目录
配置环境
配置DNS服务器
配置Active Directory 域服务
C# AD(Active Directory)域同步 组织单位、用户等信息查询
PDF下载
配置环境
Windows版本:Windows Server 2008 R2 Enterprise
Service Pack 1
系统类型: 64 位 *** 作系统
配置DNS服务器
这一步不是必须的,在安装Active Directory 域服务时可以同时装上DNS服务器。
Active Directory 域服务安装向导-->其它域控制服务器,勾上DNS服务器也有同样效果,
鉴于服务器配置容易出现一些未知小错误,还是提前安装上比较省心^_^!
开始菜单-->管理工具-->服务器管理器选择左侧树形菜单“角色”节点,右键“添加角色”
点击“下一步按钮”
勾选“DNS 服务器”
点击“下一步”按钮
点击“下一步”按钮
点击“安装”按钮
点击“关闭”按钮,重启服务器!
DNS服务器安装完成!
配置Active Directory 域服务
开始菜单-->运行-->输入命令“dcpromo”à点击“确定” 按钮
进入安装界面
d出 Active Directory 域服务安装向导,并点击“下一步”按钮
点击“下一步”按钮
选择“在新林中新建域”并点击“下一步”按钮
输入域名并点击“下一步”按钮
林功能级别选择“Windows Server 2008 R2” 并点击“下一步”按钮
点击“下一步”按钮,如果最初没有安装DNS服务器,此处可以勾选并安装
点击“下一步”按钮
d出DNS提示框,点击“是“按钮,继续安装
点击“下一步”按钮
输入Administrator密码和确认密码,点击“下一步”按钮
点击“下一步”按钮
点击“完成”按钮,重启服务器
到处AD域服务安装完成!一、认识Windows 的域
本小节重点从理论上阐述域的概念、作用和Windows 中域的产生。
一台Windows 计算机,它要么隶属于工作组,要么隶属于域。所以说到域,我们就不得不提一下工作组,工作组是MS 的概念,一般的普遍称谓是对等网。工作组通常是一个由不多于10 台计算机组成的逻辑集合,如果要管理更多的计算机,MS 推荐你使用域的模式进行集中管理,这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能,使你网络管理的工作量达到最小。当然这里的10 台只是一个参考值,11 台甚至20 台,如果你不想进行集中的管理,那么你仍然可以使用工作组模式。工作组的特点就是实现简单,不需要域控制器DC,每台计算机自己管理自己,适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义,只是在网上邻居的列表中实现一个分组而已;再就是对于“计算机浏览服务”,每一个工作组中,会自动推选出一个主浏览器,负责维护本工作组所有计算机的NetBIOS 名称列表。用户可以使用默认的workgroup,也可以任意起个名字,同一工作组或不同工作组在访问时也没有什么分别。域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,实现起来要复杂一些,至少需要一台计算机安装NT/2000/03 Server 版本使其充当DC,来实现集中式的管理。若考虑到容错的话,至少需要两台。对于NT4 域就是一台PDC(具有唯一性),一至多台BDC,对于2000/03 域,已经没有PDC 和BDC 的概念,要容错就需要两至多台DC。域是逻辑分组,与网络的物理拓扑无关,可以很小,比如只有一台DC;也可以很大,包括遍布世界各地的计算机,比如大型跨国公司网络上的域(当然实际中他们多采用多域结构,还可以利用AD 站点来优化AD 复制)。这个“目录服务数据库”,在NT4 时,保存用户帐号名称和密码等安全安全信息,以及安全规则设置,又被称作安全帐号管理(SAM)数据库,简称SAM 库。在非DC 上的本地的SAM库与DC 上域所用的SAM 库类似,只不过对于NT4 域的SAM 库文件,保存有整个域的用户和计算机,用“域用户管理器”和“服务器管理器”来管理,本地的SAM 库文件,保存有本地机的用户,由“用户管理器”来管理。
从2000 开始,MS 引入了活动目录AD,DC 通过AD 来提供目录的服务,例如它负责维护AD 数据库、审核用户的账户和密码是否正确、将AD 数据库复制到其它的DC 等。AD 库的核心文件就是winnt\ntds\ntdsdit 文件。注意组策略的具体设置值,并不存在这个文件中,而是保存在winnt\sysvol\sysvol 这个共享夹下,用于向其它DC 复制,传播给域成员,来生效。但需要说明的是:2000/XP/03 的非DC 域成员计算机上仍使用和NT4 一样的SAM 库文件来保存本地帐号。正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源,如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码,用户只需一次登录,即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行),而不需要多次提供用户
