域控制器提升為全局編錄

⑴ 在WINDOWS SEVER2003如何建立子域和父域還有怎樣才能時他們連接起來

想做什麼伺服器？域控制器、資料庫、iis發布還是什麼？根據自己的用途的不同，再安裝不同的東西。
域結構簡介
1、域的含義：
域是由一群以網路連接在一起的計算機所組成的，它們將計算機內的資源共享給其他人使用。
2、與工作組結構網路區別：
域內所有的計算機共享一個集中式的目錄資料庫，它包括整個域內的用戶與安全數據。而工作組結構的網路，每台計算機的位置平等。可以相互的共享。
3、域中的計算機類型：
A、 域控制器：只有WIN2000SERVER才可以做域控制器，域控制器在一個網路中可以有多個。一台的目錄資料庫可以自動復制到別一個域伺服器的目錄資料庫中，域可以審核登錄用戶的用戶名和密碼。多台域伺服器共同審核用戶的登錄可以提高效率
B、 成員伺服器：域內的WIN2000伺服器如果不是域控制器，就是成員伺服器，如果不加入域就獨立伺服器，成員伺服器沒有活動目錄，不能審核域用戶的登錄，但它們都自己的本地安全資料庫。以審核本地用戶。
C、 其他計算機：其他計算機可以用來訪問這些計算機的資源。

活動目錄定義

一個電話本：其中有姓名、電話號、地址等，這些就是目錄，我可以很容易從找到所需的數據。目錄服務：就讓用戶很容易在目錄中查找所要的數據。而在WIN2000中，存儲用戶、組、列印機等對象相關數據的位置稱為目錄資料庫，負責提供目錄服務的組件稱為活動目錄。
1、 適用范圍
應用范圍很廣，可以在一台計算機、一個計算機網路，大至數據廣域網的組合。

2、 名稱空間
A、 名稱空間的含義：就是一塊劃好的區域。在這個區域內，可以利用某個名字來找到與這個名字有關的信息。
B、 WIN2000中的活動目錄就是「名稱空間」，可以利用對象名稱找到相關的數據。
C、 WIN2000的名稱結構採用了DNS的結構。
3、對象與屬性
WIN2000中的資源都是以對象的形式存在，而一個對象通過屬性來描述其特徵。如用戶就是一個對象類別。用戶的姓、名、電話，就是用戶的屬性。
4、容量與組織單位
A、容量與對象相似，也有自己的名稱，也有自己的屬性，但它不是一個實體，而可以一組對象和其它容量。
B、組織單位，就是一個容量，可以包括其他對象和組織單位。
5、域目錄樹
A、 域目錄樹：對一個包含多個域的網路，則可以將網路設置成域目錄樹的結構，也就是說這些域以樹狀的形式存在。
B、域目錄樹中的子域名包含著父域的域名
C、域目錄樹中的所有的域共享一個活動目錄。但活動目錄中的數據分散地存儲在各個域內。將各個域內的數據合並為一個活動目錄。
6、信任
兩個域之間，必須建立信任關系，才可以訪問對方域內的資源，一個域加入到一個域目錄樹中後，這個域會自動信任其上一層域，並且這些信任關系具備雙傳遞性。
7、域目錄林
如果一個網路設置成多個域目錄樹的結構，那麼可以讓這些域目錄樹合並為一個域目錄林。如Abc.com域與zyx.com域。
8、架構
在活動目錄內的對象類別等數據定義在架構內，如定義了用戶這個對象類別內飲食了哪些屬性等。在一個域目錄林中的所有域目錄樹共享一個架構。
9、全局編錄
A、 全局編錄的原因：活動目錄內的數據分散存儲在各個域內，而每一個域只存儲與些域本身相關數據。WIN2000將存儲在各個域內的數據合並為一個活動目錄。為了讓WIN2000用戶可以快速找到其它域內的資源，WIN2000才設計了「全局編錄」。
B、 「全局編錄」內包含著目錄伺服器中的每一個對象，不過只存儲每個對象的部分屬性，而不是全部屬性。
C、 「全局編錄」的數據存儲在全局編錄伺服器，系統默認第一台域控制器就是全局編錄伺服器。在域目錄林共享一個全局編錄伺服器。
10、站點
A、 站點的含義：指的是一個或多個IP子網，這些子網之間是通過高速（512K），這些子網就是站點。
B、 站點與域的區別：域是實體的分組，而站點是實體的分組，、每個站點可能會包含多個域，而一個域也可以同時屬於多個站點。
11、名稱
活動目錄內，每個對象都有一個名稱，並且利用名稱來識別每個對象。
A 可分辨的名稱（ND）：它包含對象所在的完整路徑，abc.com
orthsalesobyong.
B、 相對可分辨的名稱（RDN）：RDN是DN的完整路徑中。
C、 全局標識符：GUID是一個128的數值，所建立的任何一個對象，系統都會自動給這個對象指定一個唯一的GUID。GUID永遠不會改變的。
D、 用戶主體名稱：[email protected]這是一個用戶的主體名稱。

活動目錄介紹
（一）目錄服務
目錄，是一個資料庫，存貯了網路資源相關的信息，包括了資源的位置、管理等信息。
目錄服務 是一種網路服務，目錄服務標記管理網路中的所有實體資源（比如計算機、用戶、列印機、文件、應用等），並且提供了命名、描述、查找、訪問以及保護這些實體信息的一致的方法，使網路中的所有用戶和應用都能訪問到這些資源。
（二）活動目錄（Active Directory）
活動目錄 是Windows 2000完全實現的目錄服務，也是Windows 2000網路體系的基本結構模型，是Windows 2000網路操作系統的核心支柱，也是中心管理機構。
Microsoft在Windows 2000中提供的活動目錄是一個全面的目錄服務管理方案，也是一個企業級的目錄服務，具有很好的可伸縮性。活動目錄採用了Internet的標准協議，它與操作系統緊密地集成在一起。活動目錄不僅可以管理基本的網路資源，比如計算機對象、用戶賬戶、列印機等，它也充分考慮了現代應用的業務需求，為這些應用提供了基本的管理對象模型，比如用戶賬戶對象具有辦公電話、手機、呼機、住址、上司、下屬、電子郵件等屬性。幾乎所有的應用可以直接利用系統提供的目錄服務結構，而且活動目錄也具有很好的擴充能力，允許應用程序定製目錄中對象的屬性或者添加新的對象類型。
（三）活動目錄的用處
（四）活動目錄的邏輯結構
活動目錄的邏輯結構非常靈活，它為活動目錄提供了完全的樹狀層次結構視圖，邏輯結構與前面我們討論過的名字空間有直接的關系。邏輯結構為用戶和管理員查找、定位對象提供了極大的方便。活動目錄中的邏輯單元包括：域、組織單元（Organizational Unit，簡稱OU）、域樹、域森林。

1、 域（Domain）
域 既是Windows網路系統的邏輯組織單元，也是Internet的邏輯組織單元，在Windows 2000系統中，域是安全邊界。域管理員只能管理域的內部，除非其他的域顯式地賦予他管理許可權，他才能夠訪問或者管理其他的域。每個域都有自己的安全策略，以及它與其他域的安全信任關系。
2、 OU(Organizational Unit)
OU 是一個容器對象，我們可以把域中的對象組織成邏輯組，所以OU純粹是一個邏輯概念，它可以幫助我們簡化管理工作。OU可以包含各種對象，比如用戶賬戶、用戶組、計算機、列印機，甚至可以包括其他的OU。所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結構，對於一個企業來講，我們可以按部門把所有的用戶和設備組成一個OU層次結構，也可以按地理位置形成層次結構，還可以按功能和許可權分成多個OU層次結構。由於OU層次結構局限於域的內部，所以一個域中的OU層次結構與另一個域中的OU層次結構完全獨立。

3、 樹
當多個域通過信任關系連接起來之後，所有的域共享公共的表結構(schema) 、配置和全局目錄(global catalog)，從而形成 域樹 。域樹由多個域組成，這些域共享同一個表結構和配置，形成一個連續的名字空間。樹中的域通過信任關系連接起來。活動目錄包含一個或多個域樹。

4、 森林
域森林 是指一個或多個沒有形成連續名字空間的域樹。域林中的所有域樹共享同一個表結構、配置和全局目錄。域林中的所有域樹通過Kerberos信任關系建立起來，所以每個域樹都知道Kerberos信任關系，不同域樹可以交叉引用其他域樹中的對象。

（五）其它
（1）域控制器(Domain Controller)
域控制器是指運行Windows 2000 Server版本的伺服器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，並把這些變化復制到同一個域中的其他域控制器上。域控制器也負責用戶的登錄過程，以及其他與域有關的操作，比如身份認證、目錄信息查找等。 一個域可以有多個域控制器。規模較小的域可以只需要兩個域控制器，一個實際使用，另一個用於容錯性檢查；規模較大的域可以使用多個域控制器。 Windows 2000的域結構與Windows NT 4的域結構不同的是，活動目錄中的域控制器沒有主次之分，活動目錄採用了多主機復制方案，每一個域控制器都有一個可寫入的目錄副本。在某一個時刻，不同的域控制器中的目錄信息可能有所不同，一旦活動目錄中的所有域控制器執行同步操作之後，最新的變化信息就會一致。
（2）活動目錄與DNS
活動目錄使用域名服務DNS作為它的定位服務，同時也對標準的DNS作了擴充。在活動目錄中使用DNS的最大好處在於，我們可以使Windows 2000域與Internet上的域統一起來，即Windows域名也是DNS域名。
（3）Active Directory命名規范
a.辨別名( distinguished name (DN))
活動目錄中的每一個對象都會有一個唯一的辨別名DN。DN由域名、對象名組成： DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用戶對象James Smith在contoso.com域中的Users組織單元中的Teacher單元中．
b.User Principal Name : 由用戶登錄名和域名組成，如 [email protected]。
域運行模式
（1） 混合模式 。混合模式的域既可以有Windows 2000的域控制器，也可以有Windows NT 4的域控制器。這是一個過渡模式，利用這種模式，我們可以對現有的系統逐步升級。但是，在混合模式下，活動目錄中有些功能不能很好地發揮出來。 （2） 准模式 。活動目錄的標准模式要求所有的域控制器都必須運行Windows 2000。只有在這個時候，活動目錄的所有功能和特性才能充分體現出來。
活動目錄的安裝
運行 Active Directory 安裝向導將 Windows 2000 Server 計算機升級為域控制器會創建一個新域或者向現有的域添加其他域控制器。創建域控制器可以：
§ 創建網路中的第一個域。
§ 在樹林中創建其他的域。
§ 提高網路可用性和可靠性。
§ 提高站點之間的網路性能。
要創建 Windows 2000 域，必須在該域中至少創建一個域控制器。創建域控制器也將創建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域，則必須為每個附加的域至少創建一個域控制器。樹林中的附加域可以是：新的子域、新域樹的根。
安裝步驟示例
1、安裝域中第一台域控制器
在安裝 Active Directory 前首先確定DNS服務正常工作，下面用戶來安裝根域為 nt2000.com 的域中第一台域控制器。
步驟1 利用配置伺服器啟動位於 %Systemroot%system32 中的 Active Directory 安裝向導程序 DCPromo.exe。
如圖1單擊"下一步"

步驟2 由於用戶所建立的是域中的第一台域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"創建一個新域的域目錄樹" ,單擊"下一步"
步驟4 選擇"創建一個新域的域目錄林", 單擊"下一步"
步驟5 在"新域的 DNS 全名"中輸入要創建得域名，nt2000.com如圖 2單擊"下一步"

步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為 "nt2000" ,單擊"下一步"
步驟7 顯示資料庫、目錄文件 及Sysvol 文件的保存位置，一般不必作修改。單擊"下一步"
步驟8 配置 DNS 服務,單擊"下一步",（如果在安裝 Active Directory 之前未配置 DNS 伺服器可以在此讓安裝向導配置 DNS ，推薦使用這種方法。）
步驟9 為用戶和組選擇默認許可權，考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 伺服器之前版本相兼容的許可權"
如圖 3單擊"下一步"

