4.1 域控制器的配置

信息安全攻防技術(shù)高月芳深圳信息職業(yè)技術(shù)學(xué)院

4.1域控制器的配置

(Windows操作系統(tǒng)的集成DNS與AD域服務(wù))

第四章域控制器的實(shí)現(xiàn)演示工具：Windows操作系統(tǒng)的集成DNS與AD域服務(wù)。操作概要：1)安裝DNS服務(wù)器；2)準(zhǔn)備AD域服務(wù)的安裝；3)完成AD域服務(wù)的安裝；4)驗(yàn)證AD域服務(wù)安裝成功。STEP01：安裝DNS服務(wù)器這一步不是必須的，因?yàn)镈NS服務(wù)器可以在安裝AD域服務(wù)時(shí)同時(shí)安裝。鑒于服務(wù)器配置時(shí)容易出現(xiàn)一些未知錯(cuò)誤，所以建議提前安裝。點(diǎn)擊“開始”—>“管理工具”—>“服務(wù)器管理器”；在“服務(wù)器管理器”界面選中左欄的“角色”節(jié)點(diǎn)，點(diǎn)擊右欄的“添加角色”，打開“添加角色向?qū)А?；在“添加角色向?qū)А钡摹伴_始之前”界面顯示系統(tǒng)的三點(diǎn)提示：對于第一和第三點(diǎn)，即使不按提示配置，也不影響安裝，但第二點(diǎn)一定要按提示配置，點(diǎn)擊“下一步”按鈕；在“服務(wù)器角色”列表勾選“DNS服務(wù)器”，點(diǎn)擊“下一步”；在“DNS服務(wù)器”界面點(diǎn)擊“下一步”；123在“確認(rèn)安裝選擇”界面點(diǎn)擊“安裝”按鈕；在“安裝結(jié)果”界面安裝成功后點(diǎn)擊“關(guān)閉”按鈕，完成DNS服務(wù)器安裝。123STEP02：準(zhǔn)備AD域服務(wù)的安裝。在“服務(wù)器管理器”界面點(diǎn)擊右欄的“添加角色”，打開“添加角色向?qū)А?，點(diǎn)擊“下一步”；在“服務(wù)器角色”列表勾選“ActiveDirectory域服務(wù)”；此時(shí)系統(tǒng)會彈出要求安裝“.NETFramework3.5.1功能”的對話框，由于AD在WindowsServer2008R2上必須獲得該功能的支持，所以此處必須點(diǎn)擊“添加必需的功能”按鈕；返回“選擇服務(wù)器角色”界面后點(diǎn)擊“下一步”；在“ActiveDirectory域服務(wù)”界面顯示系統(tǒng)的四點(diǎn)注意事項(xiàng)，根據(jù)這些注意事項(xiàng)可以了解安裝AD前后應(yīng)該執(zhí)行的任務(wù)以及AD所需的服務(wù)，點(diǎn)擊“下一步”；1234在“確認(rèn)安裝選擇”界面點(diǎn)擊“安裝”按鈕，進(jìn)行安裝；在“安裝結(jié)果”界面，如果沒有錯(cuò)誤，則AD的安裝準(zhǔn)備已經(jīng)完成。STEP03：完成AD域服務(wù)的安裝1)由于該臺服務(wù)器還不能完全正常運(yùn)行DC，所以在AD域服務(wù)的“安裝結(jié)果”界面會出現(xiàn)“啟動ActiveDirectory域服務(wù)安裝向?qū)В╠cpromo.exe）”的提示，點(diǎn)擊“關(guān)閉該向?qū)Р覣ctiveDirectory域服務(wù)安裝向?qū)В╠cpromo.exe）”，進(jìn)入安裝向?qū)А?/p>

