域的配置.docx
《域的配置.docx》由会员分享,可在线阅读,更多相关《域的配置.docx(48页珍藏版)》请在冰豆网上搜索。
域的配置
一、基本概念
1、活动目录名称的来源。
类似字典,要查一个字必须先从字典的目录着手。
而字典目录是经过合理规划过的。
例如:
按偏旁查,按拼音查。
若按拼音查,又分a~z。
这便是典型的结构化思路。
而活动目录也采用了这个思路,将网络资源结构化(如:
计算机、用户、打印机),以层次结构将它们组织起来,方便检索。
2、AD能做什么?
集中、分散资源管理。
既集中又分散看似矛盾,但并不矛盾。
“集中”指的是将分布在不同物理地区的计算机资源以特定的层次结构规划起来。
例如,最高管理员为公司划分开发部、销售部等组织单元。
开发部又分为团队1、团队2等组织单元。
“分散”指的是不同的组织单元由各自的管理员负责。
因为最高管理员不可能事必躬亲,组织单元内部的细节事务还是由本组织单元的负责人处理较为妥当。
此时,最高管理员就需要为每个组织单元分配各自的管理员。
3、逻辑结构【AD用户和计算机】
涉及概念众多,包括森林,域树,域,组织单元(OU)。
它们之间的关系类似于学校组成。
大一点的学校一般分为南区、北区或者新校区、老校区。
校区里面有很多教学楼,教学楼由许多层,每一层又有学生、老师、设备。
其实这种组成关系和森林,域树,域,组织单元(OU),用户、计算机、打印机的关系一样。
即森林(学校)——域树(南区、北区或新校区、老校区)——域(教学楼,一个域可能由多个DC控制)——OU(教学楼的每一层)——用户、计算机、打印机(每层的学生、老师、设备)。
整体结构如下图所示。
额外注意的知识点:
a、域由一台或多台域服务器(DC)控制,它能提供域名字空间,存储活动目录数据库。
b、域树中有的域之间有的呈现父子关系。
虽然域树和域树之间不共享名称空间。
但子域和父域之间共享名称空间,子域延续父域,就像儿子跟着父亲姓一样。
例如,父域为,子域为。
此外,子域与父域之间除了信赖关系外,没有任何关系,两边的管理是完全独立的。
例如,父域的管理员不能管理子域,子域的管理员不能管理父域。
父域的管理员在子域仅相当于一个普通的用户。
c、森林内的所有域允许相互访问。
森林间的所有域不允许相互访问。
并且建议一个公司只存在一个森林。
4、物理结构【AD站点和服务】
要实现逻辑上的统一,让共享出来的资源对于每台域成员计算机时刻保持最新,就得要求各域中的域服务器(DC)每隔一段时间就要相互复制数据以便同步。
而为了高效复制,常把一组高度可靠的物理链路划分为一个站点,方便复制AD活动目录。
站点类似于学校中的新校区、老校区或南区、北区。
同一站点下的DC之间相互复制,不压缩流量。
不同站点下的DC之间相互复制,需要压缩流量。
差不多压缩到原来的15%左右。
例如,新校区内部的计算机复制相对比较通畅,不需要压缩流量。
但新校区的计算机与老校区的计算机复制就不比校园内部复制那么畅通了,此时就需要压缩流量。
复制原理如下图所示。
例如,新校区中有四个教学楼,每个教学楼有一个DC,分别是A1、A2、A3、A4。
老校区中有三个教学楼,每个教学楼有一个DC,分别是B1、B2、B3。
新校区内的复制不需压缩,老校区内的复制无需压缩,新老校区的复制需要压缩。
具体的复制拓扑如下图所示。
这个复制拓扑不是人工产生的,而是由各个DC内部的KCC自动执行复制。
只要域搭建好后,就自动进行。
额外注意的知识点:
a.域和站点之间本没有必然的关系,完全是为了更好地复制才联系在一起。
一个域可以属于不同的站点。
一个站点也可以包含不同的域。
b.可通过配置计划的方法控制DC之间如何复制。
例如,定制什么时间去进行一个复制。
对于站点内的复制,采用的是通知机制。
即当DC上的数据库更新时,它会去通知其他计算机复制。
而站点与站点之间成为宽带连接,走Internet,相对速度比局域网会慢很多。
如下图所示。
二、活动目录逻辑部署方案设计及实验目标
以一家北京公司的成长为案例,不断提出问题,不断解决问题。
1、问题ⅰ的提出与解决
公司目前未部署域,员工都在工作组环境下工作,此时存在以下三个不足。
a.资源检索不方便。
例如,两位员工在不同的办公室工作。
若要共享资源,他们必须事先知道对方具体的IP地址或计算机名称。
虽然【网络邻居】能做到这一点,但性能很慢,且检索结果杂乱无章。
b.访问资源的权限难以控制。
例如,张三只能读取某个共享文件夹的内容。
