下载文档原格式
六 Windows Server 2003活动目录实验要求:1、在虚拟机中安装操作系统时,你要设想你是在服务器上安装操作系统,设想你自己是网络管理员。
注意保证网络连通。
虚拟硬盘为25G。
2、五个人一组,五个人要相互分工合作。
全班可以分为X组,第一组的IP范围为121.87.1.100-121.87.1.200,第X组的IP范围为121.87.X.100-121.87.X.200。
参考书本图7-1为我们学院建立一个域树,林根域是,该域的默认的管理员帐户administrator改为admin_xcvtc1,密码设置为ABC123456789def (第一组在xcvtc后面加一个1,第二组加个2……) 。
3、域下面有两个子域: 一个是系部的,你可以任意选择一个系部,如选择信息工程系则其子域完整域名为,默认的管理员账户administrator改为admin_xxgcx;另一个是行政部分(),默认的管理员账户administrator改为admin_xz。
密码均可自行设置或者为空白。
4、系部有两个组织单位,“领导办公室”(ldb)和“教研室”(jys),在“领导办公室”组织单位中创建XLD用户,密码自行设置;行政部分有“教务处”(jwc)和“人事处”(rsc)两个组织单位,在“教务处”组织单位中创建JWC用户。
并将“领导办公室”组织单位的创建用户和组的权限委派给XLD用户,将“教务处”组织单位的修改组名的权限委派给JWC 用户。
5、在林根域中添加用户主体后缀名称。
6、你们一组中除了三个域控制器外还有几台计算机(可以称为客户端)。
“领导办公室”(ldb)和“人事处”(rsc)两个组织单位中分别创建ldb(对应其中一个客户端)和rsc 两个计算机帐户(对应另外一台客户端)。
7、将你们一组中除了三台域控制器外的两台计算机加入到与相应的域中(要求在客户端上进行设置,一台客户端的计算机名称改为ldb,其隶属于系部的子域。
在windows server 2003活动目录域中添加Windows Server2008额外域控制器在windows server 2003活动目录域中添加Windows Server 2003额外域控制器是非常简单的,但是在03中添加08就没那么简单了,添加的时候还得进行域准备、林准备、提升架构等操作。
好了,不多说了,现在我们就开始做吧!有两台计算机一台计算机的操作系统是windows server 2003操作系统,另一台是windows se rver 2008操作系统。
windows server 2003是DC、DNS服务器,IP:192.168.1.11 ,域名;windows server 200 8是域中的成员服务器,IP:192.168.1.10,DNS:192.168.1.11建域在这我就不多说了,下面是windows server 2003这台计算机的IP属性,DNS是它本身。
这是windows server 2008的IP属性,DNS指向的是windows server 2003计算机。
一、将Windows server 2008加入域中下面我们将Windows server 2008这台计算机加入 域中,让Windows server 2008计算机成为域中的成员服务器,加域很简单我们就不一一介绍了,如下图所示,我们已经将Windows server 2008计算机加入了域中了。
二、林准备首先,我们需要在域控制器中放入Windows Server 2008的安装光盘,因为在接下来进行的架构扩展需要使用到光盘中的文件。
放入光盘后,在开始运行中输入“CMD”命令,进入盘符D路径如下所示,然后运行"adprep /forestprep"命令域控制器进行林架构的扩展,如下图所示。
运行“adprep/forestprep”命令后,会提示“如果环境中Windows 20 00的域控制器,架构提升之前这些域控制器需要先打上SP4或者更新的补丁”在满足上述的条件之后按键盘中的"C"”,然后按"回车"键.如下图所示,正在进行林架构的扩展Ok!经过几分钟后林架构扩展完毕。
Windows Server 2003环境下域控制器挂掉后的处理步骤前提必须是域内有多域控制器,如果没有,还是老老实实地去做全盘备份和恢复吧。
实验环境:●域名:●第一台域控制器:⏹计算机名:⏹IP:192.168.5.1⏹子网掩码:255.255.255.0⏹DNS:192.168.5.1⏹并且FSMO五种角色及GC全部在第一台域控上。
●第二台域控制器:⏹计算机名:⏹IP:192.168.5.2⏹子网掩码:255.255.255.0⏹DNS:192.168.5.2灾难情况第一台域控制器由于硬件原因,导致无法启动。
