本文章最大程度还原企业的AD域控制器的部署,使用,搭建灾备等过程。适合中小型企业使用AD域控制器进行企业信息化管理。看完及实验约1小时左右,可以使你对AD活动目录有初步的了解。(吐槽下,高清截图放在博客里面,打开浏览就没有那么清晰)
老规矩,介绍走一波。
AD活动目录:
活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。Microsoft Active Directory 服务是Windows 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。
使用原因:
AD域控制器很多公司都在使用,建立环境了解下。
微软针对计算机及用户账号的管理俩种模式, 一种为工作组称为分散式管理(工作组模式,每台计算机只负责管理本机的账号。);另一种像AD一样的叫集中式管理。(域环境,所有的账号信息存放于域控制器)。
环境准备:
虚拟机环境:(网络隔离)
1、服务器版本:windows server 2016(标准版)
2、网络地址:192.168.10.10(主域控制器)192.168.10.20(副域控制器)
3、域名:eve.com
4、DNS服务(已安装)
安装步骤记录如下:
打开Hyper-V管理器
准备两台服务器
adserver-1
设置静态IP地址(静态地址设置完毕,最好重启服务器)
192.168.10.10
adserver-2
设置静态IP地址(静态地址设置完毕,最好重启服务器)
192.168.10.20
AD搭建步骤记录如下:
开始菜单
服务器管理器
主域控制器安装(AD1)
添加角色功能
添加角色和功能
下一步
下一步
基于角色或基于功能的安装
下一步
从服务器池中选择服务器
下一步
选择Active Directory域服务
DNS服务器
下一步
下一步
微软有建议至少搭建两个AD域控制器
下一步
安装
如果需要,自动重新启动目标服务器
等待安装
等待安装
完成AD安装
关闭
红旗标志
黄色感叹号
域配置
将此服务器提升为域控制器
添加新林
添加新林
输入根域名
下一步
输入还原密码
下一步
下一步
输入NetBIOS域名
自动检测
下一步
下一步
新域名:eve.com
鼠标下滑
域管理员信息
域管理员信息与本机管理员信息相同
下一步
安装
安装
自动重启
重启画面
域控制器安装成功
登陆到EVE
说明域控制器已经安装成功
副域控制器安装(AD2)
下面进行安装副域控制器(由于安装步骤与主域控制器步骤一样,如图所示)
开始菜单
服务器管理
添加角色功能(AD2)
添加角色和功能
下一步
下一步
基于角色或基于功能的安装(AD2)
基于角色或基于功能的安装
下一步
下一步
下一步
下一步
下一步
如果需要,自动重新启动目标服务器
等待安装(AD2)
等待安装
关闭
红旗(黄色感叹号)
将此服务器提升为域控制器
将域控制器添加到现有域
域:eve.com
提供此操作所需的凭据
域控管理员的账号信息
确定
下一步
设置还原密码(AD2)
下一步
下一步
任何域控制器
下一步
下一步
下一步
查看摘要信息
下一步
下一步
安装
正在检查域升级状态
等待安装
添加失败
原因是我克隆了一个windows server 2016
SID相同
报错信息(微软建议该服务器运行sysprep,重新生成新SID信息)
重新来
安装完毕之后,自动重启电脑
实验验证:
AD域控可以进行创建用户,设置分组,设置组策略等等操作
1、在ad1上创建ou
2、在ad2上查看ou
查看ou
右键
新建
新建用户
用户
下一步
输入密码
完成
AD域控常用功能
右键
属性
常用的有三个选项卡
常规
账户
可以设定账号的过期时间
隶属于
设置权限
在创建了用户之后,普通域用户尝试并不能进行登陆,提示请添加远程登陆权限。
开始菜单
windows管理工具
本地安全策略
本地安全策略
本地策略
用户权限分配
允许通过远程桌面服务登陆
添加用户或组
domain users
新建
组
确定
右键
属性
成员
检查名称
确定
应用
确定
工具
组策略管理
林
域
default domain policy(右键)
编辑
计算机配置
策略
windows设置
安全设置
账户策略
密码策略
使用步骤记录如下:
主域控制器DNS配置
DNS
右键服务器
DNS管理器
正向查找区域
新建区域
下一步
主要区域
在active directory 中存储区域(只有DNS服务器是可写域控制器时才可用)
下一步
下一步
下一步
下一步
完成
转发器
右键
属性
编辑
输入dns地址
确定
应用
确定
cmd
gpupdate /force
灾备恢复步骤记录如下:
主域控制器转移到副域控制器(主动转移)
查看两个域控制器
ad1
ad2
cmd
netdom query fsmo
操作主机
RID
更改
报错
更改域控制器
ad2
确定
确定
确定
PDC
更改
基础架构
更改
更改之后的主机都指向ad2
工具
active directory域和信任关系
操作
操作主机
操作主机
更改
是
确定
是
关闭
cmd
netdom query fsmo
可以看到架构主机是ad1
接下来进行架构主机角色迁移,在迁移前需要首先注册schmmgmt.dll,输入命令:regsvr32 schmmgmt.dll,回车后提示注册成功
mmc
文件
添加/删除管理单元
active directory架构
添加
确定
右键
更改active directory域控制器
ad 2
确定
提示
操作主机
更改
AD2
如何查看客户端登陆到哪台域控制器上 ?
在客户端DOS下输入“set logonserver” 就可以查看到当前客户端登陆的是哪一台域控制器
副域控制器强制升级为主域控制器(命令行)
cmd
ntdsutil
?
以管理员身份打开命令提示符窗口,输入:ntdsutil,回车,然后再输入:?,可以查看该工具的具体命令(此时fsmo 5大角色位于AD-2上,我们将其夺回到原有AD-1上)
roles
?
输入:roles,进入fsmo维护模式,再次输入:?,可以查看维护命令。
说明:Seize夺取,即在主AD已经挂了情况下,辅助AD强制夺取5大角色。Transfer传送,是在原主AD未挂的情况下,传送5大角色到辅助AD,适合AD升级。
connections
connect to server adserver-1
输入命令:connections回车后,再输入命令:connect to server adserver-1,当绑定到ad时,输入quit,退出服务器连接进入fsmo维护模式,再次打问号:?查看都有哪些命令可以使用。
依次执行五条命令
Seize infrastructure master
是
提示成功
最后进行fsmo查询
ad 1
至此,AD活动目录的使用,搭建,使用,灾备恢复已经全部实验完。
如有问题,可留言交流。