本文的目的是作為域和AD的一篇入門文章使沒有安裝過域或剛剛接觸域的年輕網管能對域和AD有一個全面的了解並利用此文入門將所管理的網絡實現一個基於域的管理模式
一認識Windows的域
本小節重點從理論上闡述域的概念作用和Windows中域的產生
一台Windows計算機它要麼隸屬於工作組要麼隸屬於域所以說到域我們就不得不提一下工作組工作組是MS的概念一般的普遍稱謂是對等網工作組通常是一個由不多於台計算機組成的邏輯集合如果要管理更多的計算機MS推薦你使用域的模式進行集中管理這樣的管理更有效你可以使用域活動目錄組策略等等各種功能使你網絡管理的工作量達到最小當然這裡的台只是一個參考值台甚至台如果你不想進行集中的管理那麼你仍然可以使用工作組模式
工作組的特點就是實現簡單不需要域控制器DC每台計算機自己管理自己適用於距離很近的有限數目的計算機另外工作組名並沒有太多的實際意義只是在網上鄰居的列表中實現一個分組而已再就是對於計算機浏覽服務每一個工作組中會自動推選出一個主浏覽器負責維護本工作組所有計算機的NetBIOS名稱列表用戶可以使用默認的workgroup也可以任意起個名字同一工作組或不同工作組在訪問時也沒有什麼分別
域(Domain)是一個共用目錄服務數據庫的計算機和用戶的集合實現起來要復雜一些至少需要一台計算機安裝NT// Server版本使其充當DC來實現集中式的管理
若考慮到容錯的話至少需要兩台對於NT域就是一台PDC(具有唯一性)一至多台BDC對於/域已經沒有PDC和BDC的概念要容錯就需要兩至多台DC
域是邏輯分組與網絡的物理拓撲無關可以很小比如只有一台DC也可以很大包括遍布世界各地的計算機比如大型跨國公司網絡上的域(當然實際中他們多采用多域結構還可以利用AD站點來優化AD復制)
這個目錄服務數據庫在NT時保存用戶帳號名稱和密碼等安全安全信息以及安全規則設置又被稱作安全帳號管理(SAM)數據庫簡稱SAM庫在非DC上的本地的SAM庫與DC上域所用的SAM庫類似只不過對於NT域的SAM庫文件保存有整個域的用戶和計算機用域用戶管理器和服務器管理器來管理本地的SAM庫文件保存有本地機的用戶由用戶管理器來管理
從開始MS引入了活動目錄ADDC通過AD來提供目錄的服務例如它負責維護AD數據庫審核用戶的賬戶和密碼是否正確將AD數據庫復制到其它的DC等AD庫的核心文件就是winnt\ntds\ntdsdit文件注意組策略的具體設置值並不存在這個文件中而是保存在winnt\sysvol\sysvol這個共享夾下用於向其它DC復制傳播給域成員來生效但需要說明的是/XP/的非DC域成員計算機上仍使用和NT一樣的SAM庫文件來保存本地帳號
正是由於所有域成員計算機和域用戶都共用這個域的目錄服務數據庫域管理員就可以基於域的目錄服務數據庫來進行集中管理共享資源如用戶組計算機帳號權限設置組策略設置等等目錄服務為管理員提供從網絡上任何一個計算機上查看和管理用戶和網絡資源的能力目錄服務也為用戶提供唯一的用戶名和密碼用戶只需一次登錄即可訪問本域或有信任關系的其它域上的所有資源(當然用戶得有權限才行)而不需要多次提供用戶名和密碼登錄
二構建Windows 的域
這個過程簡單說就是選一台S/AS計算機運行AD安裝向導在其上安裝活動目錄使其成為DC然後將其它的計算機加入到這個域
說明至於是用S還是用AS對於一般的用戶差別不大S支持最多個CPU最大G內存AS支持最多個CPU最大內存G還支持群集功能但這些我們一般用戶都用不到所以對於普通用戶來說選擇S或AS都是一樣的
系統要求
*一台S或AS獨立或成員服務器DS只有OEM版隨廠商硬件發售平常我們是見不到的
* 其上必須有一個NTFS 分區用來保存AD的sysvol文件夾注意的NTFS分區是NTFS NT的是NTFS NT必須安裝SP後才可訪問的NTFS分區
