Windows域網絡學習中的幾個常見問題

◆馬志妍

（甘肅交通職業技術學院 甘肅 730070）

Windows域架構是相對于工作組而言的另一種重要的資源架構的形式，下面將從理論知識的理解和實際部署兩個方面總結了Windows域網絡學習中的常見問題。

1 理論學習中的常見問題

1.1 工作組與域的數據存儲

工作組網絡也稱為對等網絡（peer-to-peer），即所有的計算機都是平等的，任何一臺計算機都不可以控制另一臺計算機。若要登錄到工作組中的任何計算機，必須具有該計算機上的賬戶。每一臺Windows計算機都有一個本地安全賬戶的SAM數據庫，賬戶數據庫文件位于%systemroot%System32ConfigSAM中。用戶若想訪問每一臺計算機內的資源，必須在每臺計算機上創建用戶賬戶。

圖1工作組與域的數據存儲

域也是由一組通過網絡連接在一起的計算機組成，它們可以將計算機內的文件、打印機等資源共享出來供給網絡的用戶來訪問。與工作組的松散管理有所不同，“域”是一個相對嚴格集中管理模式。在域中，至少有一臺服務器負責客戶端連入網絡的驗證工作，稱為“域控制器（Domain Controller，簡寫為DC）”，域控制器共享一個集中的活動目錄數據庫（Directory Database），包含了由這個域的賬戶、密碼、計算機等信息。活動目錄數據庫包含大量的核心數據，格式是“dit”，默認狀態下，活動目錄數據庫位于“%systemroot%NTDS”路徑下。維護活動目錄數據庫前，需停止ADDS域服務。

Active Directory數據庫是一個事務處理數據庫系統，通過日志文件支持操作，從而確保事務提到數據庫中[1]。與Active Directory關聯的文件包括：Ntds.dit，Active Directory（數據庫文件），Edbxxxxx.log（事務日志文件），Edb.chk（檢查點文件），Res1.log和Res2.log（預留的日志文件），Temp.edb（臨時數據庫維護文件），Edbtmp.log（日志暫存文件）[2]。

需要特別注意的是：第一臺域控制器中的本地賬戶會被轉移至Active Diretory數據庫內，其他域控制器的本地用戶賬戶會被刪除；域中的成員服務器或者客戶端，依然保留本地用戶賬戶。

1.2 微軟的哪些產品運行在域網絡中

域是微軟的產品平臺，可以與Microsoft Exchange Server產品共享目錄信息，集成用戶身份驗證；也可實現SQL Server的Cluster管理，以及hyper-v的遷移等。

圖2可在域網絡中運行的微軟產品

1.3 如何保證域架構的穩定性

在生產環境中，域網絡的穩定運行十分重要，一般域是針對企業內部用戶部署的，所以首先，域控制器（DC）不直接連接外網；其次，DC上不部署大型服務，如Web服務、exchange等；最后，應該創建多臺DC，實現DC的容錯管理，如圖3是一個簡單地DC容錯架構的拓撲圖。

圖3 DC的容錯架構

2 域在部署中的常見問題

2.1 計算機無法加入域

計算機加入域時，提示“無法與域的Active Diretory域控制器（AD DC）連接”

如果在網絡和域控制器均正常的情況下，主要是因為DNS。可能是DNS服務搭建的問題，也可能是客戶端或DC中DNS的設置問題。

方法：DNS服務器的檢查

由于域控制器需要將自己的域名注冊到DNS服務器內，以便讓其他計算機通過DNS服務器來找到這臺域控制器，因此必須要一臺可支持Active Directory的DNS服務器，也就是它必須支持服務位置資源記錄，且最好支持動態更新[3]。如果沒有可支持Active Directory的DNS服務器，可在升級過程中，選擇在這臺即將升級為域控制器的服務器上安裝DNS服務器[4]。如果域控制器已經正確地將其所扮演角色注冊到DNS服務器內，則在DNS管理器中會有_tcp、_udp等文件夾；表示客戶端已經成功注冊的數據類型，服務位置（SRV）的_idap記錄。

客戶端和DC首選DNS的設置

客戶端和DC首選DNS必須指向域控制器注冊的DNS服務器，否則，客戶端加入域。

2.2 計算機加入域時提示“找不到網絡路徑”

計算機在添加到域的過程中，系統提示“找不到網絡路徑”。需要啟動計算機的“TCP/IP NetBIOS Helper”服務[4]，因為它是為網絡上的客戶端提供NetBIOS名稱解析功能，允許客戶端共享文件、打印機和登錄到網絡中[5]，所以在域的環境中不能停止該服務，除此之外，Computer Browser服務，Server服務也要保持正常開啟。

方法：在運行框輸入services.msc，打開本地服務；會看到TCP/IP NetBIOS Helper服務是沒有開啟的，右擊該TCP/IP NetBIOS Helper服務選擇啟動。

2.3 “域”使用在策略發布軟件時，針對“計算機指派”和“用戶指派”的區別

二者在客戶端進行軟件安裝的時間不同。針對“計算機指派”，當客戶機重啟后，用戶登錄前進行軟件的安裝，并將把安裝信息寫入客戶端的注冊表。

針對“用戶指派”，當客戶端重啟后，用戶登錄后進行軟件的安裝，并將安裝信息寫入客戶端的注冊表。

2.4 如何禁止客戶端進入工作組

默認情況下，加入域的客戶端即可以通過域名/用戶名登錄至“域”模式下，也可以通過用戶/計算機登錄到工作模式下，為管理帶來難度。域在部署后，一定要通過組策略統一管理加強管理，可以通過在DC上的AD活動目錄來將客戶端的本地賬號禁用。

方法：在DC上創建一個OU（組織單位），然后將需要拒絕本地登錄的計算機賬戶加入該OU，然后為該OU創建并鏈接一個GPO，編輯GPO的“計算機配置”-Windows設置-安全設置-本地策略-用戶權利分配下的拒絕本地登入 添加Users組。