服务器配置

目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 　　　　本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。 　　　　首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统， 　　我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 　　　　机器名:Server 　　　　IP:192.168.5.1 　　　　子网掩码:255.255.255.0 　　　　DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 　　　　由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 　　 　 　　向下搬运右边的滚动条，找到“网络服务”，选中: 　　 　 　　默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 　　 　 　　然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。 　　 　 　　安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导” 　　　　在这里直接点击“下一步”: 　　 　 　　这里是一个兼容性的，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”: 　　 　 　　在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”: 　　 　 　　既然是第一台域控，那么当然也是选择“在新林中的域”: 　　 　 　　在这里我们要指定一个域名，我在这里指定的是demo.com， 　　 　 　　这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。 　　 　　在这里要指定AD数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。 　　这里是指定SYSVOL文件夹的位置，还是那句话，没有特殊情况，不建议修改:　　 　 　　第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。 　　 　 　　“这是一个权限的选择项，在这里，我选择第二项:“只与Windows 2000或Window 2003操作系统兼容的权限”，因为在我做实验的整个环境里，并没有Windows 2000以前的操作系统存在” 　　 　 　　这里是一个重点，还原密码，希望大家设置好以后一定要记住这个密码，千万别忘记了，因为在后面的关于活动目录恢复的文章上要用到这个密码的。 　　 　 　　这是确认画面，请仔细检查刚刚输入的信息是否有误，尤其是域名书写是否正确，因为改域名可不是闹着玩的，如果有的话可以点上一步进入重输，如果确认无误的话，那么点“下一步”就正式开安装了: 　　 　 　　几分钟后，安装完成: 　　 　 　　点完成: 　　　　点“立即重新启动”。 　　 　 　　然后来看一下安装了AD后和没有安装的时候有些什么区别，首先第一感觉就是关机和开机的速度明显变慢了，再看一下登陆界面: 　　 　 　　多出了一个“登陆到”的选择框:　　　　进入系统后，右键点击“我的电脑”选“属性”，点“计算机”　　 　　怎么样?和安装AD以前不一样吧，其它的比如没有本地用户了，在管理工具里多出么多图标什么的，这些将在以后的文章里讲述，这里就不再详谈了。+ 　　在我的上一篇文章中，已经把一台名为Server的成员服务器提升为了域控制器，那我们现在来看一下如何把下面的工作站加入到域。　由于从网络安全性考虑，尽量少的使用域管理员帐号，所以先在域控制器上建立一个委派帐号，登陆到域控制器，运行“dsa.msc”，出现“AD用户和计算机”管理控制台: 　　 　 　　先来新建一个用户，展开“demo.com”，在“Users”上击右键，点“新建”-“用户”:　　 　　然后出现一个新建用户的向导，在这里，我新建了一个名为“swg”的用户，并且把密码设为“永不过期”。 　　 　 　　 　 　　