Windows 08 R2_创建AD DS域服务(图文详解)

Windows 08 R2_创建AD DS域服务(图文详解)

目录

​​目录​​​​Active Directory概念​​​​创建第一个AD域控制器​​

​​搭建DNS服务器​​​​使用Windows窗口程序创建AD域控制器​​​​AD与LDAP的关系​​​​使用Powershell来创建ADDS域控制器​​​​检查ADDC域控制器是否安装成功​​​​管理工具​​

​​创建额外域控制器​​

​​使用Windows窗口界面来安装额外域控制器​​​​使用Powershell脚本来安装额外域控制器​​

Active Directory概念

​AD(活动目录)​：是一种组织资源信息的方法，目录的意义在于我们可以通过​标题​或者说​搜索条件​来简单而有效率的在大量数据中查找匹配的信息。支撑这种信息检索的技术就是LDAP协议。

​AD域​：为了避免账户数据量过大造成的管理不便，我们会将所有的账户数据按照​域​的概念来划分，再分别对每一个​域​进行管理。​一般AD域或与DNS域挂钩​。

​AD DS(Active Directory Domain Server)​：活动目录域服务，是一种Win08R2服务器所提供的服务，由​AD域控制器来实现​。应用了AD的信息检索思维，能够高效快速的处理庞大的账户数据。​实现了统一集中管理企业员工账号信息，做到单点登录，多处访问​。值得注意的是，因为AD DS要管理大量的账户信息，所以就决定了AD DS需要一个数据库来支撑整个服务，而这个扮演数据库的角色就是存在于​AD域控制器中的AD数据库​。

​AD域控制器​：AD域控制器包含了​AD数据库​，用于存储AD域内的账号数据，提供了对数据的增删查改功能。而且AD域控制器也提供了AD DS服务，所以安装一个AD域控制器，等效于创建了AD DS域服务。

​NOTE​：AD服务器最主要的好处在于：

1. 集中管理账号，应用程序等计算机资源。

2. 域账号能够实现单点的远程登陆。

​AD与DNS的关系​：域控制器需要将自己注册到DNS服务器中，以便其他的计算机可以通过DNS解析服务来找到这台域控制器从而实现登录信息验证，而且此DNS服务器最好支持动态更新功能。所以AD服务需要有DNS服务的支撑，否则也可以通过修改Hosts来实现上述的功能。

创建第一个AD域控制器

​准备工作​：

1.选择一个DNS域名Jmilk.com

2.准备一台用来支撑AD DS的DNS服务器

搭建DNS服务器

当我们部署成为AD DS服务角色时，系统会自动在该服务器中安装DNS服务角色，并且系统还会自动在DNS服务器中创建一个支持AD DS的区域。该区域也会自动开启安全动态更新。

​具体的DNS安装和使用，​​点这里​​​

因为这是服务器上的第一台域控制器，所以本次升级会同时完成下列操作：

使用Windows窗口程序创建AD域控制器

​Step1​在​服务器管理器​中添加​AD域服务​角色，安装必要的软件环境

​Step4​：选择在新林中创建域

​Step5​：输入新建域的域名，一般填入DNS已有域的域名。我这里填写DNS服务器中已有的jmilk.com二级域。这个二级域也会作为林中的根域。

​Step6​：安装向导会自动的要求设置一个NetBIOS格式的域名，为了一些旧版本的服务器能够通过NetBIOS来访问此资源。名字不区分大小写。

​Step7​：选择 Windows Server 2008 R2的林功能级别

​Step8​：如果已经在服务器上安装过DNS的话，直接下一步。否则，需要安装DNS服务器。而且第一台域控制器会具有全局编录的功能。

​全局编录​：在域树内的所有AD域都共享同一个AD数据库，但是在AD数据库中的数据却是分散到各个域内的，每一个域只存储其自身的数据。这样会造成不便于查找别域的资源，而全局编录就是为了避免这个问题。在全局编录中存储了林内所有AD域中的账号的部分属性，而这部分属性通常是便于搜索此对象的。例如：账号名称、UPN、电话号码等唯一的标识。​有了全局编录不管用户存在那一个域中，都可以很快捷的查找其他域内的资源。​

​Step9​：选择存放AD数据库的路径

​Step10​：设置一个AD DS的还原密码(强密码)，使用该密码可以进入安全模式，在该模式下可以对AD进行修复。

​Step11​：下一步直到手动重启服务。至此ADDS域控制器安装完成。在完成域控制器的安装后，会自动的将该服务器的用户账号转移到AD数据库中。

​注意​：如果在安装AD DS域控制器之前已经安装了DNS服务的话，需要将DNS域与AD DS集成

这样才能够将AD DS域控制器和DNS域关联

AD与LDAP的关系

LDAP是一种用来访问AD数据库的目录服务协议，ADDS会通过LDAP名称路径来表示对象在AD数据库中的位置，以便用它来访问AD数据库内的对象。LDAP的名称路径包括有DN、RDN。

​1. DN是AD数据库内的完整路径，​下面是一个例子：

​林小洋​是一用户账号，其DN为：CN=林小洋、OU=业务一组、OU=业务部、DC=sayms、DC=com 。其中DC表示DNS域名中的组件，OU表示组织单位，CN表示普通名称。