李四既能读取也能修改某个共享文件夹的内容。
虽然文件的【共享】和【安全】可以做到这一点,但仅适用于用户少的情况,人数一多,这种配置就吃不消了。
c.只能在本机登录,不能在其他计算机以自己的账号登录。
例如,一位员工的办公室在五楼。
此时他跑到一楼去帮同事安装软件。
然而,他忘带软件包,又忘记为五楼那台自己的计算机设共享。
这时,他不得不再跑一趟五楼,去取软件包。
为解决该问题,需要在公司内找一台服务器充当域服务器,部署活动目录(全新的域),取名。
只要员工的计算机加入进这个域,就能成为域成员,轻而易举地解决问题ⅰ。
2、问题ⅱ的提出及解决
当用过一段时间后,发现域服务器不稳定,有当机的可能。
这样会导致所有域成员没办法访问网络资源。
为解决该问题,需要在这个域中增加一台额外的域服务器,用于备份这个域的数据库。
3、问题ⅲ的提出
随着业务的发展,公司在杭州建立了一个子公司。
这个子公司和主公司的管理虽然完全独立,但在名称上希望一看就知道是一个集团的。
为解决该问题,需要基于建立一个新子域,名字叫做。
4、问题ⅳ的提出
随着业务的发展,公司现在需要拆分或处理不良资产,在广州又独立出一个新公司。
这个新公司本质上与主公司同属一个集团,但希望在名字上看不出来,给人以两个公司的错觉。
为解决该问题,需要基于建立一个全新域树,名字叫做。
5、实验目标。
以上四种情况其实就是部署活动目录的四种基本情况(没有第五种了),也是主要的实验内容。
1)安装新森林。
2)安装额外DC。
3)安装新子域。
4)安装新域树。
三、逻辑部署前的准备
1、当前的用户要有足够的安装权限。
安装新森林、新子域、新域树需要活动目录的企业管理员角色(EnterpriseAdmins)。
安装额外DC需要活动目录的域管理员角色(DomainAdmins)。
这两种角色都在【ActiveDirectory用户和计算机】的【Users】中。
2、确认计算机名称唯一。
(不建议在建域之前改计算机名称)
3、看盘是否NTFS
4、准备域的NetBIOS名。
在前面Wins服务中讲过,一个机器有多少服务就有多少个NetBIOS名。
域也是一种服务,所以也需要准备NetBIOS名。
5、活动目录数据库文件的存放路径(如果放在系统盘中,可能会遇到I/O访问的瓶颈)
6、活动目录数据库日志文件的存放路径
7、Sysvol共享文件夹的存放路径(存放组策略的模板、登录脚本、注销脚本)
8、活动目录还原模式的管理员密码。
工作组环境下的计算机通过按F8进入安全模式。
域环境下的计算机通过按F8进入活动目录还原模式。
四、逻辑部署活动目录
准备:
四个标准版Win2003(每个OS的超级管理员都为Administrator,密码为空)。
4.1、安装新森林
目标:
新建域,并且这个域中只有一个DC,名字叫做rootdc。
步骤:
1、做好部署前的准备工作。
2、将IP地址设为192.168.1.1。
子网掩码设为255.255.255.0。
首选DNS设为192.168.1.1。
3、在【运行】中输入dcpromo,进入安装向导,一直点击【下一步】,直到【域控制器类型】窗口,选择【新域的域控制器】,点击【下一步】。
4、选择【在新林中的域】,点击【下一步】。
5、输入新域的域名。
6、默认域NetBIOS名,点击【下一步】。
7、默认数据库及日志的位置,点击【下一步】。
8、默认Sysvol文件夹位置,点击【下一步】。
9、因为此时还没有配置DNS,新域得不到DNS的支持。
选择【在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机的首先DNS服务器】,点击【下一步】。
这样,这台计算机既是域控制器(DC)也是DNS服务器。
10、为了不允许匿名访问,选择【只与Windows2000或WindowsServer2003操作系统兼容的权限】
11、默认活动目录还原模式的密码为空,点击【下一步】。
12、最后计算机自动开始建立新域。
4.2、安装额外DC
目标:
在这个域中增加一台额外的DC,名字叫做backdc。
步骤:
1、做好部署前的准备工作。
2、将IP地址设为192.168.1.2。
子网掩码设为255.255.255.0。
首选DNS设为192.168.1.1。
3、确认backdc这台计算机是否真的找到这个域,能否真的和rootdc计算机通信。
右击【我的电脑】,选择【属性】。
定位到【计算机名】选项卡,点击【更改】,打开【计算机名称更改】窗口。
