AD域部署學(xué)習(xí)課件第1頁/共57頁安裝活動目錄配置主域控域控安裝成功后檢查及處理

添加附加域控實現(xiàn)容錯域控制器的恢復(fù)將計算機(jī)加入域

及應(yīng)用組策略的基本應(yīng)用第2頁/共57頁X第一臺域控制器DC1.IP:57SubGateway:DNS:57第二臺備份（額外）域控制器DC2.IP:58SubGateway:DNS57客戶端IP:60SubGateway:DNS57第3頁/共57頁環(huán)境準(zhǔn)備域名第一臺域控制器DC1.IP:57DNS:57第二臺備份（額外）域控制器DC2.IP:58DNS:57客戶端IP:60DNS:57網(wǎng)關(guān)

子網(wǎng)掩碼

第4頁/共57頁創(chuàng)建域的必備條件DNS域名：先要想好一個符合dns格式的域名，如DNS服務(wù)器：域中需要將自己注冊到DNS服務(wù)器內(nèi)，讓其他計算機(jī)通過DNS服務(wù)器來找到這臺機(jī)器，因此需要一臺可支持AD的DNS服務(wù)器，并且支持動態(tài)更新（如果現(xiàn)在沒有DNS服務(wù)器，則可以在創(chuàng)建域的過程中，選擇這臺域控上安裝DNS服務(wù)器）注：AD需要一個SYSVOL文件夾來存儲域共享文件（例如域組策略有關(guān)的文件），該文件夾必須位于NTFS磁盤，系統(tǒng)默認(rèn)創(chuàng)建在系統(tǒng)盤，為了性能建議按照到其他分區(qū)第5頁/共57頁創(chuàng)建網(wǎng)絡(luò)中的第一臺域控制器

先修改ip地址，并且將dns指向自己，并且修改計算機(jī)名為DC1，升級成域控后，機(jī)器名稱會自動變成第6頁/共57頁安裝域功能

添加角色和功能第7頁/共57頁選擇服務(wù)器

在服務(wù)器池中選擇DC1第8頁/共57頁選擇域服務(wù)

AD域服務(wù)

第9頁/共57頁將此服務(wù)器提升為域控制器第10頁/共57頁添加新林

此林根域名不要與對外服務(wù)器的DNS名稱相同，否則未來可能會有兼容問題，如對外服務(wù)的DNSURL為http://，則內(nèi)部的林根域名就不能是.域名X第11頁/共57頁

選擇林功能級別，域功能級別此處我們選擇的為win2012，此時域功能級別只能是win2012，如果選擇其他林功能級別，還可以選擇其他域功能級別第12頁/共57頁默認(rèn)會直接在此服務(wù)器上安裝DNS服務(wù)器第一臺域控制器必須是全局編錄服務(wù)器的角色第一臺域控制器不可以是只讀域控制器（RODC）這個角色是win2008時新出來的功能設(shè)置目錄還原密碼。目錄還原模式是一個安全模式，可以開機(jī)進(jìn)入安全模式時修復(fù)AD數(shù)據(jù)庫，但是必須使用此密碼第13頁/共57頁出現(xiàn)此警告無需理會第14頁/共57頁系統(tǒng)會自動創(chuàng)建一個netbios名稱，可以更改第15頁/共57頁數(shù)據(jù)庫文件夾：用了存儲AD數(shù)據(jù)庫

日志文件文件夾：用了存儲AD的更改記錄，此記錄可以用來修復(fù)AD數(shù)據(jù)庫

SYSVOL文件夾：用了存儲域共享文件（例如組策略）

如果計算機(jī)內(nèi)有多個硬盤，建議將數(shù)據(jù)庫與日志文件夾分別設(shè)置到不同的硬盤內(nèi)，分兩個硬盤可以提供運(yùn)行效率，而且分開存儲可以避免兩份數(shù)據(jù)同時出現(xiàn)問題，以提高修復(fù)AD的能力。（不過我認(rèn)為現(xiàn)在都是RAID模式了沒必要分開，和操作系統(tǒng)分區(qū)分開就可以了）第16頁/共57頁先決條件檢查，安裝完后自動重啟第17頁/共57頁檢查DNS服務(wù)器內(nèi)的記錄是否完備

