DHCP与AD详细方案.docx

DHCP与AD详细方案.docx

《DHCP与AD详细方案.docx》由会员分享，可在线阅读，更多相关《DHCP与AD详细方案.docx（10页珍藏版）》请在冰豆网上搜索。

DHCP与AD详细方案

DHCP与AD详细方案

DHCP概述

什么是DHCP：

DHCP是用于简化IP配置管理的ICP/IP标准，对客户机动态分配ICP/IP信息。

第一次启动DHCP客户机时，该客户机将在网络中请求IP地址，当DHCP服务器收到IP地址请求后，它将从数据库定义的地址中选择IP地址提供给DHCP客户机。

2.使用DHCP的理由：

减小管理员的工作量

减小输入错误的可能

避免IP冲突

当网络更改IP地址段时，不需要重新配置每台计算机的IP地址

计算机移动不必重新配置IP地址

提高了IP地址的利用率

DHCP服务的工作过程

客户机出了可以从DHCP服务器获得IP地址外，还可以获得子网掩码、默认网关地址、DNS服务器地址等信息，以上这个过程又称为DHCP

机无法与提供租约的服务器取得联系，则客户机一直等到租期达87.5%时，进入重新申请状态，它向网络上所有的服务器广播DHCPiscover包以更新现有的地址租约。

如果服务器响应客户机的请求，那么客户机使用该服务器提供的地址信息更新现在的租约。

如果租约终止或无法与其他服务器通信，客户机将无法使用现有的地址租约。

在客户机上使用ipconfig/renew命令可以向DHCP服务器发送DHCPRequest包，以接收更新选项和租约时间。

如果DHCP服务器没有响应，客户机将继续使用当前的DHCP配置选项。

在客户机上使用ipconfig/release命令使DHCP客户机向DHCP服务器发送DHCPRequest包并释放其租约。

配置DHCP服务器的要求

应该有静态IP地址、子网掩码和其他的TCP/IP参数

要安装DHCP服务

使用活动目录服务授权DHCP服务器

建立作用域（作用域实际上是一段IP地址的范围）并激活

在安装DHCP服务器之前，需要规划以下信息

确定DHCP服务器应分发给客户端的IP地址范围和子网掩码

确定DHCP服务器不应向客户端分发的所以IP地址

决定IP地址的租用期限。

默认值为8天

是否给客户端配置默认网关、首选DNS服务器等TCP/IP参数

DHCP的部署

绍兴越城物流公司使用的IP地址段为172.16.0.0/16，服务器使用静态的172.16.0.1----172.16.0.7网段，其余的地址段有DHCP服务器自动分发给客户机使用。

安装DHCP服务

安装DHCP服务可以有两种方式：

通过“添加/删除Windows组件”或通过“管理您的服务器”选项来安装。

打开“开始”菜单，选择“控制面板”—“添加或删除程序”命令

在弹出的窗口中单击“添加/删除Windows组件”

在组件向导的列表框中选中“网络服务”复选框，单击“详细信息”按钮

在出现的网络服务窗口中选中“动态主机配置协议（DHCP）”复选框，单击“确定”按钮，系统开始安装DHCP服务。

系统安装完毕后，单击对话框中的“完成”按钮，打开“开始”菜单中的所以程序就可以看到DHCP了。

授权DHCP服务器

授权是一种安全的预防措施，它可确保只有经过授权的DHCP服务器才能在网络中运行。

单击“开始”菜单---所以程序—DNS，打开后右击服务器名在弹出的快捷菜单中选择“管理授权的服务器命令”，此时出现“管理授权的服务器”对话框，单击授权在弹出的窗口中输人DHCP服务器的IP地址点确定就行了。

