一���、Active Directory Domain Services(AD DS)
in the Windows Server 2008 network enviroment ,Active Directory Domain Services(AD DS),provide with organizing�����、managing�����、controlling network resources.
1-1 active directory domain services overview
directory :telephone directory;file directory
如果這些directory內(nèi)的數(shù)據(jù)能夠系統(tǒng)的加以整理的話���,用戶就能夠容易且迅速的查找到所需文件����。
Active Directory的組成是directory�����,域內(nèi)的directory是用來存儲用戶帳戶�����、計(jì)算機(jī)帳戶����、打印機(jī)與共享文件夾等對象����,我們把這些對象的存儲地點(diǎn)稱為目錄數(shù)據(jù)庫(directory database)。
Active Directory 域內(nèi)負(fù)責(zé)提供目錄服務(wù)的組件就是active directory域服務(wù)�����,active directory domain services
它負(fù)責(zé)目錄數(shù)據(jù)庫的存儲、添加����、刪除、修改與查詢操作�����。
1-1-1 active directory domain service scope
active directory domain service 可以用在一臺計(jì)算機(jī)����、LAN或者數(shù)個WAN的聯(lián)合,它包含此范圍所有的對象���,例如文件���、打印機(jī)、應(yīng)用程序�����、服務(wù)器���、域控制器與用戶帳戶等���。
1-1-2nameSpace
bounded area ,一塊界定好的區(qū)域����,在此區(qū)域內(nèi)�����,我們可以利用某個名稱來找到與這個名稱有關(guān)的信息�����。
active directory 域服務(wù)內(nèi)���,active directory就是一個名稱空間,在active directory內(nèi)我們可以通過對象名來找到與這個對象相關(guān)的所有的信息����。
active directory domain services 與DNS緊密集成在一起,其域的名稱空間也是采用DNS架構(gòu)���,因此域名采用DNS格式來命名
1-1-3 object and attribute
ad ds內(nèi)的資源都是以對象的形式存在的�����,例如用戶����、計(jì)算機(jī)、打印機(jī)����,對象通過屬性來描述其特征。對象本身是屬性的集合���,對象類的概念-object class
1-1-4容器(container)和組織單位(organization units)
與對象不同的是容器內(nèi)可以包含其他對象���,也可以包含其他的容器。而組織單位是一個比較特殊的容器����,除了可以包括其他對象與組織單位外,還有組策略的功能����。
AD DS是層次化的結(jié)構(gòu)(hierarchical)將對象、容器與組織單位等組合在一起�����,并將其存儲到active directory數(shù)據(jù)庫中。
1-1-5域樹目錄
根域(root domain)
subdomain子域
域名空間是連續(xù)性的(continuous):子域的域名包含著其父域的域名���。
域樹目錄內(nèi)的所有域共享一個active directory數(shù)據(jù)庫�����,也就是在這個域樹目錄之下只有一個active directory數(shù)據(jù)庫����,不過這個active directory數(shù)據(jù)庫內(nèi)的數(shù)據(jù)分散地各個域內(nèi)�����,每個域只存儲屬于該域的數(shù)據(jù)���。
1-1-6信任(trust)
兩個域(trust relationship),然后才可以訪問對方域內(nèi)的資源����。
任何一個新AD DS域被加入到域目錄后,這個域會自動信任其前一層的父域���,同時父域也會自動信任這個新加入的子域����,而且這種信任關(guān)系具有雙向傳遞性(Two-way transitive),kerberos信任。
因?yàn)閭鬟f性得到的信任關(guān)系�����,可稱為隱性的信任關(guān)系(impicit trust)����。
所以當(dāng)任何一個AD DS域加入到域樹目錄后,它會自動雙向信任這個域樹目錄內(nèi)的所有域�����,因此只要擁有適當(dāng)權(quán)限����,這個新域內(nèi)的用戶便可以訪問其他域的資源:同理,其他域內(nèi)的用戶也可以訪問這個新域內(nèi)的資源�����。
1-1-7 forest
林是由一個或多個域樹目錄組成����,每一個域樹目錄都有自己唯一的名稱空間���。
您所創(chuàng)建的第一個域樹目錄的根域,就是整個林的根域���,同時其域名就是林的林名����。
例如sayms.com 是整個林的根域�����,整個林的域名是sayms.com
當(dāng)創(chuàng)建林時����,每一個域樹目錄內(nèi)的根域(root domain)之間雙向的、傳遞性的信任關(guān)系都會被自動創(chuàng)建����。因此每個域樹目錄中的每個域內(nèi)的用戶����,只要擁有權(quán)限,都可以訪問其他任何一個域樹目錄內(nèi)的資源���,也可以到其他任何一個域樹目錄內(nèi)的計(jì)算機(jī)登錄�����。
1-1-8架構(gòu)(schema)
AD DS內(nèi)的書香類型與屬性數(shù)據(jù)是定義在schema內(nèi)的����。比如schema定義了對象類型內(nèi)包含了哪些屬性、沒一個屬性的數(shù)據(jù)類型等信息�����。
應(yīng)用程序可以在schema內(nèi)添加其所需要的對象類型或?qū)傩?���,系統(tǒng)管理員(指schema admins 組內(nèi)的用戶)可以修改架構(gòu)內(nèi)的數(shù)據(jù)。在一個forest內(nèi)的all domain tree共享相同的schema�����。
1-1-9域控制器
