域控制器是如何控制客户机和安全软件升级的

域控制器是通过控制模块来控制客户机和安全软件升级的。

域控制器( Domain controller，DC)是活动目录的存储位置,安装了活动目录的计算机称为域控制器。在第一竖枯次安装活动目录时,安装活动目录的那台计算机就成为域控制器,简称“域控”。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索等。

在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的州纤谨门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

服务器端设置:

以系统管理员身份在已经设置好Active Directory（活动目录）的Windows 2000 Server上登录，选择“开始”菜单中“程序”选项中的“管理工具”，然后再选择“Active Directory用户和计算机册基”。

后在程序界面中右击“Computers”，在d出的菜单中单击“新建”，然后选择“计算机”，之后填入想要加入域的计算机名即可。要加入域的计算机名最好为英文，中文计算机名可能会引起一些问题。

具体方法如下：

1、单击开始-控制面板-，打开控制面板，双击网络共享中心，打开网络共享中心。

win10系统配置域控制器的详细步骤

2、右击本地连接，在d出的快捷菜单中选“属性”。

3、在本地属性的对话框中选择INTERNET协议版本4选项，单击属性按钮。

4、在d出的INETRNET协议版本4的对话框中选择使用以下的IP地址和使用下面的DNS服务器，输入IP地址，子网掩码。默认网关，首选DNS服务器。（注意：对于将要安装域控服务器的计算机来说，首选DNS服务器必须设置为本身的IP地址且必须是静态地址）。

5、点击确塌掘搏定按钮，然后关闭对话框，完成IP设置。

6、单击开始-所有程序-管理工具-服务器团祥管理器 打开服务器管理器窗口，选择角色选项，单击添加散让。在添加角色向导的对话框中 -开始选项中列出添加角色的前提条件，单击下一步按钮。

7、在d出的选择服务器角色列表中 选中Active Directory 域服务 复选框，单击下一步，在d出的 Active Directory 域服务简介 对话框中显示Active Directory 域服务的有关信息（由于本人机子已经安装域控，故下图有些区别）。

8、单击下一步 按钮，在d出的确认安装选择对话框中单击 安装 按钮，系统开始添加角色，安装完成后，单击关闭按钮（注意：以上 *** 作只是添加域服务角色，并没有安装域，必须运行Active Directory安装向导工具将服务器安装成域控制器）。

9、单击开始--运行-- 在运行对话框中输入Dcpromo.exe, 按回车键，然后在d出的对话框中点确定--下一步，在d出的 *** 作系统兼容性 对话框中 显示当前系统域控服务器兼容性的信息。

