一、前言
1.1 AD 域服务
什么是目录(directory)呢?
日常生活中使用的电话薄内记录着亲朋好友的姓名、电话与地址等数据,它就是 telephone directory(电话目录);计算机中的文件系统(file system)内记录着文件的文件名、大小与日期等数据,它就是 file directory(文件目录)。
如果这些目录内的数据能够由系统加以整理,用户就能够容易且迅速地查找到所需的数据,而 directory service(目录服务)提供的服务,就是要达到此目的。在现实生活中,查号台也是一种目录;在 Internet 上,百度和谷歌提供的搜索功能也是一种目录服务。
Active Directory 域内的 directory database(目录数据库)被用来存储用户账户、计算机账户、打印机和共享文件夹等对象,而提供目录服务的组件就是 Active Directory (活动目录)域服务(Active Directory Domain Service,AD DS),它负责目录数据库的存储、添加、删除、修改与查询等操作。一般适用于一个局域网内。
在 AD 域服务(AD DS)内,AD 就是一个命名空间(Namespace)。利用 AD,我们可以通过对象名称来找到与这个对象有关的所有信息。
在 TCP/IP 网络环境内利用 Domain Name System(DNS)来解析主机名与 IP 地址的对应关系,也就是利用 DNS 来解析来得到主机的 IP 地址。除此之外,AD 域服务也与 DNS 紧密结合在一起,它的域命名空间也是采用 DNS 架构,因此域名采用 DNS 格式来命名,例如可以将 AD 域的域名命名为 moonxy.com。
1.2 AD域对象与属性
AD 域内的资源以对象(Object)的形式存在,例如用户、计算机与打印机等都是对象,而对象则通过属性(Attriburte)来描述其特征,也就是说对象本身是一些属性的集合。例如,创建一个账户张三,则必须添加一个对象类型(object class)为用户的对象(也就是用户账户),然后在这个用户账户内输入张三的姓名、登录账户、电话号码和电子邮件等信息,这其中的用户账户就是对象,而姓名、登录账户等数据就是该对象的属性,张三就是对象类型为用户(user)的对象。
1.3 AD 域控制器 DC
AD 域服务(AD DS)的目录数据存储在域控制器(Domain Controller,DC)内。一个域内可以有多台域控制器,每台域控制器的地位几乎是平等的,它们各自存储着一份几乎完全相同的 Active Directory。当在任何一台域控制器内添加了一个用户账户后,此账户默认被创建在此域控制器的 Active Directory,之后会自动被复制(replicate)到其他域控制器的 Active Directory,以便让所有域控制器内的 Active Directory 数据都能够同步(synchronize)。
当用户在域内某台计算机登录时,会由其中一台域控制器根据其 Active Directory 内的账户数据,来审核用户输入的账户与密码是否正确。如果是正确的,用户就可以登录成功;反之,会被拒绝登录。域控制器是由服务器级别的额计算机来扮演的,例如 Windows Server 2012 和 Windows Server 2008 R2 等。
通常,域控制器的 Active Directory 数据库是可以被读写的,除此之外,还有 Active Directory 数据库是只可以读取、不可以被修改的只读域控制器(Read-Only Domain Controller,RODC)。例如,某子公司位于远程网络,如果安全措施并不像总公司一样完备,则可以使用 RODC。
1.4 LDAP
LDAP(Lightweight Directory Access Protocol),轻量目录访问协议,是一种用来查询与更新 Active Directory 的目录服务通信协议。AD 域服务利用 LDAP 命名路径(LDAP naming path)来表示对象在 AD 内的位置,以便用它来访问 AD 内的对象。
LDAP 数据的组织方式:
LDAP 名称路径如下:
标识名称(distinguished Name,DN):它是对象在 Active Directory 内的完整路径,DN 有三个属性,分别是 CN,OU,DC。
DC (Domain Component):域名组件;
CN (Common Name):通用名称,一般为用户名或计算机名;
OU (Organizational Unit):组织单位;
例如,如上用户账户,其 DN 为:
CN=张三,OU=Web前端组,OU=软件开发部,DC=moonxy,DC=com
