Windows Server 2019搭建域服务器实验
实验需求
1、windows操作系统安装
创建windows虚拟主机(可选windows server 2016或windows server 2019);
配置固定IP;(刚开始IP地址为你DHCP获取的地址)
2、创建5台
安装5台Windows 系统;
4台server 服务器、1台windows客户机
激活系统;
3、AD域
VMA、VMB虚拟机配置为主辅域,域名为szpdc.com;
VMA做为GC、Schema Master、Domain Naming Master,VMB做为PDC、RID、Infrastructure Master;
创建OU、用户、用户组(以何妨科技的组织架构为例,总经办、技术支持部、财务部、一部、二部、三部、四部、五部、七部、商业客户部);
所有用户登录使用带何妨科技LOGO的画面;
所有非管理员用户登录都不能打开注册表程序;
所有非管理员用户登录不能使用控制面板;
所有非管理员用户登录,打开IE浏览器自动打开何妨科技OA;
4、DNS服务
VMA、VMB配置DNS服务;
DNS服务器与AD集成;
DNS记录相互同步;
5、DHCP服务
VMB配置DHCP服务;
创建地址池;
虚拟机VME能自动获取IP、网关、DNS;
6、WEB服务与负载均衡集群
在VMC、VMD上安装配置WEB服务;
配置一个站点,将何妨科技OA主页做为站点的主页;
在VMC、VMD上配置负载均衡;
9、WSUS服务
在VMC上配置WSUS服务;
为每个OU下的计算机批量配置更新;
1、windows操作系统安装
1.1创建windows云主机(可选windows server 2016或windows server 2019);
1、根据实验需求,需要创建4台实验(系统为windows2019)云主机VMA、VMB、VMC、VMD和1台测试(系统为win7系统)云主机。
安装4台windows server服务器并激活
1.1.1window2019系统安装
1、主机创建完成,开始配置安装系统
2、这里选择"我没有产品密钥",下一步
3、选择“Windows Server 2019 Standard(桌面体验)”
4、勾选“我接受许可条款”,下一步
5、“自定义:仅安装windows高级”
6、选择“驱动器--新建--应用;
7、确定
8、下一步
9、等待安装
10、设置管理员密码,管理员为qaz`123
11、安装完成
1.1.2 window7系统安装
1、测试主机进行系统安装,这里选择“下一步”
2、现在安装
3、等待安装程序启动
4、勾选”我接受许可条款“,下一步
5、自定义(高级)
6、新建磁盘空间--应用空间
7、确认格式化空间
8、格式化后下一步
9、等待安装Windows
2、输入用户名“cs”,进行下一步
3、设置管理员密码qaz`123,进行下一步
1.2重置系统sid
1、由于系统是同一镜像,所以生成的sid都是一样的,导致域控无法加载成功解决办法: 在C盘下找到路径为:c:\windows\system32\sysprep\sysprep.exe , 运行此指令后会弹出一下对画框,系统清理动作"进入系统全新体验(OOBE)",通用,开机选项"重新开机",完成后可以用命令开始---运行--cmd---whoami /user查看SID的改变
1.3配置固定IP;(IP地址为你DHCP获取的地址)
1、对主机进行固定ip绑定,在网络连接,以太网适配器右键属性
3、选择Internet协议版本4(TCP/IPV4),然后选择属性
4、根据控制器每个云主机分配的ip,手动进行固定ip操作
1.4统一主机名
1、为了方便管理,对每个主机名进行统一修改,右键计算机属性进入系统界面,点击“更改设置”
2、选择“更改”
3、根据需求,这里配置成VMA,其他主机配置成VMB、VMC、VMD、cs
1.5激活系统;
1、由于系统安装的时候跳过了用序列号激活,右键计算机属性,可以看到主机处于未激活状态
使用kms程序激活服务器系统
使用kms程序激活Win7系统
2、AD域
AD:活动目录(Active Directory)
DC:域控制器(Domain Controller)
- 配置主辅域,域名为hfkjpdc.com
