Para problemas relacionados con el dominio de Windows, ingrese para obtener más detalles

1. Comprender los dominios de Windows

Esta sección se centra en explicar teóricamente el concepto, función y surgimiento de los dominios en Windows.

Un ordenador con Windows que pertenece a un grupo de trabajo o a un dominio. Entonces, cuando se trata de dominios, debemos mencionar el grupo de trabajo. El grupo de trabajo es el concepto de MS, y el nombre general es red de igual a igual. Un grupo de trabajo suele ser una colección lógica de más de 10 computadoras. Si desea administrar muchas computadoras, MS recomienda utilizar el modo de dominio para una administración centralizada. Puede utilizar varias funciones como dominios, directorio activo, política de grupo, etc. para minimizar su trabajo de administración de red. Por supuesto, las 10 unidades aquí son solo un valor de referencia, 11 unidades o incluso 20 unidades. Si desea una administración centralizada, aún puede usar el modo de grupo de trabajo. La característica del grupo de trabajo es que es sencillo de implementar. Requiere un controlador de dominio DC y cada computadora se autogestiona. Es adecuado para un número limitado de computadoras que están muy cerca unas de otras. Además, el nombre del grupo de trabajo no tiene mucho significado práctico. Es solo una agrupación en la tabla Entorno de red. Y para el "Servicio de exploración de computadoras", en cada grupo de trabajo, se seleccionará automáticamente un navegador maestro como responsable. Mantenga una tabla de nombres NetBIOS para todas las computadoras de este grupo de trabajo. Los usuarios pueden usar el grupo de trabajo predeterminado o nombrarlo arbitrariamente. No hay diferencia al acceder al mismo grupo de trabajo o a diferentes grupos de trabajo. Dominio (Dominio) es una colección de computadoras y usuarios que utilizan la "Base de datos del servicio de directorio". Es más complicado de implementar. Es necesario instalar al menos una computadora con la versión del servidor NT/2000/03 para que actúe como DC. ¿Lograr centralizar el tubo?. ?Teniendo en cuenta la tolerancia a fallos, se necesitan al menos dos. Para el dominio NT4, hay un PDC (único) y uno o más BDC. Para el dominio 2000/03, no existe el concepto de PDC y BDC. Para tolerar fallas, se necesitan dos o más DC. Los dominios son agrupaciones lógicas que no tienen nada que ver con los aspectos físicos de la red. Pueden ser pequeños, como un solo DC, o pueden ser grandes, incluyendo computadoras en todo el mundo, como dominios en las redes de grandes multinacionales; empresas (por supuesto, en la práctica utilizan principalmente una estructura multidominio, también puede utilizar sitios de AD para optimizar la replicación de AD). Esta "base de datos de servicio de directorio", en NT4, guarda nombres de cuentas de usuario y contraseñas y otra información de seguridad, así como configuraciones de reglas de seguridad, también se denomina base de datos de administración de cuentas de seguridad (SAM), o biblioteca SAM para abreviar. La biblioteca SAM local en el dominio que no es DC es similar a la biblioteca SAM utilizada por el dominio en el DC, excepto que el archivo de la biblioteca SAM del dominio NT4 guarda los usuarios y computadoras de todo el dominio. Utilice el "Administrador de usuarios de dominio". y "Servidor". El archivo de la biblioteca SAM local contiene los usuarios de la máquina local y es administrado por el "Administrador de usuarios".

A partir del año 2000, MS introdujo Active Directory AD. DC proporciona servicios de directorio a través de AD. Por ejemplo, es responsable de mantener la base de datos de AD, auditar si la cuenta y la contraseña del usuario son correctas y replicar el AD. base de datos a otros El DC et al. El archivo principal de la biblioteca AD es el archivo winnt\ntds\ntds.dit. Tenga en cuenta que los valores de configuración específicos de la política de grupo no se almacenan en este archivo, sino que se guardan en la carpeta compartida winnt\sysvol\sysvol, que se utiliza para copiar a otros DC y propagar a los miembros del dominio para que surtan efecto. Sin embargo, cabe señalar que las computadoras que no pertenecen al dominio DC en 2000/XP/03 todavía usan el mismo archivo de biblioteca SAM que NT4 para guardar cuentas locales. Precisamente porque todas las computadoras miembros del dominio y los usuarios del dominio usan la "base de datos del servicio de directorio" de este dominio, los administradores del dominio pueden administrar y compartir recursos de manera centralizada según la "base de datos del servicio de directorio" del dominio, como usuarios, grupos, cuentas de computadora y configuraciones de permisos. , configuración de políticas de grupo, etc. Los servicios de directorio brindan a los administradores la capacidad de ver y administrar usuarios y recursos de red desde cualquier computadora de la red.

