Windows Server 2003域網絡建立2．1 DNS和活動目錄DNS （Domain Name System – 域名解析系統）是一個 Internet 的標準服務，它可以將域名如 www.

Windows Server 2003域網絡建立

2．1 DNS和活動目錄

DNS （Domain Name System – 域名解析系統）是一個 Internet 的標準服務，它可以將域名如 www.microsoft.com 翻譯成計算機能夠識別的二進制的 TCP/IP 地址。

Windows 2000/2003 的域名是以 DNS 分層命名結構為基礎的，這是一個顛倒的目錄樹結構：單個根域，以下可以是父域和子域（枝和葉）。例如，諸如 child.parent.microsoft.com 的 Windows 2000/2003 域名識別名為

“child” 的域，此域是名為 “parent” 域的一個子域，而 “parent” 域自身又是根域 microsoft.com 的一個子域。

域中的每臺計算機依靠其完整的合格域名識別。位于

child.parent.microsoft.com 域中計算機的完整合格域名應是

computername.child.parent.microsoft.com 。

2.1.1 DNS和活動目錄的關系

活動目錄使用域名服務DNS 作為它的定位服務，同時也對標準的DNS 作了擴充。在活動目錄中使用DNS 的最大好處在于，我們可以使Windows 2000域與Internet 上的域統一起來，即Windows 域名也是DNS 域名。

DNS 為活動目錄網絡提供了下列主要功能：

1. 名稱解析。 DNS通過將計算機的全稱域名（FQDN ）轉化為IP 地址來提供名稱解析，以便計算機之間的相互定位、查詢和訪問。。

2. 域命名約定。 AD使用DNS 的命名管理約定來命名Windows 的域名。在

Windows2000的網絡中，DNS 域和活動目錄域共享一個公共的分層命名結構。

3. 定位活動目錄的物理組件。 DNS通過SRV （服務資源記錄）來標識域控制器。當有驗證登錄請求或執行一個活動目錄查詢時，客戶機可以通過詢問DNS 以查詢提供服務的域控制器。

DNS 與活動目錄的關系

DNS 和活動目錄集成目錄服務是微軟Windows 2000/2003的一個關鍵特性。DNS 和活動目錄的關系如下：

1.AD 和DNS 使用相同的命名層次結構，共享相同的域名，故域和計算機可以使用DNS 的節點和AD 的對象來表示。

2.AD 和DNS 存儲了同一物理對象的不同信息，從而代表了兩 個不同的域名空間。DNS 存放資源記錄（如域名和IP 的映射）；AD 存放資源對象（如計算機、用用戶、組以及其相應的屬性等）。

3.AD 使用DNS 來幫助搜索資源，AD 必須要依靠DNS ，用戶用DNS 來查詢DC 以使AD 提供服務；DNS 可以不依靠AD ，它只是AD 中的一個必須的工具而已。

2.1.2 服務資源記錄

Active Directory 將 DNS 用作域控制器定位機制，使計算機能找到域控制器的 IP 地址。為查找特定域或目錄林中的域控制器，客戶端向 DNS 查詢相應的服務位置 (service location , SRV) 和地址 (address , A) 資源記錄。這些 DNS 資源記錄提供域控制器的名稱和 IP 地址。

因此，用于支持 Active Directory 部署的 DNS 服務器必須支持 SRV 記錄。而且，Microsoft 極力推薦這些 DNS 服務器也支持動態更新。域控制器動態注冊域控制器定位機制成功運行所必需的 DNS 記錄。

服務資源記錄的功能

當DC 啟動后，Netlogon service會自動在DNS Server中注冊SRV 記錄。SRV 記錄有以下功能：

1. 服務記錄的信息將服務名和DNS 的提供該服務的域控制器的計算機名連接起來。

2. 服務記錄允許允許客戶機通過DNS 查找提供特定活動目錄服務的服務器。 SRV 資源記錄可以標識：

1. 在特定的域和森林中的域控制器。

2. 在同一個站點作為客戶機的域控制器。

3. 注冊成為全局目錄服務器的域控制器。

4. 注冊成為Kerberos KDC服務器的域控制器。

服務資源記錄使用的格式

所有服務資源記錄使用下列格式：

_service-Protocol.name ttk class SRV priority weight port target

例：_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft.