其中 DC(Domain Component)表示 DNS 域名中的组件,例如 moonxy.com 中的 moonxy 与 com;OU为组织单位(Organization Unit);CN为通用名称(Common Name),一般为用户名或服务器名。除了DC与OU之外,其他都利用CN来表示,例如用户与计算机对象都属于CN。上述DN表示法中的 moonxy.com 为域名,软件研发部、Web前端组都是组织单位。此 DN 表示账户张三存储在 moonxy.com软件研发部Web前端组路径中。
相对标识名称(Relative Distinguished Name,RDN):RDN用来代表DN完整路径中的部分路径,例如上面路径中的 CN=张三与 OU=Web前端组等都是 RDN。
Base DN:LDAP 目录树的最顶部就是根,也就是所谓的 "Base DN",如 "DC=moonxy,DC=com"。
除了 DN 与 RDN 这两个对象名称外,另外还有如下两个名称:
全局唯一标识符(Global Unique Identifier,GUID):GUID 是一个128位的数值,系统会自动为每个对象指定一个唯一的GUID。虽然可以改变对象的名称,但是其GUID永远不会改变。
用户主体名称(User Principal Name,UPN):每个用户还可以有一个比DN更短、更容易记忆的 UPN,例如上面的张三隶属于 moonxy.com,则其 UPN 可以为 zhangsan@moonxy.com。用户登录时所输入的账户名最好是 UPN,因为无论此用户的账户被移动到哪一个域,其 UPN 都不会改变,因此用户可以一直使用同一个名称来登录。
AD 与 LDAP 的关系:LDAP 是一种用来访问 AD 数据库的目录服务协议,AD DS 会通过 LDAP 名称路径来表示对象在 AD 数据库中的位置,以便用它来访问 AD 数据库内的对象。LDAP 的名称路径包括有 DN、RDN。
openLDAP(Linux),Active Directory(Microsoft)等是对 LDAP 目录访问协议的具体实现,除了实现协议的功能,还对它进行了扩展。
1.5 全局编录
虽然在域树内的所有域共享一个 Active Directory,但是 Active Directory 数据却分散在各个域内,而每个域仅存储该域本身的数据。因此,为了让用户、应用程序能够快速找到位于其他域内的资源,在 AD 域服务器内设计了全局编录(Global Catalog,GC)。
全局编录的数据存储在域控制器内,这台域控制器被称为全局编录服务器,它存储着林内所有域的 AD 内的每个对象。不过只存储对象的部分属性,这些属性都是常用来搜索的属性,例如用户的电话号码、登录账户名等。全局编录让用户即使不知道对象位于哪一个域内,仍然可以快速的找到所需的对象。
用户登录时,全局编录服务器还负责提供该用户所属的通用组的信息;用户利用 UPN 登录时,它会负责提供该用户隶属于哪一个域的信息。
一个林内的所有域树共享相同的全局编录,而林内的第一台域控制器默认就是全局编录服务器。必要时,也可以另外指派其他域控制器来当做全局编录服务器。
二、 部署AD域控制器
首先,我们检查第一台已经安装Windows Server 2012 R2的服务网络的相关配置,确定的服务器IP地址、子网掩码、默认网关的参数如下,由于该服务器既要充当ADDC角色,又要充当网络的DNS角色 ,所以“首先DNS服务器”中配置的IP地址输入它自己的IP地址,即192.168.20.100,同时将来会有另外一台辅助的ADDC会加入也会承担DNS的角色,所以 在备用服务器中的IP地址中输入另外一台DNS的IP地址,即192.168.20.101,操作如下:
步骤 1 检查服务器的IP地址:
![44227ce4cbf3a3390c9570759009268c.png](https://i-blog.csdnimg.cn/blog_migrate/8e4c3e912d70f7ffe5833bc7ca27a96d.jpeg)
步骤 2点击Server2012左下角的“服务器管理器”显示如下界面:
![d8474348fea06d493c71d2332821b76b.png](https://i-blog.csdnimg.cn/blog_migrate/aa5d0909bf48d391331bc99296e14f04.jpeg)
步骤 3点击”管理”:
![da2ece46221dd4a39527f16dbf20f26c.png](https://i-blog.csdnimg.cn/blog_migrate/7608e5977ba4488c95357344781c153d.jpeg)
步骤 4点击“添加角色和功能按钮”弹出如下界面:
![da2ece46221dd4a39527f16dbf20f26c.png](https://i-blog.csdnimg.cn/blog_migrate/7608e5977ba4488c95357344781c153d.jpeg)
步骤 5这里选择“基于角色或基于功能的安装”,然后点“下一步”:
![ad707b260b294cc85d41a3a0fd929356.png](https://i-blog.csdnimg.cn/blog_migrate/11a6b92251cc5fd174ecc982bb6ba0f4.jpeg)
![51bee980ce683a95b67c55b7a8834a24.png](https://i-blog.csdnimg.cn/blog_migrate/e66d0c95e06daec2025030ff5e3dc71f.jpeg)
步骤 6服务器选择这里选择默认的,假如你需要针对其它主机安装AD角色,这里可以选择你需要的主机,点击“下一步”:
![9f840910b40fa67ed77c43948842accd.png](https://i-blog.csdnimg.cn/blog_migrate/4aa7cd253834e2b6f3a878b8a082876b.jpeg)
步骤 7这里勾选“ActiveDirectory域服务”:
![76d8aad7fb93430f51f234697a256599.png](https://i-blog.csdnimg.cn/blog_migrate/02ae91f5c89b19c0f1dc7e87451707c4.jpeg)
步骤 8当勾选这个选项时,会弹出如下对话框,点“添加功能”。
![c20eec143bbc6c70b9056b04117e0aa3.png](https://i-blog.csdnimg.cn/blog_migrate/3d201422dd0af5be67bb6a4880b7bdc2.jpeg)
步骤 9这样就正确选择了安装AD角色,点击“下一步”
![b001fdf5365d2e331cbab27daca4e266.png](https://i-blog.csdnimg.cn/blog_migrate/f2746357fef1d9aa0b4ae4143674fbce.jpeg)
步骤 10功能页面不需要做任何选择直接点“下一步”
![20d477e26877ea25545521c13aacc382.png](https://i-blog.csdnimg.cn/blog_migrate/aac15c8f1d35c12e61aea7b8f925eca0.jpeg)
步骤 11这里是介绍AD角色的功能及注意事项,点击“下一步”
![5ce3abb10e7b1b5ab820054c126126ff.png](https://i-blog.csdnimg.cn/blog_migrate/204f894ad77cee0c2642d5155132ca91.jpeg)
步骤 12勾选“如果需要,自动重新启动目标服务器”,然后点击“安装”
![db95b59955e5c38370513280f424690d.png](https://i-blog.csdnimg.cn/blog_migrate/bb0e73d9edb40ecfe012ce6389585b7c.jpeg)
步骤 13安装成功后我们点击“关闭”,但这还没有完全安装成功
![259be405960d7f4dfb824bfa5f69717b.png](https://i-blog.csdnimg.cn/blog_migrate/e429ab4645895e7cb51cb31a07313190.jpeg)
步骤 14点击服务器右上角的“功能按钮”, 弹出继续配置AD的对话框
![18b0ebfc9dca4392556bdda6f521f5f5.png](https://i-blog.csdnimg.cn/blog_migrate/f73128229a1fd517e789e21ac2256f07.jpeg)
步骤 15点击“部署后配置”,在红框处填入相应的域名
![10e3c1e8f9ab695a6b945dfa6aeb4cfe.png](https://i-blog.csdnimg.cn/blog_migrate/25e0e04308d1716d4e01259099782c96.jpeg)
步骤 16点击“下一步”选择域功能级别,选择相应的功能,DNS/GC/RODC,最下面输入目录服务还原密码在此设置密码为:vancen.123
![32ee261e1e02f11606a8d89ca92012c6.png](https://i-blog.csdnimg.cn/blog_migrate/a6fb90a79e693e667a479f61434bcd90.jpeg)
步骤 17点击“下一步”后配置DNS,由于不需要委派DNS,所以这里不需要设置,直接点击“下一步”
![0c9e75b80991703209d885a1ec8b3932.png](https://i-blog.csdnimg.cn/blog_migrate/d1897c5c675328ae325de65cec3847ba.jpeg)
步骤 18这一步配置Netbios名,若没有特殊需求默认的就可以,直接点“下一步”
