2024年1月15日发(作者:)
Active Directory 技术
Active Directory
Active Directory是指Windows 2000网络中的目录服务。它有两个作用:1.目录服务功能。
Active Directory提供了一系列集中组织 管理和访问网络资源的目录服务功能。Active Directory使网络拓扑和协议对用户变得透明,从而使网络上的用户可以访问任何资源(例如打印机),而无需知道该资源的位置以及它是如何连接到网络的。
Active Directory被划分成区域进行管理,这使其可以存储大量的对象。基于这种结构,Active Directory可以随着企业的成长而进行扩展。从仅拥有一台存储几百个对象的服务器的小型企业,扩展为拥有上千台存储数百万个对象的服务器的大型企业。
2.集中式管理。
Active Directory还可以集中管理对网络资源的访问,并允许用户只登陆一次就能访问在Active Directory上的所有资源。
Active Directory 的优点
在 Windows 2000 操作系统中引入 Active Directory 有以下优点:
与 DNS 集成。 Active Directory 使用域名系统 (DNS)。DNS 是一种 Internet 标准服务,它将用户能够读取的计算机名称(例如 )翻译成计算机能够读取的数字 Internet 协议 (IP) 地址(由英文句号分隔的四组数字)。这样,在 TCP/IP 网络计算机上运行的进程即可相互识别并进行连接。
灵活的查询。 用户和管理员如果要通过对象属性快速查找网络中的对象,可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是 Active Directory 用户和计算机管理单元。例如,您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。而且,使用全局编录优化了查找信息的操作。
可扩展性。 Active Directory 是可扩展的;也就是说,管理员既可以在架构中添加新的对象类别,也可在原有的对象类别中添加新属性。架构包含每个对象类别的定义,以及能够存储于目录中的每个对象类别的属性。例如,您可能会为 User 对象添加 Purchase Authority 属性,然后将每个用户的购买权限额保存为用户帐户的一部分。
基于策略的管理。 组策略是在初始化时应用于计算机或用户的配置设置。所有组策略设置都包含在应用于 Active Directory 站点、域或部门的组策略对象 (GPO) 中。GPO 设置决定了对目录对象和域资源的访问权限、用户可使用的域资源(如应用程序),以及这些域资源针对其用途的配置方式。
可伸缩性。 Active Directory 包括一个或多个域,每个域均有一个或多个域控制器,由此,您能够对目录进行自由扩展,从而满足所有网络的需求。多个域可合并成一个域目录树,多个域目录树可合并成一个目录林。在只有一个域的最简单的网络结构中,该域既是一个目录树,又是一个目录林。
信息复制。 Active Directory 使用多主机复制,使您可以更新任何域控制器中的目录。在一个域中部署多个域控制器还提供了容错能力和负载平衡功能。因为这些域控制器包含同样的目录数据,所以,如果域内的一个域控制器速度变慢、停止或出现故障,同一域内的其他域控制器即可提供必要的目录访问功能。
信息安全。在 Windows 2000 操作系统中,用户身份验证和访问控制的管理都与 Active
Directory 完全结合在一起,这是该系统的一项关键性安全功能。Active Directory 将身份验证集中进行。不仅可以定义对目录中每个对象的访问控制,还可定义对每个对象的每个属性的访问
控制。此外,Active Directory 还为安全策略提供了存储区和应用范围。(关于 Active Directory
登录身份验证和访问控制的详细信息,请参阅本文结尾外的“其它信息”。)
互操作性。由于 Active Directory 以标准目录访问协议(例如轻型目录访问协议 (LDAP))为基础,因此它能够与其他采用这些协议的目录服务进行交互操作。有些应用程序编程接口 (API)--例如 Active Directory 服务接口 (ADSI)--允许开发者访问这些协议。
Active Directory部署之完全手册
本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。
首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统,
我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下:
