項(xiàng)目13部署信息中心的虛擬化服務(wù)項(xiàng)目學(xué)習(xí)目標(biāo)掌握虛擬化的概念與應(yīng)用。掌握Hyper-V虛擬化的部署與應(yīng)用。掌握虛擬機(jī)快照的配置與管理。掌握公司信息中心虛擬化簡單服務(wù)部署的業(yè)務(wù)實(shí)施流程。項(xiàng)目描述項(xiàng)目分析項(xiàng)目分析相關(guān)知識項(xiàng)目任務(wù)目錄項(xiàng)目描述項(xiàng)目描述Jan16公司有項(xiàng)目部、工會、業(yè)務(wù)部、生產(chǎn)部和信息中心部門。其中，信息中心負(fù)責(zé)管理公司所有的服務(wù)器，經(jīng)過多年的建設(shè)已經(jīng)部署DNS、DHCP服務(wù)器，公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖13-1所示。圖13-1

Jan16公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（服務(wù)器虛擬化前）項(xiàng)目描述公司的服務(wù)器已經(jīng)連續(xù)運(yùn)行超過5年，近年來，它們經(jīng)常出現(xiàn)故障，并導(dǎo)致業(yè)務(wù)中斷。隨著服務(wù)器性能的提升和虛擬化技術(shù)的成熟，公司采購了一臺安裝了Windows

Server

2012

R2的高性能服務(wù)器，擬通過虛擬化的方式將這些業(yè)務(wù)系統(tǒng)部署到虛擬機(jī)中，以提高服務(wù)的穩(wěn)定性和可靠性，改造后的公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖13-2所示。圖13-2

Jan16公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（服務(wù)器虛擬化后）項(xiàng)目描述為做好遷移準(zhǔn)備，公司希望網(wǎng)絡(luò)管理員盡快完成前期測試工作，要求如下。（1）在服務(wù)器上安裝Hyper-V虛擬化角色和功能，并按表13-1、表13-2和表13-3所示對服務(wù)器網(wǎng)絡(luò)虛擬化、CPU虛擬化和存儲虛擬化進(jìn)行配置。表13-1網(wǎng)絡(luò)虛擬化規(guī)劃序號虛擬交換機(jī)名稱連接方式用

途1Out_vSwitch橋接配置虛擬交換機(jī)關(guān)聯(lián)服務(wù)器物理網(wǎng)卡（Ethernet1），將虛擬機(jī)和物理網(wǎng)卡所在網(wǎng)絡(luò)互聯(lián)項(xiàng)目描述為做好遷移準(zhǔn)備，公司希望網(wǎng)絡(luò)管理員盡快完成前期測試工作，要求如下。（1）在服務(wù)器上安裝Hyper-V虛擬化角色和功能，并按表13-1、表13-2和表13-3所示對服務(wù)器網(wǎng)絡(luò)虛擬化、CPU虛擬化和存儲虛擬化進(jìn)行配置。表13-2

CPU虛擬化規(guī)劃功

能Inter

VT-X或AMD-V備

注是否啟用啟用Hyper-V服務(wù)要求服務(wù)器BIOS啟用CPU虛擬化項(xiàng)目描述為做好遷移準(zhǔn)備，公司希望網(wǎng)絡(luò)管理員盡快完成前期測試工作，要求如下。（1）在服務(wù)器上安裝Hyper-V虛擬化角色和功能，并按表13-1、表13-2和表13-3所示對服務(wù)器網(wǎng)絡(luò)虛擬化、CPU虛擬化和存儲虛擬化進(jìn)行配置。表13-3

Hyper-V虛擬化存儲規(guī)劃序號名

稱存儲位置/文件名存儲空間大小用

途存儲虛擬機(jī)VM1配置文件的位置1DNSServerE:\Hyper-V\VM\DNSServer\/2DHCPServerE:\Hyper-V\VM\DHCPServer\/存儲虛擬機(jī)VM2配置文件的位置3DNSServer.vhdxE:\Hyper-V\Virtual

Hard

Disks\DNSServer.vhdx100GB存儲VM1虛擬磁盤文件的位置4DHCPServer.vhdxE:\Hyper-V\Virtual

Hard

Disks\DHCPServer.vhdx100GB存儲VM2虛擬磁盤文件的位置項(xiàng)目描述（2）安裝與配置虛擬機(jī)，并按表13-4和表13-5所示的要求部署DNS和DHCP服務(wù)。表13-4服務(wù)器和虛擬機(jī)規(guī)劃服務(wù)器和虛擬機(jī)名稱主要硬件配置操作系統(tǒng)承載業(yè)務(wù)網(wǎng)絡(luò)連接方式物理機(jī)：SERVERCPU：2個16核內(nèi)存：32GB磁盤：2TBWindows

Server2012

R2Hyper-V網(wǎng)卡Ethernet1連接到數(shù)據(jù)中心交換機(jī)VM1：DNSServerCPU：1個2核內(nèi)存：4GB磁盤：100GBWindows

Server

2012R2DNS虛擬網(wǎng)卡接入虛擬交換機(jī)：Out_vSwitchVM2:DHCPServerCPU：1個2核內(nèi)存：4GB磁盤：100GBWindows

Server

2012R2DHCP虛擬網(wǎng)卡接入虛擬交換機(jī)：Out_vSwitch項(xiàng)目描述信息中心IP地址規(guī)劃如表13-5所示。表13-5信息中心IP規(guī)劃表（3）使用快照功能分別備份DNS和DHCP虛擬機(jī)。機(jī)器名稱IP地址用

途Server50/24虛擬化服務(wù)器IP地址DNSServer51/24DNS服務(wù)器IP地址DHCPServer52/24DHCP服務(wù)器IP地址Router54/24出口路由IP地址PC10/24~00/24客戶機(jī)IP地址，由DHCP服務(wù)器分配項(xiàng)目分析項(xiàng)目分析通過虛擬化服務(wù)，可以在一臺高性能計(jì)算機(jī)上部署多臺虛擬機(jī)，每一臺虛擬機(jī)承載一個或多個服務(wù)系統(tǒng)。虛擬化有利于提高計(jì)算機(jī)的利用率、減少物理計(jì)算機(jī)的數(shù)量，降低能耗，并能通過一臺宿主機(jī)管理多臺虛擬機(jī)，讓服務(wù)器的管理變得更為便捷、高效。如果同時部署兩臺Hyper-V服務(wù)器，則可以實(shí)現(xiàn)在兩臺Hyper-V服務(wù)器之間進(jìn)行虛擬機(jī)的實(shí)時遷移，基于此，可實(shí)現(xiàn)虛擬機(jī)的高可用、負(fù)載均衡等功能。根據(jù)該公司網(wǎng)絡(luò)拓?fù)浜晚?xiàng)目需求，本項(xiàng)目可以通過以下步驟來完成。在服務(wù)器上安裝和部署Hyper-V服務(wù)。在Hyper-V中分別部署DNS和DHCP虛擬機(jī)：并分別完成DHCP和DNS服務(wù)的安裝與部署。在Hyper-V服務(wù)中，配置虛擬機(jī)的快照，當(dāng)虛擬機(jī)出現(xiàn)故障時，可以快速還原到快照狀態(tài)。相關(guān)知識13.1

虛擬化的概念虛擬化技術(shù)可以理解為將一臺計(jì)算機(jī)資源從另一臺計(jì)算機(jī)資源中剝離的一種技術(shù)。它可以將一臺計(jì)算機(jī)（宿主機(jī)）虛擬為多臺邏輯計(jì)算機(jī)。在沒有虛擬化技術(shù)的情況下，雖然用戶可以在一臺計(jì)算機(jī)上安裝兩個甚至多個操作系統(tǒng)，但是一臺計(jì)算機(jī)只能同時運(yùn)行一個操作系統(tǒng)；而通過虛擬化用戶可以在同一臺計(jì)算機(jī)上同時啟動多個操作系統(tǒng)，每個操作系統(tǒng)上可以有許多不同的應(yīng)用，多個應(yīng)用之間互不干擾。以一臺計(jì)算機(jī)的虛擬化為例，虛擬化系統(tǒng)將宿主機(jī)的CPU、網(wǎng)絡(luò)、內(nèi)存、存儲、GPU等虛擬為

