服務(wù)器配置與管理 課件 2-1 建立域控制器

WindowsServer2019服務(wù)器配置實(shí)訓(xùn)教程學(xué)習(xí)單元2

活動(dòng)目錄的配置與用戶管理任務(wù)1建立域控制器任務(wù)背景與分析1.客戶需求需求

網(wǎng)絡(luò)中心王主任對(duì)工程師小溫的工作很滿意，他向小溫介紹了學(xué)?，F(xiàn)在校園網(wǎng)絡(luò)的基本情況、部門劃分、人員組成等情況。提出基于今后網(wǎng)絡(luò)管理和維護(hù)的工作量的角度考量，希望小溫能完成對(duì)智慧校園網(wǎng)絡(luò)資源的統(tǒng)一管理，并且對(duì)內(nèi)部網(wǎng)絡(luò)資料安全問(wèn)題提出了自己的擔(dān)憂。需求任務(wù)背景與分析2.任務(wù)分析求

根據(jù)該校校園網(wǎng)絡(luò)的業(yè)務(wù)需求并結(jié)合該學(xué)校的具體網(wǎng)絡(luò)實(shí)際，可以看出該網(wǎng)絡(luò)規(guī)模還是很大的?？蛻粢蟀惭b域控制器來(lái)對(duì)各部門和相關(guān)教師的辦公計(jì)算機(jī)進(jìn)行統(tǒng)一管理。要完成此任務(wù)，就必須了解活動(dòng)目錄及域控制器的有關(guān)知識(shí)和操作。任務(wù)背景與分析2.任務(wù)分析求

工作流程：

確認(rèn)用戶需求與功能分析→填寫安裝工單→安裝規(guī)劃→實(shí)施域控制器安裝→完成配置基本服務(wù)。任務(wù)背景與分析3.任務(wù)工單求邁聯(lián)公司工程任務(wù)工單客戶名稱：xx學(xué)校網(wǎng)絡(luò)中心

任務(wù)單號(hào)：P2021060201現(xiàn)場(chǎng)地點(diǎn)XX學(xué)校網(wǎng)絡(luò)中心機(jī)房日期：2021年9月2日客戶要求1）建立域控制器2）通過(guò)CMD指令行驗(yàn)證AD是否安裝成功3）確認(rèn)NetBios域名，指定ADDS數(shù)據(jù)庫(kù)、日志和SYSVOL的存儲(chǔ)位置，并查看配置的詳細(xì)信息4）域控制器名稱為“”現(xiàn)場(chǎng)環(huán)境及參數(shù)3臺(tái)windowsserver2019服務(wù)器，其中一臺(tái)為域控制器聯(lián)系方式聯(lián)系人：王主任聯(lián)系電話：133XX000001工時(shí)4任務(wù)背景與分析4．知識(shí)儲(chǔ)備求

要想完成活動(dòng)目錄相關(guān)服務(wù)的添加、配置與管理，管理員應(yīng)該了解活動(dòng)目錄的相關(guān)知識(shí)。在日常管理工作中，經(jīng)常將數(shù)據(jù)存儲(chǔ)作為目錄的代名詞。目錄包含了有關(guān)對(duì)象，如用戶、用戶組、計(jì)算機(jī)、域、組織單位（OU）以及安全策略的信息。這些信息可以被發(fā)布出來(lái)，以供用戶和管理員使用。

目錄存儲(chǔ)在被稱為域控制器的服務(wù)器上，并且可以被網(wǎng)絡(luò)應(yīng)用程序或者服務(wù)所訪問(wèn)。一個(gè)域可能擁有一臺(tái)以上的域控制器。每一臺(tái)域控制器都擁有它所在域的目錄的一個(gè)可寫副本。對(duì)目錄的任何修改都可以從源域控制器復(fù)制到域、域樹(shù)或者域林中的其它域控制器上。由于目錄可以被復(fù)制，而且所有的域控制器都擁有目錄的一個(gè)可寫副本，因此用戶和管理員可以在域的任何位置方便地獲得所需的目錄信息。通常，目錄數(shù)據(jù)存儲(chǔ)在域控制器上的Ntds.dit文件中。任務(wù)背景與分析4．知識(shí)儲(chǔ)備求1）活動(dòng)目錄?；顒?dòng)目錄是微軟WindowsServer中負(fù)責(zé)架構(gòu)中大型網(wǎng)絡(luò)環(huán)境的集中式目錄管理服務(wù)（DirectoryServices）。它處理了在組織中的網(wǎng)絡(luò)對(duì)象，對(duì)象可以是用戶、組群、計(jì)算機(jī)、域名控制站、郵件、設(shè)置文件、組織單位、樹(shù)系等等。只要是在活動(dòng)目錄結(jié)構(gòu)定義文件（schema）中定義的對(duì)象，就可以存儲(chǔ)在活動(dòng)目錄數(shù)據(jù)文件中，并利用活動(dòng)目錄（ServiceInterface）來(lái)訪問(wèn)。活動(dòng)目錄包括兩個(gè)方面：目錄和與目錄相關(guān)的服務(wù)。目錄是存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器，從靜態(tài)的角度來(lái)理解活動(dòng)目錄與以前所結(jié)識(shí)的“目錄”和“文件夾”沒(méi)有本質(zhì)區(qū)別，就是實(shí)際存在的對(duì)象，或者說(shuō)是實(shí)體；而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)?；顒?dòng)目錄是一個(gè)分布式的目錄服務(wù)，信息可以分散在多臺(tái)不同的計(jì)算機(jī)上，保證用戶能夠快速訪問(wèn)，因?yàn)槎嗯_(tái)機(jī)上有相同的信息，不管用戶從何處訪問(wèn)或信息處在何處，都對(duì)用戶提供統(tǒng)一的視圖。任務(wù)背景與分析4．知識(shí)儲(chǔ)備求

