Windows 08 R2_创建AD DS域服务(图文详解)

目录

• 目录
• Active Directory概念
• 创建第一个AD域控制器
  • 搭建DNS服务器
  • 使用Windows窗口程序创建AD域控制器
  • AD与LDAP的关系
  • 使用Powershell来创建ADDS域控制器
  • 检查ADDC域控制器是否安装成功
  • 管理工具
• 创建额外域控制器
  • 使用Windows窗口界面来安装额外域控制器
  • 使用Powershell脚本来安装额外域控制器

Active Directory概念

AD(活动目录)：是一种组织资源信息的方法，目录的意义在于我们可以通过标题或者说搜索条件来简单而有效率的在大量数据中查找匹配的信息。支撑这种信息检索的技术就是LDAP协议。

AD域：为了避免账户数据量过大造成的管理不便，我们会将所有的账户数据按照域的概念来划分，再分别对每一个域进行管理。一般AD域或与DNS域挂钩。

AD DS(Active Directory Domain Server)：活动目录域服务，是一种Win08R2服务器所提供的服务，由AD域控制器来实现。应用了AD的信息检索思维，能够高效快速的处理庞大的账户数据。实现了统一集中管理企业员工账号信息，做到单点登录，多处访问。值得注意的是，因为AD DS要管理大量的账户信息，所以就决定了AD DS需要一个数据库来支撑整个服务，而这个扮演数据库的角色就是存在于AD域控制器中的AD数据库。

AD域控制器：AD域控制器包含了AD数据库，用于存储AD域内的账号数据，提供了对数据的增删查改功能。而且AD域控制器也提供了AD DS服务，所以安装一个AD域控制器，等效于创建了AD DS域服务。

NOTE：AD服务器最主要的好处在于：

1. 集中管理账号，应用程序等计算机资源。

2. 域账号能够实现单点的远程登陆。

AD与DNS的关系：域控制器需要将自己注册到DNS服务器中，以便其他的计算机可以通过DNS解析服务来找到这台域控制器从而实现登录信息验证，而且此DNS服务器最好支持动态更新功能。所以AD服务需要有DNS服务的支撑，否则也可以通过修改Hosts来实现上述的功能。

创建第一个AD域控制器

准备工作：

1.选择一个DNS域名Jmilk.com

2.准备一台用来支撑AD DS的DNS服务器

• 支持动态更新
• 支持区域传送
• 关闭快速传送，因为有一些DNS服务区并不支持此功能
  
  

搭建DNS服务器

当我们部署成为AD DS服务角色时，系统会自动在该服务器中安装DNS服务角色，并且系统还会自动在DNS服务器中创建一个支持AD DS的区域。该区域也会自动开启安全动态更新。

具体的DNS安装和使用，点这里

因为这是服务器上的第一台域控制器，所以本次升级会同时完成下列操作：

• 新建一个林
• 新建一个域树
• 新建域树中的一个域
• 新建此域中的第一台域控制器
  
  • 域树：域树包含了多个AD域，在域树内的所有AD域共享一个AD数据库，但是在这个AD数据库中，每一个域内只存储了属于该域的数据。
    
    
  • 林：林由若干个域树组成，在创建林时，不同的域之间会发生信任的双向传递。林中域内的任意用户只要拥有一定的权限就可以访问整个林内的资源，也就是说可以到林中任何一台计算机登录。
  • 信任：两个不同的AD域之间必须创建信任关系，才可以访问对方域内的资源。当一个新域加入到域树后，它会自动的双向传递信任域树内的所有域。只要给予新域一些适当的权限，这个新域内的用户就可以访问其他域内的资源。

