欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

一、Active Directory Domain Services(AD DS)

in the Windows Server 2008 network enviroment ,Active Directory Domain Services(AD DS),provide with organizing、managing、controlling network resources.

1-1 active directory domain services overview

directory :telephone directory;file directory

如果這些directory內的數據能夠系統的加以整理的話(huà)，用戶(hù)就能夠容易且迅速的查找到所需文件。

Active Directory的組成是directory，域內的directory是用來(lái)存儲用戶(hù)帳戶(hù)、計算機帳戶(hù)、打印機與共享文件夾等對象，我們把這些對象的存儲地點(diǎn)稱(chēng)為目錄數據庫（directory database）。

Active Directory 域內負責提供目錄服務(wù)的組件就是active directory域服務(wù)，active directory domain services

它負責目錄數據庫的存儲、添加、刪除、修改與查詢(xún)操作。

1-1-1 active directory domain service scope

active directory domain service 可以用在一臺計算機、LAN或者數個(gè)WAN的聯(lián)合，它包含此范圍所有的對象，例如文件、打印機、應用程序、服務(wù)器、域控制器與用戶(hù)帳戶(hù)等。

1-1-2nameSpace

bounded area ,一塊界定好的區域，在此區域內，我們可以利用某個(gè)名稱(chēng)來(lái)找到與這個(gè)名稱(chēng)有關(guān)的信息。

active directory 域服務(wù)內，active directory就是一個(gè)名稱(chēng)空間，在active directory內我們可以通過(guò)對象名來(lái)找到與這個(gè)對象相關(guān)的所有的信息。

active directory domain services 與DNS緊密集成在一起，其域的名稱(chēng)空間也是采用DNS架構，因此域名采用DNS格式來(lái)命名

 1-1-3 object and attribute

ad ds內的資源都是以對象的形式存在的，例如用戶(hù)、計算機、打印機，對象通過(guò)屬性來(lái)描述其特征。對象本身是屬性的集合，對象類(lèi)的概念-object class

1-1-4容器（container）和組織單位（organization units）

與對象不同的是容器內可以包含其他對象，也可以包含其他的容器。而組織單位是一個(gè)比較特殊的容器，除了可以包括其他對象與組織單位外，還有組策略的功能。

AD DS是層次化的結構（hierarchical）將對象、容器與組織單位等組合在一起，并將其存儲到active directory數據庫中。

1-1-5域樹(shù)目錄

根域（root domain）

subdomain子域

域名空間是連續性的（continuous）：子域的域名包含著(zhù)其父域的域名。

域樹(shù)目錄內的所有域共享一個(gè)active directory數據庫，也就是在這個(gè)域樹(shù)目錄之下只有一個(gè)active directory數據庫，不過(guò)這個(gè)active directory數據庫內的數據分散地各個(gè)域內，每個(gè)域只存儲屬于該域的數據。

1-1-6信任（trust）

兩個(gè)域（trust relationship），然后才可以訪(fǎng)問(wèn)對方域內的資源。

任何一個(gè)新AD DS域被加入到域目錄后，這個(gè)域會(huì )自動(dòng)信任其前一層的父域，同時(shí)父域也會(huì )自動(dòng)信任這個(gè)新加入的子域，而且這種信任關(guān)系具有雙向傳遞性（Two-way transitive）,kerberos信任。

因為傳遞性得到的信任關(guān)系，可稱(chēng)為隱性的信任關(guān)系（impicit trust）。

所以當任何一個(gè)AD DS域加入到域樹(shù)目錄后，它會(huì )自動(dòng)雙向信任這個(gè)域樹(shù)目錄內的所有域，因此只要擁有適當權限，這個(gè)新域內的用戶(hù)便可以訪(fǎng)問(wèn)其他域的資源：同理，其他域內的用戶(hù)也可以訪(fǎng)問(wèn)這個(gè)新域內的資源。

1-1-7 forest

林是由一個(gè)或多個(gè)域樹(shù)目錄組成，每一個(gè)域樹(shù)目錄都有自己唯一的名稱(chēng)空間。

您所創(chuàng )建的第一個(gè)域樹(shù)目錄的根域，就是整個(gè)林的根域，同時(shí)其域名就是林的林名。

例如sayms.com 是整個(gè)林的根域，整個(gè)林的域名是sayms.com

當創(chuàng )建林時(shí)，每一個(gè)域樹(shù)目錄內的根域（root domain）之間雙向的、傳遞性的信任關(guān)系都會(huì )被自動(dòng)創(chuàng )建。因此每個(gè)域樹(shù)目錄中的每個(gè)域內的用戶(hù)，只要擁有權限，都可以訪(fǎng)問(wèn)其他任何一個(gè)域樹(shù)目錄內的資源，也可以到其他任何一個(gè)域樹(shù)目錄內的計算機登錄。

1-1-8架構（schema）

AD DS內的書(shū)香類(lèi)型與屬性數據是定義在schema內的。比如schema定義了對象類(lèi)型內包含了哪些屬性、沒(méi)一個(gè)屬性的數據類(lèi)型等信息。

應用程序可以在schema內添加其所需要的對象類(lèi)型或屬性，系統管理員（指schema admins 組內的用戶(hù)）可以修改架構內的數據。在一個(gè)forest內的all domain tree共享相同的schema。

