win2012活动目录介绍

一:活动目录概述:


1、相关概念:

域:用来描述一种系统架构,和“工作组”相对应,由工作组升级而来的高级架构,在域架构中,可以实现统一化管理(一般通过策略实现,执行下发策略的权限是写这条策略的用户即服务器上写策略的用户,而非登陆当前客户端的用户。)。

活动目录:是微软提供的目录服务(查询、身份验证),活动目录的核心包含了活动目录数据库,在活动目录数据库中包含了域中所有的对象(用户、计算机、组。。。)

注意:目录服务不是我微软专有的,比如linux的ldap服务也是目录服务。

域控制器:在域架构中用来管理所有客户端的服务器,是域架构中的核心,每个域控制器上都包含了活动数据库。

建议:安装域控制器时至少有一台物理机是比较合理的。

2、工作组、域

工作组:每台计算机都是独立的,独立管理

域:域中的客户端受控于域控制器。

3、微软基于域的产品平台

exchange、lync、systemcenter、sqlserver(高可用、cluster)、sharepoint、projectserver、windowshyper-v(实时迁移)

4、企业中部署域架构

①在域架构中,最核心的就是DC(域控制器),创建域首先必须要创建DC,DC创建完成后,把所有的客户端加入DC中,这样就形成了域环境。

②域控制器是由工作组的计算机升级而成,通过DCPROMO命令就可以完成升级。注意windows2012版本之前可以通过DCPROMO实现,win2012及后续版本只能通过图形界面完成。

③只有windows server(web版本除外)才可以提成为域控制器。注意win2012中只有标准版和数据中心版。

④在升级DC前,不需要安装DNS服务。dc的安装和dns的安装放在一起来做,是建议的做法。

⑤文件系统必须要是NTFS。 原因是:FAT32的文件系统单个文件最大4GB,而活动目录数据库就是一个单独的文件,有可能大于4GB。

5、安装DC服务器(域控制器)步骤:

①、IP地址设置:静态地址

第一台域控的DNS指向自己的IP地址。

②、服务器安装向导安装域服务。

Active Directory域服务

注意:win2012中角色和功能在一个向导里

③、一直到角色安装完成。

④、点击“将此服务器提升为域控制器”会出现如下三个选择:

  • 将域控制器添加到现有域
  • 将新域添加到现有林
  • 添加新林

如果是第一次创建域,选择“添加新林”,输入域名,推荐为公司公网域名。

如:xxxx.com

也可以写成xxxx.local,但是不推荐。

⑤、选择新林和根域的功能级别: 限制的是整个域中域控制器操作系统版本。

林功能级别:

域功能级别:

指定域控制器功能:

域名系统DNS服务器 :选择此项,安装DNS

全局编录(GC):默认选择,一个域中需要一台全局编录服务器。

只读域控制器(RODC)

输入目录服务还原模式(DSRM)密码:

一般来说,一个域功能级别兼容三个版本,往后(新版本)兼容。

如果域功能级别为:windows server 2003模式,兼容DC:2003 ,2008,2008R2

⑥、一直下一步到安装完成。

6、如何保证域的高可用性:

  • 不要再域控制器运行大型的服务(如:exchange、sharepoint、sqlserver、lync)
  • 不要让公网直接能够访问到域控制器。
  • 为公司的DC部署多台备份域控制器
  • 客户端:分发多个DNS地址。
  • 定期为公司的域控制器进行备份(少于180天)

7、验证域安装正确性:如:love.com

①域控制器的active directory用户和计算机

②dns中有两个区域

_msdc.love.com

love.com

8、客户端加域

要注意的问题:

①确保可以和域控制器通讯

②确保DNS指向域控制器

③普通用户也可以将计算机加入域,但有数量限制

客户端加域时 填写域名时是怎么解析出来的?

