轻松愉快搭建域树-CSDN博客

   域（玉）树

   我们来介绍一下现在的热门话题“域（玉）树”；首先我们知道“域树”是多个域的网络。
   假设要架设一个内含多个域的网络，则可以将网络设置成“域树（Domain Tree）”的架构，即这些域是以树状的形式存在。如图为一个树状的结构的域树，其中最上层的域名为zihe.com，是这个域的“根域（Root Domain）”，此根域之下有2个子域（Sub Domain），分别是zhang.zihe.com和he.zihe.com，同样在这两个子域之下还能创建子域。
   由于Active Directory的域名是采用的DNS形式，因此可以看出此“域树”符合DNS域名空间（Domain Name Space）的命名原则，它们的命名空间具有连续性（Contiguous），即子域的域名内包含着父域的域名。例：域zhang.zihe.com的“后缀名”内包含着其前一层（父域）的域名zihe.com；而one.zhang.zihe.com的“后缀名”内包含着其前一层的域名zhang.zihe.com，这样依次类推。
   在这里说一声呀，域树内的所有域共享一个Active Directory，即这个“域树”只有一个Active Directory。这个Active Directory内的数据分散地存储在各个域内，且每个域内之存储该域内的数据，例如该域内的用户账户、计算机账户等。所以Windows server 2003将存储在各个域内的对象总称为Active Directory。
这样也就是说你也可以将一个新的Windows server 2003域加到现有的域树中了。

我们还要来说一下这“域树”的结构是分布式的结构；信任关系是任何一个Windows server 2003的域加到“域树”后都是自动信任的，这个域会自动信任其前一层的父域；同时,父域也会自动地信任这个新域，而且这些信任关系具备“双向传递性（two-way transitive）”如图2。这个信任的功能是通过Kerberos安全协议（security protocol）来完成的，所以也称为Kerberos信任。当然信任只是可能性的不是必然性的呀，这里也就有了权限的元素。

当然朋友如果有不知道“双向传递性”，我后面的信任中会介绍到的，在这里就先不多说了。
这样我和大家一起来搭建一棵小玉（域）树，来看看怎么样搭建吧，其实很easy了；那我就先说一下搭建的环境如图3是由六台虚拟机（vpc）分别是Florence、Firenze、Berlin、Denver、Istanbul、Perth。我是想在这个虚拟的环境中搭建一棵小域树的，架构也就是图1中的结构了，我们由Florence来做DNS服务器和域控制器（DC），当然它也就是第一台域控制器zihe.com也就是父域了；Firenze和Berlin分别是Florence父域中的两个子域；而Denver、Istanbul就是Firenze域中两个子域；当然Perth也就是Berlin旗下的子域了。不过要注意子域的DNS要指向父域Florence也就是DNS服务器。

下面我们就来搭建了，首先在Florence安装上DC也就是域控制器；打开“开始”菜单在运行中写入“dcpromo”命令就进入了Active Directory安装向导界面。（也可以执行命令：“开始”-“管理工具”-“配置您的服务器向导”，然后选择“域控制器”并单击“下一步”按钮，启动“Active Directory安装向导”）点击“下一步”会告诉你操作系统兼容性的安全配置，然后我们点击“下一步”，我们要做一个新域的域控制器，我们选择在这个新域中创建一个新的在新林中的域；然后就是要给这个新域起一个域名要注意了要这个名字要有层次感，要有“.”的层次分隔符，我们就起为：zihe.com。

下面我想大家都知道了吧，域名就选它默认的ZIHE名字就好，当然在输入一个新的名称也无异；然后是我们的Active Directory 的数据库和日志文件的存放位置了，当然在试验中放在默认的C:\WINDOWS\NTDS就好了，不过要是在工作中我们最好分开放呀，当然要是有条件能分磁盘存放是最好不过了，还有就是不要忘了重要的东东要定期备份呀。下一步就是SYSVOL文件夹存放的位置了不过要注意了那就是SYSVOL文件夹必须在NTFS卷上存储的呀。

