windows server 2012 r2 (data center)AD DS域服务
目录
域概述
一 AD DS介绍
二 部署域的价值
三 相关概念介绍
四 常用域概念
五 域控制器管理注意问题
部署第一台域控制器
一 搭建环境
二 参数更改
三 部署服务器
四 验证第一台域控制器是否成功部署
五 修改域控制器IP/服务器名称
域概述
一 AD DS介绍
AD DS(Active Directory Domain Services)活动目录域服务,Widows Server 2012 AD DS是微软最新的域基础架构平台,其核心价值是提供一套完整的用户身份验证系统,基于windows的应用可以很容易实现用户单点登录。
二 部署域的价值
1, 统一身份标识,将用户信息(工号/姓名/电话/邮箱)详细地录入用户属性中,确保域环境下的电脑能实名登录
2, 集中式管理,通过在域控制器上的设置可以完成域环境下所有电脑端应用程序的批量部署/升级
3, 通过域环境单点登录,一次登录成功后可实现在多个应用服务(与windows应用服务集成应用,如exchange sever/文件共享/Microsoft sql server等)之间切换而不需要多次身份认证
4, 通过管理架构部署组策略,通过策略强制管理终端用户/电脑(限制随意安装卸载软件,限制可移动设备接入电脑考取数据,禁止随意修改IP等)提升员工工作效率,降低电脑故障率
三 相关概念介绍
1, DC:域控制器(Domain Contoller)
在windows server 2012中,域控制器是一个windows服务器中的接受安全认证请求的服务器,是一台装有活动目录服务的的计算机
2, AD:活动目录(Active Directoy)
AD是面向Windows Server/Windows Eenterprise Server/Windows Data Server的目录服务,用于存储有关网络对象的信息(用户账户/计算机账户/密码/安全策略等),并且可以让管理员轻松查找和使用这些信息。Active Directory使用结构化的数据存储方式,并以此作为基础对目录信息进行分层组织。
3, 成员服务器
安装Windows Server操作系统后的独立服务器加入到“域”中后,成为成员服务器。改服务器接受AD DS的统一管理,接收并应用Active Directory发布的组策略,通常负责提供邮件,数据库,DHCP等服务。
4, 工作站
用户使用的运行windows操作系统的计算机,包括:
Windows NT Workstation
Windows 2000 Professional
Windows XP Professional
Windows 7/10[j1] 专业版本/企业版/旗舰版(教育版)
5, DNS:Domain Name System
域环境中,DNS是基础,网络中的计算机需要通过DNS来定位域控制器。TCP/IP网络中,利用“Domain Name System”解析主机名称和IP地址,在Windows网络中如果部署AD DS,域控制器需要将自己注册到DNS服务器中,其他计算机可以通过DNS定位域控制器。可将DNS和AD DS部署在同一台服务器中,亦可单独部署一台DNS服务器。
四 常用域概念
1, DNS
TCP/IP网络中,利用Domian Name System(DNS)解析主机名称和IP地址,在Windows网络中如果部署AD DS,域控制器需要将自己注册到DNS服务器中,其他计算机通过DNS来定位域控制器,建议启用动态更新功能。
2, 域
域是一套身份认证系统,是企业应用的基础,用身份验证系统完成企业级别的业务系统应用,企业应用的基础,用身份验证系统完成企业级别的业务系统应用,域是一个有安全边界的集合,同一个域中的计算机彼此之间建立信任关系,计算机之间可相互访问。
3, 域规划
公司性质 |
|
|
集团多公司 |
单林多域 |
|
中型企业(总部分公司) |
父子域或单域多站点 |
建议 |
小型企业 |
单域 |
|
4, 根域:网络中创建的第一个域,一个域林只有一个根域,根域对其他域具有最高管理权限。
域树:由多个域组成,这些域共享同一存储结构和配置,形成一个连续的名字空间(相同DNS后缀)。域树中的域层次越深级别越低,一个.表示一个层次。
5, 域林:包含一个或多个域树,在创建根域时默认就会建立一个域林,域名就是林的名称。例如book.com是网络中的第一个域的根域,也是整个林的根域,林的名字就是book.com。已经存在的域不能加入一棵树中,也不能将一个已经存在的域树加入到一个域林中。若已经拥有不同的域/域树/域林,希望同现有的域/域树/域林一起管理,最好的方法是利用Active Directory创建双向信任关系。
五 域控制器管理注意问题
1, 禁止在域控制器中随意安装软件,
