域的配置

一、基本概念1、活动目录名称的来源。类似字典，要查一个字必须先从字典的目录着手。而字典目录是经过合理规划过的。例如：按偏旁查，按拼音查。若按拼音查，又分a~z。这便是典型的结构化思路。而活动目录也采用

一、基本概念

1、活动目录名称的来源。

类似字典，要查一个字必须先从字典的目录着手。而字典目录是经过合理规划过的。例如：按偏旁查，按拼音查。若按拼音查，又分a~z。这便是典型的结构化思路。而活动目录也采用了这个思路，将网络资源结构化（如：计算机、用户、打印机），以层次结构将它们组织起来，方便检索。

2、AD 能做什么？

集中、分散资源管理。

既集中又分散看似矛盾，但并不矛盾。“集中”指的是将分布在不同物理地区的计算机资源以特定的层次结构规划起来。例如，最高管理员为公司划分开发部、销售部等组织单元。开发部又分为团队1、团队2等组织单元。

“分散”指的是不同的组织单元由各自的管理员负责。因为最高管理员不可能事必躬亲，组织单元内部的细节事务还是由本组织单元的负责人处理较为妥当。此时，最高管理员就需要为每个组织单元分配各自的管理员。

3、逻辑结构【AD 用户和计算机】

涉及概念众多，包括森林，域树，域，组织单元（OU ）。它们之间的关系类似于学校组成。大一点的学校一般分为南区、北区或者新校区、老校区。校区里面有很多教学楼，教学楼由许多层，每一层又有学生、老师、设备。其实这种组成关系和森林，域树，域，组织单元（OU ），用户、计算机、打印机的关系一样。即森林（学校）——域树（南区、北区或新校区、老校区）——域（教学楼，一个域可能由多个DC 控制）——OU （教学楼的每一层）——用户、计算机、打印机（每层的学生、老师、设备）。整体结构如下图所示。

额外注意的知识点：

a 、域由一台或多台域服务器（DC ）控制，它能提供域名字空间，存储活动目录数据库。 b 、域树中有的域之间有的呈现父子关系。虽然域树和域树之间不共享名称空间。但子域和父域之间共享名称空间，子域延续父域，就像儿子跟着父亲姓一样。例如，父域为root.com ，子域为sub.root.com 。此外，子域与父域之间除了信赖关系外，没有任何关系，两边的管理是完全独立的。例如，父域的管理员不能管理子域，子域的管理员不能管理父域。父域的管理员在子域仅相当于一个普通的用户。

c 、森林内的所有域允许相互访问。森林间的所有域不允许相互访问。并且建议一个公司只存在一个森林。

4、物理结构【AD 站点和服务】

要实现逻辑上的统一，让共享出来的资源对于每台域成员计算机时刻保持最新，就得要求各域中的域服务器（DC ）每隔一段时间就要相互复制数据以便同步。而为了高效复制，常把一组高度可靠的物理链路划分为一个站点，方便复制AD 活动目录。

站点类似于学校中的新校区、老校区或南区、北区。同一站点下的DC 之间相互复制，不压缩流量。不同站点下的DC 之间相互复制，需要压缩流量。差不多压缩到原来的15左右。例如，新校区内部的计算机复制相对比较通畅，不需要压缩流量。但新校区的计算机与老校区的计算机复制就不比校园内部复制那么畅通了，此时就需要压缩流量。

复制原理如下图所示。例如，新校区中有四个教学楼，每个教学楼有一个DC ，分别是A1、A2、A3、A4。老校区中有三个教学楼，每个教学楼有一个DC ，分别是B1、B2、B3。 新校区内的复制不需压缩，老校区内的复制无需压缩，新老校区的复制需要压缩。具体的复制拓扑如下图所示。

这个复制拓扑不是人工产生的，而是由各个DC 内部的KCC 自动执行复制。只要域搭建好后，就自动进行。

额外注意的知识点：

a ．域和站点之间本没有必然的关系，完全是为了更好地复制才联系在一起。

一个域可以属于不同的站点。一个站点也可以包含不同的域。

b ．可通过配置计划的方法控制DC 之间如何复制。例如，定制什么时间去进行一个复制。对于站点内的复制，采用的是通知机制。即当DC 上的数据库更新时，它会去通知其他计算机复制。而站点与站点之间成为宽带连接，走Internet ，相对速度比局域网会慢很多。如下图所示。