* 網絡上必須有可用的DNS服務器並且必須支持SRV記錄(Service Locaion Resource Record)和動態更新功能如MS WinS DNSUNIX的DNS BIND 及以上版本使用已有的NT DNS是不行的
說明
構建NT域並不需要DNS的支持但域必須有DNS且滿足上述要求
SRV記錄的作用是指明域和站點(site)的DCPDC仿真GC是誰動態更新也是DNS的新特色管理員不必再象NT DNS那樣手動為計算機創建或修改相應記錄在域成員計算機重啟或改名改IP時依賴周期性更新自動動態實現
如果沒有DNS服務器的話也不一定非得預裝DNS可以在安裝AD過程中選擇在本機上安裝 DNS而且推薦初學者使用這種方法因為系統會根據你提供的FQDN域名自動創建好DNS區域(zone)並配置成AD集成區域僅安全動態更新如果需要向外連或反向解析用戶只需配置上轉發器和反向區域即可不需要的話直接就可以用了
如果決定在安裝AD過程中在本機安裝DNS應在安裝前將本機TCP/IP配置/DNS服務器指向自己這樣在安裝AD完成後重啟時SRV記錄將被自動注冊到DNS服務器的區域當中去的生成四個以下劃線開頭的文件夾如_msdcsDNS在這裡夾的層次結構有所變化但本質沒變當然如果忘了指也可以後補上只不過需要多重啟一次
安裝步驟注意事項常見問題經驗技巧
()啟動AD安裝向導
方法一開始/程序/管理工具/配置服務器/ Active Directory /啟動AD安裝向導
方法二熟練後一般常用開始/運行dcpromo
()安裝選項指定服務器角色
三個界面實現四種組合
新域
附加DC
新樹
子域
新林
加入林
即
* 新域—新樹—新林
* 附加DC
* 新域—子域
* 新域—新樹—加入林
全新安裝新域—新樹—新林這樣來建立第一個域中的第一台DC
的多域模型采用層次結構不同於NT域的平面結構NT的多個域之間只是通過信任關系關聯起來接下來以下圖為例對的域樹林進行簡要說明
/
這整個是一個林為林根域有兩個樹一個由和它的子域組成另一個由單獨組成林中有三個域相關概念如下
林根域在林中第一個建立的域如
樹共用連續的命名空間的多層域如和
樹根域樹最高層的域名最短如
說明
可采用多層域結構但最有效最簡便的管理方法仍是單域所以大家在實際工作中要記住一個原則能用單域解決就不用多域
再者AD是針對大中型網絡設計的而我們一般管理的網絡也就幾百個節點屬於小型網絡一般來講用一個單域結構就夠用了不要人為將管理環境復雜化在實驗中我們甚至可以一個林中只有一個樹一個樹中只有一個域一個域裡只有一台DC
另外前面已經說過了域是邏輯分組與網絡的物理拓撲無關不要總試圖規劃一個子網一個域當然實際中多個子網一個域子網中若有//NT老計算機無法利用DNS直接登錄到域可以安裝一台WINS服務器解決問題將所有計算機包括WINS服務器本身的TCP/IP配置中的WINS服務器指向此WINS服務器即可
()安裝選項新域的DNS全名
說明
在這裡應該輸入新域的完全有效域名FQDN形如系統會打算以mcse作為此域的NetBIOS名稱並在網絡中檢查是否存在重名需要等一會兒不重名則設為mcse建議用戶不要修改此名重名則設為mcse建議用戶最好換個名字這也就是說網絡中如果已有一個域名字叫做也會出現NetBIOS名稱沖突的問題
()安裝選項為新域指定一個NetBIOS名稱
說明
NetBIOS名稱只是為//NT等老版本用戶通過浏覽服務或WINS來識別這個域用的如果確信域用戶都是及以上系統(它們通過DNS定位域)其實NetBIOS名稱沖不沖突都無所謂
()安裝選項指定AD庫和日志文件位置
說明
如果僅是實驗用默認值即可若是在真正的服務器上都會有多塊物理硬盤最好分開存放以提高性能另外需要強調的是AD庫和日志文件並不要求非得NTFS 分區很多/書在此語焉不詳
()安裝選項指定sysvol文件夾位置
說明
是sysvol這個文件夾要求必須得NTFS 分區在它當中存儲有DC間AD要同步的內容包括組策略的設置值
