AD域服務及搭建

博客地址：http://www.moonxy.com

一、前言

1.1 AD 域服務

什麼是目錄（directory）呢？

日常生活中使用的電話薄內記錄着親朋好友的姓名、電話與地址等數據，它就是 telephone directory（電話目錄）；計算機中的文件系統（file system）內記錄着文件的文件名、大小與日期等數據，它就是 file directory（文件目錄）。

如果這些目錄內的數據能夠由系統加以整理，用戶就能夠容易且迅速地查找到所需的數據，而 directory service（目錄服務）提供的服務，就是要達到此目的。在現實生活中，查號臺也是一種目錄；在 Internet 上，百度和谷歌提供的搜索功能也是一種目錄服務。

Active Directory 域內的 directory database（目錄數據庫）被用來存儲用戶賬戶、計算機賬戶、打印機和共享文件夾等對象，而提供目錄服務的組件就是 Active Directory （活動目錄）域服務（Active Directory Domain Service，AD DS），它負責目錄數據庫的存儲、添加、刪除、修改與查詢等操作。一般適用於一個局域網內。

在 AD 域服務（AD DS）內，AD 就是一個命名空間（Namespace）。利用 AD，我們可以通過對象名稱來找到與這個對象有關的所有信息。

在 TCP/IP 網絡環境內利用 Domain Name System（DNS）來解析主機名與 IP 地址的對應關係，也就是利用 DNS 來解析來得到主機的 IP 地址。除此之外，AD 域服務也與 DNS 緊密結合在一起，它的域命名空間也是採用 DNS 架構，因此域名採用 DNS 格式來命名，例如可以將 AD 域的域名命名爲 moonxy.com。

1.2 AD域對象與屬性

AD 域內的資源以對象（Object）的形式存在，例如用戶、計算機與打印機等都是對象，而對象則通過屬性（Attriburte）來描述其特徵，也就是說對象本身是一些屬性的集合。例如，創建一個賬戶張三，則必須添加一個對象類型（object class）爲用戶的對象（也就是用戶賬戶），然後在這個用戶賬戶內輸入張三的姓名、登錄賬戶、電話號碼和電子郵件等信息，這其中的用戶賬戶就是對象，而姓名、登錄賬戶等數據就是該對象的屬性，張三就是對象類型爲用戶（user）的對象。

1.3 AD 域控制器 DC

AD 域服務（AD DS）的目錄數據存儲在域控制器（Domain Controller，DC）內。一個域內可以有多臺域控制器，每臺域控制器的地位幾乎是平等的，它們各自存儲着一份幾乎完全相同的 Active Directory。當在任何一臺域控制器內添加了一個用戶賬戶後，此賬戶默認被創建在此域控制器的 Active Directory，之後會自動被複制（replicate）到其他域控制器的 Active Directory，以便讓所有域控制器內的 Active Directory 數據都能夠同步（synchronize）。

當用戶在域內某臺計算機登錄時，會由其中一臺域控制器根據其 Active Directory 內的賬戶數據，來審覈用戶輸入的賬戶與密碼是否正確。如果是正確的，用戶就可以登錄成功；反之，會被拒絕登錄。域控制器是由服務器級別的額計算機來扮演的，例如 Windows Server 2012 和 Windows Server 2008 R2 等。

通常，域控制器的 Active Directory 數據庫是可以被讀寫的，除此之外，還有 Active Directory 數據庫是只可以讀取、不可以被修改的只讀域控制器（Read-Only Domain Controller，RODC）。例如，某子公司位於遠程網絡，如果安全措施並不像總公司一樣完備，則可以使用 RODC。

1.4 LDAP

LDAP（Lightweight Directory Access Protocol），輕量目錄訪問協議，是一種用來查詢與更新 Active Directory 的目錄服務通信協議。AD 域服務利用 LDAP 命名路徑（LDAP naming path）來表示對象在 AD 內的位置，以便用它來訪問 AD 內的對象。

