主域控制器作为域中的主导服务器,承担大部分的工作。
从域控制器又称为备份域控制器,可以同时存在多个,作用是在主域控制器失效时,全部或部分替代主域控制器的工作。
但是在Windows2000server或以上的操作系统中已经不再特别区分主从域服务器的概念了,而是努力转变为一种相对平等的多域控制器的结构。
进入2003系统,设置好IP,子网,把2003安装光盘放进光驱(非GHOST版),运行“配置您的服务器” --> 自定义
或 运行“管理您的服务器” --> 添加角色到您的服务器,进入“配置您的服务器向导”选“域控制器(Active Directory)
或 运行命令dcpromo
现在开始配置,下一步 --> 下一步 --> 下一步 --> 新域的域控制器 --> 在新林中的域 --> 输入DNS全名,下一步 --> 输入域NetBIOS映射名,下一步 --> 下一步 --> 下一步 --> 诊断失败”后,选“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器”,下一步 --> “只与Windows 200 或 Windows Server 2003 操作系统上运行服务器程序,该服务器有是Active Directory域的成员,请选此选项。”,下一步 --> 输入“目录服务还原密码”,记住这个密码,很重要,还原域是用,下一步 --> 下一步就开始配置了。
配置好后,设置服务器DNS为服务器IP(默认是127.0.0.1),待加入域的计算机的首选DNS要是域控制器IP。
如果要上网,设置服务器DNS服务地址解析转发到省DNS解析服务器。
我是用我的2003企业版服务器一步一步装出来给你写的,写的好辛苦啊,搞的我系统都成域控制器了
1、通俗的讲,网络中的域是一个应用的范围,在这个范围内的用户有一定的访问权限而不在域中的用户会受到域权限的控制而不能访问一些东西
2、关于主域服务器和辅域服务器在NT4.0是这样。 从2000开始,没有主域服务器和辅助域服务器的区分了,所有DC都一起为域中机器提供服务。 域的管理和设置 打个比方,如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。 不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。 要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。
需要配置dns.
AD涉及的内容还是比较多的,所以今晚写一个简易的安装AD的步骤出来。AD有问题的时候可以check一下,看安装是否正确。
我这里写的比较简单,主要是没有详细写关于DNSdelegate如何做,所有场景均使用一个dns服务器,如果要设置更详细,可以参考win2000dnswhitepaper,微软网站有下载。
另外个人建议,如果要管理好AD,对DNS还是要下一些功夫弄清楚。否则即使装了,管理起来出问题也很难排错。
----------------
----------------
环境:
两台win2kserver,配置如下
1:计算机名:server1
IP:192.168.0.1
2:计算机名:server2
IP:192.168.0.2
--------
----------------情况一:单域,单域控制器--------------
目标:
将server1做成域控制器,域名为,server2作为memberserver
AD需要DNS的支持,DNS可以在安装AD的前中后装,建议在AD安装之前装,并手动配置
(1A)安装DNS(server1上)
1:安装DNS服务。(如果是给forestroot做DNS,建议先将机器上原来的DNS卸干净,包括system32下DNS目录也删掉。再安装服务)
2:创建forwardlookupzone,为。reverselookupzone填网络号192.168.0
3:设置两个zone允许dynamicupdate
4:在本地连接中将DNS地址指向192.168.0.1
5:设置primarydnssuffix为
6:按照提示,restart,建议一定重起。
7:重起后发现中有server1的A记录,说明一切正常。反向zone中有ptr记录
(需要注意的是,域名第一片和计算机名不要一样,如果在计算机abc上不要做,否则默认情况下bios名和计算机bios名会一样)
(1B)
按照正常情况Dcpromo,选择安装成新域的域控制器,新树,新森林。
安装过程中应不会提示任何诸如“DNS找不到”的信息,这就正常了。
装完AD后看看DNS的的内是否有放置SRV记录的四个目录,目录名为TCP,UDP,MSDCS,Sites。如果一个也没有,重新启动Netlogon服务,如果
还是没有,那装得有问题。一般应该都是正常的。
同时查看事件查看器中是否有任何关于directoryservice的错误日志。
(1C)将server2设置成memberserver