![458f1baf1ea26cba80e558f25f8b711a.png](https://i-blog.csdnimg.cn/blog_migrate/8729e1dda1c9abb03ca92bb650371603.jpeg)
步骤 19配置日志,数据库,SYSVOL路径,若没有特殊需求,默认就可以
![7d8ca28cd82c4762c7a2277414bb1767.png](https://i-blog.csdnimg.cn/blog_migrate/78737737423547388869776123c8428e.jpeg)
步骤 20查看配置信息,若没有任何问题直接点“下一步”
![fd7ad83e112cb600a4f8c4e20eef35b2.png](https://i-blog.csdnimg.cn/blog_migrate/9653e6a49a1e82d116f647b8345aebb1.jpeg)
步骤 21这个页面是检测是否满足条件,满足条件后就可以直接点“安装”
![4fa2920d94d3e6b51466e884312e3618.png](https://i-blog.csdnimg.cn/blog_migrate/e8fe5ddf2fafa462f65df570d4db8247.jpeg)
步骤 22等待机器安装配置项,可能需要重启
![466c30729f5af3092c059fe62a930230.png](https://i-blog.csdnimg.cn/blog_migrate/b7353c51bade139f9823ca7f11cdde7b.jpeg)
4
步骤 23重启后我们会4看到AD角色已经安装完成
![3a0f8387ef0f00b00c01dfb0b7316967.png](https://i-blog.csdnimg.cn/blog_migrate/f41e629632e8816bdfb4855690929e51.jpeg)
第一台 ADDC已经安装完成
三、部署额外域控制器
首先,我们检查第二台已经安装Windows Server 2012 R2的服务网络的相关配置,确定的服务器IP地址、子网掩码、默认网关的参数如下,由于该服务器既要充当辅助的ADDC角色,又要充当网络的DNS角色 ,所以“首先DNS服务器”中配置的IP地址输入主域控制器的IP地址,即192.168.20.100,备用DNS服务器的IP地址输入它自己的IP地址,即192.168.20.101,操作如下
步骤 1 检查服务器的IP地址
![5ec8328f382f7c5f43ea667ef36f6039.png](https://i-blog.csdnimg.cn/blog_migrate/c85acba6e646019b78eb75e764059215.jpeg)
步骤 2 修改计算机名为ADDC02,点击确定
![186e191fb602c1199537d8f404febef9.png](https://i-blog.csdnimg.cn/blog_migrate/c2f4b3a42f8e4d7be7c53af3e04b5a19.jpeg)
步骤 3 点击“添加角色和功能按钮”弹出如下界面
![8f0780964d767f4a9069f0f744e7d4dc.png](https://i-blog.csdnimg.cn/blog_migrate/0d0671a15c8e3f7aa9ffa9adacbf682c.jpeg)
步骤 4这里选择“基于角色或基于功能的安装”,然后点“下一步”
![a84593e1a30ca11e76430e34a8bc5822.png](https://i-blog.csdnimg.cn/blog_migrate/7a09f85f673ca2d009586f549fe0212b.jpeg)
![56c68a8bcd2cdc3ed0c9d2fc0caef536.png](https://i-blog.csdnimg.cn/blog_migrate/c893d67572f6199c7d2d3217801b0a2b.jpeg)
步骤 5这里选择“从服务器池中选择服务器”,然后点“下一步”
![043974f9e7365afec8e300fe1785dbd6.png](https://i-blog.csdnimg.cn/blog_migrate/581965d0a166ef2b3036148424ebd862.jpeg)
步骤 6这里选择“域服务所需的功能”,然后点“下一步”
![ca993369e53d4758fd78dc796596f19a.png](https://i-blog.csdnimg.cn/blog_migrate/af894a393e1e0cf649285c97816d0f93.jpeg)
![654e38b5c34a51d0d6d5b58ee03daa58.png](https://i-blog.csdnimg.cn/blog_migrate/c9cb347880928e3a3645eec39f25fe9f.jpeg)