在【隶属于】栏中选择【域】,然后填写,点击【确定】。
如果此时出现要求输入用户名和密码的对话框就说明可以找到域。
否则,连接失败,重新查找原因。
4、在【运行】中输入dcpromo,进入安装向导,一直点击【下一步】,直到【域控制器类型】窗口,选择【现有域的额外域控制器】,点击【下一步】。
5、输入这个域的具有企业管理员权限的账号和密码。
例如,用户名为Adminsitrator,密码为空,域为,点击【下一步】。
6、选择做域的额外DC,点击【下一步】。
7、默认数据库及日志的位置,点击【下一步】。
8、默认Sysvol共享文件夹的位置,点击【下一步】。
9、默认活动目录还原模式的密码为空,点击【下一步】。
10、最后计算机自动开始建立额外DC。
4.3、安装新子域
目标:
部署基于的子域。
将subdc这台计算机提升成为DC。
步骤:
1、做好部署前的准备工作。
2、将IP地址设为192.168.1.3。
子网掩码设为255.255.255.0。
首选DNS设为192.168.1.1。
3、确认subdc这台计算机是否真的找到这个域,能否真的和rootdc计算机通信。
右击【我的电脑】,选择【属性】。
定位到【计算机名】选项卡,点击【更改】,打开【计算机名称更改】窗口。
在【隶属于】栏中选择【域】,然后填写,点击【确定】。
如果此时出现要求输入用户名和密码的对话框就说明可以找到域。
否则,连接失败,重新查找原因。
4、在【运行】中输入dcpromo,进入安装向导,一直点击【下一步】,直到【域控制器类型】窗口,选择【新域的域控制器】,点击【下一步】。
5、选择【在现有域树中的子域】,点击【下一步】。
6、输入这个域的具有企业管理员权限的账号和密码。
例如,用户名为Adminsitrator,密码为空,域为,点击【下一步】。
7、选择父域为,输入子域名称为sub。
8、默认NetBIOS名称,点击【下一步】。
9、默认域数据库及日志存放的位置,点击【下一步】。
10、默认Sysvol共享文件夹的位置,点击【下一步】。
11、为了不允许匿名访问,选择【只与Windows2000或WindowsServer2003操作系统兼容的权限】,点击【下一步】。
12、默认还原模式的密码,点击【下一步】。
13、最后计算机自动开始建立子域。
4.4、安装新域树
目标:
部署一个全新域树。
将newdc这台计算机提升成为DC,来存储这个域的数据库。
步骤:
1、做好部署前的准备工作。
2、将IP地址设为192.168.1.4。
子网掩码设为255.255.255.0。
首选DNS设为192.168.1.1。
3、确认newdc这台计算机是否真的找到这个域,能否真的和rootdc计算机通信。
右击【我的电脑】,选择【属性】。
定位到【计算机名】选项卡,点击【更改】,打开【计算机名称更改】窗口。
在【隶属于】栏中选择【域】,然后填写,点击【确定】。
如果此时出现要求输入用户名和密码的对话框就说明可以找到域。
否则,连接失败,重新查找原因。
4、在【运行】中输入dcpromo,进入安装向导,一直点击【下一步】,直到【域控制器类型】窗口,选择【新域的域控制器】,点击【下一步】。
5、选择【在现有的林中的域树】,点击【下一步】。
6、输入这个域的具有企业管理员权限的账号和密码。
例如,用户名为Adminsitrator,密码为空,域为,点击【下一步】。
7、输入新域名称为。
8、默认NetBIOS名称,点击【下一步】。
9、默认域数据库及日志存放的位置,点击【下一步】。
10、默认Sysvol共享文件夹的位置,点击【下一步】。
11、报错,因为这个新域没能和DNS服务建立关联。
虽然计算机本身指定了DNS的地址。
但192.168.1.1上的DNS服务并未明确为其提供服务。
所以这里暂停,先转到192.168.1.1的计算机为该新域配置DNS服务。
12、转到192.168.1.1计算机,打开DNS服务控制台。
右击【正向查找区域】,选择【新建区域】,弹出新建区域向导。
选择【主要区域】,并取消勾选【在ActiveDirectory中存储区域(只有DNS服务器是域服务器时才可用)】。
13、输入新域名称(和刚在192.168.1.4的计算机上建立的同名,因为这就是为那个域服务的)。
14、默认创建文件,点击【下一步】。
15、选择【允许非安全和安全动态更新】,点击【下一步】,直至【完成】。
这样就为域提供了域名解析服务。
16、回到192.168.1.4计算机。