名和密码登录。
二、构建Windows 2000 的域
这个过程简单说就是:选一台2000S/AS 计算机,运行AD 安装向导,在其上安装活动目录,使其成为DC。然后将其它的计算机加入到这个域。
说明:至于是用2000S,还是用2000AS,对于一般的用户差别不大。2000S 支持最多4 个
CPU,最大4G 内存;2000AS 支持最多8 个CPU,最大内存8G,还支持群集功能。但这些我们一般用户都用不到,所以对于普通用户来说,选择S 或AS 都是一样的。
1、系统要求
一台2000S 或2000AS 独立或成员服务器,2000DS 只有OEM 版,随厂商硬件发售,平常我们是见不到的。
其上必须有一个NTFS 50 分区,用来保存AD 的sysvol 文件夹。注意:2000 的NTFS 分区是NTFS 50,NT4 的是NTFS 40,NT4 必须安装SP4 后,才可访问2000 的NTFS 分区。
网络上必须有可用的DNS 服务器,并且必须支持SRV 记录(Service Locaion Resource Record)和动态更新功能。如:MS Win2000S DNS,UNIX 的DNS BIND 812 及以上版本,使用已有的NT4 DNS 是不行的。
说明:
构建NT4 域并不需要DNS 的支持,但2000 域必须有DNS,且满足上述要求。SRV 记录的作用是指明域和站点(site)的DC、PDC 仿真、GC 是谁。动态更新也是2000DNS的新特色,管理员不必再象NT4 DNS 那样手动为计算机创建或修改相应记录,在域成员计算机
重启,或改名、改IP 时依赖周期性更新,自动动态实现。
如果没有DNS 服务器的话,也不一定非得预装DNS,可以在安装AD 过程中,选择在本机上安装2000 DNS。而且推荐初学者使用这种方法,因为系统会根据你提供的FQDN 域名,自动创建好DNS 区域(zone),并配置成AD 集成区域,仅安全动态更新。如果需要向外连或反向
解析,用户只需配置上转发器和反向区域即可,不需要的话,直接就可以用了。如果决定在安装AD 过程中在本机安装DNS,应在安装前,将本机TCP/IP 配置/DNS 服务器指向自己,这样在安装AD 完成后重启时,SRV 记录将被自动注册到DNS 服务器的区域当中
去的,生成四个以下划线开头的文件夹,如_msdcs,03DNS 在这里夹的层次结构有所变化,但本质没变。当然如果忘了指,也可以后补上,只不过需要多重启一次。
2、安装步骤、注意事项、常见问题、经验技巧
(1)启动AD 安装向导
方法一:开始/程序/管理工具/配置服务器/ Active Directory /启动AD 安装向导。
方法二:熟练后一般常用,开始/运行:dcpromo。
(2)安装选项:指定服务器角色
三个界面,实现四种组合:
新域
附加DC
新树
子域
新林
加入林
即:
新域—新树—新林
附加DC
新域—子域
新域—新树—加入林
全新安装:新域—新树—新林,这样来建立第一个域中的第一台DC。
2000 的多域模型采用层次结构,不同于NT4 域的平面结构,NT4 的多个域之间只是通过信任关系关联起来。接下来以下图为例,对2000 的域、树、林进行简要说明:
mscom
/ \
trainningmcsecom lotuscom
这整个是一个林,mscom 为林根域,有两个树,一个由mscom 和它的子域trainningmscom组成,另一个由lotuscom 单独组成,林中有mscom,trainningmscom,lotuscom 三个域。相关
概念如下:
林根域:在林中第一个建立的域,如:mscom
树:共用连续的命名空间的多层域,如mscom 和trainningmscom
树根域:树最高层的域,名最短。如:mscom
说明:
2000 可采用多层域结构,但最有效、最简便的管理方法仍是单域,所以大家在实际工作中要记住一个原则“能用单域解决,就不用多域”。再者2000AD 是针对大中型网络设计的,而我们一般管理的网络也就几百个节点,属于小型网络,一般来讲用一个单域结构就够用了,不要人为将管理环境复杂化。在实验中,我们甚至可以一个林中只有一个树,一个树中只有一个域,一个域里只有一台DC。
另外前面已经说过了,域是逻辑分组,与网络的物理拓扑无关,不要总试图规划一个子网
一个域。当然实际中多个子网一个域,子网中若有95/98/NT 老计算机,无法利用DNS 直接登录到域,可以安装一台WINS 服务器解决问题。将所有计算机,包括WINS 服务器本身的TCP/IP
