1. 程式人生 > >win2012活動目錄介紹

win2012活動目錄介紹

ad

一:活動目錄概述:

1、相關概念:

域:用來描述一種系統架構,和“工作組”相對應,由工作組升級而來的高級架構,在域架構中,可以實現統一化管理(一般通過策略實現,執行下發策略的權限是寫這條策略的用戶即服務器上寫策略的用戶,而非登陸當前客戶端的用戶。)。


活動目錄:是微軟提供的目錄服務(查詢、身份驗證),活動目錄的核心包含了活動目錄數據庫,在活動目錄數據庫中包含了域中所有的對象(用戶、計算機、組。。。)

註意:目錄服務不是我微軟專有的,比如linux的ldap服務也是目錄服務。


域控制器:在域架構中用來管理所有客戶端的服務器,是域架構中的核心,每個域控制器上都包含了活動數據庫。


建議:安裝域控制器時至少有一臺物理機是比較合理的。


2、工作組、域

工作組:每臺計算機都是獨立的,獨立管理

域:域中的客戶端受控於域控制器。


3、微軟基於域的產品平臺

exchange、lync、systemcenter、sqlserver(高可用、cluster)、sharepoint、projectserver、windowshyper-v(實時遷移)


4、企業中部署域架構

①在域架構中,最核心的就是DC(域控制器),創建域首先必須要創建DC,DC創建完成後,把所有的客戶端加入DC中,這樣就形成了域環境。

②域控制器是由工作組的計算機升級而成,通過DCPROMO命令就可以完成升級。註意windows2012版本之前可以通過DCPROMO實現,win2012及後續版本只能通過圖形界面完成。

③只有windows server(web版本除外)才可以提成為域控制器。註意win2012中只有標準版和數據中心版。

④在升級DC前,不需要安裝DNS服務。dc的安裝和dns的安裝放在一起來做,是建議的做法。

⑤文件系統必須要是NTFS。 原因是:FAT32的文件系統單個文件最大4GB,而活動目錄數據庫就是一個單獨的文件,有可能大於4GB。


5、安裝DC服務器(域控制器)步驟:

①、IP地址設置:靜態地址

第一臺域控的DNS指向自己的IP地址。

②、服務器安裝向導安裝域服務。

Active Directory域服務

註意:win2012中角色和功能在一個向導裏

③、一直到角色安裝完成。

④、點擊“將此服務器提升為域控制器”會出現如下三個選擇:

  • 將域控制器添加到現有域

  • 將新域添加到現有林

  • 添加新林

如果是第一次創建域,選擇“添加新林”,輸入域名,推薦為公司公網域名。

如:xxxx.com

也可以寫成xxxx.local,但是不推薦。

⑤、選擇新林和根域的功能級別: 限制的是整個域中域控制器操作系統版本。

林功能級別:

域功能級別:

指定域控制器功能:

域名系統DNS服務器 :選擇此項,安裝DNS

全局編錄(GC):默認選擇,一個域中需要一臺全局編錄服務器。

只讀域控制器(RODC)

輸入目錄服務還原模式(DSRM)密碼:

一般來說,一個域功能級別兼容三個版本,往後(新版本)兼容。

如果域功能級別為:windows server 2003模式,兼容DC:2003 ,2008,2008R2

⑥、一直下一步到安裝完成。


6、如何保證域的高可用性:

  • 不要再域控制器運行大型的服務(如:exchange、sharepoint、sqlserver、lync)

  • 不要讓公網直接能夠訪問到域控制器。

  • 為公司的DC部署多臺備份域控制器

  • 客戶端:分發多個DNS地址。

  • 定期為公司的域控制器進行備份(少於180天)


7、驗證域安裝正確性:如:love.com

①域控制器的active directory用戶和計算機

②dns中有兩個區域

_msdc.love.com

love.com


8、客戶端加域

要註意的問題:

①確保可以和域控制器通訊

②確保DNS指向域控制器

③普通用戶也可以將計算機加入域,但有數量限制


客戶端加域時 填寫域名時是怎麽解析出來的?