1-1-9域控制器

AD DS的目錄數據是存儲在域控制器內的。一個(gè)域內可以有多臺域控制器，每一臺域控制器的地位（幾乎）是平等的。他們各自存儲著(zhù)一份幾乎完全相同的vactive directory數據庫。比如當在任何一臺域控制器內添加一個(gè)用戶(hù)帳戶(hù)后，這個(gè)帳戶(hù)默認是被創(chuàng )建在此域控制器的active directory數據庫內，之后這份數據會(huì )自動(dòng)被replicate到其他域控制器的active directory數據庫內，以便讓所有域控制器內的AD DS數據都能夠同步（synchronize）。

多臺域控制器可以提高系統的可靠性，提供容錯功能，同時(shí)可以改善登錄效率。

域控制器一般是一臺服務(wù)器級別的計算機，在windows server 2008家族中，除了 windows web server 2008之外，其他都可以扮演域控制器的角色。

1-1-10active directory的復制模式

域控制器之間在復制active directory數據庫時(shí)，其復制方式可以為以下兩種模式：

多主機復制模式（multi-master replication model）

當在任何一臺域控制器的active directory數據庫內添加一個(gè)用戶(hù)帳戶(hù)后，這個(gè)帳戶(hù)會(huì )自動(dòng)被復制到域內的其他域控制器。active directory數據庫內的大部分的數據是利用這種模式在復制。

單主機復制模式（single-master replication model）

當提出更改對象數據的請求的時(shí)候，會(huì )由其中一臺域控制器（操作主機）負責接收與處理此請求，也就是說(shuō)該對象是先被更新在操作主機，再由這臺操作主機將它復制到其他的域控制器。

1-1-11域中的其他成員計算機

要充分管理計算機，需要將這些計算機加入到域內，如果用戶(hù)要使用active directory數據庫內的域用戶(hù)帳戶(hù)來(lái)登錄，這些計算機也必須加入域。沒(méi)有加入域的計算機只能夠使用本地用戶(hù)帳戶(hù)登錄。

域中的成員計算機包括：

成員服務(wù)器（member server）

服務(wù)器級別的計算機加入域后被稱(chēng)為成員服務(wù)器（member server），成員服務(wù)器的區別不是硬件，而是操作系統。成員服務(wù)器可以是：

windows server 2008

windows server 2003

windows 2000 server

windows NT server 4.0

若上述服務(wù)器沒(méi)有加入到域，則他們被稱(chēng)為獨立服務(wù)器（stand-alone server）或工作組服務(wù)器（workgroup server ）,無(wú)論是member server還是stand-alone server，他們都有本地的SAM（security accounts manager），系統可以用SAM來(lái)審核本地的用戶(hù)的身份。

其他客戶(hù)端計算機

windows vista Ultimate 、windows vista enterprise 、windows vista bussiness

windows XP  professional

windows 2000 professional

windows NT workstation

PS:postscript

注意:ista home premium、vista home basic 、vista starter、XP home edition等計算機在登錄窗口中無(wú)法選擇域用戶(hù)來(lái)登錄，只能利用本地用戶(hù)帳戶(hù)來(lái)登錄。

在windows網(wǎng)絡(luò )環(huán)境下，可以將獨立服務(wù)器或成員服務(wù)器升級成為域控制器，也可以將域控制器降級為獨立服務(wù)器或成員服務(wù)器。

1-1-12 DNS服務(wù)器

  域控制器需要將自己注冊到DNS服務(wù)器內，以便讓其他計算機通過(guò)DNS服務(wù)器來(lái)找到這臺域控制器。因此搭建域環(huán)境需要有可支持AD DS的DNS服務(wù)器。同時(shí)這臺DNS服務(wù)器最好支持動(dòng)態(tài)更新（dynamic update），以便當域控制器的角色有變動(dòng)或域成員計算機的IP地址等數據更改時(shí)，可以自動(dòng)更新DNS服務(wù)器的記錄。

1-1-13輕型目錄訪(fǎng)問(wèn)協(xié)議（LDAP）

LDAP(lightweight directory access protocol)輕型目錄訪(fǎng)問(wèn)協(xié)議是用來(lái)訪(fǎng)問(wèn)active directory數據庫的目錄服務(wù)協(xié)議。AD DS是利用LDAP名稱(chēng)路徑（LDAP naming  path）來(lái)表示對象在active directory數據庫中的位置，以便用它來(lái)訪(fǎng)問(wèn)active directory數據庫內的對象。LDAP名稱(chēng)路徑包括：

distinguished Name（DN）

DN是對象在active directory數據庫內的完整路徑

其中的DC（domain component）表示DNS域名中的組件；OU為組織單位（organization unit）；CN為common  name

relative distinguished name（RDN）

RDN是在DN的完整路徑中，用來(lái)代表某個(gè)對象的部分路徑

GUID（global unique identifier）

GUID是個(gè)128位的數值，您所創(chuàng )建的任何一個(gè)對象，系統都會(huì )自動(dòng)為其指定一個(gè)唯一的GUID。雖然可以改變對象的名稱(chēng)，但是其GUID永遠不變。

User Principal Name

每一個(gè)用戶(hù)還可以有幾個(gè)比DN更短、更容易記憶的UPN形式為bob@sya.com，用戶(hù)在登錄的時(shí)候最好是用UPN

user principal name

service principal name SPN

SPN是一個(gè)內含多重值（multivalue）的名稱(chēng)，他是根據DNS主機名來(lái)創(chuàng )建的，SPN用來(lái)代表某臺計算機所支持的服務(wù)，它讓其他計算機可以通過(guò)SPN來(lái)與這臺計算機的服務(wù)通信。

