設置 Active Directory 域

引言

在 Microsoft® Windows® 2000 Server 操作系統的諸多增強功能中，Microsoft Active Directory™ 功能的引入意義最爲重大，但也最常引起困惑。與其前輩（Microsoft Windows NT® 操作系統早期版本中的域控制器）相比，Windows 2000 Server 中的 Active Directory 提供了一個全新的體系結構和豐富得多的功能。

儘管本文並不打算討論 Active Directory 的所有功能，但其中確實概述了這項技術，重點在於討論兩個新概念：域控制器的全新體系結構模型以及與 DNS 的新的集成關係。這些功能對了解如何構建 DuwamishOnline.com 這樣的 Web 羣非常有幫助。此外，我們將討論用 Active Directory 逐步設置 Web 羣的過程。

本文假定讀者已基本瞭解 Windows NT 早期版本中的網絡概念。

Active Directory 概述

就像電話簿提供個人和機構電話信息服務一樣，Active Directory 提供了這樣一種目錄服務，它可存儲和方便地訪問所有聯網資源（如計算機、打印機、用戶、共享文件夾、消息隊列等）的有關信息。

Active Directory 在網絡環境中起着接線總機的作用。它幫助用戶和應用程序查找並訪問這些聯網的資源，使它們相互連接起來。更爲重要的是，它能確保只有獲得授權的用戶或應用程序才能安全地訪問這些資源。

像 Duwamish Online 中的服務器羣一樣，在服務器羣中，部署 Active Directory 服務器是爲了向用戶和應用程序提供集中、安全地訪問網絡上所有服務器的途徑。而且，它可提供消息隊列 (MSMQ) 使用的目錄服務，以便管理啓用異步操作的消息隊列。（有關消息隊列服務的詳細信息，請參見 MSMQ 上的文章。）

有關 Active Directory 的詳細信息，請參見 Active Directory Overview，位於 http://www.microsoft.com/windows2000/guide/server/features/dirlist.asp 。

接下來，我們將集中討論 Active Directory 中首次引入的兩個新概念。

域控制器的全新體系結構模型

安裝了 Active Directory 組件以提供這種目錄服務的計算機稱爲域控制器。如果將 Active Directory 安裝到運行 Windows 2000 Server 的計算機上，則會將服務器轉換或提升爲特定域的域控制器。

使用 Active Directory 時，所有 Windows 2000 Server 域控制器都是對等關係，支持多主複製，在所有域控制器之間複製 Active Directory 信息。

這是一個重要的體系結構設計上的變化，改變了 Windows NT 早先版本中主域控制器 (PDC) 和備份域控制器 (BDC) 之間的主/從關係。

與 Windows NT 早先版本中的區別是，老版本中只有 PDC 保留可讀/寫的目錄信息主副本，而將目錄信息的只讀副本複製到 BDC 中；Active Directory 則在各個域控制器之間使用多主複製，因此管理員現在可以從任何域控制器進行更改。如果域控制器（特別是 PDC）失敗，這會爲系統提供更大的可靠性。

與 DNS 集成

Active Directory 中另一個重要的體系結構設計上的變化是它與域名系統 (DNS) 的緊密集成。在 Windows 2000 中，網絡基本輸入/輸出系統 (NetBIOS) 名稱不再是識別網絡計算機或打印機首要的名稱解析方法。而是使用完全合格的域名稱 (FQDN)（如“server1.microsoft.com”）來識別。

這就意味着 Active Directory 域現在與 DNS 域共享同樣的命名結構（或名稱空間）。例如，在老版本的 Windows NT 中，引用同一臺計算機時，在 Windows 網絡域的 NetBIOS 下可能是“SERVER1”，而在 DNS 域下可能是“server1.microsoft.com”。在 Windows 2000 中，該計算機在 Active Directory 域和 DNS 域中的引用名稱都是“server1.microsoft.com”。

然而，區分 Active Directory 與 DNS 之間的差異是非常重要的。雖然它們在一起配合得非常緊密，但各自存儲的數據和管理的對象都不同。

DNS 是一種傳輸控制協議/Internet 協議 (TCP/IP) 名稱解析服務，它存儲資源記錄，主要是爲了將域名轉換爲相應的 IP 地址。儘管 DNS 可以離開 Active Directory 而獨立工作，但其數據可集成並存儲到 Active Directory 中，在這裏 DNS 信息被自動複製到其它域控制器中，這樣就增強了 DNS 服務的可靠性和安全性。