机器名:American
IP:192.168.0.253
子网掩码:255.255.255.0
DNS: 192.168.0.253 (因为我要把这台机器配置成DNS服务器)
点开始—运行 输入dcpromo:
待活动目录安装向导启动:
点击下一步:
这里是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”:
在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”:
既然是第一台域控,那么当然也是选择“在新林中的域”, 然后点“下一步”:
我们把DNS Server与域控制器集成是有很多好处:
1、 基于 Active Directory 功能的多主机更新和增强的安全性。
2、 只要将新的区域添加到 Active Directory 域,区域就会自动复制并同步至新的域控制器。
3、 通过将 DNS 区域数据库的存储集成到 Active Directory 中,可以针对网络简化数据库复制规划。
4、 与标准 DNS 复制相比,目录复制更快捷、更有效。
5、 该目录中只能存储主要区域。DNS 服务器不能在目录中存储辅助区域。因此,它必须在标准文本文件中存储这些数据。如果将所有的区域都存储在 Active Directory 中,Active Directory 的多主机复制模式将不再需要辅助区
域。
OK,我们默认然后点“下一步”:
在这里我们输入我们预先想好的域名:然后点“下一步”:
这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但个人建议还是采用默认的好,省得以后麻烦。在这里我们不要修改NetBIOS名称,直接点击“
下一步”:
在这里要指定域控制器数据库和日志的存放位置,如果不是C盘的空间有问题的话,建议采用默认。直接点击“下一步”:
在这里要指定域控制器为系统卷共享的文件夹存放的位置,注意改文件夹必须放在NTFS磁盘分区上。然后点“下一步”:
第一次部署时总会出现上面那个DNS注册诊断出错的画面,主要是因为虽然安装了DNS,但由于并没有配置它,网络上还没有可用的DNS服务器,所以才会 出现响应超时的现像,所以在这里要选择:“在这台计算机上安装并配置DNS,并将
这台DNS服务器设为这台计算机的首选DNS服务器”。直接点击“下一步”:
这是一个权限的选择项,这里你可以根据你的内部网络环境来进行选择,因为我内部网络中没有低于Windows2000,所以我默认选项,然后点“下一步”:
OK,这里要求你输入还原密码,你可以设置密码,记得一定要记在小本子上啊,否则忘就麻烦了,以后活动目录出问题就没有办法还原活动目录了。
然后点“下一步”:
这是确认画面,请仔细检查刚刚输入的信息是否有误,尤其是域名书写是否正确,因为改域名可不是闹着玩的,如果有的话可以点上一步进入重输,如果确认无误的话,直接点击“下一步”:
这里我们就可以出去抽根烟就等待创建活动目录数据了。
这里千万不要点击 跳过DNS 安装,否则是DNS Server是不会安装的,以后还得我们自己手动安装,比较麻烦。
好了,我们的域控制器终于安装好了,我们点击完成。立即重启域控制器后,大功告成!
我们已经把一台名为Server的成员服务器提升为了域控制器,那我们现在来看一下如何把下面的工作站加入到域。
我们从网络安全性考虑,尽量避免使用域管理员帐号,以免域管理员帐号外泄。所以我们先在域控制器上建立一个委派帐号,登陆到域控制器,运行“”,出现“AD用户和计算机”管理控制台:
先来新建一个用户,展开“”,在“Users”上击右键,点“新建”-“用户”:
然后出现一个新建用户的向导,在这里,我新建了一个名为“Kenya”的用户,并且把密码设为“永不过期”。
这样点“下一步”,直到完成,就可以完成用户的创建。然后在“”上点击右键,先择“委派控制”:
然后出现一个“委派控制向导”:
点击“下一步”:
点击中间的“添加”按钮,并输入刚刚创建的“Kenya”帐号并按“检查名称”来核实:
然后点击“确定”:
再点“下一步”:
此时,我们暂时不需要让该用户有其他管理权限,所以在这里,仅仅选择“将计算机加入到域”。
然后点“下一步”:
最后这里是一个核实的画面,要是没有什么问题的话,直接点“完成”就可以了。
接下来看我如何把Kenya加入到域的,(注:在实验中采用的客户端操作系统是Windows XP专业版,需要大家注意的是Windows XP 的Home版由于针对的是家庭用户,所以不能加入域,大家别弄错了哟。)我们先来设置一下这台XP的网络:
计算机名:Kenya
IP地址: 192.168.0.8
子网掩码:255.255.225.0
网关: 192.168.0.1