AD DS的目錄數(shù)據(jù)是存儲在域控制器內(nèi)的�����。一個域內(nèi)可以有多臺域控制器,每一臺域控制器的地位(幾乎)是平等的����。他們各自存儲著一份幾乎完全相同的vactive directory數(shù)據(jù)庫。比如當(dāng)在任何一臺域控制器內(nèi)添加一個用戶帳戶后���,這個帳戶默認(rèn)是被創(chuàng)建在此域控制器的active directory數(shù)據(jù)庫內(nèi)����,之后這份數(shù)據(jù)會自動被replicate到其他域控制器的active directory數(shù)據(jù)庫內(nèi)�����,以便讓所有域控制器內(nèi)的AD DS數(shù)據(jù)都能夠同步(synchronize)����。
多臺域控制器可以提高系統(tǒng)的可靠性,提供容錯功能����,同時可以改善登錄效率。
域控制器一般是一臺服務(wù)器級別的計(jì)算機(jī)�����,在windows server 2008家族中���,除了 windows web server 2008之外����,其他都可以扮演域控制器的角色���。
1-1-10active directory的復(fù)制模式
域控制器之間在復(fù)制active directory數(shù)據(jù)庫時����,其復(fù)制方式可以為以下兩種模式:
多主機(jī)復(fù)制模式(multi-master replication model)
當(dāng)在任何一臺域控制器的active directory數(shù)據(jù)庫內(nèi)添加一個用戶帳戶后�����,這個帳戶會自動被復(fù)制到域內(nèi)的其他域控制器���。active directory數(shù)據(jù)庫內(nèi)的大部分的數(shù)據(jù)是利用這種模式在復(fù)制�����。
單主機(jī)復(fù)制模式(single-master replication model)
當(dāng)提出更改對象數(shù)據(jù)的請求的時候���,會由其中一臺域控制器(操作主機(jī))負(fù)責(zé)接收與處理此請求����,也就是說該對象是先被更新在操作主機(jī)���,再由這臺操作主機(jī)將它復(fù)制到其他的域控制器����。
1-1-11域中的其他成員計(jì)算機(jī)
要充分管理計(jì)算機(jī)����,需要將這些計(jì)算機(jī)加入到域內(nèi),如果用戶要使用active directory數(shù)據(jù)庫內(nèi)的域用戶帳戶來登錄����,這些計(jì)算機(jī)也必須加入域。沒有加入域的計(jì)算機(jī)只能夠使用本地用戶帳戶登錄���。
域中的成員計(jì)算機(jī)包括:
成員服務(wù)器(member server)
服務(wù)器級別的計(jì)算機(jī)加入域后被稱為成員服務(wù)器(member server)�����,成員服務(wù)器的區(qū)別不是硬件�����,而是操作系統(tǒng)����。成員服務(wù)器可以是:
windows server 2008
windows server 2003
windows 2000 server
windows NT server 4.0
若上述服務(wù)器沒有加入到域���,則他們被稱為獨(dú)立服務(wù)器(stand-alone server)或工作組服務(wù)器(workgroup server ),無論是member server還是stand-alone server���,他們都有本地的SAM(security accounts manager),系統(tǒng)可以用SAM來審核本地的用戶的身份���。
其他客戶端計(jì)算機(jī)
windows vista Ultimate �����、windows vista enterprise ���、windows vista bussiness
windows XP professional
windows 2000 professional
windows NT workstation
PS:postscript
注意:ista home premium、vista home basic ���、vista starter�����、XP home edition等計(jì)算機(jī)在登錄窗口中無法選擇域用戶來登錄�����,只能利用本地用戶帳戶來登錄����。
在windows網(wǎng)絡(luò)環(huán)境下,可以將獨(dú)立服務(wù)器或成員服務(wù)器升級成為域控制器�����,也可以將域控制器降級為獨(dú)立服務(wù)器或成員服務(wù)器����。
1-1-12 DNS服務(wù)器
域控制器需要將自己注冊到DNS服務(wù)器內(nèi),以便讓其他計(jì)算機(jī)通過DNS服務(wù)器來找到這臺域控制器����。因此搭建域環(huán)境需要有可支持AD DS的DNS服務(wù)器。同時這臺DNS服務(wù)器最好支持動態(tài)更新(dynamic update)���,以便當(dāng)域控制器的角色有變動或域成員計(jì)算機(jī)的IP地址等數(shù)據(jù)更改時����,可以自動更新DNS服務(wù)器的記錄。
1-1-13輕型目錄訪問協(xié)議(LDAP)
LDAP(lightweight directory access protocol)輕型目錄訪問協(xié)議是用來訪問active directory數(shù)據(jù)庫的目錄服務(wù)協(xié)議���。AD DS是利用LDAP名稱路徑(LDAP naming path)來表示對象在active directory數(shù)據(jù)庫中的位置�����,以便用它來訪問active directory數(shù)據(jù)庫內(nèi)的對象。LDAP名稱路徑包括:
distinguished Name(DN)
DN是對象在active directory數(shù)據(jù)庫內(nèi)的完整路徑
其中的DC(domain component)表示DNS域名中的組件���;OU為組織單位(organization unit)���;CN為common name
relative distinguished name(RDN)
RDN是在DN的完整路徑中,用來代表某個對象的部分路徑
GUID(global unique identifier)
GUID是個128位的數(shù)值����,您所創(chuàng)建的任何一個對象,系統(tǒng)都會自動為其指定一個唯一的GUID�����。雖然可以改變對象的名稱����,但是其GUID永遠(yuǎn)不變����。
User Principal Name
每一個用戶還可以有幾個比DN更短����、更容易記憶的UPN形式為bob@sya.com,用戶在登錄的時候最好是用UPN
user principal name
service principal name SPN
SPN是一個內(nèi)含多重值(multivalue)的名稱�����,他是根據(jù)DNS主機(jī)名來創(chuàng)建的���,SPN用來代表某臺計(jì)算機(jī)所支持的服務(wù)���,它讓其他計(jì)算機(jī)可以通過SPN來與這臺計(jì)算機(jī)的服務(wù)通信。
