什么是域控

域控制器（Domain controller，简称DC）是指在计算机网络域内响应安全身份认证请求的网络服务器，负责允许发出请求的主机访问域内资源，以及对用户进行身份验证，存储用户账户信息，并执行域的安全策略。

域控制器( Domain controller，DC)是活动目录的存储位置,安装了活动目录的计算机称为域控制器。在第一次安装活动目录时,安装活动目录的那台计算机就成为域控制器,简称“域控”。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索等。

一个域可以有多个域控制器。为了获得高可用性和容错能力,规模较小的域只需两个域控制器,一个实际使用,另一个用于容错性检査规模较大的域可以使用多个域控制器。

在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的，必须要由网络管理员进行相应的设置，把这台电脑加入到域中。这样才能实现文件的共享。

一、软件

用于运行域控制器的软件和操作系统通常由几个跨平台共享的关键组件组成。这包括操作系统（通常是Windows Server或Linux）、LDAP服务（Red Hat Directory Server等）、网络时间服务（ntpd、chrony等）和计算机网络身份验证协议（通常是Kerberos）。

其他组件，例如公钥基础结构（Active Directory 证书服务、DogTag、OpenSSL）服务和域名系统（Windows DNS 或BIND ) 也可能包含在同一台服务器或另一个加入域的服务器上。

二、实施

域控制器通常部署为集群，以确保高可用性并最大限度地提高可靠性。在 Windows 环境中，一个域控制器充当主域控制器 (PDC)，而在域服务器中提升为域控制器状态的所有其他服务器作为备份域控制器 (BDC)。

在基于 Unix 的环境中，一台机器作为主域控制器，其他机器作为副本域控制器，定期从主域控制器复制数据库信息并以只读格式存储。

以上内容参考 百度百科-域控制器

一.域的作用：如果企业网络中计算机和用户数量较多时，要实现高效管理，就需要windows域。 创建域 。

二.域控安装：要建立域进行管理，首先需安装域控制器（dc），dc上存储着域中的信息资源，如名称、位置和特性描述等信息。通过在一台服务器上安装活动目录（AD），就会将这台计算机安装成dc。

安装条件：

1.安装者必须具有本地管理员的权限。

2.操作系统版本必须满足条件（Windows server2003除web以外的所有都满足）。 3.本地磁盘必须有一个NTFS文件系统

4.有TCP/IP设置

5.有相应的DNS服务器支持

6.有足够的可用空间

三.安装活动目录（AD）

1.打开ad开始--运行输入dcpromo

2.是否创建新域。dc有两种新域的域控和现有域的额外域控制器。一般选择新域的域控。

3.新域的DNS全名。如ruirui.com.cn

4.新域的NetBIOS名。下一步

5.数据库和日志文件夹。为了优化性能，可以将数据库和日志放在不同的硬盘上。该文件夹不一定在NTFS分区。如果本计算机是域的第一台域控，则sam数据库就会升级到C:\windows\ntds\ntds.dit，本地用户账户变成域用户账户。

6.共享的系统卷。共享系统卷SYSVOL文件夹存放的位置必须是NTFS文件系统。 7.DNS注册诊断。AD需要DNFS服务支持。

8.域兼容性。如果网络中不存在Windows server 2003 以前版本的域控制器，就选第二项。如果存在选第一项。

9.还原模式密码。目录服务还原模式的管理员密码，是在目录服务还原模式下登录系统时使用。由于目录服务还原模式下，所有的域账户用户都不能使用，只有使用这个还原模式管理员账户登录。

10.安装完成后需重启计算机。

前面讲解了怎样创建windows域，现在完善一下，讲解怎样将计算机加入域。 在安装完AD后，需要将其它的服务器和客户计算机加入到域中。一般情况下，在从客户计算机加入域时，会在域中自动创建计算机账号。不过，用户必须在本地客户计算机上拥有管理权限才能将其加入到域中。

在加入域之前，首先检查客户机的网络配置：

1.确保网络上物理连通

2.设置IP地址

3.检查客户机到服务器是否连通 4.配置客户机的首选DNS服务器（通常为第一台DC的IP） 在客户端计算机系统属性中的“计算机名”选项卡里，单击更改按钮可以打开计算机加入域的对话框，选中域后，输入正确的域名，然后再根据提示输入具有加入域权限的用户名和密码即可。 这样就OK了！将客户机加入域，就可以在客户机上，使用域账户加入到域，也可以使用客户机的本地用户账户登录到域。 前面一直提到DNS，下面讲解DNS在域中的作用。

DNS在域中有两个作用： 域名的命名采用DNS的标准、定位DC。

1、域名的命名采用DNS标准。公司要创建第一个域，域名为ruirui.com.cn。上海分公司要成为子域，域名为sh.ruirui.com.cn。这些都遵循DNS分布式、等级结构的标准。这体现了办公网络与Internet集成的理念。

2、客户机如何定位DC。当域用户账户登陆时或者查找活动目录时，首先要定位DC，这需要DNS服务器支持，

主要步骤： 1）客户机发送DNS查询请求给DNS服务器。

2）DNS服务器查询匹配的SRV资源记录。

3）DNS服务器返回相关DC的ip地址列表给客户机。

4）客户机联系到DC

5）DC响应客户机的请求 DNS在活动目录中为什么能起到定位DC的作用

。 主要靠域的DNS区域中的SPV资源记录。开始--程序--管理工具--DNS，打开DNS管理器，就是SRV资源记录。

域管理就是通过域控制器来管理域中的计算机。

简单点来说，就是现实共享！

要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互看到是远远不够的，必须要由网络管理员进行相应的设置，把这台电脑加入到域中。这样才能实现文件的共享。

---