El servicio de directorio también proporciona a los usuarios nombres de usuario y contraseñas únicos. Los usuarios solo necesitan iniciar sesión una vez para acceder a todos los recursos en este dominio u otros dominios con relaciones de confianza (por supuesto, el usuario debe tener permisos), pero deben proporcionarlos varias veces. Inicie sesión con nombre de usuario

y contraseña.

2. Cree un dominio de Windows 2000

Este proceso es simple: seleccione una computadora 2000S/AS, ejecute el asistente de instalación de AD, instale Active Directory en ella y conviértala en DC. . Luego agregue otras computadoras a este dominio.

Nota: En cuanto a si utilizar 2000S o 2000AS, existe una gran diferencia para los usuarios normales. 2000S admite hasta 4

CPU y una memoria máxima de 4G; 2000AS admite un máximo de 8 CPU, una memoria máxima de 8G y también admite funciones de clúster. Pero estos son utilizados por usuarios normales, por lo que para los usuarios normales, elegir S o AS es lo mismo.

1. Requisitos del sistema

*Un servidor independiente o miembro 2000S o 2000AS solo tiene la versión OEM, que normalmente se vende con el hardware del fabricante.

* Debe haber una partición NTFS 5.0 para guardar la carpeta sysvol del AD. Nota: La partición NTFS de 2000 es NTFS 5.0 y la de NT4 es NTFS 4.0. NT4 debe instalar SP4 antes de poder acceder a la partición NTFS de 2000.

* Debe haber un servidor DNS disponible en la red y debe admitir registros SRV (Service Locaion Resource Record) y nuevas funciones dinámicas. Por ejemplo: MS Win2000S DNS, UNIX DNS BIND 8.12 y superiores, es posible utilizar el DNS NT4 existente.

Nota:

Construir un dominio NT4 no requiere soporte DNS, pero el dominio 2000 debe tener DNS y cumplir con los requisitos anteriores. La función del registro SRV es indicar quiénes son el DC, la emulación de PDC y el GC del dominio y sitio. La actualización dinámica también es una nueva característica de 2000DNS. Los administradores ya no tienen que crear o modificar manualmente los registros correspondientes para computadoras como NT4 DNS, y dependen de la periodicidad cuando las computadoras miembros del dominio se reinician o cambian nombres o IP. ?Nueva implementación dinámica automática.

Si no hay un servidor DNS, DNS debe estar preinstalado. Puede optar por instalar 2000 DNS en esta máquina durante el proceso de instalación de AD. También se recomienda que los principiantes utilicen este método, porque el sistema creará automáticamente una zona DNS basada en el nombre de dominio FQDN que usted proporcione y la configurará como una zona integrada de AD, con solo actualizaciones dinámicas seguras. Si se requiere conexión saliente o resolución

inversa, el usuario solo necesita configurar el reenviador y la zona inversa. Si es necesario, se puede usar directamente. Si decide instalar DNS en su máquina local durante la instalación de AD, debe apuntar la configuración TCP/IP/servidor DNS local a usted mismo antes de la instalación, de modo que cuando reinicie después de instalar AD, el registro SRV se registrará automáticamente en el DNS. server.

En el área se generan cuatro carpetas que comienzan con un guión bajo, como _msdcs, 03DNS. La jerarquía de esta carpeta ha cambiado, pero la esencia no ha cambiado. Por supuesto, si olvidas señalarlo, también podrás recuperarlo más tarde, pero necesitarás reiniciarlo una vez más.

2. Pasos de instalación, precauciones, preguntas frecuentes, experiencia y consejos

(1) Inicie el asistente de instalación de AD

Método 1: ¿Inicio/Programas/Administración? Herramientas/Servidor de configuración/Directorio activo/Iniciar asistente de instalación de AD.

Método 2: Generalmente se usa después de dominar, ¿iniciar/ejecutar?: dcpromo.

(2) Opciones de instalación: Especificar rol del servidor

Tres interfaces para lograr cuatro combinaciones:

Nuevo dominio

DC adicional

Nuevo árbol

Subdominio

¿Nuevo?

¿Unido?

Es decir:

* Nuevo dominio: nuevo árbol: ¿nuevo?

* Adjuntar DC

* Nuevo dominio: subdominio

* Nuevo dominio: nuevo árbol: ¿unirse? >

Nueva instalación: nuevo dominio - nuevo árbol - nuevo, para crear el primer DC en el primer dominio.

