win2012活动目录介绍
一:活動目錄概述:
1、相關概念: 域:用來描述一種系統(tǒng)架構(gòu),和“工作組”相對應,由工作組升級而來的高級架構(gòu),在域架構(gòu)中,可以實現(xiàn)統(tǒng)一化管理(一般通過策略實現(xiàn),執(zhí)行下發(fā)策略的權(quán)限是寫這條策略的用戶即服務器上寫策略的用戶,而非登陸當前客戶端的用戶。)。 活動目錄:是微軟提供的目錄服務(查詢、身份驗證),活動目錄的核心包含了活動目錄數(shù)據(jù)庫,在活動目錄數(shù)據(jù)庫中包含了域中所有的對象(用戶、計算機、組。。。) 注意:目錄服務不是我微軟專有的,比如linux的ldap服務也是目錄服務。 域控制器:在域架構(gòu)中用來管理所有客戶端的服務器,是域架構(gòu)中的核心,每個域控制器上都包含了活動數(shù)據(jù)庫。 建議:安裝域控制器時至少有一臺物理機是比較合理的。 2、工作組、域 工作組:每臺計算機都是獨立的,獨立管理 域:域中的客戶端受控于域控制器。 3、微軟基于域的產(chǎn)品平臺 exchange、lync、systemcenter、sqlserver(高可用、cluster)、sharepoint、projectserver、windowshyper-v(實時遷移) 4、企業(yè)中部署域架構(gòu) ①在域架構(gòu)中,最核心的就是DC(域控制器),創(chuàng)建域首先必須要創(chuàng)建DC,DC創(chuàng)建完成后,把所有的客戶端加入DC中,這樣就形成了域環(huán)境。 ②域控制器是由工作組的計算機升級而成,通過DCPROMO命令就可以完成升級。注意windows2012版本之前可以通過DCPROMO實現(xiàn),win2012及后續(xù)版本只能通過圖形界面完成。 ③只有windows server(web版本除外)才可以提成為域控制器。注意win2012中只有標準版和數(shù)據(jù)中心版。 ④在升級DC前,不需要安裝DNS服務。dc的安裝和dns的安裝放在一起來做,是建議的做法。 ⑤文件系統(tǒng)必須要是NTFS。 原因是:FAT32的文件系統(tǒng)單個文件最大4GB,而活動目錄數(shù)據(jù)庫就是一個單獨的文件,有可能大于4GB。 5、安裝DC服務器(域控制器)步驟: ①、IP地址設置:靜態(tài)地址 第一臺域控的DNS指向自己的IP地址。 ②、服務器安裝向?qū)О惭b域服務。 ????Active Directory域服務 注意:win2012中角色和功能在一個向?qū)Ю?/p> ③、一直到角色安裝完成。 ④、點擊“將此服務器提升為域控制器”會出現(xiàn)如下三個選擇:
如果是第一次創(chuàng)建域,選擇“添加新林”,輸入域名,推薦為公司公網(wǎng)域名。 如:xxxx.com 也可以寫成xxxx.local,但是不推薦。 ⑤、選擇新林和根域的功能級別: 限制的是整個域中域控制器操作系統(tǒng)版本。 ????林功能級別: ????域功能級別: 指定域控制器功能: ????域名系統(tǒng)DNS服務器 :選擇此項,安裝DNS ????全局編錄(GC):默認選擇,一個域中需要一臺全局編錄服務器。 ????只讀域控制器(RODC) 輸入目錄服務還原模式(DSRM)密碼: 一般來說,一個域功能級別兼容三個版本,往后(新版本)兼容。 如果域功能級別為:windows server 2003模式,兼容DC:2003 ,2008,2008R2 ⑥、一直下一步到安裝完成。 6、如何保證域的高可用性:
7、驗證域安裝正確性:如:love.com ①域控制器的active directory用戶和計算機 ②dns中有兩個區(qū)域 ????_msdc.love.com ????love.com ??????? 8、客戶端加域 要注意的問題: ①確保可以和域控制器通訊? ②確保DNS指向域控制器 ③普通用戶也可以將計算機加入域,但有數(shù)量限制 客戶端加域時 填寫域名時是怎么解析出來的? 答:是通過Srv記錄解析的,不是通過A記錄,最終的解析會回歸A記錄。 srv記錄存在于DNS服務器中的?_msdc.xxx.com區(qū)域中的dc下TCP協(xié)議下的ldap記錄,一般有幾個域控就會有幾個ldap記錄。xxx.com是你的域名,之所以加入域 用域名而不是主機記錄是因為用單一的域名可以實現(xiàn)自動負載均衡和高可用。 注意:如果ldap刪除了,可以通過重啟服務“net logon”來自動注冊dns服務恢復ldap記錄。 ldap是一個協(xié)議,活動目錄有一個數(shù)據(jù)庫,通過ldap這套協(xié)議標準來讀取數(shù)據(jù)庫。 客戶端加入域后,登陸域客戶端計算機時,輸入用戶名首先查找本地用戶? 再是域用戶。 |
二、活動目錄的邏輯架構(gòu)概念
有這樣的域環(huán)境:ilync.cn、gz.ilync.cn、bj.ilync.cn,問在ilync.cn中創(chuàng)建一個用戶alice,把alice加入到ilync.cn的domain admins組中,問alice賬號可以管理子域嗎?
