設(shè)置Active Directory域控制器

正如我們?cè)诰W(wǎng)絡(luò)與系統(tǒng)配置專題文章中所提到的那樣，我們已將兩部服務(wù)器設(shè)置為對(duì)應(yīng)于內(nèi)部域“intdomain.com”的Active Directory域控制器。我們借助專用計(jì)算機(jī)設(shè)置了第一個(gè)域控制器，并為實(shí)現(xiàn)系統(tǒng)冗余而在管理服務(wù)器上設(shè)置了第二個(gè)域控制器。

由于域控制器必須具備既可從Web服務(wù)器和命令處理服務(wù)器（針對(duì)消息隊(duì)列）、又可從兩個(gè)已實(shí)現(xiàn)群集化的數(shù)據(jù)庫服務(wù)器接受訪問調(diào)用的能力，因此，就必須與后端網(wǎng)絡(luò)、管理網(wǎng)絡(luò)或以上兩者同時(shí)建立連接。

在接下來的章節(jié)中，我們將針對(duì)設(shè)置Active Directory域控制器的分步操作程序以及設(shè)置對(duì)應(yīng)于特定域的Active Directory客戶端的操作程序加以詳細(xì)說明。

安裝第一個(gè)域控制器
請(qǐng)依次執(zhí)行下列步驟，以便創(chuàng)建一個(gè)新的域，并在某一服務(wù)器上安裝Active Directory服務(wù)，然后，將該服務(wù)器設(shè)定為對(duì)應(yīng)于新建域的第一個(gè)域控制器：

在開始菜單上單擊運(yùn)行，并在隨后出現(xiàn)的對(duì)話框內(nèi)輸入dcpromo，然后，單擊確定。上述操作將啟動(dòng)Active Directory安裝向?qū)А?
在通過歡迎屏幕后，向?qū)С绦驅(qū)⒁竽鸀榧磳惭bActive Directory的服務(wù)器指定域控制器類型。請(qǐng)保持相關(guān)選項(xiàng)的缺省狀態(tài)，以便將該服務(wù)器設(shè)置為對(duì)應(yīng)于新建域的域控制器。
接下來，向?qū)С绦驅(qū)⒁竽梢粋€(gè)新的域樹，或在現(xiàn)有域樹中生成新建一個(gè)子域。在這個(gè)例子中，應(yīng)針對(duì)內(nèi)部域新建一個(gè)域樹。
然后，向?qū)С绦驅(qū)⒁竽陆ㄒ粋€(gè)森林，或加入一個(gè)現(xiàn)有森林。因?yàn)槟趧?chuàng)建第一個(gè)域，而且目前尚不存在現(xiàn)成的森林，所以，請(qǐng)保持有關(guān)系選項(xiàng)的缺省設(shè)置狀態(tài)，以便創(chuàng)建一個(gè)同域樹相對(duì)應(yīng)的新森林。
如前所述，Windows 2000所配備的Active Directory服務(wù)目前主要將完全合格域名（FQDN）作為首選命名規(guī)范加以應(yīng)用。當(dāng)向?qū)С绦蛞竽鸀樾陆ㄓ蛟O(shè)定名稱時(shí)，就請(qǐng)鍵入同內(nèi)部域相對(duì)應(yīng)的FQDN（在本例中，應(yīng)輸入“intdomain.com”）。
Active Directory具備針對(duì)Windows NT早期版本的向后兼容性，這主要取決于同這些版本命名規(guī)范相對(duì)應(yīng)的NetBIOS名稱。出于連貫性方面的考慮，我們應(yīng)選用與NetBIOS名稱完全相同的域名。在這個(gè)例子中，應(yīng)接受系統(tǒng)為NetBIOS設(shè)定的缺省域名“INTDOMAIN”。
向?qū)С绦驅(qū)⒃诮酉聛淼膬蓚€(gè)對(duì)話框中要求您針對(duì)Active Directory數(shù)據(jù)庫與活動(dòng)日志的存儲(chǔ)位置以及共享系統(tǒng)卷加以指定。為實(shí)現(xiàn)更加理想的性能表現(xiàn)及可恢復(fù)能力，我們建議您將數(shù)據(jù)庫和日志存儲(chǔ)在獨(dú)立硬盤上。為簡化操作過程，我們選擇接受所有缺省位置。
安裝向?qū)⒃谶@個(gè)環(huán)節(jié)嘗試同對(duì)應(yīng)于新建域的DNS服務(wù)器取得聯(lián)系。如果對(duì)應(yīng)于新建域的DNS服務(wù)器已經(jīng)存在，并可在網(wǎng)絡(luò)上被查找到，向?qū)С绦虮銜?huì)繼續(xù)轉(zhuǎn)移到下一個(gè)安裝步驟；如果網(wǎng)絡(luò)上并不存在上述DNS服務(wù)器，向?qū)С绦騽t將就是否在Active Directory安裝過程中基于同一計(jì)算機(jī)安裝并配置DNS服務(wù)器、亦或稍后安裝DNS服務(wù)器向您進(jìn)行詢問。在此，我們建議您保持第一個(gè)選項(xiàng)的缺省設(shè)置狀態(tài)，除非您確實(shí)需要親自執(zhí)行所有DNS資源記錄的設(shè)置工作。
由安裝向?qū)э@示的其余對(duì)話框?qū)⒅饕脕硖幚戆踩Ｕ鲜乱?。根?jù)Duwamish Online案例，如果域內(nèi)所有計(jì)算機(jī)都在運(yùn)行Windows 2000操作系統(tǒng)，就請(qǐng)將僅與Windows 2000服務(wù)器相兼容的許可權(quán)限選項(xiàng)設(shè)定為選中狀態(tài)。接下來，向?qū)С绦驅(qū)⒁竽鸀楣芾韱T設(shè)定一個(gè)專用口令。
最后，向?qū)С绦驅(qū)@示一個(gè)總結(jié)屏幕，以便就已經(jīng)設(shè)定的選項(xiàng)與您進(jìn)行確認(rèn)。如果屏幕上所顯示的信息正確無誤，就請(qǐng)單擊下一步確認(rèn)。
當(dāng)配置處理過程執(zhí)行完畢后，重新啟動(dòng)服務(wù)器。
安裝第二個(gè)域控制器
第二個(gè)Active Directory域控制器的安裝過程要比第一個(gè)域控制器的安裝過程簡單得多。在啟動(dòng)安裝程序之前，應(yīng)首先確認(rèn)第二臺(tái)服務(wù)器已具備針對(duì)同一網(wǎng)絡(luò)部分實(shí)施訪問調(diào)用的權(quán)限。只有這樣，該服務(wù)器才能與第一臺(tái)服務(wù)器進(jìn)行通信聯(lián)絡(luò)。此外，您還應(yīng)為DNS服務(wù)器設(shè)定IP地址（根據(jù)前文所提供的建議，這個(gè)地址必須同第一個(gè)域控制器相對(duì)應(yīng)），而這個(gè)IP地址則可供用來針對(duì)充當(dāng)域控制器的計(jì)算機(jī)進(jìn)行定位。