2)系統(tǒng)經(jīng)過自動檢測后，出現(xiàn)AD安裝向?qū)У臍g迎界面，點(diǎn)擊“下一步”。3)在“操作系統(tǒng)兼容性”界面點(diǎn)擊“下一步”。4)由于該服務(wù)器是該專用網(wǎng)絡(luò)中的第一個(gè)DC，所以在“選擇某一部署配置”界面選擇“在新林中新建域”，點(diǎn)擊“下一步”。5)對域林的根域進(jìn)行命名，此處命名為：，點(diǎn)擊“下一步”，此時(shí)向?qū)?yàn)證DNS名稱和sziit名稱在網(wǎng)絡(luò)中的唯一性。6)在“設(shè)置林功能級別”界面選擇林功能級別為“WindowsServer2008R2”，點(diǎn)擊“下一步”。7)系統(tǒng)檢測后，彈出“其他域控制器選項(xiàng)”對話框，點(diǎn)擊“下一步”。8)在彈出的“創(chuàng)建DNS委派”對話框中選擇“是，自動嘗試在此安裝過程中創(chuàng)建DNS委派”，點(diǎn)擊“下一步”—>在“Windows安全”對話框中輸入用戶名及密碼信息，點(diǎn)擊“確定”按鈕。9)確定AD數(shù)據(jù)庫、日志文件和SYSVOL存放的路徑，點(diǎn)擊“下一步”。數(shù)據(jù)庫是存儲有關(guān)用戶、計(jì)算機(jī)和網(wǎng)絡(luò)中其它對象的信息；日志文件是記錄與AD有關(guān)的活動；SYSVOL是存儲組策略對象和腳本。它們默認(rèn)是存放于操作系統(tǒng)文件夾中，對于只有一個(gè)硬盤的服務(wù)器，按默認(rèn)設(shè)置即可。10)在“目錄服務(wù)還原模式的Administrator密碼”界面設(shè)置還原密碼，點(diǎn)擊“下一步”。AD未運(yùn)行時(shí)，登錄域控制器需要該密碼。11)在“摘要”界面確定信息無誤后點(diǎn)擊“下一步”；AD安裝完成后提示重新啟動計(jì)算機(jī)，點(diǎn)擊“立即重新啟動”。STEP04：驗(yàn)證AD域服務(wù)安裝成功若以下幾點(diǎn)均無問題，說明當(dāng)前部署的DC正常工作。1)查看AD數(shù)據(jù)庫文件是否產(chǎn)生：ntds.dit：AD數(shù)據(jù)庫的主要文件，會隨著AD內(nèi)對象的擴(kuò)充而增大；edb.chk：檢查點(diǎn)文件，記載AD數(shù)據(jù)庫與內(nèi)存中AD數(shù)據(jù)庫的差異；edb.log：日志文件，當(dāng)edb.log文件充滿事務(wù)之后，會被重新命名為edbxxxxx.log，從edb00001開始，使用十六進(jìn)制數(shù)累加；edbresxxxx.jrs：備用的日志文件；edbtmp.log：當(dāng)前日志文件（edb.log）填滿時(shí)的暫時(shí)日志文件；temp.edb：存儲當(dāng)前進(jìn)程中處理信息的暫時(shí)文件。2)DNS服務(wù)是否工作正常，與域相關(guān)的資源記錄，特別是SRV記錄是否正確寫入。SRV記錄了哪臺計(jì)算機(jī)提供哪個(gè)服務(wù)，如果SRV記錄不全，客戶端就沒有辦法找到域控制器。3)SYSVOL文件夾是否存在，能否正常訪問4)日志中是否無錯(cuò)誤事件等點(diǎn)擊“開始”—>“管理工具”—>“事件查看器”，在“事件查看器”左欄展開“Windows日志”節(jié)點(diǎn)，選中“安全”項(xiàng)目，中間窗口會列出系統(tǒng)自安裝以來記錄的所有安全事件；右鍵點(diǎn)擊“安全”項(xiàng)目，選擇“篩選當(dāng)前日志”；在“篩選當(dāng)前日志”對話框中點(diǎn)擊“篩選器”標(biāo)簽項(xiàng)；