下表給出了服務記錄中每個字段的描述：

定位域控制器

當域控制器開始啟動以及在運行過程中是周期性的，該域控制器的Netlogon 服務會使用動態 DNS（DDNS ）公布它的DNS SRV 記錄。此SRV 記錄描述了該域控制器提供的服務。例如：Kerberos 認證、輕量級目錄訪問協議以及AD 全局編錄（Global Catalog ，GC ）查找。由于域控制器使用分層次結構的SRV 記錄，所以這就為工作站定位所屬站點或者所屬域提供了便利。

圖 2-1 SRV記錄的命名層次結構

如圖2-1顯示了SRV 記錄的命名層次結構。從其結構圖中我們發現它的結構與Windows 2000/2003的DNS 層次結構十分相似。這種結構的好處之一就是，工作站可以在不需要了解所需服務具體參數的情況下快速搜索。例如：要在域森林中查找全局編錄的服務器，只需要在搜索條件中指定域森林的名稱和協議類型（可以使用forestname._tcp來搜索_gc SRV 記錄），這個搜索將返回指定域內所有全局編錄服務器的SRV 記錄。如果工作站已經知道AD 站點的名稱，可以使用 forestname._sites.sitename._tcp來搜索_gc SRV記錄，這個搜索將返回指定站點內的全局編錄服務器的SRV 記錄。

在 DNS中周期性地公布SRV 記錄對于工作站快速定位域控制器有很大幫助。當工作站被認證屬于某一個域后，工作站就需要在該AD 站點中選擇一個域控制器。

工作站上運行的Netlogon 進程將控制整個認證過程。作為Netlogon 組件之一的DC Locator負責為工作站定位域控制器。早期版本Windows 中的DC Locator使用WINS 來定位域控制器，在Windows 2000以及其他AD 工作站中都使用搜索SRV 記錄的方法定位域控制器。

在工作站第一次被認證之前，它不知道自身所在的站點。所以此時工作站的第一個任務就是查找域內的所有域控制器。工作站首先向本機TCP/IP設置中的主DNS 服務器發出搜索請求，在 _tcp.dcs._msdcs.domainname內搜索_ldap SRV 記錄。如果該DNS 服務器沒有響應，工作站將會向輔DNS 服務器發出請求。

DNS 服務器在收到查詢請求后，會向工作站返回域內所有域控制器的列表。收到列表后工作站對所有記錄初始化低優先級的值，之后依次AD Ping （一個基于UDP 的LDAP 查詢命令）每個域控制器。如果域控制器沒有在十分之一秒內響應，工作站會繼續測試下一個，依次類推，直到有一個域控制器響應。

當域控制器收到來自工作站的AD Ping ，域控制器在返回之前需要對兩個重要信息進行判斷。首先，域控制器需要判斷與工作站最近的站點。如何判斷？域控制器使用內存中保留的站點和子網的 IP地址與AD Ping的源IP 地址相比較。然后，域控制器判斷自身是否處于該站點（同樣從IP 地址對比的角度）。最后將這些信息和該域控制器所處站點的名稱以一個 UDP數據報返回給工作站。 工作站在接收到響應后，檢查回應的域控制器是否位于最近站點中。如果是，就將該工作站所屬的站點信息保存到注冊表“HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet ServicesNetlogonParameters”下的

“DynamicSiteName”子鍵中，并且將該域控制器作為將來提供認證服務的提供者。如果域控制器返回的信息表明它不在最近的站點中，工作站就使用所提供的站點名稱向DNS 服務器請求此站點內域控制器的列表。向

_tcp.sitename.sites.dc._msdcs.domainname區域查找_ldap SRV 記錄。DNS 服務器根據指定的站點名稱返回域控制器列表。之后工作站將再次重復，在收到列表之后對所有記錄設置低優先級值，依次AD Ping 域控制器，直到有域控制器在十分之一秒內響應。

如果在工作站所處站點中沒有一個域控制器響應，那會怎樣？在這種情況下（當然我們希望這種情況最好永遠別發生），工作站將嘗試與任何能夠通訊的域控制器聯系。

2.1.3 AD集成區域

當在Windows 2000/2003中實現了DNS ，就可以把活動目錄中的服務當作數據存儲和復制的引擎來使用，也即將DNS 和AD 集成在一起，將DNS 的區域類型更改為“活動目錄集成區域”。

