AD域服務及搭建

博客地址:http://www.moonxy.com

一、前言

1.1 AD 域服務

什麼是目錄(directory)呢?

日常生活中使用的電話薄內記錄着親朋好友的姓名、電話與地址等數據,它就是 telephone directory(電話目錄);計算機中的文件系統(file system)內記錄着文件的文件名、大小與日期等數據,它就是 file directory(文件目錄)。

如果這些目錄內的數據能夠由系統加以整理,用戶就能夠容易且迅速地查找到所需的數據,而 directory service(目錄服務)提供的服務,就是要達到此目的。在現實生活中,查號臺也是一種目錄;在 Internet 上,百度和谷歌提供的搜索功能也是一種目錄服務。

Active Directory 域內的 directory database(目錄數據庫)被用來存儲用戶賬戶、計算機賬戶、打印機和共享文件夾等對象,而提供目錄服務的組件就是 Active Directory (活動目錄)域服務(Active Directory Domain Service,AD DS),它負責目錄數據庫的存儲、添加、刪除、修改與查詢等操作。一般適用於一個局域網內。

在 AD 域服務(AD DS)內,AD 就是一個命名空間(Namespace)。利用 AD,我們可以通過對象名稱來找到與這個對象有關的所有信息。

在 TCP/IP 網絡環境內利用 Domain Name System(DNS)來解析主機名與 IP 地址的對應關係,也就是利用 DNS 來解析來得到主機的 IP 地址。除此之外,AD 域服務也與 DNS 緊密結合在一起,它的域命名空間也是採用 DNS 架構,因此域名採用 DNS 格式來命名,例如可以將 AD 域的域名命名爲 moonxy.com。

1.2 AD域對象與屬性

AD 域內的資源以對象(Object)的形式存在,例如用戶、計算機與打印機等都是對象,而對象則通過屬性(Attriburte)來描述其特徵,也就是說對象本身是一些屬性的集合。例如,創建一個賬戶張三,則必須添加一個對象類型(object class)爲用戶的對象(也就是用戶賬戶),然後在這個用戶賬戶內輸入張三的姓名、登錄賬戶、電話號碼和電子郵件等信息,這其中的用戶賬戶就是對象,而姓名、登錄賬戶等數據就是該對象的屬性,張三就是對象類型爲用戶(user)的對象。

1.3 AD 域控制器 DC

AD 域服務(AD DS)的目錄數據存儲在域控制器(Domain Controller,DC)內。一個域內可以有多臺域控制器,每臺域控制器的地位幾乎是平等的,它們各自存儲着一份幾乎完全相同的 Active Directory。當在任何一臺域控制器內添加了一個用戶賬戶後,此賬戶默認被創建在此域控制器的 Active Directory,之後會自動被複制(replicate)到其他域控制器的 Active Directory,以便讓所有域控制器內的 Active Directory 數據都能夠同步(synchronize)。

當用戶在域內某臺計算機登錄時,會由其中一臺域控制器根據其 Active Directory 內的賬戶數據,來審覈用戶輸入的賬戶與密碼是否正確。如果是正確的,用戶就可以登錄成功;反之,會被拒絕登錄。域控制器是由服務器級別的額計算機來扮演的,例如 Windows Server 2012 和 Windows Server 2008 R2 等。

通常,域控制器的 Active Directory 數據庫是可以被讀寫的,除此之外,還有 Active Directory 數據庫是只可以讀取、不可以被修改的只讀域控制器(Read-Only Domain Controller,RODC)。例如,某子公司位於遠程網絡,如果安全措施並不像總公司一樣完備,則可以使用 RODC。

1.4 LDAP

LDAP(Lightweight Directory Access Protocol),輕量目錄訪問協議,是一種用來查詢與更新 Active Directory 的目錄服務通信協議。AD 域服務利用 LDAP 命名路徑(LDAP naming path)來表示對象在 AD 內的位置,以便用它來訪問 AD 內的對象。

LDAP 數據的組織方式:

LDAP 名稱路徑如下:

標識名稱(distinguished Name,DN):它是對象在 Active Directory 內的完整路徑,DN 有三個屬性,分別是 CN,OU,DC

DC (Domain Component):域名組件;

CN (Common Name):通用名稱,一般爲用戶名或計算機名;

OU (Organizational Unit):組織單位;

