1、 安装域控制器(Active Directory)
目 的: 将server1配置成域控制器,域名为test.com
要 点: DNS、Active Directory
———————————————————————————————————-
AD需要DNS的支持,DNS可以在安装AD的前、中、后装,建议在AD安装之前装,并手动配置。
1.1 首先装好Windows服务器系统(如windows 2000server或者windows 2003)后,要配置TCP/IP为固定IP,为192.168.10.1;(这个IP大家可以根据自己的实际需要来设置,建议第三位设为地方区号,这对于较多分支的单位来说,如何规划IP对以后的网络管理是很重要的)
1.2 安装DNS(server1上)
首先,安装DNS服务,控制面板——添加删除程序——windows组件——网络服务——DNS服务。
其次,打开DNS服务,创建forward lookup zone,为test.com。reverse lookup zone填网络号192.168.10
1.3:设置两个zone允许dynamic update
1.4:在本地连接中将DNS地址指向192.168.10.1
1.5:设置primary dns suffix为test.com
1.6:按照提示,restart,建议一定重起。
1.7: 重起后发现test.com中有server1的A记录,说明一切正常。反向zone中有ptr记录
(需要注意的是,域名第一片和计算机名不要一样,如果在计算机abc上不要做abc.com,否则默认情况下domain的netbios名和计算机的netbios名会一样)
2.
按照正常情况Dcpromo,选择安装成新域的域控制器,新树,新森林。
安装过程中应不会提示任何诸如“DNS找不到”的信息,这就正常了。
装完AD后看看DNS的的test.com内是否有放置SRV记录的四个目录,目录名为TCP,UDP,MSDCS,Sites。如果一个也没有,重新启动Net logon服务,如果还是没有,那装得有问题。一般应该都是正常的。
同时查看事件查看器中是否有任何关于directory service的错误日志。
2. 配置客户端(client)加入到域
目 的:将客户端计算机加到test.com域中,成为域成员
要 点:DNS,本地权限
—————————————————————————————————–
2.1 首先在AD中为每个用户建好用户帐户,如用户名test,密码test。(注意:在windows2003中,由于2003server默认启用了密码复杂性,所以必须先在安全策略里关掉这个选项,才可以设置简单的密码,这里只为演示,不推荐去掉2003server的密码复杂性)
2.2 配置客户端电脑(client)IP为192.168.10.x/24, DNS为192.168.10.1
2.3 对于Windows2000/XP,右键选我的电脑——属性——网络标示——属性:输入test.com(如图),然后输入有权限加域成员的管理员的帐号和密码
2.4 重启计算机,进入登录界面时,使用test/test登录即可 (但注意,此时test用户在client这台电脑上,只有user组的权限,没有安装程序的权限,要想给他更多的权限,必须将他加入到管理员组。这里有一个方法,使用管理员身份登录这台计算机client,在管理工具——计算机管理——用户和组中找到administrators组,将Domain Users组加入到本地管理员组中,这样每个登录到这台计算机的域用户都拥有本机管理员的权限)
3. 创建额外域控制器
目 的:为test.com配置额外域控制器,同步AD
要 点:DNS,额外域控制器
——————————————————————————————————
额外域控制器,也有人叫辅助域,或者备份域
3.1 首先为这台服务器server2配置TCP/IP,为192.168.10.x/24 DNS为192.168.10.1
