部署域環境簡單,難的是管理依賴於域的應用。
域的規劃存在多樣性,可以根據公司的架構,管理理念選擇適合自身的域架構。
微軟建議使用單域多站點模式,可以適應大部分企業需求。
域只是一個平臺,更重要的是前期規劃要方便後期應用,能夠支撐更多的服務。
如沒有特殊需求,域規劃越簡單越好,能用單域多站點解決的應用盡量不要使用父子域,能用父子域解決的應用盡量不使用單林多域環境。
部署域的價值:統一用戶身份標識,提升企業形象。通過域環境單點登錄,降低運維成本。更清晰的組織架構和權限管理。與其他系統做集成。組策略管理。權限委派等。
獨立服務器 成員服務器 域控制器(只讀域控制器,額外域控制器,域控制器)
如果網絡中安裝的是第一臺域控制器,那麼該服務器默認就是林根服務器,也是根域服務器,FSMO操作主機角色默認也是安裝到第一臺域控制器。
額外域控制器和域控制器之間的平行關係,他們之間的區別在於是否存在FSMO角色。
ADDS服務和普通服務是一樣的,在“服務”控制檯,可以完成“啓動 停止,暫停”操作。
域控制器會被添加到“domain controllers”組織單元中。
域環境中,DNS是基石,網絡中的計算機通過DNS定位域控制器。
域 域樹 域林 根域
DNS可以解析主機名稱和IP地址
域控制器需要將自己註冊到DNS服務器中。
建議將DNS 和ADDS服務部署在同一臺服務器中。
域是一個有安全邊界的集合,同一個域中的計算機彼此之間建立信任關係,計算機之間允許相互訪問。
大部分企業管理都是通過組策略完成的。
小型企業採用單域
中型企業(總部+多分支)採用單域多站點或父子域
集團企業,各分公司獨立運營,採用單林多域
根域 get-adforest命令驗證根域所在的服務器
域樹由多個域組成,這些域共享同一存儲結構和配置,形成一個連續的名字空間,樹中的域通過信任關係連接。
父子域之間的關係是雙向信任的。
域林是由多棵域樹構成的,域林中的所有域樹仍共享同一個存儲結構,配置和全局目錄,所有域樹之間通過kerberos建立信任關係。
域樹由多個域組成,這些域共享同一個存儲結構和目錄,形成一個連續的名字空間。
域樹中的域通過雙向可傳遞信任關係連接在一起。
禁止隨意添加/刪除域控制器。緊張FSMO角色任意分配。謹慎備份域控制器。
重命名 激活系統 打全補丁 靜態IP 集成區域DNS服務。
安裝ADDS服務分兩個階段:安裝角色和提升域服務。
將域控制器添加到現有域---就是部署多臺域控。
將新域添加到現有林---爲現有林中添加新域,創建另一棵全新的域樹。
添加新林
網絡中的第一臺域控制器默認爲GC全局編錄服務器。
目錄還原模式主要用來還原active directory數據庫。
林功能級別 域功能級別
設置AD數據庫文件夾,AD日誌文件夾,SYSVOL文件夾的存放位置
兩個服務:ADDS 和 ADWS
將服務器提升爲域控制器的過程中,安裝嚮導自動確定該域控制器屬於哪個站點的成員。
活動目錄數據庫文件 Ntds.dit 存儲域控制器中所有活動目錄對象。
日誌文件 edb.log
系統檢查點文件edb.chk
鍵入net accounts命令查看第一臺域控的計算機角色
驗證系統共享卷SYSVOL和netlogon服務 net share
默認域策略和默認域控制策略
GUID 全局唯一標識符
驗證目錄服務器 dcdiag /test:netlogons
驗證SRV記錄:登錄DNS控制檯
驗證FSMO操作主機角色 netdom query fsmo
事件查看器 安裝日誌 debug文件夾中
本地管理員 域管理員
用於Windows power shell的active directory模塊
ADSI編輯器
Active directory 域和信任關係
Active directory 用戶和計算機
Active directory 管理中心
Active directory 站點和服務
DNS
域控制器改IP地址---掌握
重命名域控制器---掌握
部署額外域控制器和子域
把成員服務器通過添加角色和功能提升爲額外域控制器
查看網絡中所有的域控制器和GC dsquery server dsquery server-isgc
第一臺域控制器生成安裝介質,使用ntdsutil工具創建。
Ntdsutil:activate instance ntds ---ifm---create sysvol full e:\dcinstallmedia—quit
管理GC:全局編錄服務器不僅記錄本域所有對象的只讀信息,還會記錄其他域中部分對象的只讀信息。
GC的主要作用是:存儲對象信息副本,提高搜索性能
通過ps查詢當前林中所有的全局編錄服務器:get-adforest|fl global catalogs
查詢當前域中所有的站點:dsquery site
查詢某個站點中所有的GC: get-addomaincontroller –filter {site –eq “上海站點”} |ft name,isglobalcatalog
域控制器提升爲GC命令
Dsmod server“CN=BDC,CN=server,CN=default-first-site-name,CN=sites,CN=configuration,DC=book,DC=local ”-isgc yes|no
GC服務使用的默認端口是3268 查看端口是否監聽 netstat –an | find “3268”
註冊MMC active directory架構:regsvr32 schmmgmt.dll
連接到活動目錄數據庫 使用 ADSI編輯器
連接到全局編錄服務器活動目錄數據庫
管理操作主機角色FSMO
架構主機角色 schema master 域命名主機角色 domain naming master RID主機角色 relative identifier master PDC模擬主機角色 基礎架構主機角色
架構角色的作用是定義所有域對象屬性
域命名主機角色的作用是爲負責控制域林內域的添加或刪除
基礎架構主機角色負責對跨域對象的引用進行更新
RID主機角色爲域中每一個對象創建SID
林環境內:整個林中只有一臺架構主機和域命名主機
域環境內:每一個域擁有自己的RID主機 PDC 和基礎架構主機
擁有PDC主機角色的域控一般爲主域控制器
PDC角色也可以在不同域控制器之間切換,使用transfer 或 seize
FSMO角色轉移:應首先嚐試角色轉移,如果轉移不成功,纔會執行佔用操作
一般不建議將基礎架構主機角色指派給GC所在的域控制器
Netdom query fsmo
查看主域控制器 net accounts
轉移FSMO角色,克隆虛擬機後要重新生成SID。否則報錯
查看自己的SID
重新生成SID
轉移主機角色的過程中,具備操作主機角色的域控制器必須始終在線,操作主機轉移過程支持逆向操作,除了schema master需要使用ntdsutil命令行方式轉移外,其他幾個角色都可以在圖像界面完成操作。