2）域。域（Domain）是網(wǎng)絡(luò)中對(duì)計(jì)算機(jī)和用戶的一種邏輯分組，是出于管理而定義的對(duì)象集合，是活動(dòng)目錄的分區(qū)，定義了安全邊界，在沒(méi)經(jīng)過(guò)授權(quán)的情況下，不允許其他域中的用戶訪問(wèn)本域的資源。3）域樹(shù)。當(dāng)需要配置一個(gè)包含多個(gè)域的網(wǎng)絡(luò)時(shí)，應(yīng)該將網(wǎng)絡(luò)配置成域目錄樹(shù)結(jié)構(gòu)。域樹(shù)由多個(gè)域組成，這些域共享同一個(gè)表結(jié)構(gòu)和配置，形成一個(gè)連續(xù)的名字空間。樹(shù)中的域通過(guò)雙向信任關(guān)系連接起來(lái)。域樹(shù)中的域?qū)哟卧缴罴?jí)別越低，一個(gè)“.”代表一個(gè)層次，如下圖所示任務(wù)背景與分析4．知識(shí)儲(chǔ)備求

4）名稱空間。名稱空間是一種命名規(guī)則，通常用來(lái)定義網(wǎng)絡(luò)資源的唯一名稱?；顒?dòng)目錄本質(zhì)上就是一個(gè)名稱空間，包含了很多的對(duì)象，每個(gè)對(duì)象都有自己的名字。在這里，可以把他們的關(guān)系形象地理解成是一種解析關(guān)系。例如，通訊錄可以形成一個(gè)名稱空間，每個(gè)人的名字都可以被解析為對(duì)應(yīng)的地址等信息。windows的文件系統(tǒng)也可以形成一個(gè)名稱空間，每個(gè)文件名都可以被解析為具體的某個(gè)文件。5）活動(dòng)目錄(ActiveDirectory)主要提供以下功能①基礎(chǔ)網(wǎng)絡(luò)服務(wù)：包括DNS、WINS、DHCP、證書服務(wù)等。②服務(wù)器及客戶端計(jì)算機(jī)管理：管理服務(wù)器及客戶端計(jì)算機(jī)賬戶，所有服務(wù)器及客戶端計(jì)算機(jī)加入域管理并實(shí)施組策略。任務(wù)背景與分析4．知識(shí)儲(chǔ)備求

