app开发者平台在数字化时代的重要性与发展趋势解析
1354
2022-09-15
Windows 08 R2_创建AD DS域服务(图文详解)
目录
目录Active Directory概念创建第一个AD域控制器
搭建DNS服务器使用Windows窗口程序创建AD域控制器AD与LDAP的关系使用Powershell来创建ADDS域控制器检查ADDC域控制器是否安装成功管理工具
创建额外域控制器
使用Windows窗口界面来安装额外域控制器使用Powershell脚本来安装额外域控制器
Active Directory概念
AD(活动目录):是一种组织资源信息的方法,目录的意义在于我们可以通过标题或者说搜索条件来简单而有效率的在大量数据中查找匹配的信息。支撑这种信息检索的技术就是LDAP协议。
AD域:为了避免账户数据量过大造成的管理不便,我们会将所有的账户数据按照域的概念来划分,再分别对每一个域进行管理。一般AD域或与DNS域挂钩。
AD DS(Active Directory Domain Server):活动目录域服务,是一种Win08R2服务器所提供的服务,由AD域控制器来实现。应用了AD的信息检索思维,能够高效快速的处理庞大的账户数据。实现了统一集中管理企业员工账号信息,做到单点登录,多处访问。值得注意的是,因为AD DS要管理大量的账户信息,所以就决定了AD DS需要一个数据库来支撑整个服务,而这个扮演数据库的角色就是存在于AD域控制器中的AD数据库。
AD域控制器:AD域控制器包含了AD数据库,用于存储AD域内的账号数据,提供了对数据的增删查改功能。而且AD域控制器也提供了AD DS服务,所以安装一个AD域控制器,等效于创建了AD DS域服务。
NOTE:AD服务器最主要的好处在于:
1. 集中管理账号,应用程序等计算机资源。
2. 域账号能够实现单点的远程登陆。
AD与DNS的关系:域控制器需要将自己注册到DNS服务器中,以便其他的计算机可以通过DNS解析服务来找到这台域控制器从而实现登录信息验证,而且此DNS服务器最好支持动态更新功能。所以AD服务需要有DNS服务的支撑,否则也可以通过修改Hosts来实现上述的功能。
创建第一个AD域控制器
准备工作:
1.选择一个DNS域名Jmilk.com
2.准备一台用来支撑AD DS的DNS服务器
搭建DNS服务器
当我们部署成为AD DS服务角色时,系统会自动在该服务器中安装DNS服务角色,并且系统还会自动在DNS服务器中创建一个支持AD DS的区域。该区域也会自动开启安全动态更新。
具体的DNS安装和使用,点这里
因为这是服务器上的第一台域控制器,所以本次升级会同时完成下列操作:
使用Windows窗口程序创建AD域控制器
Step1在服务器管理器中添加AD域服务角色,安装必要的软件环境
Step4:选择在新林中创建域
Step5:输入新建域的域名,一般填入DNS已有域的域名。我这里填写DNS服务器中已有的jmilk.com二级域。这个二级域也会作为林中的根域。
Step6:安装向导会自动的要求设置一个NetBIOS格式的域名,为了一些旧版本的服务器能够通过NetBIOS来访问此资源。名字不区分大小写。
Step7:选择 Windows Server 2008 R2的林功能级别
Step8:如果已经在服务器上安装过DNS的话,直接下一步。否则,需要安装DNS服务器。而且第一台域控制器会具有全局编录的功能。
全局编录:在域树内的所有AD域都共享同一个AD数据库,但是在AD数据库中的数据却是分散到各个域内的,每一个域只存储其自身的数据。这样会造成不便于查找别域的资源,而全局编录就是为了避免这个问题。在全局编录中存储了林内所有AD域中的账号的部分属性,而这部分属性通常是便于搜索此对象的。例如:账号名称、UPN、电话号码等唯一的标识。有了全局编录不管用户存在那一个域中,都可以很快捷的查找其他域内的资源。
Step9:选择存放AD数据库的路径
Step10:设置一个AD DS的还原密码(强密码),使用该密码可以进入安全模式,在该模式下可以对AD进行修复。
Step11:下一步直到手动重启服务。至此ADDS域控制器安装完成。在完成域控制器的安装后,会自动的将该服务器的用户账号转移到AD数据库中。
注意:如果在安装AD DS域控制器之前已经安装了DNS服务的话,需要将DNS域与AD DS集成
这样才能够将AD DS域控制器和DNS域关联
AD与LDAP的关系
LDAP是一种用来访问AD数据库的目录服务协议,ADDS会通过LDAP名称路径来表示对象在AD数据库中的位置,以便用它来访问AD数据库内的对象。LDAP的名称路径包括有DN、RDN。
1. DN是AD数据库内的完整路径,下面是一个例子:
林小洋是一用户账号,其DN为:CN=林小洋、OU=业务一组、OU=业务部、DC=sayms、DC=com 。其中DC表示DNS域名中的组件,OU表示组织单位,CN表示普通名称。
整个DN表示:用户林小洋的账号存储在sayms.com\业务部\业务一组的路径下。
2. RDN它是在DN完整路径中的部分路径,例如上面的DN中,CN=林小洋就是RDN
使用Powershell来创建ADDS域控制器
编辑Powershell代码文件installADDSControl.ps1
dcpromo /unattend /InstallDns:yes /newDomain:forest /replicaOrNewDomain:domain /newDomainDnsName:jmilk.com /DomainNetbiosName:JMILK /forestLevel:4 /domainLevel:4 /createNDSDelegation:no /databasePath:"%SystemRoot%\NTDS" /logPath:"%SystemRoot%\NTDS" /sysvolpath:"%SystemRoot%\SYSVOL" /safeModeAdminPassword:fanguiju383.com /rebootOnCompletion:yes