資源池。虛擬化系統(tǒng)負(fù)責(zé)給虛擬機(jī)分配CPU、內(nèi)存、網(wǎng)絡(luò)等資源，這些資源可以是固定的，也可以是動態(tài)的。例如，一臺虛擬機(jī)在業(yè)務(wù)繁忙時，資源較為緊張，則虛擬化系統(tǒng)可以調(diào)度（分配）更多的資源給它，以確保業(yè)務(wù)穩(wěn)定運(yùn)行，反之，在其空閑時，虛擬化系統(tǒng)也可以回收其部分資源。因此，虛擬化技術(shù)使得宿主機(jī)可以根據(jù)虛擬機(jī)的業(yè)務(wù)狀態(tài)動態(tài)分配相關(guān)資源，實(shí)現(xiàn)資源的最大化利用。13.1

虛擬化的概念信息中心在沒有引入虛擬化技術(shù)前，服務(wù)器的利用率（CPU、內(nèi)存、磁盤等）都普遍較低，造成資源浪費(fèi)，而一些計(jì)算機(jī)則經(jīng)常在業(yè)務(wù)繁忙時出現(xiàn)性能瓶頸，導(dǎo)致業(yè)務(wù)效率低下。采用虛擬化技術(shù)，虛擬化系統(tǒng)將這些資源池化后進(jìn)行統(tǒng)一管理，其通過資源的動態(tài)分配，讓各業(yè)務(wù)系統(tǒng)的資源可以按需動態(tài)分配，實(shí)現(xiàn)了公司各虛擬機(jī)（業(yè)務(wù)系統(tǒng)）運(yùn)行的穩(wěn)定性、可靠性，同時，它通過提高服務(wù)器的利用率減少了服務(wù)器的數(shù)量，也降低了數(shù)據(jù)中心的能耗。業(yè)界主要的虛擬化產(chǎn)品有Hyper-V、VMware

Workstation、VMware

ESXi、KVM。13.2

Hyper-V虛擬化Hyper-V是Windows

Server

2012

R2中的一個功能組件。它將服務(wù)器的網(wǎng)絡(luò)、CPU、磁盤等資源虛擬化，按需分配給虛擬機(jī)使用，其架構(gòu)如圖13-3所示。圖13-3

Windows

Server

2012

R2

Hyper-V虛擬化架構(gòu)13.2

Hyper-V虛擬化Hyper-V提供以下虛擬化功能。CPU虛擬化：多個VM共享CPU資源，Hyper-V會對VM中的敏感指令進(jìn)行截獲并模擬執(zhí)行。內(nèi)存虛擬化：多個VM共享同一物理內(nèi)存，內(nèi)存間相互隔離。I/O虛擬化：多個VM共享一個物理設(shè)備，如磁盤、網(wǎng)卡，虛擬化一般通過時分多路技術(shù)進(jìn)行復(fù)用。Windows

Server2012

R2電子郵件服務(wù)的安裝與配置任務(wù)規(guī)劃Jan16公司要求在一臺已安裝Windows

Server

2012

R2的服務(wù)器上部署Hyper-V服務(wù)，要求按表13-1和13-2所示的要求完成相關(guān)配置。根據(jù)項(xiàng)目背景，需要在服務(wù)器上啟用CPU虛擬化功能、安裝Hyper-V角色和功能、配置虛擬交換機(jī)Out_vSwitch，具體涉及以下幾個步驟。啟用服務(wù)器的CPU虛擬化功能。在Windows

Server

2012

R2上安裝Hyper-V角色和功能。在Hyper-V服務(wù)中配置虛擬交換機(jī)Out-vSwitch。任務(wù)實(shí)施1．啟用服務(wù)器的CPU虛擬化功能在服務(wù)器的BIOS的高級BIOS功能設(shè)定中，啟用如圖13-4所示的虛擬化功能。啟用該功能是Hyper-V虛擬化的必要條件。圖13-4在BIOS中啟用虛擬化功能任務(wù)實(shí)施在Windows

Server

2012

R2上安裝Hyper-V角色和功能在【服務(wù)器管理器】窗口中，單擊【添加角色和功能】鏈接，在彈出的【添加角色和功能向?qū)А看翱谥校瑔螕簟鞠乱徊健堪粹o。在【安裝類型】界面中，選擇【基于角色或基于功能的安裝】選項(xiàng)，然后單擊【下一步】按鈕。在【服務(wù)器選擇】界面中，保持默認(rèn)選項(xiàng)，然后單擊【下一步】按鈕。任務(wù)實(shí)施（4）在【服務(wù)器角色】界面的【角色】列表框中，勾選【Hyper-V】復(fù)選框，結(jié)果如圖13-5所示。單擊【下一步】按鈕，在彈出的【添加Hyper-V所需的功能？】視圖中，單擊【添加功

能】按鈕，然后單擊【下一步】按鈕，結(jié)果如圖13-6所示。圖13-5選擇服務(wù)器角色圖13-6【添加Hyper-V所需的功能?】視圖任務(wù)實(shí)施備注：在單擊【添加功能】按鈕之前，要確認(rèn)CPU虛擬化功能是否在BIOS中打開，如果沒有

打開，將彈出一個如圖13-7所示的對話框，提示【無法安裝Hyper-V：處理器沒有所需的虛擬化功能?！繄D13-7【無法安裝Hyper-V：處理器沒有所需的虛擬化功能?！刻崾救蝿?wù)實(shí)施在【功能】界面卡中，保持默認(rèn)選項(xiàng)并單擊【下一步】按鈕。在【Hyper-V】界面中，直接單擊【下一步】按鈕。在【創(chuàng)建虛擬交換機(jī)】視圖中，選擇宿主機(jī)與Internet相互連接的以太網(wǎng)網(wǎng)絡(luò)適配器【Ethernet1】，結(jié)果如圖13-8所示。圖13-8【創(chuàng)建虛擬交換機(jī)】視圖任務(wù)實(shí)施（8）在【虛擬機(jī)遷移】視圖中，保持默認(rèn)選項(xiàng)并單擊【下一步】按鈕，結(jié)果如圖13-9所示。圖13-9【虛擬機(jī)遷移】視圖任務(wù)實(shí)施（9）在【默認(rèn)存儲】視圖中，保持默認(rèn)選項(xiàng)并單擊【下一步】按鈕，結(jié)果如圖13-10所示，根據(jù)表13-3更改存儲位置，如圖13-11所示。圖13-10【默認(rèn)存儲】視圖圖13-11更改存儲位置任務(wù)實(shí)施在【確認(rèn)安裝所選內(nèi)容】視圖中，單擊【安裝】按鈕，開始安裝Hyper-V服務(wù)，結(jié)果如圖13-12所示在【結(jié)果】界面中，待安裝完成后單擊【關(guān)閉】按鈕，完成安裝。安裝完成后，按提示重啟服務(wù)器，完成Hyper-V服務(wù)的安裝。圖13-12【確認(rèn)安裝所選內(nèi)容】視圖任務(wù)實(shí)施3．在Hyper-V服務(wù)中配置虛擬交換機(jī)Out-vSwitch（1）在【服務(wù)器管理器】窗口的【工具】下拉菜單中選擇【Hyper-V管理器】命令。在彈出的【Hyper-V管理器】窗口中右擊【SERVER】選項(xiàng)，在彈出的快捷菜單中選擇【虛擬交換機(jī)管理器】命令，結(jié)果如