配置中的WINS 服务器指向此WINS 服务器即可。
(3)安装选项:新域的DNS 全名
说明:
在这里应该输入新域的完全有效域名FQDN,形如:mcsecom。系统会打算以mcse 作为此
域的NetBIOS 名称,并在网络中检查是否存在重名,需要等一会儿。不重名则设为mcse,建议用户不要修改此名;重名则设为mcse0,建议用户最好换个名字。这也就是说,网络中如果已有一个域,名字叫做mcseorg,也会出现NetBIOS 名称冲突的问题。
(4)安装选项:为新域指定一个NetBIOS 名称
说明:
NetBIOS 名称,只是为95/98/NT 等老版本用户通过“浏览服务”或WINS 来识别这个域用的,如果确信域用户都是2000 及以上系统(它们通过DNS 定位域),其实NetBIOS 名称冲不冲突,都无所谓。
(5)安装选项:指定AD 库和日志文件位置
说明:
如果仅是实验,用默认值即可。若是在真正的服务器上,都会有多块物理硬盘,最好分开存放,以提高性能。另外需要强调的是:AD 库和日志文件并不要求非得NTFS 50 分区,很多2000/03 书在此语焉不详。
(6)安装选项:指定sysvol 文件夹位置
说明:
是sysvol 这个文件夹要求必须得NTFS 50 分区。在它当中存储有DC 间AD 要同步的内容,包括组策略的设置值。
(7)这时网络中若无可用DNS 服务器,就会出现提示:找不到DNS 服务器,需要考虑在本机上安装一个DNS 服务器。可先不必理会,点“确定”,接下来选“是,在本机上安装并配置DNS”。初学者在此不要选“否,我将自己安装并配置DNS”。
(8)几分后,安装完成,需要重启。
说明:
若硬盘或网络上没有可用的2000S 源文件,会提示要2000S 光盘。
最好用新装2000S 来安装AD,这样不容易出问题。如果你是用一个台运行了一段时间的2000S/AS,来安装AD,使其成为DC。重启及登录时可能会很慢(有时可能长达20 分钟),这是较常见的现象。一般2-3 次以后就好了,如果多次重启后还那样,那就要重装系统及AD 了。
3、域成员计算机
(1)将计算机加入到域
首先将客户机TCP/IP 配置中所配的DNS 服务器,指向DC 所用的DNS 服务器。然后我的
电脑/右键/属性/网络标识/属性/隶属于,选择域:输入域名,确定。提示输入用户口和口令,确定后提示重启。
说明:
加入域时,如果输入的域名为FQDN 格式,形如mcsecom,必须利用DNS 中的SRV 记录
来找到DC,如果客户机的DNS 指的不对,就无法加入到域。
加入域时,如果输入的域名为NetBIOS 格式,如mcse,也可以利用浏览服务(广播方式)
直接找到DC,但它不是一个完善的服务,有时就会不好使。
这样虽然也可把计算机加入到域,而且在等较长时间后也可以登录到域上去,但不推荐。因为客户机的DNS 指的不对,则它无法利用2000DNS 的动态更新动能,也就是说无法在DNS区域中自动生成关于这台计算机的A 记录和PTR 记录。那么同一域另一子网的2000 及以上计算机就无法利用DNS 找到它,这本应是可以的。
再者,管理员无法在客户机上利用域的管理工具来远程管理域,因为这些管理工具必须使用DNS,出错提示:找不到域命名信息(有时客户机的DNS Client 服务有问题也会出现上述提
示,重启服务即可)。这种情况下,要进行远程管理,就只能利用TS(终端服务)基于IP 来连了。
当然用户也可以手动配置WINS 或Lmhosts 文件,来查找DC。这主要用于95/98/NT 老版本计算机跨子网(路由)查找DC 或加入域,因为这些老版本计算机无法利用DNS 来查找DC,浏览服务又是广播方式,只能在本网段进行,因为广播信息是无法通过路由器的,RFC1542 标
准的路由器,可设置成允许DHCP 的广播数据通过,仅是一个特例。需要说明的是:95/98 可以使用域用户帐号登录到域,但并不能加入到域,在AD 中也没有计算机帐号,而NT 可以。计算机加入域成功后,未重启,即已在AD 用户和计算机/computer 容器下生成计算机帐号
了,实验中查看时,需要手动刷新一下。而在DNS 中记录必须在计算机重启后(不必登录)或15 分钟后才能自动注册或更新到DNS 区域。但若我们平常修改一个计算机的名字或IP,要马上更新到DNS 区域,倒不一定非得重启,可利用ipconfig /registerdns 命令就行。明白以上讨论可用于排错,不一定非得重启登录后才知道结果。
加入到NT4 域时,需要有管理特权才行;从Windows 2000 开始,微软作了改进:在Windows2000/03 域中,默认Authenticated Users 即可在域中最多创建 10 个计算机帐户。Authenticated Users