1-1-14 全局編錄（global catalog）

雖然在域樹(shù)目錄內的所有域共享一個(gè)active directory數據庫，但是其內的數據確實(shí)分散在各個(gè)域內的，而且是每個(gè)域只存儲域本身的數據。為了讓用戶(hù)、應用程序能夠迅速的找到位于其他域的資源，在A(yíng)D DS內設計了全局編錄（global catalog0。

全局編錄的數據是存儲在域控制器內的，這臺域控制器被稱(chēng)為全局編錄服務(wù)器，其內存儲著(zhù)林內所有域的active directory數據庫內的每一個(gè)對象。不過(guò)只存儲每一個(gè)對象的部分屬性，這些屬性是都是常被搜索的屬性。

用戶(hù)登錄的時(shí)候，全局編錄服務(wù)器還負責提供該用戶(hù)所隸屬的全局組數據；或是用戶(hù)用UPN登錄時(shí)，它會(huì )負責提供該用戶(hù)是屬于哪一個(gè)域的信息。

一個(gè)林內的所有域樹(shù)目錄共享相同的全局編錄（global catalog），而林內的第一臺域控制器，默認就是全局編錄服務(wù)器。也可以指派其他域控制器為全局編錄服務(wù)器。

1-1-15站點(diǎn)site

站點(diǎn)是由一個(gè)或多個(gè)IP子網(wǎng)（subnet）所組成的，這些子網(wǎng)之間通過(guò)高速且可靠的鏈路串接起來(lái)，如果鏈路不滿(mǎn)足要求應該將其劃為不同的站點(diǎn)。

例如一個(gè)LAN內的各個(gè)子網(wǎng)之間的鏈路都符合高速且可靠的鏈路，而通過(guò)WAN互聯(lián)的站點(diǎn)速度一般不快，所以應該劃分為多個(gè)站點(diǎn)(site)。

域是邏輯的分組，而站點(diǎn)是物理的分組，在A(yíng)D DS內沒(méi)一個(gè)站點(diǎn)可能會(huì )含有多個(gè)域；而一個(gè)域內的計算機也可能分別屬于不同的站點(diǎn)。

如果一個(gè)域的域控制器分布在不同的站點(diǎn)內，且這些站點(diǎn)這些站點(diǎn)是低速鏈接的話(huà)（slow wan link），由于兩個(gè)domain controllers之間因為需要synchronize數據而需要replicate數據，所以需要審慎規劃數據復制的時(shí)間段，盡量設置在非高峰時(shí)期來(lái)執行復制工作，同時(shí)復制頻率也不要太高，以避免復制時(shí)占用兩個(gè)站點(diǎn)之間的鏈接帶寬，影響兩個(gè)站點(diǎn)之間的數據傳輸。隸屬于同一個(gè)站點(diǎn)之間的域控制器，會(huì )自動(dòng)執行復制功能，默認的復制頻率也比較高。

不同站點(diǎn)之間的數據進(jìn)行復制的時(shí)候，所傳送的數據會(huì )被壓縮，同一個(gè)站點(diǎn)之間的數據不會(huì )被壓縮。

1-1-16 目錄分區（directory partition）

active directory數據庫被邏輯的劃分為以下目錄分區：

架構目錄分區（schema directory partition）

它存儲著(zhù)整個(gè)林中所有對象與屬性的定義數據，也存儲著(zhù)如何創(chuàng )建新對象與屬性的規則。整個(gè)林內所有域共享一份相同的架構目錄分區，它會(huì )被復制到所有域的所有域控制器。

配置目錄分區（configuration directory partition）

其存儲著(zhù)整個(gè)AD DS的結構，例如有哪些域、有哪些站點(diǎn)、域控制器等數據。整個(gè)林共享一份相同的配置目錄分區，它會(huì )被復制到整個(gè)林中的所有域控制器上。

域目錄分區(domain directory partition)

每個(gè)域各有一個(gè)域目錄分區，其內存儲著(zhù)與該域有關(guān)的對象，例如用戶(hù)、組、計算機與組織單位，每個(gè)域各自有一份域目錄分區，域目錄分區會(huì )被復制到該域內的所有域控制器中，并不會(huì )被復制到其他域的域控制器中。

應用程序目錄分區（application directory partition）

應用程序目錄分區是由應用程序創(chuàng )建的，其內存儲著(zhù)與該應用程序有關(guān)的數據，應用程序目錄分區會(huì )被復制到林中的特定域控制器，而不是所有的域控制器。

1-2 windows server 2008域控制器的新功能

1-2-1制度域控制器（read-only domain controller）

首先是2008新增，它的active directory數據庫只能被讀取。RODC的active directory數據庫的數據只能夠從其他可寫(xiě)域控制器復制過(guò)來(lái)。RODC主要是設計給遠程分公司網(wǎng)絡(luò )來(lái)使用。

1、RODC的active directory數據庫內容

RODC的active directory數據庫內存儲著(zhù)AD DS域內所有的對象與屬性，不存儲用戶(hù)帳戶(hù)的密碼。如果要驗證用戶(hù)與密碼的時(shí)候，需要將它們送到總公司的可寫(xiě)域控制器來(lái)驗證。