2, 网络中最好部署2台或者以上的域控制器,域控制器之间自动完成Active Diretory数据库同步
3, 禁止随意添加/删除域控制器
4, 禁止FSMO角色的任意分配
5, 禁止使用GHOST之类的软件备份/还原域控制器,如果担心域控制器出问题可多部署几台域控制器。
部署第一台域控制器
一 搭建环境
1, Window server 2012 r2 Data Center 服务器操作系统
2, 服务器使用NTFS文件系统,且有足够的磁盘空间
3, IP/DNS配置,域控制器需要使用静态IP地址,如果第一台域控制器兼任DNS服务器,首选DNS应该指向自己的IP地址
二 参数更改
1, 重命名计算机,以Administrator登录AD DS服务器,切换到Metro界面,右击计算机,打开属性对话框
2, 单击更改设置,打开系统属性对话框。
3, 选中计算机名属性栏,单击更改按钮
4, 在计算机名/域更改对话框中设置该服务器有效名称
5, 单击确定,按提示重启
6, 关闭IPv6协议
7, 修改IP地址/DNS(如果将域控制器同时设置为Active Directory集成区域DNS服务器,要将首选DNS服务器IP指向当前服务器IP地址)
三 部署服务器
第一台域控制器很重要,第一台域控制器默认作为林的根域服务器,同时安装物种操作主机角色。
1, 以管理员身份登录windows server 2012,单击
图标启动服务器管理器,选择仪表板--快速启动
2, 单击添加角色功能,启动向导
3, 单击下一步,启动选择安装类型对话框。选择基于角色或基于功能的安装。
4,单击下一步,打开选择目标服务器对话框,选择从服务器池中选择服务器选项。如果服务器管理器可以管理多台运行windows server 2012 r2的服务器,可用服务器会全部显示在服务器池中。
5,单击下一步,打开选择服务器角色对话框。
6,选择Active Directory域服务选项,打开添加Active Directory域服务所需功能对话框。勾选包括管理工具(如果适用)选项,单击添加功能,返回选择服务器角色对话框。
8, 单击下一步,打开选择功能对话框,选择需要安装的功能,直接下一步,不需要安装额外的功能
9, 单击下一步,打开Active Directory对话框,提示部署AD DS域服务注意事项。
10,单击下一步,打开确认安装所选内容对话框,显示向导需要安装的内容
勾选如果需要,自动重启目标服务器,在弹出的对话框中,单击是
11,在确认安装所选内容对话框中,单击安装,向导自动安装AD DS域服务。
12,安装进度对话框中,单击将此服务器提升为域控制器超链接,启动Active Directory域服务配置向导,打开部署配置对话框。
13,安装向导提供三种Active Directory安装模式
A, 将域控制器添加到现有域
B, 将新域添加到现有林
C, 添加新林
此处选择部署一个新林,“选择部署操作”选项中选择“添加新林”,根域名文本框中键入新域名称
14,单击下一步,打开域控制器选项对话框,设置新林的林功能级别和域功能级别。
如果第一台域控制器同时部署Active Directory集成区域DNS服务,勾选域名系统(DNS)服务器选项
第一台域控制器默认为全局百年路服务器(GC),自动选择
目录服务还原模式密码:改密码可以不与管理原密码相同,该模式主要用来还原Active Directory数据库。密码必须符合WINDOWS SERVER 2012的强密码策略。
15,单击下一步,打开DNS选项对话框,设置DNS委派信息(本例中DNS部署方式为Active Directory集成区域DNS服务),没有部署独立的DNS服务器,因此不需要配置DNS委派相关内容。
16,单击下一步,打开其他选项对话框,设置NetBIOS名称。建议将NetBIOS域名与部署的Active Directory域名一致,向导自动识别Active Directory域名,将.前的字符作为NetBIOS名称。
17,单击下一步,打开路径对话框,设置Active Directory数据库文件夹/Active Directory日志文件夹以及SYSVOL文件夹的位置
18,单击下一步,打开查看选项对话框,显示域控制器设置信息
19,单击下一步,打开先决条件检查对话框,检查当前服务器是否满足AD DS域服务安装条件,符合即可安装AD DS域服务。
四 验证第一台域控制器是否成功部署
1, 验证AD DS域服务
通过服务控制台可查看AD DS域服务运行状态,可以和普通服务一样自动/停止/暂停/重启。AD DS域服务部署完成后默认部署2个和AD DS域服务直接相关的服务:Active Directory Domain Services(AD DS)和Active Directory Web Services(AD WS)服务,二者默认处于“正在运行”状态。启动类型为“自动”。