这下一步就是要问你要不要现在安装DNS服务器了，我们当然是选择安装上了呀，不过这里不安装也是不要紧的我们也可以以后在安装的呀，那这个问题我以后会介绍到的了。

   然后这一步很关键呀，那就是权限的选择呀；那我们说一下吧：要是选择了与Windows2000 之前的服务器操作系统兼容的权限那么就会是所有的匿名用户都可以访问我们的域了，可想而知了要是这样我们创建的域安全性就没有了；所以我们要选择“只与Windows 2000或Windows server 2003操作系统兼容的权限”。选完了权限我们就到了设置一下这目录服务还原模式的管理员密码了，设置完了口令也就没什么事了“下一步”就是让我们复查并确认一下选定的选项了。点击“下一步”向导就开始配置Active Directory了，要放入系统安装的光盘它会自动提取光盘中的组件。这样我们的Florence的域控制器和DNS服务器就好了呀，也就是我们域树中的父域诞生了。
   接下来我们就是要一一的把子域加进来了，操作也就更easy了我想大家都会看懂的。
   好了，go on那就是我们要在Florence下搭建子域了，在Firenze中同样打开Active Directory安装向导，单击“下一步”同样是看到了操作系统兼容性的提示，单击“下一步”我们的域控制器类型仍然是要选择一个新域的域控制器；单击“下一步”我们这次就是要选择创建一个新的在现有域树中的子域了，现有的域树当然就是我们创建好的zihe.com这个域了。

这次单击“下一步”后我们会看见一个网络凭证让我们输入一个用户名、密码和域，当你看到这儿时千万不要认为是让你定义用户呀，我们要看清其中的提示是：输入具有足够权限的用户名、密码和用户域；这里让我们输入的也就是根域(也就是这棵域树的最高权限的管理者)的用户名、密码和用户域了，在这里要注意一下要是域写的不对不会进行下一步的直接会报错，要是用户名不是父域的管理员那么在后面安装组件时也会报错会提示权限不足了。

输入上了单击“下一步”就来到了我们的子域安装，要我们输入父域的DNS全名：zihe.com；也可以浏览一下看看当前的父域谁那个，接下来就是要给子域起个名字了我们的就是：zhang这样可以看到新域的完整的DNS名是：zhang.zihe.com。

定义完了子域完整的DNS名单击“下一步”就是来定义这个新域的NetBIOS名称了，同样我们使用这个默认的ZHANG就好了，当然也可以输入新名称。下面的Active Directory数据库和日志文件的文件夹的存放就和安装父域时介绍的一样了，当然还有SYSVOL文件夹的位置也是一样的。定义完了存放位置单击“下一步”会出现一个DNS注册诊断，我们从这里能看出操作是否成功的完成了。

   接下了权限我们还是选择只与Windows 2000或Windows server 2003操作系统兼容的权限；下一步的目录服务还原模式的管理员密码自己设定一个了这个密码是在“目录服务还原模式”下启动计算机时使用的；然后就又到了最后一步了复查并确认选定的选项。这个过程不用放入系统安装光盘了它会自动的安装，一般到这儿就没有问题了等着完成重启计算机就好了，不过前面也说了一下要是在输入具有足够权限的用户名要是权限不够在这里就还报错了说给你权限不足。
   好朋友们现在我想都知道的差不多了吧，下面的我相信都会了吧；无外乎就是把Berlin也加到域树中也成为Florence父域下的子域，当然操作和添加Firenze大同小异了，呵呵，不一样的就一个地方啦，聪明那就是Berlin的子域是：he完全的DNS名是:he.zihe.com。
   你们说搭建“一棵域树”是不是很简单呀，下面就是在Firenze、Berlin两个子域下在创建出子域来，现在我们这棵树的分枝越来越茂密了呀。同样在搭建Denver、Istanbul、Perth时是一样的不过要注意一点呀那就是在让输入具有足够权限的用户时我们仍然要输入的是根域的管理员，也就是zihe.com的管理员。