配置主辅域控的用处:避免域控制器损坏所造成的业务停滞,如果一个域控制器损坏了,只要域内其他域控制器有一个是工作正常的。域用户就可以继续完成用户登陆。访问网络资源的等一系列操作,基于域的资源分配不会因此停滞。其次,使用额外域控制器还可以起到负载均衡的作用
2.1VMA、VMB虚拟机配置为主辅域,域名为hfkjpdc.com;
2.1.1VMA安装域控服务
1、选择“添加角色和功能”
2、下一步
3、下一步
4、这里看到VMA服务器,下一步
5、勾选Active Direstory 域服务,然后进行下一步
6、保持默认,下一步
7、下一步
8、开始安装
9、安装完之后进行下一阶段的操作,点击“将此服务器提升为域服务器”
2.1.2VMA配置主域控
1、在Active Directory域服务配置向导,选择“添加新林”,根域名为“hfkjpdc.com”
2、设置目录还原密码:qaz`123
目录还原模式是一个安全模式,可以开机进入安全模式时修复AD数据库,但是必须使用此密码,进行下一步
3、出现此警告无需理会,继续下一步
4、系统会自动创建一个HFKJPDC名称,可以更改。这里保持默认,继续下一步
- 5、1数据库文件夹:用了存储AD数据库;2日志文件文件夹:用了存储AD的更改记录,此记录可以用来修复AD数据库;3SYSVOL文件夹:用了存储域共享文件(例如组策略)。这里保持默认,继续下一步
-
6、下一步
-
7、开始安装
-
8、安装完之后需要进行重启操作
2.1.3检查DNS服务器内的记录是否完备
域控会将自己扮演的角色注册到DNS服务器内,以便让其他计算机能够通过DNS服务器来找到域控。因此先检查DNS服务器内是否已经存在这些记录。需要用域管理员账户来登陆HFKJPDC\administrator.
1、检查主机记录,选择管理工具-dns
2、默认会有一个hfkjpdc.com的区域,主机记录表示域控vma.hfkjpdc.com已经正确的将其主机名与IP地址注册到DNS服务器内。
3、如果域控制器已经正确的将家里注册到dns服务器,应该还会有_tcp _udp等文件夹。单击_tcp文件夹后可以看到数据类型为服务位置(SRV)的_ldap记录,表示vma.hfkjpdc.com已经正确的注册为域控制器。还能看到_gc记录全局编录也是由vma.hfkjpdc.com所扮演。
2.1.4VMB安装域控服务
1、对VMB的DNS设置为主机VMA的ip地址
2、选择“添加角色和功能”
3、下一步
4、下一步
5、看到VMB服务器,进行下一步
6、勾选Active Direstory 域服务,然后进行下一步
7、保持默认,下一步
8、下一步
9、开始安装
10、安装完之后进行下一阶段的操作,点击“将此服务器提升为域服务器”
2.1.5VMB配置辅域控
1、将VMB域控添加到现有域,输入域名hfkjpdc.com,并且输入现有权限添加域控的账户hfkjpdc\administrator密码。
2、确定输入没问题,进行下一步
3、设置还原密码,进行下一步
4、警告无需理会,下一步
5、保持默认,下一步
6、保持默认,下一步
7、下一步
8、开始安装
9、安装完进行重启
2.2VMA做为GC、Schema Master、Domain Naming Master,VMB做为PDC、RID、Infrastructure Master;
2.2.1FSMO角色解释
FSMO(操作主控)五大角色:
森林级别(一个森林只存在一台DC有这个角色)
①Schema Master(架控主控):修改活动目录的源数据
②Domain Naming Master(域命名主控):管理森林中域的添加或者删除
域级别(一个域里面只存在一台DC有这个角色)
③PDC Emulator(PDC仿真器):
处理密码验证要求
统一域内的时间
向域内的NT4 BDC提供复制数据源
统一修改组策略的模板
对Winodws 2000以前的操作系统提供支持
④RID Master(RID主控):分配可用RID池给域内的DC和防止安全主体的SID重复
⑤Infrastructure Master(基础架构主控):更新组的成员列表
域中DC的规划FSMO原则:
①占有Domain Naning Master角色的域控制器必须同时也是GC
②不能把infrastructure Master和GC放在同一台DC上
③建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上
