Active Directory创建可传递的林信任

合集下载

active directory的概念

active directory的概念Active Directory（AD）是由微软开发的一种目录服务。

它是用于在网络环境中管理和组织网络资源的一种基于域的层次结构。

AD的概念可以从以下几个方面进行阐述：1. 域的概念：域是AD中最基本的逻辑结构单元，它是一个安全边界，类似于一个边界防火墙。

域可以包含用户、计算机、组织单位等多种对象，并且提供了集中管理和控制这些对象的能力。

2. 目录服务的概念：目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了一种将网络资源分层和分类的方法，使得用户可以更方便地访问和管理这些资源。

3. 组织单位（OU）的概念：OU是AD中的一个组织单位，它用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以根据需要创建各种组织结构，方便地对其内部的对象进行管理和控制。

4. 权限和访问控制的概念：AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

管理员可以通过AD设置访问规则和策略，限制用户对资源的访问权限，确保安全性和合规性。

5. 多域环境的概念：AD支持多域环境，可以在一个AD林（forest）中创建多个域。

不同域之间可以建立信任关系，使得用户或计算机可以跨域访问资源。

接下来，我们来一步一步回答关于AD的一些常见问题。

Q1：什么是域？域是AD中最基本的逻辑单位，相当于一个边界防火墙。

它提供了集中管理和控制网络资源的能力。

域可以包含用户、组织单位、计算机等多种对象。

域之间可以建立信任关系，使得用户可以跨域访问资源。

Q2：什么是目录服务？目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了将资源分层和分类的方法，方便用户访问和管理这些资源。

Q3：什么是组织单位（OU）？组织单位是AD中的一个组织单元，用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以方便地对其内部的对象进行管理和控制。

Q4：AD如何实现权限和访问控制？AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

Active Directory 结构

Active Directory 结构操作系统白皮书摘要要发挥Microsoft® Windows® 2000 Server 操作系统的最大作用，必须首先了解Active Directory™ 目录服务。

Active Directory 是Windows 2000 操作系统的新内容，它在实施组织的网络、进而实现组织的商业目标中占有重要地位。

本文向网络管理员介绍Active Directory，解释其结构，阐述其如何与应用程序及其他目录服务进行交互操作。

本文以Windows 2000 Beta 3 发行时有效的信息为基础。

在Windows 2000 Server 的最终版本发行之前，本文提供的信息可能会随时更改。

简介要想了解Windows 2000 操作系统如何实现其功能，及其对完成企业目标能够提供哪些帮助，就必须先了解Active Directory™ 目录服务。

本文从以下三个方面介绍Active Directory：•存储。

Active Directory，即Windows® 2000 Server 目录服务，可分层存储网络对象的信息，并向管理员、用户和应用程序提供这些信息。

本文首先解释目录服务的概念、Active Directory 服务与Internet 域名系统(DNS) 的集成，以及当您将服务器指定为域控制器1时，Active Directory 是如何实现的。

•结构。

使用Active Directory，可以根据结构组织网络及其对象，这些结构包括域、目录树、目录林、信任关系、部门(OU) 和站点。

本文第二节阐述这些ActiveDirectory 组件的结构和功能，以及管理员采用该体系结构对网络实施管理的方式，从而有助于用户实现其商业目标。

•相互通信。

Active Directory 以标准目录访问协议为基础，因此能够与其他目录服务进行交互操作，并可接受遵守这些协议的第三方应用程序的访问。

简述active directory结构

简述active directory结构
Active Directory（AD）是Windows Server操作系统中的目录服务，用于存储、管理和组织网络对象的信息，例如用户、计算机、打印机和共享文件夹等。

