活动目录配置指南系列教程

活动目录配置指南系列教程31ct.coM4下载中技术博客Bg反活动目录配置指南系列Down51cto.com基本概念目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共亨文件夹、打印机各种资源等。使用LDAP〔端口389)轻量级日录访问协议工作,在域环境下所有用户及计算机等帐户信息均保存在一个数据厍中,这个数据库位置% systemroot% ntds\ntds. ditAD(活动日录)的逻辑结构包含如下组件:域/子域/树/森林/U等。主要侧重于对网络资源的组织。AD的物理结构包含如下组件:DC(域控制器)/site(站点)/OM(操作主札)。主要侧重于对网络资源的配置和优化下面介绍有关几个重要的概念:1.DN:(可辨别名称)--用来表小一个对象在AD中具体存储位置,类似于文件的绝对路径。如:cn=user1,ou=sal,dc=bog,dc=com该用户存在 blog. com域的 sails ou下,用户名为user1cn= users(默认的容器 users也以Cn表示)dsadd user cn=test,ou= sails, dc=blog,dC=com利用DN来创建用户的例子2UPN(用户主名)用户名@域名,即用户登求时可以釆用,如jack@net.com,也可以更改此后缀。修改: domain.msc后,在根右击-属性--吏改∪PN后缀,然后在用户属性-帐号中选择其后缀。用户登录可以使用此UPN但必须在用户属性里进行相应的更改(即启用此Upn后缀)3.SID(安全标识符)用户/组都有唯whoam/user当前用户的SIDwhoami/al当前用户的详细信息(包含所属组的SID)getsid\dc1test\dc1test(安装 suptools)psgetsid \\dc1test下载工具包4AD数据库的目录分区:(AD数据库虽然是一个文件,但却是以目求分区的形式组成的)schema架构分区--森林的对象类和属性,在森林级别复制」configuration配置分区-所有DC的位置、site,在森林级别复制。domain域分区一-每个域的各种对象等信息,在域级别复制。application应用程序分区一DNS,可以白定义。通过 adsiedit msc来查看前三个目录(事先装支持工具)5.site:在物理位置上区分,一组高速可靠的一个子树或多个子网。(管理AD复制)优点a.优化登录b.优化复制6.域:安全的边界,复制的单元。7.探作主机:(OM)--FSMO森林范围内唯一的有两种榘构主机:负责森林内架构的统一 regsvr32 schmmgmt.dⅢl域命名主机:负责森林范围内域的添加和删除域范围内唯一的有三种:RID主机:建用户时用于分发ID号。PDC主机:时间同步,密码最小化周期、密码锁定、组策略维护等。基础结构主机:负责跨域对象的引用和更新。森林范围内唯一两种OM默认由林根域的第一台DC承担。51CTo博客之星--高金良http://jary3000.blog.51cto.com/31ct.coM▲下载中技术博客Bg反活动目录配置指南系列Down51cto.com域范围内唯一的三种OM默认由域内的笫一台DC承担。以上只是一些基本概念的介绍,后期还会以专题的形式和大家一起来学习活动目录!~51CTo博客之星--高金良http://jary3000.blog.51cto.com/31ct.coM4下载中技术博客Bg反活动目录配置指南系列Down51cto.com单域环境的实现(单站点)、安装前提条件安装者必须具有本地管理员权限〈操作系统版本必须满足条件*本地磁盘至少有一个分区是NTFS文件系统有TCP/IP设置(IP地址、子网掩码等、DNS指向)*有相应的DNS服务器支持(SRV记录)*有足够的可用空间250M安装: dcpromo直接运行完成安装*注意:一般在一个域内最好要放置多台DC,做到冗余备份,故下面我们来看一看如何安装第二台DC1.先设置欲做为附加DC的计算机的DNS的IP地址指向第一台DC的DNS。2.运行 Dcpromo安装结束为了实现DNS的冗余,还要进行如下设置3.在第二台DC上安装DNS组件。稍等一会就会自动的把第一台DNS的相关区域和记录复制过来。(要求第一台DNS必须和第一台DC集成在一起,必须是AD集成的DNS并允许安全的动态更新)4.