()這時網絡中若無可用DNS服務器就會出現提示找不到DNS服務器需要考慮在本機上安裝一個DNS服務器可先不必理會點確定接下來選是在本機上安裝並配置DNS初學者在此不要選否我將自己安裝並配置DNS
()幾分後安裝完成需要重啟
說明
若硬盤或網絡上沒有可用的S源文件會提示要S光盤
最好用新裝S來安裝AD這樣不容易出問題如果你是用一個台運行了一段時間的S/AS來安裝AD使其成為DC重啟及登錄時可能會很慢(有時可能長達分鐘)這是較常見的現象一般次以後就好了如果多 次重啟後還那樣那就要重裝系統及AD了
域成員計算機
()將計算機加入到域
首先將客戶機TCP/IP配置中所配的DNS服務器指向DC所用的DNS服務器然後我的電腦/右鍵/屬性/網絡標識/屬 性/隸屬於選擇域輸入域名確定提示輸入用戶口和口令確定後提示重啟
說明
加入域時如果輸入的域名為FQDN格式形如必須利用DNS中的SRV記錄來找到DC如果客戶機的DNS 指的不對就無法加入到域
加入域時如果輸入的域名為NetBIOS格式如mcse也可以利用浏覽服務(廣播方式)直接找到DC但它不是 一個完善的服務有時就會不好使
這樣雖然也可把計算機加入到域而且在等較長時間後也可以登錄到域上去但不推薦因為客戶機的DNS指的 不對則它無法利用DNS的動態更新動能也就是說無法在DNS區域中自動生成關於這台計算機的A記錄和PTR記錄 那麼同一域另一子網的及以上計算機就無法利用DNS找到它這本應是可以的
再者管理員無法在客戶機上利用域的管理工具來遠程管理域因為這些管理工具必須使用DNS出錯提示找 不到域命名信息(有時客戶機的DNS Client服務有問題也會出現上述提示重啟服務即可)這種情況下要 進行遠程管理就只能利用TS(終端服務)基於IP來連了
當然用戶也可以手動配置WINS或Lmhosts文件來查找DC這主要用於//NT老版本計算機跨子網(路由)查 找DC或加入域因為這些老版本計算機無法利用DNS來查找DC浏覽服務又是廣播方式只能在本網段進行因為廣 播信息是無法通過路由器的RFC標准的路由器可設置成允許DHCP的廣播數據通過僅是一個特例需要說明 的是/可以使用域用戶帳號登錄到域但並不能加入到域在AD中也沒有計算機帳號而NT可以
計算機加入域成功後未重啟即已在AD用戶和計算機/computer容器下生成計算機帳號了實驗中查看 時需要手動刷新一下而在DNS中記錄必須在計算機重啟後(不必登錄)或分鐘後才能自動注冊或更新到DNS區域 但若我們平常修改一個計算機的名字或IP要馬上更新到DNS區域倒不一定非得重啟可利用ipconfig /re gisterdns命令就行明白以上討論可用於排錯不一定非得重啟登錄後才知道結果
加入到NT域時需要有管理特權才行從Windows 開始微軟作了改進在Windows /域 中默認Authenticated Users即可在域中最多創建 個計算機帳戶Authenticated Users 指被驗證的用戶組也就是說任何經過身份驗證的普通域用戶都可以加最多台計算機到域常見問題在實際中用 普通域帳號加計算機到域有時會不好使原因是同名計算機帳號(極可能是它自己已經失效的計算機帳號)已存在 而無權覆蓋這時就得用域管理員帳號了
()在加入域的計算機上用域用戶帳號登錄到域
說明
在域中的非DC計算機上可以選擇登錄到域或本機這是因為它同時還擁有本地用戶帳號而在DC上只能選擇登 錄到域了因為整個域都是DC的它沒有必要再保留本地帳號了是個紅叉干脆就沒有了
安裝AD時會自動刪除本地帳號即使將來刪除AD也無法將本地帳號復原而是重新生成的這一點一定要注 意如果本地有EFS加密的文件一定要將證書導出或將文件解密後再在這台計算機上做AD安裝實驗
在及以上計算機上登錄到域的過程是這樣的域成員計算機根據本機DNS配置去找DNS服務器DNS根據SRV記 錄告訴它DC是誰客戶機聯系DC驗證後登錄
()深入討論