2, 验证默认容器
第一台与控制器部署完成后将创建部分默认容器,例如
Domain Controllers
Computers
Users
ForeignSecurePrincipals
等
打开查看—高级功能,显示更多容器
3, 验证Domain Controllers
默认的域控制器管理单元为Domain Controllers,包含第一个域控制器DC,另外也是新域控制器(额外域控制器/只读域控制器)的默认容器。其他域控制器安装后自动加入该组织单元。
4, 验证default-first-site-name
将服务器提升为域控制器过程中,安装向导自动确定该域控制器属于哪个站点成员,如果新建域控制器是林中的第一域控制器,将创建名称为default-first-site-name的默认站点,第一台域控制器成为该站点的第一个成员。
5, 验证active directory数据库和日志文件
Ntds.dit,Active Directory数据库文件,用来存储域控制器中所有活动目录对象。扩展名为dit,全称directory information tree(目录信息树)
Edb.log,事务日志文件,保存Active Directory操作信息,默认事务日志名为edg.log,每个事务日志大小为10M
Edb.xxxxxlog,edb.log写满时被重命名为edb.xxxxxlog,重新建立一个新的日志文件,旧的就会被删除,从00001开始递增。
Edb.chk,记录Active Directory数据库文件中和内存中Active Directory数据的差异性,(跟踪尚未写入活动目录数据库文件的日志)
Edbtemp.log,暂存日志文件,当前日志文件edb.log填满时的暂时日志
Edbres00001.jrs和edbres00002.jrs,日志保留文件,仅当含有日志文件的磁盘空间不足时使用
Temp.edb,临时文件,存储维护过程中处理的数据
6, 验证计算机角色
第一台域控制器,计算机角色为primary
额外域控制器,计算机角色为 backup
验证计算机角色,在msdos命令行下执行net accounts命令
7, 验证系统共享卷“sysvol”和“netlogon”
系统共享卷默认位于“%systemroot%\sysvol”,AD DS域服务安装完成后,“%systemroot%\sysvol”目录下将创建“domain”“staging” “stagin areas”“sysvol”的目录
7.1,显示域控制器中发布的共享
在MSDOS命令行窗口,键入
Net share
查看“sysvol”和“netlogon”是否创建成功
在计算机中通过\\DC01.person-baosheng.com来访问系统共享卷“sysvol”和“netlogon”
查询默认域策略和默认域控制器策略
安装过程中,Active Directory将创建两个标准域策略:默认域策略和默认域控制器策略(位于%Systemroot%\Sysvol\’Domain’\Policies文件夹中),这些域策略显示以下全局唯一标识符(GUID)
{31B2F340-016D-11D2-945F-00C04FB984F9}表示默认域策略
{6AC1786C-016F-11D2-945F-00C04FB984F9}表示默认域控制器策略
%Systemroot%\SYSVO\sysvol\person-baosheng.com\policies
验证目录服务器:
以管理员身份打开MSDOS命令行窗口,键入以下命令
dcdiag /test:netlogons
8, 验证SRV记录
若DNS和AD DS域服务部署在同一台服务器中,即域控制器同时是“集成区域DNS服务器”,并且安装DNS管理控制台
验证“_msdcs.person-baosheng.com/dc/_sites/Default-First-Site-Name/_tcp”中是否存在控制器的SRV资源记录
验证“_msdcs.person-baosheng.com/dc/_tcp"中是否存在域控制器的SRV资源记录
9,验证FSMO操作主机角色
打开MSDOS命令行窗口,键入以下命令查询是否成功创建
10,日志文件
服务器提升为域控制器的每一个操作都会记录到日志文件中,该日志文件的位于
“%systemroot%\debug”中
11,安装AD DS域服务前后的变化
服务器管理面板会发生变化
登录服务器会以“域netbios名称+\用户名称”
安装后METRO面板中新增加用于Active Directory管理的8个组件,分别是:
用于windows powershell 的Active Directory的模块
组策略管理
ADS编辑器