这样点“下一步”，直到完成，就可以完成用户的创建。然后在“demo.com”上点击右键，先择“委派控制”:　　 　　就会出现一个“委派控制向导”: 　　 　 　　点击“下一步”: 　　 　 　　点击中间的“添加”按钮，并输入刚刚创建的“swg”帐号: 　　 　 　　然后点“确定”: 　　 　 　　再点“下一步”: 　　 　 　　在上面的画面中，暂时不需要让该用户去“管理组策略链接”，所以在这里，仅仅选择“将计算机加入到域”，然后点“下一步”:　　 　 　　最后是一个信息核对画面，要是没有什么问题的话，直接点“完成”就可以了。 　　 接下来转到客户端，看看怎么把XP进来，在实验中采用的客户端操作系统是Windows XP专业版，需要大家注意的是Windows XP 的Home版由于针对的是家庭用户，所以不能加入域，大家别弄错了哟，我们先来设置一下这台XP的网络: 　　　　计算机名:TestXP　　　　IP:192.168.5.5　　　　子网掩码:255.255.225.0　　　　DNS服务器:192.168.5.1，　　 　 　　设置完网络以后，在“我的电脑”上击右键，选“属性”，点“计算机名”。 　　 　 　　在这里把“隶属于”改成域，并输入:“demo.com”，并点确定，这是会出现如下画面: 　　 　 　　输入刚刚在域控上建的那个“swg”的帐号，点确定: 　　 　 　　出现上述画面就示成功加入了，然后点确定，点重启就算OK了。来看一下登陆画面有没有什么不一样: 　　 　 　　看到那个“登陆到”了吧，可以选择域登陆还是本机登陆了，在这里选择域“DEMO”，这样就可以用域用户进行登陆了。进入系统后，在“我的电脑”上击右键，选“属性”，点“计算机名”: 　　 　 　　看到用黑框标出来的地方和没有加入到域的时候的区别的吧? 　　　　当把下面的客户端加入到域后，如果域控制器处于关闭状态或者死机的话，那么，会发现下面的客户机无法登陆到域，所以再建立一台域控制器，用来防止其中一台出现意外损坏的情况是很有必要的。后来建立的那台域控制器叫额外域控制器。来看看额外域控制器的建立过程吧: 　　当然网络设置永远是在第一步的:　计算机名:Bserver　　　IP:192.168.5.2 　　子网掩码:255.255.255.0　　　　DNS:192.168.5.1 　　　　既然是提升为域控制器，那么DNS组件也是要添加的，添加方法和我的第一篇文章中所定的一样，这里就不再重复了。添加完成后，同样是点击“开始”-“运行”-“dcpromo”: 　　　　出现的向导和操作系统兼容性同安装第一台域控时是一样的，唯一要注意的是下面的那个画面: 　　 　 　　安装第一台时选择的是“新域的域控制器”，这里要选择的是“现有域的额外域控制器”，然后点“下一步”: 　　 　 　　在这里，输入域的管理员帐号的密码，在“域”里填入相应域的DNS全名或NetBios名，点“下一步”: 　　 　　在这里一定要填入现有域的DNS全名，然后再点“下一步”，接下去的操作和安装第一台域控制器时是一样的，所以就不再写下去了，直到完成就可以了。至于在两台域控制器的域环境下，其中一台损坏，如何让另一台接替工作，我将在以后的文章一一详解。 如何组建局域网和设置主机2008年06月02日 星期一 13:46两台都这么设置： 1、启用来宾帐户。 开始-控制面版--管理工具--计算机管理-展开系统工具--本地用户和组--用户,在右边会见到一个GUEST用户,双击它,把帐号已停用前面的勾∠ H绻 蠹蚁胩岣叻梦时鹑嘶 鞯乃俣鹊幕埃 箍梢宰鲆恍┫喙夭僮鳎嚎刂泼姘妗 芾砉ぞ摺 瘛猅ask Scheduler—属性—启动方式改为手动，这样就可以了。 2、用户权利指派。 “控制面板－管理工具－本地安全策略”，在“本地安全策略”对话框中，依次选择“本地策略－用户权利指派”，在右边的选项中依次对“从网络上访问这台计算机”和“拒绝从网络上访问这台计算机”这两个选项进行设置。 “从网络上访问这台计算机”选项需要将guest用户和everyone添加进去；“拒绝从网络上访问这台计算机”需要将被拒绝的所有用户删除掉，默认情况下guest是被拒绝访问的。 3、建立工作组。 以XP为例，右击“我的电脑”---“属性”，在“计算机名”选项卡中，点“更改”按钮，在下面的“工作组”文本框里输入工作组的名字，随便输，只要保证两台机器工作组一样就行。 