在 Microsoft Windows Server 操作系统的诸多增强功能中 Active Directory功能的引入意义最为重大 但也最常引起困惑 与其前辈(Microsoft Windows NT; 操作系统早期版本中的域控制器)相比 Windows Server 中的 Active Directory 提供了一个全新的体系结构和
在 Microsoft Windows
Server 操作系统的诸多增强功能中
Active Directory功能的引入意义最为重大
但也最常引起困惑
与其前辈(Microsoft Windows NT; 操作系统早期版本中的域控制器)相比
Windows
Server 中的 Active Directory 提供了一个全新的体系结构和丰富得多的功能
尽管本文并不打算讨论 Active Directory 的所有功能
但其中确实概述了这项技术
重点在于讨论两个新概念
域控制器的全新体系结构模型以及与 DNS 的新的集成关系
这些功能对了解如何构建 这样的 Web 群非常有帮助
此外
我们将讨论用 Active Directory 逐步设置 Web 群的过程
本文假定读者已基本了解 Windows NT 早期版本中的网络概念
域控制器的全新体系结构模型 安装了 Active Directory 组件以提供这种目录服务的计算机称为域控制器
如果将 Active Directory 安装到运行 Windows
Server 的计算机上
则会将服务器转换或提升为特定域的域控制器
使用 Active Directory 时
所有 Windows
Server 域控制器都是对等关系
支持多主复制
在所有域控制器之间复制 Active Directory 信息
这是一个重要的体系结构设计上的变化
改变了 Windows NT 早先版本中主域控制器 (PDC) 和备份域控制器 (BDC) 之间的主/从关系
与 Windows NT 早先版本中的区别是
老版本中只有 PDC 保留可读/写的目录信息主副本
而将目录信息的只读副本复制到 BDC 中
Active Directory 则在各个域控制器之间使用多主复制
因此管理员现在可以从任何域控制器进行更改
如果域控制器(特别是 PDC)失败
这会为系统提供更大的可靠性
与 DNS 集成 Active Directory 中另一个重要的体系结构设计上的变化是它与域名系统 (DNS) 的紧密集成
在 Windows
中
网络基本输入/输出系统 (NetBIOS) 名称不再是识别网络计算机或打印机首要的名称解析方法
而是使用完全合格的域名称 (FQDN)(如
s
)来识别
这就意味着 Active Directory 域现在与 DNS 域共享同样的命名结构(或名称空间)
例如
在老版本的 Windows NT 中
引用同一台计算机时
在 Windows 网络域的 NetBIOS 下可能是
SERVER
而在 DNS 域下可能是
s
在 Windows
中
该计算机在 Active Directory 域和 DNS 域中的引用名称都是
s
然而
区分 Active Directory 与 DNS 之间的差异是非常重要的
虽然它们在一起配合得非常紧密
但各自存储的数据和管理的对象都不同
DNS 是一种传输控制协议/Internet 协议 (TCP/IP) 名称解析服务
它存储资源记录
主要是为了将域名转换为相应的 IP 地址
尽管 DNS 可以离开 Active Directory 而独立工作
但其数据可集成并存储到 Active Directory 中
在这里 DNS 信息被自动复制到其它域控制器中
这样就增强了 DNS 服务的可靠性和安全性
另一方面
Active Directory 是一个目录服务
它可以存储域对象名称请求
并将其解析成对象记录数据(例如答复对计算机网络配置信息的请求时)
要找到 Active Directory 服务器
首先由 Active Directory 客户查询为它指定的 DNS 服务器
找到此 Active Directory 服务器的 IP 地址
根据设计
Active Directory 需要 DNS 才能工作
实际上
在安装过程中
如果网络上找不到 DNS 服务器
那么设置 Active Directory 域控制器时通常需要同时安装一个 DNS 服务器
有关 DNS 名称空间如何构建以及 DNS 与 Active Directory 如何关联的详细信息
请参见文章 Setting Up a Domain Name System
设置 Active Directory 域控制器 正如在网络和系统配置文章中所述
我们已设置了两个服务器作为内部域
的 Active Directory 域控制器
我们用一台专用计算机来设置第一个域控制器
并在管理服务器上设置另外一个域控制器作冗余
由于域控制器必须要能通过 Web 服务器和订单处理服务器(用于建立消息队列)以及两个设成群集的数据库服务器进行访问
因此它们必须连接到后端网络
管理网络
或者同时连接这两个网络
在下面的部分
我们将介绍如何逐步设置这些 Active Directory 域控制器