在server2上将dns指向server1,修改primarydnssuffix为,重起,然后将server2加入domian,在server1上打开aduserand
puter,其puter容器内可以看到server2的计算机帐号。DNS中也会有server2的A记录。查看事件查看器,确保无任何不良记录。
----------------情况
2,单域,两个域控制器---------
目标:server1作为第一台域控制器,server2作为第二台域控制器,域名
server1的安装同1a,1b。
对于server2。
(2a)
1:安装前,此机器属于domain或者工作组没有关系。
2:将dns指向server1(192.168.0.1)
3:修改primarysuffix为(suffix是可以自动改,但是手动改总是放心些)
4:重起机器,建议一定重起。
5:检查server1上的dns,在这个zone内会发现server2的a记录。如果没有,那配置有问题,可以用ipconfig/registerdns手动注册,再看
有没有,如果还是没有,那就有问题了(dns没有按照1a设置好)。
(2b)
1:dcpromo,启动向导
2:选择,安装成一个已经存在的域的另外一台域控制器
3:按照提示,输入身份,这个身份是enterpriseadmins的身份,也就是现在的administrator以及其密码
4:选择要加入的domain,这里是
5:完成其他选项
(3c)
1:安装后可以在puter(adu&c)中的domaincontrollerou中看见server1和server2的计算机帐号
2:dns的的四个目录(tcpudpmsdcssites,里面为srv记录)中可以发现server2的srv记录。如果没有,重起server2上logon服务
,同时可以尝试用ipcpnfig/registerdns重新注册。
3:可以在两台域控制器上添加新的对象,然后看相互复制是否正常。
4:当然,其他比如dcdiag,repmonitor等工具可以用来检查一些问题,不过这是个简易贴,就不说了阿。
5:查看事件查看器,确保无任何不良记录。
----------------情况
3,一个森林,一个树,两个域------
安装完后,森林内有一棵树,两个domain:,,其中server2为sub的DC。
关于的安装方法,仍然参照1a,1b
下面是将server2安装成的dc。
3a)dns配置
1:在server1的dns上(简易做法),创建的zone,设置动态更新为yes
2:将server2的dns指向192。168。0。1
3:修改server2的primarydnssuffix为
4:重起
5:在这个zone中找到server2的a记录
3b)
1:dcpromo
2:选择安装为新域的域控制器--放入一个已经存在的树
3:填入enterpriseadmin的身份信息(administrator/password/)
4:出来一个界面,让填域名,上面是父域的名字(),中间填入sub,下面自动完成,显示全名为
5:完成其他选项
3c)
1:完成后,在server2的puter中的domaincontrollerou中可以找到server2的计算机帐号
2:在dns的这个zone中可以找到关于server2的srv记录(四个目录),如果没有,按3c-2的方法在注册一次
3:看看server2上的addomainandtrust工具中是否显示出这个domain(在下有个sub)
4:打开adsiteandservice看看是否有所有的site信息,有,说明configuration分区的复制大致没有什么问题。
5:查看事件查看器,确保无任何不良记录。
6:有其他问题,到论坛提问吧^_^
----------------------------情况
4,一个森林,两棵树,两个域---------
安装完成后,server1为的dc,server2为的dc
4a)准备
1:在server1的dns上创建这个zone,设置动态更新
2:将server2的dns指向192。168。0。1
3:修改server2的primarydnssuffix为
4:重起
5:在这个zone中找到server2的a记录
4b)
1:dcpromo
2:选择安装为新域的域控制器--新树--放入一个已经存在的森林
3:填入enterpriseadmin的身份信息(administrator/password/)
4:填入树名为
5:完成其他选项
4c)
1:完成后,在server2的puter中的domaincontrollerou中可以找到server2的计算机帐号
2:在dns的这个zone中可以找到关于server2的srv记录(四个目录),如果没有,按3c-2的方法在注册一次
3:看看server2上的addomainandtrust工具中是否显示出这个domain
4:打开adsiteandservice看看是否有所有的site信息,有,说明configuration分区的复制大致没有什么问题。
5:查看事件查看器,确保无任何不良记录。