AD概述及域中客戶端

1、AD概述及域中客戶端議 程 Windows2000/2003活動(dòng)目錄概述 Windows2000/XP客戶端啟動(dòng)/登錄過程 域中客戶端常見問題 常用工具活動(dòng)目錄概述 活動(dòng)目錄的基本概念 活動(dòng)目錄的結(jié)構(gòu) 管理操作主機(jī) DNS 與活動(dòng)目錄 管理用戶和組 組策略 常用工具什么是活動(dòng)目錄Printer1用戶?目錄目錄服務(wù)器服務(wù)器 名稱名稱:Server1OS:Windows 2000Type:File ServerLocation:1st Floor 名稱名稱:Server2OS:Novell Netware 4.0Type:File ServerLocation:2nd Floor打印機(jī)打印機(jī) 名稱

2、名稱:Printer1Type:HP4SiColor:NoDuplex:YesLocation:3rd FloorServer1Server2活動(dòng)目錄服務(wù)基于活動(dòng)目錄服務(wù)基于 X.500 數(shù)據(jù)庫結(jié)構(gòu)，用數(shù)據(jù)庫結(jié)構(gòu)，用于在一個(gè)層次結(jié)構(gòu)中組于在一個(gè)層次結(jié)構(gòu)中組織網(wǎng)絡(luò)資源織網(wǎng)絡(luò)資源目錄目錄服務(wù)器服務(wù)器 名稱名稱:Server1OS:Windows 2000Type:File ServerLocation:1st Floor 名稱名稱:Server2OS:Novell Netware 4.0Type:File ServerLocation:2nd Floor打印機(jī)打印機(jī) 名稱名稱:Printer1Ty

3、pe:HP4SiColor:NoDuplex:YesLocation:3rd Floor活動(dòng)目錄的對(duì)象 對(duì)象代表網(wǎng)絡(luò)資源 屬性存儲(chǔ)對(duì)象的信息 姓姓名名登錄名打印機(jī)名稱打印機(jī)名稱打印機(jī)位置打印機(jī)Printer1Printer2Suzan Fine用戶Don Hall打印機(jī)用戶Printer3活動(dòng)目錄的結(jié)構(gòu) 活動(dòng)目錄邏輯結(jié)構(gòu) 活動(dòng)目錄物理結(jié)構(gòu) Sites及活動(dòng)目錄的復(fù)制活動(dòng)目錄邏輯結(jié)構(gòu) 域 Domains 組織單元 Organizational Units 樹和森林 Trees and Forests 全局編錄 Global Catalog域 Domains 域是一個(gè)安全邊界 域管理員只能在本域中

4、執(zhí)行管理操作，除非他被明確地賦予其他域管理員身份 一個(gè)域是一個(gè)復(fù)制單元 域控制器包含域中信息的完整集合，并且參與域信息的復(fù)制Windows 2000DomainUser1User2User1User2能力復(fù)制單元大小命名管理委派域的性能組織單元 用OU來個(gè)對(duì)象進(jìn)行分組 管理委派到OU 用于結(jié)構(gòu)化活動(dòng)目錄 公司的組織結(jié)構(gòu) 公司的管理構(gòu)架SalesVancouverRepairUsersSalesComputers組織單元的劃分原則 基于部門 OUs 基于項(xiàng)目 OUs 基于業(yè)務(wù)功能 OUs 基于管理 OUs 基于對(duì)象 OUs 地理位置DomainParisSalesRepairUser1User2

5、User3User4樹和森林contoso.msft(root)au. contoso.msftasia. contoso.msft樹樹au. nwtraders.msftasia. nwtraders.msftnwtraders.msft森林森林樹樹全局編錄Global CatalogGlobal Catalog Server所有對(duì)象的所有對(duì)象的屬性子集屬性子集域域域域域域域域域域域域 活動(dòng)目錄物理結(jié)構(gòu) 域控制器 Sites 活動(dòng)目錄的復(fù)制域控制器域控制器域控制器域控制器域控制器域域User1User2User1User2= 活動(dòng)目錄數(shù)據(jù)庫的可寫拷貝活動(dòng)目錄數(shù)據(jù)庫的可寫拷貝域控制器域控制器:

6、 l參與活動(dòng)目錄復(fù)制參與活動(dòng)目錄復(fù)制l在域中作為單操作主機(jī)角色在域中作為單操作主機(jī)角色SitesSites: l優(yōu)化復(fù)制通信量優(yōu)化復(fù)制通信量l是用戶可以通過可信賴的、高速的連接登錄域是用戶可以通過可信賴的、高速的連接登錄域控制器控制器SiteLos AngelesSeattleChicagoNew York相關(guān)概念Site層次活動(dòng)目錄的復(fù)制 多主機(jī)復(fù)制 所有域控制器參預(yù)復(fù)制，對(duì)等的 任何變化將從一臺(tái)域控制器復(fù)制到所有域控制器 任何變化可從不同的域控制器上產(chǎn)生 Sites 允許預(yù)定的復(fù)制 Schedule IntervalDirectory Partition 復(fù)制Domain ZDomain

