Win2000のActive Directoryとインストール構成

Active Directoryの原理を理解した後は、Active Directoryのインストールと設定を行うことができますActive Directoryのインストールと設定のプロセスはそれほど複雑ではありません。設定が必要です。ただし、インストール前の準備作業はより複雑で、Active Directoryを完全に理解している場合にのみActive Directoryを正しくインストールできます。以下に、Active Directoryのインストールと設定、およびその準備について詳しく説明します。

まず、インストール前のActive Directoryの準備

以前の記事では、 "Active Directory"はWIN2Kシステム全体の中で重要なサービスであり、分離されたものではなく、多くのプロトコルやサービスに関連付けられています。それは非常に密接な関係を持ち、システム構造とWIN2Kシステム全体のセキュリティに関連しています。 Active Directoryのインストールは、通常のWindowsコンポーネントのインストールほど簡単ではありませんので、インストールの前に一連の計画と準備が必要です。そうでないと、Active Directoryの利点を享受できず、またActive Directoryサービスを正しくインストールできません。

1.まず、Active Directoryをインストールする前に、WIN2K ServerまたはAdvanced Serverがインストールされたマシンと、少なくとも1つのNTFSパーティションがあり、TCP /IPとDNSサービス用にDNSプロトコルが構成されていることを確認する必要があります。 SRVレコードと動的更新プロトコルをサポートします。

2に続いてシステム全体のドメイン構造を計画すると、Active Directoryに1つまたは複数のドメインを含めることができます。システム全体のディレクトリ構造が適切に計画されていない場合、レベルは不明です。 Active Directoryの優位性ここでルートドメイン（つまりシステムの基本ドメイン）を選択することが重要です。ルートドメイン名の選択は次のようになります：

1）すでに登録されているDNSドメイン名をアクティブな宛先ルートドメイン名として使用できます。利点は、企業のパブリックネットワークとプライベートネットワークが同じDNS名を使用することです。

2）登録したDNSドメイン名のサブドメインをActive Directoryのルートドメイン名として使用することもできます。

3）Active Directoryに登録されているDNSドメイン名とは完全に異なるドメイン名を選択してください。これにより、企業ネットワークは、内部的にもインターネット上にも、まったく異なる2つの命名構造を提示できます。

4）すでに登録されているDNSドメイン名を使用して企業ネットワークのパブリック部分に名前を付けます。プライベートネットワークは別の内部ドメイン名を使用して名前空間から2つの部分を分離し、各部分にアクセスします。他の部分では、相手を識別するために相手の名前空間を使用しなければなりません。

3、もう1つはドメインとアカウントの命名計画を行うことです。ActiveDirectoryを使用する意味の1つは、ネットワーク管理を容易にするために統一命名規則を使用して、内部および外部ネットワークで統一ディレクトリサービスを使用することです。そしてビジネス上の連絡先。 Active Directoryドメイン名は通常ドメインの完全なDNS名ですが、下位互換性を確保するために、各ドメインは旧バージョンのWIN2Kのオペレーティングシステムを実行しているコンピュータで使用するために旧バージョンのWIN2Kの名前を持つことが好ましい。ユーザーアカウントはActive Directoryにあり、各ユーザーアカウントには、ユーザーログイン名、以前のバージョンのWIN2Kのユーザーログイン名（セキュリティアカウントマネージャのアカウント名）、およびユーザーのプライマリ名サフィックスがあります。 Active Directoryでは、以前のバージョンのWIN2Kのユーザーログインでは、このユーザーのログイン名の最初の20バイトを使用することをお勧めしています。 Active Directory命名戦略は、企業計画ネットワークシステムの最初のステップであり、ネットワークの基本構造に直接影響を与え、さらにネットワークのパフォーマンスとスケーラビリティにも影響を与えます。 Active Directoryは、企業のマルチレベル構造を考慮し、企業の分散性を考慮し、さらにインターネットへの直接アクセスのための完全に一貫した命名モデルを提供するなど、現代の企業に適した参照モデルを提供します。

いわゆるユーザーメイン名は、ユーザーアカウント名と、そのユーザーアカウントが配置されているドメインのドメイン名で構成されています。これはWIN2Kドメインにログインするための標準的な使い方です。標準形式は次のとおりです。（個人の電子メールアドレスのように）ただし、ユーザーのログイン名またはユーザーのプライマリ名に@記号を含めないでください。 Active Directoryこのシンボルは、ユーザーのプライマリ名が作成されたときに自動的に追加されます。複数の@記号があるユーザーのプライマリ名は無効です。

