AD域配置详解

1、为什么需要域？对于很多刚刚开始研究微软技术的朋友来说，域是困扰他们的对象。 域的重要性自不必说，微软的重量级服务产品基本上需要域的支持，很多公司招聘工程师的要求也明确要求应征者精通或精通Active Directory。 但是，域对初学者来说很复杂，操作很多技术术语，例如Active Directory、站点、组策略、复制拓扑、主机角色，以及全局目录。 很多初学者容易陷入这些技术细节，缺乏全球把握。 从今天开始，我们将发布Active Directory系列博客，帮助许多学习PS的朋友。今天我们谈的第一个问题，为什么需要域这个管理模式？ 众所周知，微软管理计算机可以使用两种模式：域和工作组。

2、默认情况下，计算机在安装了操作系统后，属于工作组。 我们可以从很多书上看到工作组特征的记述。 例如，工作组属于分布式管理，适用于小规模网络。 我们在这个时候必须考虑一个问题。 为什么工作组不适合中规模到大规模的网络，是不是每个计算机的分散管理都不顺利呢？以下，就这个问题举一个例子进行讨论。假设现在工作组里有两台计算机。 一台是服务器Florence，另一台是客户端Perth。 众所周知，服务器的角色只是提供资源和分配资源。 服务器提供的资源有多种形式，包括共享文件夹、共享打印机、电子邮件地址和数据库等。 目前，服务器Florence作为服务资源提供了简单的共享文件夹。 我们的任务是授予公司内员

3、工张建国访问此共享文件夹的权限。 请注意这个文件夹只有张建国才能访问，我们必须考虑实现这个任务的方法。 一般来说，管理员的想法是在服务器上为张建国这个用户创建一个用户帐户，如果访问者可以回答张建国帐户的用户名和密码，我们就承认这个访问者是张建国。 基于这种朴素的管理构想，我们在服务器上进行具体的实施操作。首先，我们在服务器上为张建国创建了用户帐户，如下图所示。然后，对共享文件夹分配权限，如下图所示，仅向用户赋予了共享文件夹的读取权限。接着，张建国准备在客户端Perth上访问服务器上的共享文件夹。 张建国准备访问资源Florence人事资料，服务器向访问者提出了认证请求。 如下图所示，张建国输入

4、了自己的用户名和密码。如下图所示，张建国认证成功，访问了目标资源。看到这个例子，很多朋友可能觉得这个问题在工作组模式下得到了很好的解决。 我们并没有达到预期的目标，确实在这个小网络中，工作组的模式没有问题。 但是，我们必须把问题扩大！ 现在假设公司不是服务器，而是500台服务器。 这几乎是中型企业的规模，我们遇到了麻烦。 如果这500台服务器有分配给张建国的资源，会有什么结果呢？工作组的特征是分散管理，意味着各服务器为张建国创建用户帐户！ 张建国这个用户必须记住自己各服务器上的用户名和密码。 服务器管理员也不去任何地方，为每个用户帐户新建500次！ 如果公司里有1000人的话？ 我们无法想象像

5、这样管理网络资源的结果。 所有这一切的原因都在于工作组的分散管理。现在，为什么工作组不适合在大规模网络环境中工作，像工作组这样的松散管理方式和大规模网络要求的效率是相反的。工作组不符合大规模网络的管理要求，所以试着重新审视其他管理模式吧。 域模型是根据大网络的管理需求而设计的，域是共享用户帐户、计算机帐户和安全策略的计算机的集合。 从域的基本定义可以看出，在域模型的设计中，如果域中的计算机为公司员工创建用户帐户，则其他计算机可以共享帐户，并考虑到用户帐户等资源共享问题。 这很好地解决了我刚才提到的重复帐户创建问题。 域中集中存储此用户帐户的计算机将域控制器、用户帐户、计算机帐户和安全策略存储在