选择【我已经更正了错误】
17、为了不允许匿名访问,选择【只与Windows2000或WindowsServer2003操作系统兼容的权限】,点击【下一步】。
18、默认还原模式的密码,点击【下一步】。
19、最后计算机自动开始建立新域。
五、第二种逻辑部署活动目的方式
以上是第一种方式,第二种是2003特有的通过媒体部署的方式,即基于备份部署。
这是一种很有现实意义的方式。
例如,北京的rootdc是父,要在上海建一个以北京rootdc为主的辅助backdc。
那么上海backdc就需要从北京rootdc复制大量数据过来。
这会消耗很多时间。
以前为了解决这个问题,在北京就把上海backdc搭建好,然后将backdc运到上海,再连入上海的网络即可。
自从有了win2003,在北京backdc上做一个备份。
把这个备份拷到一张光盘上。
给自己买张飞机票飞到上海。
首先把活动目录里的数据还原到上海backdc上。
然后,再在上海backdc上搭建活动目录。
搭建时,首先会从备份的数据中取数据。
备份中没有的才会到通过公网到北京rootdc上取数据。
步骤:
1、在【运行】中输入ntbackup,启用备份程序。
选择【备份】选项卡,勾选【SystemState】
【备份媒体或文件名】中的A:
\Backup.bkf就是备份文件,改个地址拷进光盘。
之后,在上海这边还原备份文件。
搭建backdc时,在【运行】中输入dcprpmo/adv,直到出现以下这个界面,选择【从这些恢复的备份文件】,点击【下一步】直到完成。
六、验证逻辑部署是否成功
1、验证默认站点下是否有全部的DC
进入192.168.1.1那台计算机(因为这台计算机是整个森林的根域),打开【管理工具】的【AD站点和服务】控制台。
刚刚建立的四个DC都应该在【Default-First-Site-Name】的【Servers】下出现,并且都带有NTDSSettings。
2、根据需求调整DNS。
例如,看是否要建立代理或是其他情况,这在DNS的专门讲座中会提到。
3、检查DC上是否存在Sysvol共享。
分别进入四个DC,右击【我的电脑】,选择【管理】,打开【计算机管理】控制台。
定位【共享文件夹】选中【共享】,看SYSVOL是否已经共享出来了。
4、验证是否向DNS注册了所有的SRV记录
进入192.168.1.1那台计算机(因为这台计算机是整个森林的根域),打开【DNS】控制台,定位到【_】的【dc】的【_tcp】,看该文件夹里是否有_kerberos和_ldap这两个文件(这就是SRV记录)。
之所以活动目录与DNS密不可分。
就因为DNS最大的用途在于将域名解析成IP地址。
而活动目录全部是以域名的形式构成的。
所以活动目录需要DNS将域名解析成IP地址。
其中最重要的就是DNS的SRV记录,它能帮助客户端计算机找到DC的位置在哪里。
例如,随便点开一个_keberos文件,打开【_keberos属性】窗口。
其中的【提供此服务的主机】就指明,效果就是让客户机访问的时候根据这个地址去找到rootdc这台DC。
5、打开【管理工具】的【活动目录域和信任关系】控制台,确认新域已经出现,并且拥有信任关系。
6、作为子域,进入192.168.1.3那台计算机,确定KerberosKeyDistributionCenter服务已经启动。
7、作为子域,进入192.168.1.3那台计算机,看看子域数据库是否已经建立起来了。
进入C:
\WINNT\ntds看ndts.dt数据库文件是否已经出来了。
8、作为子域,进入192.168.1.3那台计算机,确认一下【事件查看器】中DirectoryService的日志是否已经出现。
七、活动目录物理部署方案设计及实验目标
以上配置好的四个DC都在同一网段下,他们之间的互访不需要路由器。
但在现实环境下,这四台DC往往处于不同地点。
例如,rootdc在北京,backdc在上海(这种情况一般不发生,只是为了后面实验),subdc在杭州,newdc在广州。
很明显,四台DC分别在不同的网段里。
此时,为了高效复制必须对物理模型进行调整,为各自的DC建立站点,并建立站点间的复制链路。
实验目标:
刚配置好的四台DC都在一个默认站点下,属于同一网段,如下图。
此时,模拟将rootdc置于北京,backdc置于上海,subdc置于杭州,newdc置于广州,使其顺利复制以便同步。
八、物理部署活动目录