步驟10 輸入以目錄恢復模式下的管理員密碼,單擊"下一步"
步驟11 安裝向導顯示摘要信息,單擊"下一步"開始安裝如圖4

步驟12 安裝完成之後，重新啟動計算機。
檢驗安裝結果
在安裝完成後，可以通過以下方法檢驗 Active Directory 安裝正確，在安裝過程中一項最重要的工作是在 DNS 資料庫中添加服務記錄( SRV 記錄)。
1．檢查 DNS 文件的SRV記錄
用文本編輯器打開 %systemroot%/system32/config/ 中的 Netlogon.dns 文件，察看 LDAP 服務記錄，在本例中為
_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.
2.驗證 SRV 記錄在 NSLOOKUP 命令工具中運行正常
步驟1 在命令提示行下，輸入 NSLOOKUP
步驟2 輸入 set type=srv
步驟3 輸入 _ldap._tcp.nt2000.com
如果返回了伺服器名和 IP 地址，說明 SRV 記錄工作正常
2、安裝第二台域控制器
在安裝完第一台域控制器後其域名為 nt2000.com ,在上例中該伺服器用於總公司，如果由於公司擴展的需要為其新建的工廠建立自己的域名和域控制器，則用戶將工廠的域名定義為 man.nt2000.com ，由於此域名與 nt2000.com 是連續的域名，所以他們組成了一個目錄樹，今後隨著工廠的發展用戶還可以在這個目錄樹下繼續逐級添加子域（如：accounting.man.nt2000.com），如果需要添加的域名與該目錄樹不連續（如：nt3000.com）則用戶就需要建立一個新的目錄樹，這樣由多個目錄樹組成了域目錄林。
在安裝第二台域控制器之前，首先檢驗它的IP設置和DNS設置，以保證可以訪問域控制器（n2k_server.nt2000.com）。
步驟1 利用配置伺服器啟動位於 %Systemroot%system32 中的 Active Directory 安裝向導程序 DCPromo.exe 。如上圖1擊"下一步"
步驟2 由於用戶所建立的是域中的一台域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"在現有域目錄樹中創建一個新的子域" ,單擊"下一步"
步驟4 在"網路憑據"對話框中輸入上一級域的域名及具有管理員許可權的用戶名和密碼, 單擊"下一步"
步驟5 在"子域安裝"對話框中輸入父域域名（nt2000.com）和子域域名（man）,在下方的子域完整域名中會自動顯示 man.nt2000.com,單擊"下一步"
步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為"man",用戶也可以進行修改 ,單擊"下一步"
步驟7 顯示資料庫、目錄文件及 Sysvol 文件的保存位置，一般不必作修改。單擊"下一步"
步驟8 為用戶和組選擇默認許可權，考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 伺服器之前版本相兼容的許可權",單擊"下一步"
步驟9 單擊"下一步"開始安裝，在重新啟動後，在 n2k_server.nt2000.com 的" Active Directory 域和信任關系"中將顯示新建的子域 man.nt2000.com 如圖5

4.3 DHCP服務管理
在一個使用TCP/IP協議的網路中，每一台計算機都必須至少有一個IP地址，才能與其他計算機連接通信。為了便於統一規劃和管理網路中的IP地址，DHCP（Dynamic Host Configure Protocol，動態主機配置協議）應運而生了。這種網路服務有利於對校園網路中的客戶機IP地址進行有效管理，而不需要一個一個手動指定IP地址。
DHCP服務的安裝
DHCP指的是由伺服器控制一段IP地址范圍，客戶機登錄伺服器時就可以自動獲得伺服器分配的IP地址和子網掩碼。首先，DHCP伺服器必須是一台安裝有Windows 2000 Server/Advanced Server系統的計算機；其次，擔任DHCP伺服器的計算機需要安裝TCP/IP協議，並為其設置靜態IP地址、子網掩碼、默認網關等內容。默認情況下，DHCP作為Windows 2000 Server的一個服務組件不會被系統自動安裝，必須把它添加進來：
1. 依次點擊「開始→設置→控制面板→添加/刪除程序→添加/刪除Windows組件」，打開相應的對話框。

2. 用滑鼠左鍵點擊選中對話框的「組件」列表框中的「網路服務」一項，單擊[詳細信息]按鈕，出現帶有具體內容的對話框。
3. 在對話框「網路服務的子組件」列表框中勾選「動態主機配置協議（DHCP）」，單擊[確定]按鈕，根據屏幕提示放入Windows 2000安裝光碟，復制所需要的程序。
4. 重新啟動計算機後，在「開始→程序→管理工具」下就會出現「DHCP」一項，說明DHCP服務安裝成功。
DHCP伺服器的授權
出於對網路安全管理的考慮，並不是在Windows 2000 Server中安裝了DHCP功能後就能直接使用，還必須進行授權操作，未經授權操作的伺服器無法提供DHCP服務。對DHCP伺服器授權操作的過程如下： 1. 依次點擊「開始→程序→管理工具→DHCP」，打開DHCP控制台窗口。 2. 在控制台窗口中，用滑鼠左鍵點擊選中伺服器名，然後單擊右鍵，在快捷菜單中選中「授權」，此時需要幾分鍾的等待時間。注意：如果系統長時間沒有反應，可以按F5鍵或選擇菜單工具中的「操作」下的「刷新」進行屏幕刷新，或先關閉DHCP控制台，在伺服器名上用滑鼠右鍵點擊。如果快捷菜單中的「授權」已經變為「撤消授權」，則表示對DHCP伺服器授權成功。此時，最明顯的標記是伺服器名前面紅色向上的箭頭變成了綠色向下的箭頭。這樣，這台被授權的DHCP伺服器就有分配IP的權利了。

添加IP地址范圍 當DHCP伺服器被授權後，還需要對它設置IP地址范圍。通過給DHCP伺服器設置IP地址范圍後，當DHCP客戶機在向DHCP伺服器申請IP地址時，DHCP伺服器就會從所設置的IP地址范圍中選擇一個還沒有被使用的IP地址進行動態分配。添加IP地址范圍的操作如下：
1. 點擊「開始→程序→管理工具→DHCP」，打開DHCP控制台窗口。
2. 選中DHCP伺服器名，在伺服器名上點擊滑鼠右鍵，在出現的快捷菜單中選擇「新建作用域」，在出現的窗口中單擊[下一步]按鈕，在出現的對話框中輸入相關信息，單擊[下一步]按鈕，如圖1所示。

3. 在圖1所示的窗口中，根據自己網路的實際情況，對各項進行設置，然後單擊[下一步]按鈕，出現如圖2所示的窗口。 4. 在圖2所示的窗口中，輸入需要排除的IP地址范圍。由於校園網路中有很多網路設備需要指定靜態IP地址（即固定的IP地址），如伺服器、交換機、路由器等，此時必須把這些已經分配的IP地址從DHCP伺服器的IP地址范圍中排除，否則會引起IP地址的沖突，導致網路故障。 5. 單擊[下一步]按鈕，在出現的「租約期限」窗口中可以設置IP地址租期的時間值。一般情況下，如果校園網路中的IP地址比較緊張的時候，可以把租期設置短一些，而IP地址比較寬松時，可以把租期設置長一些。設置完後，單擊[下一步]按鈕，出現「配置DHCP選項」窗口。 6. 在「配置DHCP選項」窗口中，如果選擇「是，我想現在配置這些選項」，此時可以對DNS伺服器、默認網關、WINS伺服器地址等內容進行設置；如果選擇「否，我想稍後配置這些選項」，可以在需要這些功能時再進行配置。此處，我們選擇前者，單擊[下一步]按鈕。 7. 在出現的窗口中，常常輸入網路中路由器的IP地址（即默認網關的IP地址）或是NAT伺服器（網路地址轉換伺服器）的IP地址，如WinRoute、SyGate等。這樣，客戶機從DHCP伺服器那裡得到的IP信息中就包含了默認網關的設定了，從而可以接入Internet。 8. 單擊[下一步]按鈕，在此對話框中設置有關客戶機DNS域的名稱，同時輸入DNS伺服器的名稱和IP地址。，然後單擊[添加]按鈕進行確認。單擊[下一步]按鈕，在出現的窗口中進行WINS伺服器的相關設置，設置完後單擊[下一步]按鈕。 9. 在出現的窗口中，選擇「是，我想現在激活此作用域」後，單擊[下一步]按鈕，在出現的窗口中單擊[完成]按鈕，設置結束。此時，就可以在DHCP管理器中看到我們剛剛建好的作用域。 注意：如果您的校園網路是以工作組的形式存在的，可以在第6步的「配置DHCP選項」窗口中選擇「否，我想稍後配置這些選項」，此時設置過程跳過第7、8步。如果您的校園網路是以域的形式存在的，建議您的網路配置順序為：活動目錄的建立→WINS的建立→DNS的建立→DHCP的建立，這樣可以減少很多麻煩。
DHCP服務的測試 經過上述設置，DHCP服務已經正式啟動，我們需要在客戶機上進行測試。只需把客戶機的IP地址選項設為「自動獲取IP地址」，隨後重新啟動客戶機。在客戶機的「運行」對話框中鍵入「Ipconfig/all」，即可看到客戶機分配到的動態IP地址。

⑵ 如何在域中配置exchange2010

千言萬語化成一個視頻，跟著做就行：

http://v.youku.com/v_show/id_XNDI3NzE3OTA0.html

簡單來說，分以下幾塊：

1. 前期部署，按郵版箱大小，數量，郵件吞吐權量計算網路，硬體需求

2. 安裝AD，Exchange是基於AD的。

3. 拓展AD, 把Exchange的屬性寫入AD架構

4. 安裝Exchange，可能對Windows Server 系統還有些需求，例如Service Pack等

5. 配置Exchange，這塊其實看你需求，一般安裝完就能滿足域內用戶的郵件收發。

⑶ 如何將域控制器提升為全局編錄伺服器

個域控制器，這樣配置的域控制器駐留在全局編錄。
將域控制器為全局編錄伺服器升級，請按照下列步驟操作：1. on domain controller，click Start ，point to Programs ，click Administrative Tools ，and then click Active Directory Sites and Services 。
2. 在控制台樹中, 雙擊 站點 ，雙擊該站點的名稱，然後雙擊 伺服器 。
3. 雙擊目標域控制器。
4. 在詳細信息窗格中, 用滑鼠右鍵單擊 NTDS 設置 ，然後單擊 屬性 。
5. on General tab，click to select Global catalog check box。
6. 重新啟動域控制器。
升級域控制器為全局編錄伺服器可以需要很長時間。 在域控制器重新啟動時, 確保沒有足夠的時間帳戶和架構信息將從原來的域控制器上刪除原來的全局編錄之前復制到新的全局編錄伺服器。
注意 該帳戶和架構信息復制到新的全局編錄伺服器時, 可能在域控制器上在目錄服務日誌中記錄事件 1119。 該事件描述指出計算機現在正在將公布本身也是一個全局編錄伺服器。
在與只有一個域控制器的 Windows 2000 域中, 您通常給相同的域控制器分配全局編錄和操作主機 （也稱為靈活的單主機操作或 FSMO） 角色。 但是，在具有多個域控制器的域，請考慮這些角色的位置之前您將它們分配。 這一點尤其重要在具有多個域的目錄林中。

⑷ 如何在 Windows 中定位域控制器

打開管理工具 裡面有角色 打開添加就可以了
域結構簡介
1、域含義：
域由群網路連接起計算機所組計算機內資源共享給其使用
2、與工作組結構網路區別：
域內所計算機共享集式目錄資料庫包括整域內用戶與安全數據工作組結構網路每台計算機位置平等相互共享
3、域計算機類型：
A、 域控制器：WIN2000SERVER才做域控制器域控制器網路台目錄資料庫自復制別域伺服器目錄資料庫域審核登錄用戶用戶名密碼台域伺服器共同審核用戶登錄提高效率
B、 員伺服器：域內WIN2000伺服器域控制器員伺服器加入域獨立伺服器員伺服器沒目錄能審核域用戶登錄都自本安全資料庫審核本用戶
C、 其計算機：其計算機用訪問些計算機資源

目錄定義

電本：其姓名、電號、址等些目錄我容易找所需數據目錄服務：讓用戶容易目錄查找所要數據WIN2000存儲用戶、組、列印機等象相關數據位置稱目錄資料庫負責提供目錄服務組件稱目錄
1、 適用范圍
應用范圍廣台計算機、計算機網路至數據廣域網組合

2、 名稱空間
A、 名稱空間含義：塊劃區域區域內利用某名字找與名字關信息
B、 WIN2000目錄名稱空間利用象名稱找相關數據
C、 WIN2000名稱結構採用DNS結構
3、象與屬性
WIN2000資源都象形式存象通屬性描述其特徵用戶象類別用戶姓、名、電用戶屬性
4、容量與組織單位
A、容量與象相似自名稱自屬性實體組象其容量
B、組織單位容量包括其象組織單位
5、域目錄樹
A、 域目錄樹：包含域網路則網路設置域目錄樹結構說些域樹狀形式存
B、域目錄樹域名包含著父域域名
C、域目錄樹所域共享目錄目錄數據散存儲各域內各域內數據合並目錄
6、信任
兩域間必須建立信任關系才訪問域內資源域加入域目錄樹域自信任其層域並且些信任關系具備雙傳遞性
7、域目錄林
網路設置域目錄樹結構讓些域目錄樹合並域目錄林Abc.com域與zyx.com域
8、架構
目錄內象類別等數據定義架構內定義用戶象類別內飲食哪些屬性等域目錄林所域目錄樹共享架構
9、全局編錄
A、 全局編錄原：目錄內數據散存儲各域內每域存儲與些域本身相關數據WIN2000存儲各域內數據合並目錄讓WIN2000用戶快速找其域內資源WIN2000才設計全局編錄
B、 全局編錄內包含著目錄伺服器每象存儲每象部屬性全部屬性
C、 全局編錄數據存儲全局編錄伺服器系統默認第台域控制器全局編錄伺服器域目錄林共享全局編錄伺服器
10、站點
A、 站點含義：指或IP網些網間通高速（512K）些網站點
B、 站點與域區別：域實體組站點實體組、每站點能包含域域同屬於站點
11、名稱
目錄內每象都名稱並且利用名稱識別每象
A 辨名稱（ND）：包含象所完整路徑abc.com
orthsalesobyong.
B、 相辨名稱（RDN）：RDNDN完整路徑
C、 全局標識符：GUID128數值所建立任何象系統都自給象指定唯GUIDGUID永遠改變
D、 用戶主體名稱{VPN}：[email protected]用戶主體名稱