其结构主要包括以下组件：
1. 域：域是AD的基本单位，是一组网络对象的集合，可以将其看作是一个大型的目录数据库。

每个域都有一个域控制器（Domain Controller），负责管理该域的所有活动。

2. 目录树：一个或多个域可以组成一个目录树。

目录树以一个域作为根域，其他域作为子域。

根域控制器管理整个目录树，其他域控制器则管理各自域内的对象。

3. 目录林：一个或多个目录树可以组成一个目录林。

目录林以一个目录树作为根目录树，其他目录树作为子目录树。

根目录树的管理员可以对整个目录林进行管理，而其他目录树的管理员只能管理各自目录树内的对象。

4. 组织单元（OU）：组织单元是一种特殊类型的目录对象，用于将用户和计算机等对象组织成逻辑单元。

OU可以用来表示组织结构、地理位置或安全策略等信息。

5. 信任关系：信任关系是AD中不同域之间的一种关系，允许一个域的用户访问另一个域的对象。

例如，当一个用户从外部网络登录到内部网络时，可以通过信任关系进行身份验证和授权。

以上是Active Directory的基本结构，通过这种结构，管理员可以方便地管理网络中的对象，并确保安全性和可靠性。

简述active directory的功能

Active Directory（AD）是Microsoft Windows Server操作系统中的核心组件，它提供了一种集中式的目录服务，用于管理和组织网络中的计算机、用户、组和资源。

以下是Active Directory的主要功能：目录服务：Active Directory作为中央目录服务，允许用户和计算机在网络中轻松找到和访问其他用户、计算机、共享文件夹、打印机和其他网络资源。

这大大简化了网络管理和资源访问。

身份验证和授权：Active Directory提供了一个集中的身份验证机制，使得用户可以登录到任何受信任的计算机，而无需重新输入用户名和密码。

同时，它还提供了基于角色的访问控制（RBAC），使得管理员可以轻松地管理用户的权限和访问级别。

组策略管理：通过Active Directory，管理员可以定义组策略（Group Policy），这是一种强大的管理工具，可以用于配置和管理网络中的计算机和用户。

组策略可以用于配置各种设置，如桌面壁纸、屏幕保护程序、应用程序配置、安全策略等。

安全策略管理：Active Directory还提供了一套完整的安全策略管理机制，包括防火墙规则、安全审计、数据加密等。

管理员可以通过Active Directory来管理和实施这些安全策略，确保网络的安全性。

网络服务管理：Active Directory可以用于管理各种网络服务，如文件共享、打印服务、电子邮件服务、数据库服务等。

管理员可以通过Active Directory来配置和管理这些服务，确保它们的正常运行。

报告和监视：Active Directory还提供了一套完整的报告和监视工具，可以帮助管理员了解网络的使用情况、安全状况、性能等。

这些工具可以帮助管理员及时发现和解决网络问题。

与其他应用的集成：Active Directory可以与其他Windows Server应用和服务无缝集成，如DNS服务、IIS服务、Exchange Server等。

active directory基本概念

active directory基本概念Active Directory（AD）是由Microsoft开发的一种目录服务，用于在网络中管理和组织用户、计算机、打印机等资源。

它提供了一个集中式数据库和认证服务，用于在组织内建立和维护网络中的对象的层次结构。

以下是一些关于Active Directory 的基本概念：1. 目录服务（Directory Service）：• Active Directory 是一个目录服务，其主要作用是存储和组织网络中的对象信息，如用户、计算机、打印机等。

这些对象按照层次结构进行组织，形成一个树状的目录。

2. 域（Domain）：•在Active Directory中，域是一个逻辑上的组，用于组织和管理网络中的对象。

每个域都有一个唯一的域名，域内的对象可以相互共享资源和认证信息。

3. 林（Forest）：•一个林（Forest）是一个包含一个或多个域的集合。

域与域之间可以建立信任关系，形成一个林。

每个林都有一个共享的林根（Forest Root），所有域都共享这个林根。

4. 域控制器（Domain Controller）：•域控制器是运行Active Directory服务的服务器。

每个域至少有一个域控制器，它存储了该域的目录信息，并提供认证和授权服务。

5. 组织单位（Organizational Unit，OU）：•组织单位是用于组织和管理域内对象的容器。

OU可以包含用户、组、计算机等，并可以在OU内应用特定的策略。

6. 组（Group）：•组是一种将用户、计算机等对象集合在一起的方式，以便更轻松地管理这些对象的权限和设置。

7. 用户和计算机账户：• Active Directory存储了用户和计算机的信息，包括登录名、密码、权限等。

用户和计算机账户可以被组织在域内的不同容器中。

8. 域名服务（DNS）：• Active Directory使用DNS来命名和定位域控制器。

Active Directory管理和构架-第5部分(域信任关系、域功能级别、配置AD站点复制)

