部署环境:
Windows Server 2008 R2 Standard 64bit
域中组件 | 主机名称 | 网络IP |
---|---|---|
主域控制器 | win | 192.168.6.40 |
备域控制器 | win-001 | 192.168.6.50 |
域成员 | win-002 | 192.168.6.60 |
Active Directory 域服务(Active Directory Domain Server,AD DS)是Microsoft针对越来越复杂的网络管理环境而推出的“目录服务(Directory Server)”解决方案。
AD DS的逻辑架构由“林(Forest)”、“树(Tree)”、“域(Domain)”、“组织单元(Origanizational Unit)”、“全局编录(Global Catalog)”等多个组件组成。
域是由一组计算机对象和其他对象组成的逻辑管理单位
特性:
在AD DS的环境中,“访问控制列表(Access Control List ,ACL)”管理域内对象的访问,ACL控制用户对对象执行何种类型的访问动作,而且安全策略、权限管理设置通常是以域为设置范围。
树是由一个或一个以上的AD DS域组成的具有分层式连续性的名称空间。
林是由一个或一个以上的AD DS树组成的不连续的名称空间区域
组织单元是一个能够包含域内其他对象的“容区对象”
安装Active Directory 域服务角色
或者
该命令是安装或者卸载域控制器,如果安装的域控制器,该命令就是卸载,如果没有安装就是安装命令。
确认输入的林根域名的FQDN与计算机的NetBIOS没有冲突之后,切换到“AD DS 安装向导”对话框的“域NetBIOS名称”界面,在“域NetBIOS名称”中输入FQDN名称中的最左边的名称,此实例为“MINER”,如果FQDN是“demo.com.cn”此处输入的应该是demo
配置DNS服务器为域名解析做准备
判断是否是加入域,如果没有加入域可以看到用户名和组,此处没有用户名和组证明已经加入域。
从企业的角度增加额外的域控增加容错性故需要添加第二台域控制器。
如果域控的备服务器上安装有DNS,可以将DNS指向自己。
配置方法类似,先安装AD DS域服务角色,启动域服务安装向导。
选择DNS服务器、全局编录、制度域控制器,这三者如果选择则全选,否则全部取消,此处主要考虑到DNS服务器、全局编录的容错性。
此处输入分配的域的用户名和密码,此处输入的域的管理员的用户名和密码。
注意:如果是客户想从miner.com这个域切换到mining.com这个域中,需要将该主机先转化为工作组中,然后才能增加到其他的域中。
错误一:请确保键入的DNS域名正确
错误分析:
错误二: 找不到网络路径
解决步骤1:重新启动域控制器上的netlogon
net stop netlogon
net start netlogon
解决步骤2:查看区域的属性,检查DNS的区域是否允许安全更新
解决步骤3:查看网卡的属性,检查本地连接是否允许在DNS中注册此连接的地址。
默认情况下,先增加的域的主机都存在computer的目录中,不方便管理,为方便管理,将不同的主机放到不同的目录下。如果有需要可以在不同的组织单元中创建不同子组织单元,例如此处的销售部,可以增加新的组织单元北京市等。
组织单元和用户组的区别:
组织单元可以认为是部门,用户组是用户的属性比如:远程登录组。一个用户可以在多个组中,但是不能在多个组织单元中 。
注意:主机名是ftp-server的服务器如果需要加入域中,必须使用域用户lisi,否则加入不了域。
一个用户可以在不同的服务器上登录,登录之后桌面不变,但是客户的在其他盘保存的数据无法找到的。
注意:该共享目录,必须是域账号共享的目录,否则域用户没有权限写入。
可以针对不同的用户设置不同的属性,也可以同时选择多个用户设置共同的属性。
将共享目录自动映射到主机的驱动器上。
登录主机测试: