部署與管理ActiveDirectory域服務(wù)項(xiàng)目3部署與管理ActiveDirectory域服務(wù)項(xiàng)目背景公司內(nèi)部地辦公網(wǎng)絡(luò)原是基于工作組方式地,近期由于公司業(yè)務(wù)發(fā)展,員激增,基于方便與網(wǎng)絡(luò)安全管理地需要,考慮將基于工作組地網(wǎng)絡(luò)升級(jí)為基于域地網(wǎng)絡(luò)?，F(xiàn)在需要將一臺(tái)或多臺(tái)計(jì)算機(jī)升級(jí)為域控制器,并將其它所有計(jì)算機(jī)加入域成為成員服務(wù)器。項(xiàng)目拓?fù)漤?xiàng)目3部署與管理ActiveDirectory域服務(wù)ActiveDirectory域服務(wù)有關(guān)地基本概念項(xiàng)目設(shè)計(jì);項(xiàng)目準(zhǔn)備。部署與管理ActiveDirectory域服務(wù)項(xiàng)目實(shí)施項(xiàng)目小結(jié);習(xí)題與實(shí)訓(xùn)。03項(xiàng)目實(shí)施01項(xiàng)目基礎(chǔ)知識(shí)02設(shè)計(jì)及準(zhǔn)備04習(xí)題與實(shí)訓(xùn)項(xiàng)目基礎(chǔ)知識(shí)ActiveDirectory域服務(wù)有關(guān)地基本概念項(xiàng)目基礎(chǔ)知識(shí)ActiveDirectory域服務(wù)有關(guān)地基本概念01項(xiàng)目基礎(chǔ)知識(shí)活動(dòng)目錄及意義活動(dòng)目錄就是Windows網(wǎng)絡(luò)地目錄服務(wù)（DirectoryService）,即活動(dòng)目錄域服務(wù)（ActiveDirectoryDomainServices,ADDS）。意義:簡化管理;安全性;改進(jìn)地性能與可靠性。項(xiàng)目基礎(chǔ)知識(shí)ActiveDirectory域服務(wù)有關(guān)地基本概念01項(xiàng)目基礎(chǔ)知識(shí)命名空間（NameSpace）是一個(gè)界定好地區(qū)域（BoundedArea）,在此區(qū)域內(nèi),我們可以利用某個(gè)名稱找到與此名稱有關(guān)地信息。例如,一本電話簿就是一個(gè)命名空間項(xiàng)目基礎(chǔ)知識(shí)命名空間ActiveDirectory域服務(wù)有關(guān)地基本概念01項(xiàng)目基礎(chǔ)知識(shí)ADDS內(nèi)地資源以對(duì)象（Objects）地形式存在,例如,用戶,計(jì)算機(jī)等都是對(duì)象,而對(duì)象是通過屬性（Atributes）來描述其特征地,也就是對(duì)象本身是一些屬性地集合。項(xiàng)目基礎(chǔ)知識(shí)對(duì)象與屬性ActiveDirectory域服務(wù)有關(guān)地基本概念01項(xiàng)目基礎(chǔ)知識(shí)容器（Container）與對(duì)象類似,它也有自己地名稱,也是一些屬性地集合,不過容器內(nèi)可以包含其它對(duì)象（如用戶,計(jì)算機(jī)等）,也可以包含其它容器。項(xiàng)目基礎(chǔ)知識(shí)容器ActiveDirectory域服務(wù)有關(guān)地基本概念01項(xiàng)目基礎(chǔ)知識(shí)可重新啟動(dòng)地ADDSADDS,活動(dòng)目錄域服務(wù)?？芍匦聠?dòng)地ADDS（RestartableADDS）即只要還有其它域控制器在線,就仍然可以在這臺(tái)ADDS服務(wù)停止地域控制器上利用域用戶賬戶登錄。項(xiàng)目基礎(chǔ)知識(shí)ActiveDirectory域服務(wù)有關(guān)地基本概念01項(xiàng)目基礎(chǔ)知識(shí)WindowsServer2016具備ActiveDirectory回收站功能,它讓系統(tǒng)管理員不需要進(jìn)入目錄服務(wù)還原模式,就可以快速恢復(fù)被刪除地對(duì)象。項(xiàng)目基礎(chǔ)知識(shí)ActiveDirectory回收站ActiveDirectory域服務(wù)有關(guān)地基本概念01項(xiàng)目基礎(chǔ)知識(shí)1,多主機(jī)復(fù)制模式2,單主機(jī)復(fù)制模式項(xiàng)目基礎(chǔ)知識(shí)ADDS地復(fù)制模式ActiveDirectory域服務(wù)有關(guān)地基本概念01項(xiàng)目基礎(chǔ)知識(shí)架構(gòu)（Schema）,域組織單位（OrganizationalUnit,OU）域目錄樹,域目錄林站點(diǎn)與目錄分區(qū)（DirectoryPartition）項(xiàng)目基礎(chǔ)知識(shí)活動(dòng)目錄地邏輯結(jié)構(gòu)ActiveDirectory域服務(wù)有關(guān)地基本概念01項(xiàng)目基礎(chǔ)知識(shí)域控制器只讀域控制器（Read-OnlyDomainController,RODC）全局編錄服務(wù)器（GlobalCatalog,GC）項(xiàng)目基礎(chǔ)知識(shí)活動(dòng)目錄地物理結(jié)構(gòu)ActiveDirectory域服務(wù)有關(guān)地基本概念01項(xiàng)目基礎(chǔ)知識(shí)項(xiàng)目設(shè)計(jì)及準(zhǔn)備部署與管理ActiveDirectory域服務(wù)地項(xiàng)目設(shè)計(jì)及準(zhǔn)備項(xiàng)目設(shè)計(jì)及準(zhǔn)備項(xiàng)目設(shè)計(jì);項(xiàng)目準(zhǔn)備。02設(shè)計(jì)及準(zhǔn)備項(xiàng)目設(shè)計(jì)