在林/域中所有域控制器升级时，管理员手动提升功能级别级别只能提升，不能降低
禁止老式域控制器的加入/启动
考虑Windows 2000纯模式++
可用的功能级别 Windows 2003 Server林功能 Windows 2003 Server过渡林功能 Windows 2003 Server域功能
域功能级别
Domain A Topology Domain A Topology Domain B Topology Schema/Config Topology Schema and Configuration Topology
什么是站点和子网对象?
Active Directory Sites and Services Console Window Help Active View Tree Active Directory Sites and Services Sites Default-First-Site-Name Servers DENVER NTDS Settings Inter-Site Transports Redmond-Site Subnets Name Default-First-Site-Name Inter-Site Transports Redmond-Site Subnets Type Site Inter-Site Transport Container Site Subnets Container
Windows NT中的信任
在Windows NT 4.0及先前的版本中，信任只限于两个域之间，而且信任关係是单向且不可转移的。在下图中，不可转移信任及单向信任会由指向信任域的直线箭头表示。
Win 2003与Win2000服务器的信任

Active Directory--域信任关系

实验：域信任关系
一、实验目的1．在林域中添源自快捷方式信任关系2．在森林中添加外部信任关系
二、实验步骤及结果分析
1．添加快捷方式信任关系
1.1.准备。在林里添加快捷方式信任关系，需至少准备一台根域，两台子域。如根域为“”，子域A为“”，子域B为“”。
1.2.分别在三个域里打开“域信任关系”控制台，可以用运行命令的方式：“domain,msc”。
1.3.新建信任关系。
1.3.1.在子域A或子域B，如：“”本域的域名上右击选择“属性”，在属性中选择“信任”选项卡，点击“新建信任”按钮，打开“新建信任向导”，添加一个快捷方式信任关系。
2.4.测试信任关系。在任一个根域上设置共享文件夹，并赋于最高权限给对方根域。在另一个林的客户端访问此共享。
1.4.测试快捷方式信任关系。在任一子域新建共享文件夹，并赋于最高权限给另一个子域，用另一个子域访问此共享。对比在建立快捷方式信任关系后，访问共享文件夹的速度比之前的快些。
2.添加外部信任关系。
2.1.准备。先搭建两台根域服务器，分别设不同的网段，再建一台路由器服务器，和一台客户端，并将客户端加入任一根域。
1.3.2.在新建信任关系向导里点击下一步，在“信任名称”中填入对方的域名称，如：“”，点击下一步，选择“双向”，再点击下一步选择“这个域和指定的域”。下一步，输入对方域的用户名和密码。再一直下一步，确认传出/传入信任选择“是”。当出现“创建并确认信任关系成功。”提示时，点击完成。一个快捷方式信任关系完成。
2.3.2.将两根域的林功能级别也提升为“windows server2003”，在控制台左侧的域和信任关系上右击选择“提升林功能信任关系”。
2.3.3.新建信任关系。在根域的“域和信任关系”的域名上右击，选择“属性”，在属性中选择“信任选项卡”，点击“新建信任关系”按钮，打开“新建信任关系向导”，下一步，输入另一个根域的完全域名。再点下一步。选择“领域信任”“可传递”“双向”输入“信任密码”，一直下一步，点击完成。

windows实训报告3--active+directory信任创建

Active Directory信任创建
二、实训要求
1、父子信任；
2、树根信任；
3、快捷信任；
4、提升域功能级别和林功能级别；
5、林信任；
6、外部信任；
7、信任的删除。

三、实训步骤
创建了一个主域，子域，域树。

主域
子域
域树
父子信任
树根信任
三，在子域上新建信任--输入别一个域的dns域的名称（）--双向信任--只是这个域--输入用户名和密码--是，确认传入信任--完成
快捷信任
四.提升域功能级别和林功能级别
1.分别在子域--域树--域控上提升域的功能级别到Windows Server 2003
Windows Server 2003
五，林信任
1，要分别在第个林域中dns上新建一个转发器，相互指向，新在域控上新建信任，这时新
建信任向导中会多一项（另一个林）
2.输入另一个林的名称，
3.选择林信任
4.双向的
5.只是这个域
6.全林性身份验证
7.信任密码
8.林信任成功
9.成功
六，外部信任
在子域上新建信任--输入别一个林域的dns域的名称（）--双向信任--只是这个域--输入用户名和密码--是，确认传入信任--完成
七，信任的删除
打开信任选项卡，删除--是，从本地域和另一个域中删除信任--输入对面的用户
各密码。