配置作用域

在授权DHCP服务器之后，首要的任务便是创建作用域及配置作用域。

作用域实际就是一段IP地址的范围，当DHCP客户机请求IP地址时，DHCP服务器将从此段范围中选取一个尚未出租的IP地址，将其分配给DHCP客户机。

每一个DHCP服务器中至少有一个作用域，为一个网段分配IP地址。

如果要为多个网段分配IP地址，就需要在DHCP服务器上创建多个作用域。

新建作用域

右击DHCP服务器名，在弹出的快捷菜单中选择“新建作用域”命令。

此时出现“新建作用域向导”界面，单击“下一步”按钮，按提示输入相应的东西就可以了。

激活作用域

新建作用域之后，作用域前面有红色向下的箭头，表明作用域状态不活动，此时客户端不能从该作用域获得IP地址。

要使作用域生效，需要右击作用域，在弹出的快捷菜单中选择“激活”命令。

配置作用域选项

创建DHCP作用域后，就可以为DHCP客户机配置选项，配置选项中可以为客户端分发网关、DNS等信息。

配置客户端保留

客户端保留可以确保让某台计算机总是获得同一IP地址

DHCP中继代理

DHCP中继代理工作原理：

DHCP客户机申请IP租约，发送DHCPiscover包

中继代理收到该包，并转发给另一个网段的DHCP服务器

DHCP服务器收到该包，将DHCPOffer包发送给中继代理

中继代理将地址租约（DHCPOffer）转发给DHCP客户端

接下来的过程，DHCPRequest包从客户机通过中继代理转发到DHCP服务器，DHCPACK消息从服务器通过中继代理转发到客户机。

配置DHCP中继代理

打开“管理工具”----“路由和远程访问”窗口，按照提示完成即可。

AD概述

在Windows2003中，各种网络服务以服务器角色出现，方便了用户对网络资源进行分配与管理。

应用服务器角色对网络进行管理，均需要有活动目录服务、域名系统服务、动态主机配置协议服务、WindowsInternet命名服务的配合与支持。

本文将向你重点讲解上述活动目录服务务的实现方法与技巧。

什么是活动目录

活动目录（ActiveDirectory）是用于Windows2003的目录服务。

它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。

活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。

活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。

活动目录的优点

1.集中管理

活动目录集中组织和管理网络中的资源信息。

活动目录好比一个图书馆的图书目录，图书目录存放了这个图书馆的图书信息，便于管理。

2.便捷的网络资源访问

活动目录允许用户一次登录网络就可以访问网络中的所以该用户有权限访问的资源。

并且，用户访问网络资源时不必要知道资源所在的地理位置。

活动目录允许快速、方便地查询网络资源。

如：

用户帐户、组、共享文件夹、打印机等。

3.可扩展性

活动目录具有强大的可扩展性。

目录可以随着公司或组织的增长而一同扩展，允许从一个网络对象较少的小型网络环境发展成大型网络环境。

DNS与活动目录

由于活动目录与DNS（DomainNameSystem，域名系统）集成，共享相同的名称空间结构，因此注意两者之间的差异非常重要：

1.DNS是一种名称解析服务

DNS客户机向配置的DNS服务器发送DNS名称查询。

DNS服务器接收名称查询，然后通过本地存储的文件解析名称查询，或者查询其他DNS服务器进行名称解析。

DNS不需要活动目录就能运行。

2.活动目录是一种目录服务

活动目录提供信息存储库以及让用户和应用程序访问信息的服务。

活动目录客户使用“轻量级目录访问协议（LightweightDirectoryAccessProtocol，LDAP）”向活动目录服务器发送查询。

要定位活动目录服务器，活动目录客户机将查询DNS。

活动目录需要DNS才能工作。

即活动目录用于组织资源，而DNS用于查找资源；只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。

DNS是活动目录的关键组件，如果没有DNS，活动目录就无法将用户的请求解析成资源的IP地址，因此在安装和配置活动目录之前，我们必须对DNS有深入的理解。

规划活动目录

在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计，让用户和管理员在使用时更为方便。

1.规划DNS

如果用户准备使用活动目录，则需要首先规划名称空间。

当DNS域名称空间可在Windows2003中正确执行之前，需要有可用的活动目录结构。

所以，从活动目录设计着手并用适当的DNS名称空间支持它。

在Windows2003中，用DNS名称命名活动目录域。

选择DNS名称用于活动目录域时，以保留在Internet上使用的已注册DNS域名后缀开始（如），并将该名称和单位中使用的地理（部门）名称结合起来，组成活动目录域的全名。