1-1-14 全局編錄(global catalog)
雖然在域樹目錄內(nèi)的所有域共享一個active directory數(shù)據(jù)庫���,但是其內(nèi)的數(shù)據(jù)確實(shí)分散在各個域內(nèi)的����,而且是每個域只存儲域本身的數(shù)據(jù)����。為了讓用戶���、應(yīng)用程序能夠迅速的找到位于其他域的資源,在AD DS內(nèi)設(shè)計(jì)了全局編錄(global catalog0���。
全局編錄的數(shù)據(jù)是存儲在域控制器內(nèi)的�����,這臺域控制器被稱為全局編錄服務(wù)器����,其內(nèi)存儲著林內(nèi)所有域的active directory數(shù)據(jù)庫內(nèi)的每一個對象���。不過只存儲每一個對象的部分屬性,這些屬性是都是常被搜索的屬性�����。
用戶登錄的時候���,全局編錄服務(wù)器還負(fù)責(zé)提供該用戶所隸屬的全局組數(shù)據(jù)���;或是用戶用UPN登錄時���,它會負(fù)責(zé)提供該用戶是屬于哪一個域的信息。
一個林內(nèi)的所有域樹目錄共享相同的全局編錄(global catalog)���,而林內(nèi)的第一臺域控制器����,默認(rèn)就是全局編錄服務(wù)器���。也可以指派其他域控制器為全局編錄服務(wù)器����。
1-1-15站點(diǎn)site
站點(diǎn)是由一個或多個IP子網(wǎng)(subnet)所組成的����,這些子網(wǎng)之間通過高速且可靠的鏈路串接起來,如果鏈路不滿足要求應(yīng)該將其劃為不同的站點(diǎn)���。
例如一個LAN內(nèi)的各個子網(wǎng)之間的鏈路都符合高速且可靠的鏈路���,而通過WAN互聯(lián)的站點(diǎn)速度一般不快,所以應(yīng)該劃分為多個站點(diǎn)(site)。
域是邏輯的分組����,而站點(diǎn)是物理的分組,在AD DS內(nèi)沒一個站點(diǎn)可能會含有多個域����;而一個域內(nèi)的計(jì)算機(jī)也可能分別屬于不同的站點(diǎn)。
如果一個域的域控制器分布在不同的站點(diǎn)內(nèi)���,且這些站點(diǎn)這些站點(diǎn)是低速鏈接的話(slow wan link)���,由于兩個domain controllers之間因?yàn)樾枰猻ynchronize數(shù)據(jù)而需要replicate數(shù)據(jù),所以需要審慎規(guī)劃數(shù)據(jù)復(fù)制的時間段�����,盡量設(shè)置在非高峰時期來執(zhí)行復(fù)制工作���,同時復(fù)制頻率也不要太高,以避免復(fù)制時占用兩個站點(diǎn)之間的鏈接帶寬���,影響兩個站點(diǎn)之間的數(shù)據(jù)傳輸���。隸屬于同一個站點(diǎn)之間的域控制器����,會自動執(zhí)行復(fù)制功能�����,默認(rèn)的復(fù)制頻率也比較高�����。
不同站點(diǎn)之間的數(shù)據(jù)進(jìn)行復(fù)制的時候�����,所傳送的數(shù)據(jù)會被壓縮���,同一個站點(diǎn)之間的數(shù)據(jù)不會被壓縮�����。
1-1-16 目錄分區(qū)(directory partition)
active directory數(shù)據(jù)庫被邏輯的劃分為以下目錄分區(qū):
架構(gòu)目錄分區(qū)(schema directory partition)
它存儲著整個林中所有對象與屬性的定義數(shù)據(jù)����,也存儲著如何創(chuàng)建新對象與屬性的規(guī)則。整個林內(nèi)所有域共享一份相同的架構(gòu)目錄分區(qū)���,它會被復(fù)制到所有域的所有域控制器�����。
配置目錄分區(qū)(configuration directory partition)
其存儲著整個AD DS的結(jié)構(gòu)����,例如有哪些域����、有哪些站點(diǎn)、域控制器等數(shù)據(jù)���。整個林共享一份相同的配置目錄分區(qū)�����,它會被復(fù)制到整個林中的所有域控制器上。
域目錄分區(qū)(domain directory partition)
每個域各有一個域目錄分區(qū)�����,其內(nèi)存儲著與該域有關(guān)的對象,例如用戶���、組����、計(jì)算機(jī)與組織單位�����,每個域各自有一份域目錄分區(qū)�����,域目錄分區(qū)會被復(fù)制到該域內(nèi)的所有域控制器中����,并不會被復(fù)制到其他域的域控制器中。
應(yīng)用程序目錄分區(qū)(application directory partition)
應(yīng)用程序目錄分區(qū)是由應(yīng)用程序創(chuàng)建的�����,其內(nèi)存儲著與該應(yīng)用程序有關(guān)的數(shù)據(jù)�����,應(yīng)用程序目錄分區(qū)會被復(fù)制到林中的特定域控制器,而不是所有的域控制器����。
1-2 windows server 2008域控制器的新功能
1-2-1制度域控制器(read-only domain controller)
首先是2008新增,它的active directory數(shù)據(jù)庫只能被讀取���。RODC的active directory數(shù)據(jù)庫的數(shù)據(jù)只能夠從其他可寫域控制器復(fù)制過來�����。RODC主要是設(shè)計(jì)給遠(yuǎn)程分公司網(wǎng)絡(luò)來使用���。
1、RODC的active directory數(shù)據(jù)庫內(nèi)容
RODC的active directory數(shù)據(jù)庫內(nèi)存儲著AD DS域內(nèi)所有的對象與屬性���,不存儲用戶帳戶的密碼���。如果要驗(yàn)證用戶與密碼的時候,需要將它們送到總公司的可寫域控制器來驗(yàn)證�����。
如果遠(yuǎn)程分公司修改active directory數(shù)據(jù)庫����,修改公司總部,然后公司總部的DC遠(yuǎn)程replicate給RODC
2�����、(unidirectional replication)
總公司的DC不用向RODC索取DC的變動數(shù)據(jù)����,可寫DC通過DFS分布式文件系統(tǒng)將SYSVOL文件夾(用來存儲與組粗略相關(guān)的設(shè)置)復(fù)制給RODC的時候也是單向復(fù)制。
3�����、認(rèn)證緩存(credential caching)
在用戶驗(yàn)證的時候����,RODC需要將數(shù)據(jù)發(fā)到主DC,為加快速度�����,可以將用戶的密碼存儲到RODC的認(rèn)證緩存區(qū)����。此時需要通過密碼復(fù)制策略(password replication policy)來設(shè)置可以被RODC緩存的帳戶���。不要太多,RODC可能入侵����。
4、系統(tǒng)管理員角色隔離(administrator role separation)
系統(tǒng)管理員角色隔離能將任何一位域用戶指派為RODC的本地系統(tǒng)管理員�����,此用戶可以在RODC這臺機(jī)器上登錄���,然后執(zhí)行管理工作�����,無法執(zhí)行其他的域管理工作�����,不會危害到域的安全�����。
5���、只讀域名系統(tǒng)(read-only domain name system)
可以在RODC上架設(shè)DNS服務(wù)器����。RODC會復(fù)制DNS服務(wù)器所使用的所有的應(yīng)用程序目錄分區(qū)�����,其中包含forestDNSZone DomainDNSZone����。
不過RODC上的DNS服務(wù)器并不支持客戶端直接進(jìn)行動態(tài)更新���,客戶端要更新的時候����,DNS服務(wù)器會將其轉(zhuǎn)發(fā)到其他DNS服務(wù)器�����,讓客戶端轉(zhuǎn)向此DNS服務(wù)器進(jìn)行更新�����,而RODC上的DNS服務(wù)器也會自動從這臺DNS服務(wù)器來復(fù)制這筆更新的日志。
1-2-2 可重新啟動的AD DS(restartable AD DS )
如果這臺域控制器需要維護(hù)����,需要進(jìn)入目錄還原模式
同時這臺機(jī)器需要重新啟動,如果這臺機(jī)器還作為其他機(jī)器使用���,如DHCP服務(wù)器����,則重新啟動機(jī)器將造成這些服務(wù)暫時停止���。
windows server 2008控制器可提供新的可重新啟動的AD DS功能����,若要執(zhí)行active directory工作����,只需要將AD DS服務(wù)停止即可。
AD DS域控制器停止了����,如果還有其他域控制器在線���,仍然可以在這臺AD DS服務(wù)已經(jīng)停止的域控制器上利用域用戶名登錄,若沒有其他域控制器在線���,則只能利用目錄服務(wù)還原模式的系統(tǒng)管理員帳戶進(jìn)入目錄服務(wù)還原模式���。
1-3 域功能級別與林功能級別
1-3-1 域功能級別(domain funtionality level)
AD DS的域功能級別設(shè)置只影響到該域,不會影響到其他域���。
windows 2000 native
域內(nèi)的域控制器可以是 windows 200 server 、windows server 2003與windows server 2008
windows server 2003
域內(nèi)的控制器可以是windows server 2003與windows server 2008
windows server 2008
域內(nèi)的域控制器只能是windows server 2008
可以提升域功能級別比如將windows 2000 原生���,提升到windows server 2008����,一旦提升后不會被降級
前次交互式登錄信息���、高級加密服務(wù)
1-3-2林功能級別(forest functionality level)
windows 2000
林內(nèi)的所有域控制器可以是windows 2000 server ����、windows server 2003����、windows server 2008
windows server 2003
林內(nèi)的所有域控制器可以是windows server 2003與windows server 2008
windows server 2008
林內(nèi)的所有的域控制器必須是windows server 2008
林功能級別可以提升����,不過一旦提升不可以再降低����。
windows server 2008林功能級別并未擁有比windows server2008更多的功能,但是
在windows server 2008 林功能級別之內(nèi)所添加的域����,其域功能級別會被設(shè)置為windows server 2008.
1-4 active directory 輕型目錄服務(wù)
active directory數(shù)據(jù)庫是一個符合LDAP規(guī)范的目錄服務(wù)數(shù)據(jù)庫,它除了可以用來存儲AD DS域內(nèi)的對象����,例如:用戶帳戶、計(jì)算機(jī)帳戶�����,還提供應(yīng)用程序目錄分區(qū)�����,以便讓支持目錄訪問的應(yīng)用程序(directory-enabled application)����,可以將該程序的相關(guān)數(shù)據(jù)存儲到active directory數(shù)據(jù)庫內(nèi)���。
AD LDS(active directory lightweight directory services)輕型目錄服務(wù),而不必要創(chuàng)建AD DS域與域控制器����。
在windows server 2003中被稱為ADAM(active directory application mode)。
它可以讓您在計(jì)算機(jī)內(nèi)創(chuàng)建多個目錄服務(wù)的環(huán)境�����,每個環(huán)境成為一個 AD LDS instance�����。每一個AD LDS實(shí)例分別擁有獨(dú)立的目錄設(shè)置與架構(gòu)�����,也分別擁有專屬的目錄數(shù)據(jù)庫�����,以供支持目錄訪問的應(yīng)用程序來使用�����。
二���、創(chuàng)建AD DS域
2-1創(chuàng)建AD DS域前的準(zhǔn)備工作
創(chuàng)建AD DS先安裝一臺服務(wù)器�����,然后將其promote as a domain controller
2-1-1 選擇適當(dāng)?shù)腄NS域名
AD DS的域名采用DNS的架構(gòu)與命名方式���。域名可以在域創(chuàng)建完成后更改。
2-1-1 準(zhǔn)備好用來支持AD DS 的DNS服務(wù)器
在AD DS域中���,域控制器會將自己所扮演的角色注冊到DNS服務(wù)器內(nèi)���,以便讓其他計(jì)算機(jī)通過DNS服務(wù)器來找到這臺域控制器。
Service Location Resource Record SRV RR
