实战子域部署
域树是Active Directory针对NT4的传统域模型所进行的重要改进。在NT4时代的域模型中,每个域都要使用没有层次结构的NETBIOS名称,而且域和域之间缺少关联,只能创建不能传递的域信任关系。这会在企业管理方面造成诸多不利因素,首先域和域之间很难根据域名判断彼此间的隶属关系,例如beijing域和shanghai域;其次由于域之间的信任关系不可传递,在域数量较多时光是创建域之间的完全信任就要耗费大量时间。假定有10个域,那我们在10个域之间要建立45次信任关系才能让这些域相互之间都完全信任。
域树针对以上问题进行了很好的解决,域树的父域和子域之间由于使用了层次分明的
DNS域名,只要根据域名我们就可以判断出两个域的隶属关系,例如有两个域
abc.com和
test.abc.com,我们可以很轻易地判断出后者是前者的子域。域树在信任关系上也有很好的改进,域树内的各个域之间会自动建立起双向可传递的信任关系,显然这是一个效率上的重大改进。
既然域树如此重要,那我们将通过一个实例为大家介绍如何部署一个包括父域和子域的两层域树。拓扑如下图所示,父域为
itet.com,域控制器和
DNS都是
Florence。子域是
shanghai.itet.com,域控制器和
DNS都是
Firenze。父域已经创建完毕,我们将为大家介绍如何部署子域。如果父域和子域都使用同一个
DNS服务器,部署起来会更容易。但我们考虑到有可能子域希望能拥有独立的域名解析权,这样很多工作会更容易开展,因此我们决定在子域也设置一个独立的
DNS服务器。
![](https://i-blog.csdnimg.cn/blog_migrate/92d685901d64806356f483b3900c01d1.jpeg)
一 DNS委派
首先我们要考虑
DNS的委派问题。目前,
itet.com的解析权归
Florence,也就是说
Florence可以解析所有以
itet.com结尾的域名。如果我们希望
Firenze能够解析
shanghai.itet.com,那么我们必须在
Florence上对
Firenze进行委派,授权
Firenze可以解析
shanghai.itet.com。我们在
Florence上打开
DNS管理器,如下图所示,右键点击
itet.com,选择“新建委派”。
![](https://i-blog.csdnimg.cn/blog_migrate/6bec422dfc74a582cacae7e5cde48a0d.jpeg)
如下图所示,我们准备对shanghai.itet.com区域进行委派。
![](https://i-blog.csdnimg.cn/blog_migrate/b022d1c27cace9990f61aebb1cbc0056.jpeg)
接下来要设置委派对象,如下图所示,点击“添加”按钮来设置被委派的DNS服务器。
![](https://i-blog.csdnimg.cn/blog_migrate/fa86ffca81565d70f2bdf31a90a6f9cc.jpeg)
如下图所示,我们输入被委派DNS服务器的完全合格域名:firenze.shanghai.itet.com,同时输入这个完全合格域名对应的IP地址,点击“添加”按钮就可以结束委派了。
![](https://i-blog.csdnimg.cn/blog_migrate/d692f607dd5b1707c4ab1cbe129f50e7.jpeg)
二 创建DNS区域
Florence对
Fienze进行了解析委派之后,
Firenze就可以解析以
shanghai.itet.com结尾的域名了。接下来我们可以在
Firenze上创建一个
DNS区域:
shanghai.itet.com,如下图所示,在
Firenze上打开
DNS管理器,选择“新建区域”。
![](https://i-blog.csdnimg.cn/blog_migrate/e55dc2de14178aa465ffa58bdc460fb5.jpeg)
区域类型为主要区域。
![](https://i-blog.csdnimg.cn/blog_migrate/e67810057e00fb9e9fbdff2f539ee3ae.jpeg)
区域名称和Firenze获得委派解析的域名一致,是shanghai.itet.com。
![](https://i-blog.csdnimg.cn/blog_migrate/782c3f9c60b37ee111e03b5b331b2618.jpeg)
由于Firenze要为子域提供DNS解析服务,因此这个区域一定要允许动态更新,我们知道,在创建子域的AD时需要在DNS区域中主动注册A记录,Cname记录和SRV记录。
![](https://i-blog.csdnimg.cn/blog_migrate/862e8b60873f74a468d2a1c303042f66.jpeg)
如下图所示,创建完区域后,我们发现DNS区域中的NS记录和SOA记录都有问题。问题在于这些记录都不是用完全合格域名描述的,我们需要对这些记录进行修改。
![](https://i-blog.csdnimg.cn/blog_migrate/9b5aa594a1573157f0c97ec794b9d8b9.jpeg)