如果遠程分公司修改active directory數據庫，修改公司總部，然后公司總部的DC遠程replicate給RODC

2、（unidirectional replication）

總公司的DC不用向RODC索取DC的變動(dòng)數據，可寫(xiě)DC通過(guò)DFS分布式文件系統將SYSVOL文件夾（用來(lái)存儲與組粗略相關(guān)的設置）復制給RODC的時(shí)候也是單向復制。

3、認證緩存（credential caching）

在用戶(hù)驗證的時(shí)候，RODC需要將數據發(fā)到主DC，為加快速度，可以將用戶(hù)的密碼存儲到RODC的認證緩存區。此時(shí)需要通過(guò)密碼復制策略（password replication policy）來(lái)設置可以被RODC緩存的帳戶(hù)。不要太多，RODC可能入侵。

4、系統管理員角色隔離（administrator role separation）

系統管理員角色隔離能將任何一位域用戶(hù)指派為RODC的本地系統管理員，此用戶(hù)可以在RODC這臺機器上登錄，然后執行管理工作，無(wú)法執行其他的域管理工作，不會(huì )危害到域的安全。

5、只讀域名系統（read-only domain name system）

可以在RODC上架設DNS服務(wù)器。RODC會(huì )復制DNS服務(wù)器所使用的所有的應用程序目錄分區，其中包含forestDNSZone DomainDNSZone。

不過(guò)RODC上的DNS服務(wù)器并不支持客戶(hù)端直接進(jìn)行動(dòng)態(tài)更新，客戶(hù)端要更新的時(shí)候，DNS服務(wù)器會(huì )將其轉發(fā)到其他DNS服務(wù)器，讓客戶(hù)端轉向此DNS服務(wù)器進(jìn)行更新，而RODC上的DNS服務(wù)器也會(huì )自動(dòng)從這臺DNS服務(wù)器來(lái)復制這筆更新的日志。

1-2-2 可重新啟動(dòng)的AD DS（restartable AD DS ）

如果這臺域控制器需要維護，需要進(jìn)入目錄還原模式

 同時(shí)這臺機器需要重新啟動(dòng)，如果這臺機器還作為其他機器使用，如DHCP服務(wù)器，則重新啟動(dòng)機器將造成這些服務(wù)暫時(shí)停止。

windows server 2008控制器可提供新的可重新啟動(dòng)的AD DS功能，若要執行active directory工作，只需要將AD DS服務(wù)停止即可。

AD DS域控制器停止了，如果還有其他域控制器在線(xiàn)，仍然可以在這臺AD DS服務(wù)已經(jīng)停止的域控制器上利用域用戶(hù)名登錄，若沒(méi)有其他域控制器在線(xiàn)，則只能利用目錄服務(wù)還原模式的系統管理員帳戶(hù)進(jìn)入目錄服務(wù)還原模式。

1-3 域功能級別與林功能級別

1-3-1 域功能級別（domain funtionality level）

AD DS的域功能級別設置只影響到該域，不會(huì )影響到其他域。

windows 2000 native

域內的域控制器可以是 windows 200 server 、windows server 2003與windows server 2008

windows server 2003

域內的控制器可以是windows server 2003與windows server 2008

windows server 2008

域內的域控制器只能是windows server 2008

可以提升域功能級別比如將windows 2000 原生，提升到windows server 2008，一旦提升后不會(huì )被降級

前次交互式登錄信息、高級加密服務(wù)

1-3-2林功能級別（forest functionality level）

windows 2000

林內的所有域控制器可以是windows 2000 server 、windows server 2003、windows server 2008

windows server 2003

林內的所有域控制器可以是windows server 2003與windows server 2008

windows server 2008

林內的所有的域控制器必須是windows server 2008

林功能級別可以提升，不過(guò)一旦提升不可以再降低。

windows server 2008林功能級別并未擁有比windows server2008更多的功能，但是

在windows server 2008 林功能級別之內所添加的域，其域功能級別會(huì )被設置為windows server 2008.

1-4 active directory 輕型目錄服務(wù)

active directory數據庫是一個(gè)符合LDAP規范的目錄服務(wù)數據庫，它除了可以用來(lái)存儲AD DS域內的對象，例如：用戶(hù)帳戶(hù)、計算機帳戶(hù)，還提供應用程序目錄分區，以便讓支持目錄訪(fǎng)問(wèn)的應用程序（directory-enabled application），可以將該程序的相關(guān)數據存儲到active directory數據庫內。

AD LDS（active directory lightweight directory services）輕型目錄服務(wù)，而不必要創(chuàng )建AD DS域與域控制器。

在windows server 2003中被稱(chēng)為ADAM（active directory application mode）。

它可以讓您在計算機內創(chuàng )建多個(gè)目錄服務(wù)的環(huán)境，每個(gè)環(huán)境成為一個(gè) AD LDS instance。每一個(gè)AD LDS實(shí)例分別擁有獨立的目錄設置與架構，也分別擁有專(zhuān)屬的目錄數據庫，以供支持目錄訪(fǎng)問(wèn)的應用程序來(lái)使用。

二、創(chuàng )建AD DS域

2-1創(chuàng )建AD DS域前的準備工作

創(chuàng )建AD DS先安裝一臺服務(wù)器，然后將其promote as a domain controller

2-1-1 選擇適當的DNS域名

AD DS的域名采用DNS的架構與命名方式。域名可以在域創(chuàng )建完成后更改。

2-1-1 準備好用來(lái)支持AD DS 的DNS服務(wù)器

在A(yíng)D DS域中，域控制器會(huì )將自己所扮演的角色注冊到DNS服務(wù)器內，以便讓其他計算機通過(guò)DNS服務(wù)器來(lái)找到這臺域控制器。

