目 录

3  搭建AD域环境

3.1  从这里开始

3.2  配置AD域主控制器

3.3  创建AD域用户和组

3.4  配置DNS服务器(可选)

3.5  (可选)配置NTP服务器

3.6  配置AD域客户端

3.7  (可选)配置AD域从控制器

3.8  检查AD状态

3  搭建AD域环境

本章详细介绍如何搭建AD域环境。搭建AD域环境包括配置AD域控制器、配置AD域客户端以及验证AD域环境三个部分。

3.1  从这里开始

首先,您需要了解一些相关的基本信息,必须完成的准备工作,以及整个搭建的流程,便于顺利完成AD域环境的搭建。

背景信息

AD域环境的搭建过程主要包括两部分,首先将网络环境中的Windows 2003主机配置为AD域控制器,如果网络环境中没有DNS(Domain Name System)服务器和NTP(Network Time Protocol)服务器,可以直接选择将该主机配置为DNS服务器和NTP服务器,然后将网络环境中需加入域环境的Windows主机配置为AD域客户端。

DNS服务器在AD域中用于域名解析,NTP服务器在AD域中用于同步域环境的时间。您可根据需要将DNS服务器和NTP服务器以单独的服务器运作,也可将AD域控制器配置为DNS服务器和NTP服务器。

当网域环境较大,单台AD域控制器业务压力较大时,推荐配置AD域从控制器。AD域主控制器配置完成后,可以将已加入AD域中的服务器升级为AD域从控制器,达到分担主控制器的负荷的目的。

环境准备

在搭建AD域环镜之前请确认以下准备工作已完成。
  • 确认需要加入域环境中的Windows操作系统主机与将配置为域服务器的Windows 2003操作系统主机之间的网络连接正常。
  • 确认已准备Windows 2003操作系统安装盘,本文将以Windows 2003 SP2版本的操作系统为例介绍AD域环境的搭建过程。
本文搭建AD域环境使用的网络环境信息如表3-1所示。
表3-1  网络环境信息
名称 IP地址 说明
AD域主控制器 192.168.31.220 主机名称为ADS
AD域从控制器 192.168.31.219 主机名称为win03slave
DNS服务器 192.168.31.220 主机名称为ADS
NTP服务器 192.168.31.220 主机名称为ADS
AD域客户端 192.168.31.221 主机名称为win03client
N8500 192.168.111.50 主机名称为N8000,当N8500应用于AD域环境中实际上是作为AD域客户端加入域中。
说明:

您可根据您的实际网络环境对域进行规划,本文以上述环境为例进行AD域环境的搭建。

配置流程

搭建AD域环境的流程图如图3-1所示。

图3-1  搭建AD域环境流程

3.2  配置AD域主控制器

本节介绍配置AD域主控制器的相关操作。搭建AD域环境首先需要将网络中的Windows 2003操作系统的服务器配置为AD域控制器。

前提条件

确认已插入Windows 2003 SP2操作系统的安装光盘。

背景信息

AD域主控制器用于保存和管理域环境中的主机、用户、网络组等信息,并且域应用中的用户认证都将通过AD域主控制器完成。

本文将DNS服务器与AD域主控制器配置在同一台服务器中,该配置过程适用于全新的网络环境,尚没有DNS服务器的应用。

操作步骤

  1. 在Windows Server 2003操作系统服务器侧进入AD域控制器配置向导。
    1. 单击开始 > 运行

      系统弹出“运行”对话框。

    2. “打开”文本框中输入dcpromo

      系统弹出“Active Directory安装向导”对话框。

  2. 根据配置向导完成AD域控制器的配置。
    1. “Active Directory安装向导”对话框单击“下一步”

    2. “Active Directory安装向导:操作系统兼容性”对话框单击“下一步”

    3. “Active Directory安装向导:域控制器类型”对话框中选择“新域的域控制器”,然后单击“下一步”

    4. “Active Directory安装向导:创建一个新域”对话框中选择“在新林中的域”,然后单击“下一步”

    5. “Active Directory安装向导:安装或配置DNS”对话框中选择“否,只在这台计算机上安装并配置DNS”,然后单击“下一步”

    6. “Active Directory安装向导:新的域名”对话框中输入需要设置的域名,然后单击“下一步”

    7. “Active Directory安装向导:NetBIOS域名”对话框中输入“域NetBIOS名”,然后单击“下一步”

      说明:

