Windows 2000 Server 如何設(shè)置Active Directory 域這是一個(gè)全新的問題，本文下面就詳細(xì)講述了設(shè)置的過程。

在 Microsoft Windows2000 Server 操作系統(tǒng)的諸多增強(qiáng)功能中，Active Directory功能的引入意義最為重大，但也最常引起困惑。與其前輩(Microsoft Windows NT; 操作系統(tǒng)早期版本中的域控制器)相比，Windows 2000 Server 中的 Active Directory 提供了一個(gè)全新的體系結(jié)構(gòu)和豐富得多的功能。 盡管本文并不打算討論 Active Directory 的所有功能，但其中確實(shí)概述了這項(xiàng)技術(shù)，重點(diǎn)在于討論兩個(gè)新概念:域控制器的全新體系結(jié)構(gòu)模型以及與 DNS 的新的集成關(guān)系。這些功能對(duì)了解如何構(gòu)建 DuwamishOnline.com 這樣的 Web 群非常有幫助。此外，我們將討論用 Active Directory 逐步設(shè)置 Web 群的過程。

本文假定讀者已基本了解 Windows NT 早期版本中的網(wǎng)絡(luò)概念。

域控制器的全新體系結(jié)構(gòu)模型

安裝了 Active Directory 組件以提供這種目錄服務(wù)的計(jì)算機(jī)稱為域控制器。如果將 Active Directory 安裝到運(yùn)行 Windows 2000 Server 的計(jì)算機(jī)上，則會(huì)將服務(wù)器轉(zhuǎn)換或提升為特定域的域控制器。

使用 Active Directory 時(shí)，所有 Windows 2000 Server 域控制器都是對(duì)等關(guān)系，支持多主復(fù)制，在所有域控制器之間復(fù)制 Active Directory 信息。

這是一個(gè)重要的體系結(jié)構(gòu)設(shè)計(jì)上的變化，改變了 Windows NT 早先版本中主域控制器 (PDC) 和備份域控制器 (BDC) 之間的主/從關(guān)系。

與 Windows NT 早先版本中的區(qū)別是，老版本中只有 PDC 保留可讀/寫的目錄信息主副本，而將目錄信息的只讀副本復(fù)制到 BDC 中;Active Directory 則在各個(gè)域控制器之間使用多主復(fù)制，因此管理員現(xiàn)在可以從任何域控制器進(jìn)行更改。如果域控制器(特別是 PDC)失敗，這會(huì)為系統(tǒng)提供更大的可靠性。

與 DNS 集成

Active Directory 中另一個(gè)重要的體系結(jié)構(gòu)設(shè)計(jì)上的變化是它與域名系統(tǒng) (DNS) 的緊密集成。在 Windows 2000 中，網(wǎng)絡(luò)基本輸入/輸出系統(tǒng) (NetBIOS) 名稱不再是識(shí)別網(wǎng)絡(luò)計(jì)算機(jī)或打印機(jī)首要的名稱解析方法。而是使用完全合格的域名稱 (FQDN)(如“server1.microsoft.com”)來識(shí)別。

這就意味著 Active Directory 域現(xiàn)在與 DNS 域共享同樣的命名結(jié)構(gòu)(或名稱空間)。例如，在老版本的 Windows NT 中，引用同一臺(tái)計(jì)算機(jī)時(shí)，在 Windows 網(wǎng)絡(luò)域的 NetBIOS 下可能是“SERVER1”，而在 DNS 域下可能是“server1.microsoft.com”。在 Windows 2000 中，該計(jì)算機(jī)在 Active Directory 域和 DNS 域中的引用名稱都是“server1.microsoft.com”。

然而，區(qū)分 Active Directory 與 DNS 之間的差異是非常重要的。雖然它們?cè)谝黄鹋浜系梅浅＞o密，但各自存儲(chǔ)的數(shù)據(jù)和管理的對(duì)象都不同。

DNS 是一種傳輸控制協(xié)議/Internet 協(xié)議 (TCP/IP) 名稱解析服務(wù)，它存儲(chǔ)資源記錄，主要是為了將域名轉(zhuǎn)換為相應(yīng)的 IP 地址。盡管 DNS 可以離開 Active Directory 而獨(dú)立工作，但其數(shù)據(jù)可集成并存儲(chǔ)到 Active Directory 中，在這里 DNS 信息被自動(dòng)復(fù)制到其它域控制器中，這樣就增強(qiáng)了 DNS 服務(wù)的可靠性和安全性。

另一方面，Active Directory 是一個(gè)目錄服務(wù)，它可以存儲(chǔ)域?qū)ο竺Q請(qǐng)求，并將其解析成對(duì)象記錄數(shù)據(jù)(例如答復(fù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)配置信息的請(qǐng)求時(shí))。要找到 Active Directory 服務(wù)器，首先由 Active Directory 客戶查詢?yōu)樗付ǖ?DNS 服務(wù)器，找到此 Active Directory 服務(wù)器的 IP 地址。根據(jù)設(shè)計(jì)，Active Directory 需要 DNS 才能工作。實(shí)際上，在安裝過程中，如果網(wǎng)絡(luò)上找不到 DNS 服務(wù)器，那么設(shè)置 Active Directory 域控制器時(shí)通常需要同時(shí)安裝一個(gè) DNS 服務(wù)器。

