企业AD、DNS、WINS服务器的配置
企业AD、DNS、WINS服务器的配置
对于企业来说,AD、DNS、WINS服务都是必须的,AD用于整合用户管理、策略配置,DNS用于域名解释,而WINS有利局域网流畅的访问,加强各服务器的冗余。因此,合理的对这些服务的配置,有利于企业的正常运行。下面本人从网络上学习的一些心得,并针对小企业配置各个服务,欢迎给予意见及讨论。
一、拓扑图,环境,目的
<ignore_js_op>
以上是企业简单拓扑图,只列两台服务器PDC和BDC,其余电脑通过主线路访问服务器。
前提环境:路由器一个,PDC安装windows server 2003 enterprise edition sp2,而 BDC则安装SP1(SP2亦可,我只是为了验证一下兼容性)。
整个过程:先配置好PDC,再配置BDC。
二、PDC配置。
㈠AD服务;
1、登陆PDC,把windows 2003安装光盘放进光驱,打开“添加/删除windows组件”,添加DNS、WINS网络服务。如下图1.1
<ignore_js_op>
2、配置PDC的IP,俺码,网关,DNS,WINS,为下面的配置作准备。如下图1.2
<ignore_js_op>
3、在管理工具的服务器配置里添加AD,或者运行“dcpromo”命令进入;
4、下一步后,选择第一项,“新域的域控制器”,下一步,如下图1.3
<ignore_js_op>
5、选择第一项,“在新林中的域”,下一步,如下图1.4
<ignore_js_op>
继续下一步;
6、添加新的域名,下面填写的是我公司的域名pj.com,如下图1.5
<ignore_js_op>
继续下一步;
7、填写域NetBIOS名,PJ,如下图1.6
<ignore_js_op>
继续下一步;
8、选择保存AD的数据路径,选择默认,如下图1.7
<ignore_js_op>
继续下一步;
9、填写SYSVOL路径,选择默认即可,如下图1.8
<ignore_js_op>
继续下一步;
10、出现DNS注册诊断,大家看到诊断失败,原因是本机的DNS还没有配置好,选择第二项,安装DNS服务器,如下图1.9
<ignore_js_op>
11、权限,选择第二项,与windows 2000兼容,如下图1.10
<ignore_js_op>
12、出现还原管理员密码,这个用途是当你不想使用这个域时,要降级,那么就要,可以选择不设置密码,我怕以后忘记,所以就默认留空,继续下一步;
13、摘要,最后一次确认信息,正确无误后,继续下一步;
14、安装AD,DNS,如下图1.11
<ignore_js_op>
15、完成,重启服务器,至此,AD安装完毕,接下来看DNS的配置。
㈡DNS服务;
1、进入管理工具,打开DNS。因为随着AD的配置,DNS的正向已经弄好,现在配置反向选择,比较简单,选择“反向查找区域”,右击新建,如下图2.1
<ignore_js_op>
2、下一步,选择“区域类型”,选择第一项“主要区域”,如下图2.2
<ignore_js_op>
继续下一步;
3、复制作用域,选择第三项,如下图2.3
<ignore_js_op>
4、反向查找区域,填写192.168.0,如下图2.4
<ignore_js_op>
5、动态更新,默认选择第一项,如下图2.5
<ignore_js_op>
6、下一步,完成区域查找;
7、由于使用了域,所以客户端的DNS必须指向域服务器的IP,所以为了让客户端上外网更加方便,于是要在DNS服务器实现DNS的转发,这样,客户端的机子指向服务器DNS的时候,即时转发出外网,实现网内网外两不误,如下图2.6
<ignore_js_op>
8、选择“属性”后,出现下图,点击“转发器”,添加本地ISP的DNS,这样当客户端的DNS指向服务器的IP时,即可同时指向ISP的DNS,如下图2.7
<ignore_js_op>
至此,DNS服务配置完毕。
㈢WINS服务;
在配置WINS服务前,先做个介绍,Windows Internet命名服务(Windows Internet Name Service)为注册和查询网络上计算机和用户组NetBIOS名称的动态映射提供分布式数据库。WINS将NetBIOS名称映射为IP地址,并设计以解决路由环境的NetBIOS名称解析中所出现的问题。WINS对于使用TCP/IP上的NetBIOS路由网络中的NetBIOS名称解析是最佳选择。
因此,在一个网络域中,配置WINS服务可以让局域网访问更畅快。
WINS服务的安装比较简单,在添加/删除的网络服务那,PDC开始配置的时候已经安装好。
在这个例子中,我们必须把PDC的WINS和BDC的WINS进行复制,互相“推拉”,互相同步。
1、在管理工具打开WINS,右击“复制伙伴”,进行新建,如下图3.1
<ignore_js_op>
2、填写被复制的服务器IP,如下图3.2
<ignore_js_op>
3、最后效果,可以看到推拉关系,如下图3.3
<ignore_js_op>
接下来是BDC的配置。
三、BDC配置。
在配置各服务之前,先设置好本机IP地址,加入PDC的域pj.com里,如下图4.1
<ignore_js_op>
系统属性,更改,隶属于pj.com,确定, 如图4.2
<ignore_js_op>
输入域管理员用户名和密码,确定, 如图4.3
<ignore_js_op>
加入,重启。如上图4.4
<ignore_js_op>
重启后要用pj.com里的管理员登陆到域pj,切记!