指被验证的用户组,也就是说任何经过身份验证的普通域用户都可以加最多10 台计算机到域。
常见问题:在实际中用普通域帐号加计算机到域,有时会不好使,原因是同名计算机帐号(极
可能是它自己已经失效的计算机帐号)已存在而无权覆盖,这时就得用域管理员帐号了。
(2)在加入域的计算机上,用域用户帐号登录到域。
说明:
在域中的非DC 计算机上,可以选择登录到域或本机,这是因为它同时还拥有本地用户帐号。而在DC 上只能选择登录到域了,因为整个域都是DC 的,它没有必要再保留本地帐号了。
2000 是个红叉,03 干脆就没有了。安装AD 时,会自动删除本地帐号,即使将来删除AD,也无法将本地帐号复原,而是重新
生成的。这一点一定要注意:如果本地有EFS 加密的文件,一定要将证书导出或将文件解密后,再在这台计算机上做AD 安装实验。
在2000 及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS 配置去找DNS 服务器,DNS 根据SRV 记录告诉它DC 是谁,客户机联系DC,验证后登录。
(3)深入讨论:
如果是在林中跨域登录,是首先查询DNS 服务器,问林的GC 是谁。
前面我们在步骤(1)中强调“加入域前,首先将客户机TCP/IP 配置中所配的DNS 服务器,指向DC 所用的DNS 服务器。”其实如果域中有多个DNS 服务器,也可以指向其它的DNS 服务器,当然这些DNS 服务器之间得有区域复制关系。这样做的目的恰恰是:大中型网络为了平衡DNS 负载。首先打服务器管理器点击添加功能角色
2
进入添加角色功能向导检查静态IP址(192168100100)已配置完管理员帐户使用强密码新安全更新实验忽略点击步
3
我本运行物理计算机安装故安装类型选择第项基于角色或基于功能安装
4
服务器选择服务器池本服务器dc
5
服务器角色确保已安装DNS服务器没安装DNS服务器勾选勾选Active Directory域服务同该服务器安装域服务管理工具
6
Windows Server 2012 R2Active Directory域服务安装需要添加额外功能直接点击步
确认选择误点击安装按钮始安装
Active Directory域服务安装完点击服务器提升域控制器慎点结束按钮关闭向导服务器管理器找图所示
进入Active Directory域服务配置向导部署 *** 作选择添加新林并输入根域名必须使用允许 DNS 域命名约定
创建新林域控制器选项页显示选项
默认情况林域功能级别设置 Windows Server 2012
Windows Server 2012 域功能级别提供新功能:支持态访问控制 Kerberos 保护 KDC
管理模板策略具两需要 Windows Server 2012 域功能级别设置(始终提供声明未保护身份验证请求失败)
Windows
Server 2012 林功能级别提供任何新功能确保林创建任何新域都自 Windows Server 2012
域功能级别运行除支持态访问控制 Kerberos 保护外Windows Server 2012
域功能级别提供任何其新功能确保域任何域控制器都能运行 Windows Server 2012
超功能级别运行
Windows Server 2012 域控制器提供运行早期版本 Windows Server 域控制器提供附加功能例运行
Windows Server 2012 域控制器用于虚拟域控制器克隆运行早期版本 Windows Server 域控制器则能
创建新林默认情况选择 DNS 服务器林第域控制器必须全局目录 (GC) 服务器且能读域控制器 (RODC)
需要目录服务原模式 (DSRM) 密码才能登录未运行 AD DS 域控制器指定密码必须遵循应用于服务器密码策略且默认情况需强密码;仅需非空密码总选择复杂强密码或首选密码
安装
DNS 服务器应该父域名系统 (DNS) 区域创建指向 DNS
服务器且具区域权限委派记录委派记录传输名称解析机构提供授权管理新区域新服务器其 DNS
服务器客户端确引用由于本机父域指向自进行DNS服务器委派用创建 DNS 委派
确保域配NetBIOS名称
路径页用于覆盖 AD DS 数据库、数据库事务志 SYSVOL 共享默认文件夹位置默认位置始终位于 %systemroot% 保持默认即
审查 选项页用于验证设置并确保始安装前满足要求停止使用服务器管理器安装机页让先查看确认设置再继续配置
页面显示些警告包括:
运行 Windows Server 2008 或更高版本域控制器具用于允许执行兼容 Windows NT 4 加密算默认设置建立安全通道防止加密算减弱
创建或更新 DNS 委派
点击安装按钮始安装
安装完毕系统自重启重启域管理员身份登录域控制器配置完毕
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)