win2012活动目录介绍
1、相关概念:域:用来描述一种系统架构,和“工作组”相对应,由工作组升级而来的高级架构,在域架构中,可以实现统一化管理(一般通过策略实现,执行下发策略的权限是写这条策略的用户即服务器上写策略的用户,而非登陆当前客户端的用户。)。
活动目录:是微软提供的目录服务(查询、身份验证),活动目录的核心包含了活动目录数据库,在活动目录数据库中包含了域中所有的对象(用户、计算机、组。。。)
注意:目录服务不是我微软专有的,比如linux的ldap服务也是目录服务。
域控制器:在域架构中用来管理所有客户端的服务器,是域架构中的核心,每个域控制器上都包含了活动数据库。
建议:安装域控制器时至少有一台物理机是比较合理的。
2、工作组、域
工作组:每台计算机都是独立的,独立管理
域:域中的客户端受控于域控制器。
3、微软基于域的产品平台
exchange、lync、systemcenter、sqlserver(高可用、cluster)、sharepoint、projectserver、windowshyper-v(实时迁移)
4、企业中部署域架构
①在域架构中,最核心的就是DC(域控制器),创建域首先必须要创建DC,DC创建完成后,把所有的客户端加入DC中,这样就形成了域环境。
②域控制器是由工作组的计算机升级而成,通过DCPROMO命令就可以完成升级。注意windows2012版本之前可以通过DCPROMO实现,win2012及后续版本只能通过图形界面完成。
③只有windows server(web版本除外)才可以提成为域控制器。注意win2012中只有标准版和数据中心版。
④在升级DC前,不需要安装DNS服务。dc的安装和dns的安装放在一起来做,是建议的做法。
⑤文件系统必须要是NTFS。 原因是:FAT32的文件系统单个文件最大4GB,而活动目录数据库就是一个单独的文件,有可能大于4GB。
5、安装DC服务器(域控制器)步骤:
①、IP地址设置:静态地址
第一台域控的DNS指向自己的IP地址。
②、服务器安装向导安装域服务。
Active Directory域服务
注意:win2012中角色和功能在一个向导里
③、一直到角色安装完成。
④、点击“将此服务器提升为域控制器”会出现如下三个选择:
[*] 将域控制器添加到现有域
[*] 将新域添加到现有林
[*] 添加新林
如果是第一次创建域,选择“添加新林”,输入域名,推荐为公司公网域名。
如:xxxx.com
也可以写成xxxx.local,但是不推荐。
⑤、选择新林和根域的功能级别: 限制的是整个域中域控制器操作系统版本。
林功能级别:
域功能级别:
指定域控制器功能:
域名系统DNS服务器 :选择此项,安装DNS
全局编录(GC):默认选择,一个域中需要一台全局编录服务器。
只读域控制器(RODC)
输入目录服务还原模式(DSRM)密码:
一般来说,一个域功能级别兼容三个版本,往后(新版本)兼容。
如果域功能级别为:windows server 2003模式,兼容DC:2003 ,2008,2008R2
⑥、一直下一步到安装完成。
6、如何保证域的高可用性:
[*] 不要再域控制器运行大型的服务(如:exchange、sharepoint、sqlserver、lync)
[*] 不要让公网直接能够访问到域控制器。
[*] 为公司的DC部署多台备份域控制器
[*] 客户端:分发多个DNS地址。
[*] 定期为公司的域控制器进行备份(少于180天)
7、验证域安装正确性:如:love.com
①域控制器的active directory用户和计算机
②dns中有两个区域
_msdc.love.com
love.com
8、客户端加域
要注意的问题:
①确保可以和域控制器通讯
②确保DNS指向域控制器
③普通用户也可以将计算机加入域,但有数量限制
客户端加域时 填写域名时是怎么解析出来的?
答:是通过Srv记录解析的,不是通过A记录,最终的解析会回归A记录。
srv记录存在于DNS服务器中的 _msdc.xxx.com区域中的dc下TCP协议下的ldap记录,一般有几个域控就会有几个ldap记录。xxx.com是你的域名,之所以加入域 用域名而不是主机记录是因为用单一的域名可以实现自动负载均衡和高可用。
注意:如果ldap删除了,可以通过重启服务“net logon”来自动注册dns服务恢复ldap记录。
ldap是一个协议,活动目录有一个数据库,通过ldap这套协议标准来读取数据库。
客户端加入域后,登陆域客户端计算机时,输入用户名首先查找本地用户再是域用户。
客户端怎么确认计算是通过哪个DC登陆域的呢?可以在客户端主机下dos窗口中敲入“set”命令。
页:
[1]