㈠ AD服务;
1、打开“添加/删除服务”进入“添加/删除windows组件”,添加DNS和WINS网络服务,和PDC设置添加过程一样,记得先把安装光盘放进光驱,如下图4.5
<ignore_js_op>
2、接下来把BDC升级为额外域控制器,这里运行AD安装向导dcpromo命令快捷进入AD安装向导。接下来出现下图4.6,选择第二项“现有域的额外域控制器”。
<ignore_js_op>
继续下一下;
3、提供网络凭据,输入域用户名和密码,如下图4.7
<ignore_js_op>
4、出现额外的域控制器,默认选择pj.com,下一步,如图4.8;
<ignore_js_op>
5、出现和PDC那里的画图,保存AD数据库,按默认就行,下一步;
6、出现和PDC一样的画面,共享的系统卷,选择默认,继续下一步;
7、还原密码设置,可有可无,默认下一步;
8、继续下一步,开始安装AD,如下图4.9
<ignore_js_op>
这个步骤时间比较久,因为要把PDC的AD和DNS同步过来需要一段时间,接下来按提示重启。
9、重启后要把BDC本机的DNS指向自己192.168.0.22,这样做的目的是为了使用BDC和PDC的AD服务和DNS服务同步,它们才能互相复制,这是关键的一步,不能省呵。如图4.10
<ignore_js_op>
10、接着把BDC配置为“全局编录”(不懂的朋友自己查一下百度理解一下),打开管理工具,AD站点和服务,依次打开到NTDS Settings,右击,选择“属性”,如下图4.11
<ignore_js_op>
11、打开属性后,在“全局编录”前打上勾勾选择,确定,如下图4.12
<ignore_js_op>
到这里,AD和DNS的同步已经完成,当PDC挂掉的时候,BDC会自动担当AD和DNS的服务,给下面的客户端使用。
附:当然,当PDC挂掉之后,BDC自然会起到了作用,但是当PDC重新安装系统后,怎么才能把AD和DNS同步过来,这又关系到FSMO的问题了,在这简要说一下。
1、当PDC挂掉后,BDC必须马上把FSMO的角色控制权抢夺过来,自己当大哥,当然,为了不让下面的客户端混乱,BDC的IP地址必须改成PDC原来的IP地址呵,要不下面的小弟就会打架了;
2、当PDC系统弄好后,自然重复着暂当“BDC”的角色一段时间喽,反正两台服务器互换使用,一切问题都搞定。
㈡DNS服务;
DNS服务基本和PDC的一样,主要是加个DNS转发器,这样客户端访问更畅快了;
1、打开管理工具,DNS服务,右击BDC属性,如下图4.13
<ignore_js_op>
2、添加转发DNS,如下图4.14
<ignore_js_op>
确定后就OK了。
㈢WINS服务;
因为PDC安装了WINS和BDC已经复制同步,所以在BDC也得和PDC实现复制同步的关系,让两台机器实现同步的功能。
1、打开管理工具,WINS服务,依次打开复制伙伴,新建一复制伙伴,如下图4.15
<ignore_js_op>
2、填写PDC的IP地址,确定,如下图4.16和4.17
<ignore_js_op>
<ignore_js_op>
此时,PDC和BDC的WINS已经实现同步,两台互相复制,当一台挂掉的时候,另一台则可继续为客户端进行NetBIOS计算机名解析服务。
四、测试
就用一台客户端PC测试,我用的是深度ghost XP3 v8.1系统,安装好系统后,加入域,然后用不同的用户去测试所用到的AD是从那里分配出来的。
1、PDB和BDC都正常运行,打开XP3,用administrator管理员登陆到AD,使用set命令查找归属。如下图,看到的logonserver=\\\\PDC,说明在正常运行的情况下,一切客户端获得AD的路径是PDC,如图5.1;
<ignore_js_op>
2、现在关掉PDC,仅保留BDC在工作,把客户端重启,用另一用户huanghualong登陆到AD,进入DOS后再用set命令检测,如下图,大家看到了没有,logonserver=\\\\BDC了,说明当PDC挂掉后,客户端将会从BDC获取AD的分配,如图5.2;
<ignore_js_op>
最后:实验到此就结束了,不过回过头来看看实验的目的,主要是在企业安装一个主域,然后再安装一辅助域,当主域挂掉后,辅助域就可以接管主域的管理任务,从而达到企业正常工作的效果!
补充几点:
1、这个实验大家可以再加一个DHCP服务,得看大家的习惯,自动让客户分配IP好还是固定分配比较好自己掌握,不过加入DHCP服务后,人性化会得到提升,操作也非常方便,但在一个大的企业,网卡会偶尔出现自动获取不了IP的情况,多出现了,管理员也就有得忙了,但固定IP出现这情况就比较少了;
2、主域挂掉后,辅助域切记要把IP改成主域的IP,这样下面的小弟才不会混乱,以至找不到主子;
3、主域挂掉后,当你有时间后,要记住在辅助域把主域的FSMO权限抢过来,怎么个抢法这里文章就不讨论了,以后我会再写;
4、主域挂掉,又被你弄活后,你就可以照葫芦画圈,把主域配置成辅助域,轮流使用;
5、这是一个办法,但一般企业都会把主域的AD和DNS备份起来,以备不时之需。
以上有不妥之处,希望大家都发表一下意见,让我们继续学习下去!