Service Location Resource Record SRV RR

域控制器必須將其扮演的角色注冊到DNS服務(wù)器的SRV日志之下，因此DNS服務(wù)器必須支持SRV RR windows server及BIND 8.1.2或新版本都支持這個(gè)功能。

動(dòng)態(tài)更新

強烈建議安裝此項功能，否則域控制器無(wú)法自動(dòng)將自己注冊到DNS服務(wù)器的SRV日志之下。

incremental zone transfer

此功能讓這臺DNS服務(wù)器與其他DNS服務(wù)器之間在執行（zone transfer）時(shí)，只復制最新修改過(guò)的日志，提高復制的效率，減輕網(wǎng)絡(luò )的負擔。

fast zone transfer

在DNS服務(wù)器向其他DNS服務(wù)器傳送日志的時(shí)候使用fast transfer  format，此格式具備數據壓縮與每一個(gè)傳送信息內可包含多條日志的功能。BIND 4.9.7以上

windows DNS服務(wù)器默認已經(jīng)啟用快速傳送,如果

可以采用以下兩種方式來(lái)架設DNS服務(wù)器：

在將服務(wù)器升級為域控制器時(shí)，順便讓系統自動(dòng)在這臺服務(wù)器上安裝DNS服務(wù)器角色。系統還會(huì )在此DNS服務(wù)器內創(chuàng )建一個(gè)支持AD DS域的區域。域名和AD DS的區域名一樣，并自動(dòng)啟用安全的動(dòng)態(tài)更新。

請先在這臺即將變成域控制器與DNS服務(wù)器的計算機上，清除“首選DNS服務(wù)器”的IP地址或改為輸入自己的IP地址。

使用現有的DNS服務(wù)器或另外安裝一臺DNS服務(wù)器，然后在這臺DNS服務(wù)器創(chuàng )建一個(gè)用來(lái)支持AD DS域的區域

2-1-3 選擇Active Directory數據庫的存儲地點(diǎn)

域控制器需要使用磁盤(pán)來(lái)存儲以下3個(gè)與active directory有關(guān)的數據

active  directory數據庫：用來(lái)存儲active directory對象

日志文件：用來(lái)存儲active directory數據庫的改動(dòng)日志

SYSVOL文件夾：用來(lái)存儲與組策略有關(guān)的設置（組策略只有組織單元有相應的屬性）

對于存儲的要求：

必須存儲在本地磁盤(pán)內；SYSVOL必須存儲在NTFS類(lèi)型的文件系統下；建議將active directory數據庫與SYSVOL文件存放在不同的硬盤(pán)內。分開(kāi)存儲的目的：一是為了提高系統的運行效率；二是可以避免兩份資料同時(shí)出問(wèn)題，提高還原active directory數據庫的能力。

可以將active directory數據庫也放在NTFS文件系統內，以便利用NTFS權限來(lái)增強文件的安全性。系統默認是安裝在windows server 2008的安裝盤(pán)內。

如果要將active directory數據庫、日志文件和SYSVOL都存儲到另外一個(gè)磁盤(pán)內但是計算機目前并沒(méi)有其他磁盤(pán)，可以使用如下方法來(lái)創(chuàng )建NTFS磁盤(pán)

start-->computer management->storage unassigned space right-click

convert d: /fs:ntfs

但是如果該磁盤(pán)任何一個(gè)文件在使用，則系統無(wú)法立即執行，此時(shí)可以選擇讓系統在下次重新啟動(dòng)的時(shí)候自動(dòng)轉換。

active directory數據庫和日志文件的存儲地點(diǎn)可以事后使用ntdsutil命令來(lái)更改。若要更改SYSVOL的存放地點(diǎn)，建議先刪除AD DS域控制器，然后在重新安裝AD DS時(shí)指定新的存儲地點(diǎn)。

2-2創(chuàng )建AD DS域

a new forest-->a new domain tree-->a new first domain-->a new domain controller

2-2-1使用windows 窗口界面來(lái)安裝網(wǎng)絡(luò )中的第一臺域控制器

修改計算機的名稱(chēng)-->start-->server manager-->change system properties

目錄還原模式的的系統管理員密碼，完成單擊”下一步“，目錄還原模式是一個(gè)安全模式（safe mode），進(jìn)入此模式可以修復active directory數據庫?？梢栽谙?strong>統啟動(dòng)的時(shí)候按F8來(lái)選擇此模式，不過(guò)必須輸入此處設置的密碼。

密碼至少是7個(gè)字符，不能包含用戶(hù)名中超過(guò)兩個(gè)以上的連續字符，至少要包含A-Z、a-z、0-9、非字母字符（！、￥、#|%）等4組字符中的3組。

導出的應答文件（answer file），他可供dcpromo.exe安裝域控制器使用。不過(guò)安裝向導不會(huì )將“目錄還原模式”的系統管理員的密碼存儲到此文件中。

完成AD DS配置后，網(wǎng)絡(luò )的首選DNS會(huì )設置為127.0.0.1

此計算機升級為域控制器后，它會(huì )自動(dòng)的開(kāi)放windows 防火墻中與AD DS有關(guān)的端口，以便其他計算機可以與域控制器通信。

