当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 设置Active Directory域(2)

安全防护
经典黑客远程网络攻击过程概要
妙用磁盘配额 让黑客无从下手
如何利用路由器做到防止DoS洪水攻击
服务器安全:防范拒绝服务攻击妙招
网络安全检测思路与技巧
保护Win2003网络服务器安全
百度空间存在js破坏漏洞 用户被威胁删除数据
7月22日Discuz.net被黑事件始末
DNS 系统漏洞被泄露,小心被攻击
大型网站服务器:数据库压力,网页优化,服务器负载

安全防护 中的 设置Active Directory域(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 35 ::
收藏到网摘: n/a

设置Active Directory域控制器   


正如我们在网络与系统配置专题文章中所提到的那样,我们已将两部服务器设置为对应于内部域“intdomain.com”的Active Directory域控制器。我们借助专用计算机设置了第一个域控制器,并为实现系统冗余而在管理服务器上设置了第二个域控制器。

由于域控制器必须具备既可从Web服务器和命令处理服务器(针对消息队列)、又可从两个已实现群集化的数据库服务器接受访问调用的能力,因此,就必须与后端网络、管理网络或以上两者同时建立连接。

在接下来的章节中,我们将针对设置Active Directory域控制器的分步操作程序以及设置对应于特定域的Active Directory客户端的操作程序加以详细说明。

安装第一个域控制器
请依次执行下列步骤,以便创建一个新的域,并在某一服务器上安装Active Directory服务,然后,将该服务器设定为对应于新建域的第一个域控制器:

在开始菜单上单击运行,并在随后出现的对话框内输入dcpromo,然后,单击确定。上述操作将启动Active Directory安装向导。
在通过欢迎屏幕后,向导程序将要求您为即将安装Active Directory的服务器指定域控制器类型。请保持相关选项的缺省状态,以便将该服务器设置为对应于新建域的域控制器。
接下来,向导程序将要求您生成一个新的域树,或在现有域树中生成新建一个子域。在这个例子中,应针对内部域新建一个域树。
然后,向导程序将要求您新建一个森林,或加入一个现有森林。因为您正在创建第一个域,而且目前尚不存在现成的森林,所以,请保持有关系选项的缺省设置状态,以便创建一个同域树相对应的新森林。
如前所述,Windows 2000所配备的Active Directory服务目前主要将完全合格域名(FQDN)作为首选命名规范加以应用。当向导程序要求您为新建域设定名称时,就请键入同内部域相对应的FQDN(在本例中,应输入“intdomain.com”)。
Active Directory具备针对Windows NT早期版本的向后兼容性,这主要取决于同这些版本命名规范相对应的NetBIOS名称。出于连贯性方面的考虑,我们应选用与NetBIOS名称完全相同的域名。在这个例子中,应接受系统为NetBIOS设定的缺省域名“INTDOMAIN”。
向导程序将在接下来的两个对话框中要求您针对Active Directory数据库与活动日志的存储位置以及共享系统卷加以指定。为实现更加理想的性能表现及可恢复能力,我们建议您将数据库和日志存储在独立硬盘上。为简化操作过程,我们选择接受所有缺省位置。
安装向导将在这个环节尝试同对应于新建域的DNS服务器取得联系。如果对应于新建域的DNS服务器已经存在,并可在网络上被查找到,向导程序便会继续转移到下一个安装步骤;如果网络上并不存在上述DNS服务器,向导程序则将就是否在Active Directory安装过程中基于同一计算机安装并配置DNS服务器、亦或稍后安装DNS服务器向您进行询问。在此,我们建议您保持第一个选项的缺省设置状态,除非您确实需要亲自执行所有DNS资源记录的设置工作。
由安装向导显示的其余对话框将主要用来处理安全保障事宜。根据Duwamish Online案例,如果域内所有计算机都在运行Windows 2000操作系统,就请将仅与Windows 2000服务器相兼容的许可权限选项设定为选中状态。接下来,向导程序将要求您为管理员设定一个专用口令。
最后,向导程序将显示一个总结屏幕,以便就已经设定的选项与您进行确认。如果屏幕上所显示的信息正确无误,就请单击下一步确认。
当配置处理过程执行完毕后,重新启动服务器。
安装第二个域控制器
第二个Active Directory域控制器的安装过程要比第一个域控制器的安装过程简单得多。在启动安装程序之前,应首先确认第二台服务器已具备针对同一网络部分实施访问调用的权限。只有这样,该服务器才能与第一台服务器进行通信联络。此外,您还应为DNS服务器设定IP地址(根据前文所提供的建议,这个地址必须同第一个域控制器相对应),而这个IP地址则可供用来针对充当域控制器的计算机进行定位。

如需设定DNS服务器,则请依次执行下列操作步骤:

右键单击网络邻居,并在随后弹出的快捷菜单上选择属性命令。
从网络与拨号连接对话框内,右键单击本地连接图标,并在随后弹出的快捷菜单上选择属性命令。
说明:如果您的计算机配备有多块与不同网络部分相连的网络适配卡(类似于Duwamish Online网络配置方案),而您又无法对已同内部建立连接的网卡加以确认,那么,您便可通过以物理方式切断与内部网络相连之电缆的做法识别出所需查找的相关连接。这样一来,对应于目标连接的图标便会呈现出已被禁用的状态。请在恢复网络电缆连接之前,为刚刚查找到的连接重新指定相应名称。
选择Internet协议(TCP/IP),并单击属性。
在Internet协议(TCP/IP)属性对话框内,将使用下列DNS服务器地址选项设定为选中状态。
在首选DNS服务器栏内,输入相关IP地址。(如果DNS服务器已作为第一个Active Directory服务器安装过程的组成部分实现了安装,就请为该服务器输