      此域名默认是DNS域名的前半部分,例如:DNS域名为hstest.com,则NetBIOS域名为HSTEST。如果此域名已经存在于网络中,则安装程序会自动更换一个新的名称,此名称可以修改但是不能超过15个字符。

    8. “Active Directory安装向导:数据库和日志文件文件夹”对话框中选择数据文件夹和日志文件夹的保存路径,然后单击“下一步”

    9. “Active Directory安装向导:共享的系统卷”对话框中选择SYSVOL文件夹的保存位置,然后单击“下一步”

    10. “Active Directory安装向导:权限”对话框中选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”,然后单击“下一步”

    11. “Active Directory安装向导:目录服务还原模式的管理员密码”对话框中输入还原模式密码并确认密码,然后单击“下一步”

    12. “Active Directory安装向导:摘要”对话框中确认配置信息,然后单击“下一步”

      等待系统自动完成配置,配置过程中系统还会自动安装DNS服务,该过程需要3至5分钟,执行完成后,系统弹出“Active Directory安装向导”对话框。

    13. 单击“完成”
    14. 配置完成后,系统弹出对话框提示是否立即进行服务器重启,建议单击“立即重新启动”进行服务器重启,使配置生效。

操作结果

服务器重启完成后,上述配置生效,该服务器已经成为该域中的AD域主控制器,您可执行以下步骤查看该服务器的角色:
  1. 单击开始 > 管理您的服务器
  2. “管理您的服务器”对话框中可以查看服务器已经具有AD域控制器的角色。

3.3  创建AD域用户和组

AD域主控制器搭建完成以后,需要在AD域控制器侧创建AD域用户和组,网络管理员将这些域用户和组分配给不同的用户使用。网络管理员可以通过在AD域控制器中集中管理所有的域用户和组。

前提条件

AD域主控制器已配置完成,并且运行正常。

已使用administrator用户登录到配置完成的AD域主控制器。

背景信息

AD域主控制器集中管理域用户和组,用户使用域用户可以登录域环境中的客户端主机,认证的过程通过AD域主控制器完成。

操作步骤

  1. 进入“Active Directory 用户和计算机”对话框。
    1. 单击开始 > 管理您的服务器

      系统弹出“管理您的服务器”对话框。

    2. 单击“管理Active Directory中的用户和计算机”

      系统弹出“Active Directory 用户和计算机”对话框。

  2. 创建用户。
    1. “Active Directory 用户和计算机”对话框中右键单击“Users”
    2. 在下拉菜单栏单击新建 > 用户

    3. 输入创建的该域用户信息。

      用户信息包括“姓”“名”“英文缩写”“用户登录名”。其中“用户登录名”即该用户用于在AD域中登录或认证的用户名。

    4. 用户信息设置完成后,单击“下一步”

    5. 输入该用户的密码,并确认密码。建议勾选“用户下次登录时须更改密码”选项,然后单击“下一步”

    6. 确认用户信息,然后单击“完成”

      用户创建完成,系统返回到“Active Directory 用户和计算机”对话框。

  3. 创建组。
    1. “Active Directory 用户和计算机”对话框中右键单击“Users”
    2. 在下拉菜单栏单击新建 >

    3. 输入“组名”
    4. 选择“组作用域”“全局”
    5. 选择“组类型”“安全组”
    6. 单击“确定”

      组创建完成,系统返回到“Active Directory 用户和计算机”对话框。

  4. 添加用户到组。
    1. “Active Directory 用户和计算机”对话框中,右键单击需要添加到组的用户。
    2. 在下拉菜单栏中单击“添加到组”

    3. “输入要选择的对象名称”文本框中输入需要添加到的组名。
    4. 单击“确定”

      系统弹出提示框,提示操作成功。

    5. 单击“确定”

操作结果

通过上述配置,可完成域用户和组的创建,您可执行以下步骤查看已创建的域用户和组信息。
  1. 单击开始 > 管理您的服务器
  2. 单击“管理Active Directory中的用户和计算机”
  3. “Active Directory 用户和计算机”对话框中查看已创建的用户和组。
  4. 右侧单击需查看的用户或组,在下拉菜单栏中单击“属性”,可以查看用户或组的详细信息。

3.4  配置DNS服务器(可选)

