域控制器安装与配置全解析

### 域控制器安装与配置全解析 #### 1. 域与森林的概念 在企业网络环境中，存在着域和森林的概念。例如，有一个根域 Company.com，它还有两个子域 Production.Company.com 和 Service.Company.com 。森林作为顶级容器对象，包含一个或多个域或域树，可看作是活动目录的边界。在森林里，对象存储在名为全局编录的分布式数据存储库中。森林中的两个域可能存在双向可传递信任关系，即当一个域信任另一个域时，信任域允许被信任域的管理员更改其对象。比如两家公司合并后，会创建一个新森林来包含这两个域，并在它们之间建立双向信任关系。 #### 2. 认证与授权 借助活动目录，企业可将所有用户信息存储在域控制器上进行集中管理。用户登录公司计算机时，需提交用户名和密码进行认证。若未实施 AD DS，就需在用户可登录的每台计算机上创建账户，这十分繁琐。而实施 AD DS 后，用户的用户名和密码会发送到域控制器，目录服务能验证其信息，通过后，即便用户在该计算机上无本地账户，域控制器也会通知计算机允许其登录。对于 VMware vCloud Suite 构建的企业级计算环境，AD DS 对实现和管理私有云的认证服务至关重要。 在公司中，不同工作任务的用户对计算资源的访问权限应不同。授权就是对已认证用户授予或拒绝特定权限的过程，可通过 AD DS 实现，相关权限信息会存储在 AD DS 中。 #### 3. 基于云的 IT 基础设施中的目录服务 要支持 VMware vCloud Suite，需要一个能为本地和云应用提供认证服务的目录服务。有了该服务，用户可通过互联网远程访问云服务。登录云门户前，用户必须经目录服务认证，云订阅者访问云服务也需先认证和授权，以获取访问特定计算资源的权限。 对于托管 VMware vCloud Suite 的 IT 基础设施管理，目录服务同样必要。ESXi 服务器、vCenter 服务器、vCNS 服务器、vCloud Director 服务器及 ESXi 托管的虚拟机的认证信息会存储在目录服务中，这些服务器和虚拟机的用户也由其管理。域控制器还能提供名称解析服务、时间同步服务，支持基于网络的软件安装。此外，目录服务还存储支持云服务的应用相关信息，如应用配置信息、网络配置信息等。 #### 4. 域控制器的实现 要实现域控制器，需在物理机或虚拟机上安装 Windows Server 2012 R2 或更高版本的操作系统。安装操作系统后，可安装并配置 AD DS 角色以提供目录服务。在虚拟机上实现域控制器有诸多优势，如无需安装物理服务器及连接网络，且其工作负载相对较轻，性能可接受。同时，作为虚拟机，可通过快照轻松备份，崩溃时能加快数据恢复。不过，在生产环境中，若工作负载重，可在计算资源更多的物理机上实现。并且，虚拟机应配置固定 IP 地址，方便客户端计算机找到该服务器。 #### 4.1 AD DS 安装 安装 Windows Server 操作系统后，可将计算机名改为 DC，以便识别为域控制器。安装 AD DS 时，在“添加角色和功能向导”中选择“Active Directory 域服务”。安装 AD DS 角色到虚拟机后，需将其提升为域控制器，可通过“Active Directory 域服务配置向导”完成。使用该向导，可创建默认森林对象来托管新域，或把新域附加到现有域，还能指定域名和存储 AD DS 文件的位置。提升过程完成后，AD DS 相关服务会添加到“工具”菜单中。 #### 4.2 动态主机配置协议（DHCP） 除活动目录服务外，DHCP 服务也很重要，它能自动为云计算环境中创建的虚拟机分配 IP 地址。在域控制器上实现 DHCP 服务，首先要在“添加角色和功能向导”中安装 DHCP 角色。安装后，可在“服务器管理器”页面的“工具”菜单中看到 DHCP 服务。DHCP 可配置为为虚拟机分配 IP 地址池，例如可分配 10.0.0.100 到 10.0.0.200 的 IP 地址范围。 #### 4.3 域名服务（DNS） 域控制器提供名称解析服务很有必要。网络中每台计算机都需 IP 地址才能通信，但用户难以记住所有 IP 地址，更倾向有意义的名称。Windows Server 2012 的 DNS 可将有意义的计算机名解析为 IP 地址，反之亦然。对于云计算，名称服务不可或缺，云提供商需为订阅者提供有意义的名称以访问云登录门户，DNS 可帮助用户远程访问支持 VMware vCloud Suite 的 IT 基础设施。 安装 DNS 可在“添加角色和功能向导”中进行，安装后，“工具”菜单会出现该服务。打开 DNS 管理器，可看到名称和 IP 地址对。常见的 DNS 记录类型如下表： | 类型 | 用途 | | ---- | ---- | | A | 用于将主机名解析为 IPv4 IP 地址 | | AAAA | 用于将主机名解析为 IPv6 IP 地址 | | CNAME | 用于为主机名分配别名 | | MX | 用于将 IP 地址绑定到指定邮件服务器 | | NS | 用于将 IP 地址绑定到指定 DNS 服务器 | | PTR | 指针类型记录，用于将 IP 地址解析为主机名 | | SOA | 起始授权类型记录，包含该 DNS 服务器负责的域的配置信息 | | SRV | 服务类型记录，用于存储域控制器的位置 | 计算机名称应遵循活动目录的命名约定，完全限定域名（FQDN）由计算机名和域名两部分组成，如 dc.mylab.myuniversity.edu ，其中 dc 是计算机名，mylab.myuniversity.edu 是为活动目录设置的域名