使用Windows窗口程序创建AD域控制器

Step1在服务器管理器中添加AD域服务角色，安装必要的软件环境

Step2：点击运行AD域服务安装向导，开始安装AD DS

Step3：选择使用高级设置，点击下一步

Step4：选择在新林中创建域

Step5：输入新建域的域名，一般填入DNS已有域的域名。我这里填写DNS服务器中已有的jmilk.com二级域。这个二级域也会作为林中的根域。

Step6：安装向导会自动的要求设置一个NetBIOS格式的域名，为了一些旧版本的服务器能够通过NetBIOS来访问此资源。名字不区分大小写。

Step7：选择 Windows Server 2008 R2的林功能级别

Step8：如果已经在服务器上安装过DNS的话，直接下一步。否则，需要安装DNS服务器。而且第一台域控制器会具有全局编录的功能。

• 全局编录：在域树内的所有AD域都共享同一个AD数据库，但是在AD数据库中的数据却是分散到各个域内的，每一个域只存储其自身的数据。这样会造成不便于查找别域的资源，而全局编录就是为了避免这个问题。在全局编录中存储了林内所有AD域中的账号的部分属性，而这部分属性通常是便于搜索此对象的。例如：账号名称、UPN、电话号码等唯一的标识。有了全局编录不管用户存在那一个域中，都可以很快捷的查找其他域内的资源。

Step9：选择存放AD数据库的路径

Step10：设置一个AD DS的还原密码(强密码)，使用该密码可以进入安全模式，在该模式下可以对AD进行修复。

Step11：下一步直到手动重启服务。至此ADDS域控制器安装完成。在完成域控制器的安装后，会自动的将该服务器的用户账号转移到AD数据库中。

注意：如果在安装AD DS域控制器之前已经安装了DNS服务的话，需要将DNS域与AD DS集成

这样才能够将AD DS域控制器和DNS域关联

AD与LDAP的关系

LDAP是一种用来访问AD数据库的目录服务协议，ADDS会通过LDAP名称路径来表示对象在AD数据库中的位置，以便用它来访问AD数据库内的对象。LDAP的名称路径包括有DN、RDN。

1. DN是AD数据库内的完整路径，下面是一个例子：



林小洋是一用户账号，其DN为：CN=林小洋、OU=业务一组、OU=业务部、DC=sayms、DC=com 。其中DC表示DNS域名中的组件，OU表示组织单位，CN表示普通名称。

整个DN表示：用户林小洋的账号存储在sayms.com\业务部\业务一组的路径下。

2. RDN它是在DN完整路径中的部分路径，例如上面的DN中，CN=林小洋就是RDN

使用Powershell来创建ADDS域控制器

编辑Powershell代码文件installADDSControl.ps1

dcpromo /unattend /InstallDns:yes /newDomain:forest /replicaOrNewDomain:domain /newDomainDnsName:jmilk.com /DomainNetbiosName:JMILK /forestLevel:4 /domainLevel:4 /createNDSDelegation:no /databasePath:"%SystemRoot%\NTDS" /logPath:"%SystemRoot%\NTDS" /sysvolpath:"%SystemRoot%\SYSVOL" /safeModeAdminPassword:fanguiju383.com /rebootOnCompletion:yes

注意：Windows Server出于安全考虑会禁止执行Powershell Script，需要手动打开。

在Powershell执行下面的指令：

Set-ExecutionPolicy Unrestricted 

检查ADDC域控制器是否安装成功

Step1：检查DNS服务器内的日志是否完整

查看DNS域jmilk.com是否存在ADDS域控制器所在的HOST的资源记录。

Step2：检查SRV日志，如果域控制器成功注册到DNS服务的话，会在jmilk.com域中看见_tcp、_udp的文件夹。



_tcp文件夹右方的数据类型为服务位置(SRV)的_ldap记录。表示dns1.jmilk.com已经成功注册为域控制器。_gc记录表示dns1.jmilk.com为全局编录服务器。