有關(guān) DNS 名稱空間如何構(gòu)建以及 DNS 與 Active Directory 如何關(guān)聯(lián)的詳細(xì)信息，請(qǐng)參見文章 Setting Up a Domain Name System。

設(shè)置 Active Directory 域控制器

正如在網(wǎng)絡(luò)和系統(tǒng)配置文章中所述，我們已設(shè)置了兩個(gè)服務(wù)器作為內(nèi)部域“intdomain.com”的 Active Directory 域控制器。我們用一臺(tái)專用計(jì)算機(jī)來設(shè)置第一個(gè)域控制器，并在管理服務(wù)器上設(shè)置另外一個(gè)域控制器作冗余。

由于域控制器必須要能通過 Web 服務(wù)器和訂單處理服務(wù)器(用于建立消息隊(duì)列)以及兩個(gè)設(shè)成群集的數(shù)據(jù)庫服務(wù)器進(jìn)行訪問，因此它們必須連接到后端網(wǎng)絡(luò)、管理網(wǎng)絡(luò)，或者同時(shí)連接這兩個(gè)網(wǎng)絡(luò)。

在下面的部分，我們將介紹如何逐步設(shè)置這些 Active Directory 域控制器，以及為該域設(shè)置 Active Directory 客戶端的步驟。

1.安裝第一個(gè)域控制器

按照以下步驟創(chuàng)建一個(gè)新的域，并在某個(gè)服務(wù)器上安裝 Active Directory 服務(wù)，使該服務(wù)器成為該域的第一個(gè)域控制器:

在開始菜單中，單擊運(yùn)行。鍵入 dcpromo，然后單擊確定。這將啟動(dòng) Active Directory 安裝向?qū)А?/p>

出現(xiàn)歡迎屏幕以后，系統(tǒng)將要求您為該服務(wù)器指定“域控制器類型”。保持默認(rèn)選項(xiàng)，將該服務(wù)器設(shè)置為新域的域控制器。

接著，將要求您創(chuàng)建一個(gè)新的域目錄樹或在現(xiàn)有域目錄樹中新建一個(gè)子域。在本例中，為內(nèi)部域創(chuàng)建一個(gè)新域目錄樹。

接下來，系統(tǒng)將要求您創(chuàng)建一個(gè)新的目錄林或加入現(xiàn)有的一個(gè)目錄林。因?yàn)檫@是第一個(gè)域，沒有現(xiàn)有的目錄林，所以保持默認(rèn)的選項(xiàng)創(chuàng)建新的域目錄林。

如前所述，Windows 2000 中的 Active Directory 現(xiàn)在用完全合格的域名稱 (FQDN) 作為其主命名規(guī)則。當(dāng)要求輸入新的域名稱時(shí)，鍵入內(nèi)部域的 FQDN(在本例中我們使用“intdomain.com”)。

Active Directory 向后兼容老版本的 Windows NT，后者使用 NetBIOS 名稱作為其命名規(guī)則。為了保持一致，我們選擇使用與 NetBIOS 名稱相同的域名稱。在本例中，接受默認(rèn)的“INTDOMAIN”作為 NetBIOS 域名稱。

在后面的兩個(gè)對(duì)話框中，系統(tǒng)將要求您指定 Active Directory 數(shù)據(jù)庫和活動(dòng)日志的位置，以及共享系統(tǒng)卷。要獲得更好的性能和可恢復(fù)性，建議將數(shù)據(jù)庫和日志分別存儲(chǔ)在不同的硬盤上。為簡化此過程，我們選擇接受所有的默認(rèn)位置。

此時(shí)，安裝向?qū)L試為新域聯(lián)系一個(gè) DNS 服務(wù)器。如果已經(jīng)存在使用該域的 DNS 服務(wù)器，并且能夠在網(wǎng)上找到，則該向?qū)⒁浦料乱徊?如果不存在，則向?qū)⒃儐柲且谕慌_(tái)計(jì)算機(jī)上安裝和配置一個(gè) DNS 服務(wù)器(作為 Active Directory 安裝過程的一部分)，還是希望以后再安裝 DNS 服務(wù)器。建議保持默認(rèn)選項(xiàng)作為第一選擇，除非您確實(shí)想自己設(shè)置所有的 DNS 資源記錄。

安裝向?qū)Ы酉聛盹@示的對(duì)話框都與安全問題有關(guān)。如果該域中的所有計(jì)算機(jī)都在運(yùn)行 Windows 2000(在 Duwamish Online 中就是這樣)，則選擇只與 Windows 2000 服務(wù)器相兼容的權(quán)限選項(xiàng)。隨后指定“管理員”密碼。