LDAP 數據的組織方式：

LDAP 名稱路徑如下：

標識名稱（distinguished Name，DN）：它是對象在 Active Directory 內的完整路徑，DN 有三個屬性，分別是 CN，OU，DC。

DC (Domain Component)：域名組件；

CN (Common Name)：通用名稱，一般爲用戶名或計算機名；

OU (Organizational Unit)：組織單位；

例如，如上用戶賬戶，其 DN 爲：

CN=張三,OU=Web前端組,OU=軟件開發部,DC=moonxy,DC=com

其中 DC（Domain Component）表示 DNS 域名中的組件，例如 moonxy.com 中的 moonxy 與 com；OU爲組織單位（Organization Unit）；CN爲通用名稱（Common Name），一般爲用戶名或服務器名。除了DC與OU之外，其他都利用CN來表示，例如用戶與計算機對象都屬於CN。上述DN表示法中的 moonxy.com 爲域名，軟件研發部、Web前端組都是組織單位。此 DN 表示賬戶張三存儲在 moonxy.com\軟件研發部\Web前端組路徑中。

相對標識名稱（Relative Distinguished Name，RDN）：RDN用來代表DN完整路徑中的部分路徑，例如上面路徑中的 CN=張三與 OU=Web前端組等都是 RDN。

Base DN：LDAP 目錄樹的最頂部就是根，也就是所謂的 "Base DN"，如 "DC=moonxy,DC=com"。

除了 DN 與 RDN 這兩個對象名稱外，另外還有如下兩個名稱：

全局唯一標識符（Global Unique Identifier，GUID）：GUID 是一個128位的數值，系統會自動爲每個對象指定一個唯一的GUID。雖然可以改變對象的名稱，但是其GUID永遠不會改變。

用戶主體名稱（User Principal Name，UPN）：每個用戶還可以有一個比DN更短、更容易記憶的 UPN，例如上面的張三隸屬於 moonxy.com，則其 UPN 可以爲 [email protected]。用戶登錄時所輸入的賬戶名最好是 UPN，因爲無論此用戶的賬戶被移動到哪一個域，其 UPN 都不會改變，因此用戶可以一直使用同一個名稱來登錄。

AD 與 LDAP 的關係：LDAP 是一種用來訪問 AD 數據庫的目錄服務協議，AD DS 會通過 LDAP 名稱路徑來表示對象在 AD 數據庫中的位置，以便用它來訪問 AD 數據庫內的對象。LDAP 的名稱路徑包括有 DN、RDN。

openLDAP（Linux），Active Directory（Microsoft）等是對 LDAP 目錄訪問協議的具體實現，除了實現協議的功能，還對它進行了擴展。

1.5 全局編錄

雖然在域樹內的所有域共享一個 Active Directory，但是 Active Directory 數據卻分散在各個域內，而每個域僅存儲該域本身的數據。因此，爲了讓用戶、應用程序能夠快速找到位於其他域內的資源，在 AD 域服務器內設計了全局編錄（Global Catalog，GC）。

全局編錄的數據存儲在域控制器內，這臺域控制器被稱爲全局編錄服務器，它存儲着林內所有域的 AD 內的每個對象。不過只存儲對象的部分屬性，這些屬性都是常用來搜索的屬性，例如用戶的電話號碼、登錄賬戶名等。全局編錄讓用戶即使不知道對象位於哪一個域內，仍然可以快速的找到所需的對象。

用戶登錄時，全局編錄服務器還負責提供該用戶所屬的通用組的信息；用戶利用 UPN 登錄時，它會負責提供該用戶隸屬於哪一個域的信息。

一個林內的所有域樹共享相同的全局編錄，而林內的第一臺域控制器默認就是全局編錄服務器。必要時，也可以另外指派其他域控制器來當做全局編錄服務器。

二、安裝 DNS 和 AD 域服務

Windows 版本：Windows Server 2008 Enterprise Service Pack 1

系統類型： 64 位操作系統

2.1 安裝 DNS 服務器

這一步不是必須的，在安裝 Active Directory 域服務時可以同時裝上 DNS 服務器：Active Directory 域服務安裝嚮導 -> 其它域控制服務器，勾上 DNS 服務器也有同樣效果。但是鑑於服務器配置容易出現一些未知錯誤，所以還是推薦提前安裝 DNS 服務比較好。