答:經(jīng)過實驗,alice賬號只能查看子域(因為存在信任關系),不能進行子域管理。
1、域的兩個重要特性:
????域是一個安全邊界:權(quán)限的定義范圍限制在本地域內(nèi)。
????域是一個復制單元:在一個域中無論有多少DC,所有DC的目錄服務都是相互復制的、相互同步的。之所以相互復制,是因為要保證在這個域中,目錄服務數(shù)據(jù)庫有多個副本,實現(xiàn)容錯。
關于復制:
????????在同一個域中,所有的DC數(shù)據(jù)庫都是相互同步的
????????如果在同一個域中的兩個DC在同一個站點中,默認15S復制一次,如果兩個DC不在同一站點中,復制的頻率取決于站點鏈路的頻率。
????????在域中復制的類型有兩種:多主復制和單主復制。多主復制每個DC都可能是復制的發(fā)起者,單主復制一般一個域中只有主機來發(fā)起,如架構(gòu)改變時,先同步給架構(gòu)主機,由架構(gòu)主機去發(fā)起復制。
????????活動目錄數(shù)據(jù)庫有三個邏輯分區(qū):domain(域分區(qū))、configration(配置分區(qū))、schema。在同一個域的DC,三個分區(qū)數(shù)據(jù)都同步:如果是同一個林但不是同一個域的DC,只同步configration和schema分區(qū)。若要查看這些分區(qū),可通過ADSI編輯器(或者命令adsiedit.msc)來查看。
2、創(chuàng)建子域步驟:
????先安裝好主域環(huán)境,并確保將要安裝的子域主機和主域主機是可以通信的。
????再將需要成為的子域的主機加入主域環(huán)境,
????然后用域賬號管理員登陸子域主機,再將子域主機提升為子域控制器。
????創(chuàng)建過程和創(chuàng)建主域類似,需要注意的是在將主機提升為域控制器時“選擇部署操作”時,需要選擇第二項“將新域添加到現(xiàn)有林” 并選擇域類型為“子域”。netbios填寫域名的第一部分,然后一直下一步到完成。
3、驗證子域安裝正確性:
查看域的邏輯結(jié)構(gòu)工具:active directory域和信任關系。
3.2、子域的作用
便于獨立管理,父域的配置不會推送到子域中。
4、創(chuàng)建備份域(輔助域)控制器:
????先安裝好主域環(huán)境,并確保將要安裝的備份域主機和主域主機是可以通信的。
????再將需要成為的備份域(即輔助域)的主機加入主域環(huán)境,
????然后用域賬號管理員登陸備份域主機,再將備份域主機提升為輔助域控制器。
????創(chuàng)建過程和創(chuàng)建主域類似,需要注意的是在將主機提升為域控制器時“選擇部署操作”時,需要選擇第一項“將域控制器添加到現(xiàn)有域” 指定此操作的域信息為:填寫主域域名。然后一直下一步到完成。注意:在指定復制選項可以選擇“從介質(zhì)安裝”、也可以“從域控制器復制”。
5、創(chuàng)建林中的另一個域樹
????先安裝好主域環(huán)境,并確保將要安裝的另一個域樹主機(A)和主域主機是可以通信的。
????再將需要成為域樹的主機(A)加入主域環(huán)境,
????然后用域賬號管理員登陸域樹主機(A),再將域樹主機(A)提升為域控制器。
????創(chuàng)建過程和創(chuàng)建主域類似,需要注意的是在將主機提升為域控制器時“選擇部署操作”時,需要選擇第二項“將新域添加到現(xiàn)有林”,并選擇域類型為“樹域”,填寫樹域新域名(和林域域名沒有關系)。填寫憑證的用戶必須具有ERNTERPRISE admins 權(quán)限。
然后一直下一步到完成。注意:netbios名稱一般為域名的第一部門。