DNS服务器在AD域环境中,用于解析主机的名称。在AD域主控制器配置完成以后,可选择手动完成DNS服务器的配置。

背景信息

DNS服务器可以单独使用一台服务器运行,也可以将DNS服务器与AD域主控制器配置于同一台服务器。本文将DNS服务器与AD域主控制器配置于同一台服务器为例,进行DNS服务器的配置。

在配置AD域主控制器的过程中,如果已将DNS服务器配置于同一台服务器,当客户端加入域的过程中,信息将自动录入到DNS服务器中。您也可选择手动提前录入客户端信息,如本节所示。

操作步骤

  1. 进入“dnsmgmt”对话框。
    1. 单击开始 > 管理您的服务器

      系统弹出“管理您的服务器”对话框。

    2. “管理您的服务器”对话框中单击“管理此DNS服务器”



  2. 配置正向查找区。
    1. “dnsmgmt”对话框中左侧导航树选择展开“正向查找区域”节点。
    2. 右侧单击域名huawei.com,在下拉菜单栏中单击“新建主机”

    3. “名称”文本框中输入AD域客户端主机名称。
    4. “IP地址”文本框中输入该AD域客户端主机对应的IP地址。
    5. 单击“添加主机”

      完成新建主机操作,并返回“dnsmgmt”对话框。

    6. 重复执行2.a2.e,将AD域中的所有客户端主机(包括N8500)信息添加到DNS服务器中。
  3. 新建反向查找区。

    如果网络环境中存在多个网段的主机,需要建立多个反向查找区。

    1. “dnsmgmt”对话框中左侧导航树右键单击“反向查找区域”节点。
    2. 在下拉菜单栏中单击“新的区域...”

      系统弹出“新建区域向导”对话框。

    3. 单击“下一步”

    4. 选择“主要区域”,然后单击“下一步”

    5. 选择“至 Active Directory 域 huawei.com中的所有域控制器”

    6. 选择“网络ID”,然后在“网络ID”文本框中输入网络所在的IP网段前三位,然后单击“下一步”

    7. 选择“不允许动态更新”,然后单击“下一步”
    8. 单击“完成”

      反向查找区配置完成,系统返回“dnsmgmt”对话框。

  4. 新建指针。
    1. “dnsmgmt”对话框中左侧导航树中展开“反向查找区”节点。
    2. 右键单击新建的反向查找区192.168.31.x Subnet
    3. 在下拉菜单栏单击“新建指针”

      系统弹出“新建资源记录”对话框。

    4. “主机IP号”文本框中输入AD域客户端主机IP的最后一位。
    5. “主机名”文本框中输入AD域客户端主机名称。

      您也可通过单击“浏览”,在AD域主控制器中查找和选择主机。

    6. 单击“确定”

      指针创建完成,系统返回“dnsmgmt”对话框。

    7. 重复执行4.a4.f,创建AD域环境所有主机(包括N8500)的指针信息。

操作结果

通过上述配置,DNS服务器配置已完成,您可执行以下步骤查看DNS服务器配置信息。
  1. 单击开始 > 管理您的服务器
  2. “管理您的服务器”对话框中单击“管理此DNS服务器”
  3. “dnsmgmt”对话框展开“正向查找区”,选择AD域名查看该域正向查找区中包括的主机信息。
  4. “dnsmgmt”对话框展开“反向查找区”,选择建立的反向查找区,查看反向查找去中包括的主机信息。

3.5  (可选)配置NTP服务器

NTP服务器是时间同步服务器,通过配置NTP服务器可以使网络环境中的时间同步。

背景信息

当网络环境已有NTP服务器,不用再配置新的NTP服务器。

本文将AD域主控制器、DNS服务器以及NTP服务器配置在同一台服务器中,主要针对N8500的应用,NTP服务器在N8500的应用中主要保证N8500的系统时间与AD域主控制器的系统时间同步。

操作步骤

  1. 进入“注册表编辑器”对话框。
    1. 单击开始 > 运行

      系统弹出“运行”对话框。

    2. “运行”对话框中输入regedit
    3. 单击“确定”

      系统弹出“注册表编辑器”对话框。

  2. 修改“Type”键值,设置服务器为NTP服务器。
    1. 在左侧导航树上选择HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > W32Time > Parameters > Type
    2. 在右侧窗口中右键单击“Type”
    3. 在下拉菜单栏中单击“修改”

      系统弹出“编辑字符串”对话框。

    4. “数值数据”文本框中输入NTP
    5. 单击“确定”