二、活动目录逻辑部署方案设计及实验目标

以一家北京公司的成长为案例，不断提出问题，不断解决问题。

1、问题ⅰ的提出与解决

公司目前未部署域，员工都在工作组环境下工作，此时存在以下三个不足。

a. 资源检索不方便。例如，两位员工在不同的办公室工作。若要共享资源，他们必须事先知道对方具体的IP 地址或计算机名称。虽然【网络邻居】能做到这一点，但性能很慢，且检索结果杂乱无章。

b. 访问资源的权限难以控制。例如，张三只能读取某个共享文件夹的内容。李四既能读取也能修改某个共享文件夹的内容。虽然文件的【共享】和【安全】可以做到这一点，但仅适用于用户少的情况，人数一多，这种配置就吃不消了。

c. 只能在本机登录，不能在其他计算机以自己的账号登录。例如，一位员工的办公室在五楼。此时他跑到一楼去帮同事安装软件。然而，他忘带软件包，又忘记为五楼那台自己的计算机设共享。这时，他不得不再跑一趟五楼，去取软件包。

为解决该问题，需要在公司内找一台服务器充当域服务器，部署活动目录（全新的域），取名root.com 。只要员工的计算机加入进这个域，就能成为域成员，轻而易举地解决问题ⅰ。

2、问题ⅱ的提出及解决

当用过一段时间后，发现域服务器不稳定，有当机的可能。这样会导致所有域成员没办法访问网络资源。

为解决该问题，需要在root.com 这个域中增加一台额外的域服务器，用于备份root.com 这个域的数据库。

3、问题ⅲ的提出

随着业务的发展，公司在杭州建立了一个子公司。这个子公司和主公司的管理虽然完全独立，但在名称上希望一看就知道是一个集团的。

为解决该问题，需要基于root.com 建立一个新子域，名字叫做subdom.root.com 。

4、问题ⅳ的提出

随着业务的发展，公司现在需要拆分或处理不良资产，在广州又独立出一个新公司。这个新公司本质上与主公司同属一个集团，但希望在名字上看不出来，给人以两个公司的错觉。

为解决该问题，需要基于root.com 建立一个全新域树，名字叫做new.com 。

5、实验目标。

以上四种情况其实就是部署活动目录的四种基本情况（没有第五种了），也是主要的实验内容。

1）安装新森林。

2）安装额外DC 。

3）安装新子域。

4）安装新域树。

三、逻辑部署前的准备

1、当前的用户要有足够的安装权限。安装新森林、新子域、新域树需要活动目录的企业管理员角色（Enterprise Admins ）。安装额外DC 需要活动目录的域管理员角色（Domain Admins ）。这两种角色都在【Active Directory用户和计算机】的【Users 】中。

2、确认计算机名称唯一。（不建议在建域之前改计算机名称）

3、看盘是否NTFS

4、准备域的NetBIOS 名。在前面Wins 服务中讲过，一个机器有多少服务就有多少个NetBIOS 名。域也是一种服务，所以也需要准备NetBIOS 名。

5、活动目录数据库文件的存放路径（如果放在系统盘中，可能会遇到I/O访问的瓶颈）

6、活动目录数据库日志文件的存放路径

7、Sysvol 共享文件夹的存放路径（存放组策略的模板、登录脚本、注销脚本）

8、活动目录还原模式的管理员密码。工作组环境下的计算机通过按F8进入安全模式。域环境下的计算机通过按F8进入活动目录还原模式。

四、逻辑部署活动目录

准备：

四个标准版Win2003（每个OS 的超级管理员都为Administrator ，密码为空）。

4.1、安装新森林

目标：新建root.com 域，并且这个域中只有一个DC ，名字叫做rootdc 。

步骤：

1、做好部署前的准备工作。

2、将IP 地址设为192.168.1.1。子网掩码设为255.255.255.0。首选DNS 设为192.168.1.1。

3、在【运行】中输入dcpromo ，进入安装向导，一直点击【下一步】，直到【域控制器类型】窗口，选择【新域的域控制器】，点击【下一步】。

4、选择【在新林中的域】，点击【下一步】。

5、输入新域的域名root.com 。