圖13-13所示。圖13-13選擇【虛擬交換機(jī)管理器】命令任務(wù)實(shí)施（2）在打開的【SERVER的虛擬交換機(jī)管理器】窗口中，選擇上一步自動創(chuàng)建的虛擬交換機(jī)，并在【虛擬交換機(jī)屬性】欄的【名稱】文本框中輸入【Out_vSwitch】，重命名交換機(jī)，結(jié)果如圖13-14所示。圖13-14重命名交換機(jī)任務(wù)驗(yàn)證任務(wù)驗(yàn)證在【服務(wù)器管理器】窗口中選擇【工具】下拉菜單中的【Hyper-V管理器】命令，打開【Hyper-V管理器】窗口，結(jié)果如圖13-15所示。圖13-15【Hyper-V管理器】窗口在Hyper-V中部署DNS和DHCP兩臺虛擬機(jī)任務(wù)規(guī)劃本任務(wù)要求管理員在Hyper-V中部署兩臺虛擬機(jī)，并按業(yè)務(wù)規(guī)劃將DHCP和DNS服務(wù)部署到虛擬機(jī)中。服務(wù)器虛擬化結(jié)構(gòu)如圖13-16所示。圖13-16服務(wù)器虛擬化結(jié)構(gòu)任務(wù)規(guī)劃根據(jù)任務(wù)規(guī)劃，使用兩臺虛擬機(jī)部署DHCP和DNS服務(wù)，具體涉及以下幾個步驟。創(chuàng)建虛擬機(jī)存儲目錄。在Hyper-V中創(chuàng)建虛擬機(jī)DNSServer和DHCPServer。在虛擬機(jī)中安裝和配置DHCP和DNS服務(wù)。任務(wù)實(shí)施1．創(chuàng)建虛擬機(jī)存儲目錄根據(jù)表13-3，在服務(wù)器的E盤為DNS和DHCP虛擬機(jī)分別創(chuàng)建存儲目錄，結(jié)果如圖13-17所示。

虛擬機(jī)的磁盤文件可以在新建虛擬機(jī)時創(chuàng)建，也可以提前創(chuàng)建，本任務(wù)在創(chuàng)建虛擬機(jī)時按向?qū)?chuàng)建對應(yīng)的虛擬機(jī)磁盤文件。圖13-17為虛擬機(jī)創(chuàng)建存儲目錄任務(wù)實(shí)施在Hyper-V中創(chuàng)建虛擬機(jī)DNSServer和DHCPServer在【服務(wù)器管理器】窗口的【工具】下拉菜單中選擇【Hyper-V管理器】命令。在打開的【Hyper-V管理器】窗口中，右擊【SERVER】選項(xiàng)，在彈出的快捷菜單中選擇【新建】子菜單下的【虛擬機(jī)】命令，結(jié)果如圖13-18所示。圖13-18新建虛擬機(jī)任務(wù)實(shí)施（3）在彈出的【新建虛擬機(jī)向?qū)А繉υ捒蛑袉螕簟鞠乱徊健堪粹o。在【指定名稱和位置】視圖的【名稱】文本框中輸入【DNSServer】，在【位置】文本框中輸入表13-3中指定的路徑【E:\Hyper-V\VM\DNSServer\】，結(jié)果如圖13-19所示，然后單擊【下一步】按鈕。圖13-19指定名稱和位置任務(wù)實(shí)施（4）在【指定代數(shù)】視圖中，選擇虛擬機(jī)的代數(shù)為【第二代】，結(jié)果如圖13-20所示，然后單擊【下一步】按鈕。圖13-20配置虛擬機(jī)的CPU指定代數(shù)任務(wù)實(shí)施（5）在【分配內(nèi)存】視圖中，按表13-4所示，輸入【啟動內(nèi)存】【4096】（4GB），結(jié)果如圖13-21所示，然后單擊【下一步】按鈕。圖13-21分配內(nèi)存任務(wù)實(shí)施（6）在【配置網(wǎng)絡(luò)】視圖的【連接】下拉列表中選擇【Out_vSwitch】選項(xiàng)，結(jié)果如圖13-22所示，然后單擊【下一步】按鈕。圖13-22配置虛擬機(jī)的連接網(wǎng)絡(luò)任務(wù)實(shí)施（7）在【連接虛擬硬盤】視圖中選擇【創(chuàng)建虛擬硬盤】單選按鈕。按表13-3所示，在【名稱】文本框中輸入虛擬機(jī)的名稱【DNSServer.vhdx】，在【位置】文本框中輸入虛擬機(jī)虛擬硬盤的存儲位置【E:\Hyper-V\Virtual

Hard

Disks\】，在【大小】文本框中輸入虛擬機(jī)硬盤大小【100】，結(jié)果如圖13-23所示，然后單擊【下一步】按鈕。圖13-23連接虛擬硬盤配置任務(wù)實(shí)施（8）在【安裝選項(xiàng)】視圖中，選擇操作系統(tǒng)安裝源的方式有3種，本任務(wù)將通過映像文件方式進(jìn)行安裝，選擇【可從啟動的映像文件安裝操作系統(tǒng)】單選按鈕，并指向已經(jīng)下載好的

Windows

Server

2012

R2安裝包路徑，結(jié)果如圖13-24所示，然后單擊【下一步】按鈕。圖13-24安裝選項(xiàng)任務(wù)實(shí)施（9）在【正在完成新建虛擬機(jī)向?qū)А恳晥D中，可以再次確認(rèn)新建的虛擬機(jī)參數(shù)是否和表13-1～表13-4中的數(shù)據(jù)一致，確認(rèn)無誤后單擊【完成】按鈕，完成虛擬機(jī)的創(chuàng)建，結(jié)果如圖13-25所示。圖13-25創(chuàng)建【DHCPServer】虛擬機(jī)任務(wù)實(shí)施（10）回到【Hyper-V管理器】窗口，在【虛擬機(jī)】欄中可以看到新建的虛擬機(jī)【

DNSServer】，結(jié)果如圖13-26所示。圖13-26【Hyper-V管理器】窗口（1）任務(wù)實(shí)施（11）重復(fù)以上操作，繼續(xù)完成【DHCPServer】虛擬機(jī)的創(chuàng)建，創(chuàng)建完成后的結(jié)果如圖13-27所示。圖13-27【Hyper-V管理器】窗口（2）任務(wù)實(shí)施3．在虛擬機(jī)中安裝和配置DHCP和DNS服務(wù)（1）在如圖13-28所示的【Hyper-V管理器】窗口中右擊【DNSServer】虛擬機(jī)，在彈出的快捷菜單中選擇【啟動】命令，啟動虛擬機(jī)。圖13-28啟動【DNSServer】虛擬機(jī)任務(wù)實(shí)施繼續(xù)右擊【DNSServer】虛擬機(jī)，在彈出的快捷菜單中選擇【連接】命令，進(jìn)入虛擬機(jī)管理桌面，結(jié)果如圖13-29所示。參考項(xiàng)目1完成Windows

Server

2012

R2系統(tǒng)的安裝，參考項(xiàng)目7和項(xiàng)目8完成DNS、

DHCP服務(wù)的部署。圖13-29虛擬機(jī)管理界面任務(wù)驗(yàn)證任務(wù)驗(yàn)證啟動信息中心的客戶機(jī)PC1，查看PC1網(wǎng)絡(luò)連接的詳細(xì)信息，結(jié)果如圖13-30所示。結(jié)果顯示，PC1成功通過虛擬機(jī)DHCP服務(wù)器獲取IP地址。網(wǎng)絡(luò)管理員還可以進(jìn)一步配置DNS服務(wù)器的域名服務(wù)，然后在客戶端測試域名解析功能是否正常。圖13-30

