項(xiàng)目3 部署與管理Active Directory域服務(wù)

項(xiàng)目3部署與管理ActiveDirectory域服務(wù)公司內(nèi)部的辦公網(wǎng)絡(luò)原是基于工作組方式的，近期由于公司業(yè)務(wù)發(fā)展，人員激增，基于方便和網(wǎng)絡(luò)安全管理的需要，考慮將基于工作組的網(wǎng)絡(luò)升級為基于域的網(wǎng)絡(luò)?，F(xiàn)在需要將一臺或多臺計(jì)算機(jī)升級為域控制器，并將其他所有計(jì)算機(jī)加入域成為成員服務(wù)器。2項(xiàng)目背景學(xué)習(xí)要點(diǎn)掌握規(guī)劃和安裝局域網(wǎng)中活動目錄的方法。掌握創(chuàng)建域目錄林根域的方法。 掌握安裝額外域控制器的方法。掌握如何創(chuàng)建子域熟悉多臺域控制器的情況

學(xué)習(xí)要點(diǎn)素質(zhì)要點(diǎn)明確職業(yè)技術(shù)崗位所需的職業(yè)規(guī)范，樹立社會主義核心價(jià)值觀?！按髮W(xué)之道，在明明德，在親民，在止于至善?！薄啊呱窖鲋梗靶行兄埂ｋm不能至，然心鄉(xiāng)往之。”知悉“大學(xué)”的真正含義，以德化人，激發(fā)愛國情懷。素質(zhì)要點(diǎn)01.項(xiàng)目基礎(chǔ)知識contents目錄02.項(xiàng)目設(shè)計(jì)及準(zhǔn)備03.項(xiàng)目實(shí)施04.習(xí)題與實(shí)訓(xùn)項(xiàng)目基礎(chǔ)知識幸福和美好未來不會自己出現(xiàn)，成功屬于勇毅而篤行的人。3.101.認(rèn)識活動目錄及意義3.1項(xiàng)目基礎(chǔ)知識02.認(rèn)識活動目錄的邏輯結(jié)構(gòu)

03.認(rèn)識活動目錄的物理結(jié)構(gòu)04.拓展閱讀中國計(jì)算機(jī)的主奠基者認(rèn)識活動目錄及意義高山仰止，景行行止。雖不能至，然心鄉(xiāng)往之。3.1.1認(rèn)識活動目錄活動目錄就是Windows網(wǎng)絡(luò)中的目錄服務(wù)（DirectoryServices），即活動目錄域服務(wù)（ActiveDirectoryDomainServices，ADDS）。它是一個(gè)分布式的目錄服務(wù)，信息可分散在多臺不同的計(jì)算機(jī)上，保證用戶能夠快速訪問，既提高了管理效率，又使網(wǎng)絡(luò)應(yīng)用更加方便。目錄服務(wù)有兩方面的內(nèi)容：目錄和與目錄相關(guān)的服務(wù)。認(rèn)識活動目錄及意義認(rèn)識活動目錄活動目錄負(fù)責(zé)目錄數(shù)據(jù)庫的保存、新建、刪除、修改與查詢等服務(wù)，用戶能很容易地在目錄內(nèi)找到所需的數(shù)據(jù)。ActiveDirectory存儲了有關(guān)網(wǎng)絡(luò)對象的信息，例如用戶、組、計(jì)算機(jī)、共享資源、打印機(jī)和聯(lián)系人等，并且讓管理員和用戶能夠輕松地查找和使用這些信息。認(rèn)識活動目錄及意義活動目錄的核心是目錄服務(wù)功能和集中管理目錄服務(wù)功能組織管理控制資源集中管理單點(diǎn)管理所有用戶一次登錄訪問整個(gè)活動目錄資源3.1.1認(rèn)識活動目錄及意義

活動目錄對象活動目錄存儲網(wǎng)絡(luò)對象的信息。對象屬性存儲在活動目錄活動目錄的對象是組成活動目錄基本元素AttributesFirstNameLastNameLogonNameAttributesPrinterNamePrinterLocationActiveDirectoryPrintersPrinter1Printer2SuzanFineUsersDonHallAttributeValueObjectsPrintersUsersPrinter3

