企業AD、DNS、WINS服務器的配置

企業AD、DNS、WINS服務器的配置 

對於企業來說，AD、DNS、WINS服務都是必須的，AD用於整合用戶管理、策略配置，DNS用於域名解釋，而WINS有利局域網流暢的訪問，加強各服務器的冗余。因此，合理的對這些服務的配置，有利於企業的正常運行。下面本人從網絡上學習的一些心得，並針對小企業配置各個服務，歡迎給予意見及討論。 

一、拓撲圖，環境，目的 
<ignore_js_op> 

 

以上是企業簡單拓撲圖，只列兩台服務器PDC和BDC，其余電腦通過主線路訪問服務器。 
前提環境：路由器一個，PDC安裝windows server 2003 enterprise edition sp2，而 BDC則安裝SP1（SP2亦可，我只是為了驗證一下兼容性）。 
整個過程：先配置好PDC，再配置BDC。 

二、PDC配置。 
㈠AD服務； 
1、登陸PDC，把windows 2003安裝光盤放進光驅，打開“添加/刪除windows組件”，添加DNS、WINS網絡服務。如下圖1.1 
<ignore_js_op>

 

2、配置PDC的IP，俺碼，網關，DNS，WINS，為下面的配置作准備。如下圖1.2 
<ignore_js_op>

 

3、在管理工具的服務器配置里添加AD，或者運行“dcpromo”命令進入； 
4、下一步后，選擇第一項，“新域的域控制器”，下一步，如下圖1.3 
<ignore_js_op> 

 

5、選擇第一項，“在新林中的域”，下一步，如下圖1.4 
<ignore_js_op> 

 

繼續下一步； 
6、添加新的域名，下面填寫的是我公司的域名pj.com，如下圖1.5 
<ignore_js_op> 

 

繼續下一步； 
7、填寫域NetBIOS名，PJ，如下圖1.6 
<ignore_js_op> 

 

繼續下一步； 
8、選擇保存AD的數據路徑，選擇默認，如下圖1.7 
<ignore_js_op> 

 

繼續下一步； 
9、填寫SYSVOL路徑，選擇默認即可，如下圖1.8 
<ignore_js_op> 

 

繼續下一步； 
10、出現DNS注冊診斷，大家看到診斷失敗，原因是本機的DNS還沒有配置好，選擇第二項，安裝DNS服務器，如下圖1.9 
<ignore_js_op> 

 

11、權限，選擇第二項，與windows 2000兼容，如下圖1.10 
<ignore_js_op> 

 

12、出現還原管理員密碼，這個用途是當你不想使用這個域時，要降級，那么就要，可以選擇不設置密碼，我怕以后忘記，所以就默認留空，繼續下一步； 
13、摘要，最后一次確認信息，正確無誤后，繼續下一步； 
14、安裝AD，DNS，如下圖1.11 
<ignore_js_op> 

 

15、完成，重啟服務器，至此，AD安裝完畢，接下來看DNS的配置。 
㈡DNS服務； 
1、進入管理工具，打開DNS。因為隨着AD的配置，DNS的正向已經弄好，現在配置反向選擇，比較簡單，選擇“反向查找區域”，右擊新建，如下圖2.1 
<ignore_js_op>

 

2、下一步，選擇“區域類型”，選擇第一項“主要區域”，如下圖2.2 
<ignore_js_op> 

 

繼續下一步； 
3、復制作用域，選擇第三項，如下圖2.3 
<ignore_js_op> 

 

4、反向查找區域，填寫192.168.0，如下圖2.4 
<ignore_js_op> 

 

5、動態更新，默認選擇第一項，如下圖2.5 
<ignore_js_op> 

 

6、下一步，完成區域查找； 
7、由於使用了域，所以客戶端的DNS必須指向域服務器的IP，所以為了讓客戶端上外網更加方便，於是要在DNS服務器實現DNS的轉發，這樣，客戶端的機子指向服務器DNS的時候，即時轉發出外網，實現網內網外兩不誤，如下圖2.6 
<ignore_js_op>

