实战子域部署<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
       域树是Active Directory针对NT4的传统域模型所进行的重要改进。在NT4时代的域模型中,每个域都要使用没有层次结构的NETBIOS名称,而且域和域之间缺少关联,只能创建不能传递的域信任关系。这会在企业管理方面造成诸多不利因素,首先域和域之间很难根据域名判断彼此间的隶属关系,例如beijing域和shanghai域;其次由于域之间的信任关系不可传递,在域数量较多时光是创建域之间的完全信任就要耗费大量时间。假定有10个域,那我们在10个域之间要建立45次信任关系才能让这些域相互之间都完全信任。
         域树针对以上问题进行了很好的解决,域树的父域和子域之间由于使用了层次分明的DNS域名,只要根据域名我们就可以判断出两个域的隶属关系,例如有两个域abc.com和test.abc.com,我们可以很轻易地判断出后者是前者的子域。域树在信任关系上也有很好的改进,域树内的各个域之间会自动建立起双向可传递的信任关系,显然这是一个效率上的重大改进。
         既然域树如此重要,那我们将通过一个实例为大家介绍如何部署一个包括父域和子域的两层域树。拓扑如下图所示,父域为itet.com,域控制器和DNS都是Florence。子域是shanghai.itet.com,域控制器和DNS都是Firenze。父域已经创建完毕,我们将为大家介绍如何部署子域。如果父域和子域都使用同一个DNS服务器,部署起来会更容易。但我们考虑到有可能子域希望能拥有独立的域名解析权,这样很多工作会更容易开展,因此我们决定在子域也设置一个独立的DNS服务器。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
一  DNS委派
         首先我们要考虑DNS的委派问题。目前,itet.com的解析权归Florence,也就是说Florence可以解析所有以itet.com结尾的域名。如果我们希望Firenze能够解析shanghai.itet.com,那么我们必须在Florence上对Firenze进行委派,授权Firenze可以解析shanghai.itet.com。我们在Florence上打开DNS管理器,如下图所示,右键点击itet.com,选择“新建委派”。
        
如下图所示,我们准备对shanghai.itet.com区域进行委派。

接下来要设置委派对象,如下图所示,点击“添加”按钮来设置被委派的DNS服务器。

如下图所示,我们输入被委派DNS服务器的完全合格域名:firenze.shanghai.itet.com,同时输入这个完全合格域名对应的IP地址,点击“添加”按钮就可以结束委派了。

二  创建DNS区域
         Florence对Fienze进行了解析委派之后,Firenze就可以解析以shanghai.itet.com结尾的域名了。接下来我们可以在Firenze上创建一个DNS区域:shanghai.itet.com,如下图所示,在Firenze上打开DNS管理器,选择“新建区域”。

区域类型为主要区域。

区域名称和Firenze获得委派解析的域名一致,是shanghai.itet.com。

由于Firenze要为子域提供DNS解析服务,因此这个区域一定要允许动态更新,我们知道,在创建子域的AD时需要在DNS区域中主动注册A记录,Cname记录和SRV记录。

如下图所示,创建完区域后,我们发现DNS区域中的NS记录和SOA记录都有问题。问题在于这些记录都不是用完全合格域名描述的,我们需要对这些记录进行修改。

首先我们修改NS记录,我们用firenze.shanghai.itet.com来描述NS记录,同时用IP地址192.168.11.102对这个记录进行解析。

修改完NS记录后,我们再来修改SOA记录,如下图所示,我们在SOA记录中也用firenze.shanghai.itet.com来描述主服务器。NS和SOA记录描述完后,DNS方面的准备工作就算是完成了。

三  部署子域
         DNS的准备工作就绪后,接下来我们就可以在Firenze上进行子域的部署了。我们在Firenze上运行Dcpromo,如下图所示,准备开始Active Directory的部署。

我们选择部署一个新域的域控制器。

接下来在域的类型中选择部署一个现有域树中的子域。
部署子域,需要得到域林管理员的授权。tet.com是域林内的第一个域,因此itet.com的域管理员拥有整个域树的管理权限。如下图所示,我们用itet.com的域管理员完成身份验证。
父域是itet.com,子域的名称设置为shanghai.itet.com。

子域的NETBIOS名称为shanghai。

由于是在测试环境下,因此Active Directory数据库和日志的存储路径我们使用默认路径就可以了。

Sysvol文件夹的路径也可以使用默认值。

注意,下图中的DNS诊断结果已经显示出了Firenze已经为子域做好了解析准备,这说明我们之前进行的DNS准备工作是行之有效的。

摘要中显示了我们准备部署一个子域,如果摘要中的结论正确,点击下一步就可以开始子域的部署了。

经过了一段时间的部署后,子域被创建出来,如下图所示,点击“完成”就可以结束子域的部署了。

创建完子域后,我们在Florence上打开Active Directory域和信任关系,如下图所示,我们可以很清楚地看到父域和子域之间的层次关系。

利用Active Directory域和信任关系这个管理工具,在itet.com域的属性中查看域信任关系,我们看到itet.com和shanghai.itet.com之间已经自动创建出了双向可传递的信任关系。

至此,我们完成了一棵两层域树的搭建。对一般规模的企业来说,域树已经足以支持企业的管理规模了,只有对特大型企业,才有可能会使用到多棵域树。在后续的内容中我们会介绍如何在域林中加入第二棵域树。

实战域树部署,Active Directory系列之十九相关推荐

  1. 为什么我们需要域?MS Active Directory系列之一

    对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象.域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active D ...

