第 5 章 建立網域
本章重點 5 - 1 建立第 1 個網域 5 - 2 電腦在網域內和網域外的角色 5 - 3 將獨立伺服器加入網域 5 - 4 將 Windows XP 加入網域 5 - 5 退出網域和 DC 降級 5 - 6 樹系與網域功能等級
建立網域 在微軟的企業網路架構裡, 『網域』佔有舉足輕重的地位, 可以說 Windows Server 2008 的重要功能都建立在網域上。
5 - 1 建立第 1 個網域 具體來說, 建立第 1 個網域就是要建立第 1 部網域控制站(Domain Controller, 以下簡稱為 DC)。 而建立 DC 的第 1 個動作就是執行 Dcpromo.exe--但是必須具有系統管理員權限才能執行此程式, 因此務必先以具有系統管理員權限的使用者帳戶登入。
建立第一部 DC 以下的示範步驟, 係假設目前的網路無任何網域, 所要建立的是整個網路的第一個網域--又稱為根網域(Root Domain)。
『新增角色』並未建立 DC 安裝 Windows Server 2008 後, 啟動時預設會自動開啟初始化設定工作視窗, 雖然可以在此視窗中點選新增角色, 接著選取安裝 Active Directory 網域服務, 以使該電腦扮演 DC 角色。 然而, 這種作法並未真正建立 DC, 到了最後一個畫面還是要求必須執行 Dcpromo.exe, 如下圖。
『新增角色』並未建立 DC 所以我們建議毋須使用新增角色功能, 乾脆直接執行 Dcpromo.exe 吧!
執行 Dcpromo.exe 請按開始鈕, 輸入 "dcpromo"、按 Enter 鍵:
執行 Dcpromo.exe
執行 Dcpromo.exe
執行 Dcpromo.exe
執行 Dcpromo.exe
執行 Dcpromo.exe
執行 Dcpromo.exe
執行 Dcpromo.exe
執行 Dcpromo.exe
執行 Dcpromo.exe
執行 Dcpromo.exe
執行 Dcpromo.exe
執行 Dcpromo.exe
執行 Dcpromo.exe 之後按完成鈕, 再按立即重新啟動鈕。 重新啟動後若要確認此電腦是否已經是 DC, 從『開始 / 系統管理工具』功能表是否出現關於 Active Directory 的命令即可得知:
執行 Dcpromo.exe 先前在第 6 步驟所設的密碼, 係使用於當 AD 資料庫毀損時, 可在開機啟動 Windows Server 2008 之前按 F8 鍵, 進入目錄服務還原模式, 重建 AD 資料庫。 由於此重建動作會改變既有的 AD 資料, 為防止濫用, 因此必須以密碼保護, 而且此密碼不必和網域系統管理員的密碼相同。
5 - 2 電腦在網域內和網域外的角色 同一部電腦會因為加入網域或退出網域, 而扮演不同的角色(別誤會, 這裡的角色不是指第 1 章提到的『伺服器角色』)。 在大多數的技術文件中, 對這些角色都有固定的稱呼, 因此本節將介紹它們的名稱與功能。
網域中的電腦 除了網域控制站之外, 網域中的電腦還可區分成以下兩類: 成員伺服器(Member Server) 工作站(Workstation)
成員伺服器 安裝 Windows Server 2008、Windows Server 2003 / 2003 R2、Windows 2000 Server 等系統, 加入了網域、但不是 DC 的電腦。 或是安裝 Windows NT Server 系統, 且加入網域的電腦, 都算是成員伺服器。 依據提供不同的服務, 成員伺服器通常還有不同的稱呼, 例如:檔案伺服器、應用程式伺服器或資料庫伺服器等等。
成員伺服器 由於這些伺服器都是網域的成員, 所以審核使用者身份的工作, 都交由 DC 執行, 使用者只要通過 DC 的身分驗證, 即可依據設定的權限來使用伺服器所提供的服務。 換言之, 成員伺服器都信任 DC 的身分驗證。
最好停用成員伺服器的本機帳戶 雖然加入了網域, 但是成員伺服器上仍保留本機的帳戶資料庫, 因此使用者仍可利用這些本機帳戶, 登入該伺服器。 對網域的安全管理而言, 這些本機帳戶可能會是漏洞, 所以我們建議停用成員伺服器的本機帳戶, 強迫使用者一律以網域帳戶登入。
工作站 所有安裝以下作業系統, 而且加入網域的電腦都算是工作站: Windows NT Workstation Windows 2000 Professional Windows XP Professional Windows Vista 商用入門版、商用進階版和旗艦版
工作站 使用者可利用這些工作站登入網域, 存取網域中的資源、執行應用程式等等, 但是 Windows Server 2008 的某些新功能, 必須搭配 Windows Vista 的工作站才能發揮效果。 而工作站本身仍然保留了本機帳戶的資料庫, 使用者利用本機帳戶登入工作站時, 只能使用本機(該工作站)的資源, 但無法存取網域上的資源。
