ADDS是微软域基础架构平台,实质上仍然是身份验证系统。
部署域环境简单,难的是管理依赖于域的应用。
域的规划存在多样性,可以根据公司的架构,管理理念选择适合自身的域架构。
微软建议使用单域多站点模式,可以适应大部分企业需求。
域只是一个平台,更重要的是前期规划要方便后期应用,能够支撑更多的服务。
如没有特殊需求,域规划越简单越好,能用单域多站点解决的应用尽量不要使用父子域,能用父子域解决的应用尽量不使用单林多域环境。
部署域的价值:统一用户身份标识,提升企业形象。通过域环境单点登录,降低运维成本。更清晰的组织架构和权限管理。与其他系统做集成。组策略管理。权限委派等。
独立服务器 成员服务器 域控制器(只读域控制器,额外域控制器,域控制器)
如果网络中安装的是第一台域控制器,那么该服务器默认就是林根服务器,也是根域服务器,FSMO操作主机角色默认也是安装到第一台域控制器。
额外域控制器和域控制器之间的平行关系,他们之间的区别在于是否存在FSMO角色。
ADDS服务和普通服务是一样的,在“服务”控制台,可以完成“启动 停止,暂停”操作。
域控制器会被添加到“domain controllers”组织单元中。
域环境中,DNS是基石,网络中的计算机通过DNS定位域控制器。
域 域树 域林 根域
DNS可以解析主机名称和IP地址
域控制器需要将自己注册到DNS服务器中。
建议将DNS 和ADDS服务部署在同一台服务器中。
域是一个有安全边界的集合,同一个域中的计算机彼此之间建立信任关系,计算机之间允许相互访问。
大部分企业管理都是通过组策略完成的。
小型企业采用单域
中型企业(总部+多分支)采用单域多站点或父子域
集团企业,各分公司独立运营,采用单林多域
根域 get-adforest命令验证根域所在的服务器
域树由多个域组成,这些域共享同一存储结构和配置,形成一个连续的名字空间,树中的域通过信任关系连接。
父子域之间的关系是双向信任的。
域林是由多棵域树构成的,域林中的所有域树仍共享同一个存储结构,配置和全局目录,所有域树之间通过kerberos建立信任关系。
域树由多个域组成,这些域共享同一个存储结构和目录,形成一个连续的名字空间。
域树中的域通过双向可传递信任关系连接在一起。
禁止随意添加/删除域控制器。紧张FSMO角色任意分配。谨慎备份域控制器。
重命名 激活系统 打全补丁 静态IP 集成区域DNS服务。
安装ADDS服务分两个阶段:安装角色和提升域服务。
将域控制器添加到现有域---就是部署多台域控。
将新域添加到现有林---为现有林中添加新域,创建另一棵全新的域树。
添加新林
网络中的第一台域控制器默认为GC全局编录服务器。
目录还原模式主要用来还原active directory数据库。
林功能级别 域功能级别
设置AD数据库文件夹,AD日志文件夹,SYSVOL文件夹的存放位置
两个服务:ADDS 和 ADWS
将服务器提升为域控制器的过程中,安装向导自动确定该域控制器属于哪个站点的成员。
活动目录数据库文件 Ntds.dit 存储域控制器中所有活动目录对象。
日志文件 edb.log
系统检查点文件edb.chk
键入net accounts命令查看第一台域控的计算机角色
验证系统共享卷SYSVOL和netlogon服务 net share
默认域策略和默认域控制策略
GUID 全局唯一标识符
验证目录服务器 dcdiag /test:netlogons
验证SRV记录:登录DNS控制台
验证FSMO操作主机角色 netdom query fsmo
事件查看器 安装日志 debug文件夹中
本地管理员 域管理员
用于Windows power shell的active directory模块
ADSI编辑器
Active directory 域和信任关系
Active directory 用户和计算机
Active directory 管理中心
Active directory 站点和服务
DNS
域控制器改IP地址---掌握
重命名域控制器---掌握
部署额外域控制器和子域
把成员服务器通过添加角色和功能提升为额外域控制器
查看网络中所有的域控制器和GC dsquery server dsquery server-isgc
第一台域控制器生成安装介质,使用ntdsutil工具创建。
Ntdsutil:activate instance ntds ---ifm---create sysvol full e:\dcinstallmedia—quit
管理GC:全局编录服务器不仅记录本域所有对象的只读信息,还会记录其他域中部分对象的只读信息。
GC的主要作用是:存储对象信息副本,提高搜索性能
通过ps查询当前林中所有的全局编录服务器:get-adforest|fl global catalogs
查询当前域中所有的站点:dsquery site
查询某个站点中所有的GC: get-addomaincontroller –filter {site –eq “上海站点”} |ft name,isglobalcatalog
域控制器提升为GC命令
Dsmod server“CN=BDC,CN=server,CN=default-first-site-name,CN=sites,CN=configuration,DC=book,DC=local ”-isgc yes|no
GC服务使用的默认端口是3268 查看端口是否监听 netstat –an | find “3268”
注册MMC active directory架构:regsvr32 schmmgmt.dll
连接到活动目录数据库 使用 ADSI编辑器
连接到全局编录服务器活动目录数据库
管理操作主机角色FSMO
架构主机角色 schema master 域命名主机角色 domain naming master RID主机角色 relative identifier master PDC模拟主机角色 基础架构主机角色
架构角色的作用是定义所有域对象属性
域命名主机角色的作用是为负责控制域林内域的添加或删除
基础架构主机角色负责对跨域对象的引用进行更新
RID主机角色为域中每一个对象创建SID
林环境内:整个林中只有一台架构主机和域命名主机
域环境内:每一个域拥有自己的RID主机 PDC 和基础架构主机
拥有PDC主机角色的域控一般为主域控制器
PDC角色也可以在不同域控制器之间切换,使用transfer 或 seize
FSMO角色转移:应首先尝试角色转移,如果转移不成功,才会执行占用操作
一般不建议将基础架构主机角色指派给GC所在的域控制器
Netdom query fsmo
查看主域控制器 net accounts
转移FSMO角色,克隆虚拟机后要重新生成SID。否则报错
查看自己的SID
重新生成SID
转移主机角色的过程中,具备操作主机角色的域控制器必须始终在线,操作主机转移过程支持逆向操作,除了schema master需要使用ntdsutil命令行方式转移外,其他几个角色都可以在图像界面完成操作。
来源:51CTO
作者:木雨林风
链接:https://blog.51cto.com/90856/2472796