AD DS部署配置

第1章实施ActiveDirectory域服务,章节概述,第1节：安装ActiveDirectory域服务第2节：部署只读域控制器第3节：配置ADDS域控制器角色,第1节：安装ActiveDirectory域服务,安装ADDS的要求域功能级别和林功能级别ADDS安装过程安装ADDS的高级选项从介质安装ADDS演示：验证ADDS安装升级到WindowsServer2008ADDS在服务器核心计算机上安装ADDS讨论：ADDS的常见配置,安装ADDS的要求,在林中安装第一个域控制器的本地管理员权限在域中安装更多域控制器的域管理员权限在林中安装更多域的企业管理员权限,管理员权限,必须配置TCP/IP，包括DNS客户端设置域控制器上必须已经有或将要配置支持动态更新的DNS服务器,网络配置,运行WindowsServer2008的计算机（不支持WebServer版）磁盘空间至少250MB，格式化为NTFS文件系统的分区,安装ADDS的服务器要求,域功能级别和林功能级别,功能级别：,决定域或林中可用的ADDS功能,在域或林中的域控制器上，可限制运行哪些WindowsServer操作系统,支持的域控制器操作系统,Windows2000,Windows2000纯模式,WindowsServer2003,WindowsServer2003,WindowsServer2008,WindowsServer2008,林,域,WindowsServer2008WindowsServer2003Windows2000Server,WindowsServer2008WindowsServer2003,WindowsServer2008,支持的功能级别：,ADDS安装过程,使用“服务器管理器”安装ActiveDirectory域服务角色,1,选择部署配置,3,配置附加域控制器功能,4,运行ActiveDirectory域服务安装向导,2,选择数据库、日志文件和SYSVOL文件夹的位置,5,配置目录服务还原模式管理员密码,6,安装ADDS的高级选项,使用高级模式选项：,创建新的域树,使用备份介质作为ADDS信息源,为了访问高级模式安装选项，可选择“安装向导”中的“高级模式”选项，或者运行DCPromo/adv,选择用于安装的源域控制器,修改默认的域NetBIOS名称,定义RODC的密码复制策略,从介质安装ADDS,使用Ntdsutil.exe创建安装介质。,Ntdsutil.exe可创建以下类型的安装介质：,完全（或可写）域控制器,带有SYSVOL数据的完全（或可写）域控制器,带有SYSVOL数据的只读域控制器,只读域控制器,演示：验证ADDS安装,在本演示中，你将看到如何验证ADDS安装。,升级到WindowsServer2008ADDS,安装之前,adprep/forestprep,Windows2000Windows2003,adprep/domainprep/gpprep,WindowsServer2000,adprep/domainprep,WindowsServer2003,命令,当前版本,WindowsServer2008域控制器必须在其他adprep命令之前运行,WindowsServer2008域控制器,WindowsServer2008域控制器,为安装WindowsServer2008域控制器而准备以前版本的ActiveDirectory：,adprep/rodcprep,WindowsServer2003,WindowsServer2008RODC,在服务器核心计算机上安装ADDS,为了在服务器核心计算机上安装ADDS，可使用应答文件执行无人参与安装。,按照以下语法使用Dcpromo命令：Dcpromo/answer:filename其中filename是应答文件的名称,讨论：ADDS的常见配置,安装第一个WindowsServer2008域控制器后，你还将在环境中采取哪些其他步骤？在域中部署了除第一个域控制器外的其他域控制器之后，这些任务有何变化？“服务器管理器”中列出的哪些建议适用于你的公司？,第2节：部署只读域控制器,只读域控制器只读域控制器的功能准备安装RODC安装RODC委派RODC安装密码复制策略演示：配置管理员角色分离和密码复制策略,只读域控制器,RODC承载ADDS数据库的只读分区，只接受复制的ActiveDirectory更改，并且从不发起复制。,RODC：,不能承担操作主机角色，或配置为复制桥头服务器,可部署在运行WindowsServer2008服务器核心的服务器上以提高安全性,RODC提供：,为物理安全条件有限的分支机构提供额外的安全性,在域控制器上必须运行应用程序的情况下，提供额外的安全性,RODC,只读域控制器的功能,RODC提供：,单向复制,凭据缓存,管理角色分离,只读DNS,RODC筛选的属性集,准备安装RODC,安装RODC之前：,确保域和林为WindowsServer2003功能级别,确保运行WindowsServer2008的可写域控制器可用于复制域分区,运行ADPrep/rodcprep使RODC能复制DNS分区,如果RODC将作为全局编录服务器，那么在所有域中运行ADPrep/domainprep,安装RODC,选择在现有域中安装其他域控制器的选项,1,如果要配置密码复制策略，那么选择高级模式安装,3,选择从ActiveDirectory域服务安装向导中安装RODC的选项,2,要在服务器核心安装上安装RODC，可使用包含ReplicaOrNewDomain=ReadOnlyReplica值的无人参与安装文件,委派RODC安装,为了委派RODC安装：,在DomainControllers容器中预先创建RODC计算机帐户,为用户或组分配安装RODC的权限,为了完成委派RODC安装，附带/UseExistingAccount:Attach开关运行DCPromo,密码复制策略,密码复制策略决定了RODC如何为通过身份验证的用户执行凭据缓存,默认情况下，RODC不缓存任何用户凭据或计算机凭据,不缓存凭据,在RODC上为指定用户启用凭据缓存,配置密码复制策略的选项：,将用户或组添加到“域RODC密码复制允许的组”，这样凭据就可以缓存在所有RODC上,演示：配置管理员角色分离和密码复制策略,在本演示中，你将看到如何：配置管理员角色分离配置RODC密码复制组跟踪有哪些用户登录到RODC为这些帐户配置密码复制策略,第3节：配置ADDS域控制器角色,全局编录服务器修改全局编录演示：配置全局编录服务器操作主机角色演示：管理操作主机角色Windows时间服务的工作方式,全局编录服务器,修改全局编录,全局编录服务器,创建附加属性,只添加你频繁查询或引用的附加属性。,演示：配置全局编录服务器,在本演示中，你将看到如何：使用“ActiveDirectory站点和服务”配置全局编录服务器将服务器核心上的域控制器配置为全局编录服务器将属性添加到全局编录服务器,操作主机角色,演示：管理操作主机角色,在本演示中，你将看到如何：确定哪台服务器承担操作主机角色移动操作主机角色占据