PC1獲取到DHCP服務(wù)器下發(fā)的IP地址配置與管理虛擬機(jī)的快照任務(wù)規(guī)劃網(wǎng)絡(luò)管理員可以使用Hyper-V的快照功能對兩臺虛擬機(jī)進(jìn)行備份，以便在虛擬機(jī)出現(xiàn)故障時能快速恢復(fù)。DNS和DHCP服務(wù)作為網(wǎng)絡(luò)基礎(chǔ)服務(wù)，在部署后，變更較少，網(wǎng)絡(luò)管理員只需

要做好其服務(wù)運(yùn)行保障工作就可以了，因此，此類服務(wù)的穩(wěn)定性和可靠性尤為重要?？煺占夹g(shù)類似于照相機(jī)的照相功能，它通過Microsoft

Volume

Shadow

Copy

Service（卷影復(fù)制服務(wù)）技術(shù)來存儲虛擬機(jī)建立快照時的狀態(tài)，這些狀態(tài)包括虛擬機(jī)系統(tǒng)的內(nèi)存、磁盤、網(wǎng)絡(luò)等內(nèi)容的狀態(tài)。在虛擬機(jī)后期出現(xiàn)故障時，快照功能可以讓虛擬機(jī)快速恢復(fù)到快照建立時間點(diǎn)的狀態(tài)。需要注意的是，快照功能不能恢復(fù)VM建立快照之后系統(tǒng)發(fā)生變化的數(shù)據(jù)，因此快照技術(shù)非常適用于

DNS、DHCP等數(shù)據(jù)變化很小的虛擬機(jī)備份。任務(wù)實(shí)施選擇【Hyper-V管理器】窗口中的【SERVER】服務(wù)器，在中間窗格中右擊【DNSServer】虛

擬機(jī)，在彈出的如圖13-31所示的快捷菜單中選擇【檢查點(diǎn)】命令，完成快照的創(chuàng)建，結(jié)果如圖13-32所示，在【檢查點(diǎn)】欄中出現(xiàn)了當(dāng)前時間的快照，如圖13-32所示。圖13-31創(chuàng)建快照圖13-32【DNSServer】虛擬機(jī)的快照任務(wù)驗(yàn)證任務(wù)驗(yàn)證當(dāng)虛擬機(jī)出現(xiàn)故障時，網(wǎng)絡(luò)管理員可以通過快照（檢查點(diǎn)）還原，在任務(wù)驗(yàn)證部分我們將演示如何將虛擬機(jī)恢復(fù)到快照狀態(tài)。（1）在如圖13-33所示的【Hyper-V管理器】窗口中，右擊【DNSServer】快照，在彈出的快捷菜單中選擇【應(yīng)用】命令，結(jié)果如圖13-34所示。圖13-30

PC1獲取到DHCP服務(wù)器下發(fā)的IP地址任務(wù)驗(yàn)證（2）在彈出的如圖13-33所示的【應(yīng)用檢查點(diǎn)】對話框中，網(wǎng)絡(luò)管理員可以單擊【創(chuàng)建檢查點(diǎn)并應(yīng)用】或【應(yīng)用】兩個按鈕進(jìn)行還原，建議單擊【創(chuàng)建檢查點(diǎn)并應(yīng)用】按鈕。圖13-34【應(yīng)用檢查點(diǎn)】對話框項(xiàng)目14部署公司的活動目錄服務(wù)項(xiàng)目學(xué)習(xí)目標(biāo)了解活動目錄、活動目錄對象、活動目錄架構(gòu)的概念與應(yīng)用。了解活動目錄的邏輯結(jié)構(gòu)、物理結(jié)構(gòu)相關(guān)知識。掌握DNS服務(wù)與活動目錄的關(guān)系及應(yīng)用。掌握公司組織架構(gòu)下活動目錄域控制器的部署、域用戶和計(jì)算機(jī)的管理等簡單域服務(wù)部署的業(yè)務(wù)實(shí)施流程。項(xiàng)目描述項(xiàng)目分析項(xiàng)目分析相關(guān)知識項(xiàng)目任務(wù)目錄項(xiàng)目描述項(xiàng)目描述隨著EDU公司規(guī)模的擴(kuò)大，公司人員和計(jì)算機(jī)規(guī)模隨之增長，以傳統(tǒng)工作組方式管理公司大量的計(jì)算機(jī)已不能滿足公司的發(fā)展需求，為保障公司業(yè)務(wù)更加安全穩(wěn)定，實(shí)現(xiàn)資源的集中管理，網(wǎng)絡(luò)管理員將引入全新的Windows

Server2012

R2域來管理公司的用戶和計(jì)算機(jī)。為讓部門員工盡快熟悉Windows

Server

2012

R2域環(huán)境，網(wǎng)絡(luò)管理員將在一臺新安裝的Windows

Server

2012

R2服務(wù)器上建立公司的第一臺域控制器。公司域信息規(guī)劃如下。域控制器名稱為DC1。域名為JAN16.CN。域的簡稱為JAN16。域控制器IP地址為/24。域用戶包括candy、jack，其中jack為實(shí)習(xí)生，僅允許在上班時間（周一～周五的9:00～17:00）登錄到域。項(xiàng)目描述域測試環(huán)境拓?fù)浣Y(jié)構(gòu)如圖14-1所示。圖14-1域測試環(huán)境拓?fù)浣Y(jié)構(gòu)項(xiàng)目分析項(xiàng)目分析本項(xiàng)目需要網(wǎng)絡(luò)管理員了解活動目錄的概念、活動目錄的邏輯結(jié)構(gòu)、活動目錄的物理結(jié)構(gòu)和DNS服務(wù)與活動目錄的相關(guān)性；并在測試環(huán)境中部署公司的第一臺域控制器，然后將公司的用戶和計(jì)算機(jī)加入域，實(shí)現(xiàn)用域來管理公司的用戶和計(jì)算機(jī)，工作任務(wù)如下。部署公司的第一臺域控制器：根據(jù)域測試環(huán)境拓?fù)浣Y(jié)構(gòu)和域相關(guān)信息部署公司的第一臺域控制器。將用戶和計(jì)算機(jī)加入域：將客戶機(jī)和測試賬戶加入域。相關(guān)知識14.1

什么是活動目錄活動目錄（ActiveDirectory，AD）由“活動”和“目錄”兩部分組成，其中“活動”是用來修飾“目錄”的，其核心是“目錄”，而“目錄”代表的是目錄服務(wù)（Directory

Service）。1．目錄的概念讀者最熟悉的就是書的目錄，通過它就能知道書的大致內(nèi)容，但目錄服務(wù)和書的目錄不同，目錄服務(wù)是一種網(wǎng)絡(luò)服務(wù)，它存儲了網(wǎng)絡(luò)資源的信息并使用戶和應(yīng)用程序能訪問這些資源。在活動目錄管理的網(wǎng)絡(luò)中，目錄首先是一個容器，它存儲了所有的用戶、計(jì)算機(jī)、應(yīng)用服務(wù)等資源，同時對于這些資源，目錄服務(wù)通過規(guī)則讓用戶和應(yīng)用程序可以快速訪問。例如，在工作組的計(jì)算機(jī)管理中，如果一個用戶需要使用多臺計(jì)算機(jī)，那么網(wǎng)絡(luò)管理員需要到這些計(jì)算機(jī)上為該用戶創(chuàng)建賬戶并授予相應(yīng)的訪問權(quán)限。如果有大量的用戶有這類需求，那么網(wǎng)絡(luò)管理員的管理難度將十分繁雜。但在活動目錄的管理方式下，用戶作為資源被統(tǒng)一管理，每一個用工擁有唯一的活動目錄賬戶，通過對該用戶授權(quán)訪問特定組的計(jì)算機(jī)即可完成該工