2-2-2 使用應答文件安裝網(wǎng)絡(luò )中的第一臺域控制器

首先創(chuàng )建應答文件，然后

dcpromo /unattend:"answer.txt" 應答文件的完整的路徑。

使用dcpromo 命令行來(lái)安裝AD DS

2-3確認AD DS域是否正常

 2-3-1檢查DNS服務(wù)器內的日志是否完整

域控制器會(huì )將它的主機名、IP地址以及所扮演的角色等數據注冊到DNS服務(wù)器，其他機器通過(guò)DNS服務(wù)器找到域控制器。

1、檢查主機日志

2、檢查SRV日志--使用DNS控制臺

如果域控制器將其所扮演的角色注冊到DNS服務(wù)器的話(huà)，則應該會(huì )有_tcp、_udp的文件夾

在選擇_tcp文件夾后還可以看到數據類(lèi)型為SRV(service location)的_ldap(lightweight directory access protocal)日志，_gc(global catalog)

 PS: LDAP服務(wù)器就是用來(lái)提供active directory數據庫訪(fǎng)問(wèn)的服務(wù)器，而windows server2008、windows server 2003、windows 2000 server域控制器就是扮演著(zhù)LDAP服務(wù)器的角色。

域控制器另外注冊到_msdcs文件夾。

如果DNS服務(wù)器是在安裝AD DS是順便安裝的，則它除了會(huì )自動(dòng)創(chuàng )建一個(gè)用來(lái)支持AD DS的區域外，還會(huì )創(chuàng )建一個(gè)_msdcs.sayms.com的區域。他是專(zhuān)門(mén)供域控制器來(lái)注冊的，這個(gè)時(shí)候這些域控制器會(huì )把其資料注冊到_msdcs.sayms.com區域內，而不是_msdcs內。

當地一個(gè)域創(chuàng )建完成之后，系統就會(huì )自動(dòng)創(chuàng )建一個(gè)名為：Default-First-Name的站點(diǎn)，

cmd

set type=srv

需要將sayms.com區域的“允許區域傳送”權限開(kāi)放給您的計算機，否則無(wú)法查詢(xún)，且會(huì )顯示query refused的警告信息。

2-3-2排除注冊失敗的問(wèn)題

如果因為域控制器(或域成員計算機)本身的設置有誤或者是網(wǎng)絡(luò )問(wèn)題，造成無(wú)法將數據這冊到DNS服務(wù)器?？梢栽趩?wèn)題解決以后，通過(guò)重新啟動(dòng)這些計算機的方式來(lái)重新注冊。

或者手動(dòng)使用這些方式：

在域控制器/域成員機器執行 >ipconfig /registerdns

在域控制器上選擇開(kāi)始--》管理工具-》服務(wù)，重新啟動(dòng)netlog服務(wù)。

域控制器默認每隔2424小時(shí)會(huì )自動(dòng)向DNS服務(wù)器注冊1此。

2-3-32-3-3檢查active directory數據庫文件域SYSVOL文件夾

active directory數據庫文件與日志文件默認是存儲在%systemroot% tds文件夾內

可以選擇start-->run %systemroot% tds,文件夾中的ntds.dit是數據庫文件.log文件是日志文件

SYSVOL默認是被創(chuàng )建在%systemroot%sysvol,

%systemroot%sysvolsysvol

%systemroot%sysvol/sysvol/sayms.com/script

也可以使用命令>net share查看

2-3-4添加新的管理工具

在A(yíng)D DS安裝完之后，在start-administrative tools-菜單里會(huì )增加一些AD DS管理工具

2-3-5查看事件日志文件

event viewer

2-4提升域與林功能級別

2-4-1提升域功能級別

start-->administrative tools-->active directory users and computers-->sayms.com right click->raise domain functional level

windows 2000 server ; windows server 2003 ;windows server 2008

2-4-2 提升林功能級別

start-->administrative tools-->active directory domains and trusts-->sayms.com right click->raise forest functional level

提升林功能級別后，相應的域功能級別也被提升。

2-5 添加額外域控制器域RODC

額外的域控制器

改善用戶(hù)的登錄的效率；提供容錯的能力，提高系統整體的可靠性

架構完addtional domain server之后，需要將現有的DC的active directory數據庫復制到這臺新的dc

提供了兩種復制的方式：

通過(guò)網(wǎng)絡(luò )直接復制：適合于active directory數據庫數據量比較小

通過(guò)安裝媒體（installation media）

可事先在一臺域控制器上制作安裝媒體，其內包含著(zhù)active directory數據庫，然后將安裝媒體復制到U盤(pán)或共享文件夾內，在安裝額外域控制器的時(shí)候，要求安裝向導到這個(gè)媒體內讀取安裝媒體內的active directory數據庫，在安裝媒體制作之后，active directory數據庫可能有變化，通過(guò)網(wǎng)絡(luò )復制的方式直接傳輸和同步。

這種方式適合writable domain controller 與read-only domain conroller

2-5-1使用windows 窗口界面來(lái)安裝額外域控制器

2-5-4使用安裝媒體來(lái)安裝域控制器

首先制作安裝媒體，在source domain controller上，將active directory數據庫存儲到安裝媒體內。

若要制作供可寫(xiě)域控制器使用的安裝媒體，則必須在可寫(xiě)域控制器上運行ntdsutil命令

若要制作供RODC使用的安裝媒體，則可以在可寫(xiě)域控制器或RODC上運行ntdsutil命令。若是在可寫(xiě)域控制器上制作，ntdsutil會(huì )將緩存的安全信息清除。