步骤 7然后点“下一步”
![541b8539e8fb01b1a61f41ddaae05d0b.png](https://i-blog.csdnimg.cn/blog_migrate/aa29c127a77f08539836a018f26dfa85.jpeg)
步骤 8然后点击“安装”
![e7e4694ff78646df4f3802d5b16ae06c.png](https://i-blog.csdnimg.cn/blog_migrate/b90f7ca57a84e30f4a4f5a33c57b0ad3.jpeg)
步骤 9点击“将此服务器提升为域控制器”
![c2fc5e28752a0dfbe25e888a923c092e.png](https://i-blog.csdnimg.cn/blog_migrate/7993c991e6457807d0f647f9d6bbcb91.jpeg)
步骤 10由于是做已经建立的域的辅助域控制器,所以单击 “向域控制器添加到现有域”
![71e7ec7059dac9f64f7b51236f49b669.png](https://i-blog.csdnimg.cn/blog_migrate/30766e03fb07d681626bff1b4445051a.jpeg)
步骤 11由于域的辅助域控制器所以选择域系统(DNS)服务器和全局编录(GC)功能,目录还原模块密码vancen.123
![4cb137bf6c10f9ee1b83db81c762ac20.png](https://i-blog.csdnimg.cn/blog_migrate/725929d8638209122254c1e207afdbf3.jpeg)
![d0f639c6c0a0728d4d1ca757d2475c75.png](https://i-blog.csdnimg.cn/blog_migrate/a3f77f313ce591bfd56645818543584c.jpeg)
步骤 12选择从主域控复制数据安装,复制自:ADDC01.VANCEN.COM
![9d8d3c3591d610fb861e049aea51ad8f.png](https://i-blog.csdnimg.cn/blog_migrate/821035d3d6178c8fc7d987dc8626a2ed.jpeg)
步骤 13配置文件路径选择默认,点击“下一步”
![68fbe3702af6c5186dc08a2f86205da8.png](https://i-blog.csdnimg.cn/blog_migrate/59cfdb5d85e18e134f2783e8479b6e76.jpeg)
步骤 14查看脚本后,点击“下一步”
![072bdaff6b151a7aa3120868bca24f4a.png](https://i-blog.csdnimg.cn/blog_migrate/5da8b3f05a89daf25add55a02f2bf4d9.jpeg)
![c745b11b787f6dcbe3bf1af1dfcfc72b.png](https://i-blog.csdnimg.cn/blog_migrate/2df77e9bdcb8aff3f1076effa0cfc91a.jpeg)
步骤 15先决条件检查后,点击“安装”
![ed90aacf92b1e29edcfc5fd0581c62db.png](https://i-blog.csdnimg.cn/blog_migrate/2df2cddcc483f6008e0aa5418dd83849.jpeg)
第二台 ADDC已经安装完成,到此两台域控制都已经安装完成
四、验证安装
步骤 1直接打开CMD命令行,输入“netdom query fsmo”,这时会显示五种角色都已经安装成功
![f878e125f0c67382dee977dba303d57f.png](https://i-blog.csdnimg.cn/blog_migrate/8abcd5b152cec988ec749fcfe2805ae4.jpeg)
步骤 2若要进一步验证AD是否安装正确,可以使用DCDIAG /a命令行
![199d37cc7dde26bbbcfe05b97a293282.png](https://i-blog.csdnimg.cn/blog_migrate/9226fb4a2b82547d7a85c20a6ce97382.jpeg)
步骤 3使用Repadmin诊断工具检查目录复制问题,包括管理和修改复制拓扑,强制复制事件和显示复制元数据与最新矢量。
![62a90f05b27a62d952a44fe6c800564f.png](https://i-blog.csdnimg.cn/blog_migrate/59d9c0787cce39a5e237cf8bf8a1ad85.jpeg)
END