Active Directoryでは、既定のユーザーのプライマリ名サフィックスはドメインツリー内のルートドメインのDNS名です。ユーザーの組織が部署と地域で構成されるマルチレベルドメインツリーを使用している場合、基盤となるユーザーのドメイン名は非常に長くなる可能性があります。このドメインのユーザーの場合、デフォルトのユーザーのプライマリ名はgrandchild.child.root.comです。このドメインのユーザーのデフォルトのログイン名は、です。この問題を解決するために、WIN2Kでは、メイン名を作成した後、ユーザーはルートドメインの後に対応するユーザー名を追加するだけでよいと規定されています。前述の長いリストの代わりに、同じユーザーがより単純なログイン名でログインするようにします。

4、最後は、ドメイン間のアカウント認証を可能にするために、Kerberos V5セキュリティプロトコルに基づく双方向の推移的な信頼関係を通じて、WIN2Kコンピュータのために、計画ドメイン間の信頼関係を設定することに注意を払うことです。ドメインがドメインツリー内に作成されると、信頼関係が隣接ドメイン（親ドメインと子ドメイン）間で自動的に確立されます。ドメインフォレストでは、フォレストのルートドメインとフォレストに追加された各ドメインツリーのルートドメインとの間に信頼関係が自動的に確立されます。これらの信頼関係が推移的である場合は、ドメインツリー間またはドメインフォレスト内の任意のドメイン間でユーザーとコンピュータを認証できます。

Windowsドメインを以前のバージョンのWIN2KからWIN2Kドメインにアップグレードした場合、WIN2Kドメインはそのドメインと他のドメイン間の既存の一方向の信頼関係を自動的に維持します。以前のバージョンのWIN2KのWindowsドメインに対するすべての信頼関係を含みます。ユーザーが新しいWIN2Kドメインをインストールし、WIN2Kより前のドメインと信頼関係を確立したい場合は、それらのドメインとの外部の信頼関係を作成する必要があります。

2番目に、Active Directoryのインストール

新しいインストールはすべてメンバーサーバーとしてインストールされます。WIN2KSERVERをインストールするときに "Active Directory"オプションを選択すると、システムは自動的にインストールを開始します。 「この時点でActive Directoryをインストールすると、システム内のすべてのドメイン名を再び変更することはできません...」のようなプロンプトが表示されます。一般に、システムのインストール時にActive Directoryをインストールすることは選択しません。そのため、Active Directoryに関連するプロトコルとシステム構造を具体的に計画する時間があります。ディレクトリサービスは、後でDcprom oコマンドを使ってインストールする必要があります。 Windows NT 4.0をインストールする場合のように、システムがドメインコントローラとメンバサーバーを区別し、2つを変換できないため、ディレクトリサービスを有効期間の代わりにアンインストールすることもできます。

Dcpromoは、ドメインコントローラーの構築プロセスを段階的に案内するグラフィカルウィザードで、新しいドメインフォレスト、ドメインツリー、またはドメインコントローラーの別のバックアップを作成するのに非常に便利です。 DNSサーバー、DHCPサーバー、証明書サーバーなどの他の多くのネットワークサービスは、ポリシー管理を容易にするために将来Active Directoryと統合することができます。このグラフィカルインターフェイスウィザードについて特別なことは何もありませんが、最初にActive Directoryの意味を理解し、インストールの前に一連の計画を立てていれば、すべてのインストール作業を完了するのは簡単です。

Active Directoryのインストール後、主に3つのActive Directory Microsoft管理インターフェイス（MMC）があります。1つはActive Directoryユーザーとコンピュータの管理で、主にドメイン管理の実装に使用されます。ドメインの信頼関係の管理は、主にマルチドメイン関係の管理に使用され、Active Directoryのサイト管理もあります。一般的なLANの範囲では、サイトのサイト内のドメインコントローラ間の複製は自動的に行われ、サイト間のドメインコントローラ間の複製には、複製トラフィックを最適化し、スケーラビリティを向上させるための管理者設定が必要です。セックスActive Directory管理インターフェイスから、サイト、ドメイン、および組織単位を右クリックしてグループポリシー管理インターフェイスを起動し、オブジェクトの詳細管理を実装することもできます。

サイト、ドメイン、および組織単位の場合、管理者も承認を簡単に管理できます。それらを右クリックして、承認管理ウィザードを起動し、どの管理者がどのオブジェクトに対する管理権限を持つかを設定します。たとえば、企業の内部テクニカルサポートセンターの管理者には、ユーザーパスワードをリセットする権限しかなく、ユーザーアカウントを作成および削除する権限はありません。このより詳細な管理方法は「粒状化」されています。

さらに、Active Directoryではディレクトリサービスのバックアップと復元の必要性も十分に考慮されていますWIN2KバックアップツールにはActive Directoryをバックアップするオプションがあります。安全な復旧モードでは、災害による悪影響が確実に軽減されます。
zh-CN"],null,[1],zh-TW"]]]