Active Directory域

引言

在 Microsoft® Windows® 2000 Server 操作系统的诸多增强功能中，Microsoft Active Directory™ 功能的引入意义最为重大，但也最常引起困惑。与其前辈（Microsoft Windows NT® 操作系统早期版本中的域控制器）相比，Windows 2000 Server 中的 Active Directory 提供了一个全新的体系结构和丰富得多的功能。

尽管本文并不打算讨论 Active Directory 的所有功能，但其中确实概述了这项技术，重点在于讨论两个新概念：域控制器的全新体系结构模型以及与 DNS 的新的集成关系。这些功能对了解如何构建 DuwamishOnline.com 这样的 Web 群非常有帮助。此外，我们将讨论用 Active Directory 逐步设置 Web 群的过程。

本文假定读者已基本了解 Windows NT 早期版本中的网络概念。

Active Directory 概述

就像电话簿提供个人和机构电话信息服务一样，Active Directory 提供了这样一种目录服务，它可存储和方便地访问所有联网资源（如计算机、打印机、用户、共享文件夹、消息队列等）的有关信息。

Active Directory 在网络环境中起着接线总机的作用。它帮助用户和应用程序查找并访问这些联网的资源，使它们相互连接起来。更为重要的是，它能确保只有获得授权的用户或应用程序才能安全地访问这些资源。

像 Duwamish Online 中的服务器群一样，在服务器群中，部署 Active Directory 服务器是为了向用户和应用程序提供集中、安全地访问网络上所有服务器的途径。而且，它可提供消息队列 (MSMQ) 使用的目录服务，以便管理启用异步操作的消息队列。（有关消息队列服务的详细信息，请参见 MSMQ 上的文章。）

有关 Active Directory 的详细信息，请参见 Active Directory Overview，位于 http://www.microsoft.com/windows2000/guide/server/features/dirlist.asp 。

接下来，我们将集中讨论 Active Directory 中首次引入的两个新概念。

域控制器的全新体系结构模型

安装了 Active Directory 组件以提供这种目录服务的计算机称为域控制器。如果将 Active Directory 安装到运行 Windows 2000 Server 的计算机上，则会将服务器转换或提升为特定域的域控制器。

使用 Active Directory 时，所有 Windows 2000 Server 域控制器都是对等关系，支持多主复制，在所有域控制器之间复制 Active Directory 信息。

这是一个重要的体系结构设计上的变化，改变了 Windows NT 早先版本中主域控制器 (PDC) 和备份域控制器 (BDC) 之间的主/从关系。

与 Windows NT 早先版本中的区别是，老版本中只有 PDC 保留可读/写的目录信息主副本，而将目录信息的只读副本复制到 BDC 中；Active Directory 则在各个域控制器之间使用多主复制，因此管理员现在可以从任何域控制器进行更改。如果域控制器（特别是 PDC）失败，这会为系统提供更大的可靠性。

与 DNS 集成

Active Directory 中另一个重要的体系结构设计上的变化是它与域名系统 (DNS) 的紧密集成。在 Windows 2000 中，网络基本输入/输出系统 (NetBIOS) 名称不再是识别网络计算机或打印机首要的名称解析方法。而是使用完全合格的域名称 (FQDN)（如“server1.microsoft.com”）来识别。

这就意味着 Active Directory 域现在与 DNS 域共享同样的命名结构（或名称空间）。例如，在老版本的 Windows NT 中，引用同一台计算机时，在 Windows 网络域的 NetBIOS 下可能是“SERVER1”，而在 DNS 域下可能是“server1.microsoft.com”。在 Windows 2000 中，该计算机在 Active Directory 域和 DNS 域中的引用名称都是“server1.microsoft.com”。

