实验场景:张三、李四等人创建了一家公司,经过发展达到了500余人的规模。公司有不同的部门,部门(或分公司)之间有不同的密码要求,进行活动目录设计。
实验目的:搭建AD域环境。
建立AD DS域前,需要选择适当的DNS域名,准备好一台用来支持AD DS的DNS服务器,选择AD DS数据库的存储位置。
在AD DS域中,域控制器会将自己所扮演的角色登记到DNS服务器内,以便让其他计算机通过DNS服务器来找到这台域控制器,因此需要一台DNS服务器,且该DNS服务器需要支持SRV记录,同时最好支持动态更新、Incremental Zone Transfer与Fast Zone Transfer等功能。
域控制器需要利用磁盘空间来存储:AD DS数据库(用来存储AD DS对象);日志文件(用来存储AD DS数据库的变更记录);SYSVOL文件夹(用来存储域共享文件)。
在域架构中,最核心的就是DC(Domain Control,域控制器)。域控制器可分为三种:域控制器、额外域控制器和只读域控制器(RODC)。创建域环境首先要创建DC,DC创建完成后,把所有需要加入域的客户端加入到DC,这样就形成了域环境。网络中创建的第一台域控制器,默认为林根域控制器,也是全局编录服务器,FSMO操作主机角色也默认安装到第一台域控制器。 一个域环境中可以有多台域控制器,也可以只有一台域控制器。当有多台域控制器的时候,每一台域控制器的地位几乎是平等的,他们各自存储着一份相同的活动目录数据库。当你在任何一台域控制器内添加一个用户账号或其他信息后,此信息默认会同步到其他域控制器的活动目录数据库中。多个域控制器的好处在于当有域控制器出现故障了时,仍然能够由其他域控制器来提供服务。
目录
1.配置静态IP地址
安装DNS功能前需要先将网络配置为静态IP。因为DNS具有将域名解析为IP地址的作用,如果不配置静态的IP地址,那么IP地址的变换,就会导致服务器不能访问上。
操作步骤 | 相关截图 |
开始-控制面板-单击“网络与Internet”。 | |
单击“网络和共享中心”。 | |
单击“连接”。 | |
单击“属性”-单击“Internet协议版本4(TCP/IPv4)”-单击“属性”-单击“使用下面的IP地址”,将本机IP地址、网关和子网掩码填入-单击“使用下面的DNS服务器地址”,为其设置一个正确的DNS。 | |
确认网络已连接,静态网络配置完毕。 |
2.在Windows Server2012 R2中添加DNS功能
操作步骤 | 相关截图 |
| |
| |
| |
| |
| |
| |
| |
|
3.配置DNS正向解析
操作步骤 | 相关截图 |
| |
| |
| |
| |
| |
| |
| |
|
- 更改NS记录和SOA记录
NS是解析服务器记录。用来表明由哪台服务器对该域名进行解析。例如用户希望由192.168.232.215这台服务器解析ws2012r2.xn.com,则需要设置ws2012r2.xn.com的NS记录。
SOA叫做起始授权机构记录,NS用于标识多台域名解析服务器,SOA记录用于在众多NS记录中哪一台是主服务器。
操作步骤 | 相关截图 |
| |
| |
| |
| |
| |
| |
|
操作步骤 | 相关截图 |
| |
| |
| |
| |
| |
| |
| |
| |
|
在建立第一台域控制器test1.adtest.com时,它就会同时建立此域控制器所隶属的域adtest.com、建立域adtest.com所隶属的域树,而域adtest.com也是此域树的根域。由于是第一个域树,因此它同时会建立一个新林,林名称就是第一个域树根域的域名adtest.com。域adtest.com就是整个林的林根域。
域控制器是由工作组计算机升级而成,只有Windows Server(WEB版本除外)系统才可以提升为域控制器。服务器想要升级为域控制器,需要满足以下条件:
1)具有NTFS文件系统,因为SYSVOL文件夹需要NTFS文件系统。
2)静态ip地址,因为域控制器需要静态的ip。
如果是安装第一个域的域控,需要该服务器本地管理员权限。如果是安装现有域的额外域控制器,需要该域的域管理员权限。如果是安装子域的域控,需要企业管理员权限。
操作步骤 | 相关截图 |
| |
| |
| |
| |
| |
| |
| |
|
完成域控制器的安装后,原本这台计算机的本地用户账户会被移动到AD DS数据库。另外由于它本身也是DNS服务器,因此会自动将首选DNS服务器的IP地址改为代表自己的127.0.0.1。
操作步骤 | 相关截图 |
在Perth成员机中进入“服务器管理器”界面-单击“本地服务器”-单击工作组“WORKGR OUP”。 | |
在系统属性的计算机名选项卡中单击“更改”按钮-隶属于选择域,填写域名“adtest.com”-单击“确定”按钮。 | |
输入域管理员账号密码。 | |
出现右图提示则表明已经成功加入域,单击“确定”按钮。 | |
需要重新启动计算机,单击“确定”按钮。 | |
重启后使用管理员登录显示perth已经成功加入域了。 | |
加入域后,其完整计算机名称的后缀就会附上域名。 | |
在域控Windows Server2012 R2上单击服务器管理器“工具”-单击“ActiveDirect ory用户和计算机”。 | |
WindowsServer2012 R2的ActiveDirect ory用户和计算机中Computers里可以看见Perth已经加入域了。 |
脱离域的方法与加入域的方法大同小异,不过必须是Enterprise Admins、Domain Admins的成员或本机系统管理员才有权将此计算机脱离域。
| |
| |
| |
| |
| |
| |
| |
| |
|
对于公司域来说,例如现在需要为每一个事业集团配备一台DNS服务器,分别管理各事业集团自己的信息,但一个域是不可分割的,这该怎么办呢?没关系,我们可以在域的下面创建下级域(又称为子域),然后再将它们分别分配给各个事业集团。
比如,假设公司的域为http://test1.adtest.com,我们可以在这个域的下面创建子域,即http://bj.test1.adtest.com,然后就可以将下级域分配给不同的事业集团来使用。如果公司下级的组织不是事业部而是子公司,对于域来说也是没有区别的。在这个基础上,我们通过http://test1.adtest.com就可以得到不同主机的IP结果。
操作步骤 | 相关截图 |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|
操作步骤 | 相关截图 |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|
操作步骤 | 相关截图 |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|
操作步骤 | 相关截图 |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|