一 AD概述
1.1 AD簡介
域(Domain)是Windows網絡中獨立運行的單位,域之間相互訪問則需要建立信任關係。
當一個域與其他域建立了信任關係後,2個域之間不但可以按需要相互進行管理,還可以跨網分配文件和打印機等設備資源,使不同的域之間實現網絡資源的共享與管理,以及相互通信和數據傳輸。
域既是 Windows 網絡操作系統的邏輯組織單元,也是Internet的邏輯組織單元,在 Windows 網絡操作系統中,域是安全邊界。域管理員只能管理域的內部,除非其他的域顯式地賦予他管理權限,他才能夠訪問或者管理其他的域,每個域都有自己的安全策略,以及它與其他域的安全信任關係。
1.2 域的原理
工作組方式使得系統的一切設置在本機上進行,包括各種策略、用戶登錄,密碼也是存放在本機的數據庫來驗證。若該計算機加入域的話,各種策略是域控制器統一設定,用戶名和密碼也是放到域控制器去驗證,即賬號密碼可以在同一域的任何一臺計算機登錄。
“域”的真正含義指的是服務器控制網絡上的計算機能否加入的計算機組合。
在“域”模式下,至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作,稱爲“域控制器(Domain Controller,簡寫爲DC)”。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的數據庫。
當電腦聯入網絡時,域控制器首先要鑑別這臺電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。
如果以上信息有一樣不一致,那麼域控制器則拒絕這個用戶從這臺電腦登錄。
1.3 域和組的區別
工作組是一羣計算機的集合,它僅僅是一個邏輯的集合,各自計算機各自管理,若要訪問其他計算機,需要被訪問計算機上來實現用戶驗證的。
而域是一個有安全邊界的計算機集合,在同一個域中的計算機彼此之間已經建立了信任關係,在域內訪問其他機器,不再需要被訪問機器的許可了。
因爲在加入域的時候,管理員爲每個計算機在域中(可和用戶不在同一域中)建立了一個計算機帳戶,這個帳戶和用戶帳戶一樣,也有密碼(登錄憑證,由DC(域控制器)上的KDC服務來頒發和維護)保護的。
域和工作組適用的環境不同,域一般是用在比較大的網絡裏,工作組則較小,在一個域中需要一臺類似服務器的計算機,叫域控服務器,其他電腦如果想互相訪問首先都是經過它的。
但是工作組則不同,在一個工作組裏的所有計算機都是對等的,也就是沒有服務器和客戶機之分。
1.4 域的優勢
- 方便管理,權限管理比較集中,可以較好的管理計算機資源。
- 安全性高,有利於企業的一些保密資料的管理,比如一個文件只能讓某一個人或指定人員看,但不可以刪/改/移等。
- 方便對用戶操作進行權限設置,可以分發,指派軟件等,實現網絡內的軟件一起安裝。
- 很多服務必須建立在域環境中,對管理員來說有好處:統一管理,方便在MS 軟件方面集成,如ISA EXCHANGE(郵件服務器)、ISA SERVER(上網的各種設置與管理)等。
- 使用漫遊賬戶和文件夾重定向技術,個人賬戶的工作文件及數據等可以存儲在服務器上,統一進行備份、管理,用戶的數據更加安全、有保障。
- 方便用戶使用各種資源。
- SMS(System Management Server)能夠分發應用程序、系統補丁等,用戶可以選擇安裝,也可以由系統管理員指派自動安裝。並能集中管理系統補丁(如Windows Updates),不需每臺客戶端服務器都下載同樣的補丁,從而節省大量網絡帶寬。
- 資源共享:用戶和管理員可以不知道他們所需要的對象的確切名稱,但是他們可能知道這個對象的一個或多個屬性,他們可以通過查找對象的部分屬性在域中得到一個所有已知屬性相匹配的對象列表,通過域使得基於一個或者多個對象屬性來查找一個對象變得可能。
提示:如上參考 https://zhuanlan.zhihu.com/p/45553448 。
二 部署規劃準備
2.1 服務器規劃
按照如下規劃配置主機名(domain前綴)及IP。
服務器名稱 |
描述 |
IP |
DNS |
操作系統 |
備註 |
adserver.imxhy.com |
DNS服務器
AD域控 |
10.7.11.10 |
127.0.0.1 |
Windows Server 2016 R2 DC | |
nodea |
域控服務器 |
10.7.10.101 |
10.7.11.10 |
Windows Server 2016 R2 DC |
提示:爲便於測試,本環境將所有節點的專用、公用、域網絡的防火牆均關閉。
三 DNS服務器安裝
dsserver相關IP設置如下。
服務器管理器 -> 添加角色和功能,選擇DNS 服務器,下一步:
保持默認。
選擇基於角色或基於功能的安裝。
選擇從服務器池中選擇服務器,選擇本主機。
勾選DNS服務器。
勾選包括管理工具。
保持默認。
保持默認。
勾選如果需要,自動重新啓動目標服務器。
等待安裝完成。
如下相關服務已安裝完成。
四 安裝 Active Directory 域服務
服務器管理器 -> 添加角色和功能,選擇Active Directory 域服務。
保持默認。
選擇基於角色或基於功能的安裝。
選擇從服務器池中選擇服務器,選擇本主機。