客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了。
操作目的让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。
操作步骤首先,要把第一台域控制器的所有信息从活动目录里面删除。
点击“开始-运行”,输入:“cmd”并回车,在命令提示符下输入:“ntdsutil”,然后回车。
选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令:显示一下Site中的域:结果找到两个,其中“1”是我建的子域,所以这里要先择“0”:通过上面的信息,我们可以看到两个服务器,其中SERVER是我们要删除的,因为它已经DOWN机了。
所以这里要选择“0”:选中后,按“q”退出到上一层菜单:接下去删除服务器信息,出现提示后点是。
在上图中点击“是”:然后再按2个“q”退出。
再使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象。
打开后,找到如下位置:点击右键,然后选“删除”就可以了。
在“管理工具”里,打开“AD站点和服务”,找到如下位置:把复制连接也删除了:把FSMO角色强行夺取过来。
先要连接到目标服务器上:连接成功后,按“q”退出到上层菜单,并且看一下帮助信息:这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。
将Windows Server 2003安装为域控制器目的:将一台主机架设成Windows Server 2003 域控制器,用域来控制局域网内的主机。
准备工作:1. Windows Server 2003 安装盘一张。
2. 将服务器的操作系统安装为Windows Server 2003。
(服务器要有光驱)一、将服务器配置为DHCP服务器。
1. 打开“管理您的服务器向导”(开始->管理工具->管理您的服务器),点击“添加或删除角色”点击“添加或删除角色”后,出现如下画面:直接点击“下一步”,选择“自定义配置”,点击“下一步”,选择“DHCP 服务器”,点击“下一步”,按照提示点“下一步”,直到出现“新建作用域向导”点击“下一步”,对于名称,输入“TEST DOMAIN”(随便你输入名称),描述为空,点“下一步”,输入起始IP:192.168.1.2,结束IP192.168.1.254,子网掩码:255.255.255.0。
(这个根据实际情况而定,看你的主机的IP地址、子网掩码、默认网关。
我的情况如下是:IP:192.168.1.27,子网掩码:255.255.255.0;网关:192.168.1.1。
所以,这里起始IP为192.168.1.2,结束IP为192.168.1.254,网关为192.168.1.1,这样就可以使整个局域网内的主机都可以加入域进行控制。
)点击“下一步”,很显然,这里网关要输入:192.168.1.1,(上面已经讲清楚了),点“下一步”,对于“域名称和DNS服务器”中的“父域”输入“ “,对于“IP地址”输入你本机的IP地址,即:192.168.1.27,这个IP地址就是你的域服务器的IP,点“添加”,点“下一步”,肯定是选择“激活作用域”了,点“下一步”。
点击两次“完成”,重启你的计算机。
到此,域服务器已经设置为DHCP服务器。
二、将服务器设置为域控制器打开开始菜单,输入“DCPROMO”,回车,回车后,出现“Active Directory 安装向导”,点击“下一步”,出现“操作系统兼容性”信息后,单击“下一步”,选择“新域的域控制器”,点“下一步”,选择“在新林中的域”,点击“下一步”,“新域的 DNS全名”输入“”,点击“下一步”,点击“下一步”,表示使用“TEST”作为域NetBIOS名,直接点“下一步”,数据库和日志文件文件夹放在默认目录下就可以了,注意:SYSVOL文件夹必须在NTFS卷上,即这个文件夹所在的磁盘格式必须为NTFS,点“下一步”,呵呵,出现这个画面不要以为出现错误了,选择第二项,点“下一步”,选择“只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限”(默认),然后单击“下一步”,设置好你的还原模式密码之后,点“下一步”,出现“Active Directory 安装选项摘要”,单击“下一步”开始安装 Active Directory。
Windows2003 Active Directory域控制器今天教大家用windows server2003系统建立Active Directory域控制器,客户机是XP 系统。
准备工具Windows server2003系统盘。
控制面板--管理工具--配置您的服务器,出现向导点下一步正在检测等待一下自定义配置,下一步。