網域外的電腦 首先, 應該要知道哪些電腦不能加入 AD 網域? 執行 Linux、Unix 等等非 Windows 系統的電腦, 理所當然地不能加入 AD 網域。 此外, Windows 95 / 98 / Me、Windows XP 家用版、Windows Vista 家用入門版、Windows Vista 家用進階版, 也都沒有加入網域的功能。
網域外的電腦 話說回來, 即使具有加入網域功能, 也未必要加入網域。 因此, 無論該電腦是不能或不想加入網域, 統統歸類為網域外的電腦。 從功能面來看, 網域外的電腦也可概分為兩類: 獨立伺服器(Stand-alone Server) 用戶端電腦(Client)
網域外的電腦 雖然在網域之外, 但使用者只要擁有合法的網域帳戶, 仍可利用這些電腦存取網域中的資源。 不過每次存取不同電腦上的資源時, 皆須輸入網域的帳戶名稱與密碼, 而且由於這些電腦並未受到網域的管制, 也容易變成資訊安全的漏洞。
獨立伺服器 簡單地說, 未加入網域的伺服器就是『獨立伺服器』--無論安裝的是 Windows 或非 Windows 的伺服器作業系統。 它一旦加入網域後, 角色即轉換為『成員伺服器』。 相反地, 『成員伺服器』如果退出網域, 則又成為『獨立伺服器』。如果在『獨立伺服器』上執行 Dcpromo.exe, 則可升級為 DC。
XP如何得知網域控制站在那裏 DNS名稱解析流程 SRV記錄 SRV記錄 AD成員-XP netlogon 服務 DC網域控制站-2008
獨立伺服器
用戶端電腦 無論是執行何種作業系統, 只要未加入網域, 而且不是獨立伺服器的電腦, 都可以歸為此類。 使用者雖然不能用它們登入網域, 但仍可利用網域帳戶, 透過這些電腦存取網域資源。
5 - 3 將獨立伺服器加入網域 建立網域之後, 通常會優先將網路上的獨立伺服器加入網域, 以便集中管理。 以下示範將 Windows Server 2008 獨立伺服器加入網域的步驟(此步驟亦適用於 Windows Vista)。
1. 修改『慣用 DNS 伺服器』的設定 加入網域的先決條件是要能夠連結到該網域的 DC, 而要連到 DC 就必須先設定正確的 DNS 伺服器位址。 先前建立 DC 的時候, 其實已經將該網域的 DNS 伺服器和 DC 安裝在一起了。 換言之, 網域裡的 DC 和 DNS 伺服器實為同一部電腦, 所以應該將獨立伺服器上的慣用 DNS 伺服器, 設為 DC 的 IP 位址。
修改『慣用 DNS 伺服器』的設定 首先以該獨立伺服器的本機系統管理員身分登入本機, 按開始鈕, 輸入 "CONTROLNCPA .CPL"、按 Enter 鍵, 開啟網路連線視窗, 再如下操作:
修改『慣用 DNS 伺服器』的設定
修改『慣用 DNS 伺服器』的設定 接著按兩次確定鈕即可。
2. 修改『成員隸屬』的設定 請按開始鈕, 在電腦項目上按右鈕、執行『內容』命令:
修改『成員隸屬』的設定
修改『成員隸屬』的設定
修改『成員隸屬』的設定
修改『成員隸屬』的設定 接著連續按兩次確定鈕, 再按關閉鈕, 最後按立刻重新開機鈕重新啟動, 啟動後此電腦便成為 xdom.com 網域的成員伺服器。
修改『成員隸屬』的設定 加入網域後的電腦, 其名稱預設會出現在 DC 的 Active Directory 使用者和電腦視窗的 Computers 容器中:
5 - 4 將 Windows XP 加入網域 首先以該電腦的本機系統管理員身分登入本機, 並在慣用 DNS 伺服器欄輸入網域 DNS 伺服器的 IP 位址, 如下圖:
將 Windows XP 加入網域 接著執行『開始 / 控制台 / 系統』命令, 開啟系統內容交談窗後, 如下操作(請注意:執行 Windows XP 家用版的電腦無法加入網域):
將 Windows XP 加入網域
將 Windows XP 加入網域
將 Windows XP 加入網域 接著按 3 次確定鈕、再按是鈕, 重新啟動電腦。重新啟動後, 該電腦即成為 xdom.com 網域的工作站。 其電腦名稱同樣會出現在 Active Directory 使用者和電腦視窗的 Computers 容器中。
5 - 5 退出網域和 DC 降級 先前已經介紹了升級為 DC 和加入網域的方法, 這一節將繼續說明退出網域和 DC 降級的方法。 退出網域
退出網域 將成員伺服器退出網域, 也就是讓該伺服器轉變為獨立伺服器, 以下示範將 Windows Server 2008 成員伺服器退出網域的步驟。 請先以網域或本機系統管理員的身分登入網域或本機, 參考前文開啟系統內容交談窗, 按電腦名稱頁次的變更鈕:
退出網域 接著連續按兩次確定鈕, 再按關閉鈕, 最後按立刻重新開機鈕重新啟動, 啟動後此電腦便成為工作群組的成員, 使用者必須用伺服器上的本機帳戶才能登入。
DC 降級 要將 DC 降級, 首先以網域系統管理員的使用者帳戶登入, 然後按開始鈕, 輸入 "dcpromo"、按 Enter 鍵, 接著按下一步鈕:
DC 降級
DC 降級
DC 降級
DC 降級
DC 降級
DC 降級
DC 降級
DC 降級 若網域中仍有其它 DC 存在, 則重新啟動後的電腦便擔任『成員伺服器』, 仍可用網域帳戶登入網域或本機。
