本文的目的，是作為域和AD 的一篇入門文章，使沒有安裝過域，或剛剛接觸域的年輕網(wǎng)管能對域和AD 有一個全面的了解，并利用此文入門，將所管理的網(wǎng)絡(luò)實現(xiàn)一個基于域的管理模式。一、認(rèn)識Windows 的域本

本文的目的，是作為域和AD 的一篇入門文章，使沒有安裝過域，或剛剛接觸域的年輕網(wǎng)管能對域和AD 有一個全面的了解，并利用此文入門，將所管理的網(wǎng)絡(luò)實現(xiàn)一個基于域的管理模式。

一、認(rèn)識Windows 的域

本小節(jié)重點從理論上闡述域的概念、作用和Windows 中域的產(chǎn)生。

一臺Windows 計算機，它要么隸屬于工作組，要么隸屬于域。所以說到域，我們就不得不提一下工作組，工作組是MS 的概念，一般的普遍稱謂是對等網(wǎng)。工作組通常是一個由不多于10臺計算機組成的邏輯集合，如果要管理更多的計算機，MS 推薦你使用域的模式進(jìn)行集中管理，這樣的管理更有效。你可以使用域、活動目錄、組策略等等各種功能，使你網(wǎng)絡(luò)管理的工作量達(dá)到最小。當(dāng)然這里的10臺只是一個參考值，11臺甚至20臺，如果你不想進(jìn)行集中的管理，那么你仍然可以使用工作組模式。

工作組的特點就是實現(xiàn)簡單，不需要域控制器DC ，每臺計算機自己管理自己，適用于距離很近的有限數(shù)目的計算機。另外工作組名并沒有太多的實際意義，只是在網(wǎng)上鄰居的列表中實現(xiàn)一個分組而已；再就是對于“計算機瀏覽服務(wù)”，每一個工作組中，會自動推選出一個主瀏覽器，負(fù)責(zé)維護(hù)本工作組所有計算機的NetBIOS 名稱列表。用戶可以使用默認(rèn)的workgroup ，也可以任意起個名字，同一工作組或不同工作組在訪問時也沒有什么分別。

域（Domain ）是一個共用“目錄服務(wù)數(shù)據(jù)庫”的計算機和用戶的集合，實現(xiàn)起來要復(fù)雜一些，至少需要一臺計算機安裝NT/2000/03 Server版本使其充當(dāng)DC ，來實現(xiàn)集中式的管理。

若考慮到容錯的話，至少需要兩臺。對于NT4域就是一臺PDC （具有唯一性），一至多臺BDC ，對于2000/03域，已經(jīng)沒有PDC 和BDC 的概念，要容錯就需要兩至多臺DC 。

域是邏輯分組，與網(wǎng)絡(luò)的物理拓?fù)錈o關(guān)，可以很小，比如只有一臺DC ；也可以很大，包括遍布世界各地的計算機，比如大型跨國公司網(wǎng)絡(luò)上的域（當(dāng)然實際中他們多采用多域結(jié)構(gòu)，還可以利用AD 站點來優(yōu)化AD 復(fù)制）。

這個“目錄服務(wù)數(shù)據(jù)庫”，在NT4時，保存用戶帳號名稱和密碼等安全安全信息，以及安全規(guī)則設(shè)置，又被稱作安全帳號管理（SAM ）數(shù)據(jù)庫，簡稱SAM 庫。在非DC 上的本地的SAM 庫與DC 上域所用的SAM 庫類似，只不過對于NT4域的SAM 庫文件，保存有整個域的用戶和計算機，用“域用戶管理器”和“服務(wù)器管理器”來管理，本地的SAM 庫文件，保存有本地機的用戶，由“用戶管理器”來管理。

從2000開始，MS 引入了活動目錄AD ，DC 通過AD 來提供目錄的服務(wù)，例如它負(fù)責(zé)維護(hù)AD 數(shù)據(jù)庫、審核用戶的賬戶和密碼是否正確、將AD 數(shù)據(jù)庫復(fù)制到其它的DC 等。AD 庫的核心文件就是winntntdsntds.dit文件。注意組策略的具體設(shè)置值，并不存在這個文件中，而是保存在winntsysvolsysvol這個共享夾下，用于向其它DC 復(fù)制，傳播給域成員，來生效。但需要說明的是：2000/XP/03的非DC 域成員計算機上仍使用和NT4一樣的SAM 庫文件來保存本地帳號。 正是由于所有域成員計算機和域用戶都共用這個域的“目錄服務(wù)數(shù)據(jù)庫”，域管理員就可以基于域的“目錄服務(wù)數(shù)據(jù)庫”來進(jìn)行集中管理、共享資源，如用戶、組、計算機帳號、權(quán)限設(shè)置、組策略設(shè)置等等。目錄服務(wù)為管理員提供從網(wǎng)絡(luò)上任何一個計算機上查看和管理用戶和網(wǎng)絡(luò)資源的能力。目錄服務(wù)也為用戶提供唯

