域对于工作组的优势
工作组没有办法统一管理和实名验证
域能够统一管理统一实名验证
域和活动目录的关系
安装了活动目录(Active Directory <AD>)的服务器即是域控制器(Domain Controller< DC >)
域控制器与客户机利用共享密钥联系进立信任关系,每隔一段时间会更换共享密钥
统一身份验证的实现
在域控制器(DC)上创建域用户后,所有域用户信息均存储在DC上,DC本机只允许具有管理员身份的用户登录。用户在客户机登录时,客户机将向域控制器验证用户,当用户通过客户机远程访问其它客户机时,本地客户机会向DC申请当前用户的令牌用于访问远程客户机。
DNS服务器在域中的作用
用于寻找域控制器,定位域控制器
架设环境
1台WINDOWS SERVER 2008:域控制器(DC)、DNS
若干台客户机(WIN 7 或WIN XP)用于加入域
安装活动目录步骤
“→”意思为点击下一步,或下几步
1.在DC计算机上安装活动目录
运行dcpromo→选择新林、新域→命名林的根域→选择林功能级别(以林拥有的域控制器最低系统为准,与域中的客户机无关)→域功能级别→安装DNS→指定对应文件存放(SYSVOL为存放组策略的文件夹)→还原密码→安装
2.安装完成后的检查
(1)检查DNS
打开DNS 管理工具→DNS
检查DNS中正向查找区域,应有两个项,分别为“_msdcs.域名”和“域名”
其中“_msdcs.域名”中有4项内容,“域名”中有6项内容
(2)检查域控制器IP设置中DNS是否指向自己(在域控制器本身就是域中DNS服务器的情况下)
(3)管理工具→Active Directory用户和计算机→检查域控制器中的原本地用户是否已迁移到域中
强制域控制器向DNS注册SRV记录(当上面的DNS检查中发现缺项时使用)
1.将域控制器(DC)的DNS指向自己
2.确保DNS正向查找区允许更新
管理工具→DNS→正向查找区域→查看“_msdcs.域名”和“域名”两项的属性,常规中动态更新是否为安全(不要是无就行)
3.重启域控制器的netlogon服务
可在管理工具→服务中直接操作
通过命令符操作
停止服务命令:net stop netlogon
启动服务命令:net start netlogon
当使用以上方法后,重启服务后仍无法向DNS注册成功时
1.检查域控制器计算机名是否有域后缀
当没有域后缀时
计算机,右键属性→计算机名,更改→其他→在此计算机的主DNS后缀中输入域后缀
2.查看DNS设置
3.在设置IPv4地址窗口中→高级→DNS→钩选“向DNS注册此连接的地址”
4.查看DC的DNS是否指向DNS服务器
5.重启系统
创建DNS正向查找区强制域控制器注册SRV记录(当先装AD,装好后再装DNS,DNS中记录为空的情况)
1.管理工具→DNS→正向查找区域→右键,新建区域→区域类型 主区域,钩选在Active Directory中存储→此域中所有DNS服务器→输入域名→只允许安全动态更新
2.用上述同样方法创建1个区域名称为“_msdcs.域名”的区域
3.重启netlogon服务,不行就重启服务器
将计算机加入域
普通的域用户只能将10台计算机加入域(可修改)
将计算机加入域就是计算机建立任务的过程
2个要求
1.确保网络畅通
2.确保要加入域中的计算机的DNS指向域DNS服务器
计算机加入域的2个方法
1.通过设置计算机名直接加入
系统属性→计算机名→更改→隶属于,输入域名,确定后输入域用户的帐户密码,即可将计算机加入
2.先在域中建立对应计算机名的帐户,只有指定的用户才能将该计算机加入域
将计算机退出域
使用本地或域管理员在计算机上登录,将计算机改回工作组中的计算机