WIN2000 server 域控制器安装教程

WIN2000 server 域控制器安装教程控制器, server, 教程how two： 四种AD 安装的情况以及配置方法(简易版)----------------看到论坛里面很多人问AD 使用中

WIN2000 server 域控制器安装教程

控制器, server, 教程

how two： 四种AD 安装的情况以及配置方法(简易版)

----------------

看到论坛里面很多人问AD 使用中出现问题，比如找不到另一台域控制器，其实很多问题是安装AD 不当造成的，有些和DNS 也有关系。

AD 涉及的内容还是比较多的，所以今晚写一个简易的安装AD 的步骤出来。AD 有问题的时候可以check 一下，看安装是否正确。

我这里写的比较简单，主要是没有详细写关于DNS delegate如何做，所有场景均使用一个dns 服务器，如果要设置更详细，可以参考win2000 dns white paper，微软网站有下载。 另外个人建议，如果要管理好AD ，对DNS 还是要下一些功夫弄清楚。否则即使装了，管理起来出问题也很难排错。

----------------

----------------

环境：

两台win2k server,配置如下

1： 计算机名： server1

IP: 192.168.0.1

2: 计算机名： server2

IP: 192.168.0.2

－－－－－－－－

－－－－－－－－－－－－－－－－情况一：单域，单域控制器－－－－－－－－－－－－－－

目标：

将server1做成域控制器，域名为test.com ，server2作为member server

AD 需要DNS 的支持，DNS 可以在安装AD 的前中后装，建议在AD 安装之前装，并手动配置 (1A) 安装DNS(server1上)

1:安装DNS 服务。（如果是给forestroot 做DNS ，建议先将机器上原来的DNS 卸干净，包括system32下DNS 目录也删掉。再安装服务）

2：创建forward lookup zone,为test.com 。reverse lookup zone填网络号192.168.0 3：设置两个zone 允许dynamic update

4：在本地连接中将DNS 地址指向192.168.0.1

5:设置primary dns suffix为test.com

6：按照提示，restart ，建议一定重起。

7: 重起后发现test.com 中有server1的A 记录，说明一切正常。反向zone 中有ptr 记录 (需要注意的是，域名第一片和计算机名不要一样，如果在计算机abc 上不要做abc.com ，否则默认情况下domain 的netbios 名和计算机的netbios 名会一样)

(1B)

按照正常情况Dcpromo ，选择安装成新域的域控制器，新树，新森林。

安装过程中应不会提示任何诸如“DNS 找不到”的信息，这就正常了。

装完AD 后看看DNS 的的test.com 内是否有放置SRV 记录的四个目录，目录名为TCP,UDP,MSDCS,Sites 。如果一个也没有，重新启动Net logon服务，如果

还是没有，那装得有问题。一般应该都是正常的。

同时查看事件查看器中是否有任何关于directory service的错误日志。

(1C) 将server2设置成member server

在server2上将dns 指向server1，修改primary dns suffix为test.com ，重起，然后将server2加入domian ，在server1上打开ad user and

computer ，其中computer 容器内可以看到server2的计算机帐号。DNS 中也会有server2的A 记录。查看事件查看器，确保无任何不良记录。

－－－－－－－－－－－－－－－－情况2，单域，两个域控制器－－－－－－－－－ 目标：server1作为第一台域控制器，server2作为第二台域控制器，域名test.com server1的安装同1a ，1b 。

对于server2。

（2a ）

1：安装前，此机器属于domain 或者工作组没有关系。

2：将dns 指向server1（192.168.0.1）

3:修改primary suffix为test.com （suffix 是可以自动改，但是手动改总是放心些） 4：重起机器，建议一定重起。

5：检查server1上的dns ，在test.com 这个zone 内会发现server2的a 记录。如果没有，那配置有问题，可以用ipconfig/registerdns手动注册，再看

有没有，如果还是没有，那就有问题了（dns 没有按照1a 设置好）。

（2b ）

1：dcpromo ，启动向导

2：选择，安装成一个已经存在的域的另外一台域控制器

3：按照提示，输入身份，这个身份是enterprise admins的身份，也就是现在test.com 的administrator 以及其密码

4：选择要加入的domain ，这里是test.com

5：完成其他选项

（3c ）

1：安装后可以在ad user and computer (ad u&c)中的domain controller ou 中看见server1和server2的计算机帐号