例如，microsoft的sales组可能称他们的域为“”。

这种命名方法确保每个活动目录域名是全球唯一的。

而且，这种命名方法一旦被采用，使用现有名称作为创建其他子域的父名称以及进一步增大名称空间以供单位中的新部门使用的过程将变得非常简单。

2.规划用户的域结构

最容易管理的域结构就是单域。

规划时，用户应从单域开始，并且只有在单域模式不能满足用户的要求时，才增加其他的域。

单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。

在一个域中，可以使用组织单元（OU，OrganizationalUnits）来实现这个目标。

然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。

3.规划用户的委派模式

用户可以将权限下派给单位中最底层部门，方法是在每个域中创建组织单元树，并将部分组织单元子树的权限委派给其他用户或组。

通过委派管理权限，用户不再需要那些定期登录到特定账户的人员，这些账户具有对整个域的管理权。

尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组，可以仍保留这些账户以备少数管理员偶尔使用。

安装活动目录服务

运行活动目录安装向导将Windows2003计算机升级为域控制器会创建一个新域或者向现有的域添加其他域控制器。

1.安装前的准备工作

首先，也是最重要的一点，就是你必须有安装活动目录的管理员权限，否则无法安装。

在安装活动目录之前，要确保系统盘为NTFS分区。

同时，已做好了DNS服务器的解析，如。

2.安装域控制器

在安装活动目录前首先确定DNS服务正常工作，下面我们来安装根域为的域控制器。

（1）依次单击“开始→设置→控制面板”菜单项，在“控制面板”对话框中双击“管理工具”项，然后在出现的对话框中双击“管理你的服务器向导”选项，启动配置向导。

单击“添加或删除角色”选项，单击“下一步”按钮。

（2）在“配置选项”对话框中，选择“自定义配置”选项。

单击“下一步”按钮。

（3）在“服务器角色”对话框中，选择“域控制器（ActiveDirectory）”选项，单击“下一步”按钮，将启动活动目录安装向导。

单击“下一步”按钮。

注意：

你也可以运行位于C:

\Windows\system32目录下的dcpromo.exe文件，启动活动目录安装向导。

（4）由于用户所建立的是域中的第一台域控制器所以在“域控制器类型”对话框中选择“新域的域控制器”选项。

单击“下一步”按钮。

（5）在“创建一个新域”对话框中选择“在新林中的域”选项。

单击“下一步”按钮。

（6）在“新的域名”对话框中的“新域的DNS全名”框中输入需要创建的域名，这里是。

单击“下一步”按钮。

（7）在“NetBIOS名”对话框中，更改NetBIOS名称。

运行非Windows操作系统客户端将使用NetBIOS域名。

可保持默认设置，单击“下一步”按钮。

（8）在“数据库和日志文件文件夹”对话框中，将显示数据库、日志文件的保存位置，一般不作修改。

单击“下一步”按钮。

（9）在“共享的系统卷”对话框中，指定作为系统卷共享的文件夹。

Sysvol文件夹存放域的公用文件的服务器副本。

Sysvol广播的内容被复制到域中的所有域控制器，其文件夹位置一般不作修改。

单击“下一步”按钮。

（10）在“配置DNS”对话框中，单击“下一步”按钮。

（如果在安装活动目录之前未配置DNS服务器，可在此让安装向导配置DNS，推荐使用这种方法。

）

（11）在“权限”对话框中为用户和组选择默认权限，考虑到现在大多数网络环境中仍然需要使用Windows2003以前的操作系统，所以选择“与Windows2000之前的服务器操作系统兼容的权限”选项，单击“下一步”按钮。