④建议将Schema Master和Domain Naming Master放在同一台域控制器上
⑤建议将PDC Emulator,RID Master及Infrastructure Master放在同一台性能较好的域控制器上
⑥尽量不要把PDC Emulator,RID Master及Infrastructure Master放置在GC服务器上
2.2.2VMA作为GC:
Active Directory站点和服务→Sites→Default-First-Site-Name→Servers→目标控制器→NIDS Settings→右键属性→勾选全局编录→应用;同样操作VMB取消全局编录;
Windows PowerShell中输入dsquery server –isgc显示域中GC;
2.2.3VMA做为Schema Master:
运行→regsvr32 schmmgmt→确定→运行→MMC→文件→添加删除管理单元→添加Active Directory架构→确定→右键Active Directory架构→操作主机→架构主机为VMA,不需要更改;
2.2.4VMA做为Domain Naming Master:
Active Directory域和信任关系→右键Active Directory域和信任关系→操作主机→域命名主机为VMA,不需要更改;
2.2.5VMB做为PDC、RID、Infrastructure Master:
Active Directory用户和计算机→右键hfkjpdc.COM→操作主机→在RID、PDC、基础结构中可以分别更改RID、PDC、Infrastructure Master;
2.2.6查看FSMO配置角色
CMD运行netdom query FSMO可以查看FSMO角色;
2.3创建OU、用户、用户组(以神动的组织架构为例,总经办、技术支持部、财务部、一部、二部、三部、四部、五部、七部、商业客户部);
2.3.1 OU定义解释
OU:组织单元,把对象组织成逻辑管理组的容器,其中包括一个或多个对象,如用户账号、组、计算机、打印机、应用、文件共享或其他OU等
2、hfkjpdc.com新建组织单位
3、根据需求输入何妨科技
4、右键何妨科技新建组织单位
5、根据需求,对每个部门进行新建
6、创建完成
7、在总经办组织单位新建组
8、创建总经办用户组
9、创建用户,设置用户名和密码
登录密码:qaz·123
10、将用户添加到用户组
2.3.3赋予用户在域控登录权限
用户必须在域控上拥有允许本地登录的权限,才能在域控上登录。此权限可以用过组策略来开放。
1、运行gpmc.msc
2、在何妨科技创建GPO
3、右键GPO,选择编辑
4、计算机配置-策略-windows设置-安全设置-本地策略-用户权限分配-允许本地登录,然后将用户或组加入到列表内
5、将新建的用户添加进去
2.3.4测试机用户登录
1、测试DNS地址配置为域控的ip地址
2、加入hfkjpdc.com域控。
3、输入域控的账号名和密码,加入成功进行重启操作
4、用户登录成功
2.4所有用户登录使用带神动LOGO的画面;
组策略管理(gpmc.msc)→依次展开HFKJPDC.COM→编辑何妨科技GPO→依次展开[用户_策略_管理模板_桌面_Active Desktop]→启用Active Desktop、启用不允许更改、启用桌面墙纸并输入墙纸名称路径;
注销用户重新登录
2.5所有非管理员用户登录都不能打开注册表程序;
组策略管理(gpmc.msc)→依次展开HFKJPDC.COM→编辑神州动力GPO→依次展开[用户_策略_管理模板_系统]→启用阻止访问注册表编辑工具;
2.6所有非管理员用户登录不能使用控制面板;
组策略管理(gpmc.msc)→依次展开SZPDC.COM→编辑神州动力GPO→依次展开[用户_策略_管理模板_控制面板]→启用禁止访问“控制面板”和PC设置;
2.7所有非管理员用户登录,打开IE浏览器自动打开神动OA;
组策略管理(gpmc.msc)→依次展开SZPDC.COM→编辑神州动力GPO→依次展开[用户_策略_管理模板_Windows 组件_Internet Explorer]→启用禁用更改主页设置,主页设为http://oa.szpdc.com;
输入 gpupdate/force 命令来立刻刷新组策略,使策略生效,有时候命令刷新不成功,建议注销用户重新登录。
