Windows域环境多区域间访问背景一个企业如果没有分公司在.DOC

Windows域环境多区域间访问 ?实验背景： 一个企业如果没有分公司，在单域环境下是可以实现大部分的用户需求的；但是，当公司的规模越来越多，在多个地区都建立了自己的分公司，用户账户和各种资源比较多，不同的分总司对用户的要求不一样（比如说密码策略，访问权限的设置等等），大量的活动目录给管理造成了一定的麻烦，域之间的复制负担过重等等，而公司又需要统一管理，这在单域环境下是很难完成的，维护起来也是相当的困难。因此，多域环境便应运而生，大型企业通过多个区域管理企业内部的用户和资源，而各个区域之间又存在上下级之间的关系，相当于总公司和分公司之间的关系，这样更有利于层次规划管理，从而提高了企业整体办公效率。总公司和分公司之间通过建立树根信任或者父子信任关系，进行单向或者双向的网络资源互访，不同两个公司之间可以通过建立外不信任或者林信任进行单向或者双向的网络资源互访，最终实现多个企业之间的网络互连和资源共享。 ? 实验目的： 1、 理解区域之间的上下级关系 2、 掌握林、域树和子域的部署过程 3、 掌握林中的信任关系（父子信任和树根信任） 4、 掌握林之间的信任关系（外部信任和林信任） 5、 掌握AGDLP规则，并利用其规则进行区域间资源的访问 ? 实验环境： 本实验搭建了两个独立的林（两家独立的公司），其中一个林（企业—1）里建有一棵域树（也称之为一个林），通过根域和子域构成；根域和子域之间通过父子信任进行互访；另一个林（企业—2）里建有两棵域树（也称之为一个林），域树之间通过树根信任进行互访；另外两个林（企业—1与企业—2）之间通过外部信任或林信任进行互访。 ? 实验网络拓扑： ? 实验步骤 1. 准备实验环境，并创建林、子域和域树。 1.1、 首先，将Srv 1和Srv3分别升级为域控制器，升级过程中选择“新林中的域”，做为两个企业的根域，并将Srv 2加入到Srv 1域中，Srv 4加入到Srv 3中，加入域之后，在各自的根域DNS中会默认添加相应的主机记录。如下图Srv 1中DNS的记录 ? 1.2、 添加用户xiaonuo和danuo分别到域和中，并将它们都加入各自的Enterprise Admins组中，通过这两个用户分别对各自的林的修改进行管理，也避免了管理员密码的多次使用造成泄露。在根域中存在两个全局安全组，分别为Enterprise Admins和Schema Admins，其他域是没有的。（以为例） Enterprise Admins：企业管理组，可以对活动目录中整个林作修改，例如添加子域（Domain admins组中的成员也可以添加子域）。 Schema Admins：架构管理组：可以对活动目录整个林做架构修改，也就是用户或组的一些属性选项卡之类的架构，比如说Windows server 2003 R2和Windows server 2003 SP1的架构信息默认就不相同，如果SP1为根域，那么R2是不能够新建一个独立的域树的，原因是架构信息不一样造成的。 ? 1.3、 在Srv 2上创建现有域树中的一个子域 Srv 1上已经创建好了域根，也称之为一棵域树，也可以称之为一个林。向域树中添加的新域叫做子域（），名称是由子域本身的名称和父域域名结合而成的DNS名，子域上层的域是父域（）。 在存在且在线的情况下，在Srv 2上运行“dcpromo”选择“在现有域树中的子域”即可 ? 键入网络凭据，键入具有域的管理权限的账户和密码（administrator或者xiaonuo，也就是该账户必须是Enterprise Admins或者Domain Admins成员） ? 输入父域（），然后输入添加子域的NETBIOS名称（xiaonuo），最终形成的域名为（域名必须符合DNS的命名规则） ? 输入域的NetBIOS名称，默认为域名的最前部分，到这一步的时候，安装向导会在同一网段检查是否有重名，如果有重名，会在默认NetBIOS后面加上1，也可以更改成其它NetBIOS名称，客户端在登陆域的时候，只显示域的NetBIOS名称；客户端在加入域的时候，如果没有填写DNS，输入NetBIOS名称是可以加入到域的，使用的是NetBIOS协议，不过，前提是加入域的用户必须和域在同一个网段。 ? 配置完成之后，可以通过下一步进行域信息的复查，如果配置错误，可以单击“上一步”继续配置。确定无误之后，向导便开始安装域环境，首先会从以前加入的域（）中脱离出来，然后，创建新的域。DNS中也会将此用户的记录删除。 ? 1.4、 在Srv 4上创建现有的林中的域树 假如您不想使新域成为现有域的子域，想拥有属于自己的一个域名，可以建立一个与现有树分开的、新的域树，它和域根之间通过建立树根信任进行互相通信，单个域树（只有一台DC）或多棵域树构成一个林