答:是通過Srv記錄解析的,不是通過A記錄,最終的解析會回歸A記錄。

srv記錄存在於DNS服務器中的 _msdc.xxx.com區域中的dc下TCP協議下的ldap記錄,一般有幾個域控就會有幾個ldap記錄。xxx.com是你的域名,之所以加入域 用域名而不是主機記錄是因為用單一的域名可以實現自動負載均衡和高可用。

註意:如果ldap刪除了,可以通過重啟服務“net logon”來自動註冊dns服務恢復ldap記錄。

ldap是一個協議,活動目錄有一個數據庫,通過ldap這套協議標準來讀取數據庫。


客戶端加入域後,登陸域客戶端計算機時,輸入用戶名首先查找本地用戶 再是域用戶。

客戶端怎麽確認計算是通過哪個DC登陸域的呢?可以在客戶端主機下dos窗口中敲入“set”命令。




二、活動目錄的邏輯架構概念

有這樣的域環境:ilync.cn、gz.ilync.cn、bj.ilync.cn,問在ilync.cn中創建一個用戶alice,把alice加入到ilync.cn的domain admins組中,問alice賬號可以管理子域嗎?

答:經過實驗,alice賬號只能查看子域(因為存在信任關系),不能進行子域管理。


1、域的兩個重要特性:

  • 域是一個安全邊界:權限的定義範圍限制在本地域內。

  • 域是一個復制單元:在一個域中無論有多少DC,所有DC的目錄服務都是相互復制的、相互同步的。之所以相互復制,是因為要保證在這個域中,目錄服務數據庫有多個副本,實現容錯。


關於復制:

在同一個域中,所有的DC數據庫都是相互同步的

如果在同一個域中的兩個DC在同一個站點中,默認15S復制一次,如果兩個DC不在同一站點中,復制的頻率取決於站點鏈路的頻率。

在域中復制的類型有兩種:多主復制和單主復制。多主復制每個DC都可能是復制的發起者,單主復制一般一個域中只有主機來發起,如架構改變時,先同步給架構主機,由架構主機去發起復制。

活動目錄數據庫有三個邏輯分區:domain(域分區)、configration(配置分區)、schema。在同一個域的DC,三個分區數據都同步:如果是同一個林但不是同一個域的DC,只同步configration和schema分區。若要查看這些分區,可通過ADSI編輯器(或者命令adsiedit.msc)來查看。



2、創建子域步驟:

  • 先安裝好主域環境,並確保將要安裝的子域主機和主域主機是可以通信的。

  • 再將需要成為的子域的主機加入主域環境,

  • 然後用域賬號管理員登陸子域主機,再將子域主機提升為子域控制器。

  • 創建過程和創建主域類似,需要註意的是在將主機提升為域控制器時“選擇部署操作”時,需要選擇第二項“將新域添加到現有林” 並選擇域類型為“子域”。netbios填寫域名的第一部分,然後一直下一步到完成。


3、驗證子域安裝正確性:

查看域的邏輯結構工具:active directory域和信任關系。


3.2、子域的作用

便於獨立管理,父域的配置不會推送到子域中。


4、創建備份域(輔助域)控制器:

  • 先安裝好主域環境,並確保將要安裝的備份域主機和主域主機是可以通信的。

  • 再將需要成為的備份域(即輔助域)的主機加入主域環境,

  • 然後用域賬號管理員登陸備份域主機,再將備份域主機提升為輔助域控制器。

  • 創建過程和創建主域類似,需要註意的是在將主機提升為域控制器時“選擇部署操作”時,需要選擇第一項“將域控制器添加到現有域” 指定此操作的域信息為:填寫主域域名。然後一直下一步到完成。註意:在指定復制選項可以選擇“從介質安裝”、也可以“從域控制器復制”。