域控制器必須將其扮演的角色注冊到DNS服務(wù)器的SRV日志之下���,因此DNS服務(wù)器必須支持SRV RR windows server及BIND 8.1.2或新版本都支持這個功能�����。
動態(tài)更新
強(qiáng)烈建議安裝此項(xiàng)功能���,否則域控制器無法自動將自己注冊到DNS服務(wù)器的SRV日志之下���。
incremental zone transfer
此功能讓這臺DNS服務(wù)器與其他DNS服務(wù)器之間在執(zhí)行(zone transfer)時,只復(fù)制最新修改過的日志���,提高復(fù)制的效率�����,減輕網(wǎng)絡(luò)的負(fù)擔(dān)����。
fast zone transfer
在DNS服務(wù)器向其他DNS服務(wù)器傳送日志的時候使用fast transfer format����,此格式具備數(shù)據(jù)壓縮與每一個傳送信息內(nèi)可包含多條日志的功能�����。BIND 4.9.7以上
windows DNS服務(wù)器默認(rèn)已經(jīng)啟用快速傳送,如果
可以采用以下兩種方式來架設(shè)DNS服務(wù)器:
在將服務(wù)器升級為域控制器時����,順便讓系統(tǒng)自動在這臺服務(wù)器上安裝DNS服務(wù)器角色����。系統(tǒng)還會在此DNS服務(wù)器內(nèi)創(chuàng)建一個支持AD DS域的區(qū)域���。域名和AD DS的區(qū)域名一樣����,并自動啟用安全的動態(tài)更新����。
請先在這臺即將變成域控制器與DNS服務(wù)器的計(jì)算機(jī)上,清除“首選DNS服務(wù)器”的IP地址或改為輸入自己的IP地址�����。
使用現(xiàn)有的DNS服務(wù)器或另外安裝一臺DNS服務(wù)器�����,然后在這臺DNS服務(wù)器創(chuàng)建一個用來支持AD DS域的區(qū)域
2-1-3 選擇Active Directory數(shù)據(jù)庫的存儲地點(diǎn)
域控制器需要使用磁盤來存儲以下3個與active directory有關(guān)的數(shù)據(jù)
active directory數(shù)據(jù)庫:用來存儲active directory對象
日志文件:用來存儲active directory數(shù)據(jù)庫的改動日志
SYSVOL文件夾:用來存儲與組策略有關(guān)的設(shè)置(組策略只有組織單元有相應(yīng)的屬性)
對于存儲的要求:
必須存儲在本地磁盤內(nèi)���;SYSVOL必須存儲在NTFS類型的文件系統(tǒng)下���;建議將active directory數(shù)據(jù)庫與SYSVOL文件存放在不同的硬盤內(nèi)���。分開存儲的目的:一是為了提高系統(tǒng)的運(yùn)行效率;二是可以避免兩份資料同時出問題����,提高還原active directory數(shù)據(jù)庫的能力。
可以將active directory數(shù)據(jù)庫也放在NTFS文件系統(tǒng)內(nèi)����,以便利用NTFS權(quán)限來增強(qiáng)文件的安全性。系統(tǒng)默認(rèn)是安裝在windows server 2008的安裝盤內(nèi)����。
如果要將active directory數(shù)據(jù)庫、日志文件和SYSVOL都存儲到另外一個磁盤內(nèi)但是計(jì)算機(jī)目前并沒有其他磁盤�����,可以使用如下方法來創(chuàng)建NTFS磁盤
start-->computer management->storage unassigned space right-click
convert d: /fs:ntfs
但是如果該磁盤任何一個文件在使用���,則系統(tǒng)無法立即執(zhí)行,此時可以選擇讓系統(tǒng)在下次重新啟動的時候自動轉(zhuǎn)換����。
active directory數(shù)據(jù)庫和日志文件的存儲地點(diǎn)可以事后使用ntdsutil命令來更改�����。若要更改SYSVOL的存放地點(diǎn)����,建議先刪除AD DS域控制器�����,然后在重新安裝AD DS時指定新的存儲地點(diǎn)���。
2-2創(chuàng)建AD DS域
a new forest-->a new domain tree-->a new first domain-->a new domain controller
2-2-1使用windows 窗口界面來安裝網(wǎng)絡(luò)中的第一臺域控制器
修改計(jì)算機(jī)的名稱-->start-->server manager-->change system properties
目錄還原模式的的系統(tǒng)管理員密碼�����,完成單擊”下一步“����,目錄還原模式是一個安全模式(safe mode)���,進(jìn)入此模式可以修復(fù)active directory數(shù)據(jù)庫���?��?梢栽谙?strong>統(tǒng)啟動的時候按F8來選擇此模式,不過必須輸入此處設(shè)置的密碼�����。
密碼至少是7個字符�����,不能包含用戶名中超過兩個以上的連續(xù)字符���,至少要包含A-Z���、a-z、0-9�����、非字母字符(���!����、¥�����、#|%)等4組字符中的3組���。
導(dǎo)出的應(yīng)答文件(answer file)����,他可供dcpromo.exe安裝域控制器使用���。不過安裝向?qū)Р粫ⅰ澳夸涍€原模式”的系統(tǒng)管理員的密碼存儲到此文件中����。
完成AD DS配置后���,網(wǎng)絡(luò)的首選DNS會設(shè)置為127.0.0.1
此計(jì)算機(jī)升級為域控制器后�����,它會自動的開放windows 防火墻中與AD DS有關(guān)的端口���,以便其他計(jì)算機(jī)可以與域控制器通信���。
2-2-2 使用應(yīng)答文件安裝網(wǎng)絡(luò)中的第一臺域控制器
首先創(chuàng)建應(yīng)答文件,然后
dcpromo /unattend:"answer.txt" 應(yīng)答文件的完整的路徑����。
使用dcpromo 命令行來安裝AD DS
2-3確認(rèn)AD DS域是否正常
2-3-1檢查DNS服務(wù)器內(nèi)的日志是否完整
域控制器會將它的主機(jī)名、IP地址以及所扮演的角色等數(shù)據(jù)注冊到DNS服務(wù)器�����,其他機(jī)器通過DNS服務(wù)器找到域控制器�����。
1���、檢查主機(jī)日志
2����、檢查SRV日志--使用DNS控制臺
