企业AD、DNS、WINS服务器的配置

对于企业来说，AD、DNS、WINS服务都是必须的，AD用于整合用户管理、策略配置，DNS用于域名解释，而WINS有利局域网流畅的访问，加强各服务器的冗余。因此，合理的对这些服务的配置，有利于企业的正常运行。下面本人从网络上学习的一些心得，并针对小企业配置各个服务，欢迎给予意见及讨论。

一、拓扑图，环境，目的 
<ignore_js_op>

以上是企业简单拓扑图，只列两台服务器PDC和BDC，其余电脑通过主线路访问服务器。 
前提环境：路由器一个，PDC安装windows server 2003 enterprise edition sp2，而 BDC则安装SP1（SP2亦可，我只是为了验证一下兼容性）。 
整个过程：先配置好PDC，再配置BDC。

二、PDC配置。 
㈠AD服务； 
1、登陆PDC，把windows 2003安装光盘放进光驱，打开“添加/删除windows组件”，添加DNS、WINS网络服务。如下图1.1 
<ignore_js_op>

2、配置PDC的IP，俺码，网关，DNS，WINS，为下面的配置作准备。如下图1.2 
<ignore_js_op>

3、在管理工具的服务器配置里添加AD，或者运行“dcpromo”命令进入； 
4、下一步后，选择第一项，“新域的域控制器”，下一步，如下图1.3 
<ignore_js_op>

5、选择第一项，“在新林中的域”，下一步，如下图1.4 
<ignore_js_op>

继续下一步； 
6、添加新的域名，下面填写的是我公司的域名pj.com，如下图1.5 
<ignore_js_op>

继续下一步； 
7、填写域NetBIOS名，PJ，如下图1.6 
<ignore_js_op>

继续下一步； 
8、选择保存AD的数据路径，选择默认，如下图1.7 
<ignore_js_op>

继续下一步； 
9、填写SYSVOL路径，选择默认即可，如下图1.8 
<ignore_js_op>

继续下一步； 
10、出现DNS注册诊断，大家看到诊断失败，原因是本机的DNS还没有配置好，选择第二项，安装DNS服务器，如下图1.9 
<ignore_js_op>

11、权限，选择第二项，与windows 2000兼容，如下图1.10 
<ignore_js_op>

12、出现还原管理员密码，这个用途是当你不想使用这个域时，要降级，那么就要，可以选择不设置密码，我怕以后忘记，所以就默认留空，继续下一步； 
13、摘要，最后一次确认信息，正确无误后，继续下一步； 
14、安装AD，DNS，如下图1.11 
<ignore_js_op>

15、完成，重启服务器，至此，AD安装完毕，接下来看DNS的配置。 
㈡DNS服务； 
1、进入管理工具，打开DNS。因为随着AD的配置，DNS的正向已经弄好，现在配置反向选择，比较简单，选择“反向查找区域”，右击新建，如下图2.1 
<ignore_js_op>

2、下一步，选择“区域类型”，选择第一项“主要区域”，如下图2.2 
<ignore_js_op>

继续下一步； 
3、复制作用域，选择第三项，如下图2.3 
<ignore_js_op>

4、反向查找区域，填写192.168.0，如下图2.4 
<ignore_js_op>

5、动态更新，默认选择第一项，如下图2.5 
<ignore_js_op>

6、下一步，完成区域查找； 
7、由于使用了域，所以客户端的DNS必须指向域服务器的IP，所以为了让客户端上外网更加方便，于是要在DNS服务器实现DNS的转发，这样，客户端的机子指向服务器DNS的时候，即时转发出外网，实现网内网外两不误，如下图2.6 
<ignore_js_op>

8、选择“属性”后，出现下图，点击“转发器”，添加本地ISP的DNS，这样当客户端的DNS指向服务器的IP时，即可同时指向ISP的DNS，如下图2.7 
<ignore_js_op>

至此，DNS服务配置完毕。

㈢WINS服务； 
在配置WINS服务前，先做个介绍，Windows Internet命名服务（Windows Internet Name Service）为注册和查询网络上计算机和用户组NetBIOS名称的动态映射提供分布式数据库。WINS将NetBIOS名称映射为IP地址，并设计以解决路由环境的NetBIOS名称解析中所出现的问题。WINS对于使用TCP/IP上的NetBIOS路由网络中的NetBIOS名称解析是最佳选择。 
因此，在一个网络域中，配置WINS服务可以让局域网访问更畅快。

WINS服务的安装比较简单，在添加/删除的网络服务那，PDC开始配置的时候已经安装好。 
在这个例子中，我们必须把PDC的WINS和BDC的WINS进行复制，互相“推拉”，互相同步。 
1、在管理工具打开WINS，右击“复制伙伴”，进行新建，如下图3.1 
<ignore_js_op>

2、填写被复制的服务器IP，如下图3.2 
<ignore_js_op>

3、最后效果，可以看到推拉关系，如下图3.3 
<ignore_js_op>

接下来是BDC的配置。

三、BDC配置。 
在配置各服务之前，先设置好本机IP地址，加入PDC的域pj.com里，如下图4.1 
<ignore_js_op>

系统属性，更改，隶属于pj.com，确定， 如图4.2 
<ignore_js_op>

输入域管理员用户名和密码，确定， 如图4.3 
<ignore_js_op>

加入，重启。如上图4.4 
<ignore_js_op>

重启后要用pj.com里的管理员登陆到域pj，切记！

㈠ AD服务； 
1、打开“添加/删除服务”进入“添加/删除windows组件”，添加DNS和WINS网络服务，和PDC设置添加过程一样，记得先把安装光盘放进光驱，如下图4.5 
<ignore_js_op>