物理结构配置核心【AD站点和服务】,主要有三个关键部分,站点、子网、链路(【Inter-SiteTransports】中的【IP】)。
先配置站点,再配置子网(用于为站点划分网络),接下里配置链路(确定哪两个站点之间复制活动目录,注意开销和复制频率这两个参数)。
最后检查相应站点的复制拓扑结构。
1、创建beijing、shanghai、hangzhou、guangzhou站点。
四个站点的创建方法一样。
右击【Sites】,选择【新建站点】。
输入名称,并选择默认链接名【DEFAULTIPSITELINK】,按【确定】即可。
2、将rootdc置于beijing站点,backdc置于shanghai站点,subdc置于hangzhou站点,newdc置于guangzhou站点。
均可铜鼓拖拽完成。
这里再将【Default-First-Site-Name】重命名为beijing。
完成后如下图。
3、为四个站点分别创建子网。
beijing站点为192.168.1.0,shanghai站点为192.168.2.0,hangzhou站点为192.168.3.0,guangzhou站点为192.168.4.0。
四种设置方法一样。
右击【Subnets】,选择【新建子网】,分别为四个站点配置IP地址和子网掩码。
配置好后如下图。
4、创建如下图所示的复制链路。
北京和上海复制,上海和广州复制,北京和杭州复制,杭州和广州复制。
四种复制链路的设置方法一样。
定位到【Inter-SiteTransports】的【IP】,选择【新站点链接】
输入链接名称,并为该连接指定站点。
注意,把【DEFAULTIPSITELINK】重命名为【beijing_shanghai】。
此外,还需对开销重新设置,效果如下图。
点击特定链路就可以修改开销值,如下图所示。
【开销】:
开销值越小,链路的利用率越高。
如果要复制的时候有两条链路可以选择,那么应该计算下哪一条的开销小,走小的那条。
例如,下图的例子
如果广州要和北京进行复制,那么复制过程会选择左边的路。
因为100+300<400+200(开销),开销越小,性能越高。
至于怎么定,需根据实际情况。
【复制频率】:
每隔多长时间复制一次。
默认180分钟,即3小时。
而且还可以选择【更改计划】,弹出日历窗口进行定制。
九、全局编目服务器(GC)
GC是一种特殊的DC。
在森林中可以有多台GC。
一般DC只存本域的对象,而GC存储森林中所有对象的【部分只读】信息(差不多是4%)。
作用:
1、DC只提供搜索本域的功能,而GC提供了搜索整个森林的功能,方便用户检索。
例如,进rootdc那台DC进行搜索。
【管理工具】——【AD用户和计算机】
点击工具条上的【搜索】弹出搜索对话框。
在【范围】中可以选择是【整个目录】,还是某个特定域。
这个【整个目录】就是GC提供的。
(注意:
可能现在还搜索不到子域的信息,因为DC之间还没有互相对拷数据。
)
2、GC存储通用组成员身份信息,帮助用户构建访问令牌。
一般本地组、本地域的成员放在DC中的,通用组放在GC中,如果GC当机,属于通用组的用户就不能登录了。
讨论:
1、是否每个DC都是GC?
不是,将DC提升为GC,意味着性能降低,带宽占用,数据库大小变大。
所以要做好事先规划。
选出需要被提升为GC的DC(往往森林中第一台DC默认为GC,并建议一个森林中至少有一台GC)。
2、如何检查DC是否是GC?
进入【管理工具】中的【AD站点和服务】,选择一个DC(例如,backdc)的NTDSSettings,点击【属性】,如下图。
判断是否GC,只要看【全局编目】是否被勾选,如下图。
3、如何将DC提升为GC?
在【全局编目】这个特定位置打上勾即可。
但打上勾只是申请,不意味着一定成功。
要经过一段时间复制数据才会逐渐成功。
所以后期要确定是否提升成功,主要有以下四种方式。
方式1:
注册表键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters中有个GlobalCatalogPromotionComplete,键值为1说明已经提升成功了。
方式2:
开发3268/3269TCP端口
方式3:
isGlobalCatalogReady属性为true
方式4:
DNS中出现相关SRV记录
4、如何将从DC中移除GC?
只要在【AD站点和服务】做好定位,将全局编录的勾去掉即可。
一旦去掉勾,该DC马上停止从TCP3268/3269端口接受客户端访问请求。
但数据库清理可