如需設(shè)定DNS服務(wù)器，則請(qǐng)依次執(zhí)行下列操作步驟：

右鍵單擊網(wǎng)絡(luò)鄰居，并在隨后彈出的快捷菜單上選擇屬性命令。
從網(wǎng)絡(luò)與撥號(hào)連接對(duì)話框內(nèi)，右鍵單擊本地連接圖標(biāo)，并在隨后彈出的快捷菜單上選擇屬性命令。
說明：如果您的計(jì)算機(jī)配備有多塊與不同網(wǎng)絡(luò)部分相連的網(wǎng)絡(luò)適配卡（類似于Duwamish Online網(wǎng)絡(luò)配置方案），而您又無法對(duì)已同內(nèi)部建立連接的網(wǎng)卡加以確認(rèn)，那么，您便可通過以物理方式切斷與內(nèi)部網(wǎng)絡(luò)相連之電纜的做法識(shí)別出所需查找的相關(guān)連接。這樣一來，對(duì)應(yīng)于目標(biāo)連接的圖標(biāo)便會(huì)呈現(xiàn)出已被禁用的狀態(tài)。請(qǐng)?jiān)诨謴?fù)網(wǎng)絡(luò)電纜連接之前，為剛剛查找到的連接重新指定相應(yīng)名稱。
選擇Internet協(xié)議（TCP/IP），并單擊屬性。
在Internet協(xié)議（TCP/IP）屬性對(duì)話框內(nèi)，將使用下列DNS服務(wù)器地址選項(xiàng)設(shè)定為選中狀態(tài)。
在首選DNS服務(wù)器欄內(nèi)，輸入相關(guān)IP地址。（如果DNS服務(wù)器已作為第一個(gè)Active Directory服務(wù)器安裝過程的組成部分實(shí)現(xiàn)了安裝，就請(qǐng)為該服務(wù)器輸入IP地址。有關(guān)操作方法請(qǐng)參閱上一章節(jié)--“安裝第一個(gè)域控制器”--中的第8步。）
單擊確定，以便使修改生效。
DNS一經(jīng)設(shè)定，您便可著手安裝第二個(gè)域控制器。