目錄介紹
（）目錄服務
目錄資料庫存貯網路資源相關信息包括資源位置、管理等信息
目錄服務 種網路服務目錄服務標記管理網路所實體資源（比計算機、用戶、列印機、文件、應用等）並且提供命名、描述、查找、訪問及保護些實體信息致使網路所用戶應用都能訪問些資源
（二）目錄（Active Directory）
目錄 Windows 2000完全實現目錄服務Windows 2000網路體系基本結構模型Windows 2000網路操作系統核支柱管理機構
MicrosoftWindows 2000提供目錄全面目錄服務管理案企業級目錄服務具伸縮性目錄採用Internet標准協議與操作系統緊密集起目錄僅管理基本網路資源比計算機象、用戶賬戶、列印機等充考慮現代應用業務需求些應用提供基本管理象模型比用戶賬戶象具辦公電、手機、呼機、住址、司、屬、電郵件等屬性幾乎所應用直接利用系統提供目錄服務結構且目錄具擴充能力允許應用程序定製目錄象屬性或者添加新象類型
（三）目錄用處
（四）目錄邏輯結構
目錄邏輯結構非靈目錄提供完全樹狀層結構視圖邏輯結構與前面我討論名字空間直接關系邏輯結構用戶管理員查找、定位象提供極便目錄邏輯單元包括：域、組織單元（Organizational Unit簡稱OU）、域樹、域森林

1、 域（Domain）
域 既Windows網路系統邏輯組織單元Internet邏輯組織單元Windows 2000系統域安全邊界域管理員能管理域內部除非其域顯式賦予管理許可權才能夠訪問或者管理其域每域都自安全策略及與其域安全信任關系
2、 OU(Organizational Unit)
OU 容器象我域象組織邏輯組所OU純粹邏輯概念幫助我簡化管理工作OU包含各種象比用戶賬戶、用戶組、計算機、列印機甚至包括其OU所我利用OU域象形完全邏輯層結構於企業講我按部門所用戶設備組OU層結構按理位置形層結構按功能許可權OU層結構由於OU層結構局限於域內部所域OU層結構與另域OU層結構完全獨立

3、 樹
域通信任關系連接起所域共享公共表結構(schema) 、配置全局目錄(global catalog)形 域樹 域樹由域組些域共享同表結構配置形連續名字空間樹域通信任關系連接起目錄包含或域樹

4、 森林
域森林 指或沒形連續名字空間域樹域林所域樹共享同表結構、配置全局目錄域林所域樹通Kerberos信任關系建立起所每域樹都知道Kerberos信任關系同域樹交叉引用其域樹象

（五）其
（1）域控制器(Domain Controller)
域控制器指運行Windows 2000 Server版本伺服器保存目錄信息副本域控制器管理目錄信息變化並些變化復制同域其域控制器域控制器負責用戶登錄程及其與域關操作比身份認證、目錄信息查找等 域域控制器規模較域需要兩域控制器實際使用另用於容錯性檢查；規模較域使用域控制器 Windows 2000域結構與Windows NT 4域結構同目錄域控制器沒主目錄採用主機復制案每域控制器都寫入目錄副本某刻同域控制器目錄信息能所同旦目錄所域控制器執行同步操作新變化信息致
（2）目錄與DNS
目錄使用域名服務DNS作定位服務同標准DNS作擴充目錄使用DNS處於我使Windows 2000域與Internet域統起即Windows域名DNS域名
（3）Active Directory命名規范
a.辨別名( distinguished name (DN))
目錄每象都唯辨別名DNDN由域名、象名組： DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用戶象James Smithcontoso.com域Users組織單元Teacher單元．
b.User Principal Name : 由用戶登錄名域名組 [email protected]
域運行模式
（1） 混合模式 混合模式域既Windows 2000域控制器Windows NT 4域控制器渡模式利用種模式我現系統逐步升級混合模式目錄些功能能發揮 （2） 准模式 目錄標准模式要求所域控制器都必須運行Windows 2000候目錄所功能特性才能充體現
目錄安裝
運行 Active Directory 安裝向導 Windows 2000 Server 計算機升級域控制器創建新域或者向現域添加其域控制器創建域控制器：
§ 創建網路第域
§ 樹林創建其域
§ 提高網路用性靠性
§ 提高站點間網路性能
要創建 Windows 2000 域必須該域至少創建域控制器創建域控制器創建該域能沒域控制器域確定用戶單位需要域則必須每附加域至少創建域控制器樹林附加域：新域、新域樹根
安裝步驟示例
1、安裝域第台域控制器
安裝 Active Directory 前首先確定DNS服務工作面用戶安裝根域 nt2000.com 域第台域控制器
步驟1 利用配置伺服器啟位於 %Systemroot%system32 Active Directory 安裝向導程序 DCPromo.exe
圖1單擊"步"

步驟2 由於用戶所建立域第台域控制器所選擇"新域域控制器" 單擊"步"
步驟3 選擇"創建新域域目錄樹" ,單擊"步"
步驟4 選擇"創建新域域目錄林", 單擊"步"
步驟5 "新域 DNS 全名"輸入要創建域名nt2000.com圖 2單擊"步"

步驟6 安裝向導自域控制器 NetBIOS 名設置 "nt2000" ,單擊"步"
步驟7 顯示資料庫、目錄文件 及Sysvol 文件保存位置般必作修改單擊"步"
步驟8 配置 DNS 服務,單擊"步",（安裝 Active Directory 前未配置 DNS 伺服器讓安裝向導配置 DNS 推薦使用種）
步驟9 用戶組選擇默認許可權考慮現數單位仍需要使用 Windows 2000 前版本所選擇"與 Windows 2000 伺服器前版本相兼容許可權"
圖 3單擊"步"

步驟10 輸入目錄恢復模式管理員密碼,單擊"步"
步驟11 安裝向導顯示摘要信息,單擊"步"始安裝圖4

步驟12 安裝完重新啟計算機
檢驗安裝結
安裝完通檢驗 Active Directory 安裝確安裝程項重要工作 DNS 資料庫添加服務記錄( SRV 記錄)
1．檢查 DNS 文件SRV記錄
用文本編輯器打 %systemroot%/system32/config/ Netlogon.dns 文件察看 LDAP 服務記錄本例
_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.
2.驗證 SRV 記錄 NSLOOKUP 命令工具運行
步驟1 命令提示行輸入 NSLOOKUP
步驟2 輸入 set type=srv
步驟3 輸入 _ldap._tcp.nt2000.com
返伺服器名 IP 址說明 SRV 記錄工作
2、安裝第二台域控制器
安裝完第台域控制器其域名 nt2000.com ,例該伺服器用於總公司由於公司擴展需要其新建工廠建立自域名域控制器則用戶工廠域名定義 man.nt2000.com 由於域名與 nt2000.com 連續域名所組目錄樹今隨著工廠發展用戶目錄樹繼續逐級添加域（：accounting.man.nt2000.com）需要添加域名與該目錄樹連續（：nt3000.com）則用戶需要建立新目錄樹由目錄樹組域目錄林
安裝第二台域控制器前首先檢驗IP設置DNS設置保證訪問域控制器（n2k_server.nt2000.com）
步驟1 利用配置伺服器啟位於 %Systemroot%system32 Active Directory 安裝向導程序 DCPromo.exe 圖1擊"步"
步驟2 由於用戶所建立域台域控制器所選擇"新域域控制器" 單擊"步"
步驟3 選擇"現域目錄樹創建新域" ,單擊"步"
步驟4 "網路憑據"框輸入級域域名及具管理員許可權用戶名密碼, 單擊"步"
步驟5 "域安裝"框輸入父域域名（nt2000.com）域域名（man）,域完整域名自顯示 man.nt2000.com,單擊"步"
步驟6 安裝向導自域控制器 NetBIOS 名設置"man",用戶進行修改 ,單擊"步"
步驟7 顯示資料庫、目錄文件及 Sysvol 文件保存位置般必作修改單擊"步"
步驟8 用戶組選擇默認許可權考慮現數單位仍需要使用 Windows 2000 前版本所選擇"與 Windows 2000 伺服器前版本相兼容許可權",單擊"步"
步驟9 單擊"步"始安裝重新啟 n2k_server.nt2000.com " Active Directory 域信任關系"顯示新建域 man.nt2000.com 圖5

4.3 DHCP服務管理
使用TCP/IP協議網路每台計算機都必須至少IP址才能與其計算機連接通信便於統規劃管理網路IP址DHCP（Dynamic Host Configure Protocol態主機配置協議）應運種網路服務利於校園網路客戶機IP址進行效管理需要手指定IP址
DHCP服務安裝
DHCP指由伺服器控制段IP址范圍客戶機登錄伺服器自獲伺服器配IP址網掩碼首先DHCP伺服器必須台安裝Windows 2000 Server/Advanced Server系統計算機；其擔任DHCP伺服器計算機需要安裝TCP/IP協議並其設置靜態IP址、網掩碼、默認網關等內容默認情況DHCP作Windows 2000 Server服務組件系統自安裝必須添加進：
1. 依點擊始→設置→控制面板→添加/刪除程序→添加/刪除Windows組件打相應框

2. 用滑鼠左鍵點擊選框組件列表框網路服務項單擊[詳細信息]按鈕現帶具體內容框
3. 框網路服務組件列表框勾選態主機配置協議（DHCP）單擊[確定]按鈕根據屏幕提示放入Windows 2000安裝光碟復制所需要程序
4. 重新啟計算機始→程序→管理工具現DHCP項說明DHCP服務安裝功
DHCP伺服器授權
於網路安全管理考慮並Windows 2000 Server安裝DHCP功能能直接使用必須進行授權操作未經授權操作伺服器提供DHCP服務DHCP伺服器授權操作程： 1. 依點擊始→程序→管理工具→DHCP打DHCP控制台窗口 2. 控制台窗口用滑鼠左鍵點擊選伺服器名單擊右鍵快捷菜單選授權需要幾鍾等待間注意：系統間沒反應按F5鍵或選擇菜單工具操作刷新進行屏幕刷新或先關閉DHCP控制台伺服器名用滑鼠右鍵點擊快捷菜單授權已經變撤消授權則表示DHCP伺服器授權功明顯標記伺服器名前面紅色向箭變綠色向箭台授權DHCP伺服器配IP權利

添加IP址范圍 DHCP伺服器授權需要設置IP址范圍通給DHCP伺服器設置IP址范圍DHCP客戶機向DHCP伺服器申請IP址DHCP伺服器所設置IP址范圍選擇沒使用IP址進行態配添加IP址范圍操作：
1. 點擊始→程序→管理工具→DHCP打DHCP控制台窗口
2. 選DHCP伺服器名伺服器名點擊滑鼠右鍵現快捷菜單選擇新建作用域現窗口單擊[步]按鈕現框輸入相關信息單擊[步]按鈕圖1所示

3. 圖1所示窗口根據自網路實際情況各項進行設置單擊[步]按鈕現圖2所示窗口 4. 圖2所示窗口輸入需要排除IP址范圍由於校園網路網路設備需要指定靜態IP址（即固定IP址）伺服器、交換機、路由器等必須些已經配IP址DHCP伺服器IP址范圍排除否則引起IP址沖突導致網路故障 5. 單擊[步]按鈕現租約期限窗口設置IP址租期間值般情況校園網路IP址比較緊張候租期設置短些IP址比較寬松租期設置些設置完單擊[步]按鈕現配置DHCP選項窗口 6. 配置DHCP選項窗口選擇我想現配置些選項DNS伺服器、默認網關、WINS伺服器址等內容進行設置；選擇否我想稍配置些選項需要些功能再進行配置處我選擇前者單擊[步]按鈕 7. 現窗口輸入網路路由器IP址（即默認網關IP址）或NAT伺服器（網路址轉換伺服器）IP址WinRoute、SyGate等客戶機DHCP伺服器IP信息包含默認網關設定接入Internet 8. 單擊[步]按鈕框設置關客戶機DNS域名稱同輸入DNS伺服器名稱IP址單擊[添加]按鈕進行確認單擊[步]按鈕現窗口進行WINS伺服器相關設置設置完單擊[步]按鈕 9. 現窗口選擇我想現激作用域單擊[步]按鈕現窗口單擊[完]按鈕設置結束DHCP管理器看我剛剛建作用域 注意：您校園網路工作組形式存第6步配置DHCP選項窗口選擇否我想稍配置些選項設置程跳第7、8步您校園網路域形式存建議您網路配置順序：目錄建立→WINS建立→DNS建立→DHCP建立減少麻煩
DHCP服務測試 經述設置DHCP服務已經式啟我需要客戶機進行測試需客戶機IP址選項設自獲取IP址隨重新啟客戶機客戶機運行框鍵入Ipconfig/all即看客戶機配態IP址