1、使用域系統管理員的身份登錄域控制器

2、命令行輸入ntdsutil

3、activate instance ntds 表示要將active  directory數據庫設置為活動(dòng)。

4、create full c:installationmedia 將安裝媒體的內容放置到c:installationmedia

其中的full表示要制作供可寫(xiě)域控制器使用的安裝媒體。如果制作供RODC使用的安裝媒體 參數為rodc 兩次quit 兩次回車(chē)

額外域控制器-安裝媒體

replicationsourcepath="c:installationMedia"

2-5-5更改RODC委派與密碼復制策略設置

start-->administrative tools-->active directory users and computers ,click the container domain controller

通過(guò)manager 更改RODC的委派，通過(guò)密碼復制策略

2-6階段式安裝RODC

采用兩個(gè)階段的方式來(lái)安裝RODC(只讀域控制器)，由不同的用戶(hù)完成，大多是遠程分公司所需的RODC

第一階段：新建RODC帳戶(hù)

這個(gè)階段由domain admins組內的成員完成，在active directory數據庫內創(chuàng )建計算機帳戶(hù)，將第二階段的安裝工作委派給用戶(hù)或組。

被委派的用戶(hù)在分公司完成RODC的安裝工作，被委派的用戶(hù)不需要具備domain admins的權限，但是如果沒(méi)有委派用戶(hù)的話(huà)，只有domain admins和enterprise admins組內的用戶(hù)能繼續安裝分公司的RODC。

在第二個(gè)階段，被委派的用戶(hù)需要在遠程分公司內，將未來(lái)的RODC服務(wù)器附加到第一階段創(chuàng )建的計算機帳戶(hù)中，以便完成RODC的安裝工作。

2-6-1使用windows窗口來(lái)創(chuàng )建RODC帳戶(hù)

首先在一臺域控制器上以domain admin的用戶(hù)登錄，然后start--administrative tools -active directory users and computers ，右擊container：domain controller，create RODC account。

2-6-2將服務(wù)器附加到RODC帳戶(hù)

在即將成為RODC帳戶(hù)的計算機上以administrator的身份登錄，運行dcpromo /useexistiingaccount:attach

在輸入網(wǎng)絡(luò )憑據的時(shí)候，可以輸入被委派的用戶(hù)、enterprise admins或domain admins組內的用戶(hù)。

 2-7將windows計算機加入或脫離域

以下計算機可以被加入域：

windows server 2008

windows server 2003

windows vista ultimate 、windows vista enterprise 、windows vista bussiness

windows XP professional

windows 2000 server 、windows 2000 professional

windows NT server4.0 、windows NT workstation 4.0

加入域的客戶(hù)端計算機，其計算機帳戶(hù)默認自動(dòng)創(chuàng )建在container computer內，如果你希望該計算機帳戶(hù)防止到其他容器或組織單位，可以事先在容器或組織單位內創(chuàng )建此計算機帳戶(hù)，創(chuàng )建的方法是右鍵容器或組織單位-添加-計算機-計算機名。

開(kāi)始--控制面板---系統--改變設置

必須是administrator才有權限改變設置，因為windows server 2008或windows vista計算機默認已經(jīng)啟用“用戶(hù)帳戶(hù)控制”。如果出現錯誤，先檢查"首選DNS服務(wù)器"是否設置為正確的IP地址，可輸入任何一個(gè)域用戶(hù)名與密碼，不過(guò)這些帳戶(hù)都只有10次將計算機加入域的機會(huì )，但是管理員不受限制。

 2-7-2使用已加入域的計算機登錄

一旦這個(gè)計算機加入某個(gè)域，那么系統在登錄的時(shí)候，和原的界面即會(huì )有區別，首先需要按ctrl+alt+del啟動(dòng)登錄界面，默認是使用本地系統管理員的身份登錄，此時(shí)系統會(huì )使用本地安全性數據庫來(lái)檢查用戶(hù)名和密碼是否正確。

如果要使用域用戶(hù)登錄，切換用戶(hù)，登錄名的格式為saymsadministrator

2-7-3脫離域

脫離域，主動(dòng)的本地系統的administrator，被動(dòng)的enterprise admins、domain admins。

windows server 2008和windows vista已經(jīng)啟用用戶(hù)帳戶(hù)控制，用戶(hù)帳戶(hù)控制的目的是如果您沒(méi)有權限更改此設置，系統會(huì )要求輸入帳戶(hù)與密碼。脫離域start--control panel---system---change setting輸入適當的工作組名稱(chēng)。

將計算機加入同一個(gè)工作組的好處是您在瀏覽網(wǎng)絡(luò )上的計算機的時(shí)候，可以比較快的找到同一個(gè)組內的計算機。

2-8在域成員計算機內安裝AD DS管理工具

開(kāi)始--服務(wù)器管理器---功能---添加功能---遠程服務(wù)器管理器---角色管理工具

 2-9刪除域控制器與域

降級刪除域控制器，也就是將AD DS從域控制器刪除，在降級之前需要注意的事項：

1、如果域內還有其他域控制器存在，則降級后這臺機器會(huì )成為該域的member  server，其計算機賬戶(hù)會(huì )被從組織單位domain controllers轉移到容器computers內，必須是domain admins或enterprise admins組內的成員才有權限刪除DC。

2、如果這臺DC是domain內的最后一臺DC，則刪除DC，同時(shí)sayms。com域也同時(shí)會(huì )被刪除，這臺機器降級后會(huì )變成一臺stand-alone server或者是workgroup server。必須是enterprise admins的用戶(hù)才能有權限刪除最后一個(gè)DC，而且如果有子域的話(huà)應該先刪除子域。

