在Windows Server系统中,一些服务必需要构建在域的环境中,这不仅是为了统一验证和资源共享,同时也是为了网络安全。为构建虚拟化测试,我们需要先搭建域环境。先来大概了解一下域。
在使用工作组时,计算机是相对独立的,工作组仅是网络中计算机分类的一种方式,在不在一个工作组中,对网络资源的访问影响并不大。工作组好比允许自由进出的免费停车场,加入工作组,好比你可以停在A区,也可以停在B区,如果停在A区,就与A区的其他汽车形成一个松散的组合。
在使用Windows域(Domain)时则不同,域是经过严格组织的,计算机加入域并且使用域账户登录才能访问某些共享资源。在域中至少有一台域控制器(Domain Controller, 简称DC)负责计算机和用户的验证工作。域好比收费停车场,需要刷卡验证才能进出(可以有多于一个门禁,即DC),但验证通过后即可使用里面的共享设施,甚至其他汽车。例如当你的计算机使用具有管理员权限的域账户成功登录后,就可以使用该域账户登录同域中其他计算机上Sql Server,那么你可以不再使用sa账户了。当然加入域的计算机并不代表只能呆在域中,如果只是用本地账户而非域账户登录,计算机和在工作组中没有什么不同。一般情况下,你的汽车可以停在收费停车场,也可以停在免费停车场,除非对汽车做了特别的限制(使用组策略可以限制计算机只能使用域账号登录)。你的计算机只使用本地账号登录,要想访问其他计算机上Sql Server,这时你无法使用Windows Authentication,但依然可以使用SQL Server Authentication,使用sa账户登录。
一、域测试网络
接下来我们在Window Server 2012中部署域,为以后需要,我们将连接域的网络称为管理网络,并以如下图参数配置网络。图中配置两个域控制器互为备份,虽然windows server 2003以后已经不再区分主域控和备份域控,但由于主机角色的客观存在,域控制器的作用还是有一定差别的,下文将讲述。
二、配置域控制器
Windows Server 上安装域控制器(Domain Controller, DC)是一件简单的事,但安装之前需要确认几件事:登陆账号是否拥有本地管理员权限,操作系统是否支持,TCP/IP是否配置正确,磁盘是否有NTFS分区和充足的空间以存放Active Directory(AD)数据库,DNS服务器是否支持等。另外最好预先修改计算机名称并重新启动,以免完成安装后再修改域控制器名称所带来的麻烦。
Windows Server 2008及以后版本都可以以角色的方式安装Active Directory 域服务(AD DS),并提升为域控制器。Windows Server 2008 中也可以直接在运行中使用dcpromo命令,进行AD域服务的安装和提升为域控制器。但Server 2012中dcpromo命令已经不被支持,所以在以角色的方式安装AD域服务后,可以在服务器管理界面上面的事件提示中找到提升为域控制器的链接。
关于具体安装域控制器的步骤不再赘述,网络中有很多网页已经对此进行了详细描述,但是关于域配置还需要深入了解下面的一些内容:
1、林(Forest)、域树(Tree)、域(Domain)和子域(Child Domain)
这些名词已经非常形象的解释了它们之间的关系,但还需说明的是:我们建立的第一个域是根域(Root Domain),于此同时也建立了第一个域树和第一个林,因而这个根域既是林根域也是树根域,因而在网络中建立全新的域时,其实就是建立一个新林&#