设置两台DC和所有的客户机的DNS分别指向两个DNS,即首选DNS和备用DNS。此时实现了DNs的冗余和备份功能案例:如果DC在北京,而附加DC在上海,如果安装?不可能在上海直接安装,因为这样复制流量会很大,WAN线路不可能这么做吧,那怎么办呢?首先在北京的父域上做AD的备份(利用 ntbackup来备份系统状态),把备份还原到上海一台服务器上(位置选择各用位置),再在这台服务器上搭建第二台DC如:北京的DC: ntbackup备份 system State”文件名: bakup.bkf,到上海的台服务器:恢复备份到一个文件夹,然后开始运行 dcpromo/adv找恢复目录,即可安装成功具体的操作,我想各位应该没有太大问题吧,白己多试几次也就OK了。51CTo博客之星--高金良http://jary3000.blog.51cto.com/31ct.coM4下载中技术博客Bg反活动目录配置指南系列Down51cto.com多域环境的实现(单站点)在这里我只讨论单站点的情况,有关多站点下次专题再讨论。所谓单站点,只的整个森林结构在一个地理位置,如在北京。內部相连都是高速线路如100M等。默认的站点名字是default- first-site-name可以通过AD站点和服务"组件来查看。、在一个林中创建多个域的原因?1.部门(或分公司)之间有不同的密码要求,可以针对部门(或分公司)创建域。2.有大量的活动目录对象,可以分解成多个域,使每个域活动目录对象较少3.分散的网终管理,而不是山一个域管理员管理,多个域意味着有多个域管理员4.对复制进行更多的控制。、创建子域先完成公司的第一个域,利用 dcpromo完成建工作。具体搭建情况请参考活动目录系列之二:单域环境的实现(单站点)。下面我来谈子域的搭建:这里是实现步1.先设置欲做为子域DC的计算机的DNS的IP地址指向林根DNS。2运行 Dcpromo安装完毕**如果想让做为子域的DC自己来做DNS,完成本域内计算机的解析工作,需要在父域的DNS上进行子域委派。具体操作如下打开根DC的DNS组件,删除子域,然后新建子域委派”,并指定委派的FQDN和相应的IP地址,在了域的DC上安装DNS服务,并新建相应的DNS区域,然后将本机的DNS指向自己。重启 netlogon服务。设置子域DNS作条件转发指向林根DNS注:子域的客户机DNS指向子域自己的DNS**如果让父域DNs兼作子域的名宁解析工作,可以不用作上面的操作在了域内也最好安排多台DC作冗余总结:在林根DNS上作子域委派,在子域DNS上条件转发指向林根DNS。、创建树1.先设置欲做为树的计算机的DNS的IP地址指向林根DNS。下面分两种情况如果树下面的客广机的解析由林根DNS负责,由事先在林根DNS上新建树区域。如果想让树白己解析本域的客户机,则不必要事先建此区域。注:如果是第一种情况,运行 dcpromo安装完毕就结束了。如果是第二种情况如下再继续:2.运行 dcpromo安装结束3.修改本机的DNS指向自己,重新生成SR∨记录。4.运行 dnsmgmt. msc,设置DNS转发(条件转发IP地址是林根DNS的IP),然后再设置N区域复制5.打开林根的DNS服务器,新建`辅助区域〃。并执行"从主服务器复制〃。注:树的客户机的DNS指向树的DNS总结:在林根DNS作树区域的辅助区域,在树DNS上允许"区域复制″,并作条件转发到林根DNS51CTo博客之星--高金良http://jary3000.blog.51cto.com/31ct.coM▲下载中技术博客Bg反活动目录配置指南系列Down51cto.com四、完成森林的逻辑结构后的优点?1.可以实现整个森杯范围內资源的访问,无需要输入密码。2.仟一域用户(不管是哪个域的)都可以在任意域的客户机上登录到自己的域。51CTo博客之星--高金良http://jary3000.blog.51cto.com/31ct.coM4下载中技术博客Bg反活动目录配置指南系列Down51cto.com单域环境的实现(多站点)--基本配置在上期我们学习了活动目录系列之二:单域环境的实现(单站点),当时我们实现的是在一个站点的情况下。下面我们来看这样一个场景:**一个企业总部在北京,在上海和广东各有其办公区域,要求实现活动日录域环境。**、分析:对」此企业的现状,在逻辑结构上可以釆用多域和单域,比如我们先采用单域(这要取决」你是准备集屮管理还是分散管理,在这里我采用集屮管理,下个专题我来讲多域多站点的情况)。