另一方面，Active Directory 是一個目錄服務，它可以存儲域對象名稱請求，並將其解析成對象記錄數據（例如答覆對計算機網絡配置信息的請求時）。要找到 Active Directory 服務器，首先由 Active Directory 客戶查詢爲它指定的 DNS 服務器，找到此 Active Directory 服務器的 IP 地址。根據設計，Active Directory 需要 DNS 才能工作。實際上，在安裝過程中，如果網絡上找不到 DNS 服務器，那麼設置 Active Directory 域控制器時通常需要同時安裝一個 DNS 服務器。

有關 DNS 名稱空間如何構建以及 DNS 與 Active Directory 如何關聯的詳細信息，請參見文章 Setting Up a Domain Name System。

設置 Active Directory 域控制器

正如在網絡和系統配置文章中所述，我們已設置了兩個服務器作爲內部域“intdomain.com”的 Active Directory 域控制器。我們用一臺專用計算機來設置第一個域控制器，並在管理服務器上設置另外一個域控制器作冗餘。

由於域控制器必須要能通過 Web 服務器和訂單處理服務器（用於建立消息隊列）以及兩個設成羣集的數據庫服務器進行訪問，因此它們必須連接到後端網絡、管理網絡，或者同時連接這兩個網絡。

在下面的部分，我們將介紹如何逐步設置這些 Active Directory 域控制器，以及爲該域設置 Active Directory 客戶端的步驟。

安裝第一個域控制器

按照以下步驟創建一個新的域，並在某個服務器上安裝 Active Directory 服務，使該服務器成爲該域的第一個域控制器：

1. 在開始菜單中，單擊運行。鍵入 dcpromo，然後單擊確定。這將啓動 Active Directory 安裝嚮導。
2. 出現歡迎屏幕以後，系統將要求您爲該服務器指定“域控制器類型”。保持默認選項，將該服務器設置爲新域的域控制器。
3. 接着，將要求您創建一個新的域目錄樹或在現有域目錄樹中新建一個子域。在本例中，爲內部域創建一個新域目錄樹。
4. 接下來，系統將要求您創建一個新的目錄林或加入現有的一個目錄林。因爲這是第一個域，沒有現有的目錄林，所以保持默認的選項創建新的域目錄林。
5. 如前所述，Windows 2000 中的 Active Directory 現在用完全合格的域名稱 (FQDN) 作爲其主命名規則。當要求輸入新的域名稱時，鍵入內部域的 FQDN（在本例中我們使用“intdomain.com”）。
6. Active Directory 向後兼容老版本的 Windows NT，後者使用 NetBIOS 名稱作爲其命名規則。爲了保持一致，我們選擇使用與 NetBIOS 名稱相同的域名稱。在本例中，接受默認的“INTDOMAIN”作爲 NetBIOS 域名稱。
7. 在後面的兩個對話框中，系統將要求您指定 Active Directory 數據庫和活動日誌的位置，以及共享系統卷。要獲得更好的性能和可恢復性，建議將數據庫和日誌分別存儲在不同的硬盤上。爲簡化此過程，我們選擇接受所有的默認位置。
8. 此時，安裝嚮導將嘗試爲新域聯繫一個 DNS 服務器。如果已經存在使用該域的 DNS 服務器，並且能夠在網上找到，則該向導將移至下一步；如果不存在，則嚮導將詢問您是要在同一臺計算機上安裝和配置一個 DNS 服務器（作爲 Active Directory 安裝過程的一部分），還是希望以後再安裝 DNS 服務器。建議保持默認選項作爲第一選擇，除非您確實想自己設置所有的 DNS 資源記錄。
9. 安裝嚮導接下來顯示的對話框都與安全問題有關。如果該域中的所有計算機都在運行 Windows 2000（在 Duwamish Online 中就是這樣），則選擇只與 Windows 2000 服務器相兼容的權限選項。隨後指定“管理員”密碼。
10. 最後，將顯示一個摘要屏幕，確認您的選擇。如果信息正確，則單擊下一步進行確認。
11. 當配置過程完成後，重新啓動服務器。