作。通過比較不難得出，AD在管理大量用戶和計(jì)算機(jī)時所具有的優(yōu)勢。14.1

什么是活動目錄2．活動的概念活動可以解釋為動態(tài)的，可擴(kuò)展的，主要體現(xiàn)在以下2個方面：（1）AD對象的數(shù)量可以按需增減或移動。AD中的對象可以按需求增加、減少和移動。例如，新購置了計(jì)算機(jī)、有部分員工離職、員工變換工作崗位，這些都必須相應(yīng)地在AD中改變。14.1

什么是活動目錄（2）AD對象的屬性是可以增加的。每一個對象都是用它的屬性進(jìn)行描述的，AD對象的管理實(shí)際上就是對對象屬性的管理，而對象的屬性是可能發(fā)生變化的。例如，聯(lián)系方式這個屬性原先只有通信地址、手機(jī)、電子郵件等，可隨著社會發(fā)展，用戶的聯(lián)系方式可能需要增加微信號、微博號等，而且這些屬性還在持續(xù)變化。在AD中支持對象屬性的增加，AD管理員通過修改AD架構(gòu)來增加屬性，然后AD用戶就可以在AD中使用這個屬性了。需要注意的是，AD對象的屬性可以增加，但不可以減少，如果一些對象屬性不允許使用，則可以禁用它。綜上所述，活動目錄是一個數(shù)據(jù)庫，它存儲著網(wǎng)絡(luò)中重要的資源信息。當(dāng)用戶需要訪問網(wǎng)絡(luò)中的資源時，就可以到活動目錄中進(jìn)行檢索并快速查找到需要的對象。而且活動目錄是一種分布式服務(wù)，當(dāng)網(wǎng)絡(luò)的地理范圍很大時，可以通過位于不同地點(diǎn)的活動目錄數(shù)據(jù)庫提供相同的服務(wù)來滿足用戶的需求。14.2

活動目錄對象簡單地說，在AD中可以被管理的一切資源都被稱為AD對象，如用戶、組、計(jì)算機(jī)賬戶、共享文件夾等。AD的資源管理就是對這些AD對象的管理，包括設(shè)置對象的屬性、安全性等。每一個對象都存儲在AD的邏輯結(jié)構(gòu)中，可以說AD對象是組成AD的基本元素。14.3

活動目錄架構(gòu)架構(gòu)（Schema）就是活動目錄的基本結(jié)構(gòu)，是組成活動目錄的規(guī)則。AD架構(gòu)中包含兩個方面的內(nèi)容：對象類和對象屬性。其中，對象類用來定義在AD中可以創(chuàng)建

的所有可能的目錄對象，如用戶、組等；對象屬性用來定義在每個對象中可以有哪些屬性來標(biāo)識該對象，如用戶可以有登錄名、電話號碼等屬性。也就是說，AD架構(gòu)用來定義數(shù)據(jù)類型、語法規(guī)則、命名約定等內(nèi)容。當(dāng)在AD中創(chuàng)建對象時，需要遵守AD架構(gòu)規(guī)則，只有在AD架構(gòu)中定義了一個對象的屬性才可以在AD中使用該屬性。前面敘述的在AD中對象的屬性是可以增加的，這要通過擴(kuò)展AD架構(gòu)來實(shí)現(xiàn)。AD架構(gòu)存儲在AD架構(gòu)表中，當(dāng)需要擴(kuò)展時，AD管理員只需要在架構(gòu)表中進(jìn)行修改即可，在整

個活動目錄林中只能有一個架構(gòu)，也就是說，在AD中所有的對象都會遵守同樣的規(guī)則，這將有助于網(wǎng)絡(luò)資源的管理。14.4

輕型目錄訪問協(xié)議LDAP（Light

Weight

Directory

Access

Protocol，輕量目錄訪問協(xié)議）是訪問AD的協(xié)議，當(dāng)

AD中對象的數(shù)量非常大時，如果要對某個對象進(jìn)行管理和使用，就需要查找和定位該對象，這時就需要按照一種層次結(jié)構(gòu)來查找它，LDAP協(xié)議就提供了這樣一種機(jī)制。例如，寄快遞，如果要給張三寄快遞，你需要知道他住在哪個城市、區(qū)、街道、大樓、樓層、房間號的信息，最后才能根據(jù)這個地址快遞給他。這就是一種層次結(jié)構(gòu)，LDAP協(xié)議就提供了

類似的結(jié)構(gòu)。在LDAP協(xié)議中指定了嚴(yán)格的命名規(guī)范，用戶按照這個規(guī)范可以唯一地定位一個AD對象，如表14-1所示。表14-1

LDAP協(xié)議中關(guān)于DC、OU和CN的定義名字DC屬性描述域組件組織單位普通名字活動目錄域的DNS名稱組織單位可以和實(shí)際中的一個行政部門相對應(yīng)，在組織單位中可以包括其他對象，如用戶、計(jì)算機(jī)等OUCN除域組件和組織單位外的所有對象，如用戶、打印機(jī)等14.4

輕型目錄訪問協(xié)議按照這個規(guī)范，假如在域EDU.cn中有一個組織單位software，在這個組織單位下有一個用戶賬戶candy，那么在活動目錄中LDAP協(xié)議用下面的格式來標(biāo)識該對象：CN=candy,OU=software,DC=EDU,DC=cnLDAP協(xié)議的命名包括兩種類型：辨別名（Distinguished

Names）和相關(guān)辨別名（RelativeDistinguished

Names）。上面所寫的“CN=candy,OU=software,DC=EDU,DC=cn”就是candy對象在AD中的辨別名；而相關(guān)辨別名是指辨別名中唯一能標(biāo)識這個對象的部分，通常為辨別名中最前面的一個。在上面這個例子中“CN=candy”就是candy對象在AD中的相關(guān)辨別名，該名稱在AD中必須唯一。14.5

活動目錄的邏輯結(jié)構(gòu)在活動目錄中有很多種資源，要對這些資源進(jìn)行很好的管理就必須把它們有效地組織起來，活動目錄的邏輯結(jié)構(gòu)就是用來組織資源的。活動目錄的邏輯結(jié)構(gòu)可以和公司的組織機(jī)構(gòu)圖結(jié)合起來理解，通過對資源進(jìn)行邏輯組織，使用戶可以通過名稱而不是通過物理位置來查找資源，并且使網(wǎng)絡(luò)的物理結(jié)構(gòu)對用戶透明化。活動目錄的邏輯結(jié)構(gòu)包括域（Domain）、域樹（DomainTree）、域目錄林（Forest）和組織單位（Organization

Unit），如圖14-2所示。圖14-2活動目錄的邏輯結(jié)構(gòu)14.5

活動目錄的邏輯結(jié)構(gòu)域的概念域是活動目錄的邏輯結(jié)構(gòu)的核心單元，是活動目錄對象的容器。同時域定義了三個邊界：安全邊界、管理邊界、復(fù)制邊界。

安全邊界：域中所有的對象都保存在域中，并且每個域只保存屬于本域的對象，所以域管理員只能管理本域。安全邊界的作用就是保證域的管理員只能在該域內(nèi)擁有必要的管理權(quán)限，而對于其他域（如子域）則沒有權(quán)限。

管理邊界：每一個域管理員只能管理自身區(qū)域中的對象，例如，父域和子域是兩個獨(dú)立的域，兩個域的管理員僅能管理自身區(qū)域中的對象，由于它們存在邏輯上的父子信任關(guān)系，因此兩個域的用戶可以相互訪問，但是不能管理對方區(qū)域中的對象。14.5

活動目錄的邏輯結(jié)構(gòu)

復(fù)制邊界：域是復(fù)制的單元，是一種邏輯的組織形式，因此一個域可以跨越多個物理位置。如圖14-3所示，EDU公司在北京和廣州都有公司的相關(guān)機(jī)構(gòu)，它們都隸屬于EDU.cn域，北京和廣州兩地通過ADSL撥號互聯(lián)，同時兩地各部署了一臺域控制器。如果EDU.cn域中只有