如果域控制器將其所扮演的角色注冊到DNS服務(wù)器的話�����,則應(yīng)該會有_tcp、_udp的文件夾
在選擇_tcp文件夾后還可以看到數(shù)據(jù)類型為SRV(service location)的_ldap(lightweight directory access protocal)日志���,_gc(global catalog)
PS: LDAP服務(wù)器就是用來提供active directory數(shù)據(jù)庫訪問的服務(wù)器����,而windows server2008���、windows server 2003、windows 2000 server域控制器就是扮演著LDAP服務(wù)器的角色�����。
域控制器另外注冊到_msdcs文件夾���。
如果DNS服務(wù)器是在安裝AD DS是順便安裝的����,則它除了會自動創(chuàng)建一個用來支持AD DS的區(qū)域外�����,還會創(chuàng)建一個_msdcs.sayms.com的區(qū)域����。他是專門供域控制器來注冊的�����,這個時候這些域控制器會把其資料注冊到_msdcs.sayms.com區(qū)域內(nèi)�����,而不是_msdcs內(nèi)���。
當(dāng)?shù)匾粋€域創(chuàng)建完成之后,系統(tǒng)就會自動創(chuàng)建一個名為:Default-First-Name的站點(diǎn)�����,
cmd
set type=srv
需要將sayms.com區(qū)域的“允許區(qū)域傳送”權(quán)限開放給您的計(jì)算機(jī)���,否則無法查詢����,且會顯示query refused的警告信息���。
2-3-2排除注冊失敗的問題
如果因?yàn)橛蚩刂破?或域成員計(jì)算機(jī))本身的設(shè)置有誤或者是網(wǎng)絡(luò)問題����,造成無法將數(shù)據(jù)這冊到DNS服務(wù)器?��?梢栽趩栴}解決以后����,通過重新啟動這些計(jì)算機(jī)的方式來重新注冊����。
或者手動使用這些方式:
在域控制器/域成員機(jī)器執(zhí)行 >ipconfig /registerdns
在域控制器上選擇開始--》管理工具-》服務(wù)����,重新啟動netlog服務(wù)。
域控制器默認(rèn)每隔2424小時會自動向DNS服務(wù)器注冊1此����。
2-3-32-3-3檢查active directory數(shù)據(jù)庫文件域SYSVOL文件夾
active directory數(shù)據(jù)庫文件與日志文件默認(rèn)是存儲在%systemroot% tds文件夾內(nèi)
可以選擇start-->run %systemroot% tds,文件夾中的ntds.dit是數(shù)據(jù)庫文件.log文件是日志文件
SYSVOL默認(rèn)是被創(chuàng)建在%systemroot%sysvol,
%systemroot%sysvolsysvol
%systemroot%sysvol/sysvol/sayms.com/script
也可以使用命令>net share查看
2-3-4添加新的管理工具
在AD DS安裝完之后,在start-administrative tools-菜單里會增加一些AD DS管理工具
2-3-5查看事件日志文件
event viewer
2-4提升域與林功能級別
2-4-1提升域功能級別
start-->administrative tools-->active directory users and computers-->sayms.com right click->raise domain functional level
windows 2000 server ; windows server 2003 ;windows server 2008
2-4-2 提升林功能級別
start-->administrative tools-->active directory domains and trusts-->sayms.com right click->raise forest functional level
提升林功能級別后���,相應(yīng)的域功能級別也被提升����。
2-5 添加額外域控制器域RODC
額外的域控制器
改善用戶的登錄的效率;提供容錯的能力�����,提高系統(tǒng)整體的可靠性
架構(gòu)完addtional domain server之后�����,需要將現(xiàn)有的DC的active directory數(shù)據(jù)庫復(fù)制到這臺新的dc
提供了兩種復(fù)制的方式:
通過網(wǎng)絡(luò)直接復(fù)制:適合于active directory數(shù)據(jù)庫數(shù)據(jù)量比較小
通過安裝媒體(installation media)
可事先在一臺域控制器上制作安裝媒體�����,其內(nèi)包含著active directory數(shù)據(jù)庫���,然后將安裝媒體復(fù)制到U盤或共享文件夾內(nèi)����,在安裝額外域控制器的時候�����,要求安裝向?qū)У竭@個媒體內(nèi)讀取安裝媒體內(nèi)的active directory數(shù)據(jù)庫�����,在安裝媒體制作之后,active directory數(shù)據(jù)庫可能有變化����,通過網(wǎng)絡(luò)復(fù)制的方式直接傳輸和同步。
這種方式適合writable domain controller 與read-only domain conroller
2-5-1使用windows 窗口界面來安裝額外域控制器
2-5-4使用安裝媒體來安裝域控制器
首先制作安裝媒體����,在source domain controller上,將active directory數(shù)據(jù)庫存儲到安裝媒體內(nèi)����。
若要制作供可寫域控制器使用的安裝媒體,則必須在可寫域控制器上運(yùn)行ntdsutil命令
若要制作供RODC使用的安裝媒體�����,則可以在可寫域控制器或RODC上運(yùn)行ntdsutil命令���。若是在可寫域控制器上制作,ntdsutil會將緩存的安全信息清除���。
1����、使用域系統(tǒng)管理員的身份登錄域控制器
2、命令行輸入ntdsutil
3���、activate instance ntds 表示要將active directory數(shù)據(jù)庫設(shè)置為活動���。
4、create full c:installationmedia 將安裝媒體的內(nèi)容放置到c:installationmedia
其中的full表示要制作供可寫域控制器使用的安裝媒體�����。如果制作供RODC使用的安裝媒體 參數(shù)為rodc 兩次quit 兩次回車
額外域控制器-安裝媒體