一的用戶名和密碼，用戶只需一次登錄，即可訪問本域或有信任關(guān)系的其它域上的所有資源（當(dāng)然用戶得有權(quán)限才行），而不需要多次提供用戶名和密碼登錄。

二、構(gòu)建Windows 2000的域

這個過程簡單說就是：選一臺2000S/AS計算機，運行AD 安裝向?qū)В谄渖习惭b活動目錄，使其成為DC 。然后將其它的計算機加入到這個域。

說明：至于是用2000S ，還是用2000AS ，對于一般的用戶差別不大。2000S 支持最多4個CPU ，最大4G 內(nèi)存；2000AS 支持最多8個CPU ，最大內(nèi)存8G ，還支持群集功能。但這些我們一般用戶都用不到，所以對于普通用戶來說，選擇S 或AS 都是一樣的。

1、系統(tǒng)要求

*一臺2000S 或2000AS 獨立或成員服務(wù)器，2000DS 只有OEM 版，隨廠商硬件發(fā)售，平常我們是見不到的。

* 其上必須有一個NTFS 5.0分區(qū)，用來保存AD 的sysvol 文件夾。注意：2000的NTFS 分區(qū)是NTFS 5.0，NT4的是NTFS 4.0，NT4必須安裝SP4后，才可訪問2000的NTFS 分區(qū)。

* 網(wǎng)絡(luò)上必須有可用的DNS 服務(wù)器，并且必須支持SRV 記錄（Service Locaion Resource Record）和動態(tài)更新功能。如：MS Win2000S DNS，UNIX 的DNS BIND 8.12及以上版本，使用已有的NT4 DNS是不行的。

說明：

構(gòu)建NT4域并不需要DNS 的支持，但2000域必須有DNS ，且滿足上述要求。

SRV 記錄的作用是指明域和站點（site ）的DC 、PDC 仿真、GC 是誰。動態(tài)更新也是2000DNS 的新特色，管理員不必再象NT4 DNS那樣手動為計算機創(chuàng)建或修改相應(yīng)記錄，在域成員計算機重啟，或改名、改IP 時依賴周期性更新，自動動態(tài)實現(xiàn)。

如果沒有DNS 服務(wù)器的話，也不一定非得預(yù)裝DNS ，可以在安裝AD 過程中，選擇在本機上安裝2000 DNS。而且推薦初學(xué)者使用這種方法，因為系統(tǒng)會根據(jù)你提供的FQDN 域名，自動創(chuàng)建好DNS 區(qū)域（zone ），并配置成AD 集成區(qū)域，僅安全動態(tài)更新。如果需要向外連或反向解析，用戶只需配置上轉(zhuǎn)發(fā)器和反向區(qū)域即可，不需要的話，直接就可以用了。

如果決定在安裝AD 過程中在本機安裝DNS ，應(yīng)在安裝前，將本機TCP/IP配置/DNS服務(wù)器指向自己，這樣在安裝AD 完成后重啟時，SRV 記錄將被自動注冊到DNS 服務(wù)器的區(qū)域當(dāng)中去的，生成四個以下劃線開頭的文件夾，如_msdcs，03DNS 在這里夾的層次結(jié)構(gòu)有所變化，但本質(zhì)沒變。當(dāng)然如果忘了指，也可以后補上，只不過需要多重啟一次。

2、安裝步驟、注意事項、常見問題、經(jīng)驗技巧

（1）啟動AD 安裝向?qū)?/p>

方法一：開始/程序/管理工具/配置服務(wù)器/ Active Directory /啟動AD 安裝向?qū)А?/p> ,

方法二：熟練后一般常用，開始/運行：dcpromo 。

（2）安裝選項：指定服務(wù)器角色

三個界面，實現(xiàn)四種組合：

新域

附加DC

新樹

子域

新林

加入林

即：

* 新域—新樹—新林

* 附加DC

* 新域—子域

* 新域—新樹—加入林

全新安裝：新域—新樹—新林，這樣來建立第一個域中的第一臺DC 。 2000的多域模型采用層次結(jié)構(gòu)，不同于NT4域的平面結(jié)構(gòu)，NT4的多個域之間只是通過信任關(guān)系關(guān)聯(lián)起來。接下來以下圖為例，對2000的域、樹、林進(jìn)行簡要說明：

ms.com

/ trainning.mcse.com lotus.com

這整個是一個林，ms.com 為林根域，有兩個樹，一個由ms.com 和它的子域trainning.ms.com 組成，另一個由lotus.com 單獨組成，林中有ms.com ，trainning.ms.com ，lotus.com 三個域。相關(guān)概念如下：