Active Directory域和信任关系
Active Directory用户和计算机
Active Directory管理中心
Active Directory站点和服务
DNS
本地服务器面板变化
默认组会变化:安装AD DS之前,计算机使用“计算机管理”控制台进行管理,安装后通过计算机管理无法正常进入计算机管理控制台,必须通过Active Directory用户和计算机控制台进行管理。默认位置位于users组织单位中
五 修改域控制器IP/服务器名称
1, 修改域控制器IP地址
1.修改服务器IP地址
2.停止netlogon服务
在MSDOS命令行窗口下,输入以下命令
Net stop netlogon
3.重新启动netlogon服务
Net start logon
4.重新注册DNS信息
Ipconfig /registerdns
5.DNS服务器验证所有新主机记录(A记录)
打开DNS管理控制台,删除所有和原域控制器IP地址相关的A记录,并验证新A记录是否更新成功。和A记录相关的选项包括:]
A,DNS服务器名称-正向查找区域-msdcs.person-baosheng.com-gc
B, DNS服务器名称-正向查找区域-.person-baosheng.com
C, DNS服务器名称-正向查找区域-.person-baosheng.com-domaindnszones
D, DNS服务器名称-正向查找区域-.person-baosheng.com-forestdnszones
6.删除并重建反向查找区域
如果DNS服务器中部署反向查找区域,建议
(1) 删除反向查找区域
(2) 重建反向查找区域
(3) 域控制器重建PTR记录
7.重启域控制器
8.验证域控制器状态
dcdiag
2, 重命名域控制器(注;在实验时已经改过一次FQDN名称为dc66.person-baosheng.com)
重命名域控制器时,需要为域控制器确定一个FQDN名称,域内的权威DNS服务器必须包含域控制器新计算机名的主机记录。新旧计算机名在更新过程中同时存在,直到移除旧的计算机名,这样才可以确保域控制器在重命名时客户端的连接不会中断,直到此域控制器重新启动
1. 验证域控制器的FQDN名称:以管理员什么打开MSDOS命令行窗口,键入以下命令
Netdom computername dc66.person-baosheng.com /enumerate
2. 域控制器添加新的FQDN名称:管理员身份打开MSDOS命令行窗口,键入以下命令
Netdom computername dc66.person-baosheng.com /add:dc88.person-baosheng.com
该命令更新计算机账户在Active Directory数据库中的服务主体名称属性,并在DNS服务器中注册新的计算机名资源记录(SRV)。计算机账户SPN值必须复制到该域的所有域控制器,新计算机名DNS资源记录必须同步到该域名的所有授权DNS服务器。如果在删除旧计算机名之前没有进行更新和注册,某些客户端可能无法使用新名或者旧名找到目标计算机。
执行命令:
Netdom computername dc66.person-baosheng.com /enumerate
查看域控制器所有可用FQDN名称
3. 将新FQDN名称设置为在线模式:管理员身份打开MSDOS命令行窗口,键入命令
Netdom computername dc66.person-baosheng.com /makeprimary:dc88.person-baosheng.com
命令执行后,将FQDN名称dc88.person-baosheng.com设置为在线模式,重启域控制器,新FQDN才生效
4. 重启域控制器
5. 删除原FQDN名称:管理员身份打开MSDOS命令行窗口,键入以下命令
Netdom computername dc88.person-baosheng.com /remove:dc66.person-baosheng.com
执行命令:netdom computername dc88.person-baosheng.com /enumerate,验证域控制器的FQDN名称是否已更新
6. 验证DNS服务器中域控制器的主机记录
打开DNS控制台,选择DNS服务器名称-正向查找区域-person-baosheng.com选型,右侧列表显示所有可用的计算机名称,删除原FQDN对应的主机记录
选择DNS服务器名称-正向查找区域-.person-baosheng.com-_sites-Default-first-site-name-_tcp选项,验证SRV记录是否更新为新FQDN名称
7. 验证主机角色所在的控制器:管理员身份打开MSDOS命令行窗口,键入以下命令
Netdom query fsmo