或，右键点击“我的电脑”，选择“属性”，然后单击“计算机名”选项卡，看看该选项卡中有没有出现你的局域网工作组名称，如“workgroup”等。然后单击“网络 ID”按钮，开始“网络标识向导”：单击“下一步”，选择“本机是商业网络的一部分，用它连接到其他工作着的计算机”；单击“下一步”，选择“公司使用没有域的网络”；单击“下一步”按钮，然后输入你的局域网的工作组名，这里我建议大家用“BROADVIEW”，再次单击“下一步”按钮，最后单击“完成”按钮完成设置。 4、设置共享文件夹。 （1）我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享（推荐）”前的勾。 （2）把你要共享的文件全部放在一个文件夹里，右击这个文件夹－－共享和安全，在“共享”选项卡中选中“在网络上共享这个文件夹”复选框，这时“共享名”文本框和“允许其他用户更改我的文件”复选框变为可用状态。用户可以在“共享名”文本框中更改该共享文件夹的名称；若清除“允许其他用户更改我的文件”复选框，则其他用户只能看该共享文件夹中的，而不能对其进行修改。设置完毕后，单击“应用”按钮和“确定”按钮即可。 5、关闭防火墙。 打开网上邻里，可看到对方机子上的共享文件夹。 我们现在就拿TP-Link路由器和TP-Link交换机来举例说明！ 1、光纤接入路由器 光纤光信号通过光电转换器转换为电流信号（光电转换器运营商会免费提 供的）；再通过网线接入路由器的WAN口（一般路由器都有标明WAN口）。 2、设置路由器 用一条网线分别连接路由器的LAN口（一般路由器都会标明LAN口）和电 脑的网卡接口。设置网卡获取IP的方式为自动（默认路由器都有开启DHCP 服务）。IP获取到之后，打开IE浏览器，在地址栏里输入 192.168.1.1后 回车（默认网关），这时候就会弹出路由器登陆对话框。分别在用户名和 密码栏里输入 admin（默认用户名和密码）。 登陆路由器之后在点击设置向导里找到通过静态IP上网或者通过这个链接 里的提示来操作 http://www.tp-link.com.cn/surpport/cfg/StaticIPnetworkSetting.htm 3、最后步骤 用一条网线分别连接交换机任意端口和路由器任意LAN口，两台电脑分别 连接交换机任意端口就可以了。不要忘记网卡的IP地址和DNS地址设置为 自动获取。如果不要交换机，那两台电脑分别连接路由器任意LAN口就好 了！！ 实现共享： 1，开启来宾用户（guest) 鼠标右健我的电脑-管理-本地用户和组-用户-选择guest-去掉 “帐号已停用” 勾 2，使用同一个工作组： 我的电脑属性-计算机名-更改-工作组-work(名字随便） 全部计算机都写入这个工作组（需要重启） 3，去掉拒绝访问计算机用户 开始-运行-gpedit.msc-计算机配置-windows设置-安全设置-本地策略-用户权利指派-拒绝从网络访问这台计算机，删除guest用户 4，开启server服务 开始-运行-services.msc-server服务，启动类型-手动-服务状态-启动 5，共享文件 打开我的电脑-工具-文件夹选项-查看-使用简单文件共享（推荐）去勾 右健你需要共享文件夹或盘符-共享-共享此文件夹（选中），权限自己分配！ 如果不行的话，右健你需要共享文件夹或盘符-安全-添加guest用户 防火墙的问题 关闭了"不允许例外” 前言：局域网共享是个头疼的问题，只要找到的正确的设置方法，其实也很简单。原版也需要设置，否则也不能进行共享！第一章：共享的前提工作： 1.更改不同的计算机名，设置相同的工作组！ 2.我的电脑右键－管理－计算机管理－系统工具-本地用户和组－用户：更改管理员用户名 3.手动设置IP，将ip设置在同一个网段，子网掩码和DNS解析相同 4.如何设置DNS解析：首先你可以使用自动获取，然后在开始－运行里面输入cmd后回车，在命令里面输入ipconfig/all后回车 5.运行里输入services.msc回车打开服务 第二章：共享的准备工作（注意设置完成后最好重启一下生效）：1.开始－设置－控制面板－防火墙－例外－勾选“文件和打印机共享”！当然你也可以关闭防火墙。 2.运行里面输入secpol.msc回车进入本地安全设置－本地策略－安全选项将“网络访问：不允许SAM账户的匿名枚举”停用 注意此点只对来宾起效，将在第六章说到。将“账户：使用空白密码的本地账户只允许进行控制台登录”停用 3.