 

8、選擇“屬性”后，出現下圖，點擊“轉發器”，添加本地ISP的DNS，這樣當客戶端的DNS指向服務器的IP時，即可同時指向ISP的DNS，如下圖2.7 
<ignore_js_op> 

 

至此，DNS服務配置完畢。 

㈢WINS服務； 
在配置WINS服務前，先做個介紹，Windows Internet命名服務（Windows Internet Name Service）為注冊和查詢網絡上計算機和用戶組NetBIOS名稱的動態映射提供分布式數據庫。WINS將NetBIOS名稱映射為IP地址，並設計以解決路由環境的NetBIOS名稱解析中所出現的問題。WINS對於使用TCP/IP上的NetBIOS路由網絡中的NetBIOS名稱解析是最佳選擇。 
因此，在一個網絡域中，配置WINS服務可以讓局域網訪問更暢快。 

WINS服務的安裝比較簡單，在添加/刪除的網絡服務那，PDC開始配置的時候已經安裝好。 
在這個例子中，我們必須把PDC的WINS和BDC的WINS進行復制，互相“推拉”，互相同步。 
1、在管理工具打開WINS，右擊“復制伙伴”，進行新建，如下圖3.1 
<ignore_js_op> 

 

2、填寫被復制的服務器IP，如下圖3.2 
<ignore_js_op> 

 

3、最后效果，可以看到推拉關系，如下圖3.3 
<ignore_js_op> 

 

接下來是BDC的配置。 

三、BDC配置。 
在配置各服務之前，先設置好本機IP地址，加入PDC的域pj.com里，如下圖4.1 
<ignore_js_op> 

 

系統屬性，更改，隸屬於pj.com，確定， 如圖4.2 
<ignore_js_op> 

 

輸入域管理員用戶名和密碼，確定， 如圖4.3 
<ignore_js_op> 

 

加入，重啟。如上圖4.4 
<ignore_js_op> 

 

重啟后要用pj.com里的管理員登陸到域pj，切記！ 

㈠ AD服務； 
1、打開“添加/刪除服務”進入“添加/刪除windows組件”，添加DNS和WINS網絡服務，和PDC設置添加過程一樣，記得先把安裝光盤放進光驅，如下圖4.5 
<ignore_js_op> 

 

2、接下來把BDC升級為額外域控制器，這里運行AD安裝向導dcpromo命令快捷進入AD安裝向導。接下來出現下圖4.6，選擇第二項“現有域的額外域控制器”。 
<ignore_js_op> 

 

繼續下一下； 
3、提供網絡憑據，輸入域用戶名和密碼，如下圖4.7 
<ignore_js_op> 

 

4、出現額外的域控制器，默認選擇pj.com，下一步，如圖4.8； 
<ignore_js_op> 

 

5、出現和PDC那里的畫圖，保存AD數據庫，按默認就行，下一步； 
6、出現和PDC一樣的畫面，共享的系統卷，選擇默認，繼續下一步； 
7、還原密碼設置，可有可無，默認下一步； 
8、繼續下一步，開始安裝AD，如下圖4.9 
<ignore_js_op> 

 

這個步驟時間比較久，因為要把PDC的AD和DNS同步過來需要一段時間，接下來按提示重啟。 
9、重啟后要把BDC本機的DNS指向自己192.168.0.22，這樣做的目的是為了使用BDC和PDC的AD服務和DNS服務同步，它們才能互相復制，這是關鍵的一步，不能省呵。如圖4.10 
<ignore_js_op> 

 

10、接着把BDC配置為“全局編錄”（不懂的朋友自己查一下百度理解一下），打開管理工具，AD站點和服務，依次打開到NTDS Settings，右擊，選擇“屬性”，如下圖4.11 
<ignore_js_op> 

 

11、打開屬性后，在“全局編錄”前打上勾勾選擇，確定，如下圖4.12 
<ignore_js_op> 

 