如需安裝第二個(gè)域控制器，則請(qǐng)依次執(zhí)行下列操作步驟：

在開始菜單上單擊運(yùn)行，并在隨后出現(xiàn)的對(duì)話框內(nèi)輸入dcpromo，然后，單擊確定。上述操作將啟動(dòng)Active Directory安裝向?qū)А?
在通過歡迎屏幕后，向?qū)С绦驅(qū)⒁竽鸀橄嚓P(guān)器服務(wù)器指定域控制器類型。在此，應(yīng)選擇設(shè)置對(duì)應(yīng)于現(xiàn)有域的第二個(gè)域控制器。
接下來，向?qū)С绦驅(qū)⒁竽斎胗脩裘?、口令和域名（在這個(gè)例子中，請(qǐng)輸入“intdomain”）。
根據(jù)向?qū)С绦蛱崾荆瑸樘囟ㄓ蜉斎胪耆细裼蛎?，而同這個(gè)域相對(duì)應(yīng)的計(jì)算機(jī)則將成為第二個(gè)域控制器。（在這個(gè)例子中，請(qǐng)輸入“intdomain.com”。）
與您安裝第一個(gè)Active Directory服務(wù)器時(shí)的情形相似，向?qū)С绦驅(qū)⒁竽槍?duì)數(shù)據(jù)庫和日志存儲(chǔ)位置以及共享系統(tǒng)卷加以指定。為簡化操作過程，我們選擇接受所有缺省位置。
在完成管理員口令設(shè)置工作后，向?qū)С绦驅(qū)⒁竽诳偨Y(jié)屏幕上重新核對(duì)并最終確認(rèn)剛剛設(shè)定的信息。請(qǐng)單擊下一步開始安裝。
請(qǐng)?jiān)诎惭b程序執(zhí)行完畢后重新啟動(dòng)服務(wù)器。
設(shè)置Active Directory客戶端
在Windows 2000安裝過程中，向?qū)С绦驅(qū)⒕褪欠窦尤氍F(xiàn)有域或工作組向您進(jìn)行詢問。如果域控制器在安裝時(shí)尚不可用，您便只能在晚些時(shí)候加入相關(guān)域。

在開始執(zhí)行設(shè)置過程前，請(qǐng)先確保計(jì)算機(jī)已具備針對(duì)同一網(wǎng)絡(luò)部分的訪問調(diào)用權(quán)限，以便使其能夠同相關(guān)域進(jìn)行通信聯(lián)絡(luò)。在設(shè)置第二個(gè)域控制器的過程中，您還應(yīng)為DNS服務(wù)器指定相關(guān)IP地址。

下列步驟描述了在Windows 2000操作系統(tǒng)中將某一計(jì)算機(jī)添加至新建域的具體方法。

右鍵單擊我的電腦，并在隨后彈出的快捷菜單上選擇屬性命令。
在系統(tǒng)屬性對(duì)話框內(nèi)，先單擊網(wǎng)絡(luò)標(biāo)識(shí)選項(xiàng)卡，再單擊屬性按鈕。
在標(biāo)識(shí)修改對(duì)話框內(nèi)，將域單選框設(shè)定為選中狀態(tài)，并輸入完整域名（在這個(gè)例子中，請(qǐng)輸入“intdomain.com”）。
單擊確定，以便確認(rèn)上述修改。向?qū)С绦蜻€將提示您輸入域用戶名和口令。
重新啟動(dòng)服務(wù)器，以便使修改生效。
小結(jié)

Active Directory可為改進(jìn)型消息隊(duì)列（MSMQ）特性提供所需支持，并在此基礎(chǔ)上允許針對(duì)公共消息隊(duì)列加以利用，因而，成為DuwamishOnline.com Web區(qū)的首選解決方案。如需獲取有關(guān)MSMQ和Duwamish Online網(wǎng)絡(luò)體系結(jié)構(gòu)的更多信息資料，敬請(qǐng)查閱題為消息隊(duì)列配置的技術(shù)文章。而Active Directory在這個(gè)配置方案中所產(chǎn)生的次要收益則體現(xiàn)為DNS配置任務(wù)的簡化，這恰恰是創(chuàng)建數(shù)據(jù)庫群集所不可或缺的關(guān)鍵要素（請(qǐng)參閱創(chuàng)建具備高度可用性的數(shù)據(jù)庫群集）。