选择域控制器,下一步。
出现AD向导,点下一步。
出现AD安装向导,点下一步。
选择新域的控制器。
选择新的域林。
配置DNS,记得一定要配置。
填入你需要的域名。
这里早期的Windows用户采用的是netbios来标示域,我这里写的YAZI,下一步。
活动目录的数据库和日志建议放在别的盘符,点浏览找到你想放的盘符和具体文件夹。
指定系统卷共享的文件夹,建议放在别的盘符,但是要主要的是盘符必须放在NTFS格式的分区里面。
选择下面一个:只与windows2000或者windows server2003输入还原密码,这个是目录还原模式的密码,而不是系统管理员的密码。
确定无误后点下一步。
等待一下。
AD安装完成提示你启动。
启动后出现了一行登陆选项。
最后提示你:此服务器选择是域控制器了,点击完成。
开始--程序--管理工具---找到Active Directory用户和计算机。
然后展开域名,找到Users鼠标右键--新建--用户创建姓名,简写。
然后创建用户的登陆名。
别写中文的。
选择密码永不过期,密码是:英文+数字+符号。
不然提示你密码不和规范。
[分享1楼发表于: 2009-04-27 08:39:41 只看该作者| 小中大最后点击完成。
出现你刚刚建立的用户。
接着配置客户端,我的电脑属性--选择网络ID或者更改都行,注意计算机名最好是英文的。
选择的域,然后输入你要加入的域.接着提示你输入你要加入域的用户帐户和密码。
提示你加入成功。
提示你启动计算机才有效。
启动客户端后是不是发现也多了一行登录选项,注意这里的用户名就是域管理员个的你帐户,而不是你以前的系统登录名了。
第十一章操作主机与活动目录数据库维护11.1操作主机操作主机(Operations Masters,简称OM),或称为操作主控(Flexible Single Master Operation,简称FSMO),尽管名称有所区别,但它们所代表的含义完全相同。
操作主机,是Active Directory数据库中的特殊对象,具备此类对象的域控制器肩负着Active Directory 的核心功能。
在域环境里,我们不得不考虑活动目录的复制问题,我们知道大多数DC之间的复制是一种多主复制的机制。
而有一些特定的操作必须采用单主机复制,而复制的源就是操作主机。
当然操作主机也是DC,无非有着特殊的功能而矣。
11.1.1操作主机角色Active Directory域中有5种类型的操作主机,分别是:⏹架构主机(Schema Master)。
⏹域命名主机(Domain Naming Master)。
⏹PDC仿真器(PDC Emulator)。
⏹RID主机(RIDMaster)。
⏹基础架构主机(Infrastructure Master)。
在每个林中,至少有5个指派给一个或多个域控制器的操作主机角色。
在每个林中,林范围的操作主机角色必须只出现一次。
在林中的每个域中,域范围的操作主机角色必须在每个域中出现一次。
每个林必须具有以下角色:⏹架构主机。
⏹域命名主机。
在林中这些角色必须是唯一的。
这意味着在整个林中,只能有一个架构主机和一个域命名主机。
林中的每个域都必须有下列角色:⏹RID主机。
⏹PDC主机。
⏹基础架构主机。
在每个域中这些角色都必须是唯一的,即林中的每个域都只能有一个RID主机、PDC 主机,以及基础架构主机。
操作主机在Active Directory环境中,肩负着重要的作用,如果操作主机出现问题,将会出现以下问题:当架构主机不可用时,不能对架构进行更改。
在大多数网络环境中,对架构更改的频率很低,并且应提前进行规划,以便使架构主机的故障不至于产生任何直接的问题。
实验二Win Server 2003活动目录设置一、实验目的:熟练掌握Win2003活动目录的安装和设置;了解“域”的概念。
二、实验属性:设计型三、实验环境Pentium 550Hz以上的CPU;建议至少256MB的内存;建议硬盘至少2GB,并有1GB空闲空间。
四、实验内容在安装Active Directory前首先确定DNS服务正常工作,下面来安装根域为的第一台域控制器。
运行Active Directory安装向导将Windows server 2003计算机配置为域控制器,创建一个新域或者向现有的域添加其他域控制器。
五、实验步骤1、安装(1)利用配置服务器启动位于%System root%\System32中的Active Directory安装向导程序Dcpromo.exe,单击[下一步]。
(2)由于所建立的是域中的第一台域控制器,所以选择[新域的域控制器]单击[下一步]。
(3)选择[创建一个新域的域目录树],单击[下一步]。
(4)选择[创建一个新域的域目录林],单击[下一步]。