域控會將自己扮演的角色注冊到DNS服務(wù)器內(nèi)，以便讓其他計算機(jī)能夠通過DNS服務(wù)器來找到域控。因此先檢查DNS服務(wù)器內(nèi)是否已經(jīng)存在這些記錄。需要用域管理員賬戶來登陸xinagj\administrator.第18頁/共57頁默認(rèn)會有一個的區(qū)域，主機(jī)記錄表示域控已經(jīng)正確的將其主機(jī)名與IP地址注冊到DNS服務(wù)器內(nèi)第19頁/共57頁如果域控制器已經(jīng)正確的將家里注冊到dns服務(wù)器，應(yīng)該還會有_tcp_udp等文件夾。

單擊_tcp文件夾后可以看到數(shù)據(jù)類型為服務(wù)位置(SRV)的_ldap記錄，表示已經(jīng)正確的注冊為域控制器。

還能看到_gc記錄全局編錄也是由所扮演。第20頁/共57頁排除注冊失敗的問題如果域成員本身的設(shè)置或者網(wǎng)絡(luò)問題，會造成無法將數(shù)據(jù)注冊到DNS服務(wù)器。如果有成員計算機(jī)的主機(jī)與ip沒有正確注冊到DNS服務(wù)器，可以到此機(jī)器上運(yùn)行ipconfig/registerdns來手動注冊。完成后，到DNS服務(wù)器檢查是否已有正確記錄，例如，ip地址60則此區(qū)域是否有對應(yīng)的a記錄和ip。如果發(fā)現(xiàn)域控制器沒有將其扮演的角色注冊到dns服務(wù)器，也就是沒有_tcp文件夾與記錄，到服務(wù)器中重啟netlogon服務(wù)netstopnetlogon&&netstartnetlogon第21頁/共57頁創(chuàng)建更多的域控制器如果一個域內(nèi)有多個域控制器，可以有如下好處.提高用戶登錄的效率：如果同時有多臺域控制器對客戶提供服務(wù)，可以分擔(dān)審核用戶登錄身份（賬戶與密碼）的負(fù)擔(dān)，讓用戶登錄效率更佳。排錯功能：如果有域控制器發(fā)生故障，此時依然能有其他正常的域控制器繼續(xù)提供域服務(wù)器。我們將升級為域控制器首先修改計算機(jī)名為DC2，改ip如圖已改好第22頁/共57頁修改計算機(jī)名IP

DNS指向DC1后面一臺和前面安裝是一樣的第23頁/共57頁這里不同，將域控添加到現(xiàn)有域，輸入域名，并且輸入現(xiàn)有權(quán)限添加域控的賬戶xiangj\administrator的密碼,只有EnterpriseAdmins和DomainAdmins內(nèi)的用戶有權(quán)限創(chuàng)建其他域控制器

4123第24頁/共57頁這里可以指定DC1,也可以默認(rèn)第25頁/共57頁安裝完成后機(jī)器會重啟，然后在檢查DNS記錄

修改dns指向

修改dc1和dc2的dns互相將各自的首選dns指向?qū)Ψ接蚩厥走x指向自己DC1DC2DC1第26頁/共57頁容錯實驗

下線DC1域控器第27頁/共57頁主域服務(wù)器的更換或者重裝恢復(fù)

更換新的服務(wù)器替換老的服務(wù)器，將舊的DC1進(jìn)行降級，選擇添加角色和功能第28頁/共57頁啟動/刪除角色和功能向?qū)У?9頁/共57頁第30頁/共57頁將此域控制器降級第31頁/共57頁不用選擇強(qiáng)制刪除不用選第32頁/共57頁繼續(xù)刪除，輸入新的管理員密碼

