winserver2019安装AD 2016主辅域控实例过程记录

初始化环境

一台DELL工作站作为宿主机,安装了VMware workstation 17

虚拟机分配两台windows server2019:8G+4C+60G *2;

宿主机的网段为LAN的其他C类地址:10.6.16.x/23,而NAT8网卡的地址为192.168.52.1

所以VMware里的客户机使用NAT的地址为192.168.52.x/24,网关为192.168.52.2,DNS为192.168.52.2,DHCP为192.168.52.254(缺省的配置,若有需要更改,自行到VM里编辑)

Cmd +Winver查看客户机相关版本配置,建议最好激活下OS,如下:

激活OS:

先把原来新建的AD域角色和DNS角色删除:

服务器管理器—管理—删除角色和功能

注意删除完AD角色需要报域名后缀要改掉:

点击服务器管理器--本地服务器—计算机名(ad.hltfj.com)弹出,点击更改—修改计算机名—点击其他—输入此计算机的主DNS后缀(P)为空,勾选在域成名身份变化时,更改DNS后缀—点确定。

一、PDC主域服务器安装

最好手动设置静态IP地址和DNS:

   IPv4 地址. . . . . . . . . . . . : 192.168.52.136(首选)

   子网掩码  . . . . . . . . . . . . : 255.255.255.0

   获得租约的时间  . . . . . . . . . : 2023年11月7日9:48:04

   租约过期的时间  . . . . . . . . . : 2023年11月7日10:18:03

   默认网关. . . . . . . . . . . . . : 192.168.52.2

   DHCP 服务器. . . . . . . . . . . : 192.168.52.254

   DHCPv6 IAID . . . . . . . . . . . : 83889193

   DHCPv6 客户端DUID  . . . . . . . : 00-01-00-01-27-E2-3A-41-00-0C-29-8D-12-59

   DNS 服务器  . . . . . . . . . . . : ::1

                                       192.168.52.2

   主WINS 服务器  . . . . . . . . . : 192.168.52.2

   TCPIP 上的NetBIOS  . . . . . . . : 已启用

1.此图文因为自动使用了VMware的NAT地址,所以后面的DNS的SRV记录出错。需要重新配置DNS。

2.主域服务器命名为AD。

S1.安装域控功能角色

在“服务器管理器”中点击右上角“管理”→“添加角色和功能” →“Active Directory域服务”。安装后,“服务器管理器”窗口右上角旗帜下会有一个感叹号。点击它,弹出“部署后配置”,点击“将此服务器提升为域控制器”。开始提升域控操作。

在此界面选择“添加新林”→输入域名”it.com”.

输入域的还原密码。R00t@rt

这里系统会自动补全域名,点击下一页

路径保持默认设置,点击下一页

查看选项默认设置

在先决条件检查点击安装

注意,因为在vmware下使用了NAT,所以默认的ad IP为动态NAT获取的,安装完后DNS会被设置为127.0.0.1,这里不需要修改,可以使AD上网。

手动设置ad的ip

192.168.52.200/24 gateway 192.168.52.2

Dns 127.0.0.1 192.168.52.2

二、BDC部署

S1、设置IPDNS

设置之前规划好的ip,首个DNS设为PDC的IP,第二个DNS指向本机。

S2、先加入域,同时修改主机名

点击服务器管理器—本地服务器—计算机名—更改

修改IP地址的DNS为192.168.52.200 127.0.0.1

S3、加入域出错处理

出现无法加入域的信息,查看错误提示的信息,解决如下:

1.进入ad的DNS管理器—AD—正向查找区域--_msdcs.it.com下—右键新建dc域,再从dc域新建域_tcp域

2._tcp目录上右键-新建主机(A)-输入_ldapip填入DNS服务器的地址192.168.52.200

3.在_tcp目录下,右键—其他新纪录—SRV(服务位置)--_ldap,---创建一个后缀名为“_tcp.dc._msdcs.domain.org”;指向你的域控制器;

然后即可返回bdc入域

还是出错。

后续继续百度学习,解决如下:

或者(重新安装AD和DNS服务)

重启后:加入域成功

S4、然后安装域控角色

在“服务器管理器”中点击右上角“管理”→“添加角色和功能” →“Active Directory域服务”。具体步骤如下。

在“添加角色和功能向导”界面,保持默认设置,点击“下一步”。

在选择目标服务器界面,保持默认设置,点击下一步

在“选择服务器角色”界面,点击“Active Directory域服务”在弹出来的“添加角色和功能向导”中点击“添加功能”。

设置好后“Active Directory域服务”选项就勾选好了。

在“选择功能”界面,保持默认设置,点击“下一步”。

在“Active Directory域服务” 保持默认设置,点击“下一步”。

在“确认安装所选内容”界面点击“安装”。

等待安装结束关闭向导,不需要重启。

S6、提升域控角色

回到“服务器管理 仪表板”界面点击右上角旗帜,弹出“部署后配置”,点击“将此服务器提升为域控制器”。

在“部署配置”界面,选择“将域控制器添加到现有域”→输入“it.com”(自动填写了)。

注意:请用域管理员账户进行此操作。若非域管理员,请点击“更改”按钮修改账户。

在“域控制器选项”界面,输入域的还原密码点击下一步。R00t@rt

在“DNS选项”界面,保持默认设置,点击“下一步”。

在“其他选项”界面,保持默认设置,点击“下一步”。

在“路径”界面,保持默认设置,点击“下一步”。

在“查看选项”界面,保持默认设置,点击“下一步”。

在“先决条件检查”界面,保持默认设置,点击“下一步”:安装。

等待安装结束。安装结束提示注销重启。

至此,BDC辅助域控安装完成。

三、配置计算机重定向

点击“开始”→“管理工具”→“Active Directory用户和计算机”

右击“it.com”点击“新建”→“组织单位”,命名为:“AllComputer”。

在“开始”→“运行”→“cmd”打开命令行窗口。

在命令行窗口输入:“redircmp ou=AllComputer,dc=it,dc=com”

将加入的计算机重定向到AllComputer中。

四、配置NTP服务器

Win+cmd,输入regedit,找到

打开注册表,找到

[计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]的Type将其键值改为“NTP”。

[计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]找到AnnounceFlags键值改为5

[计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]找到NTPServer键值改为防火墙IP或者其他NTPserver的地址。{注意这里的防火墙需要支持NTPserver的角色,一般sangfor的没有这个功能角色}

[计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]找到SpecialPollInterval键值为120。每2分钟同步一次。

可以在BDC上查看:

查看时间源命令:w32tm /query /source

查看时间同步状态命令:“w32tm /query /status”

查看时间列表命令:“w32tm /query /peers”

五、创建和管理对象、容器和组织单位(OU

S1、梳理组织架构和OU对应

根据公司的组织架构

把公司的组织架构按照二级部门来对应AD中的OU(组织单位)

新建公司作为一级OU;

二级部门作为二级OU;

二级OU底下直接为用户了,不做过深的OU,有利于后续管理。

新建如下:

一级OU:合力泰股份(合股份)

二级OU:  信息化部,人力资源部,审计部,投资部,办公室,战略发展部,法务部,管理层,管理会计部,会计核算部,资金部,资产部,综合招采部,组织部

三级OU:信息化部-基础架构处、生产制造处、企业应用处

S2、通过csv文件格式批量创建OU

OU.csv文件上传至域服务器根目录,以管理员身份运行win+cmd(注意必须以csv分隔符的格式保存文件,否则会出错。)

通过以下命令导入域控相关的OU

导入一级OU:

for /f "skip=1 eol=;tokens=1-3 delims=," %a in (C:\ou.csv) do dsadd ou "ou=%a,DC=it,DC=com"

skip=1指跳过第一行标题,tokens=1-3指取1-3行一级OU的数据

参数含义: skip=1跳过第一行数据 eol=;注释行开始字符为";" tokens=1-9 

每次提取1-9个变量 delims=, 分割符号为","