3、如果刪除的是林內的最后一臺DC，那么刪除DC之后林同時(shí)也被刪除，必須是enterprise admins組內的用戶(hù)才有權限刪除。

4、如果這臺服務(wù)器是GC，要檢查其所屬的站點(diǎn)是否還有其他的GC，若沒(méi)有需要制定一臺DC作為GC

start--administrative tools--active directory sites and services--sites-default-first-site-name--servers--選擇要扮演GC的服務(wù)器，right-click NTDS settings 選擇屬性--再選擇GC。

2-9-1使用windows窗口界面來(lái)刪除域控制器或域

start--run--dcpromo

如果AD DS服務(wù)停止或者無(wú)法與其他域控制器通信，若要刪除域控制器，使用dcpromo /forceremoval來(lái)強制刪除。

若此域控制器是域中的最后一臺域控制器，選擇此項，如果域刪除后，域用戶(hù)的密碼編譯密鑰也會(huì )被刪除，因此先導出密鑰，并先解密所有被加密的文件（例如通過(guò)EF加密的文件或通過(guò)公鑰加密的電子郵件），否則域刪除后將永遠也無(wú)法訪(fǎng)問(wèn)這些數據。

 如果出現“應用程序目錄分區”對話(huà)框，表示這臺域控制器內含有可寫(xiě)入的active directory集成DNS區域（不包含RODC的只讀DNS區域），安裝向導會(huì )將此區域的應用程序目錄分區刪除。若此對話(huà)框出現其他應用程序創(chuàng )建的應用程序目錄分區，請盡量使用該應用程序提供的工具（如果有的話(huà)）來(lái)刪除此應用程序目錄分區。

由于active directory集成DNS區域即將被刪除，因此若有其他父域將此區域的查詢(xún)工作委派給這臺域控制器的話(huà)，

密碼要求：至少是7個(gè)字符；而且不能包含用戶(hù)名中超過(guò)兩個(gè)以上的連續字符，至少應該包含a-z、A-Z、0-9、（!$#%）四組中的三組。

雖然這臺服務(wù)器已經(jīng)不再是域控制器了，不過(guò)其active directory域服務(wù)組件仍然存在并且沒(méi)有被刪除，如果再要升級為DC的話(huà)，秩序要運行dcpromo即可。不需要添加“角色”的方式來(lái)安裝。

雖然active directory集成DNS區域的應用程序目錄分區已經(jīng)刪除，但是DNS服務(wù)器組件仍然存在。

若想刪除active directory域服務(wù)或DNS服務(wù)器，可以通過(guò)開(kāi)始-服務(wù)器管理器-角色-active directory域服務(wù)或DNS服務(wù)器單擊右邊的“刪除角色”。

2-9-2使用應答文件來(lái)刪除域控制器或域

在這個(gè)answer  file文件中，我們必須創(chuàng )建一個(gè)[DCInstall]的區段。administratorPassword設置本地administrator的密碼

dcpromo /unattend:"file"

dcpromo /?:promotion

2-10域升級與在現有域環(huán)境中安裝域控制器

若現在的網(wǎng)絡(luò )環(huán)境是windows 2000或windows server 2003林，要將windows server 2008域控制器加入到此環(huán)境中：

將現有的林升級到server 2008

在現有的林中添加一個(gè)2008的域

在現有的林中添加一臺windows 2008域控制器

2-10-1將林升級為2008

將林升級就是將域控制器升級到2008

條件：所有的2000控制器必須先升級到service pack或以上的版本，2000的域功能級別必須是 2000的純粹模式也就是原生模式

找出林內的架構主機（schema master）與每一個(gè)域內的結構主機（ infrastructure master）

林中第一臺域控制器就是林的架構主機，域中的第一臺域控制器就是該域的結構主機

架構主機：

adprep /forestprep

操作主機：

adprep /domainprep/gprep

由于 adprep /domainprep//gpprep會(huì )將SYSVOL文件夾內的GPO權限設置復制到所有其他域控制器，因此如果網(wǎng)絡(luò )內有許多域控制器或GPO較多的話(huà)，這個(gè)復制操作會(huì )占用較多的網(wǎng)絡(luò )帶寬，此時(shí)建議先運行不會(huì )復制GPO權限的命令：

adprep /domainprep

等以后適當時(shí)機再來(lái)運行以下命令：

adprep /domainprep/gprep

此時(shí)這個(gè)命令只會(huì )復制GPO權限，其他操作不會(huì )再重復執行。

2-10-2在現有windows 2000或windows server 2003林中添加一個(gè)windows server 2008域

先到架構主機上使用 adprep forestprep命令來(lái)擴展現有windows 2000或者windows server 2003林的架構

應根據需求事先決定好域功能級別。然后添加2008域

2-10-3添加windows server 2008域控制器

先到架構主機上adprep /forestprep

到結構主機上運行adprep /domainprep /gpprep

如果要安裝RODC，請先登錄任何一臺域控制器，將林功能級別提升為windows server 2003，然后運行adprep rodcprep在現有的windows 2003域中，安裝的第一臺windows server 2008域控制器不可以是RODC。

運行adprep /rodcprep命令，可用來(lái)更新林中的DNS應用程序目錄分區的權限，讓DNS數據可以被復制到所有也是扮演DNS服務(wù)器角色的RODC。