Windows Server 2012 虛擬化實戰：域

在Windows Server系統中，一些服務必需要構建在域的環境中，這不僅是為了統一驗證和資源共享，同時也是為了網絡安全。為構建虛擬化測試，我們需要先搭建域環境。之前先來大概了解一下域。

在使用工作組時，計算機是相對獨立的，工作組僅是網絡中計算機分類的一種方式，在不在一個工作組中，對網絡資源的訪問影響並不大。工作組好比允許自由進出的免費停車場，加入工作組，好比你可以停在A區，也可以停在B區，如果停在A區，就與A區的其他汽車形成一個松散的組合。

在使用Windows域（Domain）時則不同，域是經過嚴格組織的，計算機加入域並且使用域賬戶登錄才能訪問某些共享資源。在域中至少有一台域控制器（Domain Controller, 簡稱DC）負責計算機和用戶的驗證工作。域好比收費停車場，需要刷卡驗證才能進出（可以有多於一個門禁，即DC），但驗證通過後即可使用裡面的共享設施，甚至其他汽車。例如當你的計算機使用具有管理員權限的域賬戶成功登錄後，就可以使用該域賬戶登錄同域中其他計算機上Sql Server，那麼你可以不再使用sa賬戶了。當然加入域的計算機並不代表只能呆在域中，如果只是用本地賬戶而非域賬戶登錄，計算機和在工作組中沒有什麼不同。一般情況下，你的汽車可以停在收費停車場，也可以停在免費停車場，除非對汽車做了特別的限制（使用組策略可以限制計算機只能使用域賬號登錄）。你的計算機只使用本地賬號登錄，要想訪問其他計算機上Sql Server，這時你無法使用Windows Authentication，但依然可以使用SQL Server Authentication，使用sa賬戶登錄。

一、域測試網絡

接下來我們在Window Server 2012中部署域，為以後需要，我們將連接域的網絡稱為管理網絡，並以如下圖參數配置網絡。圖中配置兩個域控制器互為備份，雖然windows server 2003以後已經不再區分主域控和備份域控，但由於主機角色的客觀存在，域控制器的作用還是有一定差別的，下文將講述。

二、配置域控制器

Windows Server 上安裝域控制器（Domain Controller, DC）是一件簡單的事，但安裝之前需要確認幾件事：登陸賬號是否擁有本地管理員權限，操作系統是否支持，TCP/IP是否配置正確，磁盤是否有NTFS分區和充足的空間以存放Active Directory(AD)數據庫，DNS服務器是否支持等。另外最好預先修改計算機名稱並重新啟動，以免完成安裝後再修改域控制器名稱所帶來的麻煩。

Windows Server 2008及以後版本都可以以角色的方式安裝Active Directory 域服務（AD DS），並提升為域控制器。Windows Server 2008 中也可以直接在運行中使用dcpromo命令，進行AD域服務的安裝和提升為域控制器。但Server 2012中dcpromo命令已經不被支持，所以在以角色的方式安裝AD域服務後，可以在服務器管理界面上面的事件提示中找到提升為域控制器的鏈接。

關於具體安裝域控制器的步驟不再贅述，網絡中有很多網頁已經對此進行了詳細描述，但是關於域配置還需要深入了解下面的一些內容：

1、林（Forest）、域樹（Tree）、域（Domain）和子域（Child Domain）

這些名詞已經非常形象的解釋了它們之間的關系，但還需說明的是：我們建立的第一個域是根域（Root Domain），於此同時也建立了第一個域樹和第一個林，因而這個根域既是林根域也是樹根域，因而在網絡中建立全新的域時，其實就是建立一個新林，在配置域控的時候不要選錯了。根域也是域，只是地位特殊，一個林中只有一個林根域，但可以有多個樹根域。擁有共同命名空間的根域和子域構成域樹，擁有不同命名空間的域樹構成林。域樹的名稱與第一個域相同，林的名稱與第一個域樹相同，也與第一個域相同。因而域名稱的選擇是很重要的，搭建好域後修改域名稱雖然可行，但是畢竟存在很大的風險。