答:是通过Srv记录解析的,不是通过A记录,最终的解析会回归A记录。

srv记录存在于DNS服务器中的 _msdc.xxx.com区域中的dc下TCP协议下的ldap记录,一般有几个域控就会有几个ldap记录。xxx.com是你的域名,之所以加入域 用域名而不是主机记录是因为用单一的域名可以实现自动负载均衡和高可用。

注意:如果ldap删除了,可以通过重启服务“net logon”来自动注册dns服务恢复ldap记录。

ldap是一个协议,活动目录有一个数据库,通过ldap这套协议标准来读取数据库。

客户端加入域后,登陆域客户端计算机时,输入用户名首先查找本地用户  再是域用户。

客户端怎么确认计算是通过哪个DC登陆域的呢?可以在客户端主机下dos窗口中敲入“set”命令。



二、活动目录的逻辑架构概念

有这样的域环境:ilync.cn、gz.ilync.cn、bj.ilync.cn,问在ilync.cn中创建一个用户alice,把alice加入到ilync.cn的domain admins组中,问alice账号可以管理子域吗?

答:经过实验,alice账号只能查看子域(因为存在信任关系),不能进行子域管理。

1、域的两个重要特性:

  • 域是一个安全边界:权限的定义范围限制在本地域内。
  • 域是一个复制单元:在一个域中无论有多少DC,所有DC的目录服务都是相互复制的、相互同步的。之所以相互复制,是因为要保证在这个域中,目录服务数据库有多个副本,实现容错。

关于复制:

在同一个域中,所有的DC数据库都是相互同步的

如果在同一个域中的两个DC在同一个站点中,默认15S复制一次,如果两个DC不在同一站点中,复制的频率取决于站点链路的频率。

在域中复制的类型有两种:多主复制和单主复制。多主复制每个DC都可能是复制的发起者,单主复制一般一个域中只有主机来发起,如架构改变时,先同步给架构主机,由架构主机去发起复制。

活动目录数据库有三个逻辑分区:domain(域分区)、configration(配置分区)、schema。在同一个域的DC,三个分区数据都同步:如果是同一个林但不是同一个域的DC,只同步configration和schema分区。若要查看这些分区,可通过ADSI编辑器(或者命令adsiedit.msc)来查看。

2、创建子域步骤:

  • 先安装好主域环境,并确保将要安装的子域主机和主域主机是可以通信的。
  • 再将需要成为的子域的主机加入主域环境,
  • 然后用域账号管理员登陆子域主机,再将子域主机提升为子域控制器。
  • 创建过程和创建主域类似,需要注意的是在将主机提升为域控制器时“选择部署操作”时,需要选择第二项“将新域添加到现有林” 并选择域类型为“子域”。netbios填写域名的第一部分,然后一直下一步到完成。

3、验证子域安装正确性:

查看域的逻辑结构工具:active directory域和信任关系。

3.2、子域的作用

便于独立管理,父域的配置不会推送到子域中。

4、创建备份域(辅助域)控制器:

  • 先安装好主域环境,并确保将要安装的备份域主机和主域主机是可以通信的。
  • 再将需要成为的备份域(即辅助域)的主机加入主域环境,
  • 然后用域账号管理员登陆备份域主机,再将备份域主机提升为辅助域控制器。
  • 创建过程和创建主域类似,需要注意的是在将主机提升为域控制器时“选择部署操作”时,需要选择第一项“将域控制器添加到现有域” 指定此操作的域信息为:填写主域域名。然后一直下一步到完成。注意:在指定复制选项可以选择“从介质安装”、也可以“从域控制器复制”。

5、创建林中的另一个域树

  • 先安装好主域环境,并确保将要安装的另一个域树主机(A)和主域主机是可以通信的。
  • 再将需要成为域树的主机(A)加入主域环境,
  • 然后用域账号管理员登陆域树主机(A),再将域树主机(A)提升为域控制器。
  • 创建过程和创建主域类似,需要注意的是在将主机提升为域控制器时“选择部署操作”时,需要选择第二项“将新域添加到现有林”,并选择域类型为“树域”,填写树域新域名(和林域域名没有关系)。填写凭证的用户必须具有ERNTERPRISE admins 权限。
  • 然后一直下一步到完成。注意:netbios名称一般为域名的第一部门。