⑸ 一台WIN2000SERVER只能建立一個域控制器

Win2000域詳解
域結構簡介
1、域的含義：
域是由一群以網路連接在一起的計算機所組成的，它們將計算機內的資源共享給其他人使用。
2、與工作組結構網路區別：
域內所有的計算機共享一個集中式的目錄資料庫，它包括整個域內的用戶與安全數據。而工作組結構的網路，每台計算機的位置平等。可以相互的共享。
3、域中的計算機類型：
A、 域控制器：只有WIN2000SERVER才可以做域控制器，域控制器在一個網路中可以有多個。一台的目錄資料庫可以自動復制到別一個域伺服器的目錄資料庫中，域可以審核登錄用戶的用戶名和密碼。多台域伺服器共同審核用戶的登錄可以提高效率
B、 成員伺服器：域內的WIN2000伺服器如果不是域控制器，就是成員伺服器，如果不加入域就獨立伺服器，成員伺服器沒有活動目錄，不能審核域用戶的登錄，但它們都自己的本地安全資料庫。以審核本地用戶。
C、 其他計算機：其他計算機可以用來訪問這些計算機的資源。

活動目錄定義

一個電話本：其中有姓名、電話號、地址等，這些就是目錄，我可以很容易從找到所需的數據。目錄服務：就讓用戶很容易在目錄中查找所要的數據。而在WIN2000中，存儲用戶、組、列印機等對象相關數據的位置稱為目錄資料庫，負責提供目錄服務的組件稱為活動目錄。
1、 適用范圍
應用范圍很廣，可以在一台計算機、一個計算機網路，大至數據廣域網的組合。

2、 名稱空間
A、 名稱空間的含義：就是一塊劃好的區域。在這個區域內，可以利用某個名字來找到與這個名字有關的信息。
B、 WIN2000中的活動目錄就是「名稱空間」，可以利用對象名稱找到相關的數據。
C、 WIN2000的名稱結構採用了DNS的結構。
3、對象與屬性
WIN2000中的資源都是以對象的形式存在，而一個對象通過屬性來描述其特徵。如用戶就是一個對象類別。用戶的姓、名、電話，就是用戶的屬性。
4、容量與組織單位
A、容量與對象相似，也有自己的名稱，也有自己的屬性，但它不是一個實體，而可以一組對象和其它容量。
B、組織單位，就是一個容量，可以包括其他對象和組織單位。
5、域目錄樹
A、 域目錄樹：對一個包含多個域的網路，則可以將網路設置成域目錄樹的結構，也就是說這些域以樹狀的形式存在。
B、域目錄樹中的子域名包含著父域的域名
C、域目錄樹中的所有的域共享一個活動目錄。但活動目錄中的數據分散地存儲在各個域內。將各個域內的數據合並為一個活動目錄。
6、信任
兩個域之間，必須建立信任關系，才可以訪問對方域內的資源，一個域加入到一個域目錄樹中後，這個域會自動信任其上一層域，並且這些信任關系具備雙傳遞性。
7、域目錄林
如果一個網路設置成多個域目錄樹的結構，那麼可以讓這些域目錄樹合並為一個域目錄林。如Abc.com域與zyx.com域。
8、架構
在活動目錄內的對象類別等數據定義在架構內，如定義了用戶這個對象類別內飲食了哪些屬性等。在一個域目錄林中的所有域目錄樹共享一個架構。
9、全局編錄
A、 全局編錄的原因：活動目錄內的數據分散存儲在各個域內，而每一個域只存儲與些域本身相關數據。WIN2000將存儲在各個域內的數據合並為一個活動目錄。為了讓WIN2000用戶可以快速找到其它域內的資源，WIN2000才設計了「全局編錄」。
B、 「全局編錄」內包含著目錄伺服器中的每一個對象，不過只存儲每個對象的部分屬性，而不是全部屬性。
C、 「全局編錄」的數據存儲在全局編錄伺服器，系統默認第一台域控制器就是全局編錄伺服器。在域目錄林共享一個全局編錄伺服器。
10、站點
A、 站點的含義：指的是一個或多個IP子網，這些子網之間是通過高速（512K），這些子網就是站點。
B、 站點與域的區別：域是實體的分組，而站點是實體的分組，、每個站點可能會包含多個域，而一個域也可以同時屬於多個站點。
11、名稱
活動目錄內，每個對象都有一個名稱，並且利用名稱來識別每個對象。
A 可分辨的名稱（ND）：它包含對象所在的完整路徑，abc.com
orthsalesobyong.
B、 相對可分辨的名稱（RDN）：RDN是DN的完整路徑中。
C、 全局標識符：GUID是一個128的數值，所建立的任何一個對象，系統都會自動給這個對象指定一個唯一的GUID。GUID永遠不會改變的。
D、 用戶主體名稱{VPN}：[email protected]這是一個用戶的主體名稱。

活動目錄介紹
（一）目錄服務
目錄，是一個資料庫，存貯了網路資源相關的信息，包括了資源的位置、管理等信息。
目錄服務 是一種網路服務，目錄服務標記管理網路中的所有實體資源（比如計算機、用戶、列印機、文件、應用等），並且提供了命名、描述、查找、訪問以及保護這些實體信息的一致的方法，使網路中的所有用戶和應用都能訪問到這些資源。
（二）活動目錄（Active Directory）
活動目錄 是Windows 2000完全實現的目錄服務，也是Windows 2000網路體系的基本結構模型，是Windows 2000網路操作系統的核心支柱，也是中心管理機構。
Microsoft在Windows 2000中提供的活動目錄是一個全面的目錄服務管理方案，也是一個企業級的目錄服務，具有很好的可伸縮性。活動目錄採用了Internet的標准協議，它與操作系統緊密地集成在一起。活動目錄不僅可以管理基本的網路資源，比如計算機對象、用戶賬戶、列印機等，它也充分考慮了現代應用的業務需求，為這些應用提供了基本的管理對象模型，比如用戶賬戶對象具有辦公電話、手機、呼機、住址、上司、下屬、電子郵件等屬性。幾乎所有的應用可以直接利用系統提供的目錄服務結構，而且活動目錄也具有很好的擴充能力，允許應用程序定製目錄中對象的屬性或者添加新的對象類型。
（三）活動目錄的用處
（四）活動目錄的邏輯結構
活動目錄的邏輯結構非常靈活，它為活動目錄提供了完全的樹狀層次結構視圖，邏輯結構與前面我們討論過的名字空間有直接的關系。邏輯結構為用戶和管理員查找、定位對象提供了極大的方便。活動目錄中的邏輯單元包括：域、組織單元（Organizational Unit，簡稱OU）、域樹、域森林。

1、 域（Domain）
域 既是Windows網路系統的邏輯組織單元，也是Internet的邏輯組織單元，在Windows 2000系統中，域是安全邊界。域管理員只能管理域的內部，除非其他的域顯式地賦予他管理許可權，他才能夠訪問或者管理其他的域。每個域都有自己的安全策略，以及它與其他域的安全信任關系。
2、 OU(Organizational Unit)
OU 是一個容器對象，我們可以把域中的對象組織成邏輯組，所以OU純粹是一個邏輯概念，它可以幫助我們簡化管理工作。OU可以包含各種對象，比如用戶賬戶、用戶組、計算機、列印機，甚至可以包括其他的OU。所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結構，對於一個企業來講，我們可以按部門把所有的用戶和設備組成一個OU層次結構，也可以按地理位置形成層次結構，還可以按功能和許可權分成多個OU層次結構。由於OU層次結構局限於域的內部，所以一個域中的OU層次結構與另一個域中的OU層次結構完全獨立。

3、 樹
當多個域通過信任關系連接起來之後，所有的域共享公共的表結構(schema) 、配置和全局目錄(global catalog)，從而形成 域樹 。域樹由多個域組成，這些域共享同一個表結構和配置，形成一個連續的名字空間。樹中的域通過信任關系連接起來。活動目錄包含一個或多個域樹。

4、 森林
域森林 是指一個或多個沒有形成連續名字空間的域樹。域林中的所有域樹共享同一個表結構、配置和全局目錄。域林中的所有域樹通過Kerberos信任關系建立起來，所以每個域樹都知道Kerberos信任關系，不同域樹可以交叉引用其他域樹中的對象。

（五）其它
（1）域控制器(Domain Controller)
域控制器是指運行Windows 2000 Server版本的伺服器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，並把這些變化復制到同一個域中的其他域控制器上。域控制器也負責用戶的登錄過程，以及其他與域有關的操作，比如身份認證、目錄信息查找等。 一個域可以有多個域控制器。規模較小的域可以只需要兩個域控制器，一個實際使用，另一個用於容錯性檢查；規模較大的域可以使用多個域控制器。 Windows 2000的域結構與Windows NT 4的域結構不同的是，活動目錄中的域控制器沒有主次之分，活動目錄採用了多主機復制方案，每一個域控制器都有一個可寫入的目錄副本。在某一個時刻，不同的域控制器中的目錄信息可能有所不同，一旦活動目錄中的所有域控制器執行同步操作之後，最新的變化信息就會一致。
（2）活動目錄與DNS
活動目錄使用域名服務DNS作為它的定位服務，同時也對標準的DNS作了擴充。在活動目錄中使用DNS的最大好處在於，我們可以使Windows 2000域與Internet上的域統一起來，即Windows域名也是DNS域名。
（3）Active Directory命名規范
a.辨別名( distinguished name (DN))
活動目錄中的每一個對象都會有一個唯一的辨別名DN。DN由域名、對象名組成： DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用戶對象James Smith在contoso.com域中的Users組織單元中的Teacher單元中．
b.User Principal Name : 由用戶登錄名和域名組成，如 [email protected]。
域運行模式
（1） 混合模式 。混合模式的域既可以有Windows 2000的域控制器，也可以有Windows NT 4的域控制器。這是一個過渡模式，利用這種模式，我們可以對現有的系統逐步升級。但是，在混合模式下，活動目錄中有些功能不能很好地發揮出來。 （2） 准模式 。活動目錄的標准模式要求所有的域控制器都必須運行Windows 2000。只有在這個時候，活動目錄的所有功能和特性才能充分體現出來。
活動目錄的安裝
運行 Active Directory 安裝向導將 Windows 2000 Server 計算機升級為域控制器會創建一個新域或者向現有的域添加其他域控制器。創建域控制器可以：
§ 創建網路中的第一個域。
§ 在樹林中創建其他的域。
§ 提高網路可用性和可靠性。
§ 提高站點之間的網路性能。
要創建 Windows 2000 域，必須在該域中至少創建一個域控制器。創建域控制器也將創建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域，則必須為每個附加的域至少創建一個域控制器。樹林中的附加域可以是：新的子域、新域樹的根。
安裝步驟示例
1、安裝域中第一台域控制器
在安裝 Active Directory 前首先確定DNS服務正常工作，下面用戶來安裝根域為 nt2000.com 的域中第一台域控制器。
步驟1 利用配置伺服器啟動位於 %Systemroot%system32 中的 Active Directory 安裝向導程序 DCPromo.exe。
如圖1單擊"下一步"

步驟2 由於用戶所建立的是域中的第一台域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"創建一個新域的域目錄樹" ,單擊"下一步"
步驟4 選擇"創建一個新域的域目錄林", 單擊"下一步"
步驟5 在"新域的 DNS 全名"中輸入要創建得域名，nt2000.com如圖 2單擊"下一步"

步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為 "nt2000" ,單擊"下一步"
步驟7 顯示資料庫、目錄文件 及Sysvol 文件的保存位置，一般不必作修改。單擊"下一步"
步驟8 配置 DNS 服務,單擊"下一步",（如果在安裝 Active Directory 之前未配置 DNS 伺服器可以在此讓安裝向導配置 DNS ，推薦使用這種方法。）
步驟9 為用戶和組選擇默認許可權，考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 伺服器之前版本相兼容的許可權"
如圖 3單擊"下一步"