注意:在林中新建的另一個域樹,如果不配置DNS轉(zhuǎn)發(fā)器,那么兩個域之間是不能ping通的,在dns服務器中,創(chuàng)建條件轉(zhuǎn)發(fā)器。
條件轉(zhuǎn)發(fā)器有兩種,一個是總的轉(zhuǎn)發(fā)器,一個是分開。總的轉(zhuǎn)發(fā)器在服務器右鍵屬性中可以添加。
6、客戶端遠程管理域:
遠程桌面:默認情況下只能有兩個用戶進行同時連接、同時也不安全。
下載對應版本的遠程服務器管理工具,如“win8遠程服務器管理工具”
7、目錄樹、目錄林、ou(組織單元)
目錄樹:看末尾的域名
目錄林:域樹組成的一個森林。
OU(組織單元):
ou能有效的組織域中對象,使域組織更加有條理
ou在公司中一般用來表示一個部門、一個區(qū)域。
ou可以嵌套
可以針對ou進行權(quán)限的委派,實現(xiàn)分散式管理
在ou上可以捆綁組策略,這樣使組策略的管理更加細化。
GC(全局編錄)
GC是一臺特殊的DC,記錄了整個林中的所有對象
在一個林中至少有一個GC,默認情況下林中第一臺DC就是GC。
DC的數(shù)據(jù)庫記錄了當前域中所有對象的所有屬性;GC除了存儲當前域中所有的對象的所有屬性外,還存儲了整個林中的所有對象的部分屬性
但是有些對象的字段不一定會被GC收錄。
怎么將對象的字段添加到GC收錄?
①運行命令:regsvr32.exe schmmgmt.dll
②上述命令添加了活動目錄架構(gòu)。
③打開mmc管理單元,添加活動目錄架構(gòu)
④打開活動目錄架構(gòu)控制臺,點擊里面的屬性,右擊相應的字段,勾選“將此屬性復制到全局編錄”
⑤確定字段的意思,可以通過ADSI中的域分區(qū)去查找。
怎么確定哪臺是GC?
方法一:打開站點和服務,在站點下面的服務器右擊屬性,彈出的NTDS Settings里如果“全局編錄”打鉤就是全局編錄服務器,否則不是。
方法二:打開用戶和計算機,在domain controllers 里面可以看到DC類型是否為GC。
方法三:在DNS管理器中,正向查找區(qū)域-->gc-->tcp中可以一次看到所有的GC服務器。
三、活動目錄物理架構(gòu)和案例
1、域的物理結(jié)構(gòu)
????域控制器:每隔15s同步一次
????站點 :解決分布的區(qū)域服務器實時同步數(shù)據(jù)庫占用帶寬的問題。通過配置站點間的同步時間。
2、只讀域控:更改只讀域控制器配置不會同步到其他服務器。
3、多域多站點配置
要給出物理拓撲和邏輯拓撲。
多域多站點的架構(gòu),建議建好相應的站點再去創(chuàng)建域。
注意:如果主域和輔助域不在同一個區(qū)域,當安裝輔助域同步數(shù)據(jù)庫時,可以通過讀取主域的快照來來實現(xiàn),當然也可以通過網(wǎng)絡同步實現(xiàn)。
主域創(chuàng)建快照:在cmd鍵入如下命令:
ntdsutil
Activate Instance NTDS? //激活實例
IFM????????//創(chuàng)建IFM媒體
Create Full c:\ADDB??? //創(chuàng)建完整快照
至此主域的快照創(chuàng)建完成,可以發(fā)送給其他地區(qū)的域管理員進行附加。
轉(zhuǎn)載于:https://blog.51cto.com/10631377/2052182
總結(jié)
以上是生活随笔為你收集整理的win2012活动目录介绍的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: js中的bool值转换及 、||、 !!
- 下一篇: go语言int类型转化成string类型