除了父子和根域，其余删除一样
四、总结。

简述active directory

简述active directoryActive Directory是一种由Microsoft开发的目录服务，它提供了一种统一的方式来管理网络中的用户、计算机、应用程序和其他资源。

Active Directory是Windows Server操作系统中的一个核心组件，它允许管理员在整个网络中集中管理和控制访问权限。

一、Active Directory的概述1.1 什么是Active DirectoryActive Directory是Windows Server操作系统中的一个目录服务，它提供了一种统一的方式来管理网络中的用户、计算机、应用程序和其他资源。

它可以帮助管理员集中管理和控制访问权限，从而提高网络安全性和效率。

1.2 Active Directory的架构Active Directory采用了分层架构，由域、树和森林三个层次组成。

域是最基本的单位，它包含了一组用户、计算机和其他资源。

多个域可以组成一个树，而多个树又可以组成一个森林。

1.3 Active Directory的功能Active Directory具有以下功能：- 用户和计算机管理：允许管理员集中管理网络上所有用户和计算机。

- 访问控制：允许管理员控制用户对各种资源（如文件夹、打印机等）的访问权限。

- 身份验证：允许管理员验证用户身份，并限制未经授权者对系统资源的访问。

- 目录服务：允许管理员存储和检索网络上所有资源的信息。

二、Active Directory的组成部分2.1 域域是Active Directory中最基本的单位，它是一个逻辑组，可以包含一组用户、计算机和其他资源。

每个域都有一个唯一的名称和标识符，并且可以与其他域建立信任关系以实现资源共享。

2.2 树树是由多个域组成的层次结构，它们共享相同的命名空间。

树中每个域都有一个父域和一个子域，除了根域以外。

树允许管理员在不同的域之间建立信任关系，并共享资源。

2.3 森林森林是由多个树组成的集合，它们共享相同的目录架构、配置和全局目录。

Active Directory系列之十六理解域信任关系

理解域信任关系在同一个域内，成员服务器根据Active Directory中的用户账号，可以很容易地把资源分配给域内的用户。

但一个域的作用范围毕竟有限，有些企业会用到多个域，那么在多域环境下，我们该如何进行资源的跨域分配呢？也就是说，我们该如何把A域的资源分配给B域的用户呢？一般来说，我们有两种选择，一种是使用镜像账户。

也就是说，我们可以在A域和B域内各自创建一个用户名和口令都完全相同的用户账户，然后在B域把资源分配给这个账户后，A域内的镜像账户就可以访问B域内的资源了。

镜像账户的方法显然不是一个好的选择，至少账户的重复建设就很让管理员头疼。

资源跨域分配的主流方法还是创建域信任关系，在两个域之间创建了信任关系后，资源的跨域分配就非常容易了。

域信任关系是有方向性的，如果A域信任B域，那么A域的资源可以分配给B域的用户；但B域的资源并不能分配给A域的用户，如果想达到这个目的，需要让B域信任A域才可以。

如果A域信任了B域，那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中，这样A域内的资源就可以分配给B域的用户了。

从这个过程来看，A 域信任B域首先需要征得B域的同意，因为A域信任B域需要先从B域索取资源。

这点和我们习惯性的理解不同，信任关系的主动权掌握在被信任域手中而不是信任域。

A域信任B域，意味着A域的资源有分配给B域用户的可能性，但并非必然性！如果不进行资源分配，B域的用户无法获得任何资源！有些朋友误以为只要两个域之间存在信任关系，被信任域的用户就一定可以无条件地获得信任域内的所有资源，这个理解是错误的。