6、域控制器上名为Active Directory的数据库中。上述简单的例子显示了域的强大功能只是冰山的一角，但域的功能不仅仅如此。 从以下博客介绍域的部署和管理。 我们希望你们在使用过程中逐渐增加感性的认识，更深入、全面地理解域，掌握名为Active Directory的微软工程师所需的重要知识点。第二展开第一域在前篇的博文中，介绍了配置域的意义，但是今天配置了第一个域。 一般来说，域有三种计算机，一种是域控制器，一种是在域控制器中存储了Active Directory。另一种是成员服务器，负责提供邮件、数据库、DHCP等服务打算建立基本的域环境。 拓扑结构如下图所示。 Florence是域控制

7、器，Berlin是成员服务器，Perth是工作站。要配置域，需要执行以下操作1 DNS先行准备2域控制器的创建3创建计算机帐户4创建用户帐户DNS的事前准备DNS服务器对域很重要，而域中的计算机使用DNS域名，而DNS需要向域中的计算机提供域名解析服务的另一重要原因是域中的计算机或DNS所提供的SRV记录那么，DNS服务器是由哪个计算机负责的呢？一般的工程师有两种选择：将域控制器用作DNS服务器，还是使用其他DNS服务器。 我通常将独立的计算机用作DNS服务器，该DNS服务器不仅为域的解析服务，还为公司的其他业务提供DNS解析支持，大家可以根据具体的网络环境选择DNS服务器。在创建域之前，DN

8、S服务器需要做什么准备？创建一个区域，以便可以动态更新首先，在DNS服务器上创建区域。 区域的名称和域名相同，域中计算机的DNS记录在此区域中创建。 在DNS服务器上打开DNS管理器，右键单击前向搜索区域，然后选择“新建区域”，如下图所示。 显示“新建区域”向导后，单击“下一步”以继续。选择区域类型“主区域”。区域名称与域名相同，为。因为区域必须在创建域时将a记录、SRV记录和Cname记录写入DNS区域，所以必须允许动态更新。完成创建区域后，单击“完成”以完成创建。2ns和SOA记录的检查创建区域后，必须检查区域的NS和SOA记录。 在之前的DNS课程中，就NS唱片和SO

9、A唱片的意思进行了说明。 NS记录表示可以解析此区域的DNS服务器的数量，SOA记录表示哪个DNS服务器是该区域的主服务器。 如果NS和SOA记录错误，则在创建域时无法将记录写入DNS区域。 在DNS服务器上打开DNS管理器，并在区域中验证ns记录。 如下图所示，ns记录不是有效的完全限定域名，需要修改。将ns记录更改为 .并使分析的IP地址与DNS服务器的IP地址匹配，如下图所示，从而完成了ns记录的更改。区域的SOA记录也进行了类似的修改，现在区域的主服务器是 .SOA记录也进行了修改，如下图所示。现在DNS准备就绪，

10、可以部署域了。2域控制器的创建有了DNS的支持，就可以创建域控制器了。 域控制器是域中的第一台服务器，域控制器包含Active Directory。 域控制器可以说是域的灵魂。 我打算用流量来建立域控制器. 首先，检查流动网卡的TCP/IP属性。 请注意，Florence必须使用作为其DNS服务器。 因为在中创建了区域。在Florence上运行Dcpromo，开始创建域控制器，如下图所示。出现Active Directory安装向导，域控制器的创建实际上是在Florence上安装Active Directory数据库，然后单击

11、“下一步”继续，如下图所示。A是新创建的域，因为您已选择创建“新域的域控制器”。您选择了创建“新森林中的域”，如下图所示。 这个选项是什么意思呢？ 我们只是做了域，但逻辑上做了域林。 因为域必须属于域树，而域树必须属于域林。 因为我们实际上建立了域林。 这个域林只有一棵域树，域树只有一根树根。输入域的DNS名称。域的NETBIOS名称为ad测试。 因为NETBIOS名称包含错误的字符，所以域的NETBIOS名称基本上是域名的.前一部分。Active Directory数据库的路径使用默认值。 在生产环境中，请考虑分别存储数据库和日志。Sysvol文件夹的路