一臺域控制器在北京，那么廣州的客戶端在登錄域或者使用域中的資源時都要通過北京的域控制器進(jìn)行查找，而北京和廣州的網(wǎng)絡(luò)連接速度較慢，在這種情況下，為了提高用戶的訪問速率可以在廣州部署一臺域控制器，同時讓廣州的域控制器復(fù)制北京域控制器中的所有數(shù)

據(jù)，這樣廣州的用戶只需通過本地域控制器即可實(shí)現(xiàn)快速登錄和資源查找。由于域控制器的數(shù)據(jù)是動態(tài)的（如管理員禁用了一個用戶），因此域內(nèi)的所有域控制器之間必須實(shí)現(xiàn)數(shù)據(jù)同步。域控制器僅能復(fù)制本域內(nèi)的數(shù)據(jù)，不能復(fù)制其他域中數(shù)據(jù)。圖14-3活動目錄的邏輯結(jié)構(gòu)14.5

活動目錄的邏輯結(jié)構(gòu)綜上所述，域是一種邏輯的組織形式，能夠?qū)W(wǎng)絡(luò)中的資源進(jìn)行統(tǒng)一管理，要實(shí)現(xiàn)域的管理，必須在一臺計(jì)算機(jī)上安裝活動目錄，而安裝了活動目錄的計(jì)算機(jī)被稱為域控制器。2．登錄到域和登錄到本機(jī)的區(qū)別登錄到域和登錄到本機(jī)是有區(qū)別的，在屬于工作組的計(jì)算機(jī)上只能通過本地賬戶登錄到本機(jī)，在一臺加入域的計(jì)算機(jī)上可以選擇登錄到域或者登錄到本機(jī)，如圖14-4所示。圖14-4加入域的計(jì)算機(jī)登錄界面14.5

活動目錄的邏輯結(jié)構(gòu)在登錄到本機(jī)時，必須輸入這臺計(jì)算機(jī)上的本地用戶賬戶的信息，在【計(jì)算機(jī)管理】控制臺下可以查看這些用戶賬戶的信息，登錄驗(yàn)證也是由這臺計(jì)算機(jī)完成的。本地登錄賬戶的格式通常為【計(jì)算機(jī)名\用戶名】，如SRV1\candy。在登錄到域時必須輸入域用戶賬戶的信息，而域用戶賬戶的信息只保存在域控制器上。因此用戶無論使用哪臺域客戶機(jī)，其登錄驗(yàn)證都是由域控制器來完成的，也就是說，在默認(rèn)情況下，域用戶可以使用任何一臺域客戶機(jī)。域登錄賬戶的格式通常為【用戶名@域名】，如

candy@EDU.cn。在域的管理中，基于安全考慮，域客戶機(jī)的所有賬戶都會被域管理員統(tǒng)一回收，公司員工僅能通過域賬戶使用域客戶機(jī)。14.5

活動目錄的邏輯結(jié)構(gòu)3．域樹域樹是由一組具有連續(xù)命名空間的域組成的。例如，EDU公司最初只有一個域名EDU.cn，公司規(guī)模擴(kuò)大后，在北京成立了一個分公司，處于安全考慮需要新創(chuàng)建一個域BJ.EDU.cn，可以把這個新域加入域中，BJ.EDU.cn是EDU.cn的子域，EDU.cn是BJ.EDU.cn的父域。組成一棵域樹的第一個域被稱為樹的根域，在圖14-2中，左邊第一棵樹的根域?yàn)镋DU.cn，樹中其他域被稱為該樹的節(jié)點(diǎn)域。14.5

活動目錄的邏輯結(jié)構(gòu)域樹和信任關(guān)系域樹是由多個域組成的，而域的安全邊界作用使得域和其他域之間的通信需要獲得授權(quán)。在活動目錄中，這種授權(quán)是通過信任關(guān)系來實(shí)現(xiàn)的。在活動目錄的域樹中，父域和子域之間可以自動建立一種雙向可傳遞的信任關(guān)系。如果A和B兩個域直接有雙向信任關(guān)系，則可以得到以下結(jié)果。這兩個域就像在同一個域一樣，A域中的賬戶可以在B域中登錄A域，反之亦然。A域中的用戶可以訪問B域中有權(quán)訪問的資源，反之亦然。A域中的全局組可以加入B域中的本地組，反之亦然。這種雙向信任關(guān)系淡化了不同域之間的界限，而且在AD中父域和子域之間的信任關(guān)系是可以傳遞的，可傳遞的意思是如果A域信任B域，B域信任C域，那么A域也就信任C域。在圖14-4中，

GD.EDU.cn域和BJ.EDU.cn域分別與EDU.cn建立了父子域關(guān)系，所以它們也相互信任并允許相互訪問，也可以稱它們?yōu)樾值苡蜿P(guān)系。由于這種雙向可傳遞的信任關(guān)系存在，因此這幾個域已融為一體。14.5

活動目錄的邏輯結(jié)構(gòu)5．域目錄林域目錄林是由一棵或多棵域樹組成的，每棵域樹使用自身連續(xù)的命名空間，不同域樹之間沒有命名空間的連續(xù)性，如圖14-5所示。圖14-5

AD的邏輯結(jié)構(gòu)——域目錄林14.5

活動目錄的邏輯結(jié)構(gòu)域目錄林具有以下特點(diǎn)。域目錄林中的第一個域被稱為該目錄林的根域，根域的名字將作為目錄林的名字。域目錄林的根域和該目錄林中的其他域樹的根域直接存在雙向可傳遞的信任關(guān)系。域目錄林中的所有域樹擁有相同的架構(gòu)和全局編錄。在活動目錄中，如果只有一個域，那么這個域也被稱為一個目錄林，因此單域是最小的林。前面介紹了域的安全邊界，如果一個域用戶要對其他域進(jìn)行管理，則必須得到其他域的授權(quán)，但在目錄林中有一種特殊情況，在默認(rèn)情況下目錄林的根域管理員可以對目錄林中的所有域執(zhí)行管理權(quán)限，這個管理員也被稱為整個目錄林的管理員。14.5

活動目錄的邏輯結(jié)構(gòu)6．組織單位組織單位是活動目錄中的一個特殊容器。它可以把用戶、組、計(jì)算機(jī)等對象組織起來。與一般的容器僅能包含對象不同，組織單位不僅可以包含對象，而且可以進(jìn)行組策略設(shè)置和委派管

理，這是普通容器不能實(shí)現(xiàn)的。組策略和委派將在后續(xù)內(nèi)容中介紹。組織單位是活動目錄中最小的管理單元。如果一個域中的對象數(shù)目非常多，可以用組織單位把一些具有相同管理要求的對象組織起來，這樣就可以實(shí)現(xiàn)分級管理。而且域管理員可以委托某個用戶去管理某個組織單位，管理權(quán)限可以根據(jù)需要進(jìn)行配置，這樣就可以減輕管理員的工作負(fù)擔(dān)。組織單位可以和公司的行政機(jī)構(gòu)相結(jié)合，這樣可以方便管理員對活動目錄對象進(jìn)行管理，而且組織單位可以像域一樣做成樹狀的結(jié)構(gòu)，即一個OU下面還可以有子OU。14.5

活動目錄的邏輯結(jié)構(gòu)在規(guī)劃單位時可以根據(jù)兩個原則：地點(diǎn)和部門職能。如果一個公司的域由北京總公司和廣州分公司組成，而且每個城市都有市場部、技術(shù)部、財(cái)務(wù)部3個部門，則可以按照如圖14-5左邊所示的結(jié)構(gòu)來組織域中的子域（在AD中，組織單位用圓形來表示），圖14-5右邊則是根據(jù)左邊的結(jié)構(gòu)創(chuàng)建的OU結(jié)果。圖14-6活動目錄的邏輯結(jié)構(gòu)——組織單位14.5