      系统返回“注册表编辑器”对话框。

  3. 修改“AnnounceFlags”条目,将“AnnounceFlags”设置为“5”
    1. 在左侧导航树上选择HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > W32Time > Config > AnnounceFlags
    2. 在右侧窗口中右键单击“AnnounceFlags”
    3. 在下拉菜单栏中单击“修改”

      系统弹出“编辑DWORD值”对话框。

    4. “数值数据”文本框中输入5
    5. “基数”区域框中保持默认选项“十六进制”
    6. 单击“确定”

      系统返回“注册表编辑器”对话框。

  4. 修改“NtpServer”条目,启用NTP服务。
    1. 在左侧导航树上选择HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > W32Time > TimeProviders > NtpServer
    2. 在右侧窗口中右键单击“Enable”
    3. 在下拉菜单栏中单击“修改”

      系统弹出“编辑DWORD值”对话框。

    4. “数值数据”文本框中输入1
    5. “基数”区域框中保持默认选项“十六进制”
    6. 单击“确定”

      系统返回“注册表编辑器”对话框。

操作结果

通过上述注册表修改,NTP服务器已配置完成。

后续处理

请对NTP服务器进行重新启动,让配置生效。

3.6  配置AD域客户端

AD域服务器侧的配置完成后,可以将网络中的主机加入到AD域中。

前提条件

AD域主控制器、DNS服务器配置已完成并且运行正常。

背景信息

网络中的主机加入到AD域中以后成为AD域客户端,用户登录该主机时可以选择通过域用户登录加入域或通过本地用户登录到本机。

操作步骤

  1. 在Windows操作系统客户端侧建立客户端与DNS服务器的连接。
    1. 单击开始 > 控制面板 > 网络连接 > 本地连接

      系统弹出“本地连接 状态”对话框。

    2. 单击“属性”

      系统弹出“本地连接 属性”对话框。

    3. 双击“Internet协议(TCP/IP)”

    4. “首选DNS服务器”文本框中输入DNS服务器的IP地址。
    5. 单击“确定”,返回“本地连接 属性”对话框。
    6. 单击“确定”,返回“本地连接 状态”对话框。
    7. 单击“关闭”
  2. 进入“计算机名称更改”对话框。
    1. 单击“开始”
    2. 右键单击“我的电脑”
    3. 在下拉菜单栏中单击“属性”

      系统弹出“系统属性”对话框。

    4. 选择“计算机名”页签。
    5. 单击“更改”

      系统弹出“计算机名称更改”对话框。

  3. 配置主机加入到AD域中。
    1. “计算机名称更改”对话框“隶属于”区域框中选择“域”并在文本框中输入需加入的域名。

      说明:

      域名不需要加“.com”。

    2. 单击“确定”

    3. 输入域用户的用户名和密码,然后单击“确定”

      系统弹出提示框,提示欢迎加入huawei域

    4. 单击“确定”

      系统弹出提示框,提示重启计算机使配置生效

  4. 重新启动计算机使配置生效。

    重新启动计算机以后,可以选择以本地用户登录到本地,或者选择以域用户登录加入到域中。

操作结果

在重新启动计算机以后,如果以域用户登录,通过执行以下步骤可以查看加入的域。
  1. 单击“开始”
  2. 右键单击“我的电脑”
  3. 在下拉菜单栏中单击“属性”
  4. 选择“计算机名”页签,可以查看加入域后的主机名称和域名称。

3.7  (可选)配置AD域从控制器

配置AD域从控制器可以分担主控制器的负荷,在较大网域环境中,推荐配置AD域从控制器。

前提条件

AD域主控制器和DNS服务器均已配置完成,并且服务器间网络连接正常。

已在即将配置为AD域从控制器的服务器中插入Windows 2003 SP2版本操作系统安装光盘。

配置为AD域从控制器的服务器必须已加入到域中,关于如何将主机加入域,请参见3.6 配置AD域客户端

背景信息

本文以Windows 2003 SP2版本操作系统的服务器为例,配置AD域从控制器。配置之前请首先使用administrator用户登录到域中。

AD域环境若有多台域控制器将具有如下优点:
  • 提高用户登录的效率。因为多台域控制器可以同时分担审核用户名与密码的工作,因此可以加快用户登录的速度。
  • 提供容错的功能。即使其中一台域控制器出现故障,仍然可以由其他域控制器来提供服务,让用户可以正常登录。