  2. 域控制器的强制卸载,Active Directory系列之十四

    域控制器的强制卸载 上篇博文中我们介绍了如何对域控制器进行常规卸载,本文中我们将介绍如何对域控制器进行强制卸载.为什么需要对域控制器进行强制卸载呢?如果域控制器不能和复制伙伴正常通讯,而且更正无望,那 ...

  3. 创建Win2003域和Win2008域之间的信任关系,Active Directory系列之十八

    创建Win2003域和Win2008域之间的信任关系 我们在上一篇文章中创建了域信任关系,这个信任关系发生在两个Win2003域之间,而且两个域使用了同一个DNS服务器.今天我们更换一个实验场景,拓扑 ...

  4. 理解域信任关系,Active Directory系列之十六

    <?xml:namespace prefix = o />  理解域信任关系      在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域 ...

  5. 实战操作主机角色转移,Active Directory系列之十

    实战操作主机角色转移 上篇博文中我们介绍了操作主机在Active Directory中的用途,今天我们通过一个实例为大家介绍如何实现操作主机角色的转移,这样如果Active Directory中操作主 ...

  6. Active Directory系列之二:部署第一个域

    部署第一个域 在上篇博文中我们介绍了部署域的意义,今天我们来部署第一个域.一般情况下,域中有三种计算机,一种是域控制器,域控制器上存储着Active Directory:一种是成员服务器,负责提供邮件 ...

  7. 为什么我们需要域?Active Directory系列之一

    为什么需要域? 对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象.域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通 ...

  8. Active Directory的复制拓扑,Active Directory系列之八

    Active Directory的复制拓扑    在前面的博文中我们在域中部署了额外域控制器,而且我们已经知道每个域控制器都有一个内容相同的Active Directory数据库,今天我们要讨论一下额 ...

  9. Active Directory系列之五:Active Directory的主要还原

    Active Directory的授权还原 在上篇博文中我们介绍了如何在域中部署额外域控制器,额外域控制器有很多好处,例如可以平衡用户对AD的访问压力,有利于避免唯一的域控制器损坏所导致域的崩溃.从上 ...

最新文章

  1. 《Python编程初学者指南》——1.6 回到Game Over程序
  2. Java15-day06【Set、HashSet、LinkedHashSet、TreeSet、Comparable、Comparator、泛型类、可变参数的使用】
  3. 部署LAMP论坛平台(Linux,Apache,MySQL,PHP)
  4. Android单元测试研究与实践
  5. iphone屏幕突然变暗_iPhone 玩游戏时屏幕突然变暗,来看看是什么原因?
  6. 如何设置ListView控件中的列头的颜色!
  7. Ponemon:优化SIEM时所面临的挑战
  8. Javascript详解
  9. 视频教程-java项目实战之欢乐斗地主游戏开发教程 毕业项目课程设计带源码-Java
  10. 推荐一个在Windows下可以查看文件夹大小的工具TreeSize Free
  11. html 上下左右箭头按钮,css 上下左右箭头
  12. 电脑桌面右下方点击失灵,其他桌面区域正常
  13. AI遮天传 ML-无监督学习
  14. “微信之父”张小龙:我没去过龙泉寺!
  15. javaCV开发详解之8:转封装在rtsp转rtmp流中的应用(无须转码,更低的资源消耗)
  16. 简单的网页制作期末作业——HTML+CSS+JavaScript小礼品购物商城网站
  17. 一些IT专业英文缩写(老说这些 是显着自己不low)
  18. BZOJ 1412: [ZJOI2009]狼和羊的故事
  19. 微软暑期实习Explore Program面经(已Offer)
  20. 易语言单窗口单ip教程_基于redhat6.5操作系统安装部署oracle单实例教程整理

热门文章

  1. typedef的四个用途和两大陷阱
  2. 以金山界面库(openkui)为例思考和分析界面库的设计和实现——代码结构(完)
  3. 【FFmpeg】AVPacket的使用详解
  4. mesh threejs 属性_Threejs构建mesh
  5. opengl正方形绕点旋转_一题十五种解法够不够? 旋转,构造,四点共圆乐不停...
  6. Java成员变量与类变量_Java基础随记2-成员变量和类变量的区别
  7. 施工管理在计算机上的应用论文,【计算机专业毕业论文】关于计算机应用技术在工程项目管理中的应用...
  8. c语言程序设计歌手大奖赛,C语言二维数组怎么做:设计青年歌手参加歌曲大奖赛计分系统: 共...,怎样用c语言程序设计? 青年歌手参加歌曲大奖赛,有10个评委...
  9. chrome 浏览器打开静态html 获取json文件失败 解决方法
  10. iOS 依次执行 异步网络请求的一种实现