最后，將顯示一個(gè)摘要屏幕，確認(rèn)您的選擇。如果信息正確，則單擊下一步進(jìn)行確認(rèn)。當(dāng)配置過程完成后，重新啟動(dòng)服務(wù)器。

2.安裝另一個(gè)域控制器

再安裝一個(gè) Active Directory 域控制器比安裝第一個(gè)域控制器要簡單得多。在開始此過程之前，要確保此新增服務(wù)器有權(quán)訪問同一網(wǎng)絡(luò)段，這樣它才可以與第一個(gè)服務(wù)器進(jìn)行通訊。此外，需要指定一個(gè) DNS 服務(wù)器的 IP 地址(根據(jù)前面的建議，這應(yīng)該是第一個(gè)域控制器)，反過來，查找充當(dāng)域控制器的計(jì)算機(jī)時(shí)也要使用這個(gè)地址。

若要指定 DNS 服務(wù)器

右鍵單擊網(wǎng)上鄰居并選擇屬性。在網(wǎng)絡(luò)和撥號(hào)連接對(duì)話框中，右鍵單擊局域網(wǎng)連接圖標(biāo)并選擇屬性。注意 如果您的計(jì)算機(jī)上有多個(gè)網(wǎng)絡(luò)適配卡連接不同的網(wǎng)段(就像 Duwamish Online 網(wǎng)絡(luò)配置)，而且您不能確定哪個(gè)網(wǎng)卡連接到內(nèi)部網(wǎng)絡(luò)，則可以用直接斷開實(shí)際連接到內(nèi)部網(wǎng)絡(luò)的電纜的辦法來辨別網(wǎng)卡。其結(jié)果表現(xiàn)為，被斷開地連接的圖標(biāo)將顯示為禁用狀態(tài)。在恢復(fù)網(wǎng)絡(luò)電纜之前，相應(yīng)地重新命名此連接。

選擇 Internet 協(xié)議 (TCP/IP)，然后單擊屬性。在 Internet 協(xié)議 (TCP/IP) 屬性對(duì)話框中，選擇使用下面的 DNS 服務(wù)器地址選項(xiàng)。在首選 DNS 服務(wù)器字段中輸入 IP 地址。(如果已經(jīng)在第一個(gè) Active Directory 服務(wù)器的安裝過程中設(shè)置了 DNS 服務(wù)器，則輸入該服務(wù)器的 IP 地址。請(qǐng)參見前面的“安裝第一個(gè)域控制器”的第 8 步。)單擊確定，確認(rèn)此更改。指定 DNS 后，現(xiàn)在就可以安裝另一個(gè)域控制器。

3.若要再安裝一個(gè)域控制器

在開始菜單中，單擊運(yùn)行。鍵入 dcpromo，然后單擊確定。這將啟動(dòng) Active Directory 安裝向?qū)?。出現(xiàn)歡迎屏幕以后，系統(tǒng)將要求您為該服務(wù)器指定“域控制器類型”。選擇設(shè)置一個(gè)現(xiàn)有域的額外域控制器。接著，系統(tǒng)將要求您輸入一個(gè)用戶名、密碼和域名稱(本例中為“intdomain”)。

當(dāng)系統(tǒng)要求時(shí)，輸入某個(gè)域的完全合格的域名稱，該計(jì)算機(jī)將變成該域的額外域控制器。(本例中輸入“intdomain.com”。)

與安裝第一個(gè) Active Directory 服務(wù)器時(shí)類似，系統(tǒng)將要求您指定數(shù)據(jù)庫和日志的位置，以及共享系統(tǒng)卷。為簡化此過程，我們選擇接受默認(rèn)位置。

指定“管理員”密碼后，系統(tǒng)將要求您檢查并確認(rèn)摘要屏幕上的信息。單擊下一步，開始安裝。當(dāng)安裝完成后，重新啟動(dòng)服務(wù)器。設(shè)置 Active Directory 客戶。在安裝 Windows 2000 時(shí)，系統(tǒng)會(huì)要求您加入現(xiàn)有的域或工作組。如果在安裝時(shí)還沒有域控制器，則可以在以后加入此域。

在開始此過程之前，要確保該計(jì)算機(jī)有權(quán)訪問同一網(wǎng)段，這樣它才可以與此域進(jìn)行通訊。因?yàn)樵谠O(shè)置另一個(gè)域控制器時(shí)，需要指定 DNS 服務(wù)器的 IP 地址。

本文介紹逐步設(shè)置 Active Directory 域控制器，以及為該域設(shè)置 Active Directory 客戶端的具體步驟。希望本文能夠?qū)ψx者有所幫助。

【編輯推薦】

1. 域控制器的靈活運(yùn)用
2. 活動(dòng)目錄——Active Directory
3. 主域控制器兩種故障恢復(fù)的處理方式
4. 利用Active Directory標(biāo)識(shí)和跟蹤虛擬機(jī)
5. 如何打開 Active Directory 用戶和計(jì)算機(jī)