到這里，AD和DNS的同步已經完成，當PDC掛掉的時候，BDC會自動擔當AD和DNS的服務，給下面的客戶端使用。 
附：當然，當PDC掛掉之后，BDC自然會起到了作用，但是當PDC重新安裝系統后，怎么才能把AD和DNS同步過來，這又關系到FSMO的問題了，在這簡要說一下。 
1、當PDC掛掉后，BDC必須馬上把FSMO的角色控制權搶奪過來，自己當大哥，當然，為了不讓下面的客戶端混亂，BDC的IP地址必須改成PDC原來的IP地址呵，要不下面的小弟就會打架了； 
2、當PDC系統弄好后，自然重復着暫當“BDC”的角色一段時間嘍，反正兩台服務器互換使用，一切問題都搞定。 

㈡DNS服務； 
DNS服務基本和PDC的一樣，主要是加個DNS轉發器，這樣客戶端訪問更暢快了； 
1、打開管理工具，DNS服務，右擊BDC屬性，如下圖4.13 
<ignore_js_op> 

 

2、添加轉發DNS，如下圖4.14 
<ignore_js_op> 

 

確定后就OK了。 

㈢WINS服務； 
因為PDC安裝了WINS和BDC已經復制同步，所以在BDC也得和PDC實現復制同步的關系，讓兩台機器實現同步的功能。 
1、打開管理工具，WINS服務，依次打開復制伙伴，新建一復制伙伴，如下圖4.15 
<ignore_js_op> 

 

2、填寫PDC的IP地址，確定，如下圖4.16和4.17 
<ignore_js_op> 

 

<ignore_js_op> 

 

此時，PDC和BDC的WINS已經實現同步，兩台互相復制，當一台掛掉的時候，另一台則可繼續為客戶端進行NetBIOS計算機名解析服務。 

四、測試 
就用一台客戶端PC測試，我用的是深度ghost XP3 v8.1系統，安裝好系統后，加入域，然后用不同的用戶去測試所用到的AD是從那里分配出來的。 
1、PDB和BDC都正常運行，打開XP3，用administrator管理員登陸到AD，使用set命令查找歸屬。如下圖，看到的logonserver=\\\\PDC，說明在正常運行的情況下，一切客戶端獲得AD的路徑是PDC，如圖5.1； 
<ignore_js_op>

 

2、現在關掉PDC，僅保留BDC在工作，把客戶端重啟，用另一用戶huanghualong登陸到AD，進入DOS后再用set命令檢測，如下圖，大家看到了沒有，logonserver=\\\\BDC了，說明當PDC掛掉后，客戶端將會從BDC獲取AD的分配，如圖5.2； 
<ignore_js_op>

 

最后：實驗到此就結束了，不過回過頭來看看實驗的目的，主要是在企業安裝一個主域，然后再安裝一輔助域，當主域掛掉后，輔助域就可以接管主域的管理任務，從而達到企業正常工作的效果！ 
補充幾點： 
1、這個實驗大家可以再加一個DHCP服務，得看大家的習慣，自動讓客戶分配IP好還是固定分配比較好自己掌握，不過加入DHCP服務后，人性化會得到提升，操作也非常方便，但在一個大的企業，網卡會偶爾出現自動獲取不了IP的情況，多出現了，管理員也就有得忙了，但固定IP出現這情況就比較少了； 
2、主域掛掉后，輔助域切記要把IP改成主域的IP，這樣下面的小弟才不會混亂，以至找不到主子； 
3、主域掛掉后，當你有時間后，要記住在輔助域把主域的FSMO權限搶過來，怎么個搶法這里文章就不討論了，以后我會再寫； 
4、主域掛掉，又被你弄活后，你就可以照葫蘆畫圈，把主域配置成輔助域，輪流使用； 
5、這是一個辦法，但一般企業都會把主域的AD和DNS備份起來，以備不時之需。 

以上有不妥之處，希望大家都發表一下意見，讓我們繼續學習下去！