首先應該配置 DNS 服務器的靜態 IP（推薦），否則安裝時會出現如下提示：

並且 DNS 服務器的地址設置爲自己的地址 127.0.0.1：

開始菜單 -> 管理工具 -> 服務器管理器，或者直接點擊開始菜單旁邊的快捷圖標：

選擇左側樹形菜單 "角色" 節點，右鍵 "添加角色"，此處的 "角色" 表示此服務器要被配置爲什麼功能的服務器，即提供什麼樣的服務：

進入 "添加角色嚮導"，點擊 "下一步" 按鈕：

進入選擇 "角色" 頁面：

勾選 "DNS 服務器" 角色，並點擊 "下一步" 按鈕：

進入 DNS 服務器簡介頁面，點擊 "下一步" 按鈕：

進入確認安裝頁面，點擊 "安裝" 按鈕：

出現如下進度條：

點擊 "關閉" 按鈕，並重啓服務器：

此時，DNS 服務已經安裝完成。

2.2 安裝 Active Directory 域服務

進入 "服務器管理器" 中添加 AD 域服務角色：

或者點擊開始菜單 -> 運行 -> 輸入命令 "dcpromo" ，然後回車：

備註：

dcpromo 命令是一個 "開關" 命令。如果 Windows Server 2008 計算機是成員服務器，則運行 dcpromo 命令會安裝 AD 活動目錄，將其升級爲域控制器；如果Windows Server 2008 計算機已經是域控制器，則運行 dcpromo 命令會卸載 AD 活動目錄，將其降級爲成員服務器。

進入安裝界面界面：

彈出 Active Direcotry 域服務安裝嚮導，點擊 "下一步" 按鈕：

進入兼容性提醒頁面，不用理會，點擊 "下一步" 按鈕：

注意：如果是第一次搭建也是你整個內網中的第一臺域控制器，那麼需要選擇第二項 "在新林中新建域"，第一項是內網中已經存在 AD 環境再想搭建額外域控制器的時候使用的。

選擇 "在新林中新建域”並點擊"，點擊 "下一步" 按鈕：

輸入域名，這個要慎重，因爲這個配置完畢之後要修改很麻煩且有風險，並點擊 "下一步" 按鈕：

進入林功能級別設置界面，選擇 "Windows Server 2008"，然後點擊 "下一步"：

注意：

這裏需要強調的是，如果你的 AD 中以後可能會出現 Windows Server 2003 系統的域控制器，請務必選擇 Windows Server 2003 的域功能級別，要不以後那些 Windows Server 2003 的服務器就做不了域控制器了，所以安裝第一臺 DC 的時候，都選擇的低級別的林功能，以後要升到 Windows Server 2008 的域功能級別是沒問題的，若是選了 Windows Server 2008 的功能級別，以後要降級就難了。

點擊 "下一步" 按鈕：

如果最初沒有安裝 DNS 服務器，此處可以勾選並安裝：

如果已經安裝，此處即爲灰色：

彈出 DNS 提示框，不用理會，點擊 "是" 按鈕，繼續安裝：

進入AD 域的數據庫文件、日誌文件和共享文件位置設置頁面，此處保持默認設置，點擊 "下一步" 按鈕：

進入 "域還原密碼" 設置界面，此密碼相當的重要，後續做數據庫遷移、備份、整理、恢復的時候都可能用到，務必要牢記：

填入密碼之後，點擊 "下一步" 按鈕：

進入 "摘要" 界面，顯示之前設置的摘要信息，點擊 "下一步" 按鈕：

此處可以點擊 "導出設置" 到一個位置保持起來，以便後續排錯時查閱，也可以作爲 DC 安裝時的無人值守安裝的腳本。

安裝嚮導進入配置過程

點擊 "完成" 按鈕，重啓服務器：

此時，AD 域服務已經安裝完成。ADDS域控制器已經安裝完成，在完成域控制器的安裝後，系統會自動的將該服務器的用戶賬號轉移到 AD 數據庫中。

2.3 檢查 DC 是否已經註冊到 DNS

域控制器 DC 會將自己扮演的角色註冊到 DNS 服務器內，以便讓其他計算機能夠通過 DNS 服務器來找到這臺域控制器，因此先檢查 DNS 服務器內是否已經存在這些記錄。利用與系統管理員（MOONXY/Administrator）登錄。

