域控制器；独立服务器是指在名称空间目录树中直接位于另一个域名之下的服务器。使删除活动目录后的服务器成为成员服务器还是独立服务器，取决于该服务器的域控制器的类型。如果要删除活动目录的服务器不是域中的惟一的域控制器，则删除活动目录将使该服务器成为成员服务器；如果要删除活动目录的服务器是域中最后一个域控制器，则删除活动目录将使该服务器成为独立服务器。

　　要删除活动目录，可选择“开始”→“运行”命令，打开“运行”对话框。在“打开”下拉列表框中输入dcpromo，然后单击“确定”按钮，打开“Active Directory安装向导”对话框，并根据向导进行删除，过程比较简单，不再细述。

1点击开始菜单，打开控制面板。

2点络和共享中心。

3在右侧的查看活动网络中，单击当前已连接的网络。

4点击属性按钮。

5选择中Internet 协议版本 4 (TCP/IPv4)，再单击属性。

6择使用下面的 DNS 服务器地址。

DNS服务器

DNS服务器和域名服务器同义。

DNS（Domain Name Server，域名服务器）是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。

DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表，以解析消息的域名。

域名是Internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位（有时也指地理位置）。

域名是由一串用点分隔的名字组成的，通常包含组织名，而且始终包括两到三个字母的后缀，以指明组织的类型或该域所在的国家或地区。

DNS是计算机域名系统 (Domain Name System 或Domain Name Service) 的缩写，它是由域名解析器和域名服务器组成的。

域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。

其中域名必须对应一个IP地址，一个IP地址可以有多个域名，而IP地址不一定有域名。域名系统采用类似目录树的等级结构。

域名服务器通常为客户机/服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。

部署windows域之2008 R2域控制器服务

1、具有管理员权限

2、windows server2008 R2(除WEB版外)

3、本地磁盘至少有一个分区是NTFS文件系统

4、配置静态的IP地址和子网掩码

5、足够的磁盘空间

查看操作系统版本

查看TCP/IP参数信息

Administrator管理员登录后，运行 “dcpromo” 命令

打开“Active Directory”域服务安装向导

阅读操作系统兼容性 选择 “下一步”

在选择某一部署配置选择在新林中新建域

命名根林域键入FQDN (完全合格域名)

设置林功能级别选择“Windows Server 2008 R2”

其他域控制器选项 选择“DNS服务器”

数据库、日志文件和SYSVOL的位置接受默认位置“下一步”

目录服务还原模式密码输入并确认一个强密码“下一步”

摘要 阅读摘要如各项配置不正确 选择“上一步”修改没有问题“下一步”

开始安装和配置活动目录服务

完成域服务安装向导“完成”重启计算机生效

重启后的登录界面：

将Win7加入域

条件1、确保该计算机和域控制器互相联通。

条件2、配置正确的DNS 地址。

查看TCP/IP参数配置协议

用客户机ping 域控制器服务器的IP地址 19216891

系统属性计算机名选项卡“更改”

计算机名\域更改输入 “确定”

“Windows 安全”对话框

提示“确认”重启计算机

开始——管理工具——Active Directory 用户和计算机查看加入域“”的NASH-PC

需要配置dns

AD涉及的内容还是比较多的，所以今晚写一个简易的安装AD的步骤出来。AD有问题的时候可以check一下，看安装是否正确。

我这里写的比较简单，主要是没有详细写关于DNSdelegate如何做，所有场景均使用一个dns服务器，如果要设置更详细，可以参考win2000dnswhitepaper，微软网站有下载。

另外个人建议，如果要管理好AD，对DNS还是要下一些功夫弄清楚。否则即使装了，管理起来出问题也很难排错。

----------------

----------------

环境：

两台win2kserver,配置如下

1：计算机名：server1

IP:19216801

2:计算机名：server2

IP:19216802

－－－－－－－－

－－－－－－－－－－－－－－－－情况一：单域，单域控制器－－－－－－－－－－－－－－

目标：

将server1做成域控制器，域名为testcom，server2作为memberserver

AD需要DNS的支持，DNS可以在安装AD的前中后装，建议在AD安装之前装，并手动配置

(1A)安装DNS(server1上)

1:安装DNS服务。（如果是给forestroot做DNS，建议先将机器上原来的DNS卸干净，包括system32下DNS目录也删掉。再安装服务）

2：创建forwardlookupzone,为testcom。reverselookupzone填网络号1921680

3：设置两个zone允许dynamicupdate

4：在本地连接中将DNS地址指向19216801

5:设置primarydnssuffix为testcom

6：按照提示，restart，建议一定重起。

7:重起后发现testcom中有server1的A记录，说明一切正常。反向zone中有ptr记录

(需要注意的是，域名第一片和计算机名不要一样，如果在计算机abc上不要做abccom，否则默认情况下domain的netbios名和计算机的netbios名会一样)

(1B)

按照正常情况Dcpromo，选择安装成新域的域控制器，新树，新森林。

安装过程中应不会提示任何诸如“DNS找不到”的信息，这就正常了。

装完AD后看看DNS的的testcom内是否有放置SRV记录的四个目录，目录名为TCP,UDP,MSDCS,Sites。如果一个也没有，重新启动Netlogon服务，如果