安裝另一個域控制器

再安裝一個 Active Directory 域控制器比安裝第一個域控制器要簡單得多。在開始此過程之前，要確保此新增服務器有權訪問同一網絡段，這樣它纔可以與第一個服務器進行通訊。此外，需要指定一個 DNS 服務器的 IP 地址（根據前面的建議，這應該是第一個域控制器），反過來，查找充當域控制器的計算機時也要使用這個地址。

若要指定 DNS 服務器

1. 右鍵單擊網上鄰居並選擇屬性。
2. 在網絡和撥號連接對話框中，右鍵單擊局域網連接圖標並選擇屬性。

   注意 如果您的計算機上有多個網絡適配卡連接不同的網段（就像 Duwamish Online 網絡配置），而且您不能確定哪個網卡連接到內部網絡，則可以用直接斷開實際連接到內部網絡的電纜的辦法來辨別網卡。其結果表現爲，被斷開地連接的圖標將顯示爲禁用狀態。在恢復網絡電纜之前，相應地重新命名此連接。

3. 選擇 Internet 協議 (TCP/IP)，然後單擊屬性。
4. 在 Internet 協議 (TCP/IP) 屬性對話框中，選擇使用下面的 DNS 服務器地址選項。
5. 在首選 DNS 服務器字段中輸入 IP 地址。（如果已經在第一個 Active Directory 服務器的安裝過程中設置了 DNS 服務器，則輸入該服務器的 IP 地址。請參見前面的“安裝第一個域控制器”的第 8 步。）
6. 單擊確定，確認此更改。

指定 DNS 後，現在就可以安裝另一個域控制器。

若要再安裝一個域控制器

1. 在開始菜單中，單擊運行。鍵入 dcpromo，然後單擊確定。這將啓動 Active Directory 安裝嚮導。
2. 出現歡迎屏幕以後，系統將要求您爲該服務器指定“域控制器類型”。選擇設置一個現有域的額外域控制器。
3. 接着，系統將要求您輸入一個用戶名、密碼和域名稱（本例中爲“intdomain”）。
4. 當系統要求時，輸入某個域的完全合格的域名稱，該計算機將變成該域的額外域控制器。（本例中輸入“intdomain.com”。）
5. 與安裝第一個 Active Directory 服務器時類似，系統將要求您指定數據庫和日誌的位置，以及共享系統卷。爲簡化此過程，我們選擇接受默認位置。
6. 指定“管理員”密碼後，系統將要求您檢查並確認摘要屏幕上的信息。單擊下一步，開始安裝。
7. 當安裝完成後，重新啓動服務器。

設置 Active Directory 客戶

在安裝 Windows 2000 時，系統會要求您加入現有的域或工作組。如果在安裝時還沒有域控制器，則可以在以後加入此域。

在開始此過程之前，要確保該計算機有權訪問同一網段，這樣它纔可以與此域進行通訊。因爲在設置另一個域控制器時，需要指定 DNS 服務器的 IP 地址。

以下步驟描述如何在 Windows 2000 中將一臺計算機加入新域。

1. 右鍵單擊我的電腦並選擇屬性。
2. 從系統屬性對話框中，單擊網絡標識選項卡，然後選擇屬性。
3. 從標識更改對話框中，單擊域選項按鈕（如果還沒有選中的話）。鍵入域的完整名稱（本例中爲“intdomain.com”）。
4. 單擊確定，確認此更改。系統將要求您輸入域用戶名和密碼。
5. 要使更改生效，需重新啓動服務器。

小結

在 DuwamishOnline.com Web 羣中使用 Active Directory 的主要原因是，它支持增強的消息隊列 (MSMQ) 功能 - 允許使用公共消息隊列。有關 MSMQ 和 Duwamish Online 網絡體系結構的詳細信息，請參見我們的文章 Message Queuing Configuration。該配置中 Active Directory 的另一個優點是，它簡化了我們的數據庫羣集所要求的 DNS 配置（請參見 Building a Highly Available Database Cluster）。