3.1.1認(rèn)識活動目錄及意義活動目錄架構(gòu)對象類舉例PrintersComputersUsers用戶的屬性可以包括accountExpiresdepartmentdistinguishedNamemiddleName屬性列表accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName…屬性舉例

3.1.1認(rèn)識活動目錄及意義工作組環(huán)境如果資源分布在多臺服務(wù)器上，那就需要在每臺服務(wù)器分別為每一員工建立一個(gè)用戶（共M*N個(gè)），員工則需要在每臺服務(wù)器上（共M臺）登錄。3.1.1認(rèn)識活動目錄及意義域環(huán)境有了域，員工只需要在域中擁有一個(gè)域用戶，因此管理員只須為員工創(chuàng)建一個(gè)域用戶；員工只需要在域中登錄一次就可以訪問域中的資源了，實(shí)現(xiàn)了單一登錄。3.1.1認(rèn)識活動目錄及意義用戶A用戶B用戶C用戶A用戶C用戶B工作組ActiveDirectory域環(huán)境

3.1.1認(rèn)識活動目錄及意義Active

Directory用戶用戶賬戶小組組賬戶計(jì)算機(jī)賬戶→

3.1.1認(rèn)識活動目錄及意義ADDS功能包括：集中式目錄單一登錄訪問集成安全性可伸縮性ADDS提供了一個(gè)集中式的系統(tǒng)，用于管理網(wǎng)絡(luò)上的用戶、計(jì)算機(jī)和其他資源。公共管理界面

3.1.1認(rèn)識活動目錄及意義認(rèn)識活動目錄的邏輯結(jié)構(gòu)幸福和美好未來不會自己出現(xiàn)，成功屬于勇毅而篤行的人。3.1.2物理組件數(shù)據(jù)存儲域控制器全局編錄服務(wù)器只讀域控制器(RODC)邏輯組件分區(qū)架構(gòu)域域樹林站點(diǎn)組織單位(OU)3.1.2認(rèn)識活動目錄的邏輯結(jié)構(gòu)ADDS由物理組件和邏輯組件組成。域和域控制器域（Domain）是在WindowsServer2022網(wǎng)絡(luò)環(huán)境中組建客戶機(jī)/服務(wù)器網(wǎng)絡(luò)的實(shí)現(xiàn)方式，是WindowsServer2022域中ActiveDirectory數(shù)據(jù)庫的基本管理單位。域控制器中保存著整個(gè)網(wǎng)絡(luò)的用戶賬號及目錄數(shù)據(jù)庫，即活動目錄，并且可以被網(wǎng)絡(luò)應(yīng)用程序或者服務(wù)所訪問。

一個(gè)域可能擁有一臺以上的域控制器。每一臺域控制器都擁有它所在域的目錄的一個(gè)可寫副本。3.1.2認(rèn)識活動目錄的邏輯結(jié)構(gòu)域安全邊界：安全邊界的作用就是保證域的管理者只能在該域內(nèi)有必要的管理權(quán)限，除非管理者得到其他域得明確授權(quán)。復(fù)制單元：在域中，作為域控制器的計(jì)算機(jī)包含活動目錄的副本。在一個(gè)特定的域中，所有域控制都能夠得到活動目錄得變化信息，并把變化信息復(fù)制給該域中得其它域控制器。3.1.2認(rèn)識活動目錄的邏輯結(jié)構(gòu)WindowsServer2022User1User2User1User2Replication組織單位組織單位是包含在活動目錄中的容器對象，是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用單位。組織單位可以將用戶、組、計(jì)算機(jī)和其他單元放入活動目錄的容器。組織單位不能包括來自其他域的對象。3.1.2認(rèn)識活動目錄的邏輯結(jié)構(gòu)組織單位3.1.2認(rèn)識活動目錄的邏輯結(jié)構(gòu)地理位置的組織結(jié)構(gòu)SalesVancouverRepairUsersSalesComputers網(wǎng)絡(luò)管理模型利用OU可以把對象組織到一個(gè)邏輯結(jié)構(gòu)中使其最適應(yīng)你的組織需求。可以把管理控制權(quán)委派給OU中的對象。要委派的管理控制權(quán)，必須把OU及OU包含的對象的具體的權(quán)限指給一個(gè)或幾個(gè)用戶和組。

