一、介绍
1.1 什么是域控服务器
- 域控制器(Domain Controller)是在Windows Server操作体系上运行的一个服务角色,它用于管理和控制一个或多个盘算机的安全策略、用户身份验证和授权等使命。域控制器通常是用于企业网络中的紧张身份验证和授权服务器,它可以集中管理构造内所有盘算机、用户和其他网络资源。
- 在一个Windows域环境中,域控制器是一个专门的服务器,它通过使用Active Directory(AD)服务来存储和管理构造内所有盘算机、用户和其他网络资源的信息。域控制器负责维护Active Directory数据库
- 通过将所有的盘算机和用户添加到域中,管理员可以集中管理和控制整个构造内的网络资源和安全策略,同时也可以方便地实现单点登录和资源访问控制等功能。域控制器是一个非常紧张的网络组件,它必要专业的管理和维护,以确保构造内的网络安全和稳定性。
- 在一个Windows域环境中,通常会有一个或多个域控制器来管理和控制整个网络环境。域控制器之间可以相互通信和同步信息,以确保整个网络环境的一致性和稳定性。当一个域控制器发生故障或必要进行维护时,其他域控制器可以接管其使命,以确保整个网络环境的可用性。
微软管理盘算机可以使用域和工作组两个模子,默认情况下盘算机安装完操作体系后是隶属于工作组的
- 工作组:只能将数量不多的电脑连成一个可互相共享资源的网络,在这种工作方式下,信息的安全保护只能靠给共享信息设置密码或将使用权限设置给特别用户来实现。
- 域:采用域控制器来进行信息管理,每个用户都有自己的账号和密码,并且可根据不同的情况赋予不同的使用权限,这种方式不光使网络信息安全得到了非常好的保障,同时也满足了大中型网络的要求。
1.2 为什么必要域
如果资源分布在N台服务器上,那么用户必要资源时就要分别登陆这N台服务器,也就必要N个账号。一个用户如此,那M个呢,管理员也就必要给他们创建N*M个账户,如许不仅负责而且难管理。
有了域,管理员只必要给每个用户创建一个域用户,用户只需在域中登陆一次就可以访问域中的资源,实现了单一登陆。
域就是共享用户账号,盘算机账号和安全策略的盘算机集合。
1.3 域控制器的作用
- 用户管理:域控制器可以存储和管理所有用户的信息,包括用户名、密码、电子邮件地点、电话号码等等,管理员可以通过域控制器来创建、修改和删除用户帐户,设置密码策略和访问权限等。
- 盘算机管理:域控制器可以管理构造内所有盘算机的信息,包括盘算机名、IP地点、操作体系版本、安装软件等等,管理员可以通过域控制器来添加、删除和管理盘算机帐户,设置盘算机策略和访问权限等。
- 安全管理:域控制器可以提供安全验证和授权服务,确保只有经过授权的用户和盘算机可以访问网络资源,同时还可以监控和记录用户和盘算机的运动,以便管理员进行安全审计和漏洞修补。
- 网络资源共享:域控制器可以管理和控制构造内所有网络资源的访问权限,包括文件夹、打印机、数据库
- 策略管理:域控制器可以集中化地管理和控制构造内所有盘算机和用户的策略,包括安全策略、网络策略、软件策略等等,以确保整个构造内的网络环境和资源的一致性和安全性。
- 集中化身份管理:域控制器可以实现单点登录和集中化身份管理,使用户可以使用同一个帐户和密码登录到构造内的所有盘算机和应用程序,同时也可以方便地进行身份验证和访问控制。
总之,域控制器是一个非常紧张的网络组件,它可以在构造内提供安全、可管理、可控制的网络环境,使管理员可以更加方便地管理和控制构造内的网络资源和安全策略。
部署域服务器必要考虑几个方面
- 网络拓扑:管理员必要确定构造内的网络拓扑,包括所有盘算机和网络设备的位置和连接方式,以便决定要部署多少个域控制器和它们的位置。
- 带宽和耽误:管理员必要考虑构造内不同地域之间的带宽和耽误情况,以便确定域控制器之间的同步方式和隔断时间。
- 安全性:管理员必要采取一系列措施来保护域控制器和Active Directory数据库
- 可用性:管理员必要确保域控制器和Active Directory数据库
总之,部署域控制器是构造内部署Windows域环境的紧张步骤之一,必要管理员根据现实情况进行公道的规划和部署,以便实现构造内的盘算机和网络资源的高效管理和控制。
1.5 什么是运动目录
运动目录(Active Directory)是Windows 2003Server平台提供的目录服务。在中央数据库中存放信息,使用户在网络上只拥有一个用户账号。
目录是存储各种对象的一个物理上的容器,目录服务是使目录中所有信息和资源发挥作用的服务。
信息的安全性大大增强,引入基于策略的管理,使体系的管理更加清朗,具有很强的可扩展性、可伸缩性、智能的信息复制能力,与DNS集成紧密、与其他目录服务具有互操作性、具有灵活的查询。
- 运动目录逻辑结构:域、构造单元、树、林。
- 域控制器(DC,Domain Controller)上存放着域中所有用户、组、盘算机等信息,域控制器把这些信息存放在运动目录中。
1.6 运动目录与DNS的关系
在TCP/IP网络中,DNS(Domain Name System) 是用来办理盘算机名字和IP地点的映射关系的。