在将Windows2000域控制器升级到WindowsServer2003之前，或者在将新的WindowsServer2003域控制器添加到Windows2000域中之前，请按照下列步骤 *** 作：清点访问承载WindowsServer2003域控制器的域中的资源的客户端，以确定它们是否与SMB签名兼容：每个WindowsServer2003域控制器均在其本地安全策略中启用了SMB签名。确保使用SMB/CIFS协议访问承载WindowsServer2003域控制器的域中的共享文件和打印机的所有网络客户端都可以配置或升级为支持SMB签名。如果无法配置或升级它们，请暂时禁用SMB签名，直到可以安装更新或者客户端可以升级到支持SMB签名的更新 *** 作系统为止。有关如何禁用SMB签名的信息，请参阅本步骤结尾的“禁用SMB签名”部分。 *** 作计划下面的列表显示了常用SMB客户端的 *** 作计划：禁用SMB签名如果软件更新无法安装在运行Windows95、WindowsNT4.0的受影响的域控制器上，或者无法安装在引入WindowsServer2003之前安装的其他客户端上，请暂时禁用“组策略”中的SMB服务签名要求，直至可以部署更新的客户端软件为止。在域控制器组织单元的“默认域控制器”策略的以下节点中可以禁用SMB服务签名：ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies\SecurityOptions\MicrosoftNetworkServer:数字签名的通信(总是)如果域控制器不位哪帆于域控制器的组织单元中，则必须将默认域控制器的组策略对象(GPO)链接到所有承载Windows2000或WindowsServer2003域控制器的组织单元。或者，可以在链接到那些组织单元的GPO中配置SMB服务签名。MicrosoftWindowsServer2003、MicrosoftWindowsXPProfessional、MicrosoftWindows2000Server、MicrosoftWindows2000Professional和MicrosoftWindows98不需要裂帆执行任何 *** 作。MicrosoftWindowsNT4.0对于所有基于WindowsNT4.0的计算机，如果它们要访问肆缓雹包含有基于WindowsServer2003的计算机的域，请安装ServicePack3或更高版本（建议安装ServicePack6A）。或者，暂时在WindowsServer2003域控制器上禁用SMB签名。有关如何禁用SMB签名的信息，请参阅本步骤结尾的“禁用SMB签名”部分。MicrosoftWindows95在基于Windows95的计算机上安装Windows9x目录服务客户端，或者暂时在WindowsServer2003域控制器上禁用SMB签名。原始的Win9x目录服务客户端在Windows2000ServerCD-ROM上提供。但是，该客户端加载项已经由经过改进的Win9x目录服务客户端所取代。有关如何禁用SMB签名的信息，请参阅本步骤结尾的“禁用SMB签名”部分。MicrosoftNetworkClientforMS-DOS和MicrosoftLANManager客户端MicrosoftNetworkClientforMS-DOS和MicrosoftLANManager2.x网络客户端可用来提供对网络资源的访问，它们也可以与可启动软盘结合起来使用，作为软件安装例程的一部分复制文件服务器上的共享目录中的 *** 作系统文件和其他文件。这些客户端不支持SMB签名。请使用其他安装方法或者禁用SMB签名。有关如何禁用SMB签名的信息，请参阅本步骤结尾的“禁用SMB签名”部分。Macintosh客户端某些Macintosh客户端与SMB签名不兼容，它们在尝试连接到网络资源时将收到以下错误消息：-Error-36I/O请安装更新后的软件（如果已提供）。否则，请在WindowsServer2003域控制器上禁用SMB签名。有关如何禁用SMB签名的信息，请参阅本步骤结尾的“禁用SMB签名”部分。其他第三方SMB客户端某些第三方SMB客户端不支持SMB签名。请向您的SMB提供商咨询以了解是否存在更新的版本。否则，请在WindowsServer2003域控制器上禁用SMB签名。清点域和林中的域控制器：注意：域控制器的属性不分别跟踪每个修补程序的安装。验证整个林中的端到端ActiveDirectory复制。验证已升级的林中的每个域控制器是否始终按照站点链接或连接对象所定义的日程表复制它在本地控制的所有命名上下文及其伙伴。在林中的基于WindowsXP或WindowsServer2003的成员计算机上带以下参数使用WindowsServer2003版本的Repadmin.exe：REPADMIN/REPLSUM/BYSRC/BYDEST/SORT:DELTA<-outputformattedtofitonpageDestDClargestdeltafails/total%%errorNA-DC-0113d.21h:10m:10s97/14367(8240)ThereisnosuchobjectNA-DC-0213d.04h:11m:07s180/76323(8524)TheDSAoperationNA-DC-0312d.03h:54m:41s5/5100(8524)TheDSAoperation林中的所有域控制器必须安全地复制ActiveDirectory，并且repadmin输出中“LargestDelta”一列中的值不应明显大于给定目标域控制器所使用的对应站点链接或连接对象上的复制频率。