导入二级OU:

for /f "skip=4 eol=;tokens=1-17 delims=," %a in (C:\ou.csv) do dsadd ou "ou=%b,ou=%a,DC=it,DC=com"

skip=4指跳过第一行标题和一级OU,tokens=1-20指取1-3行二级OU的数据

导入三级OU:

for /f "skip=21 eol=;tokens=1-3 delims=," %a in (C:\ou.csv) do dsadd ou "ou=%c,ou=%b,ou=%a,DC=it,DC=com"

skip=21指跳过第一行标题和一级OU和二级OU,tokens=1-3指取1-3行三级OU的数据,c,b,a为一级、二级、三级的变量。

-视频,批量新建OU

六、批量导入AD用户

重点是如何创建表格文件-批量的数据

首先这里我们需要找HR要到员工的信息表,越详细越好,

注:初始密码不能太过于简单,一定要符合密码的复杂性的要求

复制黏贴命令于CMD窗口即可。

="dsadd user "&"""cn="&Sheet1!A2&",ou="&Sheet1!B2&",ou="&Sheet1!C2&Sheet1!D2&Sheet1!E2&Sheet1!F2&Sheet1!G2&""""&" -company "&Sheet1!H2&Sheet1!I2&" "&Sheet1!J2&Sheet1!K2&" "&Sheet1!L2&Sheet1!M2&" "&Sheet1!N2&Sheet1!O2&" "&Sheet1!P2&Sheet1!Q2&" "&Sheet1!R2&Sheet1!S2&" "&Sheet1!T2&Sheet1!U2&" "&Sheet1!V2&Sheet1!W2&" "&Sheet1!X2&Sheet1!Y2&" "&Sheet1!Z2&" "&" "&Sheet1!AA2&" "&Sheet1!AB2&" "&Sheet1!AC2&"  "&Sheet1!AD2&" "&Sheet1!AE2&"  "&Sheet1!AF2&" "&Sheet1!AG2&" "&Sheet1!AH2

七、组策略(常用)的使用和推送

S1、本地管理员重命名

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。

“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”→“账户:重命名系统管理员账户” →输入“hltadmin” →点击“确定”

这样就将原来系统管理员账户administrator改为hltadmin 。

S2、禁用Guest账户

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”

生成策略。右击此策略,点击“编辑”。

“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”→“帐户:来宾帐户状态” →编辑选择“已禁用”。

S3、禁用USB

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。

“计算机配置”→“策略”→“管理模板”→“系统”→“可移动存储访问” →“可移动磁盘:拒绝执行权限” →编辑选择“已启用”。

“可移动磁盘存储:拒绝读取权限”设为“已启用”。

“可移动磁盘:拒绝写入权限”设为“已启用”。

设置完成。点击关闭。

S4、密码复杂度

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→点击“Default Domain Policy”右击此策略,点击“编辑”。

“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“账户策略”→“密码策略”→按上图所示设置策略。

S5、统一桌面背景

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→点击“Default Domain Policy”右击此策略,点击“编辑”。

“用户配置”→“策略”→“管理模板”→“桌面”→“桌面”→“桌面墙纸”。

路径:\\10.6.100.25\css\10项目实施\1AD域系统\桌面壁纸\win11.jpg

墙纸样式选择:适应。

S6、禁止客户端自行修改IP

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。

“用户配置”→“管理模板”→“网络”→“网络连接”→“禁止访问LAN连接组件的属性”→选择“已启用”。

S7、客户端禁用注册表

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。

“用户配置”→“管理模板”→“系统”→“防止访问注册表编辑工具”→选择“已启用”

S8、映射网络驱动器

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。

“用户配置”→“首选项”→“Windows 设置”→“驱动器映射”→输入网络地址。

在“常用”选项卡中勾选“在登录用户的安全上下文中运行(用户策略选项)”和“项目级别目标”,点击“确定”