注意:在林中新建的另一个域树,如果不配置DNS转发器,那么两个域之间是不能ping通的,在dns服务器中,创建条件转发器。

条件转发器有两种,一个是总的转发器,一个是分开。总的转发器在服务器右键属性中可以添加。

6、客户端远程管理域:

  • 远程桌面:默认情况下只能有两个用户进行同时连接、同时也不安全。
  • 下载对应版本的远程服务器管理工具,如“win8远程服务器管理工具”

7、目录树、目录林、ou(组织单元)

目录树:看末尾的域名

目录林:域树组成的一个森林。

OU(组织单元):

  • ou能有效的组织域中对象,使域组织更加有条理
  • ou在公司中一般用来表示一个部门、一个区域。
  • ou可以嵌套
  • 可以针对ou进行权限的委派,实现分散式管理
  • 在ou上可以捆绑组策略,这样使组策略的管理更加细化。

GC(全局编录)

  • GC是一台特殊的DC,记录了整个林中的所有对象
  • 在一个林中至少有一个GC,默认情况下林中第一台DC就是GC。
  • DC的数据库记录了当前域中所有对象的所有属性;GC除了存储当前域中所有的对象的所有属性外,还存储了整个林中的所有对象的部分属性

但是有些对象的字段不一定会被GC收录。

怎么将对象的字段添加到GC收录?

①运行命令:regsvr32.exe schmmgmt.dll

②上述命令添加了活动目录架构。

③打开mmc管理单元,添加活动目录架构

④打开活动目录架构控制台,点击里面的属性,右击相应的字段,勾选“将此属性复制到全局编录”

⑤确定字段的意思,可以通过ADSI中的域分区去查找。

怎么确定哪台是GC?

方法一:打开站点和服务,在站点下面的服务器右击属性,弹出的NTDS Settings里如果“全局编录”打钩就是全局编录服务器,否则不是。

方法二:打开用户和计算机,在domain controllers 里面可以看到DC类型是否为GC。

方法三:在DNS管理器中,正向查找区域-->gc-->tcp中可以一次看到所有的GC服务器。





三、活动目录物理架构和案例

1、域的物理结构

  • 域控制器:每隔15s同步一次
  • 站点 :解决分布的区域服务器实时同步数据库占用带宽的问题。通过配置站点间的同步时间。

2、只读域控:更改只读域控制器配置不会同步到其他服务器。

3、多域多站点配置

要给出物理拓扑和逻辑拓扑。

多域多站点的架构,建议建好相应的站点再去创建域。

注意:如果主域和辅助域不在同一个区域,当安装辅助域同步数据库时,可以通过读取主域的快照来来实现,当然也可以通过网络同步实现。

主域创建快照:在cmd键入如下命令:

ntdsutil

Activate Instance NTDS  //激活实例

IFM        //创建IFM媒体

Create Full c:\ADDB    //创建完整快照

至此主域的快照创建完成,可以发送给其他地区的域管理员进行附加。

时间: 2024-10-01 06:38:57

win2012活动目录介绍的相关文章

36. PowerShel -- 活动目录介绍(2)

PowerShel -- 活动目录管理(1) 本系列所有脚本均在Windows Server 2008 R2 DataCenter (PowerShell 2.0) + PowerGUI Script Editor Free Edition x64中测试通过. 活动目录(Active Directory)是Windows操作系统下的一种企业资源解决方案.其体系结构如下: 在Windows Server 2008 R2上安装了活动目录角色后,会有如下一些管理工具: Active Directory

35. PowerShell -- 活动目录介绍(1)

AD PowerShell cmdlet 提供商: Microsoft and   QUEST Software ·         PowerShell – 活动目录 1.     PowerShell 可以实现对ADSI(Active Directory Service Interface)服务接口的支持: 2.     ADSI类似于Windows 管理规范(WMI),发出一个使用特殊语法编写的查询,然后传递给远程计算机(域控制器),然后执行它.查询结果为一个AD对象或对象的集合(如一个用

