一、AD域
1. 介绍
安装了活动目录的主机称为域控制器,域控制器控制每个域。
所有主机可以加入到一个域中。
身份验证和访问控制权限都继承在了域控制器中。
多个域控之间高可靠性。
2. 活动目录的逻辑结构
- 域:一组计算机的集合,并且至少有一个域控制器的存在管理着这个域。
- 组织单位(OU):对对象进行分类,方便查找。可以对OU进行权限设置,应用到该OU下的所有对象。
- 域目录树:配置一个域包含多个域的时候。根域下面包含的子域。采用DNS的域名命名规则。
- 域目录林:多个域目录树组成的域,根域为最先创造的域目录树的根域。
在创建域目录林的时候,组成域目录林的两个域目录树的树根之间会自动创建相互的,可传递的信任关系,由于有了双向的信任关系,使目录林中的每个域之间的用户可以访问其他域的资源。
二、AD域的安装
1、准备一台winserver 2008主机,对计算机改名,重启之后生效。
2、添加服务器角色,选中AD域服务器,一直下一步,安装完成。
3、添加角色之后启动AD服务,安装AD域服务。直接运行,Dcpromo.exe。
或者在角色中选择安装AD域服务。
输入根域的FQDN名称,下一步。
勾选DNS服务器,继续下一步。
注意:域中的第一台域控制器必须是全局编录服务器,不能是只读控制器。
成为域控制器后,必须使用域用户账户登录。
重启完成后,可以看到域安装成功。
三、客户机加入AD域
1、在域控制器上新建一个域用户。
2、配置客户机和域控制器在同一个IP网段内,并且DNS指向域控。
172.25.254.20IP对应的是域控的IP, 域控刚才安装AD域的时候已经安装DNS服务了。
3、然后将客户机加入到jnds.com这个域中。
还需重启生效。
重启登录之前创建的user1测试。
四、安装只读域控制器
上面已经将win2008-1机器装成了一个域为jnds.com的域控。
然后win2008-2的主机需要将ip设置和域控制器同一网段,DNS指向域控。
1.接着和之前安装域空控步骤一样即可,只是这里选的是现有林。
然后下面的就是输入域的域名,一直下一步即可。
数据完成后会自动重启,就完成了RODC的创建。
到这里RODC算是创建完成了,但是我们还得验证RODC,
验证域控制器状态
接着用我们指定的管理员登录RODC并打开AD用户和计算机,查看一下DC类型
可以看到我们的DC是只读型DC,既RODC。
最重要的是我们在RODC这台只读域控里面查看DNS管理器,
发现对DNS没有新建主机和别名的权利。
五、转换服务器角色
在域控制器上把活动目录删除,服务器就降级为成员服务器了。
- 1、如果该区域内还有其他域控制器,那么该域会被降级成该域的成员服务器
- 2、如果该区域内没有其他的域控制器,那么该域将不存在,该计算机称为独立服务器。
- 3、如果这台域控制器是全局编录服务器,那么降级后不再担当全局编录服务器,因此请确保降级前该域中还存在其他的全局编录服务器,否则将影响用户登录。
1.委派其他控制器为全局编录服务器。
2.降级或删除域控制器。
如果域控制器是该域的最后一个域控制器,勾选上面的选项。
六、建立双向可传递信任关系
1、long.com和jnds.com建立双向可传递信任关系。
首先配置好两个域。备用DNS互指对方。
2、jnds.com建立信任关系
3、long.com建立信任关系与jnds.com建立步骤一样。
扫一扫
1894
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