勾選Active Directory域服務器,包括管理工具。
確認信息,下一步。
保持默認。
確認信息。
確認所選內容,勾選如果需要,自動重新啓動目標服務器。
等待安裝完成。
確認安裝完成。
將此服務器提升爲域控制器,進入域控制器服務嚮導。
彈出 Active Direcotry 域服務配置嚮導,選擇 "添加新林”,輸入域名imxhy.com,這個需慎重,FQDN配置完畢之後修改相對麻煩且有風險,並點擊 "下一步" 按鈕:
注意:如果是第一次搭建,同時也是整個內網中的第一臺域控制器,那麼需要選擇第二項 "在新林中新建域",第一項是內網中已經存在 AD 環境再想搭建額外域控制器的時候使用的。
設置DSRM密碼,默認林中的第一棵域樹的根域的域控制器必須擔當全局編錄服務器和必須安裝DNS服務,不能是隻讀域控制器。
設置"域還原密碼",此密碼相當的重要,後續做數據庫遷移、備份、整理、恢復的時候都可能用到,需要謹記:
創建DNS委派,跳過即可。
NetBIOS名稱,默認即可。
進入AD 域的數據庫文件、日誌文件和共享文件位置設置頁面,此處保持默認設置,點擊 "下一步" 按鈕:
進入 "摘要" 界面,顯示之前設置的摘要信息,點擊 "下一步" 按鈕:
也可查看詳細腳本:
#
# 用於 AD DS 部署的 Windows PowerShell 腳本
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "WinThreshold" `
-DomainName "imxhy.com" `
-DomainNetbiosName "IMXHY" `
-ForestMode "WinThreshold" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true
先決條件檢查,通過後即可進行安裝。
安裝嚮導進入安裝過程。
提示:安裝完成後,建議重啓服務器。
此時,AD 域服務已經安裝完成,ADDS域控制器已經安裝完成,在完成域控制器的安裝後,系統會自動的將該服務器的用戶賬號轉移到 AD 數據庫中。
域控制器 DC 會將自己扮演的角色註冊到 DNS 服務器內,以便讓其他計算機能夠通過 DNS 服務器來找到這臺域控制器,因此先檢查 DNS 服務器內是否已經存在這些記錄。
首先檢查域控制器是否已經將其主機名與 IP 地址註冊到 DNS 服務器內,本域控制器也扮演DNS服務器,則進入DNS中查看,此處應該會有一個名稱爲 imxhy.com 的區域,主機(A)記錄表示域控制器 dsserver.imxhy.com 已經正確地將其主機名與 IP 地址註冊到 DNS 服務器內。DNS 客戶端所提出的請求大多是正向解析,即通過 hostname 來解析 IP 地址對應與此處的正向查找區域;通過 IP 來查找 hostname 即爲反向解析,對應於此處的反向查找區域。
如果域控制器已經正確地將其扮演的角色註冊到 DNS 服務器,則還應該有對應的 _tcp、_udp 等文件夾。在單擊 _tcp 文件夾後可以看到如下所示的界面,其中數據類型爲服務位置(SRV)的 _ldap 記錄,表示 adserver.imxhy.com 已經正確地註冊爲域控制器。其中的 _gc 記錄還可以看出全局編錄服務器的角色也是由 adserver.imxhy.com 扮演的。
DNS 區域內包含這些數據後,其他要加入域的計算機就可以通過通過此區域來得知域控制器爲 adserver.imxhy.com。這些加入域的成員(域控制器、成員服務器、Windows 8、Windows 7、Windows Vista、Windows XP Professional 等)也會將其主機與 IP 地址數據註冊到此區域內。
五 域用戶創建及加入
5.1 域用戶創建
控制面板 -> 管理工具 -> Active Directory 用戶和計算機,或者通過服務器管理器進入。
打開AD用戶和計算機,新建用戶。
設置相關snagforuser01賬號及密碼。
設置符合一定密碼複雜度要求的密碼。本示例設置爲Sangfor@2021 。
確認信息。
將snagforuser01加入到administrators管理組中。
5.2 加入域控
nodea相關IP設置如下。
高級 -> DNS -> 此連接的 dns 後綴,添加域控的完整名稱。
計算機右鍵 -> 屬性 -> 高級系統設置 -> 計算機名 -> 更改
修改計算機名nodea,修改隸屬於域:imxhy.com
點確定之後彈出一個輸入在域控中建立的用戶的用戶名和密碼。
提示加入成功,加入成功後建議重啓計算機。
注意:nodea.imxhy.com等客戶端都需要配置相關DNS爲172.24.8.35,才能加入域“imxhy.com”。
5.3 服務器配置域帳戶管理員
在nodea.imxhy.com計算機繼續使用本地管理員administrator登錄,分別將“imxhy\sangforuser01”帳戶添加爲本機管理員,如圖所示:
添加——>高級。
輸入用戶名:sangforuser01,密碼:Sangfor@2021 。
將sangforuser01加入到管理員組。
確認添加成功。
註銷本地administrator,使用[email protected]用戶登錄,確認已具有管理員權限。
成功登錄系統。