2：dns 的test.com 的四个目录（tcp udp msdcs sites ，里面为srv 记录）中可以发现server2的srv 记录。如果没有，重起server2上的netlogon 服务

，同时可以尝试用ipcpnfig /registerdns重新注册。

3：可以在两台域控制器上添加新的，然后看相互复制是否正常。

4：当然，其他比如dcdiag ，repmonitor 等工具可以用来检查一些问题，不过这是个简易贴，就不说了阿。

5：查看事件查看器，确保无任何不良记录。

－－－－－－－－－－－－－－－－情况3，一个森林，一个树，两个域－－－－－－ 安装完后，森林内有一棵树，两个domain ：test.com, sub.test.com,其中server2为sub 的DC 。

关于test 。com 的安装方法，仍然参照1a,1b

下面是将server2安装成sub.test.com 的dc 。

3a)dns 配置

1：在server1的dns 上（简易做法），创建sub.test.com 的zone ，设置动态更新为yes 2：将server2的dns 指向192。168。0。1

3：修改server2的primary dns suffix为sub.test.com

4：重起

5：在sub.test.com 这个zone 中找到server2的a 记录

3b ）

1：dcpromo

2：选择安装为新域的域控制器－－放入一个已经存在的树

3：填入enterprise admin的身份信息（administrator/password/test.com）

4: 出来一个界面，让填域名，上面是父域的名字（test.com ），中间填入sub, 下面自动完成，显示全名为sub.test.com

5：完成其他选项

3c ）

1：完成后，在server2的 ad user and computer中的domain controller ou中可以找到server2的计算机帐号

2：在dns 的sub.test.com 这个zone 中可以找到关于server2的srv 记录（四个目录），如果没有，按3c-2的方法在注册一次

3：看看server2上的ad domain and trust 工具中是否显示出sub.test.com 这个domain （在test.com 下有个sub ）

4：打开ad site and service看看是否有所有的site 信息，有，说明configuration 分区的复制大致没有什么问题。

5：查看事件查看器，确保无任何不良记录。

6：有其他问题，到论坛提问吧 ^_^

----------------------------情况4，一个森林，两棵树，两个域－－－－－－－－－ 安装完成后，server1为test.com 的dc ，server2为lab.com 的dc

4a) 准备

1：在server1的dns 上创建lab.com 这个zone ，设置动态更新

2：将server2的dns 指向192。168。0。1

3：修改server2的primary dns suffix为lab.com

4：重起

5：在lab.com 这个zone 中找到server2的a 记录

4b)

1：dcpromo

2：选择安装为新域的域控制器－－新树－－放入一个已经存在的森林

3：填入enterprise admin的身份信息（administrator/password/test.com）

4：填入树名为lab.com

5：完成其他选项

4c)

1：完成后，在server2的 ad user and computer中的domain controller ou中可以找到server2的计算机帐号

2：在dns 的lab.com 这个zone 中可以找到关于server2的srv 记录（四个目录），如果没有，按3c-2的方法在注册一次

3：看看server2上的ad domain and trust工具中是否显示出lab.com 这个domain

4：打开ad site and service看看是否有所有的site 信息，有，说明configuration 分区的复制大致没有什么问题。

5：查看事件查看器，确保无任何不良记录。

cisco 四种类型的网络防火墙技术汇总

我们知道防火墙有四种类型：集成防火墙功能的路由器，集成防火墙功能的代理服务器，专用的软件防火墙和专用的软硬件结合的防火墙。Cisco 的防火墙解决方案中包含了四种类型中的第一种和第四种，即：集成防火墙功能的路由器和专用的软硬件结合的防火墙。

一、 集成在路由器中的防火墙技术

1、 路由器IOS 标准设备中的ACL 技术

ACL 即Access Control Lis t（访问控制列表），简称Access List（访问列表），它是后续所述的IOS Firewall Feature Set 的基础，也是Cisco 全线路由器统一界面的操作系统IOS （Internet Operation System，网间操作系统）标准配置的一部分。这就是说在购买了路由器后，ACL 功能已经具备，不需要额外花钱去买。

2、 IOS Firewall Feature Set（IOS 防火墙软件包）

IOS Firewall Feature Set是在ACL 的基础上对安全控制的进一步提升，由名称可知，它是一套专门针对防火墙功能的附加软件包，可通过IOS 升级获得，并且可以加载到多个Cisco 路由器平台上。