7、YDomain XConfigurationSchemaSchemaConfigurationDomainDomainConfigurationSchemaDomainConfigurationSchemaDomain ZDomain YDomain XConfigurationSchemaDirectory Partition也稱為命名上下文命名上下文Naming Context or NC復(fù)制協(xié)議Transport拓?fù)浣Y(jié)構(gòu)拓?fù)浣Y(jié)構(gòu)復(fù)制模型復(fù)制模型壓縮壓縮RPC over IPRingNotify/PullNoneRPC or SMTP*Spanning TreeRequest/PullFu

8、llIntra-Site復(fù)制復(fù)制Inter-Site復(fù)制復(fù)制SMTP over IP is only supported for DC of different domains (i.e. Schema, Configuration and GC replication) 操作主機(jī) 森林范圍內(nèi)： Schema Master Domain Naming Master 域范圍內(nèi)： PDC Emulator RID Master Infrastructure Master操作主機(jī)介紹n只有只有作為操作主機(jī)的作為操作主機(jī)的域控制器才能對(duì)活動(dòng)目錄信息作相應(yīng)改變域控制器才能對(duì)活動(dòng)目錄信息作相應(yīng)改變n在操作

9、主機(jī)上作的改變將會(huì)復(fù)制到其他的域控制器在操作主機(jī)上作的改變將會(huì)復(fù)制到其他的域控制器n任何域控制器可以作為操作主機(jī)任何域控制器可以作為操作主機(jī)n操作主機(jī)角色可以轉(zhuǎn)移操作主機(jī)角色可以轉(zhuǎn)移復(fù)制復(fù)制單主機(jī)操作單主機(jī)操作操作主機(jī)操作主機(jī)操作主機(jī)的默認(rèn)位置森林中的第一臺(tái)域控制器森林中的第一臺(tái)域控制器森林范圍你的角色：森林范圍你的角色：lSchema masterlDomain naming master域范圍內(nèi)角色：域范圍內(nèi)角色：lRID masterlPDC emulatorlInfrastructure master轉(zhuǎn)移操作主機(jī)角色 不丟失數(shù)據(jù) 方法： NTDSUtil.exe 圖形界面Functio

10、ningOperations Master Transfer Role to Another Domain Controller抓取操作主機(jī)角色 當(dāng)且僅當(dāng)某個(gè)操作主機(jī)無法再使用 可能丟失數(shù)據(jù) 方法： NTDSUtilNon FunctioningOperations Master Seize a Role and Reassign to Another Functioning Domain ControllerDNS 與活動(dòng)目錄 DNS在活動(dòng)目錄中的角色 DNS 和活動(dòng)目錄的命名空間 活動(dòng)目錄中的DNS名字解析 SRV記錄DNS在活動(dòng)目錄中的角色 名稱解析 DNS 轉(zhuǎn)換計(jì)算機(jī)名稱到IP地址 計(jì)

11、算機(jī)之間相互確定地址 Windows 2000/2003 域的名稱 Windows 2000 /2003 使用 DNS 命名標(biāo)準(zhǔn) DNS 域和活動(dòng)目錄的域使用共同的名稱層析結(jié)構(gòu) 定位活動(dòng)目錄的物理組件 DNS根據(jù)域控制器提供的服務(wù)來確定它們 域中計(jì)算機(jī)使用DNS來定位域控制器何全局編錄DNS 和活動(dòng)目錄的命名空間AmericamicrosoftDNS NamespaceActive Directory Namespace= DNS node (domain or computer)= Active Directory domainFareastcomputer1(DNS root domain

12、)Internet活動(dòng)目錄中的DNS名字解析 SRV (Service) 資源紀(jì)錄 SRV Records 由域控制器注冊(cè) 域中計(jì)算機(jī)用DNS 來定位域控制器由域控制器注冊(cè)的SRV 記錄nNetlogon 服務(wù)負(fù)責(zé)注冊(cè)域控制器的所有DNS紀(jì)錄ldap._tcp.DnsDomainName.LDAP服務(wù)器 _ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName.查找同Site的域控制器_gc._tcp.DnsForestName.GC_gc._tcp.SiteName._sites.DnsForestName.查找同Site的GC_kerberos.