El modelo multidominio de 2000 adopta una estructura jerárquica, que es diferente de la estructura plana del dominio NT4. Los múltiples dominios de NT4 solo están relacionados a través de relaciones de confianza. La siguiente figura es una breve descripción del dominio, árbol y progreso de 2000:

ms.com

/ \

training.mcse. .com

Este es un dominio completo, ms.com es el dominio raíz, hay dos árboles, uno consta de ms.com y su subdominio Training.ms.com, el otro consta de lotus.com. consta de tres dominios: ms.com, Training.ms.com y lotus.com. Relevante

La descripción general es la siguiente: Dominio raíz: el primer dominio creado en el dominio, como: ms.com

Árbol: ***Utilice múltiples espacios de nombres consecutivos Dominios de capa, como ms.com y Training.ms.com

Dominio raíz del árbol: el dominio en el nivel más alto del árbol, con el nombre más corto. Por ejemplo: ms.com

Explicación:

2000 puede adoptar una estructura de dominio de múltiples capas, pero el método de administración más efectivo y simple sigue siendo un dominio único, por lo que en el trabajo real Hay un principio para recordar en "Si se puede resolver con un solo dominio, utilice varios dominios". Además, 2000AD está diseñado para redes grandes y medianas, y las redes que generalmente administramos solo tienen unos pocos cientos de nodos, que son redes pequeñas. En términos generales, una estructura de dominio única es suficiente y no necesitamos administrarla manualmente. entorno complejo. En los experimentos, incluso podemos tener solo un árbol en un árbol, solo un dominio en un árbol y solo un DC en un dominio.

Además, como se mencionó anteriormente, los dominios son agrupaciones lógicas y no tienen nada que ver con los aspectos físicos de la red. Siempre debes intentar planificar una subred

un dominio. Por supuesto, en realidad, hay varias subredes en un dominio. Hay computadoras 95/98/NT en la subred y no puede iniciar sesión en el dominio directamente usando DNS. Puede instalar un servidor WINS para resolver el problema. Simplemente apunte los servidores WINS en la configuración de todas las computadoras, incluido el propio servidor WINS, a este servidor WINS.

(3) Opción de instalación: Nombre completo DNS del nuevo dominio

Instrucciones:

Aquí debes ingresar el nombre de dominio completamente válido FQDN del nuevo dominio , en el formato :mcse.com. El sistema utilizará mcse como nombre NetBIOS de este dominio y comprobará si hay nombres duplicados en la red. Tomará un tiempo. Si el nombre está duplicado, se establece en mcse y se recomienda al usuario que cambie el nombre; si el nombre está duplicado, se establece en mcse0 y se recomienda al usuario que cambie el nombre. Esto significa que si ya existe un dominio en la red llamado mcse.org, también se producirá un conflicto de nombres NetBIOS.

(4) Opción de instalación: especifique un nombre NetBIOS para el nuevo dominio

Instrucciones:

El nombre NetBIOS es solo para 95/98/NT y otras versiones usuarios Este dominio se identifica a través del "Servicio de exploración" o WINS. Si está seguro de que los usuarios del dominio son todos sistemas 2000 y superiores (localizan el dominio a través de DNS), de hecho, los conflictos de nombres NetBIOS no importan.

(5) Opciones de instalación: especifique la ubicación de la biblioteca AD y los archivos de registro

Nota:

Si es solo un experimento, use los valores predeterminados . ?En un servidor real, habrá varios discos duros físicos. Es mejor almacenarlos por separado para mejorar el rendimiento. Otra cosa que es necesario enfatizar es que la biblioteca AD y los archivos de registro no requieren particiones NTFS 5.0. Muchos libros de 2000/03 no se detallan aquí.

(6) Opción de instalación: Especifique la ubicación de la carpeta sysvol

Nota:

La carpeta sysvol requiere una partición NTFS 5.0. ¿Almacena el contenido que se sincronizará entre AD y DC, incluido el valor de configuración de la Política de grupo?

(7) En este momento, no hay ningún servidor DNS disponible en la red y aparecerá un mensaje: Se encontró un servidor DNS, debe considerar instalar un servidor DNS en esta máquina. Primero espere un momento, haga clic en "Aceptar" y luego seleccione "Sí, instalar y configurar DNS en esta computadora". ¿Novato aquí? Marque "No, instalaré y configuraré DNS yo mismo".

(8) Después de unos minutos, la instalación se completa y es necesario reiniciarla.

Nota: No hay archivos fuente de 2000S disponibles en el disco duro o en la red, y se le solicitará un CD de 2000S.