首先我们修改NS记录,我们用firenze.shanghai.itet.com来描述NS记录,同时用IP地址192.168.11.102对这个记录进行解析。
![](https://i-blog.csdnimg.cn/blog_migrate/2e422dfb68ee9ac83df623de3470d660.jpeg)
修改完NS记录后,我们再来修改SOA记录,如下图所示,我们在SOA记录中也用firenze.shanghai.itet.com来描述主服务器。NS和SOA记录描述完后,DNS方面的准备工作就算是完成了。
![](https://i-blog.csdnimg.cn/blog_migrate/2747ebe62f98800ca34146cd1dffd4af.jpeg)
三 部署子域
DNS的准备工作就绪后,接下来我们就可以在
Firenze上进行子域的部署了。我们在
Firenze上运行
Dcpromo,如下图所示,准备开始
Active Directory的部署。
![](https://i-blog.csdnimg.cn/blog_migrate/138a9d86660e68d7f034a48e2d8c1bde.jpeg)
我们选择部署一个新域的域控制器。
![](https://i-blog.csdnimg.cn/blog_migrate/7e5a7bb081ddc786f772d9611b30bc97.jpeg)
接下来在域的类型中选择部署一个现有域树中的子域。
![](https://i-blog.csdnimg.cn/blog_migrate/f9c44457f9cda7adcf0ac1898e7c59bd.jpeg)
部署子域,需要得到域林管理员的授权。tet.com是域林内的第一个域,因此itet.com的域管理员拥有整个域树的管理权限。如下图所示,我们用itet.com的域管理员完成身份验证。
![](https://i-blog.csdnimg.cn/blog_migrate/bd8b889e0341f32ce50ab4e67ce8c8cb.jpeg)
父域是itet.com,子域的名称设置为shanghai.itet.com。
![](https://i-blog.csdnimg.cn/blog_migrate/a3872e5d37158f645d659ff86916690c.jpeg)
子域的NETBIOS名称为shanghai。
![](https://i-blog.csdnimg.cn/blog_migrate/958150178e3cdd644972383f7e59605e.jpeg)
由于是在测试环境下,因此Active Directory数据库和日志的存储路径我们使用默认路径就可以了。
![](https://i-blog.csdnimg.cn/blog_migrate/b3f6c4d3b574a5f04c7c534258c3bb1a.jpeg)
Sysvol文件夹的路径也可以使用默认值。
![](https://i-blog.csdnimg.cn/blog_migrate/7c3cd9c68dfa5471a587f48d524f215b.jpeg)
注意,下图中的DNS诊断结果已经显示出了Firenze已经为子域做好了解析准备,这说明我们之前进行的DNS准备工作是行之有效的。
![](https://i-blog.csdnimg.cn/blog_migrate/6108e01384f50188cb97343ce9391f07.jpeg)
摘要中显示了我们准备部署一个子域,如果摘要中的结论正确,点击下一步就可以开始子域的部署了。
![](https://i-blog.csdnimg.cn/blog_migrate/880cffbccf43ba73908980e702a50acb.jpeg)
经过了一段时间的部署后,子域被创建出来,如下图所示,点击“完成”就可以结束子域的部署了。
![](https://i-blog.csdnimg.cn/blog_migrate/b292e477a1a3e8a2c2959e96446cdaaf.jpeg)
创建完子域后,我们在Florence上打开Active Directory域和信任关系,如下图所示,我们可以很清楚地看到父域和子域之间的层次关系。
![](https://i-blog.csdnimg.cn/blog_migrate/a9fdd240d2c4649481e212c1819f8df7.jpeg)
利用Active Directory域和信任关系这个管理工具,在itet.com域的属性中查看域信任关系,我们看到itet.com和shanghai.itet.com之间已经自动创建出了双向可传递的信任关系。
![](https://i-blog.csdnimg.cn/blog_migrate/5ec284938a9872f85e2ec1a70c1993ba.jpeg)
至此,我们完成了一棵两层域树的搭建。对一般规模的企业来说,域树已经足以支持企业的管理规模了,只有对特大型企业,才有可能会使用到多棵域树。在后续的内容中我们会介绍如何在域林中加入第二棵域树。