3.2 运行Dcpromo /ad,创建额外域控制器,输入域管理员的帐号和密码,找到test.com,下一步即可完成。
3.3 安装后可以在ad user and computer (ad u&c)中的domain controller ou中看见server1和server2的计算机帐号
3.4 dns的test.com的四个目录(tcp udp msdcs sites,里面为srv记录)中可以发现server2的srv记录。
额外域控制器创建完成后,将保持和主域控制器同步,主要包括AD和DNS同步
4. 配置server3为子域控制器 son.test.com
目 的:创建test.com的子域son.test.com
要 点:DNS、子域
——————————————————————————————————-
4.1 配置主域控制器dns ,在server1的dns上(简易做法),创建son.test.com的zone,设置动态更新为yes
4.2 配置Server3的Tcp/IP,为192.168.10.x/24,将server3的dns指向192.168.10.1
4.3 在server3上运行dcpromo
4.4 选择安装为新域的域控制器--放入一个已经存在的树
4.5 填入enterprise admin的身份信息(administrator/password/test.com)
4.6 出来一个界面,让填域名,上面是父域的名字(test.com),中间填入son,下面自动完成,显示全名为son.test.com
4.7 完成其他选项
4.8 完成后,在server3的 ad user and computer中的domain controller ou中可以找到server3的计算机帐号
4.9 在dns的son.test.com这个zone中可以找到关于server3的srv记录
5. 安装DHCP服务
目 的: 在server1上安装DHCP服务
要 点: DHCP、领域、地址保留、AD授权、地址分配
———————————————————————————————————-
5.1 添加DHCP服务,位置:控制面板——添加删除程序——添加/删除windows组件——网络服务——DHCP服务
5.2 打开DHCP服务,新增领域,名称test(名称可以随便取),IP地址范围192.168.10.10——192.168.10.250,其他默认,完成启用这个领域
5.3 选上test这个领域,“执行”菜单中授权,这时DHCP的小服务器图标变成绿色,至此DHCP的安装完成
下面要对dhcp服务进行一些定制,如保留一段地址作其它用途,让DHCP自动分配网关地址和DNs地址,让指定的计算机使用指定的IP等等
5.4 在位置集区,新增排除范围192.168.10.100-192.168.10.200供保留区使用
5.5 保留区,为要指定Ip的电脑配置保留地址,如abc.test.com,mac地址为0c12312300,IP地址为192.168.10.101
5.6 在领域选项,路由器选项可以指定网关,DNS服务器指定DNS,名称服务器制定Wins服务器
6. 创建漫游用户配置文件
目 的:让用户使用统一的桌面
要 点:漫游用户,用户配置文件,强制用户配置文件
—————————————————————————————————————-
创建测试配置文件
6.1 创建一个充当测试用户帐户的用户帐户。例如,创建一个名为 Sales Profile 的帐户。
6.2 以测试用户帐户登录。这会在本地计算机的 C:WinntDocuments and Settings用户名 文件夹中自动创建用户配置文件。
6.3 配置桌面环境,包括外观、快捷方式和开始菜单选项。
6.4 注销,然后以管理员身份登录。
复制测试配置文件
6.5 在网络驱动器上创建一个要在其中存储网络配置文件的文件夹。例如:
server_nameProfilesuser_name
6.6 在"控制面板"中,双击系统,然后单击用户配置文件选项卡。在"储存在本机上的配置文件"下,单击要复制的配置文件,然后单击复制到。
6.7 在将配置文件复制到对话框中,键入该文件夹的网络路径。在"允许使用"下,单击更改。
6.8 添加相应的用户,然后单击确定。
6.9 在您创建的网络文件夹中,如果这是一个强制用户配置文件,则将 Ntuser.dat 文件重命名为 Ntuser.man。
6.10 在"域用户管理器"中,双击该用户帐户,然后在用户属性对话框中,单击配置文件。
6.11 在用户配置文件路径框中,键入网络配置文件所在文件夹的 UNC 路径。例如:
server_nameProfilesuser_name
7. 发布文件服务器
目 的:配置server1为文件服务器
要 点:文件服务器、共享权限、安全权限,配额,索引服务
—————————————————————————————————————
7.1 启动“管理您的服务器”,添加或删除角色,点击“下一步”进入到“服务器角色”,选择文件服务器并点击“下一步”,开始启用和配置文件服务的过程
7.2 根据系统提示进行配额设置,磁盘配额功能可以限制用户对磁盘空间的使用,方便进行磁盘空间管理。将磁盘空间限制设置为300MB,将警告设置为260MB,并勾选“拒绝将磁盘空间给超过配额限制的用户”这一选项。这种情况下用户将无法使用超过300MB以上的硬盘空间,并且当用户使用的空间达到设置的260MB的警戒线时记录一个系统事件
7.3 完成配额设置后点击“下一步”进入索引服务设置界面,默认的选项是不启用索引服务。虽然索引服务可以加快文件检索的速度,但是由于它要消耗不少的服务器资源,所以如果不需要很频繁检索文件的话,建议保留默认的设置
7.4 在确认以上设置之后,安装向导会弹出一个用于建立共享文件夹的向导。首先需要选择共享文件夹的路径,例如C:Inetpubhome。之后进入维护共享名和关于该共享描述的界面,通常情况下维持默认设置即可。点击下一步开始为共享设置权限,基本的权限包括了完全访问和读写权限
7.5 选择“使用自定义共享和文件夹权限”,点击自定义按钮之后弹出自定义权限设置界面。在这里可以根据需要对不同用户设置不同的权限,例如可以对Administrators用户组设置完全控制以赋予所有管理员对该共享文件夹的全部管理权限,为Guest用户设置读取权限,使匿名用户可以下载该文件夹中的文件,同时删除原有的Everyone这项,屏蔽所有其他用户权限
7.6 在进入右键菜单的属性条目时,也可以进行共享和权限等管理,但是只有在点击的对象是磁盘分区的时候才能应用配额功能,因为配额功能是针对磁盘卷来执行的,而且该卷必须是NTFS格式的
最后,注意NTFS文件夹安全权限和共享权限的区别:
安全权限对所有访问该文件夹的用户都起作用;
共享权限只对从网络访问的用户起作用;
安全权限 and 共享权限
8. 部署Windows Server 2003终端服务
8.1 安装终端服务器
“开始→控制面板→添加或删除程序”,在“添加或删除程序”对话框中单击“添加/删除Windows组件”选项卡。然后勾选“组件”列表中的“终端服务器”选项。这时可能会弹出一个关于IE安全配置的警告对话框,单击“是”按钮将其关闭并依次单击“下一步”按钮。
在打开的“为应用程序兼容性选择默认权限”对话框中,系统给出了两种安装模式,即“完整安全模式”和“宽松安全模式”。我们选择“完整安全模式”并单击“下一步”按钮。
8.2 配置终端服务器
8.2.1 赋予用户权限: “开始→管理工具→终端服务配置”,在打开的“终端服务配置”对话框中双击右侧窗格中的“RDP-Tcp”连接。打开“RDP-Tcp属性”对话框。然后切换到“权限”选项卡下,单击“添加”按钮,在“输入对象名称来源”编辑框中填入准备赋予权限的用户名(如user01)并单击“确定”按钮.