目前防火墙软件包适用的路由器平台包括Cisco 1600、1700、2500、2600和3600，均属中、低端系列。对很多倾向与使用"all-in-one solution"（一体化解决方案），力求简单化管理的中小企业用户来说，它能很大程度上满足需求。之所以不在高端设备上实施集成防火墙功能，这是为了避免影响大型网络的主干路由器的核心工作--数据转发。在这样的网络中，应当使用专用的防火墙设备。

Cisco IOS防火墙特征：

l 基于上下文的访问控制（CBAC ）为先进应用程序提供基于应用程序的安全筛选并支持最新协议

l Java能防止下载动机不纯的小应用程序

l 在现有功能基础上又添加了拒绝服务探测和预防功能，从而增加了保护

l 在探测到可疑行为后可向中央管理控制台实时发送警报和系统记录错误信息 l TCP/UDP事务处理记录按源/目的地址和端口对跟踪用户访问

l 配置和管理特性与现有管理应用程序密切配合

二、 专用防火墙--PIX

PIX （Private Internet eXchange ）属于四类防火墙中的第四种--软硬件结合的防火墙，它的设计是为了满足高级别的安全需求，以较好的性能价格比提供严密的、强有力的安全防范。除了具备第四类防火墙的共同特性，并囊括了IOS Firewall Feature Set的应有功能。 PIX 成为Cisco 在网络安全领域的旗舰产品已有一段历史了，它的软硬件结构也经历了较大的发展。现在的PIX 有515和520两种型号（520系列容量大于515系列），从原来的仅支持两个10M 以太网接口，到10/100M以太网、令牌环网和FDDI 的多介质、多端口（最多4

个）应用；其专用操作系统从v5.0开始提供对IPSec 这一标准隧道技术的支持，使PIX 能与更多的其它设备一起共同构筑起基于标准VPN 连接。

Cisco 的PIX Firewall 能同时支持16，000多路TCP 对话，并支持数万用户而不影响用户性能，在额定载荷下，PIX Firewall的运行速度为45Mbps ，支持T3速度，这种速度比基于UNIX 的防火墙快十倍。

主要特性：

l 保护方案基于适应性安全算法（ASA ），能提供任何其它防火墙都不能提供的最高安全保护

l 将获专利的" 切入代理" 特性能提供传统代理服务器无法匹敌的高性能

l 安装简单，维护方便，因而降低了购置成本

l 支持64路同时连接，企业发展后可扩充到16000路

l 透明支持所有通用TCP/IP Internet 服务，如万维网（WWW ）文件传输协议（FTP ）、Telnet 、Archie 、Gopher 和rlogin

l 支持多媒体数据类型，包括Progressive 网络公司的Real Audio，Xing 技术公司的Steamworks ，White Pines公司腃USeeMe ，Vocal Te公司的Internet Phone，VDOnet 公司的VDOLive ，Microsoft 公司的NetShow 和Uxtreme 公司的Web Theater 2

l 支持H323兼容的视频会议应用，包括Intel 的Internet Video Phone和Microsoft 的NetMeeting

l 无需因安装而停止运行

l 无需升级主机或路由器

l 完全可以从未注册的内部主机访问外部Internet

l 能与基于Cisco IOS的路由器互操作

三、 两种防火墙技术的比较

IOS FIREWALL FEATURE SET PIX FIREWALL

网络规模 中小型网络，小于250节点的应用。 大型网络，可支持多于500用户的应用 工作平台 路由器IOS 操作系统 专用PIX 工作平台

性能 最高支持T1/E1（2M ）线路 可支持多条T3/E3（45M ）线路

工作原理 基于数据包过滤，核心控制为CBAC 基于数据包过滤，核心控制为ASA

配置方式 命令行或图形方式（通过ConfigMaker ） 命令行方式或图形方式（通过Firewall Manager）

应用的过滤 支持Java 小程序过滤 支持Java 小程序过滤

身份认证 通过IOS 命令，支持TACACS 、RADIUS 服务器认证。 支持TACACS 、RADIUS 集中认证

虚拟专网（VPN ） 通过IOS 软件升级可支持IPSec 、L2F 和GRE 隧道技术，支持40或56位DES 加密。 支持Private Link或IPSec 隧道和加密技术

