AD域服务器配置手册剖析.doc

《AD域服务器配置手册剖析.doc》由会员分享，可在线阅读，更多相关《AD域服务器配置手册剖析.doc（41页珍藏版）》请在三一办公上搜索。

1、Windows Terminal Service终端服务器安装配置文档一 ： 将服务器提升为域服务器如果你的Win2003高级服务器版，没有升级到域控制器，就是nt下常说的dc。在开始菜单的管理工具中选择“配置服务器”。next选择“active directory”。下一步选择“启动active directory向导”。nextnext默认即可。nextnextnext这里指定一个dns名机子会去搜寻dns服务器，next我的输入kelaode，你们自定。默认得，nextnext确定。这里我不配置dns，根据自己的情况配置。next默认即可。nextnextnext这个需要一些时间。完成。

2、重起。二 ： 用户登录1：设置策略组添加受策略控制组时注意画圈位置，必须使用“应用组策略”，否则策略不能生效右面，可以继续“添加”受此策略控制的组，该组现可管理“政治处”和“指挥处”两个组2：编辑策略组交互登录设置（1）编辑本地策略（如在“管理策略”），添加“通过终端服务容许登录”和“允许本地登录“（2）打开“开始-管理工具-域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“（下图）（3）打开“默认域安全策略”，在下图中添加远程登录的组此时，即可已完成交互登录的设定！受策略控制组的权限设定1：Netmeeting 禁止文件发送设定 2： 在“管理模板资源管理器”中做磁盘访问权限设定，

3、网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定禁用注册表设定，禁用命令提示符，禁止自动播放等在“系统”中如图设定桌面禁用“我的文档、我的电脑、回收站”等属性设定，在“用户配置-管理模板-桌面”中如下配置控制面板设定1、 完全禁用控制面板设定， 将“禁止访问控制面板“起用”即可！2、控制面板部分禁用设定，不起用“禁止访问控制面板”，然后在起用“直显示指定控制面板程序”，并添加相应的程序名，只显示“键盘、鼠标和 字体”等设定如下如，添加 intl.cpl 为只显示“字体”，添加 main.cpl为显示键盘和鼠标！设置后效果如下图：控制面板程序对照表(见最后附加表)禁止添加删除程序设定

4、，如下图：打印机添加设定在“控制面板打印机”中，可进行禁止用户添加、删除打印机设定，如下图Ctrl+Alt+Del设定使用Ctrl+Alt+Del时，只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定，将“注销“添加到开始菜单的设定，开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定，如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令！网络设定禁止普通用户访问Tcp/IP高级设置，禁用新建连接，禁止访问LAN连接属性等的设置文件夹重定向1. 网络设定：注意DNS设定！2. 重定向文件夹权限设定此处注

5、意，最好加入Domain User的共享权限（默认为Everyone）为完全控制，否则会发生不能重定向的现象。（出现的问题为：访问被拒绝，或不能决定重定向类型）3. 文件夹重定向设定3-1 Application Date重定向 注意：此处设定时安全组为Domain User ,根路径为重定向文件服务器的共享目录！文件夹位置处默认为“在根路径为每用户创建一个文件夹）上见图片圆圈处！3-2桌面重定向、我的文档重定向等（同图3-1）设定！3-3开始菜单重定向由于目标文件夹位置没有“在根路径为每用户创建一个文件夹”项，所以在路径处输入为“vipshare%username%”，此时用户的开始菜单便只

6、会存在于用户目录下！如果仅输入“vipshare”则会使用户的开始菜单为公共目录，每个人的个性设定就会影响到其他人！4. 重定向后的问题如图所示，重定向后开始菜单会有公共文件夹出现，如果不想看见，可通过终端服务器负载均衡设置终端服务器的负载均衡有两种方法。l 在域控制器中的DNS设置IP轮询。l 终端服务器中设置网络负载均衡或使用网络负载平衡管理器；以上方法均可实现终端服务器的负载均衡。并且都可以实现终端客户机和终端服务器失去连接后，自动和其它终端服务器连接，终端服务器的NLB和负载平衡管理器重新连接的速度要比DNS IP轮询快些方法一：设置域控制器的DNS轮询在域控制器的DNS设置中，正向查

7、找区域相应位置增加主机。名称cluster是终端客户访问终端服务器的名称，IP是第一台终端服务器的IP地址。再增加一台主机，名称同样为cluster，IP为第二台终端服务器的IP地址。方法二：设置终端服务器NLBNLB设置有两种方法：1、管理工具网络负载平衡管理器；2、在终端服务器的网卡设置中直接设置。在终端服务器的网卡上设置NLB操作步骤较少。在终端服务器1的网卡上启用网络负载均衡，并选择属性。输入NLB集群的虚拟IP地址和名称，1921681121032552552550Cluster.domain.local如果是单块网卡，选择多播，否则NLB无法工作。主机参数中输入优先级（每终端服务器

8、唯一）、本机网卡的IP设置。在此网卡的TCP/IP属性中选择高级，添加NLB虚拟IP地址，此处为192.168.112.103在终端服务器2上完成同样配置此时，终端客户可以通过虚拟IP地址192.168.112.103访问终端服务。如需要通过虚拟主机名访问，需在域控制器的DNS设置中增加一条主机记录。域控制器的DNS设置中增加一条主机记录。名称：cluster；IP：192.168.112.103。主机记录增加完成后，选择cluster记录的属性，选择安全。增加终端服务器nlb1和nlb2，同时添加写入权限给此二台终端服务器。1.1.1 Session Directory配置配置会话目录的目的

9、是当终端服务器和终端客户机的连接断开后，终端客户机重新登录时，此时由于有多台终端服务器，会话目录保证断开连接的终端客户可以连接到正确的终端服务器，使终端客户连接到断开前的会话。会话目录设置分为服务器设置和终端服务器上的设置。在域控制器中，启动Terminal Services Session Directory服务。Active Directory用户和计算机中，找到Session Directory Computers用户组，在组中增加nlb1和nlb2，使终端服务器可以使用Session Directory在终端服务器nlb1上，选择终端服务配置服务器设置会话目录上右键选择属性。选择加入会

10、话目录，在集群名中填入cluster.domain.local，会话目录服务器名中填入win2003。在nlb2终端服务器进行同样设置。会话目录设置完成将终端服务器加入session derictory组里面后，在域控制器上用负载均衡管理器检查是否所有节点是否被激活，里面会看到具体的状态。附加控制面板程序对应表运行程序运行命令辅助功能选项access.cpl添加硬件向导hdwwiz.cpl添加或删除程序appwiz.cpl自动更新wuaucpl.cpl计算器calc日期和时间属性timedate.cpl显示属性desk.cpl游戏控制joy.cplInternet属性inetcpl.cplODBC数据源管理器odbccp32.cpl电话与调制解调器选项telephon.cpl电源选项属性powercfg.cpl打印机和传真control printers区域和语言选项intl.cpl扫描仪与相机sticpl.cpl声音和音频设备属性mmsys.cpl辅助工具管理器utilmanWindows防火墙firewall.cplNetware客户端连接Nwc.cpl 邮件 Mlcfg.cpl传真向导Fax.cpl 写字板write