部署第一个域：Active Directory系列之二

部署第一个域

 

在上篇博文中咱们介绍了部署域的意义，今天咱们来部署第一个域。通常状况下，域中有三种计算机，一种是域控制器，域控制器上存储着Active Directory；一种是成员服务器，负责提供邮件，数据库，DHCP等服务；还有一种是工做站，是用户使用的客户机。咱们准备搭建一个基本的域环境，拓扑以下图所示，Florence是域控制器，Berlin是成员服务器，Perth是工做站。

部署一个域大体要作下列工做：

1  DNS 前期准备

2  建立域控制器

3  建立计算机帐号

4  建立用户帐号

 

一 DNS 前期准备

DNS服务器对域来讲是不可或缺的，一方面，域中的计算机使用DNS域名，DNS须要为域中的计算机提供域名解析服务；另一个重要的缘由是域中的计算机须要利用DNS提供的SRV记录来定位域控制器，所以咱们在建立域以前须要先作好DNS的准备工做。那么究竟由哪台计算机来负责作DNS服务器呢？通常工程师有两种选择，要么使用域控制器来作DNS服务器，要么使用一台单独的DNS服务器。我通常使用一台独立的计算机来充当DNS服务器，这台DNS服务器不但为域提供解析服务，也为公司其余的业务提供DNS解析支持，你们能够根据具体的网络环境来选择DNS服务器。

在建立域以前，DNS服务器须要作好哪些准备工做呢？

1        建立区域并容许动态更新

首先咱们要在DNS服务器上建立出一个区域，区域的名称和域名相同，域内计算机的DNS记录都建立在这个区域中。咱们在DNS服务器上打开DNS管理器，以下图所示，右键单击正向查找区域，选择新建一个区域。出现新建区域向导后，点击下一步继续。

 

区域类型选择“主要区域”。

 

区域名称和域名相同，是adtest.com。

 

区域必定要容许动态更新，由于在建立域的过程当中须要向DNS区域中写入A记录，SRV记录和Cname记录。

 

区域建立完毕，点击完成结束建立。

 

2        检查 NS 和 SOA 记录

区域建立完成后，必定要检查一下区域的NS记录和SOA记录。在前面的DNS课程中，咱们已经介绍了NS记录和SOA记录的意义，NS记录描述了有多少个DNS服务器能够解析这个区域，SOA记录描述了哪一个DNS服务器是区域的主服务器。若是NS记录和SOA记录出错，域的建立过程当中就没法向DNS区域中写入应有的记录。在DNS服务器上打开DNS管理器，在adtest.com区域中检查ns记录，以下图所示，咱们发现ns记录不是一个有效的彻底合格域名，咱们须要对它进行修改。

 

以下图所示，咱们把ns记录改成 ns.adtest.com.，解析出的IP地址和DNS服务器的IP是吻合的，这样咱们就完成了ns记录的修改。

 

以下图所示，咱们把区域的SOA记录也一样进行修改，如今区域的主服务器是ns.adtest.com.，这样SOA记录也修改完毕了。

 

至此，DNS准备工做完成，咱们接下来能够部署域了。

 

二 建立域控制器

有了DNS的支持，咱们如今能够开始建立域控制器了，域控制器是域中的第一台服务器，域控制器上存储着Active Directory，能够说，域控制器就是域的灵魂。咱们准备在Florence上建立域控制器，首先检查Florence网卡的TCP/IP属性，注意，Florence应该使用192.168.11.1做为本身的DNS服务器。由于咱们刚刚在192.168.11.1上建立了adtest.com区域。

以下图所示，在Florence上运行Dcpromo，开始域控制器的建立。

以下图所示，出现Active Directory安装向导，建立域控制器其实就是在Florence上安装一个Active Directory数据库，点击下一步继续。

Adtest.com是一个新建立的域，由于咱们选择建立“新域的域控制器”。

以下图所示，咱们选择建立一个“在新林中的域”，这个选项是什么意思呢？咱们虽然只是简单地建立了一个域，但其实从逻辑上讲是建立了一个域林。由于域必定要隶属于域树，域树必定要隶属于域林。由于咱们其实是建立了一个域林，虽然这个域林内只有一棵域树，域树内只有一个树根。