3.1.2認(rèn)識活動目錄的邏輯結(jié)構(gòu)ExamplesFunction(功能)OrganizationLocation(位置)FunctionOrganization(組織)Location組織單位模型SCMS–SalesC–ConsultantsM-MarketingFunction-basedMERM–ManufacturingE–EngineeringR-ResearchOrganization-basedNFIN–NorwayF–FranceI–IndonesiaLocation-based組織單位創(chuàng)建組織單位有如下好處：（1）可以分類組織對象，使所有對象結(jié)構(gòu)更清晰。（2）可以對某些對象配置組策略，實(shí)現(xiàn)對這些對象的管理和控制。（3）可以委派管理控制權(quán)，如管理員可以給不同部門的網(wǎng)絡(luò)主管授權(quán)，讓他們管理本部門的賬號。3.1.2認(rèn)識活動目錄的邏輯結(jié)構(gòu)目錄樹和目錄林

3.1.2認(rèn)識活動目錄的邏輯結(jié)構(gòu)目錄林是一個(gè)或多個(gè)目錄樹的集合。目錄林中的目錄樹并不共用相同的連續(xù)的名字空間。域目錄林

3.1.2認(rèn)識活動目錄的邏輯結(jié)構(gòu)(root)樹雙向可傳遞的信任林樹雙向可傳遞的信任Nwtraders.msftAsia.Nwtraders.msftAu.Nwtraders.msftcontoso.msftasia.contoso.msftau.contoso.msft全局編錄服務(wù)器全局編錄：包含林中所有ADDS對象的副本，但是該副本僅包含林中每個(gè)對象的部分屬性提高搜索對象的效率，因?yàn)樗苊饬瞬槐匾匾糜蚩刂破魇怯脩舻卿浀接蛑兴匦璧娜志庝浄?wù)器是存儲了全局編錄的副本的域控制器。

信任關(guān)系信任關(guān)系是網(wǎng)絡(luò)中不同域之間的一種內(nèi)在聯(lián)系。只有在兩個(gè)域之間創(chuàng)建了信任關(guān)系，這兩個(gè)域才可以相互訪問。在通過WindowsServer2022系統(tǒng)創(chuàng)建域目錄樹和域目錄林時(shí)，域目錄樹的根域和子域之間，域目錄林的不同樹根之間都會自動創(chuàng)建雙向的、傳遞的信任關(guān)系，有了信任關(guān)系，使根域與子域之間、域目錄林中的不同樹之間可以互相訪問，并可以從其他域登錄到本域。3.1.2認(rèn)識活動目錄的邏輯結(jié)構(gòu)信任關(guān)系如果希望兩個(gè)無關(guān)域之間可以相互訪問或從對方域登錄到自己所在的域，也可以手工創(chuàng)建域之間的信任關(guān)系。3.1.2認(rèn)識活動目錄的邏輯結(jié)構(gòu)3.1.2認(rèn)識活動目錄的邏輯結(jié)構(gòu) Sites:優(yōu)化復(fù)制流量使用戶能夠使用可靠、高速的連接登錄到域控制器上IPsubnetIPsubnetNewYork信任關(guān)系LosAngelesSeattleChicago3.1.2認(rèn)識活動目錄的邏輯結(jié)構(gòu)站點(diǎn)SitesDomaincontrollersWANlinksSiteDomainControllersWANLinkSite