檢查主機記錄

首先檢查域控制器是否已經將其主機名與 IP 地址註冊到 DNS 服務器內。請到扮演 DNS 服務器角色的計算機 WIN-NHLP41A04F6.moonxy.com 上點擊 "DNS" 菜單：

此處應該會有一個名稱爲 moonxy.com 的區域，圖中的主機(A)記錄表示域控制器 WIN-NHLP41A04F6.moonxy.com 已經正確地將其主機名與 IP 地址註冊到 DNS 服務器內。DNS 客戶端所提出的請求大多是正向解析，即通過 hostname 來解析 IP 地址對應與此處的正向查找區域；通過 IP 來查找 hostname 即爲反向解析，對應於此處的反向查找區域。

如果域控制器已經正確地將其扮演的角色註冊到 DNS 服務器，則還應該有對應的 _tcp、_udp 等文件夾。在單擊 _tcp 文件夾後可以看到如下所示的界面，其中數據類型爲服務位置（SRV）的 _ldap 記錄，表示 WIN-NHLP41A04F6.moonxy.com 已經正確地註冊爲域控制器。其中的 _gc 記錄還可以看出全局編錄服務器的角色也是由 WIN-NHLP41A04F6.moonxy.com 扮演的。

DNS 區域內包含這些數據後，其他要加入域的計算機就可以通過通過此區域來得知域控制器爲 WIN-NHLP41A04F6.moonxy.com。這些加入域的成員（域控制器、成員服務器、Windows 8、Windows 7、Windows Vista、Windows XP Professional 等）也會將其主機與 IP 地址數據註冊到此區域內。

三、管理 AD 域用戶賬戶

3.1 域用戶管理工具

可以使用如下兩個工具來管理域賬戶，如下：

Active Directory 用戶和計算機：這是之前 Windows Server 2008、Windows Server 2003 等系統就已經提供的工具；

Active Directory 管理中心：這是從 Windows Server 2008 R2 開始提供的工具，用來取代 Active Directory 用戶和計算機。

3.2 創建組織單位與域用戶賬戶

通過使用 Active Directory 用戶和計算機進行說明：

可以將用戶賬戶創建到任何一個容器或組織單位（OU）內。以下創建一個名爲軟件研發部的組織單位。然後再建子組織單位，最後在此子組織單位內創建域用戶賬戶。

創建組織單位：

輸入軟件研發部的組織單位，然後點擊 "確定" 按鈕：

創建之後，在該組織下面繼續創建兩個子組織單位：Web 前端組和 Java 開發組。

Web 前端組：

Java開發組：

創建用戶：

進入創建用戶界面，填入用戶信息，比如此處創建用戶：張三，然後點擊 "下一步" 按鈕：

注意：

用戶 UPN 登錄：用戶可以利用這個與電子郵箱格式相同的名稱（[email protected]）來登錄域，此名稱被稱爲 User Principal Name（UPN）。在整個林內，此名稱必須是唯一的。

用戶 SamAccountName 登錄：用戶也可以利用此名稱（MOONXY\zhangsan）來登錄域，其中 MOONXY 爲 NetBIOS 域名。同一個域內，此登錄名稱必須是唯一的。Windows NT、Windows 98 等舊版系統並不支持 UPN，因此在這些計算機上登錄時，只能使用此處的登錄名。

進入創建密碼界面，域用戶的密碼默認必須至少7個字符，且至少包含大寫字母、小寫字母、數字、非字母數字等4組中的3組，點擊 "下一步" 按鈕：