网络地址翻译（NAT ） 集成IOS Plus实现 支持

冗余特性 通过路由器的冗余协议HSRP 实现 支持热冗余

自身安全 支持Denial-of-Service 支持Denial-of-Service

代理服务 无，通过路由器的路由功能实现应用 切入的代理服务功能

管理 通过路由器的管理工具，如Cisco Works 通过Firewall Manager实现管理 审计功能 一定的跟踪和报警功能 状态化数据过滤，可通过Firewall Manager 实现较好

的额监控、报告功能

四、 Centri防火墙

主要特性：

l 核心代理体系结构

l 针对Windows NT定制TCP/IP栈

l 图形用户结构可制订安全政策

l 可将安全政策拖放到网络、网络组、用户和用户组

l ActiveX、Java 小应用程序、Java 和Vb 模块

l 通用资源定位器（URL ）模块

l 端口地址转换

l 网络地址转换

l 透明支持所有通用TCP/IP应用程序，包括WWW 、文件传输协议（FTP ）Telnet 和邮件 l 为Web 、Telnet 和FTP 提供代理安全服务

l 根据IP 地址、IP 子网和IP 子网组进行认证

l 使用sl 口令和可重复使用口令Telnet 、Web 和ftp 提供联机用户认证

l 使用Windows NT对所有网络服务进行带外认证

l 防止拒绝服务型攻击，包括SYN Flood、IP 地址哄骗和Ping-of-Death

进入PIX 系统；此时系统提示pixfirewall>。

3. 输入命令：enable, 进入特权模式，此时系统提示为pixfirewall#。

4. 输入命令： configure terminal,对系统进行初始化设置。

5. 配置以太口参数:

interface ethernet0 auto （auto 选项表明系统自适应网卡类型 ）interface ethernet1 auto

6. 配置内外网卡的IP 地址：

ip address inside ip_address netmask

ip address outside ip_address netmask

7. 指定外部地址范围：

global 1 ip_address-ip_address

8. 指定要进行要转换的内部地址：

nat 1 ip_address netmask

9. 设置指向内部网和外部网的缺省路由

route inside 0 0 inside_default_router_ip_address

route outside 0 0 outside_default_router_ip_address

10. 配置静态IP 地址对映:

static outside ip_address inside ip_address

11. 设置某些控制选项：

conduit global_ip port<-port> protocol foreign_ip global_ip 指的是要控制的地址

port 指的是所作用的端口，其中0代表所有端口

protocol 指的是连接协议，比如：TCP 、UDP 等

foreign_ip 表示可访问global_ip的外部ip ，其中表示所有的ip 。

12. 设置telnet 选项：

telnet local_ip

local_ip 表示被允许通过telnet 访问到pix 的ip 地址（如果不设此项， PIX的配置只能由consle 方式进行）。

13. 将配置保存：

wr mem

14. 几个常用的网络测试命令：

#ping

#show interface 查看端口状态

#show static 查看静态地址映射

六、PIX 与路由器的结合配置

（一）、PIX 防火墙

1、设置PIX 防火墙的外部地址：

ip address outside 131.1.23.2

2、设置PIX 防火墙的内部地址：

ip address inside 10.10.254.1

3、设置一个内部计算机与Internet 上计算机进行通信时所需的全局地址池： global1 131.1.23.10-131.1.23.254

4、允许网络地址为10.0.0.0的网段地址被PIX 翻译成外部地址：

nat 110.0.0.0

5、网管工作站固定使用的外部地址为131.1.23.11：

static 131.1.23.11 10.14.8.50 6、允许从RTRA 发送到到网管工作站的系统日志包通过PIX 防火墙： conduit 131.1.23.11514 udp 131.1.23.1 255.255.255.255 7、允许从外部发起的对邮件服务器的连接（131.1.23.10）：

mailhost 131.1.23.10 10.10.254.3

8、允许网络管理员通过远程登录管理IPX 防火墙：

telnet 10.14.8.50

9、在位于网管工作站上的日志服务器上记录所有事件日志：

syslog facility 20.7

syslog host 10.14.8.50

（二）、路由器RTRA

RTRA 是外部防护路由器，它必须保护PIX 防火墙免受直接攻击，保护FTP/HTTP服务器，同时作为一个警报系统，如果有人攻入此路由器，管理可以立即被通知。

1、阻止一些对路由器本身的攻击：www.stcore.com

no service tcps mall-servers

2、强制路由器向系统日志服务器发送在此路由器发生的每一个事件，包括被存取斜砭芫? 陌? 吐酚善髋渲玫母谋洌徽飧龆? 骺梢宰魑? 韵低彻芾碓钡脑缙谠ぞ?? な居腥嗽谑酝脊セ髀酚善鳎? 蛘咭丫? ト肼酚善鳎?? 谑酝脊セ鞣阑鹎剑?BR>logging trapde bugging