如果不采用站点,上海和广东的域用户在客户端登录到域的过程会比较慢(不管你在上海和广东是否放置了DC,都一样),原因是客户端会通过DNS查询本域内的DC,而查到的DC也可能就是北京的(如果是多DC会动态定位),这样就通过WAN连到北京的DC上进行身份验证。此外如果你在每个地区都有DC的话,DC之间的复制也是不可控的,会产生很大流量(关于复制问题,我会在后面的专题来讲解)。兼于此,我们必须划分站点划分站点的好处优化客户端的登录。当域用户在上海或广东的客户端上登永时,DNS会替客户端找本站点内的DC,这样就加快了身份验证过程。2优化AD的复制。每个DC之间要同步AD数据库,如果不划分站点,这个同步无时无刻都在进行,而且数据是不压缩的。如果划分了站点这个过程变的可控,特别是在多站点的情况下伉越性更加突出,我会在后面的专题中详细讨论附:关于何为站点,实际上就是从物理位置上来区分的,一组高速可靠的一个子网或多个子网即两点:首先物理位置不同(在一个区域内且高速相连),其次不同站点必须采用相对应的不同子网,即北京是一个子网,上海是另一个子网,广东是第三个子网,当然也可以在北京有多个子网。具体AD的概念请阑读活动目录系列之一:基本概念、搭建过程事先规划好各个子网,比如北京子网10.1.1.0/24,上海子网172.16.1.0/24,广东子网192.168.1.0/24(-)首先在北京把单域创建好,这个过程请参考活动目录系列之二:单域环境的实现(单站点)(二)在上海和广东利用 dcpromo/ad完成第二/三台DC的搭建,(关于此参数的使用,请参考活动目录系列之二:单域环境的实现(单站点))。注意此时在默认站点下完成安装(三)完成站点的划分和设置:打开"AD站点和服务"管理工具(或利用命令 dssite. msc),如下图所示展开:在 default-first-site-name(默认站点)下有三台服务器,当前都在同一个站点。(N1--北京,N2-上海,N3-东)51CTo博客之星--高金良http://jary3000.blog.51cto.com/31ct.coM▲下载中技术博客Bg反活动目录配置指南系列Down51cto.com配 Active] irectory站点和服务文件⑦)操作()查看窗口)帮助0鹛×图团喝食Directory站点和服务[n1.n个对称域桥头「类Default-First-Site-tame服芗器het. com照务器服芳器目F工P中-口STFDITU COm拉示博客a0g利用如下四个操作完成配置过程1新建站点新建两个站点 shangha和 guangzhou(北京站点用那个默认的,过后改一下名字就可以了),注意在新建站点时必须选中一个叫站点迕接”的东西,先选择,后面再说其作用如下图所示,在stes上右击选新站点",输入名字,并选择 defaultipsitelink,单击确定如下面两图感最 ctive Directory站点和服务递文件〔)操作查看)窗口)帮助⑩函 Active Directory站点和服务[ nl. net. cor IP1个对象白Bir委派控制〔名称类型描述开销复制间隔18新站点(盟 DEF AULTIPSITELLRE站点链接10囗新建所有任务c〕从这里创建窗囗-刷亲所CJBTRDID属性〕帮助技术博客aog51CTo博客之星--高金良http://jary3000.blog.51cto.com/31ct.coM4下载中技术博客Bg反活动目录配置指南系列Down51cto.com新建对象-站点创建在:net. com Confi gurati on/ites名称边shanghai请为此站点选择一站点链接对象。站点链接对象可以在站点站点间的传输容器中定位)链接名传输L确取消建完上海和广东两个站点后,把 default-frst-site-name改名为 beijing2.新建子网新建对应的子网,注意选择相对应的站点。一定不要搞错!!!!具体操作需要在 subnets上右击先ν新建子网",如下图所示tv6】 rectory站点和服务国文件)操作)查看Q)雷口健)帮助X留函 Active Directory站点和服多[n1, Let cor Subnets0个对象日圖」sit此视图白IntTransport雪中国SHTP孬派控制-3新建子网m新建所有任务〖查看C从这里创建窗口〕拉术博客Bog5cTo博客之星一-高金良http://jary3000.blog51cto.com