認(rèn)識活動目錄的

物理結(jié)構(gòu)盛年不重來，一日難再晨。及時(shí)當(dāng)勉勵(lì)，歲月不待人。3.1.3域控制器：承載ADDS目錄存儲的副本提供身份驗(yàn)證和授權(quán)服務(wù)將更新復(fù)制到域和林中的其他域控制器域控制器是安裝了ADDS服務(wù)器角色的服務(wù)器。允許在服務(wù)器上管理用戶賬戶和網(wǎng)絡(luò)資源WindowsServer2022ADDS支持RODC

3.1.3認(rèn)識活動目錄的物理結(jié)構(gòu)--ADDS域控制器域控制器3.1.3認(rèn)識活動目錄的物理結(jié)構(gòu)--ADDS域控制器DomainControllerDomainControllerDomainReplication=AWriteableCopyoftheActiveDirectoryDatabase DomainControllers:參與活動目錄的復(fù)制進(jìn)行單主控操作

項(xiàng)目設(shè)計(jì)及準(zhǔn)備盛年不重來，一日難再晨。及時(shí)當(dāng)勉勵(lì)，歲月不待人。3.2項(xiàng)目設(shè)計(jì)項(xiàng)目準(zhǔn)備

建立第一個(gè)新林。

建立此新林中的第一個(gè)域樹。

建立此新域樹中的第一個(gè)域。

建立此新域中的第一臺域控制器。

計(jì)算機(jī)名稱Server1自動更改為DC1.項(xiàng)目設(shè)計(jì)將項(xiàng)目2中的Server1升級為域控制器并建立域，架設(shè)根域的第2臺域控制器（Server2）、第3臺域控制器（Server3）、第4臺域控制器（Server4）和一臺加入域的成員服務(wù)器（MS1）項(xiàng)目實(shí)施幸福和美好未來不會自己出現(xiàn)，成功屬于勇毅而篤行的人。3.3項(xiàng)目實(shí)施任務(wù)5服務(wù)器角色任務(wù)3登錄域任務(wù)4額外DC任務(wù)2域成員任務(wù)7多臺DC任務(wù)1第一臺DC任務(wù)6子域任務(wù)1創(chuàng)建第一個(gè)域安裝ActiveDirectory域服務(wù)安裝ADDS驗(yàn)證ActiveDirectory域服務(wù)的安裝驗(yàn)證結(jié)果提升服務(wù)器為DC安裝活動目錄03010201-安裝ADDS01-安裝ADDS02-安裝活動目錄02-安裝活動目錄02-安裝活動目錄02-安裝活動目錄03-驗(yàn)證結(jié)果（1）查看計(jì)算機(jī)名（2）查看管理工具（3）查看活動目錄對象（4）查看ActiveDirectory數(shù)據(jù)庫（5）查看DNS記錄注冊的SRV記錄03-驗(yàn)證結(jié)果netstopnetlogonnetstartnetlogon重新啟動Netlogon服務(wù)任務(wù)2將MS1加入域?qū)S1加入域加入域后的系統(tǒng)屬性將MS1提升為的成員服務(wù)器任務(wù)3利用已加入域的計(jì)算機(jī)登錄利用本地賬戶登錄本地登錄利用域用戶賬戶登錄登錄域010201-本地登錄本地用戶登錄02-登錄域域用戶登錄任務(wù)4安裝額外的域控制器與RODCRODC委派及密碼策略修改RODC委派利用網(wǎng)絡(luò)直接安裝額外DC第二臺DC利用安裝介質(zhì)安裝額外DC介質(zhì)安裝利用網(wǎng)絡(luò)直接復(fù)制安裝RODCRODC0403010201-第二臺DC部署配置Server1、Server2和Server3的網(wǎng)絡(luò)連接模式都是“僅主機(jī)模式”，首先要保證3臺服務(wù)器通信暢通。01-第二臺DC01-第二臺DC02-RODCServer1、Server2和Server3的網(wǎng)絡(luò)連接模式都是“僅主機(jī)模式”，首先要保證3臺服務(wù)器通信暢通。