3、此地址是网管工作站的外部地址，路由器将记录所有事件到此主机上： logging 131.1.23.11

4、保护PIX 防火墙和HTTP/FTP服务器以及防卫欺骗攻击（见存取列表）： enable secret xxxxxxxxxxx

interface Ethernet 0

ipaddress 131.1.23.1 255.255.255.0

interfaceSerial 0

ip unnumbered ethernet 0

ip access-group 110 in

5、禁止任何显示为来源于路由器RTRA 和PIX 防火墙之间的信息包，这可以防止欺骗攻击：

access-list 110 deny ip 131.1.23.0 0.0.0.255 anylog

6、防止对PIX 防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接PIX 防火墙外部接口的事件：

access-list 110 deny ip any host 131.1.23.2 log

7、允许已经建立的TCP 会话的信息包通过：

access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established

8、允许和FTP/HTTP服务器的FTP 连接：

access-list 110 permit tcp any host 131.1.23.3 eq ftp

9、允许和FTP/HTTP服务器的FTP 数据连接： access-list 110 permit tcp any host 131.1.23.2 eq ftp-data 10、允许和FTP/HTTP服务器的HTTP 连接： access-list 110 permit tcp any host 131.1.23.2 eq www

11、禁止和FTP/HTTP服务器的别的连接并记录到系统日志服务器任何企图连接FTP/HTTP的事件：

access-list 110 deny ip any host 131.1.23.2 log

12、允许其他预定在PIX 防火墙和路由器RTRA 之间的流量：

access-list 110 permit ip any 131.1.23.0 0.0.0.255

13、限制可以远程登录到此路由器的IP 地址：

line vty 0 4

login

password xxxxxxxxxx

access-class 10 in

14、只允许网管工作站远程登录到此路由器，当你想从Internet 管理此路由器时，应对此存取控制列表进行修改：

access-list 10 permit ip 131.1.23.11

（三）、路由器RTRB

RTRB 是内部网防护路由器，它是你的防火墙的最后一道防线，是进入内部网的入口。

1、记录此路由器上的所有活动到网管工作站上的日志服务器，包括配置的修改： logging trap debugging

logging 10.14.8.50

2、允许通向网管工作站的系统日志信息：

interface Ethernet 0 ip address 10.10.254.2 255.255.255.0 no ip proxy-arp ip access-group 110 in

access-list 110 permit udp host 10.10.254.0 0.0.0.255

3、禁止所有别的从PIX 防火墙发来的信息包：

access-list 110 deny ip any host 10.10.254.2 log

4、允许邮件主机和内部邮件服务器的SMTP 邮件连接：

access-list permit tcp host 10.10.254.31 0.0.0.0 0.255.255.255 eq smtp

5、禁止别的来源与邮件服务器的流量：

access-list deny ip host 10.10.254.31 0.0.0.0 0.255.255.255

6、防止内部网络的信任地址欺骗：

access-list deny ip any 10.10.254.0 0.0.0.255

7、允许所有别的来源于PIX 防火墙和路由器RTRB 之间的流量：

access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255

8、限制可以远程登录到此路由器上的IP 地址：

line vty 0 4

login

password xxxxxxxxxx

access-class 10 in

9、只允许网管工作站远程登录到此路由器，当你想从Internet 管理此路由器时，应对此存取控制列表进行修改：

access-list 10 permit ip 10.14.8.50

按以上设置配置好PIX 防火墙和路由器后，PIX 防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口，也不可能判断出内部任何一台主机的IP 地址，即使告诉了内部主机的IP 地址，要想直接对它们进行Ping 和连接也是不可能的。这样就可以对整个内部网进行有效的保护

收藏 分享 评分