圖 2-2 活動目錄集成區域

DNS 和活動目錄集成區域的好處之一就是能夠將DNS 的域和活動目錄數據結合起來。主DNS 區域也將作為對象存儲在活動目錄數據庫。而且當DNS 進行區域文件數據庫的復制時，也將隨著AD 的復制而進行。

活動目錄集成區域也須在一臺域控制器上才能創建，它具有有以下的優點：

1. 消除了主DNS 服務器作為單個失敗點而帶來的不足。DNS 復制是單個主控，它依靠主DNS 服務器來更新所有其它輔助服務器。而活動目錄復制是多主控復制，因此可以對任何服務器進行更新，更改將復制給其它的域控制器。因此如將DNS 區域和活動目錄進行集成，活動目錄復制將總會同步DNS 信息。

2. 能夠進行安全可靠的動態更新。因為DNS 區域在活動目錄集成區域中是活動目錄對象，在那些區域的記錄中可以設置權限來控制哪臺計算機可以動態的更新。因此使用安全的動態更新協議的更新將僅來自那些授權的計算機，如域中的計算機。

3. 對那些沒有注冊為域控制器的DNS 服務器執行標準區域傳送。必須使用標準區域傳輸來把區域復制到其它域中的DNS 服務器。

2．2 創建域

Active Directory 服務部署由一個或多個林組成，每個林又包含一個或多個域。在網絡中創建初始域控制器 （DC ）時，就會在林中創建第一個域；域必須至少包含一個域控制器。創建的第一個域是第一個林的根域。同一域林中的其他域可以是子域或樹根域。同一域樹中位于一個域的上方與其緊鄰的域被視為該域的父域。

域用來實現各種網絡管理目標，如構造網絡、劃定安全范圍、應用組策略以及復制信息等。

Active Directory 允許將域控制器用作對等計算機；因此，客戶端可通過域中的任何域控制器來更新 Active Directory 。這與 Windows NT Server 主域控制器 （PDC ）和備份域控制器 （BDC ） 所扮演的讀寫/只讀角色具有非常大的差異。Windows NT Server 域系統支持單主機復制，它要求所有更改都必須在 PDC 上進行。

Windows 2000/2003 操作系統支持多主控復制；域中的所有域控制器都可以接收對象更改，并且可以將這些更改復制到該域中的所有其他域控制器。默認情況下，在林中創建的第一個域控制器是全局編錄服務器，它包含所在域的目錄中所有對象的完整副本，還包括林中所有其他域的目錄中存儲的所有對象的部分副本。 在域控制器之間復制 Active Directory 數據有助于提高信息可用性、容錯性、負載平衡和性能。在單元中，您可以通過安裝多個域控制器，充分利用多主機模型提供的更好的容錯性能。即使某個域控制器停止工作，也不會影響 Active Directory 的可用性。

2.2.1 安裝前的準備

域是Windows 2000/2003網絡中的核心管理單元。在Windows 2000/2003中，域用來限定信息和資源的組織與管理方式。

在活動目錄中創建的第一個域是整個目錄林的根域或目錄林的根。在Windows 2000網絡上第一次安裝活動目錄時，需要在新目錄林中創建第一個域控制器，同時也就創建了根域。

安裝Windows 2000活動目錄的系統要求：

在利用活動目錄安裝向導安裝活動目錄之前，必須確保計算機系統滿足安裝活動目錄所需的所有要求：

1. 計算機上運行的是Windows 2000 Server、Windows 2000 Advanced Server、Windows 2000 Datacenter Server（即服務器版的Win2000操作系統）；

2. 用于活動目錄數據庫的最小磁盤空間200MB ，另外還需要附加的50MB 的空間用于活動目錄數據庫的事務日志文件。如果域控制器同時也作為全局目錄服務器，則還需要額外的空間。

3. 必須有一個NTFS 文件系統格式化的分區或卷，這是系統卷（Sysvol ）文件夾所必需的；

4. 如果DNS 服務器不是本機，那么應把將要安裝活動目錄的服務器作為DNS 的客戶端（安裝并配置成可以使用DNS 的TCP/IP）；

5. 如果是在現存的Windows 2000網絡上創建域，那么還需要有創建域所需的管理特權。

安裝活動目錄的方法

可以采用以下兩種方法來安裝活動目錄：

1. 采用Dcpromo.exe 命令進行常規安裝。

2. 采用無人值守的安裝腳本安裝。安裝命名為：Dcpromo.exe

/answer:answerfile （其中answer file是解答文件的名字。此文件有相關安裝信息，詳細資料參考Windows2000 Advanced Server CD中的SupportTools里面）。