解决未能在少于Tombstone生存时间(TSL)的天数（默认为60天）进行入站复制的域控制器之间的所有复制错误。如果无法使复制起作用，您可能需要强制性地使域控制器降级并使用Ntdsutil元数据清除命令从林中将它们删除，然后将它们重新提升到林中。可以使用强制性降级的方法来保存 *** 作系统安装和孤立的域控制器上的程序。有关如何从域中删除孤立的Windows2000域控制器的信息，请单击下面的文章编号，以查看Microsoft知识库中相应的文章：216498域控制器降级失败后如何删除ActiveDirectory中的数据只有在没有其他法时，才应采取此 *** 作来恢复 *** 作系统的安装和已安装的程序。您将失去孤立的域控制器上未复制的对象和属性，包括用户、计算机、信任关系、它们的密码、组和组成员关系。在尝试解决域控制器（未在大于tombstonelifetime的天数内复制某个特定ActiveDirectory分区的入站更改）上的复制错误时，一定要小心。进行该 *** 作时，您可能会恢复在一个域控制器上已经删除的对象，但对于这些对象，直接的或可传递的复制伙伴从未在前60天内收到该删除。考虑删除驻留在尚未在前60天内执行入站复制的域控制器上的所有延迟对象。或者，可以强制性地使在tombstone生存时间天数内未执行给定分区上的任何入站复制的域控制器降级，并使用Ntdsutil和其他实用工具从ActiveDirectory林中删除它们其余的元数据。请与您的支持提供商或MicrosoftPSS联系以获取其他帮助。验证Sysvol共享的内容是否一致。验证组策略的文件系统部分是否一致。可以使用资源工具包中的Gpotool.exe确定整个域的策略是否存在不一致。使用WindowsServer2003支持工具中的Healthcheck确定Sysvol共享副本集在每个域中是否正常运行。如果Sysvol共享的内容不一致，请解决所有的不一致。使用支持工具中的Dcdiag.exe验证所有域控制器是否具有共享的Netlogon和Sysvol共享。为此，请在命令提示符处键入以下命令：DCDIAG.EXE/e/test:frssysvol清点 *** 作角色。架构和结构 *** 作主机用于将林范围和域范围的架构更改引入到林及其由WindowsServer2003adprep实用工具创建的域中。验证承载林中每个域的架构角色和结构角色的域控制器是否驻留在活动域控制器上，并验证每个角色所有者是否已经在所有分区上一次重新启动后执行了这些分区上的入站复制。DCDIAG/test:FSMOCHECK命令可用于查看林范围和域范围的 *** 作角色。应通过使用NTDSUTIL将驻留在不存在的域控制器上的 *** 作主机角色获取至正常的域控制器上。如果可能，应当转移驻留在不正常域控制器上的角色。否则，应获取它们。NETDOMQUERYFSMO命令不标识驻留在已删除的域控制器上的FSMO角色。验证架构主机和每个结构主机是否已在上一次启动后执行了ActiveDirectory的入站复制。可以使用REPADMIN/SHOWREPSDCNAME命令来验证入站复制，其中DCNAME是NetBIOS计算机名称或域控制器的完全限定计算机名称。有关 *** 作主机及其位置的信息，请单击下面的文章编号，以查看Microsoft知识库中相应的文章：197132Windows2000ActiveDirectoryFSMO角色223346在ActiveDirectory域控制器上放置和优化FSMO事件日志查看检查所有域控制器的事件日志，查找有问题的事件。事件日志中绝对不能包含指示以下任何一个过程和组件有问题的严重事件消息：承载ActiveDirectory数据库文件Ntds.dit的卷上的可用空间必须至少等于Ntds.dit文件大小的15-20%。承载ActiveDirectory日志文件的卷上的可用空间也必须至少等于Ntds.dit文件大小的15-20%。有关如何释放磁盘空间的其他信息，请参阅本文的“磁盘空间不足的域控制器”部分。DNS清理（可选）以7天为间隔为林中的所有DNS服务器启用DNS清理。为了取得最佳效果，请在进行 *** 作系统升级前的61天或更早执行此 *** 作。这样，在对Ntds.dit文件执行脱机碎片整理时，就可以为DNS清理后台驻留程序提供足够的时间对过期的DNS对象进行垃圾回收。禁用DLTServer服务（可选）DLTServer服务在WindowsServer2003域控制器的新安装和升级安装上禁用。如果未使用分布式链接跟踪，则可在Windows2000域控制器上禁用DLTServer服务并开始从林中的每个域中删除DLT对象。有关其他信息，请参阅以下Microsoft知识库文章中的“Microsoft对分布式链接跟踪的建议”部分：

---