客户端运行RSOP.MSC,可以查看生效的策略;
3、DNS服务
解释:一种组织成层次结构的分布式数据库,里面包含有从DNS域名到各种数据类型的映射。
DNS服务器与AD集成: 主预控的DNS填本机的ip,或不填,辅域控的DNS填主域控的ip
注意:因为2阶段AD域搭建已完成正向查找区域创建,现增加反向查找区域
3.1VMA、VMB配置DNS服务;
1、VMA服务器配置
3.2DNS服务器与AD集成;
1、VMB服务器配置
3.3DNS记录相互同步;
4、DHCP服务
DHCP称为动态主机配置协议。DHCP服务允许工作站连接到网络并且自动获取一个IP地址。配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关、一个WINS服务器的IP地址,以及一个DNS服务器的IP地址。
4.1VMB配置DHCP服务;
1、安装DHCP服务,选择“添加角色和功能”
2、保持默认,下一步
3、保持默认,下一步
4、保持默认,下一步
5、勾选DHCP服务,弹框选择添加功能,继续下一步
6、保持默认,下一步
7、继续下一步
8、进行安装
4.2创建地址池;
1、在工具选择DHCP
2、ipv4右键“新建作用域”
3、下一步
4、设置作用域名称,这里我们设置为网段的信息
5、配置 DHCP 分配地址范围
6、设置排除地址
7、设置租期,默认为 8 天
8、选择稍后配置
10、完成
11、对作用域进行激活,右键作用域,选择“激活”
12、右键服务器选项,选择“配置选项”
13、设置路由器地址
14、设置DNS地址
4.3虚拟机测试主机能自动获取IP、网关、DNS;
由于控制台dhcp服务器,所以暂时测试不了
5、WEB服务与负载均衡集群
网络负载平衡,英文简称为NLB,windows Server 2012 中该功能允许你将传入的请求传播到最多达32台的服务器上,即可以使用最多32台服务器共同分担对外的网络请求服务。网络负载平衡,保证即使是在负载很重的情况下它们也能够在很快的时间内做出反应。
网络负载平衡可以让客户端用一个逻辑Internet名称和虚拟IP地址(又称群集IP地址)访问群集,同时保留每台计算机各自的名称。网络负载平衡对外只须提供一个IP地址(或域名)。
当网络负载平衡中的服务器故障,不可用时,网络负载平衡会自动检测到不可用的服务器,并在剩余的服务器中,重新指派客户机通讯。从而实现服务器的高可用,并且,可以根据网络访问量的增多来增加网络负载平衡服务器的数量。
5.1在VMC、VMD上安装配置WEB服务;
1、在服务器管理器选择“添加角色和功能”
2、下一步
3、下一步
4、下一步
5、勾选Web服务器(IIS),在弹框选择“添加功能”
安装后关闭
5.2配置一个站点,将神动OA主页做为站点的主页;
1、开始配置站点,在工具选择“Internet Information Sevices(IIS)管理器”
2、在网站右键“添加网站”
3、输入网站名称,选择物理路径,绑定ip地址
4、关闭默认网站
5、点击hfkjpdc网站,选择默认文档
6、添加创建的站点
7、配置编辑器
8、设置configuration/system.webServer/directoryBrowse/enabled,
9、在节中找到system.webServer/directoryBrowse,将其中的enabled取值改为True,点击应用!
10、创建完成,访问ip可以看到创建成功
5.3在VMC、VMD上配置负载均衡;
5.3.1安装负载均衡服务
1、在服务器管理器选择“添加角色和功能”
2、下一步
3、下一步
4、下一步
5、保持默认,下一步
6、勾选网络负载平衡,弹框点击添加功能
7、下一步
8、开始安装
5.3.2配置负载均衡
1、工具选择“网络负载平衡管理器”
2、网络负载平衡群集右键新建群集
3、输入要添加的主机ip,然后进行连接
4、下一步
5、配置群集ip
6、下一步
7、下一步
8、完成配置
9、把其他主机(VMD)添加到群集里,右键添加主机到群集
10、VMC与VMD都需要安装负载均衡服务;输入要添加的主机ip,然后进行连接
11、输入VMD管理员账户
12、下一步
13、 下一步
14、 完成
15、集群完成
5.3.3设置站点群集ip
1、选择hfkjpdc站点,右侧点击绑定
2、把ip地址修改为群集ip