活動目錄的邏輯結(jié)構(gòu)7．全局編錄一個域的活動目錄只能存儲該域的信息，相當(dāng)于這個域的目錄。而當(dāng)一個目錄林中有多個域

時，由于每個域都有一個活動目錄，因此如果一個域的用戶要在整個目錄林范圍內(nèi)查找一個對象，就需要搜索目錄林中的所有域，這時用戶就需要等待較長的時間。全局編錄（Global

Catalog，GC）相當(dāng)于一個總目錄，就像一個書架的圖書有一個總目錄一

樣，用于存儲已有活動目錄中所有域（林）對象的子集。在默認(rèn)情況下，存儲在全局編錄中的對象屬性是經(jīng)常用到的內(nèi)容，而非全部屬性。整個目錄林會共享相同的全局編錄信息。全局編錄中的對象具有訪問權(quán)限，用戶只能看見有訪問權(quán)限的對象，如果一個用戶對某個對象沒有訪問權(quán)限，在查找時將看不到這個對象。14.6

活動目錄的物理結(jié)構(gòu)前面所述的都是活動目錄的邏輯結(jié)構(gòu)，在活動目錄中，邏輯結(jié)構(gòu)是用來組織網(wǎng)絡(luò)資源的，而物理結(jié)構(gòu)則是用來設(shè)置和管理網(wǎng)絡(luò)流量的?；顒幽夸浀奈锢斫Y(jié)構(gòu)由域控制器和站點(diǎn)組成。域控制器域控制器（DomainController，DC）是存儲活動目錄信息的地方，用來執(zhí)行用戶登錄進(jìn)程、驗(yàn)證和目錄搜索等任務(wù)。一個域中可以有一臺或多臺DC，為了保證用戶訪問活動目錄信息的一致性，就需要在各DC之間實(shí)現(xiàn)活動目錄數(shù)據(jù)的復(fù)制，以保持同步。站點(diǎn)站點(diǎn)（Site）一般與地理位置相對應(yīng)，它由一個或幾個物理子網(wǎng)組成。創(chuàng)建站點(diǎn)的目的是優(yōu)化DC間復(fù)制的網(wǎng)絡(luò)流量。14.6

活動目錄的物理結(jié)構(gòu)如圖14-7所示，在沒有配置站點(diǎn)的AD中，所有的域控制器都將相互復(fù)制數(shù)據(jù)以保持同步，那么廣州的A1和A2與北京的B1、B2和B3間相互復(fù)制數(shù)據(jù)就會占用較長時間。例如，A1和B1的同步

復(fù)制與A2與B1的同步復(fù)制就明顯存在重復(fù)在公網(wǎng)上復(fù)制相同數(shù)據(jù)的情況，但是在站點(diǎn)的作用

下，A2不能直接和B1同步復(fù)制，因?yàn)镈C的同步首先在站點(diǎn)內(nèi)同步，然后通過各自站點(diǎn)的一臺

服務(wù)器進(jìn)行同步，最后各自站點(diǎn)內(nèi)進(jìn)行同步完成全域或全林的數(shù)據(jù)同步。圖14-7活動目錄的站點(diǎn)結(jié)構(gòu)14.6

活動目錄的物理結(jié)構(gòu)通過站點(diǎn)優(yōu)化了DC間的數(shù)據(jù)同步的網(wǎng)絡(luò)流量。站點(diǎn)具有以下特點(diǎn)。一個站點(diǎn)可以有一個或多個IP子網(wǎng)。一個站點(diǎn)中可以有一個或多個域。一個域可以屬于多個站點(diǎn)。利用站點(diǎn)可以控制DC的復(fù)制是同一站點(diǎn)內(nèi)的復(fù)制，還是不同站點(diǎn)間的復(fù)制，而且利用站點(diǎn)鏈接可以有效地組織活動目錄復(fù)制流，控制AD復(fù)制的時間和經(jīng)過的鏈路。需要注意的是，站點(diǎn)和域之間沒有必然的聯(lián)系，站點(diǎn)映射了網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，域映射了網(wǎng)絡(luò)的邏輯拓?fù)浣Y(jié)構(gòu)，AD允許一個站點(diǎn)可以有多個域，一個域也可以有多個站點(diǎn)。14.7

DNS服務(wù)與活動目錄DNS是Internet的重要服務(wù)之一，它用于實(shí)現(xiàn)IP地址和域名的相互解析。同時它為Internet提供了一種邏輯的分層結(jié)構(gòu)，用戶利用這個結(jié)構(gòu)可以標(biāo)識Internet所有的計(jì)算機(jī)，這個結(jié)構(gòu)也為人們使用Internet提供了便捷。與DNS類似，AD的邏輯結(jié)構(gòu)也是分層的，因此可以把DNS和AD結(jié)合起來，這樣就可以便捷管理和訪問AD中的資源。圖14-8顯示了DNS命名空間和AD命名空間的對應(yīng)關(guān)系。圖14-8命令空間和AD命令空間的對應(yīng)關(guān)系14.7

DNS服務(wù)與活動目錄在AD中，域控制器會自動向DNS服務(wù)器注冊SRV記錄，在SRV記錄中包含了服務(wù)器所提供服

務(wù)的信息及服務(wù)器的主機(jī)名與IP地址等。利用SRV記錄，客戶端可以通過DNS服務(wù)器查找域控制器、應(yīng)用服務(wù)器等信息。圖14-9所示為在活動目錄的一臺域控制器中的DNS控制臺界面，通過該界面可以看到EDU.cn區(qū)域下有_msdcs、_sites、_tcp、_udp、DomainDnsZones和ForestDnsZones

6個子文件夾，這些文件夾中存放的就是SRV記錄。圖14-9活動目錄的一臺域控制器中的DNS控制臺界面14.7

DNS服務(wù)與活動目錄綜上所述，DNS是活動目錄的基礎(chǔ)，要實(shí)現(xiàn)活動目錄，就必須安裝DNS服務(wù)。在安裝域的第一臺域控制器時，應(yīng)該將其設(shè)置為DNS服務(wù)器，并且在活動目錄安裝過程中，DNS會自動創(chuàng)建與活動目錄域名相同的正向查找區(qū)域。14.8

活動目錄的特點(diǎn)與優(yōu)勢與非域環(huán)境下獨(dú)立的管理方式相比，利用AD管理網(wǎng)絡(luò)資源有以下優(yōu)勢。資源的統(tǒng)一管理。活動目錄的目錄是一個能存儲大量對象的容器，它可以統(tǒng)一管理公司中成千上萬分布于異地的計(jì)算機(jī)、用戶等資源，如統(tǒng)一升級軟件等，而且管理員還可以通過委派下放一部分管理權(quán)限給某個用戶賬戶，讓該用戶替管理員執(zhí)行特定的管理。網(wǎng)絡(luò)資源便捷訪問?；顒幽夸泴⒐舅械馁Y源都存入AD數(shù)據(jù)庫中，利用AD工具，用戶可以方便地查找和使用這些資源，并且由于AD采用了統(tǒng)一身份驗(yàn)證，用戶僅需登錄一次就可以訪問整個網(wǎng)絡(luò)資源。14.8

活動目錄的特點(diǎn)與優(yōu)勢資源訪問的分級管理。通過登錄認(rèn)證和對目錄中對象的訪問控制，安全性和活動目錄的加密集成在一起。管理員能夠管理整個網(wǎng)絡(luò)的目錄數(shù)據(jù)，并且可以授權(quán)用戶訪問網(wǎng)絡(luò)上位于任何位置的資源及授予相應(yīng)的權(quán)限。降低總擁有成本?？倱碛谐杀荆═CO）是指從產(chǎn)品采購到后期使用、維護(hù)的總的成本，包括計(jì)算機(jī)采購、技術(shù)支持、升級的成本等。例如，AD通過應(yīng)用一個組策略，可以對整個域中的所有計(jì)算機(jī)和用戶生效，這將大大減少分別在每一臺計(jì)算機(jī)上配置的時間。部署公司的第一臺域控制器任務(wù)規(guī)劃根據(jù)域測試環(huán)境拓?fù)浣Y(jié)構(gòu)，在一臺已安裝了Windows