S9、修改本地管理员密码

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。

“计算机配置”→“策略”→“Windows 设置”→“脚本(启动/关机)”添加脚本。

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
### 回答1: 配置 rndc 主辅DNS 有几个步骤:1.在主 DNS 服务器上安装 bind 服务器;2.在辅助 DNS 服务器上安装 bind 服务器;3.在主 DNS 服务器上生成 rndc 密钥;4.将 rndc 密钥复制到辅助 DNS 服务器;5.在主 DNS 服务器上配置 rndc 认证;6.在辅助 DNS 服务器上配置 rndc 认证;7.在主 DNS 服务器上指定辅助 DNS 服务器;8.在辅助 DNS 服务器上指定主 DNS 服务器。 ### 回答2: 要配置rndc主辅DNS,需要进行以下步骤: 1. 首先,确保已经正确安装了BIND软件包,并且已经设置好了主DNS服务器的配置文件。BIND是Linux下常用的DNS服务器软件。 2. 确保主DNS服务器的rndc配置文件已经正确设置。rndc是BIND的管理工具,用于管理DNS服务器的运行。 3. 在主DNS服务器上,编辑named.conf文件,该文件一般位于/etc/bind/或者/etc/named/目录下。在文件中添加rndc配置项。例如: controls { inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { "rndc-key"; }; }; key "rndc-key" { algorithm hmac-md5; secret "your_secret_key"; }; 其中,127.0.0.1是绑定的IP地址,953是rndc端口,"rndc-key"是密钥的名称,"your_secret_key"是密钥的值。可以根据实际情况修改这些值。 4. 在主DNS服务器上生成rndc密钥文件。可以使用以下命令生成: rndc-confgen -r /dev/urandom -a -c /etc/bind/rndc.key 该命令将在/etc/bind/目录下生成rndc.key文件,该文件将包含加密过的密钥信息。确保rndc.key文件的权限设置为只读,以保证安全性。 5. 在主DNS服务器上重启BIND服务,使得配置生效。可以使用以下命令重启BIND: systemctl restart named 6. 在辅DNS服务器上,进行同样的配置。编辑named.conf文件,添加rndc配置项,并生成密钥文件。确保配置项和密钥文件与主DNS服务器保持一致。 7. 在辅DNS服务器上重启BIND服务。 最后,通过rndc命令可以实现主备DNS服务器的管理和同步。可以使用rndc status命令查看服务器状态,rndc reload命令重新加载配置文件,rndc sync命令将主DNS服务器的数据同步到辅DNS服务器,等等。 ### 回答3: 要配置rndc主辅DNS(Domain Name System)服务,可以按照以下步骤进行操作: 1. 首先,确保已经安装了BIND(Berkeley Internet Name Domain)软件包和相关依赖。可以通过包管理器在Linux上安装BIND。 2. 安装完成后,找到并编辑BIND的主配置文件(通常是`named.conf`),该文件位于`/etc/named.conf`或`/etc/bind/named.conf`。 3. 在该配置文件中,找到并添加以下几行代码来启用rndc服务: ``` controls { inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { "rndc-key"; }; }; ``` 4. 接下来,生成一个用于rndc服务的密钥。可以使用以下命令生成密钥: ``` rndc-confgen -a -c /etc/rndc.key ``` 5. 生成密钥后,将生成的密钥添加到BIND的配置文件中的`options`块中: ``` include "/etc/rndc.key"; ``` 6. 然后,在BIND的配置文件中找到`zone`块,该块描述了DNS区域的配置。在其中添加以下几行代码来指定主辅DNS配置: ``` zone "example.com" IN { type master; file "/etc/bind/db.example.com"; allow-transfer { IP地址; }; }; zone "example.com" IN { type slave; masters { 主DNS的IP地址; }; file "/etc/bind/db.example.com"; }; ``` 7. 至此,配置已经完成。保存配置文件并重新启动BIND服务,可以使用以下命令启动或重启BIND服务: ``` systemctl start named systemctl restart named ``` 完成上述步骤后,您已经成功配置了rndc主辅DNS服务。主DNS将担当数据的主要来源,并向辅DNS提供数据传输,辅DNS负责提供查询服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一个在高校打杂的

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值