5、創建林中的另一個域樹

  • 先安裝好主域環境,並確保將要安裝的另一個域樹主機(A)和主域主機是可以通信的。

  • 再將需要成為域樹的主機(A)加入主域環境,

  • 然後用域賬號管理員登陸域樹主機(A),再將域樹主機(A)提升為域控制器。

  • 創建過程和創建主域類似,需要註意的是在將主機提升為域控制器時“選擇部署操作”時,需要選擇第二項“將新域添加到現有林”,並選擇域類型為“樹域”,填寫樹域新域名(和林域域名沒有關系)。填寫憑證的用戶必須具有ERNTERPRISE admins 權限。

  • 然後一直下一步到完成。註意:netbios名稱一般為域名的第一部門。


註意:在林中新建的另一個域樹,如果不配置DNS轉發器,那麽兩個域之間是不能ping通的,在dns服務器中,創建條件轉發器。

條件轉發器有兩種,一個是總的轉發器,一個是分開。總的轉發器在服務器右鍵屬性中可以添加。




6、客戶端遠程管理域:

  • 遠程桌面:默認情況下只能有兩個用戶進行同時連接、同時也不安全。

  • 下載對應版本的遠程服務器管理工具,如“win8遠程服務器管理工具”


7、目錄樹、目錄林、ou(組織單元)

目錄樹:看末尾的域名

目錄林:域樹組成的一個森林。


OU(組織單元):

  • ou能有效的組織域中對象,使域組織更加有條理

  • ou在公司中一般用來表示一個部門、一個區域。

  • ou可以嵌套

  • 可以針對ou進行權限的委派,實現分散式管理

  • 在ou上可以捆綁組策略,這樣使組策略的管理更加細化。


GC(全局編錄)

  • GC是一臺特殊的DC,記錄了整個林中的所有對象

  • 在一個林中至少有一個GC,默認情況下林中第一臺DC就是GC。

  • DC的數據庫記錄了當前域中所有對象的所有屬性;GC除了存儲當前域中所有的對象的所有屬性外,還存儲了整個林中的所有對象的部分屬性


但是有些對象的字段不一定會被GC收錄。

怎麽將對象的字段添加到GC收錄?

①運行命令:regsvr32.exe schmmgmt.dll

②上述命令添加了活動目錄架構。

③打開mmc管理單元,添加活動目錄架構

④打開活動目錄架構控制臺,點擊裏面的屬性,右擊相應的字段,勾選“將此屬性復制到全局編錄”

⑤確定字段的意思,可以通過ADSI中的域分區去查找。



怎麽確定哪臺是GC?

方法一:打開站點和服務,在站點下面的服務器右擊屬性,彈出的NTDS Settings裏如果“全局編錄”打鉤就是全局編錄服務器,否則不是。

方法二:打開用戶和計算機,在domain controllers 裏面可以看到DC類型是否為GC。

方法三:在DNS管理器中,正向查找區域-->gc-->tcp中可以一次看到所有的GC服務器。





三、活動目錄物理架構和案例

1、域的物理結構

  • 域控制器:每隔15s同步一次

  • 站點 :解決分布的區域服務器實時同步數據庫占用帶寬的問題。通過配置站點間的同步時間。


2、只讀域控:更改只讀域控制器配置不會同步到其他服務器。


3、多域多站點配置

要給出物理拓撲和邏輯拓撲。

多域多站點的架構,建議建好相應的站點再去創建域。








註意:如果主域和輔助域不在同一個區域,當安裝輔助域同步數據庫時,可以通過讀取主域的快照來來實現,當然也可以通過網絡同步實現。

主域創建快照:在cmd鍵入如下命令:

ntdsutil

Activate Instance NTDS //激活實例

IFM //創建IFM媒體

Create Full c:\ADDB //創建完整快照

至此主域的快照創建完成,可以發送給其他地區的域管理員進行附加。






























win2012活動目錄介紹