第33頁/共57頁主域控制器降級完成后下線DC1服務(wù)器。降級后原有的DC1服務(wù)器在DC2的域控服務(wù)器里變能普通服務(wù)器第34頁/共57頁準(zhǔn)備新的服務(wù)器

將這臺服務(wù)器名稱改為DC1將IP地址設(shè)置為原有的DC1的IP地址，注意：但首選DNS服務(wù)器設(shè)置為DC2的IP地址，備用DNS設(shè)置本機(jī)地址57第35頁/共57頁正常安裝AD及DNS服務(wù)，對域里的計算機(jī)沒有任何影響。新增加的服務(wù)器AD目錄里數(shù)據(jù)同步正常第36頁/共57頁域中操作遷移主控

操作遷移RID、PDC、基礎(chǔ)結(jié)構(gòu)主控第37頁/共57頁在新DC1上查看主控位置

RID、PDC、

基礎(chǔ)結(jié)構(gòu)主控位置在DC2上，點擊更改，將RID主控遷移到新DC1上第38頁/共57頁域命名主控遷移

打開操作主機(jī)

點擊更改，將域命名操作主機(jī)更改到新的DC1上

遷移成功第39頁/共57頁ActiveDirectory架構(gòu)主控遷移

運(yùn)行命令：regsvr32.exe%systemroot%\system32\schmmgmt.dll

（regsvr32c:\windows\system32\schmmgmt.dll)

輸入mmc打開控制臺，添加ActiveDirectory架構(gòu)第40頁/共57頁更改ActiveDirectory域控制器,連接到新的DC1上去第41頁/共57頁點擊更改－更改成功第42頁/共57頁主域控制已成功移到DC1第43頁/共57頁4、命令模式遷移主控

在主控服務(wù)器故障時，可以使用命令來更換主控

命令：ntdsutilNtdsutilRolesConnections鍵入：connecttoserverdc1連接到新的DC1服務(wù)器上接著鍵入quit退出連接界面依次輸入標(biāo)記里的命令，爭奪遷移相應(yīng)的主控

第44頁/共57頁第45頁/共57頁第46頁/共57頁將客戶端WIN7計算機(jī)加入域修修修改DNS地址第47頁/共57頁如果報錯，請檢查dns是否指向域控，防火墻。

完成后我們可以使用域賬戶xiangj\administrator登錄此臺電腦

第48頁/共57頁脫離域反操作即可第49頁/共57頁

委派用戶遠(yuǎn)程管理

我們有時管理員管理不過來是可以將開賬戶的權(quán)限委派給其他各個部門，委派給他們后，他們當(dāng)然是不能登陸域控的，這時就要在他們的計算機(jī)上安裝ad管理工具

Windowsserver2012

添加功能中，添加遠(yuǎn)程服務(wù)器管理工具

第50頁/共57頁創(chuàng)建組織單位與域用戶賬戶

可以將用戶賬戶創(chuàng)建到任何一個容器或組織單位（OU）內(nèi)。先創(chuàng)建信息部的OU.然后再創(chuàng)建用戶。

創(chuàng)建組織單位

點擊ActiveDirectory管理中心

用戶UPN登錄：用戶可以利用這個域電子郵箱格式相同的名稱（001@）來登錄域，此名稱被稱為UserPrincipalName（UPN）。此名在林中是唯一的。

用戶名SamAccountName登錄：用戶也可以利用此名稱（xiangj\001）來登錄。其中xiangj是NetBios名。同一個域中此名稱必須是唯一的。WindowsNTWindows98等舊版系統(tǒng)不支持UPN，因此在這些計算機(jī)上登錄時，只能使用此登錄名。

第51頁/共57頁接下來在DC1上創(chuàng)建用戶并委派--打開AD用戶和計算機(jī)這里是委派張峰001這個用戶管理信息部具體功能可指定，如添加刪除用戶等第52頁/共57頁Windows8和W