(5)在[新域DNS全名]中输入要创建的域名,单击[下一步]。
(6)安装向导自动将域名控制器的NetBIOS名设置为“nt2003”,单击[下一步]。
(7)显示数据库、目录文件及Sysvol文件的保存位置,一般不必做修改,单击[下一步]。
(8)配置DNS服务器,单击[下一步],如果在安装Active Directory之前未配置DNS 服务器可以在此让安装向导配置DNS,推荐使用这种方法。
(9)为用户和组选择默认权限,单击[下一步](10)输入目录恢复模式下的管理员密码,单击[下一步]。
(11)安装向导显示摘要信息,单击[下一步]。
(12)安装完成,重新启动计算机。
2、检查Active Directory安装是否正确,在安装过程中一项最重要的工作就是在DNS 数据库中添加服务记录(SRV记录),下面介绍一下如何检查安装是否正确。
实验二Windows Server 2003活动目录与域控制器
[注意事项]:
1、在虚拟机软件里自己安装的网络操作系统中做实验。
2、有两种方式打开安装或删除活动目录的界面:
(1)用命令“开始——管理工具——配置您的服务器向导”(Server 2003才有)。
(2)用命令“开始——运行——输入‘dcpromo’”。
3、密码可以设置与5.1管理员相同的密码或设置另外的密码,并且一定要书面记住密码。
4、安装结束后出现配置DNS服务器的选项,选择让系统自动配置。
5、安装活动目录成功后的标志见下图5.19。
6、安装好活动目录后,请不要再次运行“dcpromo”命令,否则会删除已安装的活动目录。
一、实验目的
学习活动目录的安装和删除(实验只要求安装)。
二、实验内容
1.活动目录的安装(升级)
2.活动目录的删除(降级)——理论上掌握,具体实验不要做
三、实验理论基础
活动目录是Windows Server 2003网络中提供的目录服务。
目录服务也是一种网络服务,它把网络中的资源信息集中存储起来,并将其提供给用户和应用程序使用。
它提供了一种一致化的命名、描述、定位、管理和设置相应安全的方法。
通过提供通用的网络资源接口和直观的网络资源访问界面,使用户能够以一致的方式管理自己的整个网络。
由于活动目录中网络资源信息集中存放和管理,使得网络的物理结构和网络所使用的传输协议对用户来讲变得透明起来。
当用户访问网络时,无需了解资源的物理位置和连接方法,就可以访问资源。
这对于多数缺乏网络专业知识的网络普通用户来说,显得格外有意义。
使管理员和一般用户可以方便地查找和使用网络信息,同时也更便于网络管理员有效的管理网络。
活动目录是由组织单位(OU)、域(Domain)、域树(Domain Tree)和森林(Domain Forest)组成的层次结构,它存储有关计算机网络对象的信息。
例如,用户、组、计算机、组织、帐户、共享资源和打印机等等。
域是网络对象的分组,如用户、组和计算机。
它是最基本的管理单元,同时也是最基层的容器,它可对用户、计算机等基本数据进行存储,域中的对象均为该域的成员。
在一个AD中可以根据需要建立多个域。
在域中作为服务器的计算机可以充当成员服务器或域控制器中的任何一个角色,而不在域中的服务器则为独立服务器。
成员服务器是属于某个域,并安装了Windows 2000Server家族或Windows Server 2003家族的操作系统的计算机。
该计算机不是域控制器,不处理帐户登录、不参与活动目录的复制,也不存储域安全策略信息。
成员服务器通常用作以下几种类型的服务器:文件服务器、应用程序服务器、数据库服务器、Web服务器、证书服务器、防火墙和远程访问服务器。
域控制器是安装了Windows 2000Server家族或Windows Server 2003家族的操作系统的计算机。
该计算机使用活动目录以存储域数据库的读/写副本、参与多主机复制,并验证用户。
域控制器存储目录数据并管理用户和域之间的通信,包括用户登录进程、身份验证和目录搜索。
域控制使用多主机复制来同步目录数据,从而确保前后信息的一致。
独立服务器是运行Windows 2000Server或Windows Server 2003但不参与域的服务器。
独立服务器在只有其自身的用户数据库,并且自己处理登录请求。
它不与其他计算机共享帐户信息,并且不提供对域帐户的访问权限,但它能够加入工作组。
域和域控制器是相互依赖的,域存在于域控制器上,而一台安装了Windows Server 2003的计算机也因为提供了域服务而成为域控制器。
所以当建立一个域的时候,也就是建立这个域中的第一台域控制器。
四、实验步骤
1.实验前的准备工作
为讲解方便,这里设域名为,服务器类型为主域控制器。
学生做实验时(图5.14)取域名为LYZY※※.COM,其中※※为学生序号。