③用戶服務(wù)：管理用戶域賬戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認(rèn)證、用戶授權(quán)管理等，按省實(shí)施組管理策略。④資源管理：管理打印機(jī)、文件共享服務(wù)等網(wǎng)絡(luò)資源。⑤桌面配置：系統(tǒng)管理員可以集中配置各種桌面配置策略，如：用戶使用域中資源權(quán)限限制、界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、安全配置限制等。⑥應(yīng)用系統(tǒng)支撐：支持財(cái)務(wù)、人事、電子郵件、企業(yè)信息門戶、辦公自動(dòng)化、補(bǔ)丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。在WindowsServer2019上安裝活動(dòng)目錄域服務(wù)的步驟視頻如下：任務(wù)實(shí)施WindowsServer2019上安裝活動(dòng)目錄域服務(wù)在WindowsServer2019上安裝活動(dòng)目錄域服務(wù)的步驟：任務(wù)實(shí)施WindowsServer2019上安裝活動(dòng)目錄域服務(wù)1）設(shè)置指定AD角色服務(wù)器的IP地址和DNS服務(wù)器地址，因?yàn)槭前惭b活動(dòng)目錄，所以二者要一致。2）單擊“服務(wù)器管理器”，彈出如圖2-2所示界面。圖2-2服務(wù)器管理器界面在WindowsServer2019上安裝活動(dòng)目錄域服務(wù)的步驟：任務(wù)實(shí)施WindowsServer2019上安裝活動(dòng)目錄域服務(wù)3）單擊“添加角色和功能”按鈕。4）進(jìn)入“添加角色和功能向?qū)А?，單擊“下一步”按鈕。5）選擇“基于角色或基于功能的安裝”，然后單擊“下一步”按鈕，如圖2-3所示。圖2-3選擇安裝類型界面在WindowsServer2019上安裝活動(dòng)目錄域服務(wù)的步驟：任務(wù)實(shí)施WindowsServer2019上安裝活動(dòng)目錄域服務(wù)6）服務(wù)器選擇默認(rèn)，如果同時(shí)有多個(gè)服務(wù)器可供選擇，則選擇所需要的服務(wù)器，單擊“下一步”按鈕。7）勾選“ActiveDirectory域服務(wù)”（見(jiàn)圖2-4），彈出對(duì)話框時(shí)單擊“添加功能”即可，然后單擊“下一步”。圖2-4選擇服務(wù)器角色界面在WindowsServer2019上安裝活動(dòng)目錄域服務(wù)的步驟：任務(wù)實(shí)施WindowsServer2019上安裝活動(dòng)目錄域服務(wù)8）選擇和確認(rèn)需要在服務(wù)器上安裝的功能，單擊“下一步”按鈕。9）閱讀AD角色的功能及注意事項(xiàng)，單擊“下一步”按鈕。10）勾選“如果需要，自動(dòng)重新啟動(dòng)目標(biāo)服務(wù)器”按鈕，之后單擊“安裝”按鈕，如圖2-5所示。11）安裝完成，單擊“關(guān)閉”按鈕。圖2-5服務(wù)器安裝完成在WindowsServer2019上安裝活動(dòng)目錄域服務(wù)的步驟：任務(wù)實(shí)施WindowsServer2019上安裝活動(dòng)目錄域服務(wù)12）單擊服務(wù)器管理器右上角的通知欄，并單擊“將此服務(wù)器提升為域控制器”，如圖2-6所示。圖2-6將服務(wù)器提升為域控制器在WindowsServer2019上安裝活動(dòng)目錄域服務(wù)的步驟：任務(wù)實(shí)施WindowsServer2019上安裝活動(dòng)目錄域服務(wù)13）選擇“將域控制器添加到現(xiàn)有域”或“添加新林”選項(xiàng)，如圖2-7所示，并確定域的信息，單擊“下一步”按鈕。圖2-7確認(rèn)域控制器位置和信息任務(wù)實(shí)施從光盤安裝WindowsServer2019操作系統(tǒng)域的相關(guān)知識(shí)：

如果網(wǎng)絡(luò)的規(guī)模很大，甚至包含了多個(gè)域目錄樹(shù)，那么這時(shí)一個(gè)或多個(gè)域目錄樹(shù)的集合就形成了域目錄林。域林中的所有域樹(shù)共享同一個(gè)表結(jié)構(gòu)、配置和全局目錄。

為了解決用戶跨域訪問(wèn)資源的問(wèn)題，可以在域之間引入“信任”。域的信任關(guān)系包括單向信任、雙向信任、傳遞信任、不可傳遞信任、信任協(xié)議。知識(shí)拓展在WindowsServer2019上安裝活動(dòng)目錄域服務(wù)的步驟：任務(wù)實(shí)施WindowsServer2019上安裝活動(dòng)目錄域服務(wù)14）確認(rèn)制定域控制器的功能和站點(diǎn)信息，并設(shè)置DSRM密碼，單擊“下一步”按鈕，如圖2-8所示。圖2-8設(shè)置域控制器選項(xiàng)在WindowsServer2019上安裝活動(dòng)目錄域服務(wù)的步驟：任務(wù)實(shí)施WindowsServer2019上安裝活動(dòng)目錄域服務(wù)15）確認(rèn)NetBios域名，指定ADDS數(shù)據(jù)庫(kù)、日志和SYSVOL的存儲(chǔ)位置，并查看配置的詳細(xì)信息，單擊“安裝”按鈕直到顯示安裝完成。16）驗(yàn)證安裝。在“控制面板”的“管理工具”下，看看有沒(méi)有AD活動(dòng)目錄用戶和計(jì)算機(jī)以及相應(yīng)設(shè)置管理項(xiàng)，如果有就說(shuō)明安裝成功了，如圖2-9所示。還可以直接打開(kāi)CMD命令行，輸入DCDIAG/a驗(yàn)證AD是否安裝成功，如圖2-10所示。圖2-9管理工具驗(yàn)證AD安裝成功圖2-10在命令行環(huán)境下驗(yàn)證AD安裝是否成功任務(wù)實(shí)施從光盤安裝WindowsServer2019操作系統(tǒng)

域控制器安裝完之后，有時(shí)因工作要求要對(duì)域控制器進(jìn)行重新定義或直接卸載。進(jìn)入“刪除角色和功能向?qū)А?，在“服?wù)器角色”界面，取消勾選ActiveDirectory域服務(wù)，依次按照操作