如果是在林中跨域登錄是首先查詢DNS服務器問林的GC是誰
前面我們在步驟()中強調加入域前首先將客戶機TCP/IP配置中所配的DNS服務器指向DC所用的DNS服務 器其實如果域中有多個DNS服務器也可以指向其它的DNS服務器當然這些DNS服務器之間得有區域復制關系 這樣做的目的恰恰是大中型網絡為了平衡DNS負載
三建立其它域控制器
前面我們討論了建立第一個域中的第一台域控制器分析得很細以下相同知識點的內容將不再贅述
安裝附加DC
()以本機管理員身份登錄在獨立或成員服務器上啟動AD安裝向導
說明
將成為附加DC的計算機不必非得先加入域
DNS指向已有DC所用DNS服務器以便找到已有DC安裝結束後一般應該手動在本機上再裝一個DNS服務器以 實現DNS的容錯
()選擇現有域的額外域控制器
()輸入域管理員帳號如administratorpassword(或mcse)
常見找不到域的出錯提示域不是AD域或用於域的AD域控制器無法聯系上
解決確保DNS指向已有DC所用DNS的服務器
其它Ping一下檢查物理連通性高級用戶是否設過TCP/IP篩選器或RRAS篩選器
()輸入域名如
()指定AD庫和日志文件位置
()指定sysvol文件夾位置
()一般選與Windows 服務器之前的版本相兼容的權限
()目錄服務恢復模式的管理員密碼
()幾分後安裝完成需要重啟
()手動在本機上安裝DNS服務器以實現DNS的容錯
A開始/設置/控制面板/添加刪除程序/Windows組件/網絡服務/域名系統(DNS)
B開始/程序/管理工具/DNS
C正向搜索區域/右鍵/新建區域建議選擇AD集成區域區域名已有區域的名稱如 自動生成起始授權機構(SOA)名稱服務器(NS)主機(A)三條記錄但此時SRV記錄並未被復制過來需要等 待分鐘後利用刷新或重新加載就可以看到復制過來的DNS記錄了(對於馬上就可以看到復制過來的全部DNS記 錄)
深入討論
和比功能更強大了但在域和AD的體系結構上並沒有什麼大的變化而且MS的產品十分講究向前兼容 在一個域中可以既有DC又有DC也可以既有DNS又有DNS並且DC間的AD復制DNS間的區域傳輸 都好像沒有版本差異一樣
在我們這裡要說的就是可作為域的附加DC也可以作為域的附加DC但第二種情況需要在DC (SP及更高)上運行光盤/I/adprep命令來做准備
具體第一步adprep /forestprep進行林准備第二步adprep /domainprep進行域准備
建立子域
()以本機管理員身份登錄在獨立或成員服務器上啟動AD安裝向導
說明
DNS指向林根域已有DC所用DNS服務器以便找到已有DC
保證域命名主控必須有效它默認在林根域的第一台DC上且具有林唯一性利用管理工具AD域和信任關系 可轉移域命名主控
()選擇新域的域控制器下一步在現有的樹中創建一個新的子域
()輸入林管理員帳號如administratorpassword(或mcse)
常見出錯提示域不是AD域或用於域的AD域控制器無法聯系上解決方法見前
()輸入父域名如輸入子域名如sub注意不要輸成
()指定AD庫和日志文件位置
()指定sysvol文件夾位置
()一般選與Windows 服務器之前的版本相兼容的權限
()目錄服務恢復模式的管理員密碼
()幾分後安裝完成需要重啟
如果域命名主控失效將會出現如下出錯提示由於以下原因操作失敗AD無法與域命名主機xxx聯系指定 的服務器無法運行指定的操作
解決保證域命名主控聯機如果確信其已無法正常工作可強制傳給林內的任意一個DC子域的DC也可以原 來的主機將必須被重做系統後才可連入網絡以保證域命名主控的林唯一性
深入討論
關於子域(子Domain)所對應的DNS子區域(子zone)是否委派的問題(以下簡稱子區域)
如果網絡規模不是很大雖然實現了子域但總部二級單位的網管可能就是同一個人這種情況下就不需要委 派了可以把區域子區域都放在同一個DNS服務器上由同一名管理員來管理就可以了默認值即如此不需要手 動設置