部署配置02-RODC02-RODC03-介質(zhì)安裝制作安裝介質(zhì)03-介質(zhì)安裝安裝額外域控制器04-修改RODC委派04-修改RODC委派04-修改RODC委派04-修改RODC委派05-驗(yàn)證額外域控制器運(yùn)行正常DC1是第一臺域控制器，DC2服務(wù)器已經(jīng)提升為額外域控制器，現(xiàn)在可以將成員服務(wù)器MS1的首選DNS指向DC1域控制器，備用DNS指向DC2額外域控制器，當(dāng)DC1域控制器發(fā)生故障時(shí)，DC2額外域控制器可以負(fù)責(zé)域名解析和身份驗(yàn)證等工作，從而實(shí)現(xiàn)不間斷服務(wù)。利用DC1域控制器的“ActiveDirectory用戶和計(jì)算機(jī)”建立供測試用的域用戶domainuser1（新建用戶時(shí)，姓名和用戶登錄名都是domainuser1）。刷新DC2、DC3的“ActiveDirectory用戶和計(jì)算機(jī)”中的users容器，發(fā)現(xiàn)domainuser1幾乎同時(shí)同步到了這兩臺域控制器上。在MS1上使用域賬戶“domainuser1“登錄驗(yàn)證05-驗(yàn)證額外域控制器運(yùn)行正常查看DC類型任務(wù)5轉(zhuǎn)換服務(wù)器角色DC隆級為成員服務(wù)器DC降為成員成員服務(wù)器降級為獨(dú)立服務(wù)器成員降為獨(dú)立010201-DC降為成員服務(wù)器刪除活動目錄注意要點(diǎn)①如果該域內(nèi)還有其他域控制器，則該域會被降級為該域的成員服務(wù)器。②如果這個(gè)域控制器是該域的最后一個(gè)域控制器，則被降級后，該域內(nèi)將不存在任何域控制器。（被降級為獨(dú)立服務(wù)器）③如果這臺域控制器是“全局編錄”，則降級后，不再擔(dān)當(dāng)“全局編錄”的角色，因此要先確定網(wǎng)絡(luò)上是否還有其他“全局編錄”域控制器。如果沒有，則要先指派一臺域控制器來擔(dān)當(dāng)“全局編錄”的角色。01-DC降為成員服務(wù)器01-DC降為成員服務(wù)器01-DC降為成員服務(wù)器01-DC降為成員服務(wù)器02-成員服務(wù)器降級為獨(dú)立服務(wù)器成員服務(wù)器刪除ActiveDirectory域服務(wù)后，繼續(xù)降級為獨(dú)立服務(wù)器。刪除服務(wù)器角色和功能任務(wù)6創(chuàng)建子域創(chuàng)建子域創(chuàng)建子域驗(yàn)證父子信任關(guān)系驗(yàn)證信任關(guān)系驗(yàn)證子域驗(yàn)證子域03010201-創(chuàng)建子域設(shè)置域中父域控制器和子域控制器的TCP/IP屬性，手工指定IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器IP地址等。部署域環(huán)境，父域域名為，子域域名為。創(chuàng)建子域的網(wǎng)絡(luò)拓?fù)鋱D01-創(chuàng)建子域01-創(chuàng)建子域02-驗(yàn)證子域02-驗(yàn)證子域02-驗(yàn)證子域02-驗(yàn)證子域任務(wù)7熟悉多臺域控制器的情況更改PDC操作主機(jī)更改PDC用組策略解決登錄問題登錄疑難問題更改域控制器更改DC03010201-更改PDC操作主機(jī)如果域內(nèi)有多臺域控制器，則你所設(shè)置的安全設(shè)置值，是先被存儲到扮演PDC操作主機(jī)角色的域控制器內(nèi)，而它默認(rèn)由域內(nèi)的第1臺域控制器扮演?？梢酝ㄟ^【ActiveDirectory用戶和計(jì)算機(jī)】→選中域名S并單擊鼠標(biāo)右鍵→【操作主機(jī)】→選擇【PDC】標(biāo)簽查詢。更改