步驟10 輸入以目錄恢復模式下的管理員密碼,單擊"下一步"
步驟11 安裝向導顯示摘要信息,單擊"下一步"開始安裝如圖4

步驟12 安裝完成之後，重新啟動計算機。
檢驗安裝結果
在安裝完成後，可以通過以下方法檢驗 Active Directory 安裝正確，在安裝過程中一項最重要的工作是在 DNS 資料庫中添加服務記錄( SRV 記錄)。
1．檢查 DNS 文件的SRV記錄
用文本編輯器打開 %systemroot%/system32/config/ 中的 Netlogon.dns 文件，察看 LDAP 服務記錄，在本例中為
_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.
2.驗證 SRV 記錄在 NSLOOKUP 命令工具中運行正常
步驟1 在命令提示行下，輸入 NSLOOKUP
步驟2 輸入 set type=srv
步驟3 輸入 _ldap._tcp.nt2000.com
如果返回了伺服器名和 IP 地址，說明 SRV 記錄工作正常
2、安裝第二台域控制器
在安裝完第一台域控制器後其域名為 nt2000.com ,在上例中該伺服器用於總公司，如果由於公司擴展的需要為其新建的工廠建立自己的域名和域控制器，則用戶將工廠的域名定義為 man.nt2000.com ，由於此域名與 nt2000.com 是連續的域名，所以他們組成了一個目錄樹，今後隨著工廠的發展用戶還可以在這個目錄樹下繼續逐級添加子域（如：accounting.man.nt2000.com），如果需要添加的域名與該目錄樹不連續（如：nt3000.com）則用戶就需要建立一個新的目錄樹，這樣由多個目錄樹組成了域目錄林。
在安裝第二台域控制器之前，首先檢驗它的IP設置和DNS設置，以保證可以訪問域控制器（n2k_server.nt2000.com）。
步驟1 利用配置伺服器啟動位於 %Systemroot%system32 中的 Active Directory 安裝向導程序 DCPromo.exe 。如上圖1擊"下一步"
步驟2 由於用戶所建立的是域中的一台域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"在現有域目錄樹中創建一個新的子域" ,單擊"下一步"
步驟4 在"網路憑據"對話框中輸入上一級域的域名及具有管理員許可權的用戶名和密碼, 單擊"下一步"
步驟5 在"子域安裝"對話框中輸入父域域名（nt2000.com）和子域域名（man）,在下方的子域完整域名中會自動顯示 man.nt2000.com,單擊"下一步"
步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為"man",用戶也可以進行修改 ,單擊"下一步"
步驟7 顯示資料庫、目錄文件及 Sysvol 文件的保存位置，一般不必作修改。單擊"下一步"
步驟8 為用戶和組選擇默認許可權，考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 伺服器之前版本相兼容的許可權",單擊"下一步"
步驟9 單擊"下一步"開始安裝，在重新啟動後，在 n2k_server.nt2000.com 的" Active Directory 域和信任關系"中將顯示新建的子域 man.nt2000.com 如圖5

4.3 DHCP服務管理
在一個使用TCP/IP協議的網路中，每一台計算機都必須至少有一個IP地址，才能與其他計算機連接通信。為了便於統一規劃和管理網路中的IP地址，DHCP（Dynamic Host Configure Protocol，動態主機配置協議）應運而生了。這種網路服務有利於對校園網路中的客戶機IP地址進行有效管理，而不需要一個一個手動指定IP地址。
DHCP服務的安裝
DHCP指的是由伺服器控制一段IP地址范圍，客戶機登錄伺服器時就可以自動獲得伺服器分配的IP地址和子網掩碼。首先，DHCP伺服器必須是一台安裝有Windows 2000 Server/Advanced Server系統的計算機；其次，擔任DHCP伺服器的計算機需要安裝TCP/IP協議，並為其設置靜態IP地址、子網掩碼、默認網關等內容。默認情況下，DHCP作為Windows 2000 Server的一個服務組件不會被系統自動安裝，必須把它添加進來：
1. 依次點擊「開始→設置→控制面板→添加/刪除程序→添加/刪除Windows組件」，打開相應的對話框。

2. 用滑鼠左鍵點擊選中對話框的「組件」列表框中的「網路服務」一項，單擊[詳細信息]按鈕，出現帶有具體內容的對話框。
3. 在對話框「網路服務的子組件」列表框中勾選「動態主機配置協議（DHCP）」，單擊[確定]按鈕，根據屏幕提示放入Windows 2000安裝光碟，復制所需要的程序。
4. 重新啟動計算機後，在「開始→程序→管理工具」下就會出現「DHCP」一項，說明DHCP服務安裝成功。
DHCP伺服器的授權
出於對網路安全管理的考慮，並不是在Windows 2000 Server中安裝了DHCP功能後就能直接使用，還必須進行授權操作，未經授權操作的伺服器無法提供DHCP服務。對DHCP伺服器授權操作的過程如下：1. 依次點擊「開始→程序→管理工具→DHCP」，打開DHCP控制台窗口。2. 在控制台窗口中，用滑鼠左鍵點擊選中伺服器名，然後單擊右鍵，在快捷菜單中選中「授權」，此時需要幾分鍾的等待時間。注意：如果系統長時間沒有反應，可以按F5鍵或選擇菜單工具中的「操作」下的「刷新」進行屏幕刷新，或先關閉DHCP控制台，在伺服器名上用滑鼠右鍵點擊。如果快捷菜單中的「授權」已經變為「撤消授權」，則表示對DHCP伺服器授權成功。此時，最明顯的標記是伺服器名前面紅色向上的箭頭變成了綠色向下的箭頭。這樣，這台被授權的DHCP伺服器就有分配IP的權利了。

添加IP地址范圍當DHCP伺服器被授權後，還需要對它設置IP地址范圍。通過給DHCP伺服器設置IP地址范圍後，當DHCP客戶機在向DHCP伺服器申請IP地址時，DHCP伺服器就會從所設置的IP地址范圍中選擇一個還沒有被使用的IP地址進行動態分配。添加IP地址范圍的操作如下：
1. 點擊「開始→程序→管理工具→DHCP」，打開DHCP控制台窗口。
2. 選中DHCP伺服器名，在伺服器名上點擊滑鼠右鍵，在出現的快捷菜單中選擇「新建作用域」，在出現的窗口中單擊[下一步]按鈕，在出現的對話框中輸入相關信息，單擊[下一步]按鈕，如圖1所示。

3. 在圖1所示的窗口中，根據自己網路的實際情況，對各項進行設置，然後單擊[下一步]按鈕，出現如圖2所示的窗口。4. 在圖2所示的窗口中，輸入需要排除的IP地址范圍。由於校園網路中有很多網路設備需要指定靜態IP地址（即固定的IP地址），如伺服器、交換機、路由器等，此時必須把這些已經分配的IP地址從DHCP伺服器的IP地址范圍中排除，否則會引起IP地址的沖突，導致網路故障。5. 單擊[下一步]按鈕，在出現的「租約期限」窗口中可以設置IP地址租期的時間值。一般情況下，如果校園網路中的IP地址比較緊張的時候，可以把租期設置短一些，而IP地址比較寬松時，可以把租期設置長一些。設置完後，單擊[下一步]按鈕，出現「配置DHCP選項」窗口。6. 在「配置DHCP選項」窗口中，如果選擇「是，我想現在配置這些選項」，此時可以對DNS伺服器、默認網關、WINS伺服器地址等內容進行設置；如果選擇「否，我想稍後配置這些選項」，可以在需要這些功能時再進行配置。此處，我們選擇前者，單擊[下一步]按鈕。7. 在出現的窗口中，常常輸入網路中路由器的IP地址（即默認網關的IP地址）或是NAT伺服器（網路地址轉換伺服器）的IP地址，如WinRoute、SyGate等。這樣，客戶機從DHCP伺服器那裡得到的IP信息中就包含了默認網關的設定了，從而可以接入Internet。8. 單擊[下一步]按鈕，在此對話框中設置有關客戶機DNS域的名稱，同時輸入DNS伺服器的名稱和IP地址。，然後單擊[添加]按鈕進行確認。單擊[下一步]按鈕，在出現的窗口中進行WINS伺服器的相關設置，設置完後單擊[下一步]按鈕。9. 在出現的窗口中，選擇「是，我想現在激活此作用域」後，單擊[下一步]按鈕，在出現的窗口中單擊[完成]按鈕，設置結束。此時，就可以在DHCP管理器中看到我們剛剛建好的作用域。注意：如果您的校園網路是以工作組的形式存在的，可以在第6步的「配置DHCP選項」窗口中選擇「否，我想稍後配置這些選項」，此時設置過程跳過第7、8步。如果您的校園網路是以域的形式存在的，建議您的網路配置順序為：活動目錄的建立→WINS的建立→DNS的建立→DHCP的建立，這樣可以減少很多麻煩。
DHCP服務的測試經過上述設置，DHCP服務已經正式啟動，我們需要在客戶機上進行測試。只需把客戶機的IP地址選項設為「自動獲取IP地址」，隨後重新啟動客戶機。在客戶機的「運行」對話框中鍵入「Ipconfig/all」，即可看到客戶機分配到的動態IP地址。

⑹ 高分請教：全局編錄伺服器、Active Directory、DNS、域控制器

一般的小公司是不用域的，大點的公司要加強管理才用。
域控制器下才能使用Active Directory,同時可以使用DNS，統一集成管理。
DNS也可以單獨使用。
全局編錄伺服器，沒研究過，沒什麼用吧。

⑺ 麻煩給我點資料！

青菜http://ke..com/lemma-php/dispose/view.php/381112.htm
韭菜http://ke..com/lemma-php/dispose/view.php/25243.htm
白菜http://ke..com/lemma-php/dispose/view.php/17811.htm
萵苣http://ke..com/lemma-php/dispose/view.php/24562.htm
黃瓜://ke..com/lemma-php/dispose/view.php/43215.htm
芹菜http://ke..com/lemma-php/dispose/view.php/21924.htm
菠菜http://ke..com/lemma-php/dispose/view.php/30729.htm
茄子http://ke..com/lemma-php/dispose/view.php/24097.htm

⑻ 如何把PC機轉變成伺服器,我是WINDOWS SEVER操作系統

直接把操作系統安裝成server就可以了。不過你想做什麼伺服器？域控制器、資料庫、iis發布還是什麼？根據自己的用途的不同，再安裝不同的東西。
域結構簡介
1、域的含義：
域是由一群以網路連接在一起的計算機所組成的，它們將計算機內的資源共享給其他人使用。
2、與工作組結構網路區別：
域內所有的計算機共享一個集中式的目錄資料庫，它包括整個域內的用戶與安全數據。而工作組結構的網路，每台計算機的位置平等。可以相互的共享。
3、域中的計算機類型：
A、 域控制器：只有WIN2000SERVER才可以做域控制器，域控制器在一個網路中可以有多個。一台的目錄資料庫可以自動復制到別一個域伺服器的目錄資料庫中，域可以審核登錄用戶的用戶名和密碼。多台域伺服器共同審核用戶的登錄可以提高效率
B、 成員伺服器：域內的WIN2000伺服器如果不是域控制器，就是成員伺服器，如果不加入域就獨立伺服器，成員伺服器沒有活動目錄，不能審核域用戶的登錄，但它們都自己的本地安全資料庫。以審核本地用戶。
C、 其他計算機：其他計算機可以用來訪問這些計算機的資源。

活動目錄定義

一個電話本：其中有姓名、電話號、地址等，這些就是目錄，我可以很容易從找到所需的數據。目錄服務：就讓用戶很容易在目錄中查找所要的數據。而在WIN2000中，存儲用戶、組、列印機等對象相關數據的位置稱為目錄資料庫，負責提供目錄服務的組件稱為活動目錄。
1、 適用范圍
應用范圍很廣，可以在一台計算機、一個計算機網路，大至數據廣域網的組合。

2、 名稱空間
A、 名稱空間的含義：就是一塊劃好的區域。在這個區域內，可以利用某個名字來找到與這個名字有關的信息。
B、 WIN2000中的活動目錄就是「名稱空間」，可以利用對象名稱找到相關的數據。
C、 WIN2000的名稱結構採用了DNS的結構。
3、對象與屬性
WIN2000中的資源都是以對象的形式存在，而一個對象通過屬性來描述其特徵。如用戶就是一個對象類別。用戶的姓、名、電話，就是用戶的屬性。
4、容量與組織單位
A、容量與對象相似，也有自己的名稱，也有自己的屬性，但它不是一個實體，而可以一組對象和其它容量。
B、組織單位，就是一個容量，可以包括其他對象和組織單位。
5、域目錄樹
A、 域目錄樹：對一個包含多個域的網路，則可以將網路設置成域目錄樹的結構，也就是說這些域以樹狀的形式存在。
B、域目錄樹中的子域名包含著父域的域名
C、域目錄樹中的所有的域共享一個活動目錄。但活動目錄中的數據分散地存儲在各個域內。將各個域內的數據合並為一個活動目錄。
6、信任
兩個域之間，必須建立信任關系，才可以訪問對方域內的資源，一個域加入到一個域目錄樹中後，這個域會自動信任其上一層域，並且這些信任關系具備雙傳遞性。
7、域目錄林
如果一個網路設置成多個域目錄樹的結構，那麼可以讓這些域目錄樹合並為一個域目錄林。如Abc.com域與zyx.com域。
8、架構
在活動目錄內的對象類別等數據定義在架構內，如定義了用戶這個對象類別內飲食了哪些屬性等。在一個域目錄林中的所有域目錄樹共享一個架構。
9、全局編錄
A、 全局編錄的原因：活動目錄內的數據分散存儲在各個域內，而每一個域只存儲與些域本身相關數據。WIN2000將存儲在各個域內的數據合並為一個活動目錄。為了讓WIN2000用戶可以快速找到其它域內的資源，WIN2000才設計了「全局編錄」。
B、 「全局編錄」內包含著目錄伺服器中的每一個對象，不過只存儲每個對象的部分屬性，而不是全部屬性。
C、 「全局編錄」的數據存儲在全局編錄伺服器，系統默認第一台域控制器就是全局編錄伺服器。在域目錄林共享一個全局編錄伺服器。
10、站點
A、 站點的含義：指的是一個或多個IP子網，這些子網之間是通過高速（512K），這些子網就是站點。
B、 站點與域的區別：域是實體的分組，而站點是實體的分組，、每個站點可能會包含多個域，而一個域也可以同時屬於多個站點。
11、名稱
活動目錄內，每個對象都有一個名稱，並且利用名稱來識別每個對象。
A 可分辨的名稱（ND）：它包含對象所在的完整路徑，abc.com
orthsalesobyong.
B、 相對可分辨的名稱（RDN）：RDN是DN的完整路徑中。
C、 全局標識符：GUID是一個128的數值，所建立的任何一個對象，系統都會自動給這個對象指定一個唯一的GUID。GUID永遠不會改變的。
D、 用戶主體名稱{VPN}：[email protected]這是一個用戶的主體名稱。