如果網絡規模較大且二級單位需要能夠控制自己的DNS子區域比如自己增加wwwwww……這樣的主機記錄在自 己的子區域下再建子區域這種情況下就需要委派子區域了由二級單位的DNS管理員自己來管理否則二級單位涉 及DNS的每一個小變化都需要找總部DNS管理員批准
子區域委派操作步驟如下(最好按如下步驟進行不容易出問題)
ADNS指向林根域(如)已有DC所用DNS服務器
B利用AD安裝向導安裝子域(如)重啟機
C在林根DNS控制台上查看確保已在生成子文件夾sub且sub下有個以下劃線開頭的保存有SRV記 錄的子文件夾(_msdcs_sites_tcp_udp)已生成sub下還應有如下條A記錄(第二條記錄如果未生成手 動補上也可以)
(與父文件夾相同)主機 IP
SUBdc 主機 IP
D在父域(如)右鍵/新建委派/下一步/子區域名sub(不必擔心重名因為委派完成後灰顏 色的委派的sub夾將取代黃顏色的sub夾但注意操作過程中會共存一段時間)接下來指定負責子區域的名稱服務器 及它的IP以生成粘合記錄下一步完成
E在子域DC上安裝DNS操作開始/設置/控制面板/添加刪除程序/Windows組件/網絡服務/域名系統(DNS)
F開始/程序/管理工具/DNS
G正向搜索區域/右鍵/新建區域建議選擇AD集成區域區域名自動生成SOANS AA四條記錄(後兩條A記錄如C步中述)此時SRV記錄也被復制過來了
H在DNS服務器的計算機名上/右鍵/屬性/轉發器指向上一級或林根DNS的IP
I將子域DC的DNS指向自己以後加入子域的計算機也使用子域的DNS以實現DNS分擔負荷(當然子域中的 計算機可以使用林中任一台DNS也都好使)
注意
由上述過程大家可以了解到做為被委派的DNS子區域的二級單位DNS管理員是不能隨意更改自己的DNS服務 器的比如修改DNS服務器的IP需要通知上級管理員及時更新委派子區域的NS記錄否則林中其它用戶就會找不 到你這個子域的計算機
新域—新樹—加入林
此種情況平常較少用到因為一般企業只用一套命名體系很少采用兩上或兩個以上的樹微軟舉的例子一個 大企業兼並另一企業並且想保留它的命名體系技術上對應實現就是目錄樹和DNS名稱空間
說明此種應該預先建好DNS正向搜索區因為它不能像建子域那樣利用AD向導自動在已有DNS區域中創 建子區域下面以前文中的圖示為例進行說明
()在林根DNS上與並列創建區域最好選AD集成區域
()以本機管理員身份登錄在獨立或成員服務器上啟動AD安裝向導
說明
DNS指向林根域已有DC所用DNS服務器並保證域命名主控必須有效
()選擇新域—新樹—加入林
()輸入林管理員帳號如administratorpassword(或mcse)
說明
輸入的欲登錄的林根域名也就告訴了系統要加入哪個林
()輸入新域的DNS全名如域NetBIOS名MY
()指定AD庫和日志文件位置
()指定sysvol文件夾位置
()一般選與Windows 服務器之前的版本相兼容的權限
()目錄服務恢復模式的管理員密碼
()幾分後安裝完成需要重啟
說明
用預建DNS這種方式加入林使用的是林根上已有DNS服務器所以此計算機在林根DNS的區域下僅生成 一條主機(A)記錄(如需要可手動添加treedc 主機 IP)SOA和NS記錄都是林根DNS服務器但在my com區域會有相應的SRV記錄來標識它是這個樹根域的DC這種並沒有實現DNS的分擔負荷如想實現利用輔助區域 來做
實驗中發現萬不可像全新安裝那樣在安裝過程中選擇在本地安裝一個DNS這樣將會這把個樹根域安裝成 一個獨立的林根域原因嗎?去問微軟吧
四卸載AD
在實際工作中有時我們需要改變服務器角色或者將實驗中安裝的DC回復到普通成員/獨立服務器身份 這就要進行AD的卸載
卸載時會提示給新的本地管理員設置密碼
附加DC卸載後仍在域中
如果AD不能卸載應從以下幾方面考慮