（12）在“目录服务恢复模式的管理员密码”对话框中输入以目录恢复模式下的管理员密码。

单击“下一步”按钮。

此时，安装向导将显示安装摘要信息。

单击“下一步”按钮即可开始安装，安装完成之后，重新启动计算机即可。

3.删除活动目录

运行dcpromo.exe文件，根据向导提示即可删除活动目录。

备份与恢复活动目录

在Windows2003中，备份与恢复活动目录是一项非常重要的工作。

你不能单独备份活动目录，因为Windows2003将活动目录作为系统状态数据的一部分进行备份。

系统状态数据包括注册表、系统启动文件、类注册数据库、证书服务数据、文件复制服务、集群服务、域名服务和活动目录等8部分，通常情况下只有前3部分。

这8部分都不能单独进行备份，必须作为系统状态数据的一部分进行备份。

1.备份活动目录

如果一个域内存在不止一台域控制器，当重新安装其中的一台域控制器时，备份活动目录并不是必需的，你只需要将其中的一台域控制器从域中删除，重新安装，并使之回到域中，那么另外的域控制器自然会将数据复制到这台域控制器上。

如果一个域内只有一台域控制器，那就有必要对活动目录进行备份。

（1）单击“开始→程序→附件→系统工具→备份”菜单项，以启动备份或还原向导。

单击“高级模式”选项，打开“备份工具”对话框，单击“备份向导”按钮。

单击“下一步”按钮。

（2）在“要备份的内容”对话框中，选择“只备份系统状态数据”选项。

单击“下一步”按钮。

（3）在“备份类型、目标和名称”对话框中，输入备份数据文件名，单击“下一步”按钮，完成备份向导。

2.活动目录的恢复

有两种办法可以恢复活动目录。

第一种方法是从域的其他域控制器上恢复数据，前提是域内必须还有一台域控制器是可用的，这时当损坏的域控制器重新安装并加入到它原来的域时，域控制器之间会自动进行数据复制，活动目录也会随之恢复。

另一种方法就是从备份介质进行恢复。

通常情况下，整个网络环境中只有一台域控制器，因此从介质恢复活动目录是经常遇到的事情。

从备份介质进行活动目录恢复有两种方式可以选择：

验证方式（AuthoritativeRestore）和非验证方式（NonauthoritativeRestore）。

3.非验证方式恢复

通常情况下，Windows2003使用非验证方式恢复。

活动目录从备份介质中恢复以后，域内其他的域控制器会在复制过程中使用新的数据覆盖旧的数据。

要实现非验证恢复，目录服务必须处于离线状态。

同时，你必须使域服务器处于“目录服务恢复模式”。

重新启动服务器，按下F8键展开系统启动高级菜单，选择其中的“目录服务恢复模式”选项。

当Windows2003出现用户登录窗口时，输入本地管理员账户和密码，登录成功后，就可以进行恢复操作了。

注意：

这里并不是在活动目录中的管理员账号和密码。

（1）单击“开始→程序→附件→系统工具→备份”菜单项，以启动备份或还原向导。

单击“高级模式”选项，打开“备份工具”对话框，单击“还原向导”按钮。

单击“下一步”按钮。

（2）在“还原项目”对话框中，选择相应的备份文件，单击“下一步”按钮，完成数据恢复，重新启动机器即可。

注意：

通常情况下，你不能恢复60天以前备份的活动目录数据。

4.验证方式恢复

验证模会将从备份介质恢复过来的数据强行复制到域内所有的域控制器上，无论从备份以后数据是否发生了变化。

验证模式恢复活动目录通常用于活动目录在域内某台域控制器上发生了严重的错误，而且这种错误通过复制扩散到了域内的其他域控制器上。

为实现验证方式恢复，你必须首先实现非验证方式恢复，然后使用NTDSUTIL命令行工具实现验证式恢复。

重新启动服务器，按下F8键展开系统启动高级菜单，选择其中的“目录服务恢复模式”选项。

当Windows2003出现用户登录窗口时，输入本地管理员账户和密码，登录成功后，就可以进行恢复操作了。

1.单击“开始→运行”菜单项，在出现的对话框中输入“ntdsutil”，启动命令行工具。

恢复整个活动目录数据库，可使用下列命令：

authoritativerestore

restoredatabase

2.恢复部分活动目录数据，使用下列命令：

authoritativerestore

restoresubtreeou=works,dc=lanyi,dc=com

第二行命令需要根据实际情况确定，比如你的域名字是，要恢复的OU是Works，即为上式中的：

restoresubtreeou=works,dc=lanyi,dc=com，依此类推。

最后使用quit命令退出，重新启动机器即可