注意:Windows Server出于安全考虑会禁止执行Powershell Script,需要手动打开。
在Powershell执行下面的指令:
Set-ExecutionPolicy Unrestricted
检查ADDC域控制器是否安装成功
Step1:检查DNS服务器内的日志是否完整
查看DNS域jmilk.com是否存在ADDS域控制器所在的HOST的资源记录。
Step2:检查SRV日志,如果域控制器成功注册到DNS服务的话,会在jmilk.com域中看见_tcp、_udp的文件夹。
_tcp文件夹右方的数据类型为服务位置(SRV)的_ldap记录。表示dns1.jmilk.com已经成功注册为域控制器。_gc记录表示dns1.jmilk.com为全局编录服务器。
注意:当DNS区域内存在这些记录后,所有加入此域的计算机,就可以通过区域解析功能,来找到ADDC域控制器为dns1.jmilk.com 。
使用nslookup来检查SRV日志:
如果使用nslookup指令能够成功解析_ldap._tcp.dc._msdcs.jmilk.com
C:\Users\Administrator>nslookupDNS request timed out. timeout was 2 seconds.默认服务器: UnKnownAddress: ::1> set type=srv> _ldap._tcp.dc._msdcs.jmilk.com服务器: UnKnownAddress: ::1_ldap._tcp.dc._msdcs.jmilk.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = dns1.jmilk.comdns1.jmilk.com internet address = 192.168.1.100
检查AD数据库存储文件:
1. 运行:Run –> %systemroot%\ntds
图中的ntds.dit文件就是AD数据库文件,.log文件就是日志文件(扩展名默认会隐藏)。
2. 运行:Run –> %systemroot%\SYSVOL
查看存储域的SYSVOL文件夹中是否有sysvol文件夹,并且sysvol文件夹和其子文件夹script都必须是共享文件夹。使用net share指令可以查看共享文件夹列表。
C:\Users\Administrator>net share共享名 资源 注解----------------------------------------------------------------------C$ C:\ 默认共享IPC$ 远程 IPCADMIN$ C:\Windows 远程管理NETLOGON C:\Windows\SYSVOL\sysvol\jmilk.com\SCRIPTS Logon server shareSYSVOL C:\Windows\SYSVOL\sysvol Logn server share
管理工具
这些管理工具能够为管理ADDS域带来极大的便利。
例如:我们可以通过事件查看器工具来查看事件日志文件,以便检查任何跟ADDS有关的问题。
创建额外域控制器
额外域控制器一般安装在另一台物理服务器(HOST2)中,作为AD DS的域控制器(HOST1)的备份而存在。这两个域控制器都存在于同一个AD根域中,额外域控制器有下面几点好处:
改善用户的登录效率(LB)提供容错功能(HA)
在安装额外域控制器时,我们需要将AD数据库由现有的域控制器复制到额外域控制器中。Win08R2提供了两种复制AD数据库的方式。
通过网络直接复制,但是当AD数据库非常庞大的话需要很长的时间。通过安装媒体,即通过U盘、DVD等方式来复制AD数据库。
使用Windows窗口界面来安装额外域控制器
Step1:在HOST2能够Ping通HOST1的情况下参照上述的安装方法在HOST2中安装AD域服务。注意安装域控制器和额外域控制器也存在着个别不同的地方。具体如下:
1). 选择现有的林
4). 选择额外域控制器的AD DS站点
站点:是由一个或数个IP子网所组成的。一般站点都是LAN(局域网)内的计算机。
6). 选择通过网络的AD数据库复制方式
7). 完成额外域控制器的安装后重启电脑
使用Powershell脚本来安装额外域控制器
创建Powershell脚本文件InstallReplicaADDSControl.ps1
dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName:jmilk.com /siteName:Default-First-site-Name /InstallDns:yes /confirmGC:yes /createNDSDelegation:no /userDomain:jmilk.com /userName:jmilk.com\administrator /password:fanguiju383.com /databasePath:"%SystemRoot%\NTDS" /logPath:"%SystemRoot%\NTDS" /sysvolpath:"%SystemRoot%\SYSVOL" /safeModeAdminPassword:fanguiju383.com /rebootOnCompletion:yes
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
暂时没有评论,来抢沙发吧~