何謂『應用程式目錄分割』? 應用程式目錄分割 (Application Directory Partition) 是指存在於 AD 資料庫的某一類資料, 由應用程式或服務所產生, 可以由人工或應用程式指定僅複寫到特定的 DC, 而非所有的 DC。 由於此一特性, 我們會將比較常變動的資料設為此類, 以避免稍一變動就使所有 DC 都忙於複寫。
何謂『應用程式目錄分割』? 例如:若 DC 兼任 DNS 伺服器, 便會存在 DNS 的應用程式目錄分割, 而這份資料只會複寫到也是兼任 DNS 伺服器的 DC。 當 DC 降級時, 通常應刪除應用程式目錄分割, 才能恢復到升級前的狀態。
5 - 6 樹系與網域功能等級 先前在升級為 DC 的過程, 曾遇到選擇『樹系功能等級』(Forest Functional Level)和『網域功能等級』(Domain Functional Level)的交談窗, 當時都暫時採用預設值。 究竟不同的功能等級有何差異?該如何做最適當的選擇?本節都將詳細說明。
功能等級的種類與高低 Windows Server 2008 提供的樹系功能等級有『Windows 2000』、『Windows Server 2003』和『Windows Server 2008』等 3 種。 網域功能等級則有『Windows 2000 原生』、『Windows Server 2003』和『Windows Server 2008』等 3 種。
功能等級的種類與高低
功能等級的種類與高低 愈新的作業系統代表愈高的功能等級, 因此 Windows Server 2008 的等級最高;Windows Server 2003 次之;Windows 2000(原生)的等級最低。 在選擇樹系和網域功能等級時, 要注意網域功能等級不能低於樹系功能等級。 假設樹系功能等級為『Windows Server 2003』, 則網域功能等級就只有『Windows Server 2003』和『Windows Serer 2008』可選。
功能等級的種類與高低 若樹系功能等級為『Windows Server 2008』, 則網域功能等級就一定是『Windows Serer 2008』。 樹系和網域功能等級的預設值都是最低等級(Windows 2000 和 Windows 2000 原生), 這是為了有最大的相容性。 若要樹系和網域支援最多的功能, 應在符合限制條件下儘量選擇最高等級。
不同功能等級的影響 選擇不同的功能等級, 對於樹系或網域會造成以下的影響: 哪些 DC 可以加入樹系或網域:雖然都是 DC, 但是所執行的作業系統可能是 Windows 2000、Windows 2003 或 Windows 2008, 因此在不同的功能等級會限制某些 DC 不能加入樹系或網域。 樹系或網域支援哪些功能:在不同的功能等級, 樹系或網域所支援的功能也有差異。 功能等級愈高, 所支援的功能愈多。
不同功能等級所導致的功能差異 不同樹系功能等級的主要功能差異如下表:
不同功能等級所導致的功能差異 不同網域功能等級的限制條件與功能差異如下表:
變更樹系或網域功能等級 建立第一個樹系的第一部 DC 時, 因為只有自己一部 DC, 所以選擇樹系功能等級或網域功能等級時都沒有任何限制, 通常先採用預設值, 將來再視需求來變更。 以下說明變更樹系和網域功能等級時的注意事項與步驟。
變更功能等級時的注意事項 當樹系或網域內的 DC 不只一部時, 要變更樹系或網域功能等級時, 就必須注意以下事項: 若樹系功能等級是 Windows 2008, 則只有執行 Windows Server 2008 的 DC 可加入此樹系。 若樹系功能等級是 Windows 2003, 則只有執行 Windows Server 2008 或 Windows Server 2003 的 DC 可加入此樹系。 若網域功能等級是 Windows 2008, 則只有執行 Windows Server 2008 的 DC 可加入此網域。
變更功能等級時的注意事項 若網域功能等級是 Windows 2003, 則只有執行 Windows Server 2008 或 Windows Server 2003 的 DC 可加入此網域。 此外, 還要知道:無論是樹系功能等級或網域功能等級, 都只能提升、不能調降!所以一旦提升之後, 就不能降為原先的等級。 而且必須是 Enterprise Admin 群組的成員才能變更樹系功能等級;必須是 Domain Admin 群組的成員才能變更網域功能等級。
變更樹系功能等級 請以隸屬於 Enterprise Admin 群組的使用者帳戶登入, 而後執行『開始 / 系統管理工具 / Active Directory 網域及信任』命令, 並如下操作:
變更樹系功能等級 接著按兩次確定鈕即可。
變更網域功能等級 請以隸屬於 Domain Admin 群組的使用者帳戶登入, 而後執行『開始 / 系統管理工具 / Active Directory 網域及信任』命令, 並如下操作:
變更網域功能等級 接著按兩次確定鈕即可。