我刚工作时在一家港资企业担任网络管理工作，企业的香港公司是一个域，深圳公司也是一个域。

有一次我们需要把两家公司的Exchange服务器进行站点连接，这个操作需要两个域建立信任关系，但当时一位老工程师坚决不同意建立信任关系。

他的理由是只要建立信任关系，香港公司的资料就全被深圳公司的员工看到了。

Active Directory 设置

Active Directory选择“开始”→“程序”→“管理您的服务器”。

弹出“管理您的服务器”的窗口。

双击“添加或删除角色”，弹出对话框，选择下一步按钮，弹出对话框。

单击“继续”按钮。

选择“域控制器”单击下一步按钮。

弹出对话框。

单击“确定”按钮。

弹出“Active Directory 安装向导”对话框，单击下一步。

一直单击“下一步”，直到弹出如下图所示对话框。

选择“新域的域控制器”复选框，单击“下一步”按钮。

弹出对话框，选择“在新的林中发的域”复选框，单击“下一步”按钮。

在“新域的DNS全名”处键入,单击“一步”按钮。

单击“下一步”按钮。

弹出如下对话框。

单击“完成”按钮即可。

桌面上右键单击“网上邻居”选择“属性”命令，打开“本地连接属性”对话框。

选择“Internet协议”，弹出如下对话框，设置完成，如下图。

桌面上右键单击“我的电脑”选择“属性”命令，打开“系统属性”对话框。

单击“更改”按钮，弹出“计算机名称更改”属性对话框，在“录属于”框中勾选“域”复选框，然后输入“域”的名称。

单击确定按钮。

弹出下图对话框。

在用户名中输入管理员名称，密码不设定，单击“确定”按钮。

弹出“欢迎加入”对话框。

三、选择“开始”→“程序”→“Active Directory 用户和计算机”。

弹出“Active Directory 用户和计算机”的窗口。

在右侧“win2003”菜单上右键单击选择“新建”—“用户”，弹出“新建对象—用户”对话框。

单击“下一步”按钮，弹出对话框设置密码完成后，单击“下一步”按钮。

弹出如下对话框单击“完成”按钮，用户建立完成。

界面如下图所示。

同理，建立用户“李四”也一样。

在右侧“win2003”菜单上右键单击选择“新建”—“组”，弹出“新建对象—组”对话框。

设置如下图所示，完成后单击“确定”按钮。

双击上图界面“student”，弹出对话框，弹出“student属性”对话框，单击“添加”按钮，弹出对话框。

AD域配置详解

Active Directory配置详解一为什么需要域？对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录…，很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出Active Director y系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Perth。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器F lorence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

04项目4 部署与管理Active Directory域服务环境

组织单位可以将用户、组、计算机和其他单元放入活动目录的容器。
组织单位不能包括来自其他域的对象。
认识活动目录的逻辑结构
组织单位
网络管理模型 Sales Users Computers
地理位置的组织结构 Vancouver Sales Repair
利用OU可以把对象组织到一个逻辑结构中使其最适应你的组织需求。
域控制器： • 承载 AD DS 目录存储的副本 • 提供身份验证和授权服务 • 将更新复制到域和林中的其他域控制器 • 允许在服务器上管理用户账户和网络资源
Windows Server 2008 AD DS 支持 RODC
认识活动目录的物理结构域控制器
Domain Controllers: 参与活动目录的复制单主控操作
活动目录存储网络对象的信息。对象属性存储在活动目录活动目录的对象是组成活动目录基本元素
Attribute Value
活动目录架构
对象类举例
活动目录架构：
定义了数据类型、语法规则、命名约定。
Computers Users
用户的属性可以包括
accountExpires department distinguishedName middleName
M
M – Manufacturing
E – Engineering
R - Research
ER
Examples
Function ( 功能) Organization
Location (位置) Function
Organization (组织) Location
Location-based
N
F
I
有了域，员工只需要在域中拥有一个域用户，因此管理员只须为员工创建一个域用户；员工只需要在域中登录一次就可以访问域中的资源了，实现了单一登录。