林根域：在林中第一個建立的域，如：ms.com

樹：共用連續(xù)的命名空間的多層域，如ms.com 和trainning.ms.com 樹根域：樹最高層的域，名最短。如：ms.com

說明：

2000可采用多層域結(jié)構(gòu)，但最有效、最簡便的管理方法仍是單域，所以大家在實際工作中要記住一個原則“能用單域解決，就不用多域”。

再者2000AD 是針對大中型網(wǎng)絡(luò)設(shè)計的，而我們一般管理的網(wǎng)絡(luò)也就幾百個節(jié)點，屬于小型網(wǎng)絡(luò)，一般來講用一個單域結(jié)構(gòu)就夠用了，不要人為將管理環(huán)境復(fù)雜化。在實驗中，我們甚至可以一個林中只有一個樹，一個樹中只有一個域，一個域里只有一臺DC 。

另外前面已經(jīng)說過了，域是邏輯分組，與網(wǎng)絡(luò)的物理拓?fù)錈o關(guān)，不要總試圖規(guī)劃一個子網(wǎng)一個域。當(dāng)然實際中多個子網(wǎng)一個域，子網(wǎng)中若有95/98/NT老計

算機，無法利用DNS 直接登錄到域，可以安裝一臺WINS 服務(wù)器解決問題。將所有計算機，包括WINS 服務(wù)器本身的TCP/IP配置中的WINS 服務(wù)器指向此WINS 服務(wù)器即可。

（3）安裝選項：新域的DNS 全名

說明：

在這里應(yīng)該輸入新域的完全有效域名FQDN ，形如：mcse.com 。系統(tǒng)會打算以mcse 作為此域的NetBIOS 名稱，并在網(wǎng)絡(luò)中檢查是否存在重名，需要等一會兒。不重名則設(shè)為mcse ，建議用戶不要修改此名；重名則設(shè)為mcse0，建議用戶最好換個名字。這也就是說，網(wǎng)絡(luò)中如果已有一個域，名字叫做mcse.org ，也會出現(xiàn)NetBIOS 名稱沖突的問題。

（4）安裝選項：為新域指定一個NetBIOS 名稱

說明：

NetBIOS 名稱，只是為95/98/NT等老版本用戶通過“瀏覽服務(wù)”或WINS 來識別這個域用的，如果確信域用戶都是2000及以上系統(tǒng)（它們通過DNS 定位域），其實NetBIOS 名稱沖不沖突，都無所謂。

（5）安裝選項：指定AD 庫和日志文件位置

說明：

如果僅是實驗，用默認(rèn)值即可。若是在真正的服務(wù)器上，都會有多塊物理硬盤，最好分開存放，以提高性能。另外需要強調(diào)的是：AD 庫和日志文件并不要求非得NTFS 5.0分區(qū)，很多2000/03書在此語焉不詳。

（6）安裝選項：指定sysvol 文件夾位置

說明：

是sysvol 這個文件夾要求必須得NTFS 5.0分區(qū)。在它當(dāng)中存儲有DC 間AD 要同步的內(nèi)容，包括組策略的設(shè)置值。

（7）這時網(wǎng)絡(luò)中若無可用DNS 服務(wù)器，就會出現(xiàn)提示：找不到DNS 服務(wù)器，需要考慮在本機上安裝一個DNS 服務(wù)器?？上炔槐乩頃?，點“確定”，接下來選“是，在本機上安裝并配置DNS”。初學(xué)者在此不要選“否，我將自己安裝并配置DNS”。

（8）幾分后，安裝完成，需要重啟。

說明：

若硬盤或網(wǎng)絡(luò)上沒有可用的2000S 源文件，會提示要2000S 光盤。

最好用新裝2000S 來安裝AD ，這樣不容易出問題。如果你是用一個臺運行了一段時間的2000S/AS，來安裝AD ，使其成為DC 。重啟及登錄時可能會很慢（有時可能長達(dá)20分鐘），這是較常見的現(xiàn)象。一般