AD 活动目录方案

活动目录方案 Windows  Server 2008 的安装要求 组件 要求 处理器 最低:1Ghz 推荐: 2Ghz 最佳: 2Ghz 内存 最低:512MB RAM 推荐: 1GB RAM 最佳: 2GB RAM (Full) or 1GB RAM  (Server Core)或更多 最大(32-bit):4GB (标准版) or 64GB (企业和Datacenter版) 最大(64-bit):32GB (标准版) or 2TB (企业.Datacenter和Itanium版本 可用磁盘

活动目录数据库文件介绍

活动目录中的数据库文件的介绍 活动目录数据库包含大量的核心基础数据,应该妥善保护,及时备份.活动目录数据库是"dit"格式的数据库,和Exchange Server使用的数据库格式相同.在维护活动目录数据库前,只要停止ADDS域服务即可维护数据库. Active Directory数据库是一个事务处理数据库系统,通过日志文件支持回滚操作,从而确保事务提到数据库中.与Active Directory关联的文件包括: Ntds.dit,Active Directory数据库文件 Edbxx

Skype For Business 2015实战系列2:安装活动目录

Skype For Business 2015实战系列2:安装活动目录 今天开始我们就正式进入了Skype For Business 2015的部署阶段,在部署开始之前,我们先来看一下我们本次的环境列表: 计算机名 IP地址 角色 备注 DC 192.168.1.20 AD DS   Mail 192.168.1.22 Exchange 2013   Front01 192.168.1.25 SFB前端   Front01 192.168.1.26 SFB前端   SQL01 192.168.1

windows 2008 活动目录实施方案

Windows Server 2008活动目录实施方案 1.     用户需求 要求 一:活动目录高可用,实现容灾 二:客户机成功加入域,限制财务的用户只能登陆到财务的客户机,每周一到周五实现财务部的用户能够成功登陆,其他时间不允许登陆. 三:组策略限制如下: 1. 限制所有员工桌面背景为1.jpg,为所有用户设置账户锁定策略,输错 两次密码锁定. 2. 限制行政部员工桌面背景为2.jpg 3. 限制销售部员工的开始菜单中删除运行图标,删除桌面的计算机图标        4.为所有客户端自动安装

Windows Server 2012活动目录基础配置与应用(新手教程)之4---域用户的基本管理

下面分几种方式介绍域用户的创建. 1.图形化界面(前文已介绍) STEP1:以自己的名称新建一个账户(或者使用已存在的账户,以自己的名字命名),按如下示例修改该账户的属性: STEP2:每个人为自己所在宿舍的其他人员创建一个账户.(提示:可以复制账户)分析这种方式的优缺点. 2.利用命令方式完成 STEP1:查看dsadd命令帮助信息,从中找到与添加用户有关的指令. STEP2:查看dsadd  user的帮助信息. STEP3:本例中,当前域名为ahgf01.com.cn.下面需要增加名字为u

Win2008R2活动目录回收站功能

活动目录回收功能的出现极大的方便了活动目录的管理人员.在2008R2以前每次误操作删除活动目录的账号都要进入目录还原模式进行还原.及其繁琐.现在我为大家介绍Windows2008R2新的功能活动目录回收站. 方法一 使用Active Directory Module for Windows PowerShell进行还原 1.要使用活动目录回收站,域和林的功能功级别要为Windows Server 2008R2或以上 2.启用回收站功能使用Active Directory Module for W

WindowsServer2003活动目录升级到2012

Windows server 2003 R2的AD 升级至Windows Server 2012的操作过程 操作步骤: 1.首先准备Windows server 2003 R2,Windows server 2008 R2 ,Windows server 2012各一台.其中Windows server 2003 R2为域控制器,域名为NW.COM.三台的服务器的初始网络配置如下表所示: 服务器 IP 子网掩码 DNS Windows server 2003 R2 192.168.8.3 255