Es mejor utilizar un 2000S nuevo para instalar AD, para evitar problemas. Si está utilizando un 2000S/AS que ha estado ejecutándose en Taiwán durante un período de tiempo, instale AD y conviértalo en DC. Reiniciar e iniciar sesión puede ser lento (a veces hasta 20 minutos), lo cual es un fenómeno común. Generalmente, todo estará bien después de 2 o 3 veces. Si el problema persiste después de varios reinicios, deberá reinstalar el sistema y AD.

3. Computadoras miembros del dominio

(1) Agregue la computadora al dominio

Primero, apunte el servidor DNS configurado en la configuración TCP/IP del cliente a El servidor DNS utilizado por el DC. Luego Mi

Computadora/clic derecho/Propiedades/Identidad de red/Propiedades/Afiliación, seleccione dominio: ingrese el nombre del dominio y confirme. Le solicita que ingrese el nombre de usuario y la contraseña. Después de la confirmación, le solicita que reinicie.

Nota:

Al unirte a un dominio, si el nombre de dominio ingresado está en formato FQDN, como mcse.com, debes usar el registro SRV en DNS

Busque el DC. Si el DNS del cliente es correcto, no podrá unirse al dominio.

Al unirte a un dominio, si el nombre de dominio ingresado está en formato NetBIOS, como mcse, también puedes usar el servicio de navegación (modo transmisión)

Para encontrar el DC directamente, pero es un Servicio completo, a veces simplemente funciona.

Aunque puede agregar la computadora al dominio e iniciar sesión en el dominio después de esperar mucho tiempo, no se recomienda. Debido a que el DNS del cliente apunta correctamente, no puede aprovechar la nueva energía cinética dinámica de 2000DNS, lo que significa que los registros A y PTR sobre esta computadora no se pueden generar automáticamente en la zona DNS. Entonces las computadoras 2000 y superiores en otra subred del mismo dominio no pueden encontrarlo usando DNS, lo cual debería ser posible.

Además, los administradores no pueden usar herramientas de administración de dominio en la computadora cliente para administrar el dominio de forma remota, porque estas herramientas de administración deben usar DNS. Mensaje de error: Se encontró información de nombre de dominio (a veces si hay un problema con el cliente). Servicio de Cliente DNS, también aparecerá el mensaje anterior

Simplemente reinicie el servicio). En este caso, para realizar la administración remota, solo puede usar TS (Terminal Services) para conectarse según IP.

Por supuesto, los usuarios también pueden configurar manualmente archivos WINS o Lmhosts para buscar DC.

Esto se usa principalmente en computadoras de la versión 95/98/NT para encontrar DC a través de subredes (ruta) o unirse a dominios, porque estas computadoras de la versión no pueden usar DNS para encontrar DC y el servicio de navegación se transmite y solo se puede usar en esta red. Debido a que la información de transmisión no puede pasar a través del enrutador, el enrutador estándar RFC1542 se puede configurar para permitir el paso de datos de transmisión DHCP, que es solo una función especial. Cabe señalar que: 95/98 puede usar cuentas de usuario de dominio para iniciar sesión en el dominio, pero no puede unirse al dominio. No hay una cuenta de computadora en AD, pero NT sí. Después de que la computadora se une exitosamente al dominio, la cuenta de la computadora se genera bajo el usuario de AD y los contenedores de computadora/computadora sin reiniciar. Al verla en el experimento, debe actualizarla manualmente. Los registros en el DNS deben registrarse o actualizarse automáticamente en la zona DNS después de reiniciar la computadora (debe iniciar sesión) o 15 minutos después. Sin embargo, cuando normalmente modificamos el nombre o la IP de una computadora, necesitamos actualizarla inmediatamente a la zona DNS, lo que no necesariamente requiere un reinicio. Simplemente puede usar el comando ipconfig /registerdns. Comprenda que la discusión anterior se puede utilizar para solucionar problemas, pero debe reiniciar el inicio de sesión para conocer el resultado.

Al unirse a un dominio NT4, se requieren privilegios administrativos; a partir de Windows 2000, Microsoft ha realizado mejoras: en los dominios de Windows 2000/03, los usuarios autenticados predeterminados pueden crear hasta 10 usuarios en la cuenta de computadora. . Usuarios autenticados

Se refiere al grupo de usuarios autenticados, lo que significa que cualquier usuario de dominio ordinario autenticado puede agregar hasta 10 computadoras al dominio.

Preguntas frecuentes: en la práctica, agregar una computadora a un dominio usando una cuenta de dominio normal a veces no funciona. La razón es que la cuenta de la computadora tiene el mismo nombre (lo más probable es que