應答文件的準備

當要選擇無人參與的安裝腳本進行活動目錄安裝，就應先做好一個應答文件。 活動目錄安裝向導的應答文件只包含一個部分：[DCIstall]。安裝向導中的每個操作都會用到這個文件中的具體參數。如果沒有指定具體的參數值，就會使用默認參數值。

應答文件示例如下：

[Unattended]

[Dcinstall]

Rebootonsuccess=yes (計算機安裝完畢后需要重啟動)

Databasepath=d:winntNtds （數據庫路徑）

Logpath=d:winntNtds （日志文件路徑）

Sysvolpath=e:winntsysvol （系統卷路徑）

Sitename=site1 （站點名）

ReplicaorNewDomain=Domain （復制或新域，此處選新域）

TreeorChild=Tree （目錄樹或子域，此處選新建一個目錄樹）

CreatorJoin=Creat （創建或添加，此處選擇創建）

DomainNetBIOSName=esstest （域的Netbios 名）

NewDomainDnsName=esstest.com （新域的DNS 名）

DnsonNetwork=Yes （利用網上原有的DNS 配置）

AutoconfigDNS=No （在安裝過程中不配置DNS ）

2.2.2 域控制器的創建

網絡環境簡述：網絡中有一臺DNS 服務器（計算機名為ESS-ISA-0A ），現準備將其升級為DC ，同時將網絡中另一臺成員服務器ESS-DC-11升級為附加的域控制器。下表列出了各個計算機的TCP/IP配置：

DNS 的基本配置

由于網絡中已存在DNS 服務器，在創建域前，我們先在上面為域創建區域和主機記錄。創建過程如下：

1、在【管理工具】 => 【DNS 】中打開DNS 管理控制臺。然后在正向搜索區域中選擇【新建區域】。如圖2-3所示。

2、在【區域名】對話框中，輸入新建區域的域名：esstest.com 。然后點擊【下一步】按鈕，選擇區域類型為標準主區域，然后按默認設置完成區域的創建。如圖2-4所示。

3、在esstest.com 區域的屬性中，將區域設置為【允許動態更新】。如圖2-5所示。

4、在esstest.com 的區域中，為即將升級的為DC 的計算機建立一條主機記錄，如圖2-6所示。

圖 2-3 新建區域

圖 2-4 輸入區域名稱

圖 2-5 設置允許動態更新

圖 2-6 建立主機記錄

建立第一個域控制器

網絡上第一次安裝活動目錄就是在創建目錄林的根域。活動目錄的安裝向導將逐步引導你指定新域控制器所需的信息。

在創建第一個DC 的時候，也會創建下列的目錄分區，并通過復制從而復制到以后創建的其它DC 上。

1. 架構目錄分區。 包含架構容器，用來存儲所有現存的和可能創建的AD 對象和屬性的定義。在目錄林中復制。

2. 配置目錄分區。 包含配置容器，用來存儲整個目錄林的所有配置對象，如站點、服務和目錄分區等信息。在目錄林中復制。

3. 域目錄分區。 包含域容器，如esstest.com ，用來存儲用戶、計算機、組和其它Windows2000域所要求的具體對象。在同一個域中復制。

按下列步驟創建根域：

1、在計算機ESS-ISA-01上，選擇【開始】 => 【運行】，然后在運行對話框中輸入dcpromo.exe 命令，進入到活動目錄安裝向導。

2、在【域控制器類型】對話框中選擇【新的域控制器】；在【創建目錄樹或子域】對話框中選擇【創建一個新的目錄樹】；在【創建或加入目錄林】選項中，選擇【創建新的域目錄林】。如圖2-7所示。

圖 2-7 創建新的域控制器

3、在【新的域名】對話框中，輸入在DNS 中為之建立的區域名：esstest.com 。然后在域NetBios 名中保留ESSTEST 名。如圖2-8所示。

圖 2-8 輸入新域的DNS 全名

4、在【共享的系統卷】選項中，將文件夾位置放到一個NTFS 文件系統的分區或卷上。如圖2-9所示。