()權限
權限要求與安裝AD類似若一個林中只有一個域那麼你要卸載的就是林根域需要林管理員權限卸載附加DC 需要該域的域管理員權限卸載子域或樹涉及到林結構的改變也需要林管理員權限
()DNS
一般應保證與安裝時所用DNS一致如果做了DNS規劃必須保證中權限所要求的管理員身份能找到相應D C驗證
()域命名主控
卸載時只要涉及到林結構的改變就需要保證域命名主控有效卸載附加DC時不要求域命名主控有效
但要注意的是卸載時的出錯信息與安裝時的AD無法與域命名主機xxx聯系提示不同具體是由於以下原因 操作失敗以提供的憑據綁定到服務器xxx失敗RPC服務器不可用
()卸載的順序
與安裝順序相反應該先逐級卸載下面的子域最後卸載樹根域林根域否則將導致子域無法卸載而 存在的子域還有問題
因為極有可能此時架構和域命名主控及GC未轉移林管理員組和架構管理員組(Schema Admins)已 經隨林根域的刪除而沒有了為什麼這麼說呢?因為如果管理員考慮到主控及GC等的轉移問題也就不會誤刪林根域 了
五從NT域升級到域
預備知識
NT域采用單主控復制DC分為PDC和BDCBDC存儲的只是PDC目錄服務數據庫文件的只讀復本在服務器 管理器中可以將一台BDC提升為PDC原PDC自動降為BDC
一個域中只能有一台PDC零到多台BDC以提供容錯和分擔負荷但大家不要理解為一個網絡中只能有一台PDC 域是邏輯分組我們可以在一個子網中建多個域
域開始采用多主控復制DC不再有PDC和BDC之分DC間的AD復制是雙向的但域中會唯一有一台DC擔當 PDC仿真主控負責充當NT BDC的PDC並為早期版本客戶機提供服務PDC仿真主控還負責管理運行NT/ 計算機的密碼變化寫入AD接受密碼變化的DC必須通知PDC仿真主控比如用戶登錄時如密碼錯誤必先送至P DC仿真主控因為普通DC不能確認到底是密碼錯誤還是它沒有及時與PDC仿真主控同步它還負責同步整個域中計 算機的時間通過以上我們可以知道在域中存在的NT域控制器它的身份只能是BDC
域模式分為混合(mixed)模式和本機(natived)模式默認為混合模式如果管理員確認域中所 有DC(注意這裡強調的是DC域本機模式下可以有NT的成員服務器)都是DC沒有NT的域控制器可以 手動在AD用戶和計算機中將域模式更改為本機模式以充分利用AD的新功能比如使用通用組
通過以上分析我們可以知道如果在域中存在NT域控制器那麼你只能使用域混合模式了 有人可能會想那我就不讓它再當域控制器了但是NT域的DC和成員服務器之間角色轉換必須重裝NT系統不能象 那樣利用AD安裝向導方便地進行安裝/卸載
原則由NT域向域升級第一個被升級的必須是NT域的PDC這樣才可以把帳號安全設置配置等帶到 域
MS推薦策略由於升級是一個極易出現各種問題的過程必須考慮備份再有就是實際操作時可以先將NT的BD C提升為PDC再升級到如果順利的話再升級其它BDC如果不順利的話可將原來PDC復原以此方法來避免 損失
深入討論我們可以把前面的問題再深入討論一下假設你的域中有NT的PDC並且在它上面運行的老程序不允 許你把它升級為但你還想要通過升級NT域得到域那麼應該怎麼辦呢?答案很簡單可以先將這台PDC 降為BDC再將新PDC升級為這樣你既得到了域又保留了NT的BDC
我的推薦原則在實際工作中只要能進行域的全新安裝就用全新安裝因為NT升級後得到的安全策 略設置等等是繼承NT時的設置與域的默認值有較大出入以後出問題不易排錯也不易與其它人交流溝通 解決問題
本文基於自己幾年來的實踐心得討論重點放在如何規劃和最終實現Windows /域和活動目錄 以及此過程中要考慮和解決的各種各樣問題至於如何基於域和AD的優點進行網絡管理降低TCOAD的維護主控 的管理將另行撰文專門討論
From:http://tw.wingwit.com/Article/os/fwq/201311/29831.html