返回“RDP-Tcp属性”对话框后,在“组和用户名称”列表中单击刚刚添加的用户“hangjiang”,然后根据需要勾选权限列表框中的复选框。例如我们勾选允许“来宾访问”、“用户访问”复选框。
8.2.2 限制并发连接数量: 在“RDP-Tcp属性”对话框中切换至“网卡”选项卡。在“网卡”下拉列表中选中使用RDP-Tcp协议的网卡,然后点选“最多连接数”单选框,并在右侧的微调框中调整并发连接数值(例如:20)。
8.2.3 设置客户端可用的本地资源: 在“RDP-Tcp属性”对话框中切换至“客户端设置”选项卡,可以勾选“禁用下列项目”区域中的项目以限制对客户端资源的使用。例如在勾选“音频映射”复选框后,服务器端的声音将不能通过客户端的声卡播放。而有时用户的需求恰恰相反,比如必须使用本地的打印机。那么这时必须保证“Windows打印机映射”和“LPT端口映射”两项是非选中状态
8.3 连接终端服务器
8.3.1 安装客户端: 可以使用winxp的远程桌面连接或者win2000/2003自带的客户端工具,在它们的安装光盘里可以找到。
8.3.2 2. 远程连接: 在客户机上依次单击“开始→所有程序→远程桌面连接”,在打开的对话框中单击“选项”按钮切换至详细的登录对话框。在“计算机名”编辑框中键入终端服务器的IP地址,在“用户名”编辑框中键入“user01”并单击“连接”按钮。出现Windows登录对话框后键入已授权的用户名的密码即可完成连接
9. 配置IIS服务器
目 的:发布web、ftp,NNtp服务
要 点:www, ftp, NNTP,IIS, DNS
———————————————————————————————————-
IIS是一个信息服务系统,主要是建立在服务器一方。服务器接收从客户发来的请求并处理它们的请求,而客户机的任务是提出与服务器的对话。只有实现了服务器与客户机之间信息的交流与传递,Internet/Intranet的目的才可能实现。在Windows2000/2003中都集成了IIS技术,使得它成为一个功能强大的Internet/Intranet Web应用服务器。
具体设置如下:
9.1 安装IIS:
控制面板——添加/删除程序——添加Windows组件——网络服务——IIS(Internet信息服务)
9.2 打开"配置服务器"界面,单击"Web/媒体服务器",进入IIS配置界面。或者“开始”——程序——管理工具——Internet信息服务
9.3 找到默认web服务,停用它
9.4 新建站点——输入站点描述,如test——输入主机头如www,www1等和IP——输入主目录——设置权限
9.5 选择test站点,属性——文件:设置首页名称(默认为default.html,index.html,default.asp,你可以把你自己设计的首页名称加到这里)
9.6 打开dns:添加www或者www1主机的DNS解析
9.7 随便打开一个IE窗口,输入www.test.com,看看你的网站吧,当然首先你要设计好自己的网站!
FTP配置方法类同
NNTP和Exchange关系较为密切,以后在Exchange的教程中会安装它
13 关于活动目录配置中可能碰到的问题
问:为什么Windows Server 2003新建的域中不能新建用户?我看了一下,发现提示信息是“密码不符合要求……”请问如何解决呢?
在Windows Server 2003中,对域的密码设置有了一定的要求,如果密码的复杂性不能符合域密码的设置要求,那么将不能成功建立用户。一个标准的密码复杂性要求是:a.不包含全部或部分的用户账户名;b.长度至少为六个字符;c.至少要包含一个大写英文字母和一个小写英文字母,以及0~9的数字一个。此外,还可以有非字母字符(如,!、$、#、%)等。基于此,可以得知一个标准的密码应是“sHYZHONG77”这样的才行。
10. NAT服务的配置
目 的:配置客户端通过NAT方式连接上Internet
要 点:NAT(网络地址转换)、代理服务、ICS、路由与远程访问
—————————————————————————————————————-
服务器端:
10.1 首先服务器要有两块网卡,一块接Internet,一块接内网,配置为:
网卡外:210.1.1.2/30 gateway 210.1.1.1 dns:210.82.8.1
网卡内:192.168.10.1/24 gateway 192.168.10.1 dns:192.168.10.1
10.2 开始——程序——管理工具——路由与远程访问,进入路由与远程访问配置界面
10.3 右键点击“路由与远程访问",连接到本地计算机,右键点击该计算机名称选择”配置并启用路由与远程访问“