输入域的DNS名称，adtest.com。

域的NETBIOS名称是ADTEST，因为.在NETBIOS名称中是非法字符，由于基本上域的NETBIOS名称就是域名中.以前的部分。

 

Active Directory数据库的路径咱们使用了默认值，若是在生产环境，能够考虑把数据库和日志部分分开存储。

 

Sysvol文件夹的路径咱们也使用默认值，至于Sysvol文件夹是干吗的，咱们后续会有介绍。

 

接下来Active Directory的安装向导会对DNS服务器进行检测，检查是否在DNS服务器上已经建立了和域名相同的区域，并且区域是否容许动态更新。以下图所示，DNS检测经过。注意，若是DNS检测有问题，咱们应该及时排除故障，而不该该继续向下进行。

 

接下来要选择用户和组的默认权限，咱们选择了不容许匿名用户查询域中的信息。

 

设置一下还原模式的管理员口令，咱们从备份中恢复Active Directory时须要用到。

 

好，以下图所示仔细检查一下建立域的各项设置是否正确，若是没有问题咱们就开工了！

 

以下图所示，Active Directory安装向导开始在Florence上安装Active Directory。

 

以下图所示，重启计算机后便可完成Active Directory的安装。

 

重启Florence后咱们发现已经能够用域管理员的身份登陆了，adtest.com域已经被成功建立了。

 

检查DNS服务器，咱们发现DNS区域中已经自动建立了不少记录，这些记录的做用之后咱们再来分析，如今你们只要注意检查一下建立域时有没有把这些记录建立出来，若是没有那就有问题了。

 

至此，咱们完成了域控制器的建立，adtest.com域诞生了！

 

三 建立计算机帐号

建立计算机帐号就是把成员服务器和用户使用的客户机加入域，这些计算机加入域时会在Active Directory中建立计算机帐号。建立计算机帐号从操做上看很是简单，但其实背后涉及的东西不少，例如域控制器和加入域的计算机要共享一个密钥等等，这些内容咱们在后期会为你们介绍。

以Berlin为例为你们介绍如何把计算机加入域，首先要确保Berlin已经使用了192.168.11.1做为本身的DNS服务器，不然Berlin没法利用DNS定位域控制器。

 

以下图所示，在Berlin的计算机属性中切换到“计算机名”标签，点击“更改”。

 

咱们选择让Berlin隶属于域，域名是adtest.com。

 

这时系统须要咱们输入一个有权限在Active Directory中建立计算机帐号的用户名和口令，咱们输入了域管理员的用户名和密码。

 

系统弹出一个窗口欢迎Berlin加入域，这时在Florence上打开Active Directory用户和计算机，以下图所示，咱们发现Berlin的计算机帐号已经被建立出来了。

 

四 建立用户帐号

建立完计算机帐号后，咱们须要为企业内的员工在Active Directory中建立关联的用户帐号。首先咱们应该在Active Directory中利用组织单位展现出企业的管理架构，以下图所示，咱们为你们演示一下如何建立一个组织单位。打开Active Directory用户和计算机，选择新建组织单位。

 

输入组织单位的名称，点击肯定后一个组织单位就建立完成了，是否是很简单呢。

 

建立了组织单位后，咱们就能够在组织单位中建立用户帐号了，以下图所示，咱们在人事部的组织单位中选择新建一个用户。

 

输入用户的姓名及登陆名等参数，点击下一步继续。

 

输入用户密码，选择“密码永不过时”。

 

点击完成后咱们就能够轻松地建立出一个用户帐号。其实，用户帐号中有不少的配置工做须要作，咱们在后续的课程中会有一个专题为你们介绍。

 

目前为止，咱们已经建立了一个域，也在域中建立了计算机帐号和用户帐号。那么，域的管理优点如何可以加以体现，目前这个域模型有没有什么缺陷呢？咱们在下篇博文中将解决这个问题。