Active Directory 概述

Active Directory 概述一、工作组和域：Windows Server 2003 支持两种用户帐户：域帐户和本地帐户。

域帐户可以登录到域上，并获得访问该网络的权限；本地帐户则只能登录到一台特定的计算机上，并访问该计算机上的资源。

在工作组模式的网络中，各服务器都是独立的，各服务器中的账户和资源也是各自进行管理的。

所以，管理员需要为每台服务器建立账户。

管理时也需要分别登录各服务器完成管理工作。

授权用户访问不同的服务器时，也需要分别登录。

在域模式的网络中，服务器可以集中进行管理，域中的账户和资源也是集中管理的。

所以，管理员登录一次就可以管理整个域。

授权访问用户登录一次就可以访问所有共享资源。

在域结构的网络中，需要一个对账户和资源进行统一管理的机制，这个机制就是活动目录（Active Directory）。

域中所有的账户和共享资源都需要在活动目录中进行登记。

用户可以利用活动目录查找和使用这些资源。

基于域结构的网络可大大减轻管理的复杂度和工作量，通常用于结构较复杂的网络。

二、相关概念：域(Domain)：一个域就是一系列的用户账户、访问权限和其他各种资源的集合。

域是网络的独立安全范围，是 Windows 的逻辑管理单位。

一个网络可以建立一个或多个域。

活动目录(Active Directory)：活动目录是一个信息库，它用来存放域内的用户账户、组、网络打印机、共享文件夹等对象。

名字空间：每个域都必须命名，域的名字遵循 DNS 命名规则，并且通过 DNS 服务器解析域名。

信任关系：如果一个网络中建立了多个域，各个域之间可通过 Kerberos 协议建立信任关系，具有信任关系的各个域构成域群，它们的共享资源可以互相访问。

域间的信任关系一般是双向的、可传递的。

系统定义了两种默认信任类型：父子、树根。

使用“新建信任向导”还可以创建另外4种信任类型：外部、领域、林、快捷。

构建域群有两种方式：域树和域林域树(Tree)：把多个域按“父子”信任关系构建成具有层次结构的域群。

解决active directory域服务问题的方法

解决active directory域服务问题的方法解决Active Directory域服务问题的方法可以包括以下几个步骤：1.检查网络连接：首先，检查计算机和服务器之间的网络连接是否正常。

可以使用Ping命令来测试连接是否通畅。

如果连接不正常，则需要检查连接设置或修复网络故障。

2.检查网络设置：如果网络连接正常工作，则可能是TCP/IP设置出现了问题。

可以尝试在计算机上使用ipconfig /flushdns命令来刷新DNS缓存，并重新设置网络适配器的设置。

3.检查DNS设置：正确的DNS设置对于Active Directory的正常运行至关重要。

检查网络适配器的DNS设置是否正确，并尝试使用ipconfig /flushdns命令刷新DNS 缓存。

如果DNS问题仍然存在，则可以尝试手动指定DNS服务器的地址以解决问题。

4.检查防火墙设置：如果计算机防火墙被启用，则必须配置以允许Active Directory流量通过。

可以尝试禁用防火墙以查看是否解决了问题。

如果没有解决问题，则需要检查防火墙规则以确保允许Active Directory服务通过。

5.重启服务：可能存在某些服务未启动或已停止导致Active Directory域服务当前不可用的错误。

可以尝试重启Active Directory域服务以解决问题。

此外，对于与打印机相关的问题，需要确保在添加打印机时不要在Word或其他办公软件内添加，而是应该通过控制面板中的设备和打印机选项来添加打印机设备，并确保相关的打印服务（如Print Spooler）已正确配置并启动。