replicationsourcepath="c:installationMedia"
2-5-5更改RODC委派與密碼復(fù)制策略設(shè)置
start-->administrative tools-->active directory users and computers ,click the container domain controller
通過manager 更改RODC的委派����,通過密碼復(fù)制策略
2-6階段式安裝RODC
采用兩個階段的方式來安裝RODC(只讀域控制器),由不同的用戶完成���,大多是遠(yuǎn)程分公司所需的RODC
第一階段:新建RODC帳戶
這個階段由domain admins組內(nèi)的成員完成�����,在active directory數(shù)據(jù)庫內(nèi)創(chuàng)建計(jì)算機(jī)帳戶����,將第二階段的安裝工作委派給用戶或組。
被委派的用戶在分公司完成RODC的安裝工作�����,被委派的用戶不需要具備domain admins的權(quán)限�����,但是如果沒有委派用戶的話����,只有domain admins和enterprise admins組內(nèi)的用戶能繼續(xù)安裝分公司的RODC。
在第二個階段����,被委派的用戶需要在遠(yuǎn)程分公司內(nèi),將未來的RODC服務(wù)器附加到第一階段創(chuàng)建的計(jì)算機(jī)帳戶中����,以便完成RODC的安裝工作�����。
2-6-1使用windows窗口來創(chuàng)建RODC帳戶
首先在一臺域控制器上以domain admin的用戶登錄����,然后start--administrative tools -active directory users and computers ,右擊container:domain controller,create RODC account�����。
2-6-2將服務(wù)器附加到RODC帳戶
在即將成為RODC帳戶的計(jì)算機(jī)上以administrator的身份登錄�����,運(yùn)行dcpromo /useexistiingaccount:attach
在輸入網(wǎng)絡(luò)憑據(jù)的時候����,可以輸入被委派的用戶、enterprise admins或domain admins組內(nèi)的用戶����。
2-7將windows計(jì)算機(jī)加入或脫離域
以下計(jì)算機(jī)可以被加入域:
windows server 2008
windows server 2003
windows vista ultimate 、windows vista enterprise ����、windows vista bussiness
windows XP professional
windows 2000 server 、windows 2000 professional
windows NT server4.0 �����、windows NT workstation 4.0
加入域的客戶端計(jì)算機(jī),其計(jì)算機(jī)帳戶默認(rèn)自動創(chuàng)建在container computer內(nèi)����,如果你希望該計(jì)算機(jī)帳戶防止到其他容器或組織單位,可以事先在容器或組織單位內(nèi)創(chuàng)建此計(jì)算機(jī)帳戶����,創(chuàng)建的方法是右鍵容器或組織單位-添加-計(jì)算機(jī)-計(jì)算機(jī)名。
開始--控制面板---系統(tǒng)--改變設(shè)置
必須是administrator才有權(quán)限改變設(shè)置�����,因?yàn)閣indows server 2008或windows vista計(jì)算機(jī)默認(rèn)已經(jīng)啟用“用戶帳戶控制”�����。如果出現(xiàn)錯誤����,先檢查"首選DNS服務(wù)器"是否設(shè)置為正確的IP地址,可輸入任何一個域用戶名與密碼����,不過這些帳戶都只有10次將計(jì)算機(jī)加入域的機(jī)會���,但是管理員不受限制�����。
2-7-2使用已加入域的計(jì)算機(jī)登錄
一旦這個計(jì)算機(jī)加入某個域����,那么系統(tǒng)在登錄的時候,和原的界面即會有區(qū)別���,首先需要按ctrl+alt+del啟動登錄界面���,默認(rèn)是使用本地系統(tǒng)管理員的身份登錄,此時系統(tǒng)會使用本地安全性數(shù)據(jù)庫來檢查用戶名和密碼是否正確����。
如果要使用域用戶登錄,切換用戶����,登錄名的格式為saymsadministrator
2-7-3脫離域
脫離域,主動的本地系統(tǒng)的administrator����,被動的enterprise admins����、domain admins����。
windows server 2008和windows vista已經(jīng)啟用用戶帳戶控制,用戶帳戶控制的目的是如果您沒有權(quán)限更改此設(shè)置����,系統(tǒng)會要求輸入帳戶與密碼。脫離域start--control panel---system---change setting輸入適當(dāng)?shù)墓ぷ鹘M名稱����。
將計(jì)算機(jī)加入同一個工作組的好處是您在瀏覽網(wǎng)絡(luò)上的計(jì)算機(jī)的時候,可以比較快的找到同一個組內(nèi)的計(jì)算機(jī)����。
2-8在域成員計(jì)算機(jī)內(nèi)安裝AD DS管理工具
開始--服務(wù)器管理器---功能---添加功能---遠(yuǎn)程服務(wù)器管理器---角色管理工具
2-9刪除域控制器與域
降級刪除域控制器,也就是將AD DS從域控制器刪除���,在降級之前需要注意的事項(xiàng):
1�����、如果域內(nèi)還有其他域控制器存在�����,則降級后這臺機(jī)器會成為該域的member server����,其計(jì)算機(jī)賬戶會被從組織單位domain controllers轉(zhuǎn)移到容器computers內(nèi)���,必須是domain admins或enterprise admins組內(nèi)的成員才有權(quán)限刪除DC�����。
2�����、如果這臺DC是domain內(nèi)的最后一臺DC���,則刪除DC,同時sayms���。com域也同時會被刪除����,這臺機(jī)器降級后會變成一臺stand-alone server或者是workgroup server。必須是enterprise admins的用戶才能有權(quán)限刪除最后一個DC�����,而且如果有子域的話應(yīng)該先刪除子域���。
