第八章、目录服务的高级应用
版权所有www.itshanghai.net
[实验项目]
① 创建外部信任关系
② 创建子域和新域树,验证信息
③ 转移主控角色
④ 创建站点,分配子网,设置站点连接
实验一、创建外部信任关系
[实验环境]
2台WIN2003服务器(DC)
[实验要求]
域1用户可在域2客户机上登录
[实验步骤]
1、分别配置2台2003服务器IP
服务器1: IP:192.168.10.1 域 johnny.com
服务器2: IP:192.168.10.2 域 anniey.com
2、在DC(johnny.com)上创建用户aaa,在DC(anniey.com)创建用户bbb
3、服务器1:打开DNS—〉右键“属性”—〉转发器—〉新建转发器anniey.com—〉ip 192.168.10.2
4、打开AD域和信任关系—〉属性—〉信任—〉新建信任—〉输入anniey.com—〉双向—〉只是这个域—〉全域性身份验证—〉信任密码—〉不传出身份验证—〉属性—〉验证
5、服务器2:打开DNS—〉右键“属性”—〉转发器—〉新建转发器johnny.com—ip 192.168.10.1
6、打开AD域和信任关系—〉属性—〉信任—〉新建信任—〉输入johnny.com—〉双向—〉只是这个域—〉全域性身份验证—〉信任密码—〉不传出身份验证
—〉属性—〉验证
7、服务器1:打开AD用户和计算机—〉builtin—〉Print Operators—〉属性—〉成员添加—〉位置—>anniey.com—〉bbb(目的加入管理员组以便本地域控登录)
8、服务器2:打开AD用户和计算机—〉builtin—〉Print Operators—〉属性—〉成员添加—〉位置—>Johnny.com—〉aaa
9、验证:用对方DC帐号和密码登入
实验二:创建子域、新域树、验证信任关系
[实验要求]
使用上个实验已经创建的域DC1.COM,建DC1.COM的子域ABC.DC1.COM,然后新建域树TEST.COM并新建一个用户a01,在子域ABC.DC1.COM,用a01登录。
在ABC.DC1.COM新建用户b01,并在TEST.COM登录。在根域DC1.COM上新建用户c01并分别在ABC.DC1.COM,TEST.COM上登录验证信任关系。
[实验步骤]
1.创建DC1.COM的子域ABC.DC1.COM。在Win2003主机上配置ip:192.168.0.20,并DNS指向DC1 192.168.0.10。运行dcpromo命令安装域控,下一步,下一步“选择新域的域控制器”下一步,创建一个在“新的现有域树中的子域”下一步,输入其父域DC1.COM的“管理员用户名”,“密码”,“域DC1.COM”下一步输入父域“DC1.COM”,子域“ABC”下一步,下一步直到完成。
3.创建新域树TEST.COM,在第三台Win2003主机上配置ip:192.168.0.30,首DNS指向自己192.168.0.30,备指向DC1:192.168.0.10运行dcpromo命令安装域控,下一步,下一步“选择新域的域控制器”下一步,创建一个在“现有林中的域树”下一步,输入根域DC1.COM的“管理员用户名”,“密码”,“域DC1.COM”下一步输入新域的DNS全名TEST.COM,下一步,下一步直到完成。
4.在DC1上打开DNS管理控制台,右击DC1.COM[属性]--[转发器]--[新建],输入域树的域名“TEST.COM”,添加所选域的DNS的ip地址:192.168.0.30。
5.验证:在子域ABC.DC1.COM的域控上,用a01用户登录TEST.COM成功,在TEST.COM域控上用b01用户登录ABC.DC1.COM 的域控成功。分别在ABC.DC1.COM和TEST.COM的域控上用c01用户登录成功。
实验三:转移主控角色
[实验要求]
将DC1主控角色转换为DC2,然后在DC2损坏的情况下,用命令方式提升DC1为主控机。
[实验步骤]
A. 将DC1主控角色转换为DC2
1.利用已经建好的主控DC1(aaa.aaa.com)。安装副控DC2(bbb.aaa.com),在另一台Win2003主机上配置ip:192.168.0.20,DNS指向DC1:192.168.0.10,并运行dcpromo命令安装“现有域控的额外域控” 下一步,输入DC1管理员用户名,密码以及域名“aaa.com”,具体创建步骤基本同上。
2.在主域控DC1上运行regsvr32 schmmgmt.dll命令添加[Active Directory架构]。
3.打开mmc管理控制台,通过[添加删除管理单元],将[Active Directory架构]加入管理单元。右击[Active Directory架构]--[更改域控制器],键入指定的域控制器名称“bbb.aaa.com”[确定]。右击[Active Directory架构]--[操作主机]--[更改]。
4.打开[Active Directory用户和计算机],右击[Active Directory用户和计算机]--[连接到域控制器],选中要连接的域控“bbb.aaa.com”,[确定]。右击[Active Directory用户和计算机]—〉[操作主机]—〉分别[更改]RID、PDC、结构。
5.打开[Active Directory域和信任关系],右击[Active Directory域和信任关系]--[连接到域控制器],选中要连接的域控bbb.aaa.com,[确定]。右击[Active Directory域和信任关系]—〉[操作主机]—〉[更改]域命名操作主机。
6.以上步骤完成主控机角色的更改。
B.假设主控机DC2损坏,用命令方式提升DC1为主控机。
在DOS模式下输入命令“ntdsutil”键入“?”(获得命令提示)—〉roles—〉—〉connections—〉connect to server aaa.aaaa.com—〉依次输入seize domain naming master、seize infrastructure master、swize PDC —〉seize RID master —〉seize schema maste
实验四、创建站点,分配子网,设置站点链接
1、打开Ad站点和服务—〉右击sites—〉新建站点—sh,gz,bj
2、右击subnets—〉新建子网—〉ip:192.168.3.0 子网255.255.255.0 点选sh
3、右击subnets—〉新建子网—〉ip:192.168.4.0 子网255.255.255.0 点选gz
4、右击subnets—〉新建子网—>ip:192.168.5.0 子网255.255.255.0 点选bj
5、展开inter-St—〉右击IP—〉新建站点链接—〉sh-bj和gz-bj
6、右击sh-bj—〉属性—〉开销10复制刷屏率120,更改计划(可改时间自定义)
7、右击gz-bj—〉属性—〉开销20复制刷屏率120,更改计划(可改时间自定义)