整个DN表示：用户林小洋的账号存储在sayms.com\业务部\业务一组的路径下。

​2. RDN它是在DN完整路径中的部分路径​，例如上面的DN中，CN=林小洋就是RDN

使用Powershell来创建ADDS域控制器

编辑Powershell代码文件installADDSControl.ps1

dcpromo /unattend /InstallDns:yes /newDomain:forest /replicaOrNewDomain:domain /newDomainDnsName:jmilk.com /DomainNetbiosName:JMILK /forestLevel:4 /domainLevel:4 /createNDSDelegation:no /databasePath:"%SystemRoot%\NTDS" /logPath:"%SystemRoot%\NTDS" /sysvolpath:"%SystemRoot%\SYSVOL" /safeModeAdminPassword:fanguiju383.com /rebootOnCompletion:yes

​注意​：Windows Server出于安全考虑会禁止执行Powershell Script，需要手动打开。

在Powershell执行下面的指令：

Set-ExecutionPolicy Unrestricted

检查ADDC域控制器是否安装成功

​Step1​：检查DNS服务器内的日志是否完整

查看DNS域jmilk.com是否存在ADDS域控制器所在的HOST的资源记录。

​Step2​：检查SRV日志，如果域控制器成功注册到DNS服务的话，会在jmilk.com域中看见_tcp、_udp的文件夹。

_tcp文件夹右方的数据类型为服务位置(SRV)的_ldap记录。表示dns1.jmilk.com已经成功注册为域控制器。_gc记录表示dns1.jmilk.com为全局编录服务器。

​注意：​当DNS区域内存在这些记录后，所有加入此域的计算机，就可以通过区域解析功能，来找到ADDC域控制器为dns1.jmilk.com 。

​使用nslookup来检查SRV日志​：

如果使用nslookup指令能够成功解析_ldap._tcp.dc._msdcs.jmilk.com

C:\Users\Administrator>nslookupDNS request timed out. timeout was 2 seconds.默认服务器: UnKnownAddress: ::1> set type=srv> _ldap._tcp.dc._msdcs.jmilk.com服务器: UnKnownAddress: ::1_ldap._tcp.dc._msdcs.jmilk.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = dns1.jmilk.comdns1.jmilk.com internet address = 192.168.1.100

​检查AD数据库存储文件​：

1. ​运行​：Run –> ​%systemroot%\ntds​

图中的ntds.dit文件就是AD数据库文件，.log文件就是日志文件(扩展名默认会隐藏)。

2. ​运行​：Run –> ​%systemroot%\SYSVOL​

查看存储域的SYSVOL文件夹中是否有sysvol文件夹，并且sysvol文件夹和其子文件夹script都必须是共享文件夹。使用​net share​指令可以查看共享文件夹列表。

C:\Users\Administrator>net share共享名 资源 注解----------------------------------------------------------------------C$ C:\ 默认共享IPC$ 远程 IPCADMIN$ C:\Windows 远程管理NETLOGON C:\Windows\SYSVOL\sysvol\jmilk.com\SCRIPTS Logon server shareSYSVOL C:\Windows\SYSVOL\sysvol Logn server share

管理工具

这些管理工具能够为管理ADDS域带来极大的便利。

​例如：​我们可以通过事件查看器工具来查看事件日志文件，以便检查任何跟ADDS有关的问题。

创建额外域控制器

额外域控制器一般安装在另一台物理服务器(HOST2)中，作为AD DS的域控制器(HOST1)的备份而存在。这两个域控制器都存在于同一个AD根域中，额外域控制器有下面几点好处：

改善用户的登录效率(LB)提供容错功能(HA)

在安装额外域控制器时，我们需要将​AD数据库​由现有的域控制器复制到额外域控制器中。Win08R2提供了两种复制AD数据库的方式。

通过网络直接复制，但是当AD数据库非常庞大的话需要很长的时间。通过安装媒体，即通过U盘、DVD等方式来复制AD数据库。

使用Windows窗口界面来安装额外域控制器

​Step1​：在HOST2能够Ping通HOST1的情况下参照上述的安装方法在HOST2中安装AD域服务。​注意安装域控制器和额外域控制器也存在着个别不同的地方。具体如下：​

1). 选择现有的林

4). 选择额外域控制器的AD DS站点

​站点​：是由一个或数个IP子网所组成的。一般站点都是LAN(局域网)内的计算机。

6). 选择​通过网络​的AD数据库复制方式

7). 完成额外域控制器的安装后重启电脑

使用Powershell脚本来安装额外域控制器

创建Powershell脚本文件InstallReplicaADDSControl.ps1

dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName:jmilk.com /siteName:Default-First-site-Name /InstallDns:yes /confirmGC:yes /createNDSDelegation:no /userDomain:jmilk.com /userName:jmilk.com\administrator /password:fanguiju383.com /databasePath:"%SystemRoot%\NTDS" /logPath:"%SystemRoot%\NTDS" /sysvolpath:"%SystemRoot%\SYSVOL" /safeModeAdminPassword:fanguiju383.com /rebootOnCompletion:yes

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。