3�����、如果刪除的是林內(nèi)的最后一臺DC�����,那么刪除DC之后林同時也被刪除�����,必須是enterprise admins組內(nèi)的用戶才有權(quán)限刪除�����。
4���、如果這臺服務(wù)器是GC����,要檢查其所屬的站點(diǎn)是否還有其他的GC����,若沒有需要制定一臺DC作為GC
start--administrative tools--active directory sites and services--sites-default-first-site-name--servers--選擇要扮演GC的服務(wù)器����,right-click NTDS settings 選擇屬性--再選擇GC。
2-9-1使用windows窗口界面來刪除域控制器或域
start--run--dcpromo
如果AD DS服務(wù)停止或者無法與其他域控制器通信����,若要刪除域控制器,使用dcpromo /forceremoval來強(qiáng)制刪除�����。
若此域控制器是域中的最后一臺域控制器����,選擇此項(xiàng),如果域刪除后�����,域用戶的密碼編譯密鑰也會被刪除,因此先導(dǎo)出密鑰���,并先解密所有被加密的文件(例如通過EF加密的文件或通過公鑰加密的電子郵件)����,否則域刪除后將永遠(yuǎn)也無法訪問這些數(shù)據(jù)�����。
如果出現(xiàn)“應(yīng)用程序目錄分區(qū)”對話框����,表示這臺域控制器內(nèi)含有可寫入的active directory集成DNS區(qū)域(不包含RODC的只讀DNS區(qū)域),安裝向?qū)⒋藚^(qū)域的應(yīng)用程序目錄分區(qū)刪除����。若此對話框出現(xiàn)其他應(yīng)用程序創(chuàng)建的應(yīng)用程序目錄分區(qū),請盡量使用該應(yīng)用程序提供的工具(如果有的話)來刪除此應(yīng)用程序目錄分區(qū)�����。
由于active directory集成DNS區(qū)域即將被刪除�����,因此若有其他父域?qū)⒋藚^(qū)域的查詢工作委派給這臺域控制器的話,
密碼要求:至少是7個字符���;而且不能包含用戶名中超過兩個以上的連續(xù)字符����,至少應(yīng)該包含a-z���、A-Z����、0-9���、(!$#%)四組中的三組。
雖然這臺服務(wù)器已經(jīng)不再是域控制器了�����,不過其active directory域服務(wù)組件仍然存在并且沒有被刪除����,如果再要升級為DC的話,秩序要運(yùn)行dcpromo即可。不需要添加“角色”的方式來安裝���。
雖然active directory集成DNS區(qū)域的應(yīng)用程序目錄分區(qū)已經(jīng)刪除���,但是DNS服務(wù)器組件仍然存在。
若想刪除active directory域服務(wù)或DNS服務(wù)器�����,可以通過開始-服務(wù)器管理器-角色-active directory域服務(wù)或DNS服務(wù)器單擊右邊的“刪除角色”�����。
2-9-2使用應(yīng)答文件來刪除域控制器或域
在這個answer file文件中���,我們必須創(chuàng)建一個[DCInstall]的區(qū)段�����。administratorPassword設(shè)置本地administrator的密碼
dcpromo /unattend:"file"
dcpromo /?:promotion
2-10域升級與在現(xiàn)有域環(huán)境中安裝域控制器
若現(xiàn)在的網(wǎng)絡(luò)環(huán)境是windows 2000或windows server 2003林���,要將windows server 2008域控制器加入到此環(huán)境中:
將現(xiàn)有的林升級到server 2008
在現(xiàn)有的林中添加一個2008的域
在現(xiàn)有的林中添加一臺windows 2008域控制器
2-10-1將林升級為2008
將林升級就是將域控制器升級到2008
條件:所有的2000控制器必須先升級到service pack或以上的版本,2000的域功能級別必須是 2000的純粹模式也就是原生模式
找出林內(nèi)的架構(gòu)主機(jī)(schema master)與每一個域內(nèi)的結(jié)構(gòu)主機(jī)( infrastructure master)
林中第一臺域控制器就是林的架構(gòu)主機(jī)���,域中的第一臺域控制器就是該域的結(jié)構(gòu)主機(jī)
架構(gòu)主機(jī):
adprep /forestprep
操作主機(jī):
adprep /domainprep/gprep
由于 adprep /domainprep//gpprep會將SYSVOL文件夾內(nèi)的GPO權(quán)限設(shè)置復(fù)制到所有其他域控制器����,因此如果網(wǎng)絡(luò)內(nèi)有許多域控制器或GPO較多的話,這個復(fù)制操作會占用較多的網(wǎng)絡(luò)帶寬����,此時建議先運(yùn)行不會復(fù)制GPO權(quán)限的命令:
adprep /domainprep
等以后適當(dāng)時機(jī)再來運(yùn)行以下命令:
adprep /domainprep/gprep
此時這個命令只會復(fù)制GPO權(quán)限,其他操作不會再重復(fù)執(zhí)行���。
2-10-2在現(xiàn)有windows 2000或windows server 2003林中添加一個windows server 2008域
先到架構(gòu)主機(jī)上使用 adprep forestprep命令來擴(kuò)展現(xiàn)有windows 2000或者windows server 2003林的架構(gòu)
應(yīng)根據(jù)需求事先決定好域功能級別����。然后添加2008域
2-10-3添加windows server 2008域控制器
先到架構(gòu)主機(jī)上adprep /forestprep
到結(jié)構(gòu)主機(jī)上運(yùn)行adprep /domainprep /gpprep
如果要安裝RODC�����,請先登錄任何一臺域控制器����,將林功能級別提升為windows server 2003�����,然后運(yùn)行adprep rodcprep在現(xiàn)有的windows 2003域中,安裝的第一臺windows server 2008域控制器不可以是RODC����。
運(yùn)行adprep /rodcprep命令,可用來更新林中的DNS應(yīng)用程序目錄分區(qū)的權(quán)限�����,讓DNS數(shù)據(jù)可以被復(fù)制到所有也是扮演DNS服務(wù)器角色的RODC���。