活動目錄介紹
（一）目錄服務
目錄，是一個資料庫，存貯了網路資源相關的信息，包括了資源的位置、管理等信息。
目錄服務 是一種網路服務，目錄服務標記管理網路中的所有實體資源（比如計算機、用戶、列印機、文件、應用等），並且提供了命名、描述、查找、訪問以及保護這些實體信息的一致的方法，使網路中的所有用戶和應用都能訪問到這些資源。
（二）活動目錄（Active Directory）
活動目錄 是Windows 2000完全實現的目錄服務，也是Windows 2000網路體系的基本結構模型，是Windows 2000網路操作系統的核心支柱，也是中心管理機構。
Microsoft在Windows 2000中提供的活動目錄是一個全面的目錄服務管理方案，也是一個企業級的目錄服務，具有很好的可伸縮性。活動目錄採用了Internet的標准協議，它與操作系統緊密地集成在一起。活動目錄不僅可以管理基本的網路資源，比如計算機對象、用戶賬戶、列印機等，它也充分考慮了現代應用的業務需求，為這些應用提供了基本的管理對象模型，比如用戶賬戶對象具有辦公電話、手機、呼機、住址、上司、下屬、電子郵件等屬性。幾乎所有的應用可以直接利用系統提供的目錄服務結構，而且活動目錄也具有很好的擴充能力，允許應用程序定製目錄中對象的屬性或者添加新的對象類型。
（三）活動目錄的用處
（四）活動目錄的邏輯結構
活動目錄的邏輯結構非常靈活，它為活動目錄提供了完全的樹狀層次結構視圖，邏輯結構與前面我們討論過的名字空間有直接的關系。邏輯結構為用戶和管理員查找、定位對象提供了極大的方便。活動目錄中的邏輯單元包括：域、組織單元（Organizational Unit，簡稱OU）、域樹、域森林。

1、 域（Domain）
域 既是Windows網路系統的邏輯組織單元，也是Internet的邏輯組織單元，在Windows 2000系統中，域是安全邊界。域管理員只能管理域的內部，除非其他的域顯式地賦予他管理許可權，他才能夠訪問或者管理其他的域。每個域都有自己的安全策略，以及它與其他域的安全信任關系。
2、 OU(Organizational Unit)
OU 是一個容器對象，我們可以把域中的對象組織成邏輯組，所以OU純粹是一個邏輯概念，它可以幫助我們簡化管理工作。OU可以包含各種對象，比如用戶賬戶、用戶組、計算機、列印機，甚至可以包括其他的OU。所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結構，對於一個企業來講，我們可以按部門把所有的用戶和設備組成一個OU層次結構，也可以按地理位置形成層次結構，還可以按功能和許可權分成多個OU層次結構。由於OU層次結構局限於域的內部，所以一個域中的OU層次結構與另一個域中的OU層次結構完全獨立。

3、 樹
當多個域通過信任關系連接起來之後，所有的域共享公共的表結構(schema) 、配置和全局目錄(global catalog)，從而形成 域樹 。域樹由多個域組成，這些域共享同一個表結構和配置，形成一個連續的名字空間。樹中的域通過信任關系連接起來。活動目錄包含一個或多個域樹。

4、 森林
域森林 是指一個或多個沒有形成連續名字空間的域樹。域林中的所有域樹共享同一個表結構、配置和全局目錄。域林中的所有域樹通過Kerberos信任關系建立起來，所以每個域樹都知道Kerberos信任關系，不同域樹可以交叉引用其他域樹中的對象。

（五）其它
（1）域控制器(Domain Controller)
域控制器是指運行Windows 2000 Server版本的伺服器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，並把這些變化復制到同一個域中的其他域控制器上。域控制器也負責用戶的登錄過程，以及其他與域有關的操作，比如身份認證、目錄信息查找等。 一個域可以有多個域控制器。規模較小的域可以只需要兩個域控制器，一個實際使用，另一個用於容錯性檢查；規模較大的域可以使用多個域控制器。 Windows 2000的域結構與Windows NT 4的域結構不同的是，活動目錄中的域控制器沒有主次之分，活動目錄採用了多主機復制方案，每一個域控制器都有一個可寫入的目錄副本。在某一個時刻，不同的域控制器中的目錄信息可能有所不同，一旦活動目錄中的所有域控制器執行同步操作之後，最新的變化信息就會一致。
（2）活動目錄與DNS
活動目錄使用域名服務DNS作為它的定位服務，同時也對標準的DNS作了擴充。在活動目錄中使用DNS的最大好處在於，我們可以使Windows 2000域與Internet上的域統一起來，即Windows域名也是DNS域名。
（3）Active Directory命名規范
a.辨別名( distinguished name (DN))
活動目錄中的每一個對象都會有一個唯一的辨別名DN。DN由域名、對象名組成： DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用戶對象James Smith在contoso.com域中的Users組織單元中的Teacher單元中．
b.User Principal Name : 由用戶登錄名和域名組成，如 [email protected]。
域運行模式
（1） 混合模式 。混合模式的域既可以有Windows 2000的域控制器，也可以有Windows NT 4的域控制器。這是一個過渡模式，利用這種模式，我們可以對現有的系統逐步升級。但是，在混合模式下，活動目錄中有些功能不能很好地發揮出來。 （2） 准模式 。活動目錄的標准模式要求所有的域控制器都必須運行Windows 2000。只有在這個時候，活動目錄的所有功能和特性才能充分體現出來。
活動目錄的安裝
運行 Active Directory 安裝向導將 Windows 2000 Server 計算機升級為域控制器會創建一個新域或者向現有的域添加其他域控制器。創建域控制器可以：
§ 創建網路中的第一個域。
§ 在樹林中創建其他的域。
§ 提高網路可用性和可靠性。
§ 提高站點之間的網路性能。
要創建 Windows 2000 域，必須在該域中至少創建一個域控制器。創建域控制器也將創建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域，則必須為每個附加的域至少創建一個域控制器。樹林中的附加域可以是：新的子域、新域樹的根。
安裝步驟示例
1、安裝域中第一台域控制器
在安裝 Active Directory 前首先確定DNS服務正常工作，下面用戶來安裝根域為 nt2000.com 的域中第一台域控制器。
步驟1 利用配置伺服器啟動位於 %Systemroot%system32 中的 Active Directory 安裝向導程序 DCPromo.exe。
如圖1單擊"下一步"

步驟2 由於用戶所建立的是域中的第一台域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"創建一個新域的域目錄樹" ,單擊"下一步"
步驟4 選擇"創建一個新域的域目錄林", 單擊"下一步"
步驟5 在"新域的 DNS 全名"中輸入要創建得域名，nt2000.com如圖 2單擊"下一步"

步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為 "nt2000" ,單擊"下一步"
步驟7 顯示資料庫、目錄文件 及Sysvol 文件的保存位置，一般不必作修改。單擊"下一步"
步驟8 配置 DNS 服務,單擊"下一步",（如果在安裝 Active Directory 之前未配置 DNS 伺服器可以在此讓安裝向導配置 DNS ，推薦使用這種方法。）
步驟9 為用戶和組選擇默認許可權，考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 伺服器之前版本相兼容的許可權"
如圖 3單擊"下一步"

步驟10 輸入以目錄恢復模式下的管理員密碼,單擊"下一步"
步驟11 安裝向導顯示摘要信息,單擊"下一步"開始安裝如圖4

步驟12 安裝完成之後，重新啟動計算機。
檢驗安裝結果
在安裝完成後，可以通過以下方法檢驗 Active Directory 安裝正確，在安裝過程中一項最重要的工作是在 DNS 資料庫中添加服務記錄( SRV 記錄)。
1．檢查 DNS 文件的SRV記錄
用文本編輯器打開 %systemroot%/system32/config/ 中的 Netlogon.dns 文件，察看 LDAP 服務記錄，在本例中為
_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.
2.驗證 SRV 記錄在 NSLOOKUP 命令工具中運行正常
步驟1 在命令提示行下，輸入 NSLOOKUP
步驟2 輸入 set type=srv
步驟3 輸入 _ldap._tcp.nt2000.com
如果返回了伺服器名和 IP 地址，說明 SRV 記錄工作正常
2、安裝第二台域控制器
在安裝完第一台域控制器後其域名為 nt2000.com ,在上例中該伺服器用於總公司，如果由於公司擴展的需要為其新建的工廠建立自己的域名和域控制器，則用戶將工廠的域名定義為 man.nt2000.com ，由於此域名與 nt2000.com 是連續的域名，所以他們組成了一個目錄樹，今後隨著工廠的發展用戶還可以在這個目錄樹下繼續逐級添加子域（如：accounting.man.nt2000.com），如果需要添加的域名與該目錄樹不連續（如：nt3000.com）則用戶就需要建立一個新的目錄樹，這樣由多個目錄樹組成了域目錄林。
在安裝第二台域控制器之前，首先檢驗它的IP設置和DNS設置，以保證可以訪問域控制器（n2k_server.nt2000.com）。
步驟1 利用配置伺服器啟動位於 %Systemroot%system32 中的 Active Directory 安裝向導程序 DCPromo.exe 。如上圖1擊"下一步"
步驟2 由於用戶所建立的是域中的一台域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"在現有域目錄樹中創建一個新的子域" ,單擊"下一步"
步驟4 在"網路憑據"對話框中輸入上一級域的域名及具有管理員許可權的用戶名和密碼, 單擊"下一步"
步驟5 在"子域安裝"對話框中輸入父域域名（nt2000.com）和子域域名（man）,在下方的子域完整域名中會自動顯示 man.nt2000.com,單擊"下一步"
步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為"man",用戶也可以進行修改 ,單擊"下一步"
步驟7 顯示資料庫、目錄文件及 Sysvol 文件的保存位置，一般不必作修改。單擊"下一步"
步驟8 為用戶和組選擇默認許可權，考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 伺服器之前版本相兼容的許可權",單擊"下一步"
步驟9 單擊"下一步"開始安裝，在重新啟動後，在 n2k_server.nt2000.com 的" Active Directory 域和信任關系"中將顯示新建的子域 man.nt2000.com 如圖5

4.3 DHCP服務管理
在一個使用TCP/IP協議的網路中，每一台計算機都必須至少有一個IP地址，才能與其他計算機連接通信。為了便於統一規劃和管理網路中的IP地址，DHCP（Dynamic Host Configure Protocol，動態主機配置協議）應運而生了。這種網路服務有利於對校園網路中的客戶機IP地址進行有效管理，而不需要一個一個手動指定IP地址。
DHCP服務的安裝
DHCP指的是由伺服器控制一段IP地址范圍，客戶機登錄伺服器時就可以自動獲得伺服器分配的IP地址和子網掩碼。首先，DHCP伺服器必須是一台安裝有Windows 2000 Server/Advanced Server系統的計算機；其次，擔任DHCP伺服器的計算機需要安裝TCP/IP協議，並為其設置靜態IP地址、子網掩碼、默認網關等內容。默認情況下，DHCP作為Windows 2000 Server的一個服務組件不會被系統自動安裝，必須把它添加進來：
1. 依次點擊「開始→設置→控制面板→添加/刪除程序→添加/刪除Windows組件」，打開相應的對話框。