双击我的电脑打开资源管理器－工具－文件夹选项－查看－将“使用简单的文件夹共享”前面的勾去除 4.设置共享文件夹或共享盘符（我这里设置D盘为共享盘符，当然你可以自己设置磁盘里面的任意文件夹为共享文件）打开资源管理器－右键D盘－共享和安全－左键点选 注意：经过上两个图的共享资源设置，偶们进入对方的机子只有“只读”权限，只能看不能动的哦！这可是XP默认的这安全性呵呵！当然你可以设置完全控制。这样你就可以为所欲为了哈哈。第三章：用管理员登录的局域网共享方式经过上面两章的设置，我们已经可以访问计算机today了1.在主机中双击网上邻居－点击查看工作组计算机 2.双击today或是右键打开 3.还有一个更快捷的访问方法就是在主机的地址栏里面直接输入\\today后回车，出现的界面和上面相同。 4.在登录框输入用户名play和密码（这里密码为空，所以不用输入），确定后就进入today的共享盘符了 小提示：以后我们再次登录today的时候就不用再输入用户名和密码了呵呵 第四章：以来宾登录的局域网共享方式经过第一和第二两章的设置，我们还要进一步设置才能做到来宾共享1.“我的电脑”右键－管理－本地用户和组－用户－启用来宾（注意：在这里启用来宾的效果和在控制面板－用户账户里面启用来宾是一样的。区别就是在此启用后面板里面的来宾还是显示没有启用的，而在面板里面启用来宾的话这里也就启用了。） 2..运行里输入secpol.msc启动“本地安全设置”－“用户权利指派”－将“拒绝从网络访问这台计算机”里面的guest用户删除。 3.运行里输入secpol.msc启动“本地安全设置”－“安全选项”－“网络访问：本地账户的共享和安全模式”－将“经典”改为“仅来宾”。 4.运行里输入secpol.msc启动“本地安全设置”－“用户权利指派”－将“拒绝作为服务器和批作业”里面的用户删除 注意：以上设置需重启后生效5.我们现在可以象第三章的进入方法进入today的共享资源了。区别就是来宾登录的共享方式没有弹出登录框，不用输入用户名和密码就可以直接进入了。小提示：从以上的设置方法我们可以看出，管理员登录的共享方式是狭义的共享，而来宾登录的共享方式就是广义的共享。可以这么说：来宾共享里面已经包含了管理员共享的方式。不过启用来宾登录的方式就去除了管理员登录的方式了呵呵 第五章：用磁盘映射，将today的共享资源直接映射到主机中。以后在主机资源管理器里面就可以直接打开了。前提就是today在局域网内也必须开机。1.在主机中右键“网上邻居”－点选“映射网络驱动器” 2.浏览today的共享盘符 3.完成后在主机里面出现了today的共享盘符 第六章：局域网访问常见的故障及解决方法1.访问对方电脑时不弹出用户名框，打不开对方电脑上的共享文件夹 原因为本机的管理员用户名为Administrator,将其改为任意名即可！注意:这个现象是用来宾登录的共享方式才会出现的。！2.访问对方机子时，登录对话框中的用户名始终为灰色的guest不可选 解决方法：本地策略－安全选项－“网络访问：本地账户的共享和安全模式”改为“经典－本地用户以自己的身份验证”即可！注意:以上这种现象是用来宾登录的共享方式以后，我们不注意禁用了来宾才出现的。禁用了来宾后我们就变成了以管理员登录的共享方式了呵呵！3.以管理员登录的共享方式登录对方的机子时出现没有权限使用网络资源的现象 这是我们正常的共享使用之中因为在安装某些安全软件的时候给关闭了。我们只要再次把“使用简单的文件共享”前面的勾去除即可！4.以来宾登录的共享方式在局域网使用中突然也会出现第3点的情况。原因也是使用了某些安全软件把我们的SAM账户恢复为默认的启用状态了。我们只要进入组策略禁用后重启即可！友情提示：需要注意的是我们安装有些软件比如金山杀毒软件，它会关闭了我们的共享设置里面的某些服务导致不能正常共享。我们只要按照以上各章的设置和本章的设置就可以解决了。 第七章：增加局域网安全性，为来宾用户设置密码。其实我们在第二章的共享盘符设置里面已经提到权限的设置了,默认是只读这本身已经很安全了。不过就是局域网内所有人都可以访问你。如果我们设置了密码，其他人就不可随意访问你的共享资源了。1.运行里面输入control userpasswords2回车 2.设置密码后重启 3.设置密码后登录today出现灰色对话框，此对话框和第六章的故障可不同的哦。我们只要输入密码确定即可进入了。 4.在计算机管理里面－共享文件夹－会话里面就可以看到登录方式了