然而，区分 Active Directory 与 DNS 之间的差异是非常重要的。虽然它们在一起配合得非常紧密，但各自存储的数据和管理的对象都不同。

DNS 是一种传输控制协议/Internet 协议 (TCP/IP) 名称解析服务，它存储资源记录，主要是为了将域名转换为相应的 IP 地址。尽管 DNS 可以离开 Active Directory 而独立工作，但其数据可集成并存储到 Active Directory 中，在这里 DNS 信息被自动复制到其它域控制器中，这样就增强了 DNS 服务的可靠性和安全性。

另一方面，Active Directory 是一个目录服务，它可以存储域对象名称请求，并将其解析成对象记录数据（例如答复对计算机网络配置信息的请求时）。要找到 Active Directory 服务器，首先由 Active Directory 客户查询为它指定的 DNS 服务器，找到此 Active Directory 服务器的 IP 地址。根据设计，Active Directory 需要 DNS 才能工作。实际上，在安装过程中，如果网络上找不到 DNS 服务器，那么设置 Active Directory 域控制器时通常需要同时安装一个 DNS 服务器。

有关 DNS 名称空间如何构建以及 DNS 与 Active Directory 如何关联的详细信息，请参见文章 Setting Up a Domain Name System。

设置 Active Directory 域控制器

正如在网络和系统配置文章中所述，我们已设置了两个服务器作为内部域“intdomain.com”的 Active Directory 域控制器。我们用一台专用计算机来设置第一个域控制器，并在管理服务器上设置另外一个域控制器作冗余。

由于域控制器必须要能通过 Web 服务器和订单处理服务器（用于建立消息队列）以及两个设成群集的数据库服务器进行访问，因此它们必须连接到后端网络、管理网络，或者同时连接这两个网络。

在下面的部分，我们将介绍如何逐步设置这些 Active Directory 域控制器，以及为该域设置 Active Directory 客户端的步骤。

安装第一个域控制器

按照以下步骤创建一个新的域，并在某个服务器上安装 Active Directory 服务，使该服务器成为该域的第一个域控制器：

1. 在开始菜单中，单击运行。键入 dcpromo，然后单击确定。这将启动 Active Directory 安装向导。
2. 出现欢迎屏幕以后，系统将要求您为该服务器指定“域控制器类型”。保持默认选项，将该服务器设置为新域的域控制器。
3. 接着，将要求您创建一个新的域目录树或在现有域目录树中新建一个子域。在本例中，为内部域创建一个新域目录树。
4. 接下来，系统将要求您创建一个新的目录林或加入现有的一个目录林。因为这是第一个域，没有现有的目录林，所以保持默认的选项创建新的域目录林。
5. 如前所述，Windows 2000 中的 Active Directory 现在用完全合格的域名称 (FQDN) 作为其主命名规则。当要求输入新的域名称时，键入内部域的 FQDN（在本例中我们使用“intdomain.com”）。
6. Active Directory 向后兼容老版本的 Windows NT，后者使用 NetBIOS 名称作为其命名规则。为了保持一致，我们选择使用与 NetBIOS 名称相同的域名称。在本例中，接受默认的“INTDOMAIN”作为 NetBIOS 域名称。
7. 在后面的两个对话框中，系统将要求您指定 Active Directory 数据库和活动日志的位置，以及共享系统卷。要获得更好的性能和可恢复性，建议将数据库和日志分别存储在不同的硬盘上。为简化此过程，我们选择接受所有的默认位置。
8. 此时，安装向导将尝试为新域联系一个 DNS 服务器。如果已经存在使用该域的 DNS 服务器，并且能够在网上找到，则该向导将移至下一步；如果不存在，则向导将询问您是要在同一台计算机上安装和配置一个 DNS 服务器（作为 Active Directory 安装过程的一部分），还是希望以后再安装 DNS 服务器。建议保持默认选项作为第一选择，除非您确实想自己设置所有的 DNS 资源记录。
9. 安装向导接下来显示的对话框都与安全问题有关。如果该域中的所有计算机都在运行 Windows 2000（在 Duwamish Online 中就是这样），则选择只与 Windows 2000 服务器相兼容的权限选项。随后指定“管理员”密码。
10. 最后，将显示一个摘要屏幕，确认您的选择。如果信息正确，则单击下一步进行确认。
11. 当配置过程完成后，重新启动服务器。

