一 AD概述
1.1 AD簡介
域(Domain)是Windows網絡中獨立運作的機關,域之間互相通路則需要建立信任關系。
當一個域與其他域建立了信任關系後,2個域之間不但可以按需要互相進行管理,還可以跨網配置設定檔案和列印機等裝置資源,使不同的域之間實作網絡資源的共享與管理,以及互相通信和資料傳輸。
域既是 Windows 網絡作業系統的邏輯組織單元,也是Internet的邏輯組織單元,在 Windows 網絡作業系統中,域是安全邊界。域管理者隻能管理域的内部,除非其他的域顯式地賦予他管理權限,他才能夠通路或者管理其他的域,每個域都有自己的安全政策,以及它與其他域的安全信任關系。
1.2 域的原理
工作組方式使得系統的一切設定在本機上進行,包括各種政策、使用者登入,密碼也是存放在本機的資料庫來驗證。若該計算機加入域的話,各種政策是域控制器統一設定,使用者名和密碼也是放到域控制器去驗證,即賬号密碼可以在同一域的任何一台計算機登入。
“域”的真正含義指的是伺服器控制網絡上的計算機能否加入的計算機組合。
在“域”模式下,至少有一台伺服器負責每一台聯入網絡的電腦和使用者的驗證工作,稱為“域控制器(Domain Controller,簡寫為DC)”。
域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等資訊構成的資料庫。
當電腦聯入網絡時,域控制器首先要鑒别這台電腦是否是屬于這個域的,使用者使用的登入賬号是否存在、密碼是否正确。
如果以上資訊有一樣不一緻,那麼域控制器則拒絕這個使用者從這台電腦登入。
1.3 域群組的差別
工作組是一群計算機的集合,它僅僅是一個邏輯的集合,各自計算機各自管理,若要通路其他計算機,需要被通路計算機上來實作使用者驗證的。
而域是一個有安全邊界的計算機集合,在同一個域中的計算機彼此之間已經建立了信任關系,在域内通路其他機器,不再需要被通路機器的許可了。
因為在加入域的時候,管理者為每個計算機在域中(可和使用者不在同一域中)建立了一個計算機帳戶,這個帳戶和使用者帳戶一樣,也有密碼(登入憑證,由DC(域控制器)上的KDC服務來頒發和維護)保護的。
域和工作組适用的環境不同,域一般是用在比較大的網絡裡,工作組則較小,在一個域中需要一台類似伺服器的計算機,叫域控伺服器,其他電腦如果想互相通路首先都是經過它的。
但是工作組則不同,在一個工作組裡的所有計算機都是對等的,也就是沒有伺服器和客戶機之分。
1.4 域的優勢
- 友善管理,權限管理比較集中,可以較好的管理計算機資源。
- 安全性高,有利于企業的一些保密資料的管理,比如一個檔案隻能讓某一個人或指定人員看,但不可以删/改/移等。
- 友善對使用者操作進行權限設定,可以分發,指派軟體等,實作網絡内的軟體一起安裝。
- 很多服務必須建立在域環境中,對管理者來說有好處:統一管理,友善在MS 軟體方面內建,如ISA EXCHANGE(郵件伺服器)、ISA SERVER(上網的各種設定與管理)等。
- 使用漫遊賬戶和檔案夾重定向技術,個人賬戶的工作檔案及資料等可以存儲在伺服器上,統一進行備份、管理,使用者的資料更加安全、有保障。
- 友善使用者使用各種資源。
- SMS(System Management Server)能夠分發應用程式、系統更新檔等,使用者可以選擇安裝,也可以由系統管理者指派自動安裝。并能集中管理系統更新檔(如Windows Updates),不需每台用戶端伺服器都下載下傳同樣的更新檔,進而節省大量網絡帶寬。
- 資源共享:使用者和管理者可以不知道他們所需要的對象的确切名稱,但是他們可能知道這個對象的一個或多個屬性,他們可以通過查找對象的部分屬性在域中得到一個所有已知屬性相比對的對象清單,通過域使得基于一個或者多個對象屬性來查找一個對象變得可能。
提示:如上參考 https://zhuanlan.zhihu.com/p/45553448 。
二 部署規劃準備
2.1 伺服器規劃
按照如下規劃配置主機名(domain字首)及IP。
| 伺服器名稱 | 描述 | IP | DNS | 作業系統 | 備注 |
| adserver.imxhy.com | DNS伺服器 AD域控 | 10.7.11.10 | 127.0.0.1 | Windows Server 2016 R2 DC | |
| nodea | 域控伺服器 | 10.7.10.101 |
提示:為便于測試,本環境将所有節點的專用、公用、域網絡的防火牆均關閉。
三 DNS伺服器安裝
dsserver相關IP設定如下。
伺服器管理器 -> 添加角色和功能,選擇DNS 伺服器,下一步:
保持預設。
選擇基于角色或基于功能的安裝。
選擇從伺服器池中選擇伺服器,選擇本主機。
勾選DNS伺服器。
勾選包括管理工具。
勾選如果需要,自動重新啟動目标伺服器。
等待安裝完成。
如下相關服務已安裝完成。
四 安裝 Active Directory 域服務
伺服器管理器 -> 添加角色和功能,選擇Active Directory 域服務。
勾選Active Directory域伺服器,包括管理工具。
确認資訊,下一步。
确認資訊。
确認所選内容,勾選如果需要,自動重新啟動目标伺服器。
确認安裝完成。
将此伺服器提升為域控制器,進入域控制器服務向導。