操作步骤

  1. 进入“Active Directory安装向导”对话框。
    1. 单击开始 > 运行

      系统弹出“运行”对话框。

    2. “打开”文本框中输入dcpromo

      系统弹出“Active Directory安装向导”对话框。

  2. 根据配置向导完成AD域从控制器的配置。
    1. “Active Directory安装向导”对话框单击“下一步”

    2. “Active Directory安装向导:操作系统兼容性”对话框单击“下一步”

    3. “Active Directory安装向导:域控制器类型”对话框中选择“现有域的额外域控制器”,然后单击“下一步”

    4. “Active Directory安装向导:网络凭据”对话框输入AD域主控制器的administrator用户和密码,然后单击“下一步”

      系统弹出“Active Directory安装向导:额外的域控制器”对话框。



    5. “Active Directory安装向导:额外的域控制器”对话框中单击“下一步”

      说明:

      如果需要修改数据库和日志路径可根据需要修改,如果不需要使用特定的路径保存数据库和日志,则可保持默认设置。

    6. “Active Directory安装向导:数据库和日志文件文件夹”对话框中单击“下一步”

      说明:

      如果需要修改SYSVOL文件夹路径可根据需要修改,如果不需要使用特定的路径保存SYSVOL文件夹,则可保持默认设置。

    7. “Active Directory安装向导:共享的系统卷”对话框单击“下一步”

    8. “Active Directory安装向导:目录服务还原模式的管理员密码”对话框中输入“还原模式密码”并确认密码,然后单击“下一步”

    9. 确认配置信息,然后单击“下一步”

      系统将自动完成配置,此过程需要几分钟或更长时间,请耐心等待。执行完成后,系统弹出“Active Directory安装向导”对话框。

    10. 单击“完成”
    11. 配置完成后,单击“完成”

      系统弹出对话框提示是否立即进行服务器重启,建议单击“立即重新启动”进行服务器重启,使配置生效。

操作结果

服务器重启完成后,上述配置生效,该服务器已经成为该域中的AD域主控制器,您可执行以下步骤查看该服务器的角色:
  1. 单击开始 > 管理您的服务器
  2. “管理您的服务器”对话框中可以查看服务器已经具有AD域控制器的角色。

3.8  检查AD状态

AD域环境配置完成后,需要检查AD状态是否正常。检查包括DNS服务器的SRV记录是否正常,SYSVOL文件夹、Active Directory数据库文件等数据是否已经正常建立。

背景信息

本节介绍如何检查AD状态,主要为了保证在AD域中,服务器侧运作正常。

SRV记录是DNS服务器的数据库中支持的一种资源记录的类型,它记录了哪台计算机提供了哪个服务这么一个简单的信息。

操作步骤

  1. 检查DNS服务器记录是否完备。
    1. 在DNS服务器侧单击开始 > 管理工具 > DNS

      系统弹出“dnsmgmt”对话框。

    2. 在左侧导航树上选择正向查找区 > huawei.com
    3. 展开“huawei.com”节点,检查下图信息是否完备。



      在左侧导航树上查看是否包含_msdcs_sites_tcp_udp等文件夹。

      在右侧查看该域中的主机信息是否完备和正确。

  2. 检查SRV记录。
    1. 在AD域控制器侧单击开始 > 命令提示符

      系统弹出“命令提示符”对话框。

    2. 输入命令nslookup,单击“Enter”
    3. 输入命令set type=srv,单击“Enter”
    4. 输入命令_ldap._tcp.dc._msdcs.huawei.com,单击“Enter”

      通过以下信息可以看出,本文中的两台AD域控制器信息已成功登记到DNS服务器中。



  3. 检查Active Directory数据库文件和SYSVOL文件夹。
    1. 在AD域控制器侧单击开始 > 运行

      系统弹出“运行”对话框。

    2. “运行”对话框中输入命令%systemroot%\NTDS,检查“NTDS”文件夹是否正确建立。
    3. “运行”对话框中输入命令%systemroot%\SYSVOL,检查“SYSVOL”文件夹是否正确建立。
  4. 利用“事件管理器”查看日志文件,以便检查任何与Active Directory有关的问题。
    1. 在AD域控制器侧单击开始 > 管理工具 > 事件查看器

      系统弹出“事件查看器”对话框。

    2. 通过“事件查看器”对话框可以分别查看“应用程序”“安全性”“系统”“目录服务”“DNS服务器”“文件复制服务”等日志文件内的记录来检查服务器的运行状况。