12、径也使用默认值。 稍后将说明Sysvol文件夹是什么。Active Directory安装向导会检测DNS服务器，并检查是否在DNS服务器上创建了与域名相同的区域，并能动态更新区域。 如下图所示，DNS检测通过。 请注意，如果DNS检测有问题，应该立即进行故障诊断，而不应该继续停机。然后，要选择用户和组的默认权限，您选择了不允许匿名用户查询域中的信息。设置恢复模式的管理员密码。 从备份中恢复Active Directory时需要。是的。 仔细检查创建域的每个设置是否正确，如果没有问题，就开始，如下图所示Active Directory安装向导开始在Florence上安装Active Direc

13、tory，如下图所示。重新启动计算机后，Active Directory的安装完成，如下图所示。重新启动Florence后，您现在可以以域管理员的身份登录，并且已经成功创建了域。当您检查DNS服务器时，您发现在DNS区域中已经自动创建了很多记录。 这些唱片的作用以后再分析吧。 现在在创建域时，只需要检查这些记录是否已创建就有问题了。这样域控制器的创建就完成了，域诞生了！3创建计算机帐户创建计算机帐户时，会将成员服务器和用户使用的客户端加入域，加入域时，会在Active Directory中创建计算机帐户。 创建计算机帐户在操作上非常简单，但实际上与很多事

14、情有关，如域控制器和参加域的计算机共享密钥等。 这些内容在后期进行介绍。以Berlin为例，介绍如何将计算机加入域。 首先，请确保Berlin使用作为其DNS服务器。 否则，Berlin无法使用DNS位置域控制器。在Berlin的计算机属性中切换到“计算机名称”标签，然后单击“更改”，如下图所示。我们决定让贝林属于域. 域名是。此时，系统必须输入有权限在Active Directory中创建计算机帐户的用户名和密码，并输入域管理员的用户名和密码。如果系统弹出，欢迎Berlin加入域，并在Florence中打开Active Directory用户和计算

15、机，您就会发现已创建了Berlin的计算机帐户，如下图所示。4创建用户帐户完成计算机帐户的创建后，必须为企业中的员工将用户帐户与Active Directory相关联。 首先，应该在Active Directory中利用组织单位来表示企业的管理框架。 如下图所示，展示了组织单位的建立方法。 打开Active Directory用户和计算机，然后选择“新组织单位”。输入组织单位的名称，然后单击ok以创建以下组织单位： 不是很简单吗？创建组织单位后，就可以在组织单位中创建用户帐户。 按人事部组织单位选择新用户，如下图所示。输入用户名称和登录名等参数，然后单击“下一步”继续。输入用户密码，然后选择“

16、密码不会过期”。点击可以轻松地创建用户帐户。 实际上，用户帐户需要很多部署工作，我们将在以下课程中介绍主题。到目前为止，我一直在创建域，在域中创建计算机帐户和用户帐户。 那么，如何表现域的管理优势，现在这个域模型有什么缺陷吗？ 我们用下面的博文解决这个问题。 (到此为止学习-2009-12-21 )3通过备份进行活动目录灾难恢复在前篇的博文中，介绍了如何配置第一个域。 现在，让我们来看看可以利用域做什么。 域中的计算机可以共享用户帐户、计算机帐户和安全策略。 让我们看看这些共享资源在分配网络资源时带来了什么样的变化。 实验拓扑如下图所示，我们现在有一项简单的任务，就是将成员服务器Berlin上的共享文件夹的读取权限分配给公司员工张建国。 上次我们为张建国做了一个用户帐户，这次我们想看看如何利用这个用户帐户来实现资源分配的目标。右键单击成员服务器Berlin上的文件夹Tools，选择“共享和安全性”，准备共享Tools文件夹，如下图所示。如果共享Tools文件夹，共享名为Tools，然后单击“权限”，则计划将Tools文件夹的读取权限仅分配给张建国。Tools文件夹的默认共享权限是Everyone组的只读权限。 计划删除默认权限设置，然后单击“添加”按钮，将文件夹读取权