Windows 08 R2_创建AD DS域服务(图文详解)

网友投稿 1372 2022-09-15

Windows 08 R2_创建AD DS域服务(图文详解)

Windows 08 R2_创建AD DS域服务(图文详解)

目录

​​目录​​​​Active Directory概念​​​​创建第一个AD域控制器​​

​​搭建DNS服务器​​​​使用Windows窗口程序创建AD域控制器​​​​AD与LDAP的关系​​​​使用Powershell来创建ADDS域控制器​​​​检查ADDC域控制器是否安装成功​​​​管理工具​​

​​创建额外域控制器​​

​​使用Windows窗口界面来安装额外域控制器​​​​使用Powershell脚本来安装额外域控制器​​

Active Directory概念

​AD(活动目录)​:是一种组织资源信息的方法,目录的意义在于我们可以通过​标题​或者说​搜索条件​来简单而有效率的在大量数据中查找匹配的信息。支撑这种信息检索的技术就是LDAP协议。

​AD域​:为了避免账户数据量过大造成的管理不便,我们会将所有的账户数据按照​域​的概念来划分,再分别对每一个​域​进行管理。​一般AD域或与DNS域挂钩​。

​AD DS(Active Directory Domain Server)​:活动目录域服务,是一种Win08R2服务器所提供的服务,由​AD域控制器来实现​。应用了AD的信息检索思维,能够高效快速的处理庞大的账户数据。​实现了统一集中管理企业员工账号信息,做到单点登录,多处访问​。值得注意的是,因为AD DS要管理大量的账户信息,所以就决定了AD DS需要一个数据库来支撑整个服务,而这个扮演数据库的角色就是存在于​AD域控制器中的AD数据库​。

​AD域控制器​:AD域控制器包含了​AD数据库​,用于存储AD域内的账号数据,提供了对数据的增删查改功能。而且AD域控制器也提供了AD DS服务,所以安装一个AD域控制器,等效于创建了AD DS域服务。

​NOTE​:AD服务器最主要的好处在于:

1. 集中管理账号,应用程序等计算机资源。

2. 域账号能够实现单点的远程登陆。

​AD与DNS的关系​:域控制器需要将自己注册到DNS服务器中,以便其他的计算机可以通过DNS解析服务来找到这台域控制器从而实现登录信息验证,而且此DNS服务器最好支持动态更新功能。所以AD服务需要有DNS服务的支撑,否则也可以通过修改Hosts来实现上述的功能。

创建第一个AD域控制器

​准备工作​:

1.选择一个DNS域名Jmilk.com

2.准备一台用来支撑AD DS的DNS服务器

搭建DNS服务器

当我们部署成为AD DS服务角色时,系统会自动在该服务器中安装DNS服务角色,并且系统还会自动在DNS服务器中创建一个支持AD DS的区域。该区域也会自动开启安全动态更新。

​具体的DNS安装和使用,​​点这里​​​

因为这是服务器上的第一台域控制器,所以本次升级会同时完成下列操作:

使用Windows窗口程序创建AD域控制器

​Step1​在​服务器管理器​中添加​AD域服务​角色,安装必要的软件环境

​Step4​:选择在新林中创建域

​Step5​:输入新建域的域名,一般填入DNS已有域的域名。我这里填写DNS服务器中已有的jmilk.com二级域。这个二级域也会作为林中的根域。

​Step6​:安装向导会自动的要求设置一个NetBIOS格式的域名,为了一些旧版本的服务器能够通过NetBIOS来访问此资源。名字不区分大小写。

​Step7​:选择 Windows Server 2008 R2的林功能级别

​Step8​:如果已经在服务器上安装过DNS的话,直接下一步。否则,需要安装DNS服务器。而且第一台域控制器会具有全局编录的功能。

​全局编录​:在域树内的所有AD域都共享同一个AD数据库,但是在AD数据库中的数据却是分散到各个域内的,每一个域只存储其自身的数据。这样会造成不便于查找别域的资源,而全局编录就是为了避免这个问题。在全局编录中存储了林内所有AD域中的账号的部分属性,而这部分属性通常是便于搜索此对象的。例如:账号名称、UPN、电话号码等唯一的标识。​有了全局编录不管用户存在那一个域中,都可以很快捷的查找其他域内的资源。​

​Step9​:选择存放AD数据库的路径

​Step10​:设置一个AD DS的还原密码(强密码),使用该密码可以进入安全模式,在该模式下可以对AD进行修复。

​Step11​:下一步直到手动重启服务。至此ADDS域控制器安装完成。在完成域控制器的安装后,会自动的将该服务器的用户账号转移到AD数据库中。

​注意​:如果在安装AD DS域控制器之前已经安装了DNS服务的话,需要将DNS域与AD DS集成

这样才能够将AD DS域控制器和DNS域关联

AD与LDAP的关系

LDAP是一种用来访问AD数据库的目录服务协议,ADDS会通过LDAP名称路径来表示对象在AD数据库中的位置,以便用它来访问AD数据库内的对象。LDAP的名称路径包括有DN、RDN。

​1. DN是AD数据库内的完整路径,​下面是一个例子:

​林小洋​是一用户账号,其DN为:CN=林小洋、OU=业务一组、OU=业务部、DC=sayms、DC=com 。其中DC表示DNS域名中的组件,OU表示组织单位,CN表示普通名称。

整个DN表示:用户林小洋的账号存储在sayms.com\业务部\业务一组的路径下。

​2. RDN它是在DN完整路径中的部分路径​,例如上面的DN中,CN=林小洋就是RDN

使用Powershell来创建ADDS域控制器

编辑Powershell代码文件installADDSControl.ps1

dcpromo /unattend /InstallDns:yes /newDomain:forest /replicaOrNewDomain:domain /newDomainDnsName:jmilk.com /DomainNetbiosName:JMILK /forestLevel:4 /domainLevel:4 /createNDSDelegation:no /databasePath:"%SystemRoot%\NTDS" /logPath:"%SystemRoot%\NTDS" /sysvolpath:"%SystemRoot%\SYSVOL" /safeModeAdminPassword:fanguiju383.com /rebootOnCompletion:yes

​注意​:Windows Server出于安全考虑会禁止执行Powershell Script,需要手动打开。

在Powershell执行下面的指令:

Set-ExecutionPolicy Unrestricted

检查ADDC域控制器是否安装成功

​Step1​:检查DNS服务器内的日志是否完整

查看DNS域jmilk.com是否存在ADDS域控制器所在的HOST的资源记录。

​Step2​:检查SRV日志,如果域控制器成功注册到DNS服务的话,会在jmilk.com域中看见_tcp、_udp的文件夹。

_tcp文件夹右方的数据类型为服务位置(SRV)的_ldap记录。表示dns1.jmilk.com已经成功注册为域控制器。_gc记录表示dns1.jmilk.com为全局编录服务器。

​注意:​当DNS区域内存在这些记录后,所有加入此域的计算机,就可以通过区域解析功能,来找到ADDC域控制器为dns1.jmilk.com 。

​使用nslookup来检查SRV日志​:

如果使用nslookup指令能够成功解析_ldap._tcp.dc._msdcs.jmilk.com

C:\Users\Administrator>nslookupDNS request timed out. timeout was 2 seconds.默认服务器: UnKnownAddress: ::1> set type=srv> _ldap._tcp.dc._msdcs.jmilk.com服务器: UnKnownAddress: ::1_ldap._tcp.dc._msdcs.jmilk.com SRV service location: priority = 0 weight = 100 port = 389 svr hostname = dns1.jmilk.comdns1.jmilk.com internet address = 192.168.1.100

​检查AD数据库存储文件​:

1. ​运行​:Run –> ​%systemroot%\ntds​

图中的ntds.dit文件就是AD数据库文件,.log文件就是日志文件(扩展名默认会隐藏)。

2. ​运行​:Run –> ​%systemroot%\SYSVOL​

查看存储域的SYSVOL文件夹中是否有sysvol文件夹,并且sysvol文件夹和其子文件夹script都必须是共享文件夹。使用​net share​指令可以查看共享文件夹列表。

C:\Users\Administrator>net share共享名 资源 注解----------------------------------------------------------------------C$ C:\ 默认共享IPC$ 远程 IPCADMIN$ C:\Windows 远程管理NETLOGON C:\Windows\SYSVOL\sysvol\jmilk.com\SCRIPTS Logon server shareSYSVOL C:\Windows\SYSVOL\sysvol Logn server share

管理工具

这些管理工具能够为管理ADDS域带来极大的便利。

​例如:​我们可以通过事件查看器工具来查看事件日志文件,以便检查任何跟ADDS有关的问题。

创建额外域控制器

额外域控制器一般安装在另一台物理服务器(HOST2)中,作为AD DS的域控制器(HOST1)的备份而存在。这两个域控制器都存在于同一个AD根域中,额外域控制器有下面几点好处:

改善用户的登录效率(LB)提供容错功能(HA)

在安装额外域控制器时,我们需要将​AD数据库​由现有的域控制器复制到额外域控制器中。Win08R2提供了两种复制AD数据库的方式。

通过网络直接复制,但是当AD数据库非常庞大的话需要很长的时间。通过安装媒体,即通过U盘、DVD等方式来复制AD数据库。

使用Windows窗口界面来安装额外域控制器

​Step1​:在HOST2能够Ping通HOST1的情况下参照上述的安装方法在HOST2中安装AD域服务。​注意安装域控制器和额外域控制器也存在着个别不同的地方。具体如下:​

1). 选择现有的林

4). 选择额外域控制器的AD DS站点

​站点​:是由一个或数个IP子网所组成的。一般站点都是LAN(局域网)内的计算机。

6). 选择​通过网络​的AD数据库复制方式

7). 完成额外域控制器的安装后重启电脑

使用Powershell脚本来安装额外域控制器

创建Powershell脚本文件InstallReplicaADDSControl.ps1

dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName:jmilk.com /siteName:Default-First-site-Name /InstallDns:yes /confirmGC:yes /createNDSDelegation:no /userDomain:jmilk.com /userName:jmilk.com\administrator /password:fanguiju383.com /databasePath:"%SystemRoot%\NTDS" /logPath:"%SystemRoot%\NTDS" /sysvolpath:"%SystemRoot%\SYSVOL" /safeModeAdminPassword:fanguiju383.com /rebootOnCompletion:yes

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:本地小程序开发(微信本地小程序)
下一篇:VB 串口通信 MSComm控件的使用(vba编程代码大全)
相关文章

 发表评论

暂时没有评论,来抢沙发吧~