需要注意的是，具体的解决方法可能会因问题的具体情况而有所不同。

Active Directory 配置指南

如何解决本地或域管理员密码丢失？
本地管理员密码丢失，可通过删除sam文件（2000SP3以前）或通过NTpassword软件来解决。但要解决域管理员密码丢失，它们就无能为力了,这时就需要用到“凤凰万能启动盘”中的ERD Commander 2002了，接下来我们将详细讨论使用此盘解决管理员密码丢失问题。
检查：相应服务是否已经正常启动。
操作：我的电脑/右键/管理/服务和应用程序/服务下
3、由于本机与其它计算机重名（指NetBIOS名称）的影响
提示：访问任何计算机均提示：“找不到网络路径”。
检查：重启一下，看是否有“网络中存在重名”的提示。可能上次开机时没注意给忽略了。
操作：我的电脑/属性/网络标识/属性/计算机名下，修改计算机名。
四、域xxx不是AD域，或用于域的AD域控制器无法联系上。
在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的 IP 地址，然后开始进行网络身份
验证。DNS不可用时，也可以利用浏览服务，但会比较慢。2000以前老版本计算机，不能利用DNS来定位DC，只能
利用浏览服务、WINS、lmhosts文件来定位DC。所以加入域时，为了能找到DC，应首先将客户机TCP/IP配置中所配
A2、用户无法登录到域？
一、用户名、口令、域
确保输入正确的用户名和口令，注意用户名不区分大小写，口令是区分大小写的。看一下欲登录的域是否还存在（比如子域被非正常删除了，域中唯一的DC未联机）。
二、DNS
客户机所配的DNS是否指向DC所用的DNS服务器，讨论同前。
三、计算机帐号
提示：
（1）若目标机（为域成员）上的net logon服务停了：“试图登录，但网络登录服务未启动”。

WindowsServer2008ActiveDirectory配置指南-l...

WindowsServer2008ActiveDirectory配置指南-l...一、Active Directory Domain Services(AD DS)in the Windows Server 2008 network enviroment ,Active Directory Domain Services(AD DS),provide with organizing、managing、controlling network resources.1-1 active directory domain services overviewdirectory :telephone directory;file directory如果这些directory内的数据能够系统的加以整理的话，用户就能够容易且迅速的查找到所需文件。

Active Directory的组成是directory，域内的directory是用来存储用户帐户、计算机帐户、打印机与共享文件夹等对象，我们把这些对象的存储地点称为目录数据库（directory database）。

Active Directory 域内负责提供目录服务的组件就是active directory域服务，active directory domain services它负责目录数据库的存储、添加、删除、修改与查询操作。

1-1-1 active directory domain service scopeactive directory domain service 可以用在一台计算机、LAN或者数个WAN的联合，它包含此范围所有的对象，例如文件、打印机、应用程序、服务器、域控制器与用户帐户等。

1-1-2nameSpacebounded area ,一块界定好的区域，在此区域内，我们可以利用某个名称来找到与这个名称有关的信息。

active directory 域服务内，active directory就是一个名称空间，在active directory内我们可以通过对象名来找到与这个对象相关的所有的信息。

配置与管理Windows Server 2012域模式网络习题与答案

1、Active Directory安装完成后，下列哪些不属于其的管理控制台？A. Active Directory组和组信任关系的管理B.Active Directory域和域信任关系的管理C.Active Directory用户和计算机管理D.Active Directory的站点管理正确答案：A2、Active Directory支持Microsoft Exchange 4.0和5.0客户端的_____，并提供这些产品完全的_____ 、_____兼容。

A.NSPL；向前；向后B.NSPI；向后；向后C.NSPLI；向前；向后D.NSPI；向前；向后正确答案：D3、Windows Server 2012使用SID来标识分配给它的 _____和_____ 。

A.组；权限B.用户名；权限C.组；服务D.标志；服务正确答案：A4、以下哪种不属于组策略类型的是？A.安全设置B.脚本设置C.管理模板正确答案：D5、在应用组策略之前，必须先创建_____，然后编辑策略，管理权限和管理继承。

A.GPOB.IOSC.MIPD.DNS正确答案：A6、域模式中的组又称为_____，存储在域的Active Directory中。

A.广域B.组域C.域组D.群组正确答案：C7、在Windows Server 2012中定义了两种安全策略类型：_____和_____。

A. 组域网安全问题；计算机安全问题B.组安全问题；域安全问题C.域安全策略；计算机安全问题D.域安全策略；广域网安全问题正确答案：C8、在典型Windows Server 2012域模式网络中，有下列类型的计算机：运行Windows Server 2012的_____ 、运行Windows Server 2012的_____，运行Windows Server 2012或其他操作系统的_____ 。

A.域控制器；成员服务器；主机B.域控制器；成员服务器；客户机C.组控制器；成员服务器；客户机D.域控制器；主服务器；客户机正确答案：B9、_____是一台存储了域森林中所有Active Directory对象的一个副本的域控制器。