运动目录使用DNS服务器来登记域控制器的IP、各种资源的定位等,在一个域林中至少要有一个DNS服务器存在,所以安装运动目录时必要同时安装DNS。
操作场景
运动目录 AD(Active Directory)是微软服务的核心组件。AD 能实现高效管理,例如批量管理用户、部署应用和更新补丁等。许多微软组件(例如 Exchange)和故障转移群集也必要 AD 域环境。本文以 Windows Server 2022 标准版64位操作体系为例,介绍怎样搭建 AD 域。
前提条件
已创建三台 Windows 云服务器 实例,分别作为主域控制器(DC)、备域控制器(DC)和客户端(Client)。
创建的实例需满足以下条件:
分区为 NTFS 分区。
实例支持 DNS 服务。
实例支持 TCP/IP 协议。
主备域控有雷同的盘符
实例网络环境
组网信息:网络类型采用私有网络 VBC,互换机的私有网段为172.31.10.0/16。
域名信息:示例域名为 adsrvtest01.com。作为 主DC 的 云服务器实例 IP 地点为172.31.10.201,作为备DC的云服务器实例IP 172.31.10.200作为客户端的 实例 IP 地点为172.31.10.202。2台主备域控之间的心跳网络为172.
注意
搭建 AD 域后,请确保 云服务器实例始终使用雷同的 IP 地点,否则 IP 地点变化会导致访问非常。
相关概念
运动目录 AD(Active Directory)是微软服务的核心组件,相关名词概念如下:
DC:Domain Controllers,域控制器。
DN:Distinguished Name,辨认名。
OU:Organizational Unit,构造单元。
CN:Canonical Name,正式名称。
SID:Security Identifier,安全标识符。
操作步骤
说明
不推荐使用已有的域控制器通过创建自界说镜像部署新的域控。如必须使用,请确保新建实例的主机名(hostname)和创建自界说镜像之前实例的主机名必须保持一致,否则大概会报错“服务器上的安全数据库没有此工作站信任关系”。您也可以在创建实例后修改成雷同的主机名,办理此问题。
二、部署 主AD 域控制器
2.1 登录作为 DC 的实例,
2.2. 在操作体系界面,单击 ,打开服务器管理器。
2.3 单击添加角色和功能,弹出 “添加角色和功能向导” 窗口。
2.4 在选择安装类型界面,选择基于角色或基于功能的安装,并一连单击2次下一步。如下图所示:
2.5.在选择服务器角色界面,勾选如下图所示的 Active Directory 域服务及 DNS 服务器,并在弹出窗口中单击添加功能及继承。
该步骤以将 AD 域服务和 DNS 服务部署在同一台实例上为例。
2.6.保持默认设置,一连单击4次下一步。
2.7. 在确认信息页面中,单击安装。 安装完成后,关闭“添加角色和功能”对话框。
2.8. 在操作体系界面,单击 ,打开服务器管理器。
2.9. 在服务器管理器窗口中,单击 ,选择将此服务器提升为域控制器。如下图所示:
2.10.在打开的 Active Directory 域服务设置向导窗口中,将选择部署操作设置为添加新林,输入根域名,本文以adsrvtest01.com 为例,单击下一步。如下图所示:
2.11.设置目录服务还原模式(DSRM)密码,单击下一步。如下图所示:
选择林功能级别,域功能级别。
此处我们选择的为win 2016 ,此时域功能级别只能是win 2016,如果选择其他林功能级别,还可以选择其他域功能级别
默认会直接在此服务器上安装DNS服务器
第一台域控制器必须是全局编录服务器的角色
第一台域控制器不可以是只读域控制器(RODC)这个角色是win 2008时新出来的功能
设置目录还原密码。
目录还原模式是一个安全模式,可以开机进入安全模式时修复AD数据库,但是必须使用此密码
此密码发起要牢记,是作为登录域的密码。冗余域控制器的密码也必要跟它保持一致。
出现此警告无需理会,会自动安装DNS服务器。别的需关注目录服务器的名称是否修改。
不支持DNS域名的旧体系,如win98 winnt必要通过netbios名来进行通信,如下图
- 数据库文件夹:用了存储AD数据库
- 日志文件文件夹:用了存储AD的更改记录,此记录可以用来修复AD数据库
- SYSVOL文件夹:用了存储域共享文件(例如组策略)
- 如果盘算机内有多个硬盘,生产环境发起将数据库与日志文件夹分别设置到不同的硬盘内,分两个硬盘可以提供运行效率,而且分开存储可以避免两份数据同时出现问题,以提高修复AD的能力。(不过我认为现在都是RAID模式了没须要分开,和操作体系分区分开就可以了)
2.13. 在先决条件查抄中,如果没有问题,直接选择下一步,有问题则返回修改
单击安装开始安装 AD 域服务器。
安装完成后将自动重启,安装完成后服务起管理器会多许多AD的常用管理下令,点击"工具",如图:
2.14 关闭防火墙三个全关闭
2.15 查抄主机记录,打开服务器管理器,右上角工具 → DNS → AD-master →正向查找区域→adsrvtest01.com
三、部署 备AD域控制器
如果一个域内有多个域控制器,可以有如下好处.