安装另一个域控制器

再安装一个 Active Directory 域控制器比安装第一个域控制器要简单得多。在开始此过程之前，要确保此新增服务器有权访问同一网络段，这样它才可以与第一个服务器进行通讯。此外，需要指定一个 DNS 服务器的 IP 地址（根据前面的建议，这应该是第一个域控制器），反过来，查找充当域控制器的计算机时也要使用这个地址。

若要指定 DNS 服务器

1. 右键单击网上邻居并选择属性。
2. 在网络和拨号连接对话框中，右键单击局域网连接图标并选择属性。

   注意 如果您的计算机上有多个网络适配卡连接不同的网段（就像 Duwamish Online 网络配置），而且您不能确定哪个网卡连接到内部网络，则可以用直接断开实际连接到内部网络的电缆的办法来辨别网卡。其结果表现为，被断开地连接的图标将显示为禁用状态。在恢复网络电缆之前，相应地重新命名此连接。

3. 选择 Internet 协议 (TCP/IP)，然后单击属性。
4. 在 Internet 协议 (TCP/IP) 属性对话框中，选择使用下面的 DNS 服务器地址选项。
5. 在首选 DNS 服务器字段中输入 IP 地址。（如果已经在第一个 Active Directory 服务器的安装过程中设置了 DNS 服务器，则输入该服务器的 IP 地址。请参见前面的“安装第一个域控制器”的第 8 步。）
6. 单击确定，确认此更改。

指定 DNS 后，现在就可以安装另一个域控制器。

若要再安装一个域控制器

1. 在开始菜单中，单击运行。键入 dcpromo，然后单击确定。这将启动 Active Directory 安装向导。
2. 出现欢迎屏幕以后，系统将要求您为该服务器指定“域控制器类型”。选择设置一个现有域的额外域控制器。
3. 接着，系统将要求您输入一个用户名、密码和域名称（本例中为“intdomain”）。
4. 当系统要求时，输入某个域的完全合格的域名称，该计算机将变成该域的额外域控制器。（本例中输入“intdomain.com”。）
5. 与安装第一个 Active Directory 服务器时类似，系统将要求您指定数据库和日志的位置，以及共享系统卷。为简化此过程，我们选择接受默认位置。
6. 指定“管理员”密码后，系统将要求您检查并确认摘要屏幕上的信息。单击下一步，开始安装。
7. 当安装完成后，重新启动服务器。

设置 Active Directory 客户

在安装 Windows 2000 时，系统会要求您加入现有的域或工作组。如果在安装时还没有域控制器，则可以在以后加入此域。

在开始此过程之前，要确保该计算机有权访问同一网段，这样它才可以与此域进行通讯。因为在设置另一个域控制器时，需要指定 DNS 服务器的 IP 地址。

以下步骤描述如何在 Windows 2000 中将一台计算机加入新域。

1. 右键单击我的电脑并选择属性。
2. 从系统属性对话框中，单击网络标识选项卡，然后选择属性。
3. 从标识更改对话框中，单击域选项按钮（如果还没有选中的话）。键入域的完整名称（本例中为“intdomain.com”）。
4. 单击确定，确认此更改。系统将要求您输入域用户名和密码。
5. 要使更改生效，需重新启动服务器。

小结

在 DuwamishOnline.com Web 群中使用 Active Directory 的主要原因是，它支持增强的消息队列 (MSMQ) 功能 - 允许使用公共消息队列。有关 MSMQ 和 Duwamish Online 网络体系结构的详细信息，请参见我们的文章 Message Queuing Configuration。该配置中 Active Directory 的另一个优点是，它简化了我们的数据库群集所要求的 DNS 配置（请参见 Building a Highly Available Database Cluster）。