Server

2012

R2的服務(wù)器上部署公司的第一臺域控制器，域控制器相關(guān)信息要求如下。域控制器名稱為DC1。域名為DC1.JAN16.cn。域的簡稱為JAN16。域控制器的IP地址為/24。公司域測試環(huán)境拓?fù)浣Y(jié)構(gòu)如圖14-10所示。圖14-10公司域測試環(huán)境拓?fù)浣Y(jié)構(gòu)任務(wù)規(guī)劃要將一臺Windows

Server

2012

R2服務(wù)器升級為公司的第一臺域控制器，那么這臺域控制器是該公司所創(chuàng)建的第一棵樹的樹根，同時是公司域的林根。在創(chuàng)建公司的第一臺域控制器時，首先需要確定公司域控制器使用的根域名稱，如果公司已向Internet申請了域名，為保證內(nèi)外網(wǎng)域名的一致性，通常公司會在AD中使用該域名，因此在本任務(wù)中，公司的根域是JAN16.cn。綜上所述，在一臺新安裝的Windows

Server

2012

R2服務(wù)器上部署公司的第一臺域控制器需要通過以下幾個步驟完成。為服務(wù)器配置主機(jī)名、IP地址。在服務(wù)器上安裝域AD域服務(wù)。通過AD安裝向?qū)⒎?wù)器升級為公司的第一臺域控制器。任務(wù)實(shí)施為服務(wù)器配置主機(jī)名和IP地址將Windows

Server

2012

R2服務(wù)器的計(jì)算機(jī)名稱改為【DC1】，重啟后配置服務(wù)器的【IP地址】為【/24】，【DNS】為【】。在服務(wù)器上安裝域AD域服務(wù)（1）在【服務(wù)器管理器】窗口中，單擊【添加角色和功能】鏈接，在【選擇服務(wù)器角色】視

圖中勾選【Active

Directory域服務(wù)】復(fù)選框，并按默認(rèn)設(shè)置添加其所需要的功能，結(jié)果如圖

14-11所示。圖14-11【選擇服務(wù)器角色】視圖任務(wù)實(shí)施（2）等待安裝完成之后，在【服務(wù)器管理器】窗口中會看到如圖14-12所示的事件標(biāo)識中多了一個黃色的感嘆號標(biāo)識，表示域服務(wù)角色和功能安裝完成。圖14-12查看【服務(wù)器管理器】窗口中的事件標(biāo)識任務(wù)實(shí)施3．通過AD安裝向?qū)⒎?wù)器升級為公司的第一臺域控制器（1）在如圖14-12所示的窗口中單擊【將此服務(wù)器提升為域控制器】鏈接，在彈出的【ActiveDirectory域服務(wù)配置向?qū)А看翱谥?，選擇【添加新林】選項(xiàng)，在【根域名】對話框中輸入公司的根域【JAN16.cn】，結(jié)果如圖14-12所示。圖14-13部署配置任務(wù)實(shí)施（2）在【域控制器選項(xiàng)】視圖的【林功能級別】和【域功能級別】下拉列表中均選擇【W(wǎng)indows

Server

2012

R2】選項(xiàng)，并輸入目錄服務(wù)還原模式(DSRM)密碼，結(jié)果如圖14-14所示。圖14-14域控制器選項(xiàng)任務(wù)實(shí)施在【DNS選項(xiàng)】界面中，按默認(rèn)配置，單擊【下一步】按鈕。在【其他選項(xiàng)】界面中，系統(tǒng)會自動推薦NetBIOS域名，通常這個推薦名稱為末級域名名稱。在本任務(wù)中，JAN16.cn的末級域名為JAN16，它表示新建域的簡稱。而在本任務(wù)中，域的簡稱就是JAN16，因此，保持默認(rèn)配置并單擊【下一步】按鈕。在【路徑】界面中，使用默認(rèn)的域安裝路徑并單擊【下一步】按鈕。在【查看選項(xiàng)】界面中，管理員可以查看即將生效的域配置是否正確，確認(rèn)無誤后，單擊【下一步】按鈕。在【先決條件檢查】界面中，系統(tǒng)會檢查AD域升級的所有配置是否滿足要求，檢查通過后【安裝】按鈕為可單擊狀態(tài)，如果檢查未通過，則管理員需要根據(jù)檢查提示完成相關(guān)配置。單擊【安裝】按鈕開始安裝。任務(wù)實(shí)施（8）安裝完成后，系統(tǒng)會自動重啟計(jì)算機(jī)。重啟后就可以進(jìn)入【登錄到JAN16域】的界面，如圖14-15所示。圖14-15【登錄到JAN16域】的界面任務(wù)驗(yàn)證任務(wù)驗(yàn)證域服務(wù)安裝成功與否，可以通過以下三種方法進(jìn)行驗(yàn)證。1．查看三個AD服務(wù)工具是否安裝成功（1）查看【Active

Directory用戶和計(jì)算機(jī)】服務(wù)工具是否正常。打開【服務(wù)器管理器】窗口，在【工具】下拉菜單中選擇【Active

Directory用戶和計(jì)算機(jī)】命令，打開【Active

Directory用戶和計(jì)算機(jī)】窗口，如圖14-16所示。圖14-16【Active

Directory用戶和計(jì)算機(jī)】窗口任務(wù)驗(yàn)證（2）查看【Active

Directory域和信任關(guān)系】服務(wù)工具是否正常。打開【服務(wù)器管理器】窗口，在【工具】下拉菜單中選擇【Active

Directory域和信任關(guān)系】命令，打開【Active

Directory域和信任關(guān)系】窗口，如圖14-17所示。圖14-17【Active

Directory域和信任關(guān)系】窗口任務(wù)驗(yàn)證（3）查看【Active

Directory站點(diǎn)和服務(wù)】服務(wù)工具是否正常。打開【服務(wù)器管理器】窗口，在【工具】下拉菜單中選擇【Active

Directory站點(diǎn)和服務(wù)】命令，打開【Active

Directory站點(diǎn)和服務(wù)】窗口，如圖14-18所示。圖14-18【Active

Directory站點(diǎn)和服務(wù)】窗口任務(wù)驗(yàn)證2．查看AD默認(rèn)共享是否創(chuàng)建在【運(yùn)行】對話框中輸入【\\JAN16.cn】，打開【JAN16.cn】窗口查看AD默認(rèn)共享目錄【netlogon】和【sysvol】是否創(chuàng)建成功，結(jié)果如圖14-19所示。圖14-19

AD自動創(chuàng)建的兩個共享目錄任務(wù)驗(yàn)證3．查看DNS是否自動創(chuàng)建相關(guān)記錄打開【DNS管理器】窗口，可以看到系統(tǒng)自動注冊的與AD相關(guān)的DNS記錄，結(jié)果如圖14-20所示。圖14-20【DNS管理器】窗口將用戶和計(jì)算機(jī)加入域任務(wù)規(guī)劃公司已經(jīng)建立了第一臺域控制器，接下來需要將公司的客戶機(jī)加入域，注冊普通員工域賬戶和實(shí)習(xí)生域賬戶，并限制實(shí)習(xí)生域賬戶只能在上班時間登錄到域。域測試環(huán)境拓?fù)浣Y(jié)構(gòu)如圖14-21所示。圖14-21域測試環(huán)境拓?fù)浣Y(jié)構(gòu)任務(wù)規(guī)劃在非域環(huán)境下，用戶通過客戶機(jī)的內(nèi)部賬戶登錄和使用該客戶機(jī)，如果一位