以及为该域设置 Active Directory 客户端的步骤
安装第一个域控制器 按照以下步骤创建一个新的域
并在某个服务器上安装 Active Directory 服务
使该服务器成为该域的第一个域控制器
在开始菜单中
单击运行
键入 dcpromo
然后单击确定
这将启动 Active Directory 安装向导
出现欢迎屏幕以后
系统将要求您为该服务器指定
域控制器类型
保持默认选项
将该服务器设置为新域的域控制器
接着
将要求您创建一个新的域目录树或在现有域目录树中新建一个子域
在本例中
为内部域创建一个新域目录树
接下来
系统将要求您创建一个新的目录林或加入现有的一个目录林
因为这是第一个域
没有现有的目录林
所以保持默认的选项创建新的域目录林
如前所述
Windows
中的 Active Directory 现在用完全合格的域名称 (FQDN) 作为其主命名规则
当要求输入新的域名称时
键入内部域的 FQDN(在本例中我们使用
)
Active Directory 向后兼容老版本的 Windows NT
后者使用 NetBIOS 名称作为其命名规则
为了保持一致
我们选择使用与 NetBIOS 名称相同的域名称
在本例中
接受默认的
INTDOMAIN
作为 NetBIOS 域名称
在后面的两个对话框中
系统将要求您指定 Active Directory 数据库和活动日志的位置
以及共享系统卷
要获得更好的性能和可恢复性
建议将数据库和日志分别存储在不同的硬盘上
为简化此过程
我们选择接受所有的默认位置
此时
安装向导将尝试为新域联系一个 DNS 服务器
如果已经存在使用该域的 DNS 服务器
并且能够在网上找到
则该向导将移至下一步
如果不存在
则向导将询问您是要在同一台计算机上安装和配置一个 DNS 服务器(作为 Active Directory 安装过程的一部分)
还是希望以后再安装 DNS 服务器
建议保持默认选项作为第一选择
除非您确实想自己设置所有的 DNS 资源记录
安装向导接下来显示的对话框都与安全问题有关
如果该域中的所有计算机都在运行 Windows
(在 Duwamish Online 中就是这样)
则选择只与 Windows
服务器相兼容的权限选项
随后指定
管理员
密码
最后
将显示一个摘要屏幕
确认您的选择
如果信息正确
则单击下一步进行确认
当配置过程完成后
重新启动服务器
安装另一个域控制器 再安装一个 Active Directory 域控制器比安装第一个域控制器要简单得多
在开始此过程之前
要确保此新增服务器有权访问同一网络段
这样它才可以与第一个服务器进行通讯
此外
需要指定一个 DNS 服务器的 IP 地址(根据前面的建议
这应该是第一个域控制器)
反过来
查找充当域控制器的计算机时也要使用这个地址
若要指定 DNS 服务器 右键单击网上邻居并选择属性
在网络和拨号连接对话框中
右键单击局域网连接图标并选择属性
注意 如果您的计算机上有多个网络适配卡连接不同的网段(就像 Duwamish Online 网络配置)
而且您不能确定哪个网卡连接到内部网络
则可以用直接断开实际连接到内部网络的电缆的办法来辨别网卡
其结果表现为
被断开地连接的图标将显示为禁用状态
在恢复网络电缆之前
相应地重新命名此连接
选择 Internet 协议 (TCP/IP)
然后单击属性
在 Internet 协议 (TCP/IP) 属性对话框中
选择使用下面的 DNS 服务器地址选项
在首选 DNS 服务器字段中输入 IP 地址
(如果已经在第一个 Active Directory 服务器的安装过程中设置了 DNS 服务器
则输入该服务器的 IP 地址
请参见前面的
安装第一个域控制器
的第
步
)单击确定
确认此更改
指定 DNS 后
现在就可以安装另一个域控制器
若要再安装一个域控制器 在开始菜单中
单击运行
键入 dcpromo
然后单击确定
这将启动 Active Directory 安装向导
出现欢迎屏幕以后
系统将要求您为该服务器指定
域控制器类型
选择设置一个现有域的额外域控制器
接着
系统将要求您输入一个用户名
密码和域名称(本例中为
intdomain
)
当系统要求时
输入某个域的完全合格的域名称
该计算机将变成该域的额外域控制器
(本例中输入
)
与安装第一个 Active Directory 服务器时类似
系统将要求您指定数据库和日志的位置
以及共享系统卷
为简化此过程
我们选择接受默认位置
指定
管理员
密码后
系统将要求您检查并确认摘要屏幕上的信息
单击下一步
开始安装
当安装完成后
重新启动服务器
设置 Active Directory 客户
在安装 Windows
时
系统会要求您加入现有的域或工作组
如果在安装时还没有域控制器
则可以在以后加入此域
在开始此过程之前
要确保该计算机有权访问同一网段
这样它才可以与此域进行通讯
因为在设置另一个域控制器时
需要指定 DNS 服务器的 IP 地址
以下步骤描述如何在 Windows
中将一台计算机加入新域
右键单击我的电脑并选择属性
从系统属性对话框中
单击网