13、_tcp.DnsDomainName.KDC_kerberos._tcp.SiteName._sites.DnsDomainName.查找同Site的KDC建立一個(gè)新域 運(yùn)行 dcpromo.exe 建立 root domain 建立 sub-domain 建立額外的 domain controller管理用戶和組 用戶帳戶和組的介紹 Active Directory 用戶和計(jì)算機(jī) 建立大量用戶帳戶 管理用戶帳戶 使用組用戶帳戶和組的介紹Permissions 使用 CSVDE 使用LDIFDE 使用腳本(VBScript)建立大量用戶帳戶使用組 活動(dòng)目錄的組 使用 Global Groups

14、 使用 Domain Local Groups 使用Universal Groups Distributed GroupsnGroups Can Be Nested Inside Other GroupsnUsers Can Be Members of Multiple GroupsGroupGroupnGroups Simplify Assigning Permission to ResourcesGroupGroupGroupGroupGroupGroup組策略 組策略介紹 組策略設(shè)置的類型 組策略對(duì)象和組策略容器 組策略應(yīng)用的順序組策略介紹組策略作用: 設(shè)置集中或分散的策略 確保用戶有他

15、們需要的環(huán)境 通過控制用戶和計(jì)算機(jī)環(huán)境來降低TCO 強(qiáng)制全體策略SiteDomainOUWindows 2000 Applies ContinuallyUsersComputersAdministrator Sets Group Policy OnceGroup Policy組策略設(shè)置的類型AdministrativeTemplates基于注冊(cè)標(biāo)的組策略設(shè)置Security本地、域、網(wǎng)絡(luò)安全設(shè)置Software Installation軟件安裝的集中管理設(shè)置ScriptsStartup, shutdown, logon, and logoff 腳本Remote Installation Ser

16、vices 有關(guān)遠(yuǎn)程安裝服務(wù)的設(shè)置Internet Explorer Maintenance設(shè)置和管理定制的IEFolder Redirection將用戶文件夾存貯到網(wǎng)絡(luò)服務(wù)器上的設(shè)置針對(duì)計(jì)算機(jī)和用戶的組策略 Group Policy Settings for Computers: Group Policy Settings for Users:UsersComputers組策略對(duì)象和組策略容器GPO 設(shè)置應(yīng)用于連接在在一個(gè)Site、域、和OU中的用戶和計(jì)算機(jī) 一個(gè)GPO可以連接在多個(gè)Site、域、和OU 上 一個(gè)Site、域、和OU 上可以連接多個(gè)GPOSiteDomainOUOUOUOU

17、GPOOU GPOSite GPODomain GPO一個(gè)組策略應(yīng)用的順序 Computer - Scripts - Startup Computer - Software Installation User - Software Installation User Profile Logon Scripts User - Scripts - Logon User - Scripts - Logoff Computer - Scripts - Shutdown常用工具 常用管理工具 AD用戶和計(jì)算機(jī) 站點(diǎn)和服務(wù) AD域信任 DNS管理器 Resource Kit/Support Tools 工

18、具 排錯(cuò)工具 事件察看器 MPS Report Network MonitorWindows2000/XP客戶端啟動(dòng)/登錄過程 啟動(dòng)過程 登錄過程啟動(dòng)過程 連接到網(wǎng)絡(luò) 確定Site和域控制器 建立和域控制器的安全通道 Kerberos認(rèn)證 加載組策略 客戶端證書 時(shí)間同步 動(dòng)態(tài)DNS注冊(cè) 登錄畫面(GINA)連接到網(wǎng)絡(luò) 連接到網(wǎng)絡(luò)并加載TCP/IP協(xié)議 啟動(dòng)過程的開始 靜態(tài)TCP/IP設(shè)置或者DHCP獲得 DHCP 網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，不是AD必須的 不使用DHCP，而使用靜態(tài)TCP/IP設(shè)置，AD依舊可以正常工作確定Site和域控制器 客戶端定位服務(wù)確定最近的一個(gè)Site，并存貯在注冊(cè)表：HKEY

19、_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParametersDynamicSiteName 向DNS服務(wù)器發(fā)出查詢請(qǐng)求，查找當(dāng)前Site的DC 客戶端： _ldap._tcp.dc._msdcs.Domain.Name 服務(wù)器端：_ldap._tcp.dc._msdcs.main.local 隨機(jī)挑選DC（如果DNS返回記錄大于1）建立和域控制器的安全通道 安全通道 客戶端和DC之間建立的 獲得域的特定信息 更新客戶端計(jì)算機(jī)特定信息 Eg: 計(jì)算機(jī)密碼，檢查域成員信息 SMBKerberos認(rèn)證 獲取所有的必須的Tickets來