还是没有，那装得有问题。一般应该都是正常的。

同时查看事件查看器中是否有任何关于directoryservice的错误日志。

(1C)将server2设置成memberserver

在server2上将dns指向server1，修改primarydnssuffix为testcom，重起，然后将server2加入domian，在server1上打开aduserand

computer，其中computer容器内可以看到server2的计算机帐号。DNS中也会有server2的A记录。查看事件查看器，确保无任何不良记录。

－－－－－－－－－－－－－－－－情况2，单域，两个域控制器－－－－－－－－－

目标：server1作为第一台域控制器，server2作为第二台域控制器，域名testcom

server1的安装同1a，1b。

对于server2。

（2a）

1：安装前，此机器属于domain或者工作组没有关系。

2：将dns指向server1（19216801）

3:修改primarysuffix为testcom（suffix是可以自动改，但是手动改总是放心些）

4：重起机器，建议一定重起。

5：检查server1上的dns，在testcom这个zone内会发现server2的a记录。如果没有，那配置有问题，可以用ipconfig/registerdns手动注册，再看

有没有，如果还是没有，那就有问题了（dns没有按照1a设置好）。

（2b）

1：dcpromo，启动向导

2：选择，安装成一个已经存在的域的另外一台域控制器

3：按照提示，输入身份，这个身份是enterpriseadmins的身份，也就是现在testcom的administrator以及其密码

4：选择要加入的domain，这里是testcom

5：完成其他选项

（3c）

1：安装后可以在aduserandcomputer(adu&c)中的domaincontrollerou中看见server1和server2的计算机帐号

2：dns的testcom的四个目录（tcpudpmsdcssites，里面为srv记录）中可以发现server2的srv记录。如果没有，重起server2上的netlogon服务

，同时可以尝试用ipcpnfig/registerdns重新注册。

3：可以在两台域控制器上添加新的对象，然后看相互复制是否正常。

4：当然，其他比如dcdiag，repmonitor等工具可以用来检查一些问题，不过这是个简易贴，就不说了阿。

5：查看事件查看器，确保无任何不良记录。

－－－－－－－－－－－－－－－－情况3，一个森林，一个树，两个域－－－－－－

安装完后，森林内有一棵树，两个domain：testcom,subtestcom,其中server2为sub的DC。

关于test。com的安装方法，仍然参照1a,1b

下面是将server2安装成subtestcom的dc。

3a)dns配置

1：在server1的dns上（简易做法），创建subtestcom的zone，设置动态更新为yes

2：将server2的dns指向192。168。0。1

3：修改server2的primarydnssuffix为subtestcom

4：重起

5：在subtestcom这个zone中找到server2的a记录

3b）

1：dcpromo

2：选择安装为新域的域控制器－－放入一个已经存在的树

3：填入enterpriseadmin的身份信息（administrator/password/testcom）

4:出来一个界面，让填域名，上面是父域的名字（testcom），中间填入sub,下面自动完成，显示全名为subtestcom

5：完成其他选项

3c）

1：完成后，在server2的aduserandcomputer中的domaincontrollerou中可以找到server2的计算机帐号

2：在dns的subtestcom这个zone中可以找到关于server2的srv记录（四个目录），如果没有，按3c-2的方法在注册一次

3：看看server2上的addomainandtrust工具中是否显示出subtestcom这个domain（在testcom下有个sub）

4：打开adsiteandservice看看是否有所有的site信息，有，说明configuration分区的复制大致没有什么问题。

5：查看事件查看器，确保无任何不良记录。

6：有其他问题，到论坛提问吧^_^

----------------------------情况4，一个森林，两棵树，两个域－－－－－－－－－

安装完成后，server1为testcom的dc，server2为labcom的dc

4a)准备

1：在server1的dns上创建labcom这个zone，设置动态更新

2：将server2的dns指向192。168。0。1

3：修改server2的primarydnssuffix为labcom

4：重起

5：在labcom这个zone中找到server2的a记录

4b)

1：dcpromo

2：选择安装为新域的域控制器－－新树－－放入一个已经存在的森林

3：填入enterpriseadmin的身份信息（administrator/password/testcom）

4：填入树名为labcom

5：完成其他选项

4c)

1：完成后，在server2的aduserandcomputer中的domaincontrollerou中可以找到server2的计算机帐号

2：在dns的labcom这个zone中可以找到关于server2的srv记录（四个目录），如果没有，按3c-2的方法在注册一次

3：看看server2上的addomainandtrust工具中是否显示出labcom这个domain

4：打开adsiteandservice看看是否有所有的site信息，有，说明configuration分区的复制大致没有什么问题。

5：查看事件查看器，确保无任何不良记录。

DNS的全称是Domain Name Server，一种程序，它保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表，以解析消息的域名。 域名是Internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位（有时也指地理位置）。

形象的说，域就像中央集权，由一台或数台域控制器（Domain Controller）管理域内的其他计算机；工作组就像各自为政，组内每一台计算机自己管理自己，他人无法干涉。

企业如果想实现，必须有专业的网络毕业人士

域 既是Windows网络系统的逻辑组织单元，也是Internet的逻辑组织单元，在Windows 系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域。每个域都有自己的安全策略，以及它与其他域的安全信任关系。 以上是一个标准的解释： 其实上我门可以把域和工作组联系起来理解，在工作组上你一切的设置在本机上进行包括 各种策略，用户登陆也是登陆在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的帐号密码可以在同一域的任何一台计算机登陆 这样做方便管理

1在服务器建立域和DNS角色，这个根据实际需求对照提示一步步来选择就好了；（设置域服务器）

2在域设置里添加域用户或用户组；（在服务器上创建域用户）

3把客户机的DNS设置为服务器地址；（客户机设置）

4右键“我的电脑”》“属性”》“更改设置”》勾选“域”》输入域名称》在弹出框里输入域管理员账号、密码（就是服务器的账号、密码）。（客户机设置）

5加入完毕注销电脑，再以域用户名登陆即可