域成員計算機加入域(張東輝)
域成員計算機 (1)將計算機加入到域 首先將客戶機TCP/IP配置中所配的DNS服務器,指向DC所用的DNS服務器。然後我的電腦/右鍵/屬性/網絡標識/屬性/隸屬於,選擇域:輸入域名,確定。提示輸入用戶口和口令,確定後提示重啓。說明: 加入域時,如果輸入的域名爲FQDN格式,形如mcse.com,必須利用DNS中的SRV記錄來找到DC,如果客戶機的DNS指的不對,就無法加入到域。 加入域時,如果輸入的域名爲NetBIOS格式,如mcse,也可以利用瀏覽服務(廣播方式)直接找到DC,但它不是一個完善的服務,有時就會不好使。 這樣雖然也可把計算機加入到域,而且在等較長時間後也可以登錄到域上去,但不推薦。因爲客戶機的DNS指的不對,則它無法利用2000DNS的動態更新 動能,也就是說無法在DNS區域中自動生成關於這臺計算機的A記錄和PTR記錄。那麼同一域另一子網的2000及以上計算機就無法利用DNS找到它,這本 應是可以的。 再者,管理員無法在客戶機上利用域的管理工具來遠程管理域,因爲這些管理工具必須使用DNS,出錯提示:找不到域命名信息(有時 客戶機的DNS Client服務有問題也會出現上述提示,重啓服務即可)。這種情況下,要進行遠程管理,就只能利用TS(終端服務)基於IP來連了。 當然用戶也可以手動配置WINS或Lmhosts文件,來查找DC。這主要用於95/98/NT老版本計算機跨子網(路由)查找DC或加入域,因爲這些 老版本計算機無法利用DNS來查找DC,瀏覽服務又是廣播方式,只能在本網段進行,因爲廣播信息是無法通過路由器的,RFC1542標準的路由器,可設置 成允許DHCP的廣播數據通過,僅是一個特例。需要說明的是:95/98可以使用域用戶帳號登錄到域,但並不能加入到域,在AD中也沒有計算機帳號,而 NT可以。 計算機加入域成功後,未重啓,即已在AD用戶和計算機/computer容器下生成計算機帳號了,實驗中查看時,需要手動刷新一下。而在DNS中記錄必須 在計算機重啓後(不必登錄)或15分鐘後才能自動註冊或更新到DNS區域。但若我們平常修改一個計算機的名字或IP,要馬上更新到DNS區域,倒不一定非 得重啓,可利用ipconfig /registerdns命令就行。明白以上討論可用於排錯,不一定非得重啓登錄後才知道結果。 加入到 NT4域時,需要有管理特權才行;從Windows 2000開始,微軟作了改進:在Windows 2000/03域中,默認Authenticated Users即可在域中最多創建 10 個計算機帳戶。Authenticated Users指被驗證的用戶組,也就是說任何經過身份驗證的普通域用戶都可以加最多10臺計算機到域。常見問題:在實際中用普通域帳號加計算機到域,有時會 不好使,原因是同名計算機帳號(極可能是它自己已經失效的計算機帳號)已存在而無權覆蓋,這時就得用域管理員帳號了。
(2)在加入域的計算機上,用域用戶帳號登錄到域。說明: 在域中的非DC計算機上,可以選擇登錄到域或本機,這是因爲它同時還擁有本地用戶帳號。而在DC上只能選擇登錄到域了,因爲整個域都是DC的,它沒有必要再保留本地帳號了。2000是個紅叉,03乾脆就沒有了。 安裝AD時,會自動刪除本地帳號,即使將來刪除AD,也無法將本地帳號復原,而是重新生成的。這一點一定要注意:如果本地有EFS加密的文件,一定要將證書導出或將文件解密後,再在這臺計算機上做AD安裝實驗。 在2000及以上計算機上登錄到域的過程是這樣的:域成員計算機根據本機DNS配置去找DNS服務器,DNS根據SRV記錄告訴它DC是誰,客戶機聯繫DC,驗證後登錄。
(3)深入討論: 如果是在林中跨域登錄,是首先查詢DNS服務器,問林的GC是誰。 前面我們在步驟(1)中強調“加入域前,首先將客戶機TCP/IP配置中所配的DNS服務器,指向DC所用的DNS服務器。”其實如果域中有多個DNS 服務器,也可以指向其它的DNS服務器,當然這些DNS服務器之間得有區域複製關係。這樣做的目的恰恰是:大中型網絡爲了平衡DNS負載。