10.4 点击“下一步”,选择“Internet连接服务器”(注意,在windows2003中,这个选项叫“网络地址转换(NAT)“),单击"下一步"选定"设置有网络地址转换(NAT)路由协议的路由器",单击"下一步"在"Internet连接"窗口中选定" 使用选择的Internet连接"项,在其窗口中选定与Internet连接网卡,如IP地址210.1.1.2,单击"下一步""完成"。到此NAT设置完毕。
客户端配置:
IP配置:推荐用DHCP发布,地址为192.168.10.x/24,网关为192.168.10.1,DNS为192.168.10.1 + 210.82.8.1
17 组策略
目 的:配置组策略以保证局域网内的安全
要 点:组策略、活动目录、容器、用户配置、计算机配置
—————————————————————————————————————-
17.1 启动活动目录服务: 在“程序→管理工具→配置服务器”选项中,选定左边的“Active Directory”,启动活动目录安装向导。设置过程中关键是要将服务器设置为第一个域目录树,DNS域名输入ISP提供的域名,若不连接国际互联网,也可任意设定。
17.2 打开组策略控制台
启动“Active Directory目录和用户”项,在右面对象容器树中的根目录上单击右键,然后单击“属性”项,在新打开的窗口中单击“组策略”选项卡,即可打开组策略控制台。
17.3 设置组策略
Windows 2000组策略有100多个与安全有关的设置和450多个基于注册表的设置,为管理用户计算机环境提供了众多的选项,某一选项一旦被设置将会作用于登录到域上的所有用户和工作站。这里将几个常用策略的设置步骤介绍一下,作为策略设置的参考。
a、启用“登录屏幕”上不显示上次登录的用户名
b、启动“活动桌面墙纸”
使用此选项,局域网上登录域的所有计算机将使用同一桌面墙纸,并且不能被更改。因此,可以通过这一项策略的设置,防止临时用户随意更换桌面墙纸,使局域网中的工作站具有相同的界面。该选项所处的位置是“用户配置→管理模板→桌面→活动桌面”。
综合应用Windows server账号安全、组策略安全和文件夹权限等安全属性,可以很好地保护局域网中各工作站的安全。同时,使用账号安全属性对系统文件进行保护,还可对病毒的破坏起到防范作用
从五大方面为Win 2003操作系统提速
作为Server版操作系统,Windows 2003的许多默认设置都是以服务器的标准进行设置的,如果想把Windows 2003配置成单机系统那么就需要对系统的一些功能进行设置,注册表我们在优化系统的时候经常用到,本文中我们就讲如何通过注册表从五大方面来为Windows 2003操作系统提速。
一、减少系统进度条读取时间
点击进入“开始→运行”,输入“regedit”打开“注册表编辑器”,找到键值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory ManagementPrefetchParametersEnablePrefe tcher”,默认值是3,修改为1即可。
二、让系统自动关闭停止响应的程序
点击进入“开始→运行”,输入“regedit”打开“注册表编辑器”,找到“HKEY_CURRENT_USERControl PanelDesktop AutoEndTasks”,将默认值0修改为1即可。
三、提高窗口弹出速度
点击进入“开始→运行”,输入“regedit”打开“注册表编辑器”,找到“HKEY_CURRENT_USERControl PanelDesktopWindowMetricsMinAniMate”,默认值为1,表示打开窗口时显示动画,只要将它修改为“0”就可以禁止动画显示,从而在很大程度上提高窗口弹出的速度。
四、减少程序关闭前的等待时间
点击进入“开始→运行”,输入“regedit”打开“注册表编辑器”,找到键值“HKEY_LOCAL_MACHINESystemCurrentControlSetControlWaitToKillServiceTimeout”,将默认值20000修改为1000或更小(单位是毫秒);再找到键值“HKEY_CURRENT_USERControl PanelDesktopWaitToKillAppTimeout”,将默认值20000修改为1000或更小(单位是毫秒),这样就可以大大减少关闭程序时的等待时间。
五、减少程序出错时的等待时间
点击进入“开始→运行”,输入“regedit”打开“注册表编辑器”,找到键值“HKEY_CURRENT_USERControl PanelDesktopHungAppTimeout”,将默认值5000修改为200(单位是毫秒),这样可以大幅减少程序出错时的等待时间。