如下圖，我們根據 Assigning the Forest Root Domain Name 文章中的規則建立了兩個林。如果你所在組織擁有兩個通用域名，其中一個用於外部互聯網，比如用於組織的網站首頁，則另一個可以用於組織內部網絡作為林的名稱（即第一個域的名稱），這樣建立的林將和下圖左側的林x.com類似。如果只擁有一個通用域名，為了內外有別，可以建立一個二級域名用於內部網絡作為林的名稱，這樣建立的林將和下圖右側的林cloud.z.com類似。使用通用域名的是為了方便林與林之間通過互聯網建立信任關系，但如果在測試中可以使用任何符合域名規則的名稱，我們的實驗環境將使用cloud.z.com作為林名稱。

2、DNS服務器、全局編錄服務器（GC）和只讀域控制器（RODC）

配置域控過程中會遇到選擇這幾個選項：DNS服務、全局編錄服務器（GC）和只讀域控制器（RODC）

• DNS服務器即域名服務器。在域中計算機、集群等名稱的解析，需要DNS服務的支持。建立域必須在域中提供DNS服務，如果在配置域過程中勾選DNS服務器，則本機將被配置為DNS服務器（配置程序會檢測當前DNS 基礎結構來決定DNS服務是否默認勾選）。
• 全局編錄服務器（Global Catalog, GC）可以理解為林中只讀的全局緩存，緩存中存儲了林中本域內的所有對象的所有屬性和其他域的所有對象的部分屬性。“全局編錄使用戶能夠在林中的所有域上搜索目錄信息，無論數據存儲在什麼位置。將以最大的速度和最低的網絡流量在林中執行搜索。”如果在配置中勾選全局編錄服務器，將會使這台域控制器同時成為全局編錄服務器。
• 只讀域控制器（Read Only Domain Controller, RODC）。“只讀域控制器（RODC）是 Windows Server 2008 操作系統中的一種新類型的域控制器。借助RODC，組織可以在無法保證物理安全性的位置中輕松部署域控制器。RODC 承載Active Directory域服務（AD DS）數據庫的只讀分區。”“物理安全性不足是考慮部署 RODC 的最常見原因。RODC 提供了一種在要求快速、可靠的身份驗證服務但不能確保可寫域控制器的物理安全性的位置中更安全地部署域控制器的方法。”

3、AD數據庫、日志文件和SYSVOL文件夾

Active Directory使用文件型數據庫，數據庫引擎是基於JET開發的Extensible Storage Engine(ESE)，也叫做JET Blue。JET Blue計劃用於升級Access的數據庫引擎JET Red的，但卻用於Microsoft的其他產品中，如AD，WINS，Exchange Server等。ESE有能力擴展至16TB容量，容納10億對象。數據庫所有相關文件默認在%systemroot%\ntds\文件夾內，主要包括：

• ntds.dit 數據庫文件。有興趣可以查閱 Active Directory database file NTDS.DIT 詳細了解。

• edb.chk 檢查點文件。對數據庫的增刪改，在提交更新到數據庫之前，檢查點文件會記錄事務完成情況，如果事務完成就從日志文件提交更新到數據庫。
• edb.log和edbxxxxx.log等為日志文件。每個日志文件10MB，edb.log文件填滿之後，會被重新命名為edbxxxxx.log，文件名編號自增。對數據庫的增刪改會寫入日志文件，用以事務處理。
• edbresxxxxx.jrs 為日志保留文件。為日志文件占據磁盤空間，僅當日志文件所在的磁盤空間不足時使用。
• edbtmp.log 臨時日志文件。當前edb.log被填滿時，會創建edbtmp.log繼續記錄日志，同時當前edb.log被重命名為edbxxxxx.log，而後edbtmp.log被重名為edb.log。