例如,如上用戶賬戶,其 DN 爲:

CN=張三,OU=Web前端組,OU=軟件開發部,DC=moonxy,DC=com

其中 DC(Domain Component)表示 DNS 域名中的組件,例如 moonxy.com 中的 moonxy 與 com;OU爲組織單位(Organization Unit)CN爲通用名稱(Common Name),一般爲用戶名或服務器名。除了DC與OU之外,其他都利用CN來表示,例如用戶與計算機對象都屬於CN。上述DN表示法中的 moonxy.com 爲域名,軟件研發部、Web前端組都是組織單位。此 DN 表示賬戶張三存儲在 moonxy.com\軟件研發部\Web前端組路徑中。

相對標識名稱(Relative Distinguished Name,RDN):RDN用來代表DN完整路徑中的部分路徑,例如上面路徑中的 CN=張三與 OU=Web前端組等都是 RDN。

Base DN:LDAP 目錄樹的最頂部就是根,也就是所謂的 "Base DN",如 "DC=moonxy,DC=com"。

除了 DN 與 RDN 這兩個對象名稱外,另外還有如下兩個名稱:

全局唯一標識符(Global Unique Identifier,GUID):GUID 是一個128位的數值,系統會自動爲每個對象指定一個唯一的GUID。雖然可以改變對象的名稱,但是其GUID永遠不會改變。

用戶主體名稱(User Principal Name,UPN):每個用戶還可以有一個比DN更短、更容易記憶的 UPN,例如上面的張三隸屬於 moonxy.com,則其 UPN 可以爲 [email protected]。用戶登錄時所輸入的賬戶名最好是 UPN,因爲無論此用戶的賬戶被移動到哪一個域,其 UPN 都不會改變,因此用戶可以一直使用同一個名稱來登錄。

AD 與 LDAP 的關係:LDAP 是一種用來訪問 AD 數據庫的目錄服務協議,AD DS 會通過 LDAP 名稱路徑來表示對象在 AD 數據庫中的位置,以便用它來訪問 AD 數據庫內的對象。LDAP 的名稱路徑包括有 DN、RDN。

openLDAP(Linux),Active Directory(Microsoft)等是對 LDAP 目錄訪問協議的具體實現,除了實現協議的功能,還對它進行了擴展。

1.5 全局編錄

雖然在域樹內的所有域共享一個 Active Directory,但是 Active Directory 數據卻分散在各個域內,而每個域僅存儲該域本身的數據。因此,爲了讓用戶、應用程序能夠快速找到位於其他域內的資源,在 AD 域服務器內設計了全局編錄(Global Catalog,GC)

全局編錄的數據存儲在域控制器內,這臺域控制器被稱爲全局編錄服務器,它存儲着林內所有域的 AD 內的每個對象。不過只存儲對象的部分屬性,這些屬性都是常用來搜索的屬性,例如用戶的電話號碼、登錄賬戶名等。全局編錄讓用戶即使不知道對象位於哪一個域內,仍然可以快速的找到所需的對象。

用戶登錄時,全局編錄服務器還負責提供該用戶所屬的通用組的信息;用戶利用 UPN 登錄時,它會負責提供該用戶隸屬於哪一個域的信息。

一個林內的所有域樹共享相同的全局編錄,而林內的第一臺域控制器默認就是全局編錄服務器。必要時,也可以另外指派其他域控制器來當做全局編錄服務器。

二、安裝 DNS 和 AD 域服務

Windows 版本:Windows Server 2008 Enterprise Service Pack 1

系統類型: 64 位操作系統

2.1 安裝 DNS 服務器

這一步不是必須的,在安裝 Active Directory 域服務時可以同時裝上 DNS 服務器:Active Directory 域服務安裝嚮導 -> 其它域控制服務器,勾上 DNS 服務器也有同樣效果。但是鑑於服務器配置容易出現一些未知錯誤,所以還是推薦提前安裝 DNS 服務比較好。

首先應該配置 DNS 服務器的靜態 IP(推薦),否則安裝時會出現如下提示:

並且 DNS 服務器的地址設置爲自己的地址 127.0.0.1:

開始菜單 -> 管理工具 -> 服務器管理器,或者直接點擊開始菜單旁邊的快捷圖標:

選擇左側樹形菜單 "角色" 節點,右鍵 "添加角色",此處的 "角色" 表示此服務器要被配置爲什麼功能的服務器,即提供什麼樣的服務:

 進入 "添加角色嚮導",點擊 "下一步" 按鈕:

進入選擇 "角色" 頁面:

勾選 "DNS 服務器" 角色,並點擊 "下一步" 按鈕:

進入 DNS 服務器簡介頁面,點擊 "下一步" 按鈕:

進入確認安裝頁面,點擊 "安裝" 按鈕:

出現如下進度條:

點擊 "關閉" 按鈕,並重啓服務器:

此時,DNS 服務已經安裝完成。

2.2 安裝 Active Directory 域服務

進入 "服務器管理器" 中添加 AD 域服務角色:

或者點擊開始菜單 -> 運行 -> 輸入命令 "dcpromo" ,然後回車:

備註:

dcpromo 命令是一個 "開關" 命令。如果 Windows Server  2008 計算機是成員服務器,則 運行 dcpromo 命令會安裝 AD 活動目錄,將其升級爲域控制器;如果Windows Server 2008 計算機已經是域控制器,則運行 dcpromo 命令會卸載 AD 活動目錄,將其降級爲成員服務器。

進入安裝界面界面:

彈出 Active Direcotry 域服務安裝嚮導,點擊 "下一步" 按鈕:

進入兼容性提醒頁面,不用理會,點擊 "下一步" 按鈕:

注意:如果是第一次搭建也是你整個內網中的第一臺域控制器,那麼需要選擇第二項 "在新林中新建域",第一項是內網中已經存在 AD 環境再想搭建額外域控制器的時候使用的。

選擇 "在新林中新建域”並點擊",點擊 "下一步" 按鈕:

輸入域名,這個要慎重,因爲這個配置完畢之後要修改很麻煩且有風險,並點擊 "下一步" 按鈕:

進入林功能級別設置界面,選擇 "Windows Server 2008",然後點擊 "下一步":

注意:

這裏需要強調的是,如果你的 AD 中以後可能會出現 Windows Server 2003 系統的域控制器,請務必選擇 Windows Server 2003 的域功能級別,要不以後那些 Windows Server 2003 的服務器就做不了域控制器了,所以安裝第一臺 DC 的時候,都選擇的低級別的林功能,以後要升到 Windows Server 2008 的域功能級別是沒問題的,若是選了 Windows Server 2008 的功能級別,以後要降級就難了。

點擊 "下一步" 按鈕:

如果最初沒有安裝 DNS 服務器,此處可以勾選並安裝:

如果已經安裝,此處即爲灰色:

彈出 DNS 提示框,不用理會,點擊 "是" 按鈕,繼續安裝:

進入AD 域的數據庫文件、日誌文件和共享文件位置設置頁面,此處保持默認設置,點擊 "下一步" 按鈕:

進入 "域還原密碼" 設置界面,此密碼相當的重要,後續做數據庫遷移、備份、整理、恢復的時候都可能用到,務必要牢記:

 填入密碼之後,點擊 "下一步" 按鈕:

進入 "摘要" 界面,顯示之前設置的摘要信息,點擊 "下一步" 按鈕:

此處可以點擊 "導出設置" 到一個位置保持起來,以便後續排錯時查閱,也可以作爲 DC 安裝時的無人值守安裝的腳本。

安裝嚮導進入配置過程

點擊 "完成" 按鈕,重啓服務器:

此時,AD  域服務已經安裝完成。ADDS域控制器已經安裝完成,在完成域控制器的安裝後,系統會自動的將該服務器的用戶賬號轉移到 AD 數據庫中。

2.3 檢查 DC 是否已經註冊到 DNS

域控制器 DC 會將自己扮演的角色註冊到 DNS 服務器內,以便讓其他計算機能夠通過 DNS 服務器來找到這臺域控制器,因此先檢查 DNS 服務器內是否已經存在這些記錄。利用與系統管理員(MOONXY/Administrator)登錄。

檢查主機記錄

首先檢查域控制器是否已經將其主機名與 IP 地址註冊到 DNS 服務器內。請到扮演 DNS 服務器角色的計算機 WIN-NHLP41A04F6.moonxy.com 上點擊 "DNS" 菜單:

此處應該會有一個名稱爲 moonxy.com 的區域,圖中的主機(A)記錄表示域控制器 WIN-NHLP41A04F6.moonxy.com 已經正確地將其主機名與 IP 地址註冊到 DNS 服務器內。DNS 客戶端所提出的請求大多是正向解析,即通過 hostname 來解析 IP 地址對應與此處的正向查找區域;通過 IP 來查找 hostname 即爲反向解析,對應於此處的反向查找區域。

如果域控制器已經正確地將其扮演的角色註冊到 DNS 服務器,則還應該有對應的 _tcp、_udp 等文件夾。在單擊 _tcp 文件夾後可以看到如下所示的界面,其中數據類型爲服務位置(SRV)的 _ldap 記錄,表示 WIN-NHLP41A04F6.moonxy.com 已經正確地註冊爲域控制器。其中的 _gc 記錄還可以看出全局編錄服務器的角色也是由 WIN-NHLP41A04F6.moonxy.com 扮演的。

DNS 區域內包含這些數據後,其他要加入域的計算機就可以通過通過此區域來得知域控制器爲 WIN-NHLP41A04F6.moonxy.com。這些加入域的成員(域控制器、成員服務器、Windows 8、Windows 7、Windows Vista、Windows XP Professional 等)也會將其主機與 IP 地址數據註冊到此區域內。

三、管理 AD 域用戶賬戶

3.1 域用戶管理工具

可以使用如下兩個工具來管理域賬戶,如下:

Active Directory 用戶和計算機:這是之前 Windows Server 2008、Windows Server 2003 等系統就已經提供的工具;

Active Directory 管理中心:這是從 Windows Server 2008 R2 開始提供的工具,用來取代 Active Directory 用戶和計算機。

3.2 創建組織單位與域用戶賬戶

通過使用 Active Directory 用戶和計算機進行說明:

可以將用戶賬戶創建到任何一個容器或組織單位(OU)內。以下創建一個名爲軟件研發部的組織單位。然後再建子組織單位,最後在此子組織單位內創建域用戶賬戶。

創建組織單位:

輸入軟件研發部的組織單位,然後點擊 "確定" 按鈕:

創建之後,在該組織下面繼續創建兩個子組織單位:Web 前端組和 Java 開發組

Web 前端組:

Java開發組:

創建用戶:

進入創建用戶界面,填入用戶信息,比如此處創建用戶:張三,然後點擊 "下一步" 按鈕:

注意:

用戶 UPN 登錄:用戶可以利用這個與電子郵箱格式相同的名稱([email protected])來登錄域,此名稱被稱爲 User Principal Name(UPN)。在整個林內,此名稱必須是唯一的。

用戶 SamAccountName 登錄:用戶也可以利用此名稱(MOONXY\zhangsan)來登錄域,其中 MOONXY 爲 NetBIOS 域名。同一個域內,此登錄名稱必須是唯一的。Windows NT、Windows 98 等舊版系統並不支持 UPN,因此在這些計算機上登錄時,只能使用此處的登錄名。

進入創建密碼界面,域用戶的密碼默認必須至少7個字符,且至少包含大寫字母、小寫字母、數字、非字母數字等4組中的3組,點擊 "下一步" 按鈕:

進入完成頁面:

 點擊上面的 "完成" 按鈕,即可看到新增的用戶:張三

同理,在 "Web 前端組" 子組織單位下繼續創建用戶:李四,在 "Java開發組" 組組織機構下創建兩個用戶:王五、趙六。結果如下:

Web 前端組用戶:

Java 開發組用戶:

創建好上面的域用戶賬戶之後,就可以用來測試登錄域的操作。直接到域內任何一臺非域控制器的計算機上登錄域,例如 Windows Server 2012 成員服務器或已加入域的 Windows 8 計算機。一般用戶賬戶默認無法在域控制器上登錄,除非另外開放。

備註:

以上是 Windows Server 2008  AD 域服務器搭建的過程和簡介,此過程也適用於 Windows Server 2008 R2 版本的 AD域搭建。此外也可以參考如下博友不同版本的搭建過程:

Windows Server 2008 R2 AD服務器搭建

Windwos 08R2_DNS全面圖文詳解

Windows 08 R2_創建AD DS域服務(圖文詳解)

Windows Server 2008 R2 配置AD(Active Directory)域控制器(圖文教程)

Windows Server 2012 R2 創建AD域


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章