如何驗(yàn)證 Active Directory 安裝

更多信息
驗(yàn)證 Active Directory 的成功安裝是非常重要的。當(dāng)執(zhí)行升級(jí)后，可以通過驗(yàn)證以下各項(xiàng)來驗(yàn)證是否將服務(wù)器提升為域控制器： 1. 默認(rèn)容器：它們?cè)趧?chuàng)建第一個(gè)域時(shí)自動(dòng)創(chuàng)建。打開 Active Directory 用戶和計(jì)算機(jī)，然后驗(yàn)證存在以下容器：計(jì)算機(jī)、用戶和 ForeignSecurityPrincipals。
2. 默認(rèn)的域控制器組織單位：它包含第一個(gè)域控制器，另外還用作新 Windows 2000 域控制器的默認(rèn)容器。打開 Active Directory 用戶和計(jì)算機(jī)，然后驗(yàn)證該組織單位。
3. 默認(rèn)的第一個(gè)站點(diǎn)的名稱：在將服務(wù)器提升為域控制器的過程中，Dcpromo.exe 程序會(huì)確定該域控制器可以成為哪個(gè)站點(diǎn)的成員。如果所創(chuàng)建的域控制器是新域控制器林中的第一個(gè)域控制器，則會(huì)創(chuàng)建一個(gè)名為“Default-First-Site-Name”的默認(rèn)站點(diǎn)，而域控制器將成為該站點(diǎn)的成員，直至配置相應(yīng)的子網(wǎng)和站點(diǎn)。您可以使用“Active Directory 站點(diǎn)和服務(wù)”來驗(yàn)證此項(xiàng)。
4. Active Directory 數(shù)據(jù)庫：Active Directory 數(shù)據(jù)庫就是您的 Ntds.dit 文件。驗(yàn)證它是否存在于 %Systemroot%\Ntds 文件夾中。
5. 全局編錄服務(wù)器：默認(rèn)情況下，第一個(gè)域控制器會(huì)成為全局編錄服務(wù)器。若要驗(yàn)證此項(xiàng)，請(qǐng)執(zhí)行以下操作：a. 單擊開始，指向程序，單擊管理工具，然后單擊 Active Directory 站點(diǎn)和服務(wù)。
b. 雙擊站點(diǎn)以將其展開，展開服務(wù)器，然后選擇您的域控制器。
c. 雙擊域控制器以展開服務(wù)器內(nèi)容。
d. 該服務(wù)器下會(huì)顯示 NTDS 設(shè)置對(duì)象。右鍵單擊該對(duì)象，然后單擊屬性。
e. 默認(rèn)情況下，常規(guī)選項(xiàng)卡上會(huì)顯示已選中的全局編錄復(fù)選框。

6. 根域：安裝第一個(gè)域控制器時(shí)會(huì)創(chuàng)建目錄林的根。在我的電腦中驗(yàn)證計(jì)算機(jī)的網(wǎng)絡(luò)標(biāo)識(shí)。計(jì)算機(jī)的域名系統(tǒng) (DNS) 前綴應(yīng)該與域控制器所屬的域名相匹配。另外，確保計(jì)算機(jī)已注冊(cè)正確的計(jì)算機(jī)角色。若要驗(yàn)證此角色，請(qǐng)使用 net accounts 命令。根據(jù)計(jì)算機(jī)是否為域中的第一個(gè)域控制器，計(jì)算機(jī)角色應(yīng)顯示“主”(primary)或“備份”(backup)。
7. 共享系統(tǒng)卷：Windows 2000 域控制器應(yīng)該含有位于 %Systemroot%\Sysvol\Sysvol 文件夾中的共享系統(tǒng)卷。若要驗(yàn)證此項(xiàng)，請(qǐng)使用 net share 命令。在安裝過程中，Active Directory 還會(huì)創(chuàng)建兩個(gè)標(biāo)準(zhǔn)的策略：“默認(rèn)域”策略和“默認(rèn)域控制器”策略（位于 %Systemroot%\Sysvol\Domain\Policies 文件夾中）。這些策略顯示為以下全局唯一標(biāo)識(shí)符 (GUID)：
表示“默認(rèn)域”策略的 {31B2F340-016D-11D2-945F-00C04FB984F9}
表示“默認(rèn)域控制器”策略的 {6AC1786C-016F-11D2-945F-00C04fB984F9}
8. SRV 資源記錄：您必須裝有為 Active Directory 安裝并配置的 DNS 服務(wù)器和相關(guān)客戶端軟件，才能正常地工作。Microsoft 建議使用 Microsoft DNS 服務(wù)器，它隨 Windows 2000 Server 作為 DNS 服務(wù)器提供。但是，Microsoft DNS 服務(wù)器并不是必需的。您使用的 DNS 服務(wù)器必須支持服務(wù)資源記錄 (SRV RR) 注釋請(qǐng)求文件 (RFC) 2052 以及動(dòng)態(tài)更新協(xié)議 (RFC 2136)。使用 DNS Manager Microsoft Management Console (MMC) 管理單元來驗(yàn)證為每個(gè) DNS 區(qū)域創(chuàng)建了適當(dāng)?shù)膮^(qū)域和資源記錄。Active Directory 在以下文件夾中創(chuàng)建其 SRV RR：? _Msdcs/Dc/_Sites/Default-first-site-name/_Tcp
? _Msdcs/Dc/_Tcp
在這些位置，將顯示以下服務(wù)的 SRV RR： ? _kerberos
? _ldap