注意：当DNS区域内存在这些记录后，所有加入此域的计算机，就可以通过区域解析功能，来找到ADDC域控制器为dns1.jmilk.com 。

使用nslookup来检查SRV日志：

如果使用nslookup指令能够成功解析_ldap._tcp.dc._msdcs.jmilk.com

C:\Users\Administrator>nslookup
DNS request timed out.
    timeout was 2 seconds.
默认服务器:  UnKnown
Address:  ::1

> set type=srv
> _ldap._tcp.dc._msdcs.jmilk.com
服务器:  UnKnown
Address:  ::1

_ldap._tcp.dc._msdcs.jmilk.com  SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = dns1.jmilk.com
dns1.jmilk.com  internet address = 192.168.1.100

检查AD数据库存储文件：

1. 运行：Run –> %systemroot%\ntds



图中的ntds.dit文件就是AD数据库文件，.log文件就是日志文件(扩展名默认会隐藏)。

2. 运行：Run –> %systemroot%\SYSVOL

查看存储域的SYSVOL文件夹中是否有sysvol文件夹，并且sysvol文件夹和其子文件夹script都必须是共享文件夹。使用net share指令可以查看共享文件夹列表。

C:\Users\Administrator>net share

共享名       资源                            注解

----------------------------------------------------------------------
C$           C:\                             默认共享
IPC$                                         远程 IPC
ADMIN$       C:\Windows                      远程管理
NETLOGON     C:\Windows\SYSVOL\sysvol\jmilk.com\SCRIPTS
                                             Logon server share
SYSVOL       C:\Windows\SYSVOL\sysvol        Logn server share

管理工具

我们可以点击 开始 –> 管理工具来查看与AD DS相关的管理工具



这些管理工具能够为管理ADDS域带来极大的便利。

例如：我们可以通过事件查看器工具来查看事件日志文件，以便检查任何跟ADDS有关的问题。

创建额外域控制器

额外域控制器一般安装在另一台物理服务器(HOST2)中，作为AD DS的域控制器(HOST1)的备份而存在。这两个域控制器都存在于同一个AD根域中，额外域控制器有下面几点好处：

• 改善用户的登录效率(LB)
• 提供容错功能(HA)

在安装额外域控制器时，我们需要将AD数据库由现有的域控制器复制到额外域控制器中。Win08R2提供了两种复制AD数据库的方式。

• 通过网络直接复制，但是当AD数据库非常庞大的话需要很长的时间。
• 通过安装媒体，即通过U盘、DVD等方式来复制AD数据库。

使用Windows窗口界面来安装额外域控制器

Step1：在HOST2能够Ping通HOST1的情况下参照上述的安装方法在HOST2中安装AD域服务。注意安装域控制器和额外域控制器也存在着个别不同的地方。具体如下：

1). 选择现有的林

2). 输入与HOST1域控制器相同的根域名jmilk.com(实际上可以输入林中任意一个域名，安装向导只是通过该域名来找到林中所有的域) –> 点击设置，再输入账户凭证

3). 选择要添加的域控制器的域后点击下一步

4). 选择额外域控制器的AD DS站点

• 站点：是由一个或数个IP子网所组成的。一般站点都是LAN(局域网)内的计算机。

5). 直接点击下一步，如果HOST2没有DNS服务，则需要同时安装以恶DNS服务器。若已经安装了DNS服务，则此选项为默认。

6). 选择通过网络的AD数据库复制方式

7). 完成额外域控制器的安装后重启电脑

使用Powershell脚本来安装额外域控制器

创建Powershell脚本文件InstallReplicaADDSControl.ps1

dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName:jmilk.com /siteName:Default-First-site-Name /InstallDns:yes /confirmGC:yes /createNDSDelegation:no /userDomain:jmilk.com /userName:jmilk.com\administrator /password:fanguiju383.com /databasePath:"%SystemRoot%\NTDS" /logPath:"%SystemRoot%\NTDS" /sysvolpath:"%SystemRoot%\SYSVOL" /safeModeAdminPassword:fanguiju383.com /rebootOnCompletion:yes