20、建立IPC$的對(duì)話加載組策略 RPC call，轉(zhuǎn)換名稱到DistinguishedName LDAP查詢組策略 使用SMB加載各項(xiàng)組策略客戶端證書 每次加載組策略時(shí)進(jìn)行 檢查計(jì)算機(jī)證書狀態(tài) 下載企業(yè)CA證書 下載有關(guān)SMART Card證書時(shí)間同步 TCP 123端口 域中時(shí)間同步機(jī)制 客戶端和登錄DC同步 DC和域中PDC同步 其他域PDC和根域PDC同步 根域PDC和外部時(shí)間源同步 時(shí)間服務(wù)(w32time)類型 NTP NT5DS動(dòng)態(tài)DNS注冊(cè) 更新DNS記錄用戶登錄過程 按Ctrl+Alt+Del Kerberos認(rèn)證 加載組策略 完成 顯示桌面按Ctrl+Alt+Del 登錄名(S

21、am account name)+選擇域 UPN（） 用戶FQDNKerberos認(rèn)證 獲得對(duì)話Ticket Kerberos: Server Name = $ Kerberos: Server Name = $ Kerberos: Server Name = krbtgt. Kerberos: Server Name = ldap.加載組策略 RPC call，轉(zhuǎn)換名稱到DistinguishedName LDAP查詢組策略 使用SMB加載各項(xiàng)組策略完成 斷開和DC的連接（SMB） 顯示桌面客戶端常見問題 無法加入域 登錄慢 組策略應(yīng)用不成功 Internet Explorer 的一般除錯(cuò)步

22、驟 共享不能訪問其他的機(jī)器無法加入域 網(wǎng)絡(luò)配置(TCP/IP) DNS 客戶端防火墻 使用NetBIOS域名，但是沒有NetBIOS over TCP/IP 已經(jīng)建立了和域控制器的連接 File and Print Sharing/Client for Microsoft Networks無法加入域-續(xù) SMB Signing 拒絕訪問 計(jì)算機(jī)賬戶已存在 權(quán)限修改 普通用戶只能加入10臺(tái)計(jì)算機(jī) 安裝了Proxy2.0客戶端 KDC無法找到無法加入域-一般排錯(cuò) 檢查網(wǎng)絡(luò)配置 Ping NSLookup Portqry 停用SMB Signing Network Monitor登錄慢 網(wǎng)絡(luò) DNS

23、 加載組策略 運(yùn)行大量腳本 本地DC不可用 Roaming Profile Proxy2.0 第三方應(yīng)用程序 Anti Virus 防火墻 第三方GINA WebClient service 登錄慢-一般排錯(cuò) 檢查網(wǎng)絡(luò)通訊 檢查DNS 查看Event log 復(fù)查Sysvol文件夾，是否太大 復(fù)查腳本內(nèi)容 暫停第三方應(yīng)用程序 Netlogon日志和Userenv日志（109626，221833 ） 帶網(wǎng)絡(luò)的安全模式 Network Monitor緩存登錄 用戶客戶端無法聯(lián)系到DC時(shí)，依舊可以使用域用戶登錄計(jì)算機(jī) 默認(rèn)10個(gè)用戶 HKEY_LOCAL_MACHINESoftwareMicroso

24、ftWindows NTCurrent VersionWinlogon 組策略應(yīng)用不成功網(wǎng)絡(luò)DNS計(jì)算機(jī)賬戶過期千兆網(wǎng)卡本地服務(wù)（WMI, Registry）防火墻GPO應(yīng)用權(quán)限訪問DC權(quán)限 Bypass Traverse checking Access this computer from network第三方GINADC上的Sysvol復(fù)制不成功Password和“賬戶鎖定”策略是整個(gè)域強(qiáng)制的組策略應(yīng)用不成功-一般排錯(cuò) 檢查網(wǎng)絡(luò) 檢查DNS 重新加入域 檢查本地服務(wù) 檢查防火墻 檢查GPO權(quán)限和用戶權(quán)限 SYSVOL復(fù)制排錯(cuò)Internet Explorer 的一般除錯(cuò)步驟 重新注冊(cè)IE的

25、重要文件 scrrun.dll, msxml.dll, mshtml.dll, jscript.dll, urlmon.dll shdocvw.dll, browseui.dll, softpub.dll wintrust.dll, dssenh.dll, rsaenh.dll, gpkcsp.dll, sccbase.dll, slbcsp.dll, cryptdlg.dll, actxprxy.dll, shell32.dll, oleaut32.dll, 命令： Regsvr32 Internet Explorer 的一般除錯(cuò)步驟 清空IE的臨時(shí)文件，SSL狀態(tài)。禁止第三方的網(wǎng)絡(luò)插件Internet Explorer 的一般除錯(cuò)步驟 使用Process Explorer 來查看是否有第三方的DLL附在IE的進(jìn)程上面。如果有，暫時(shí)卸載它們。共享不