DNS服务器:192.168.0.253
设置完网络以后,在“我的电脑”上击右键,选“属性”,点“计算机名”,再点击“更改”。
在这里把“隶属于”改成域,并输入:“”,并点确定,这是会出现如下画面:
输入刚刚在域控上建的那个“Kenya”的帐号、密码,点确定:
出现如上述画面就表示成功加入了域了,然后点确定,点重启就算OK了。
下面我们来用域帐号来登录Kenya这台计算机(注意在登录画面一定要把登陆到选择是域而不是本地登录):
当把客户端加入到域后,如果域控制器处于关闭状态或者出现DOWN机的话,那么,会发现下面的客户机无法登陆到域,所以再建立一台域控制器,用来防止其中一台出现意外损坏的情况是很有必要的,或者是因为网络中的计算机过多。
我们可以再建一台域控制器来实现负载均衡。在Windows2003中第二台域控制器叫额外域控制器:
安装额外域控制器
首先我们来设置额外域控制器的网络:
计算机名:France
IP:192.168.0.254
子网掩码:255.255.255.0
网关:192.168.0.1
DNS:192.168.0.253
然后我们要让France成功的加入到域中来,既然是提升为域控制器,那么DNS组件也是要添加的,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面:
找到“网络服务”,点击下面的“详细信息”进行自定义安装,勾选“域名系统(DNS)”
然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows
Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
安装完DNS以后,点击“开始”-“运行”-“dcpromo”启动活动目录安装向导:
点击“下一步”:
这里仍然是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server
2003的域控制器,我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”:
因为我们是搭建额外域控制器,所以这里要选择的是“现有域的额外域控制器”,然后点“下一步”
在这里,输入域的管理员帐号的密码,在“域”里是默认填好域的DNS全名或NetBios名,因为该计算机之前已经加入了域,所以这里不需要填写了。
点“下一步”:
在这里一定要填入现有域的DNS全名,这里已经默认填好,我们直接点“下一步”:
这里我就不多说了,如没有特殊要求,不要修改“数据库”和“日志文件夹”的存放位置,这里我直接点“下一步”:
Active Directory部署之完全手册
这里也同样,我们默认直接点“下一步”:
同样我们输入密码,点“下一步”开始创建额外域控制器文件:
然后点击“完成”。重启France这台计算机后,我们的额外域控制器就算安装完成了。
建立DHCP服务器
在一个使用TCP/IP协议的网络中,每一台计算机都必须至少有一个IP地址,才能与其他计算机连接通信。为了便于统一规划和管理网络中的IP地址,DHCP(Dynamic Host Configure Protocol,动态主机配置协议)应运而生了。这种网络
服务有利于对校园网络中的客户机IP地址进行有效管理,而不需要一个一个手动指定IP地址。
1. 依次点击“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”,打开相应的对话框。
2. 用鼠标左键点击选中对话框的“组件”列表框中的“网络服务”一项,单击[详细信息]按钮,出现带有具体内容的对话框。在对话框“网络服务的子组件”列表框中勾选“动态主机配置协议(DHCP)”,单击[确定]按钮(根据屏幕提
示放入Windows 2000安装光盘,复制所需要的程序):
3.点击“完成”,在“开始→程序→管理工具”下就会出现“DHCP”一项,说明DHCP服务安装成功。
出于对网络安全管理的考虑,并不是在Windows 2000 Server中安装了DHCP功能后就能直接使用,还必须进行授权操作,未经授权操作的服务器无法提供DHCP服务。对DHCP服务器授权操作的过程如下:
1. 依次点击“开始→程序→管理工具→DHCP”,打开DHCP控制台窗口。
2. 在控制台窗口中,用鼠标左键点击选中服务器名,然后单击右键,在快捷菜单中选中“授权”,此时需要几分钟的等待时间。注意:如果系统长时间没有反应,可以按F5键或选择菜单工具中的“操作”下的“刷新”进行屏幕刷新,或先关闭DHCP控制台,在服务器名上用鼠标右键点击。如果快捷菜单中的“授权”已经变为“撤消授权”,则表示对DHCP服务器授权成功。此时,最明显的标记是服务器名前面红色向上的箭头变成了绿色向下的箭头。这样,这台被授权的DHCP服务器就有分配IP的权利了。