2. 用滑鼠左鍵點擊選中對話框的「組件」列表框中的「網路服務」一項，單擊[詳細信息]按鈕，出現帶有具體內容的對話框。
3. 在對話框「網路服務的子組件」列表框中勾選「動態主機配置協議（DHCP）」，單擊[確定]按鈕，根據屏幕提示放入Windows 2000安裝光碟，復制所需要的程序。
4. 重新啟動計算機後，在「開始→程序→管理工具」下就會出現「DHCP」一項，說明DHCP服務安裝成功。
DHCP伺服器的授權
出於對網路安全管理的考慮，並不是在Windows 2000 Server中安裝了DHCP功能後就能直接使用，還必須進行授權操作，未經授權操作的伺服器無法提供DHCP服務。對DHCP伺服器授權操作的過程如下： 1. 依次點擊「開始→程序→管理工具→DHCP」，打開DHCP控制台窗口。 2. 在控制台窗口中，用滑鼠左鍵點擊選中伺服器名，然後單擊右鍵，在快捷菜單中選中「授權」，此時需要幾分鍾的等待時間。注意：如果系統長時間沒有反應，可以按F5鍵或選擇菜單工具中的「操作」下的「刷新」進行屏幕刷新，或先關閉DHCP控制台，在伺服器名上用滑鼠右鍵點擊。如果快捷菜單中的「授權」已經變為「撤消授權」，則表示對DHCP伺服器授權成功。此時，最明顯的標記是伺服器名前面紅色向上的箭頭變成了綠色向下的箭頭。這樣，這台被授權的DHCP伺服器就有分配IP的權利了。

添加IP地址范圍 當DHCP伺服器被授權後，還需要對它設置IP地址范圍。通過給DHCP伺服器設置IP地址范圍後，當DHCP客戶機在向DHCP伺服器申請IP地址時，DHCP伺服器就會從所設置的IP地址范圍中選擇一個還沒有被使用的IP地址進行動態分配。添加IP地址范圍的操作如下：
1. 點擊「開始→程序→管理工具→DHCP」，打開DHCP控制台窗口。
2. 選中DHCP伺服器名，在伺服器名上點擊滑鼠右鍵，在出現的快捷菜單中選擇「新建作用域」，在出現的窗口中單擊[下一步]按鈕，在出現的對話框中輸入相關信息，單擊[下一步]按鈕，如圖1所示。

3. 在圖1所示的窗口中，根據自己網路的實際情況，對各項進行設置，然後單擊[下一步]按鈕，出現如圖2所示的窗口。 4. 在圖2所示的窗口中，輸入需要排除的IP地址范圍。由於校園網路中有很多網路設備需要指定靜態IP地址（即固定的IP地址），如伺服器、交換機、路由器等，此時必須把這些已經分配的IP地址從DHCP伺服器的IP地址范圍中排除，否則會引起IP地址的沖突，導致網路故障。 5. 單擊[下一步]按鈕，在出現的「租約期限」窗口中可以設置IP地址租期的時間值。一般情況下，如果校園網路中的IP地址比較緊張的時候，可以把租期設置短一些，而IP地址比較寬松時，可以把租期設置長一些。設置完後，單擊[下一步]按鈕，出現「配置DHCP選項」窗口。 6. 在「配置DHCP選項」窗口中，如果選擇「是，我想現在配置這些選項」，此時可以對DNS伺服器、默認網關、WINS伺服器地址等內容進行設置；如果選擇「否，我想稍後配置這些選項」，可以在需要這些功能時再進行配置。此處，我們選擇前者，單擊[下一步]按鈕。 7. 在出現的窗口中，常常輸入網路中路由器的IP地址（即默認網關的IP地址）或是NAT伺服器（網路地址轉換伺服器）的IP地址，如WinRoute、SyGate等。這樣，客戶機從DHCP伺服器那裡得到的IP信息中就包含了默認網關的設定了，從而可以接入Internet。 8. 單擊[下一步]按鈕，在此對話框中設置有關客戶機DNS域的名稱，同時輸入DNS伺服器的名稱和IP地址。，然後單擊[添加]按鈕進行確認。單擊[下一步]按鈕，在出現的窗口中進行WINS伺服器的相關設置，設置完後單擊[下一步]按鈕。 9. 在出現的窗口中，選擇「是，我想現在激活此作用域」後，單擊[下一步]按鈕，在出現的窗口中單擊[完成]按鈕，設置結束。此時，就可以在DHCP管理器中看到我們剛剛建好的作用域。 注意：如果您的校園網路是以工作組的形式存在的，可以在第6步的「配置DHCP選項」窗口中選擇「否，我想稍後配置這些選項」，此時設置過程跳過第7、8步。如果您的校園網路是以域的形式存在的，建議您的網路配置順序為：活動目錄的建立→WINS的建立→DNS的建立→DHCP的建立，這樣可以減少很多麻煩。
DHCP服務的測試 經過上述設置，DHCP服務已經正式啟動，我們需要在客戶機上進行測試。只需把客戶機的IP地址選項設為「自動獲取IP地址」，隨後重新啟動客戶機。在客戶機的「運行」對話框中鍵入「Ipconfig/all」，即可看到客戶機分配到的動態IP地址。

⑼ windows 2000 server 如何升級為域控制器

域結構簡介
1、域的含義：
域是由一群以網路連接在一起的計算機所組成的，它們將計算機內的資源共享給其他人使用。
2、與工作組結構網路區別：
域內所有的計算機共享一個集中式的目錄資料庫，它包括整個域內的用戶與安全數據。而工作組結構的網路，每台計算機的位置平等。可以相互的共享。
3、域中的計算機類型：
A、 域控制器：只有WIN2000SERVER才可以做域控制器，域控制器在一個網路中可以有多個。一台的目錄資料庫可以自動復制到別一個域伺服器的目錄資料庫中，域可以審核登錄用戶的用戶名和密碼。多台域伺服器共同審核用戶的登錄可以提高效率
B、 成員伺服器：域內的WIN2000伺服器如果不是域控制器，就是成員伺服器，如果不加入域就獨立伺服器，成員伺服器沒有活動目錄，不能審核域用戶的登錄，但它們都自己的本地安全資料庫。以審核本地用戶。
C、 其他計算機：其他計算機可以用來訪問這些計算機的資源。

活動目錄定義

一個電話本：其中有姓名、電話號、地址等，這些就是目錄，我可以很容易從找到所需的數據。目錄服務：就讓用戶很容易在目錄中查找所要的數據。而在WIN2000中，存儲用戶、組、列印機等對象相關數據的位置稱為目錄資料庫，負責提供目錄服務的組件稱為活動目錄。
1、 適用范圍
應用范圍很廣，可以在一台計算機、一個計算機網路，大至數據廣域網的組合。

2、 名稱空間
A、 名稱空間的含義：就是一塊劃好的區域。在這個區域內，可以利用某個名字來找到與這個名字有關的信息。
B、 WIN2000中的活動目錄就是「名稱空間」，可以利用對象名稱找到相關的數據。
C、 WIN2000的名稱結構採用了DNS的結構。
3、對象與屬性
WIN2000中的資源都是以對象的形式存在，而一個對象通過屬性來描述其特徵。如用戶就是一個對象類別。用戶的姓、名、電話，就是用戶的屬性。
4、容量與組織單位
A、容量與對象相似，也有自己的名稱，也有自己的屬性，但它不是一個實體，而可以一組對象和其它容量。
B、組織單位，就是一個容量，可以包括其他對象和組織單位。
5、域目錄樹
A、 域目錄樹：對一個包含多個域的網路，則可以將網路設置成域目錄樹的結構，也就是說這些域以樹狀的形式存在。
B、域目錄樹中的子域名包含著父域的域名
C、域目錄樹中的所有的域共享一個活動目錄。但活動目錄中的數據分散地存儲在各個域內。將各個域內的數據合並為一個活動目錄。
6、信任
兩個域之間，必須建立信任關系，才可以訪問對方域內的資源，一個域加入到一個域目錄樹中後，這個域會自動信任其上一層域，並且這些信任關系具備雙傳遞性。
7、域目錄林
如果一個網路設置成多個域目錄樹的結構，那麼可以讓這些域目錄樹合並為一個域目錄林。如Abc.com域與zyx.com域。
8、架構
在活動目錄內的對象類別等數據定義在架構內，如定義了用戶這個對象類別內飲食了哪些屬性等。在一個域目錄林中的所有域目錄樹共享一個架構。
9、全局編錄
A、 全局編錄的原因：活動目錄內的數據分散存儲在各個域內，而每一個域只存儲與些域本身相關數據。WIN2000將存儲在各個域內的數據合並為一個活動目錄。為了讓WIN2000用戶可以快速找到其它域內的資源，WIN2000才設計了「全局編錄」。
B、 「全局編錄」內包含著目錄伺服器中的每一個對象，不過只存儲每個對象的部分屬性，而不是全部屬性。
C、 「全局編錄」的數據存儲在全局編錄伺服器，系統默認第一台域控制器就是全局編錄伺服器。在域目錄林共享一個全局編錄伺服器。
10、站點
A、 站點的含義：指的是一個或多個IP子網，這些子網之間是通過高速（512K），這些子網就是站點。
B、 站點與域的區別：域是實體的分組，而站點是實體的分組，、每個站點可能會包含多個域，而一個域也可以同時屬於多個站點。
11、名稱
活動目錄內，每個對象都有一個名稱，並且利用名稱來識別每個對象。
A 可分辨的名稱（ND）：它包含對象所在的完整路徑，abc.com
orthsalesobyong.
B、 相對可分辨的名稱（RDN）：RDN是DN的完整路徑中。
C、 全局標識符：GUID是一個128的數值，所建立的任何一個對象，系統都會自動給這個對象指定一個唯一的GUID。GUID永遠不會改變的。
D、 用戶主體名稱{VPN}：[email protected]這是一個用戶的主體名稱。

活動目錄介紹
（一）目錄服務
目錄，是一個資料庫，存貯了網路資源相關的信息，包括了資源的位置、管理等信息。
目錄服務 是一種網路服務，目錄服務標記管理網路中的所有實體資源（比如計算機、用戶、列印機、文件、應用等），並且提供了命名、描述、查找、訪問以及保護這些實體信息的一致的方法，使網路中的所有用戶和應用都能訪問到這些資源。
（二）活動目錄（Active Directory）
活動目錄 是Windows 2000完全實現的目錄服務，也是Windows 2000網路體系的基本結構模型，是Windows 2000網路操作系統的核心支柱，也是中心管理機構。
Microsoft在Windows 2000中提供的活動目錄是一個全面的目錄服務管理方案，也是一個企業級的目錄服務，具有很好的可伸縮性。活動目錄採用了Internet的標准協議，它與操作系統緊密地集成在一起。活動目錄不僅可以管理基本的網路資源，比如計算機對象、用戶賬戶、列印機等，它也充分考慮了現代應用的業務需求，為這些應用提供了基本的管理對象模型，比如用戶賬戶對象具有辦公電話、手機、呼機、住址、上司、下屬、電子郵件等屬性。幾乎所有的應用可以直接利用系統提供的目錄服務結構，而且活動目錄也具有很好的擴充能力，允許應用程序定製目錄中對象的屬性或者添加新的對象類型。
（三）活動目錄的用處
（四）活動目錄的邏輯結構
活動目錄的邏輯結構非常靈活，它為活動目錄提供了完全的樹狀層次結構視圖，邏輯結構與前面我們討論過的名字空間有直接的關系。邏輯結構為用戶和管理員查找、定位對象提供了極大的方便。活動目錄中的邏輯單元包括：域、組織單元（Organizational Unit，簡稱OU）、域樹、域森林。

1、 域（Domain）
域 既是Windows網路系統的邏輯組織單元，也是Internet的邏輯組織單元，在Windows 2000系統中，域是安全邊界。域管理員只能管理域的內部，除非其他的域顯式地賦予他管理許可權，他才能夠訪問或者管理其他的域。每個域都有自己的安全策略，以及它與其他域的安全信任關系。
2、 OU(Organizational Unit)
OU 是一個容器對象，我們可以把域中的對象組織成邏輯組，所以OU純粹是一個邏輯概念，它可以幫助我們簡化管理工作。OU可以包含各種對象，比如用戶賬戶、用戶組、計算機、列印機，甚至可以包括其他的OU。所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結構，對於一個企業來講，我們可以按部門把所有的用戶和設備組成一個OU層次結構，也可以按地理位置形成層次結構，還可以按功能和許可權分成多個OU層次結構。由於OU層次結構局限於域的內部，所以一個域中的OU層次結構與另一個域中的OU層次結構完全獨立。

3、 樹
當多個域通過信任關系連接起來之後，所有的域共享公共的表結構(schema) 、配置和全局目錄(global catalog)，從而形成 域樹 。域樹由多個域組成，這些域共享同一個表結構和配置，形成一個連續的名字空間。樹中的域通過信任關系連接起來。活動目錄包含一個或多個域樹。

4、 森林
域森林 是指一個或多個沒有形成連續名字空間的域樹。域林中的所有域樹共享同一個表結構、配置和全局目錄。域林中的所有域樹通過Kerberos信任關系建立起來，所以每個域樹都知道Kerberos信任關系，不同域樹可以交叉引用其他域樹中的對象。