彈出 Active Direcotry 域服務配置向導,選擇 "添加新林”,輸入域名imxhy.com,這個需慎重,FQDN配置完畢之後修改相對麻煩且有風險,并點選 "下一步" 按鈕:
注意:如果是第一次搭建,同時也是整個内網中的第一台域控制器,那麼需要選擇第二項 "在新林中建立域",第一項是内網中已經存在 AD 環境再想搭建額外域控制器的時候使用的。
設定DSRM密碼,預設林中的第一棵域樹的根域的域控制器必須擔當全局編錄伺服器和必須安裝DNS服務,不能是隻讀域控制器。
設定"域還原密碼",此密碼相當的重要,後續做資料庫遷移、備份、整理、恢複的時候都可能用到,需要謹記:
建立DNS委派,跳過即可。
NetBIOS名稱,預設即可。
進入AD 域的資料庫檔案、日志檔案和共享檔案位置設定頁面,此處保持預設設定,點選 "下一步" 按鈕:
進入 "摘要" 界面,顯示之前設定的摘要資訊,點選 "下一步" 按鈕:
也可檢視詳細腳本:
#
# 用于 AD DS 部署的 Windows PowerShell 腳本
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "WinThreshold" `
-DomainName "imxhy.com" `
-DomainNetbiosName "IMXHY" `
-ForestMode "WinThreshold" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true
先決條件檢查,通過後即可進行安裝。
安裝向導進入安裝過程。
提示:安裝完成後,建議重新開機伺服器。
此時,AD 域服務已經安裝完成,ADDS域控制器已經安裝完成,在完成域控制器的安裝後,系統會自動的将該伺服器的使用者賬号轉移到 AD 資料庫中。
域控制器 DC 會将自己扮演的角色注冊到 DNS 伺服器内,以便讓其他計算機能夠通過 DNS 伺服器來找到這台域控制器,是以先檢查 DNS 伺服器内是否已經存在這些記錄。
首先檢查域控制器是否已經将其主機名與 IP 位址注冊到 DNS 伺服器内,本域控制器也扮演DNS伺服器,則進入DNS中檢視,此處應該會有一個名稱為 imxhy.com 的區域,主機(A)記錄表示域控制器 dsserver.imxhy.com 已經正确地将其主機名與 IP 位址注冊到 DNS 伺服器内。DNS 用戶端所提出的請求大多是正向解析,即通過 hostname 來解析 IP 位址對應與此處的正向查找區域;通過 IP 來查找 hostname 即為反向解析,對應于此處的反向查找區域。
如果域控制器已經正确地将其扮演的角色注冊到 DNS 伺服器,則還應該有對應的 _tcp、_udp 等檔案夾。在單擊 _tcp 檔案夾後可以看到如下所示的界面,其中資料類型為服務位置(SRV)的 _ldap 記錄,表示 adserver.imxhy.com 已經正确地注冊為域控制器。其中的 _gc 記錄還可以看出全局編錄伺服器的角色也是由 adserver.imxhy.com 扮演的。
DNS 區域内包含這些資料後,其他要加入域的計算機就可以通過通過此區域來得知域控制器為 adserver.imxhy.com。這些加入域的成員(域控制器、成員伺服器、Windows 8、Windows 7、Windows Vista、Windows XP Professional 等)也會将其主機與 IP 位址資料注冊到此區域内。
五 域使用者建立及加入
5.1 域使用者建立
控制台 -> 管理工具 -> Active Directory 使用者和計算機,或者通過伺服器管理器進入。
打開AD使用者和計算機,建立使用者。
設定相關snagforuser01賬号及密碼。
設定符合一定密碼複雜度要求的密碼。本示例設定為Sangfor@2021 。
将snagforuser01加入到administrators管理組中。
5.2 加入域控
nodea相關IP設定如下。
進階 -> DNS -> 此連接配接的 dns 字尾,添加域控的完整名稱。
計算機右鍵 -> 屬性 -> 進階系統設定 -> 計算機名 -> 更改
修改計算機名nodea,修改隸屬于域:imxhy.com
點确定之後彈出一個輸入在域控中建立的使用者的使用者名和密碼。
提示加入成功,加入成功後建議重新開機計算機。
注意:nodea.imxhy.com等用戶端都需要配置相關DNS為172.24.8.35,才能加入域“imxhy.com”。
5.3 伺服器配置域帳戶管理者
在nodea.imxhy.com計算機繼續使用本地管理者administrator登入,分别将“imxhy\sangforuser01”帳戶添加為本機管理者,如圖所示:
添加——>進階。
輸入使用者名:sangforuser01,密碼:Sangfor@2021 。
将sangforuser01加入到管理者組。
确認添加成功。
登出本地administrator,使用[email protected]使用者登入,确認已具有管理者權限。
成功登入系統。
作者:木二
出處:http://www.cnblogs.com/itzgr/
關于作者:雲計算、虛拟化,Linux,多多交流!
本文版權歸作者所有,歡迎轉載,但未經作者同意必須保留此段聲明,且在文章頁面明顯位置給出原文連結!如有其他問題,可郵件([email protected])咨詢。