假如箭头没有变为绿色,则可以尝试重启DHCP服务。
当DHCP服务器被授权后,还需要对它设置IP地址范围。通过给DHCP服务器设置IP地址范围后,当DHCP客户机在向DHCP服务器申请IP地址时,DHCP服务器就会从所设置的IP地址范围中选择一个还没有被使用的IP地址进行动态分配。添加IP
地址范围的操作如下:
1. 点击“开始→程序→管理工具→DHCP”,打开DHCP控制台窗口。
2. 选中DHCP服务器名,在服务器名上点击鼠标右键,在出现的快捷菜单中选择“新建作用域”:
在出现的窗口中单击[下一步]按钮:
在出现的对话框中输入相关信息,单击[下一步]按钮:
3.根据自己网络环境中的实际情况所使用的IP段,输入作用域分配的地址范围,然后单击[下一步]按钮
4.在此输入需要排除的IP地址范围。由于我们的网络中有很多网络设备需要指定静态IP地址(即固定的IP地址),如服务器、交换机、路由器等,此时必须把这些已经分配的IP地址从DHCP服务器的IP地址范围中排除,否则会引起IP地址的冲突,导致网络故障。单击[下一步]按钮:
5. 单击[下一步]按钮,在出现的“租约期限”窗口中可以设置IP地址租期的时间值。一般情况下,网络环境中的IP地址比较紧张的时候,可以把租期设置短一些,而IP地址比较宽松时,可以把租期设置长一些。
设置完后,单击[下一步]按钮,出现“配置DHCP选项”窗口。
6. 在“配置DHCP选项”窗口中,如果选择“是,我想现在配置这些选项”,此时可以对DNS服务器、默认网关、WINS服务器地址等内容进行设置;如果选择“否,我想稍后配置这些选项”,可以在需要这些功能时再进行配置。此处,我们选择前者,单击[下一步]按钮。
7. 在出现的窗口中,常常输入网络中路由器的IP地址(即默认网关的IP地址)或是NAT服务器(网络地址转换服务器)的IP地址。这样,客户机从DHCP服务器那里得到的IP信息中就包含了默认网关的设定了。单击[下一步]按钮:
8.在此对话框中设置有关客户机DNS域的名称,同时输入DNS服务器的名称和IP地址。然后单击[添加]按钮进行确认。单击[下一步]按钮:
在出现的窗口中进行WINS服务器的相关设置,由于我这里没有WINS服务器,所有我留空。
设置完后单击[下一步]按钮:
9. 在出现的窗口中,选择“是,我想现在激活此作用域”后,单击[下一步]按钮:
10.我们点击[完成]按钮,此时,就可以在DHCP管理器中看到我们刚刚建好的作用域。
OK,我们DHCP Server 已经配置好了,下面我们在客户端Kenya上进行测试。
首先我们把客户端的IP已经DNS设置为自动获取:
然后我们点击开始-运行-输入CMD-输入IPCONFIG /ALL
OK,我们看到Kenya这台客户端的IP、子网掩码、网关、DHCP Server、DNS Server都是自动获取的。到此我们DHCP服务器已经配置完成。
三招确认活动目录运行是否正常
第一招:检查活动目录数据库文件与SYSVOL文件夹
记得笔者在以前的文章中,谈到过活动目录的SYSVOL文件夹的重要性。在这个文件夹中,会存储一些重要的信息,如我们后续建立的组策略等等。为了安全起见,我们需要手工检查这个文件夹的准确性。一般来说,SYSVOL文件夹下有四个文件夹,其中,sysvol文件夹必须为共享文件夹。SYSVOL文件夹的默认位置在%systemroot%SYSVOL文件夹内。所以,我们可以在开始、运行中,直接输入%systemroot%SYSVOL这个路径,来打开SYSVOL文件夹,看其下面是否有四个文件夹,并且,sysvol文件夹是否是共享。若不符合这些特征的话,则说明域控制器安装有问题,需要进一步查出问题的原因,否则的话,域控制器运行可能会不正常。
活动目录数据库文件与日志文件也是活动目录运行的基础文件之一。特别是日志文件,是我们后续排除故障的重要依据。所以,我们在域控制器安装以后,要确保域控制器已经正确安装了活动目录数据库文件与日志文件。一般,我们也可以通过手工来检查这些文件是否安装准确。如我们可以在开始、运行处,直接输入%systemroot%ntds,打开ntds文件夹,然后来检查文件夹与文件是否被正确建立。
第二招:利用NSLOOKUP命令来检查SRV纪录
为了活动目录能够正常的工作,DNS服务器必须支持服务定位(SRV)资源记录,资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址。也就是说,当SRV纪录不能够被正确定义时,活动目录的运行将会受到非常重大的不利影响。
要如何验证SRV纪录是否准确呢?我们可以利用NSLOOKUP命令来判断,具体方法如下:
1、NSLOOKUP命令是一个命令行程序,是用来查询域名信息的一个很重要的命令。我们可以在开始、运行处,输入CMD命令,进入到命令行界面。一般情况下,在这个界面中就可以直接调用NSLOOKUP命令。
2、然后在提示符下面输入nslookup命令。不需要输入完整的路径,直接输入该命令即可。然后,设置nslookup的类型,利用命令set type=srv命令来进行。
3、然后,我们输入_ldap.__msdcs.域名,从显示出来的结果中,我们可以查看域控制器是否已经成功的将其扮演LDAP服务器角色的信息登记到了DNS服务器内。
LDAP是一个轻量目录协议,他的作用就是使得每个用户能够定位组织、个体以及其它稳拿滚落资源,如打印机等设备的软件协议。LDAP使你能寻找一个个体而不需要知道何处他们的位置,虽然还有其它信息能帮助你查。LDAP 目录被组织成一个简单的“树”型层结构,由以下级别组成。最上面是,根目录 ,又称开始地或树的源,下面的分支都从这里出来。个体,如用户、共享文件,和共享资源,比如打印。LDAP 目录可能分布在许多服务器之中。各台服务器可能有阶段性地同步总目录的一个复制的版本。LDAP 服务器被称为目录系统代理。LDAP 服务器从用户处得到一个请求并负责完成这个请求,如果有必要的话还会把它传送给目录系统代理,通过它对其它目录系统代理保持同步是非常有必要的,其保证为用户提供一个协调应答。
可见,LDAP协议对于活动目录的重要性。故需要通过NSLOOKUP命令来检查这个协议配置的准确性。
4、在有必要的情况下,还可以利用其它类似的命令来查看其它的SRV纪录,最常见的可以利用_tcp来查询。 _TCP是SRV中的一个重要的分组。在这个分组中,收集了DNS区域中的所有域控制器。如果客户端找不到它们特定的站点,或者具有本地SRV记录的任何域控制器都没有响应,需要寻找网络中其他地方的域控制器,就应该将这些客户端放到这个分组中。
在实际工作中,我们最常见的错误就是在DNS服务器中找不到SRV纪录。如当我们建立了DNS服务器与域控制器之后,若部署DNS服务器或者域控制器的主机IP地址属性中,在主DNS地址中必须填写这台DNS服务器的IP地址。否则的话,在DNS服务器中将找不到这条SRV纪录。当出现这个问题的时候,我们不需要重新安装活动目录,而只需要把IP地址属性中的主DNS纪录改过来,然后,重新启动NETLOGON服务即可。
另外,以前我在Windows2000的服务器系统上部署域控制器的时候,也发现过SRV纪录丢失的情况。经过我的测试,当域控制器或者DNS服务器配置不当的时候,就可能造成2000环境下的SRV纪录出现丢失的情况。如当DNS服务器被配置为动态获得IP地址,也就是说,其是DHCP服务器的客户端,而不是固定IP地址,就会出现SRV纪录丢失;又或者DNS中该区域不支持动态更新,或者DNS区域具有不同于活动目录域名的名称时,也会出现这种错误。一般在这种情况下,我们也不需要重新安装活动目录,而只需要把配置改正确即可,如配置DNS服务器使之采用静态的IP地址;又或者在活动目录命名中创建正向搜索区域,并且设置为自动更新。然后重新启动以下Netlogon服务即可。重新启动Netlogon服务,会强迫域控制器重新注册适当的SRV纪录。
另外,反向搜索不是必须的。如我们有时候在运行NSLOOKUP命令的时候,会出现timedout的错误提示。则表示没有在DNS服务器中建立一个用来存储此DNS服务器的PTR纪录的反向查找区域。一般来说,可以不用理睬这个错误信息。没有反向搜索纪录,不会影响活动目录的运行。
第三招:SRV登记失败问题
我在安装活动目录的那篇文章中,谈到可以先建立DNS服务器,再建立域控制器;也可以先建立域控制器,然后再建立DNS服务器。若我们是先建域控制器再顺便建立DNS服务器的话,则在活动目录安装的过程中,会自动在此DNS服务器内建立一个支持这个域的区域。但是,如果我们在建立域控制器的过程中,采用其它的DNS服务器,则该DNS服务器内需要一个用来支持活动目录域的区域。如果目前DNS服务器内没有这个区域,则必须在建立域控制器前,预先添加这个域。
当出现一些特定的情况,无法在DNS服务器上正常添加域时,可以手工进行登记。当然,如此处理的话是有前提条件的。一般情况下,只有因为域控制器IP地址属性出现错误、网络连接出现问题或者DNS配置错误的情况下,才可以利用这种方法来处理。
如果是因为域控制器的IP地址设置出现了问题或者主机名称没有被正确登记到DNS服务器内的话,则可以到该域控制器上,进行手工登记。如可以利用registerdns参数进行定义。
总之,在域控制器安装完毕后,需要确保其安装的准确性。否则的话,我们后续的工作可能都会白做。再说,验证其安装的准确性,也不是一件很麻烦的事情。另外,最好能够在活动配置完成后,对域控制器进行备份。防止因为后续配置的错误,导致灾难性的损失,从而需要重新安装活动目录。
发布评论