（五）其它
（1）域控制器(Domain Controller)
域控制器是指運行Windows 2000 Server版本的伺服器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，並把這些變化復制到同一個域中的其他域控制器上。域控制器也負責用戶的登錄過程，以及其他與域有關的操作，比如身份認證、目錄信息查找等。 一個域可以有多個域控制器。規模較小的域可以只需要兩個域控制器，一個實際使用，另一個用於容錯性檢查；規模較大的域可以使用多個域控制器。 Windows 2000的域結構與Windows NT 4的域結構不同的是，活動目錄中的域控制器沒有主次之分，活動目錄採用了多主機復制方案，每一個域控制器都有一個可寫入的目錄副本。在某一個時刻，不同的域控制器中的目錄信息可能有所不同，一旦活動目錄中的所有域控制器執行同步操作之後，最新的變化信息就會一致。
（2）活動目錄與DNS
活動目錄使用域名服務DNS作為它的定位服務，同時也對標準的DNS作了擴充。在活動目錄中使用DNS的最大好處在於，我們可以使Windows 2000域與Internet上的域統一起來，即Windows域名也是DNS域名。
（3）Active Directory命名規范
a.辨別名( distinguished name (DN))
活動目錄中的每一個對象都會有一個唯一的辨別名DN。DN由域名、對象名組成： DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用戶對象James Smith在contoso.com域中的Users組織單元中的Teacher單元中．
b.User Principal Name : 由用戶登錄名和域名組成，如 [email protected]。
域運行模式
（1） 混合模式 。混合模式的域既可以有Windows 2000的域控制器，也可以有Windows NT 4的域控制器。這是一個過渡模式，利用這種模式，我們可以對現有的系統逐步升級。但是，在混合模式下，活動目錄中有些功能不能很好地發揮出來。 （2） 准模式 。活動目錄的標准模式要求所有的域控制器都必須運行Windows 2000。只有在這個時候，活動目錄的所有功能和特性才能充分體現出來。
活動目錄的安裝
運行 Active Directory 安裝向導將 Windows 2000 Server 計算機升級為域控制器會創建一個新域或者向現有的域添加其他域控制器。創建域控制器可以：
§ 創建網路中的第一個域。
§ 在樹林中創建其他的域。
§ 提高網路可用性和可靠性。
§ 提高站點之間的網路性能。
要創建 Windows 2000 域，必須在該域中至少創建一個域控制器。創建域控制器也將創建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域，則必須為每個附加的域至少創建一個域控制器。樹林中的附加域可以是：新的子域、新域樹的根。
安裝步驟示例
1、安裝域中第一台域控制器
在安裝 Active Directory 前首先確定DNS服務正常工作，下面用戶來安裝根域為 nt2000.com 的域中第一台域控制器。
步驟1 利用配置伺服器啟動位於 %Systemroot%system32 中的 Active Directory 安裝向導程序 DCPromo.exe。
如圖1單擊"下一步"

步驟2 由於用戶所建立的是域中的第一台域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"創建一個新域的域目錄樹" ,單擊"下一步"
步驟4 選擇"創建一個新域的域目錄林", 單擊"下一步"
步驟5 在"新域的 DNS 全名"中輸入要創建得域名，nt2000.com如圖 2單擊"下一步"

步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為 "nt2000" ,單擊"下一步"
步驟7 顯示資料庫、目錄文件 及Sysvol 文件的保存位置，一般不必作修改。單擊"下一步"
步驟8 配置 DNS 服務,單擊"下一步",（如果在安裝 Active Directory 之前未配置 DNS 伺服器可以在此讓安裝向導配置 DNS ，推薦使用這種方法。）
步驟9 為用戶和組選擇默認許可權，考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 伺服器之前版本相兼容的許可權"
如圖 3單擊"下一步"

步驟10 輸入以目錄恢復模式下的管理員密碼,單擊"下一步"
步驟11 安裝向導顯示摘要信息,單擊"下一步"開始安裝如圖4

步驟12 安裝完成之後，重新啟動計算機。
檢驗安裝結果
在安裝完成後，可以通過以下方法檢驗 Active Directory 安裝正確，在安裝過程中一項最重要的工作是在 DNS 資料庫中添加服務記錄( SRV 記錄)。
1．檢查 DNS 文件的SRV記錄
用文本編輯器打開 %systemroot%/system32/config/ 中的 Netlogon.dns 文件，察看 LDAP 服務記錄，在本例中為
_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.
2.驗證 SRV 記錄在 NSLOOKUP 命令工具中運行正常
步驟1 在命令提示行下，輸入 NSLOOKUP
步驟2 輸入 set type=srv
步驟3 輸入 _ldap._tcp.nt2000.com
如果返回了伺服器名和 IP 地址，說明 SRV 記錄工作正常
2、安裝第二台域控制器
在安裝完第一台域控制器後其域名為 nt2000.com ,在上例中該伺服器用於總公司，如果由於公司擴展的需要為其新建的工廠建立自己的域名和域控制器，則用戶將工廠的域名定義為 man.nt2000.com ，由於此域名與 nt2000.com 是連續的域名，所以他們組成了一個目錄樹，今後隨著工廠的發展用戶還可以在這個目錄樹下繼續逐級添加子域（如：accounting.man.nt2000.com），如果需要添加的域名與該目錄樹不連續（如：nt3000.com）則用戶就需要建立一個新的目錄樹，這樣由多個目錄樹組成了域目錄林。
在安裝第二台域控制器之前，首先檢驗它的IP設置和DNS設置，以保證可以訪問域控制器（n2k_server.nt2000.com）。
步驟1 利用配置伺服器啟動位於 %Systemroot%system32 中的 Active Directory 安裝向導程序 DCPromo.exe 。如上圖1擊"下一步"
步驟2 由於用戶所建立的是域中的一台域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"在現有域目錄樹中創建一個新的子域" ,單擊"下一步"
步驟4 在"網路憑據"對話框中輸入上一級域的域名及具有管理員許可權的用戶名和密碼, 單擊"下一步"
步驟5 在"子域安裝"對話框中輸入父域域名（nt2000.com）和子域域名（man）,在下方的子域完整域名中會自動顯示 man.nt2000.com,單擊"下一步"
步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為"man",用戶也可以進行修改 ,單擊"下一步"
步驟7 顯示資料庫、目錄文件及 Sysvol 文件的保存位置，一般不必作修改。單擊"下一步"
步驟8 為用戶和組選擇默認許可權，考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 伺服器之前版本相兼容的許可權",單擊"下一步"
步驟9 單擊"下一步"開始安裝，在重新啟動後，在 n2k_server.nt2000.com 的" Active Directory 域和信任關系"中將顯示新建的子域 man.nt2000.com 如圖5

4.3 DHCP服務管理
在一個使用TCP/IP協議的網路中，每一台計算機都必須至少有一個IP地址，才能與其他計算機連接通信。為了便於統一規劃和管理網路中的IP地址，DHCP（Dynamic Host Configure Protocol，動態主機配置協議）應運而生了。這種網路服務有利於對校園網路中的客戶機IP地址進行有效管理，而不需要一個一個手動指定IP地址。
DHCP服務的安裝
DHCP指的是由伺服器控制一段IP地址范圍，客戶機登錄伺服器時就可以自動獲得伺服器分配的IP地址和子網掩碼。首先，DHCP伺服器必須是一台安裝有Windows 2000 Server/Advanced Server系統的計算機；其次，擔任DHCP伺服器的計算機需要安裝TCP/IP協議，並為其設置靜態IP地址、子網掩碼、默認網關等內容。默認情況下，DHCP作為Windows 2000 Server的一個服務組件不會被系統自動安裝，必須把它添加進來：
1. 依次點擊「開始→設置→控制面板→添加/刪除程序→添加/刪除Windows組件」，打開相應的對話框。

2. 用滑鼠左鍵點擊選中對話框的「組件」列表框中的「網路服務」一項，單擊[詳細信息]按鈕，出現帶有具體內容的對話框。
3. 在對話框「網路服務的子組件」列表框中勾選「動態主機配置協議（DHCP）」，單擊[確定]按鈕，根據屏幕提示放入Windows 2000安裝光碟，復制所需要的程序。
4. 重新啟動計算機後，在「開始→程序→管理工具」下就會出現「DHCP」一項，說明DHCP服務安裝成功。
DHCP伺服器的授權
出於對網路安全管理的考慮，並不是在Windows 2000 Server中安裝了DHCP功能後就能直接使用，還必須進行授權操作，未經授權操作的伺服器無法提供DHCP服務。對DHCP伺服器授權操作的過程如下： 1. 依次點擊「開始→程序→管理工具→DHCP」，打開DHCP控制台窗口。 2. 在控制台窗口中，用滑鼠左鍵點擊選中伺服器名，然後單擊右鍵，在快捷菜單中選中「授權」，此時需要幾分鍾的等待時間。注意：如果系統長時間沒有反應，可以按F5鍵或選擇菜單工具中的「操作」下的「刷新」進行屏幕刷新，或先關閉DHCP控制台，在伺服器名上用滑鼠右鍵點擊。如果快捷菜單中的「授權」已經變為「撤消授權」，則表示對DHCP伺服器授權成功。此時，最明顯的標記是伺服器名前面紅色向上的箭頭變成了綠色向下的箭頭。這樣，這台被授權的DHCP伺服器就有分配IP的權利了。

添加IP地址范圍 當DHCP伺服器被授權後，還需要對它設置IP地址范圍。通過給DHCP伺服器設置IP地址范圍後，當DHCP客戶機在向DHCP伺服器申請IP地址時，DHCP伺服器就會從所設置的IP地址范圍中選擇一個還沒有被使用的IP地址進行動態分配。添加IP地址范圍的操作如下：
1. 點擊「開始→程序→管理工具→DHCP」，打開DHCP控制台窗口。
2. 選中DHCP伺服器名，在伺服器名上點擊滑鼠右鍵，在出現的快捷菜單中選擇「新建作用域」，在出現的窗口中單擊[下一步]按鈕，在出現的對話框中輸入相關信息，單擊[下一步]按鈕，如圖1所示。

3. 在圖1所示的窗口中，根據自己網路的實際情況，對各項進行設置，然後單擊[下一步]按鈕，出現如圖2所示的窗口。 4. 在圖2所示的窗口中，輸入需要排除的IP地址范圍。由於校園網路中有很多網路設備需要指定靜態IP地址（即固定的IP地址），如伺服器、交換機、路由器等，此時必須把這些已經分配的IP地址從DHCP伺服器的IP地址范圍中排除，否則會引起IP地址的沖突，導致網路故障。 5. 單擊[下一步]按鈕，在出現的「租約期限」窗口中可以設置IP地址租期的時間值。一般情況下，如果校園網路中的IP地址比較緊張的時候，可以把租期設置短一些，而IP地址比較寬松時，可以把租期設置長一些。設置完後，單擊[下一步]按鈕，出現「配置DHCP選項」窗口。 6. 在「配置DHCP選項」窗口中，如果選擇「是，我想現在配置這些選項」，此時可以對DNS伺服器、默認網關、WINS伺服器地址等內容進行設置；如果選擇「否，我想稍後配置這些選項」，可以在需要這些功能時再進行配置。此處，我們選擇前者，單擊[下一步]按鈕。 7. 在出現的窗口中，常常輸入網路中路由器的IP地址（即默認網關的IP地址）或是NAT伺服器（網路地址轉換伺服器）的IP地址，如WinRoute、SyGate等。這樣，客戶機從DHCP伺服器那裡得到的IP信息中就包含了默認網關的設定了，從而可以接入Internet。 8. 單擊[下一步]按鈕，在此對話框中設置有關客戶機DNS域的名稱，同時輸入DNS伺服器的名稱和IP地址。，然後單擊[添加]按鈕進行確認。單擊[下一步]按鈕，在出現的窗口中進行WINS伺服器的相關設置，設置完後單擊[下一步]按鈕。 9. 在出現的窗口中，選擇「是，我想現在激活此作用域」後，單擊[下一步]按鈕，在出現的窗口中單擊[完成]按鈕，設置結束。此時，就可以在DHCP管理器中看到我們剛剛建好的作用域。 注意：如果您的校園網路是以工作組的形式存在的，可以在第6步的「配置DHCP選項」窗口中選擇「否，我想稍後配置這些選項」，此時設置過程跳過第7、8步。如果您的校園網路是以域的形式存在的，建議您的網路配置順序為：活動目錄的建立→WINS的建立→DNS的建立→DHCP的建立，這樣可以減少很多麻煩。
DHCP服務的測試 經過上述設置，DHCP服務已經正式啟動，我們需要在客戶機上進行測試。只需把客戶機的IP地址選項設為「自動獲取IP地址」，隨後重新啟動客戶機。在客戶機的「運行」對話框中鍵入「Ipconfig/all」，即可看到客戶機分配到的動態IP地址。