提高用户登录的效率:如果同时有多台域控制器对客户提供服务,可以分担审核用户登录身份(账户与密码)的负担,让用户登录效率更佳。
排错功能:如果有域控制器发生故障,此时依然能有其他正常的域控制器继承提供域服务器。
可以设置成为冗余,其中一台故障,不必要切换仍旧可保持正常服务。
3.1、起首改名,修改IP,设置DNS指向第一台域控制器:172.31.10.200完成后确认能ping通。
3.2.修改备AD域控服务器的SID
修改方法详见 《windows修改SID》
3.3、在备AD域服务器体系中,打开设置→体系→关于→体系保护,修改盘算机名为AD-standby,加入域为adsrvtest01.com,DNS后缀为adsrvtest01.com,如图;然后再弹出的加入域授权凭据对话框中输入域控制器的账号和密码并确定,然后重启,完成域的加入。参考下图:
3.4、按照第一台域控制器的方法,安装Active Directory 域服务和DNS服务器角色。
3.5、在Active Directory 域服务设置向导的部署设置标签中,选择将域控制器增加到现有域,填写域名adsrvtest01.com,提供此操作的凭据adsrvtest01\administrator(域管理员账户密码作为凭据)选择下一步,参考如图。
3.6、在Active Directory 域服务设置向导的域控制器选项标签中,勾选全局编录GC,选择站点名称adsrvtest01(域内站点多的话会要求选择),输入DSRM还原密码(密码是新设置的哦),然后选择下一步,参考如图。
后续没有提到的步骤保持默认即可
3.7、在Active Directory 域服务设置向导的DNS选项标签到检察选项标签,默认下一步即可,在先决条件查抄,检察查抄通过,就可以选择安装了,如图;完成后重启AD-standby节点。
3.8、然后切换到AD-master节点,打开DNS服务器,在adsrvtest01.com区域上点击右键属性,在常规标签,更改域控制器与DNS集成,并应用,参考如图
3.9.在常规标签中,更改怎样复制区域数据为,至此域中的所有DNS服务器,动态更新设置为安全,参考下图。
3.10.在主AD-master域控上的DNS服务器中的adsrvtest01.com区域属性上,在名称服务器标签中,增加备域控AD-standby为名称服务器,在弹出框中输入 AD-standby的IP和完全限定的域名 AD-standby.adsrvtest01.com,参考下图。
3.11.切换至备AD-standby,重复以上8-10步骤(名称服务器地点和完全限定域名是主AD-master的),完成后刷新,会看到和主AD-master上的DNS服务器一样的adsrvtest01.com区域内容。
3.12、验证
在备AD-standby上打开Active Directory 用户和盘算机,会发现内容和主AD-master上的完全一致,在Domain Controller中可以看到,AD-master、AD-standby、类型都是全局编录GC,表示两个域控制器是平等互为冗余的(记得在把域中的盘算机对象DNS同时指向172.31.10.200和172.31.10.201,如许在当某台域控制器宕机时,不会影响域的正常使用哦)。
附录:
域控常用下令
- 操作步骤
- # 获取当前域控制器机器基本情况:(PowerShell下运行)
- Get-ADDomainController -filter * | select hostname,IPv4Address,IsGlobalCatalog,IsReadOnly,OperatingSystem | format-table -auto
- repadmin /showrepl #查看域控制器之间复制状态
- dcdiag #在主域控中进行目录服务诊断,确定诊断无问题,进行操作
- netdom query fsmo #查看5种操作主机角色的位置 默认都是在主域控中
- Dsquery Server –Hasfsmo Schema #查看架构主机
- Dsquery Server –Hasfsmo Name #查看域命名主机
- Dsquery Server –Hasfsmo PDC #查看PDC模拟器主机
- Dsquery Server –Hasfsmo RID #查看RID主机
- Dsquery Server –Hasfsmo Infr #查看基础结构主机
- # 主域控关机,主域控FQDN:win-2022-dc01.xxx.com 主域控关机后 进行基本的测试(关闭域控制器进行模拟测试)
- ping win-2022-dc01.xxx.com #网络上ping主域控
- nslookup win-2022-dc01.xxx.com #DNS解析主域控
- # 辅域控进行测试,辅域控FQDN:win-2022-dc02.xxx.com
- ping win-2022-dc02.xxx.com
- ping www.baidu.com
- nslookup win-2022-dc02.xxx.com #测试辅助域控DNS是否能正常解析
- nslookup www.baidu.com
- 浏览器测试上网,打开网页(清除浏览器本地缓存)。
- 到客户端测试Wifi连接状态、计算机登录状态(无缓存 特指新加入域的计算机测试连接认证状态)
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