2、接下来把BDC升级为额外域控制器，这里运行AD安装向导dcpromo命令快捷进入AD安装向导。接下来出现下图4.6，选择第二项“现有域的额外域控制器”。 
<ignore_js_op>

继续下一下； 
3、提供网络凭据，输入域用户名和密码，如下图4.7 
<ignore_js_op>

4、出现额外的域控制器，默认选择pj.com，下一步，如图4.8； 
<ignore_js_op>

5、出现和PDC那里的画图，保存AD数据库，按默认就行，下一步； 
6、出现和PDC一样的画面，共享的系统卷，选择默认，继续下一步； 
7、还原密码设置，可有可无，默认下一步； 
8、继续下一步，开始安装AD，如下图4.9 
<ignore_js_op>

这个步骤时间比较久，因为要把PDC的AD和DNS同步过来需要一段时间，接下来按提示重启。 
9、重启后要把BDC本机的DNS指向自己192.168.0.22，这样做的目的是为了使用BDC和PDC的AD服务和DNS服务同步，它们才能互相复制，这是关键的一步，不能省呵。如图4.10 
<ignore_js_op>

10、接着把BDC配置为“全局编录”（不懂的朋友自己查一下百度理解一下），打开管理工具，AD站点和服务，依次打开到NTDS Settings，右击，选择“属性”，如下图4.11 
<ignore_js_op>

11、打开属性后，在“全局编录”前打上勾勾选择，确定，如下图4.12 
<ignore_js_op>

到这里，AD和DNS的同步已经完成，当PDC挂掉的时候，BDC会自动担当AD和DNS的服务，给下面的客户端使用。 
附：当然，当PDC挂掉之后，BDC自然会起到了作用，但是当PDC重新安装系统后，怎么才能把AD和DNS同步过来，这又关系到FSMO的问题了，在这简要说一下。 
1、当PDC挂掉后，BDC必须马上把FSMO的角色控制权抢夺过来，自己当大哥，当然，为了不让下面的客户端混乱，BDC的IP地址必须改成PDC原来的IP地址呵，要不下面的小弟就会打架了； 
2、当PDC系统弄好后，自然重复着暂当“BDC”的角色一段时间喽，反正两台服务器互换使用，一切问题都搞定。

㈡DNS服务； 
DNS服务基本和PDC的一样，主要是加个DNS转发器，这样客户端访问更畅快了； 
1、打开管理工具，DNS服务，右击BDC属性，如下图4.13 
<ignore_js_op>

2、添加转发DNS，如下图4.14 
<ignore_js_op>

确定后就OK了。

㈢WINS服务； 
因为PDC安装了WINS和BDC已经复制同步，所以在BDC也得和PDC实现复制同步的关系，让两台机器实现同步的功能。 
1、打开管理工具，WINS服务，依次打开复制伙伴，新建一复制伙伴，如下图4.15 
<ignore_js_op>

2、填写PDC的IP地址，确定，如下图4.16和4.17 
<ignore_js_op>

<ignore_js_op>

此时，PDC和BDC的WINS已经实现同步，两台互相复制，当一台挂掉的时候，另一台则可继续为客户端进行NetBIOS计算机名解析服务。

四、测试 
就用一台客户端PC测试，我用的是深度ghost XP3 v8.1系统，安装好系统后，加入域，然后用不同的用户去测试所用到的AD是从那里分配出来的。 
1、PDB和BDC都正常运行，打开XP3，用administrator管理员登陆到AD，使用set命令查找归属。如下图，看到的logonserver=\\\\PDC，说明在正常运行的情况下，一切客户端获得AD的路径是PDC，如图5.1； 
<ignore_js_op>

2、现在关掉PDC，仅保留BDC在工作，把客户端重启，用另一用户huanghualong登陆到AD，进入DOS后再用set命令检测，如下图，大家看到了没有，logonserver=\\\\BDC了，说明当PDC挂掉后，客户端将会从BDC获取AD的分配，如图5.2； 
<ignore_js_op>

最后：实验到此就结束了，不过回过头来看看实验的目的，主要是在企业安装一个主域，然后再安装一辅助域，当主域挂掉后，辅助域就可以接管主域的管理任务，从而达到企业正常工作的效果！ 
补充几点： 
1、这个实验大家可以再加一个DHCP服务，得看大家的习惯，自动让客户分配IP好还是固定分配比较好自己掌握，不过加入DHCP服务后，人性化会得到提升，操作也非常方便，但在一个大的企业，网卡会偶尔出现自动获取不了IP的情况，多出现了，管理员也就有得忙了，但固定IP出现这情况就比较少了； 
2、主域挂掉后，辅助域切记要把IP改成主域的IP，这样下面的小弟才不会混乱，以至找不到主子； 
3、主域挂掉后，当你有时间后，要记住在辅助域把主域的FSMO权限抢过来，怎么个抢法这里文章就不讨论了，以后我会再写； 
4、主域挂掉，又被你弄活后，你就可以照葫芦画圈，把主域配置成辅助域，轮流使用； 
5、这是一个办法，但一般企业都会把主域的AD和DNS备份起来，以备不时之需。

以上有不妥之处，希望大家都发表一下意见，让我们继续学习下去！