实验器材如表5.3所示。
表5.3 所需实验器材
2.活动目录的安装
每个学生都在虚拟机软件里自己安装的网络操作系统中做实验。
可通过系统自带的安装向导来完成,具体步骤如下:
(1)“开始”→“管理工具”→“配置您的服务器向导”→“下一步”,出现“预备步骤”对话框,如图5.9所示(或运行dcpromo命令)。
(2)单击“下一步”,出现检测网络设备的界面。
(3)稍后,出现“配置选项”对话框,选择“自定义配置”,如图5.10所示。
(4)单击“下一步”,出现“服务器角色”对话框,如图5.11。
(5)在服务器列表中查看“域控制器(Active Directory)”项后的值是否为“否”,“否”表示还未安装。
则选择该项,单击“下一步”,出现“域控制器类型”对话框,单击“下一步”,如图5.12所示。
(6)若域中没有现成的DC,则应该选择“新域的域控制器”,该域将成为新域中的第一个DC;若该网络中已有了一个或多个DC,则应该选择“现有域的额外域控制器”,这样就可组建域树。
这里假设没有域,选择“新域的域控制器”→“下一步”,出现“创建一个新域”对话框,如图5.13所示。
图5.9“预备步骤”对话框
图5.10“配置选项”对话框
图5.11“服务器角色”对话框
图5.12“域控制器类型”对话框
图5.13“创建一个新域”对话框
(7)在这里因为要创建第一个新域,所以选择第一个“在新林中的域”→“下一步”,出现“新的域名”对话框,如图5.14所示。
图5.14“新的域名”对话框
(8)输入域名“lyzy※※.com”→“下一步”,出现“NetBIOS域名”对话框,如图5.15所示。
图5.15“NetBIOS域名”对话框
(9)输入NetBIOS名,也可采用默认值→“下一步”,出现“数据库和日志文件文件夹”对话框。
(10)指定数据库文件夹及日志文件夹所存放的位置,默认在系统盘上,不必修改。
单击“下一步”,出现“共享的系统卷”对话框。
(11)指定SYSVOL文件夹存放的位置,要求必须是NTFS文件格式的分区。
SYSVOL 文件夹存放域的公用文件的服务器副本。
SYSVOL广播的内容被复制到域中的所有域控制器,其文件夹位置一般不作修改,单击“下一步”,如图5.16所示。
图5.16“DNS注册诊断”对话框
(12)在“DNS注册诊断”对话框中,可根据需要进行选择,这里选择第二个。
单击“下一步”,出现“权限”对话框。
(13)根据实际情况选择用户和组对象的默认权限,这里选择第一个,如图5.17所示。
图5.17选择用户和组对象的默认权限
(14)单击“下一步”,出现“目录服务还原模式的管理员密码”对话框,输入要设定的密码。
单击“下一步”,如图5.18所示。
图5.18输入目录服务还原模式的管理员密码
(15)出现AD安装的动态画面。
(16)在安装的过程中,需要的一些文件,可用插盘或搜索查找的方法解决。
等待一些时间,AD安装完毕。
(17)单击“完成”,即完成了AD的安装。
安装完成之后,重新启动计算机即可。
(18)验证安装是否成功
重启计算机后,单击“开始”→“所有程序”→“管理工具”,发现它的下一级菜单增加了3条与活动目录有关的管理工具。
如图5.19所示。
图5.19活动目录安装后菜单的变化
通过菜单中的“Active Directory用户和计算机”可进入控制台,主要是对活动目录中的用户、计算机、用户组和其他内容进行管理。
另外两个工具则分别用于管理域之间的信任关系、创建站点及与活动目录相关的信息。
对于普通的域环境来说,“Active Directory用户和计算机”工具最为关键。
注意:计算机安装了AD后,开机和关机变慢是正常现象。
3.启动Active Directory用户和计算机
选择“开始”→“所有程序”→“管理工具”→“Active Directory用户和计算机”选项,弹出“Active Directory用户和计算机”对话框,如图5.20的所示,以便进行后面的操作。
图5.20 活动目录用户和计算机界面
4.活动目录的删除
活动目录的删除(本实验不做这一步)步骤如下:
(1)单击“开始”→选择“运行”→输入“dcpromo”,让活动目录降级,出现如图5.21所示界面。
单击“下一步”→“确定”。
(2)在“删除Active Directory”对话框中,勾选“这个服务器是域中的最后一个域控制器(T)”→单击“下一步”,如图5.22所示。
活动目录删除成功后需重启系统。
注意:若计算机没有安装AD,使用“dcpromo”命令将进入AD的安装界面,可进行AD的安装。
图 5.21活动目录卸载画面
图5.22活动目录卸载画面
五、分析与讨论
1.是否所有的操作系统都能安装活动目录?什么样的操作系统才可以安装活动目录?
2.安装活动目录后的计算机与未安装活动目录的计算机有什么区别?。