將第一臺(tái)WindowsServer2016升級(jí)為域控制器并建立域（網(wǎng)絡(luò)主DC）

架設(shè)此域地第2臺(tái)域控制器（通過網(wǎng)絡(luò)安裝）

第3臺(tái)域控制器（通過網(wǎng)絡(luò)安裝RODC）

第4臺(tái)域控制器（通過介質(zhì)安裝）

一臺(tái)成員服務(wù)器（添加成員）項(xiàng)目設(shè)計(jì)及準(zhǔn)備項(xiàng)目設(shè)計(jì);項(xiàng)目準(zhǔn)備。02設(shè)計(jì)及準(zhǔn)備項(xiàng)目準(zhǔn)備●建立第一個(gè)新林。●建立此新林地第一個(gè)域樹?！窠⒋诵掠驑涞氐谝粋€(gè)域?！窠⒋诵掠虻氐谝慌_(tái)域控制器?！裼?jì)算機(jī)名稱DC1自動(dòng)更改DC1.long.項(xiàng)目設(shè)計(jì)及準(zhǔn)備項(xiàng)目設(shè)計(jì);項(xiàng)目準(zhǔn)備。02設(shè)計(jì)及準(zhǔn)備超過一臺(tái)計(jì)算機(jī)參與部署環(huán)境時(shí),一定要保證各計(jì)算機(jī)間地通信暢通,否則無法進(jìn)行后續(xù)地工作小提示項(xiàng)目實(shí)施部署與管理ActiveDirectory域服務(wù)項(xiàng)目實(shí)施項(xiàng)目實(shí)施任務(wù)5服務(wù)器角色任務(wù)3登錄域任務(wù)4額外DC任務(wù)2域成員任務(wù)6子域任務(wù)7多臺(tái)DC任務(wù)1第一臺(tái)DC項(xiàng)目實(shí)施任務(wù)1創(chuàng)建第一個(gè)域安裝ActiveDirectory域服務(wù)安裝ADDS驗(yàn)證ActiveDirectory域服務(wù)地安裝驗(yàn)證結(jié)果提升服務(wù)器為DC安裝活動(dòng)目錄030102項(xiàng)目實(shí)施任務(wù)1創(chuàng)建第一個(gè)域"添加角色與功能向?qū)?界面選擇服務(wù)器角色1．安裝ActiveDirectory域服務(wù)項(xiàng)目實(shí)施任務(wù)1創(chuàng)建第一個(gè)域"確認(rèn)安裝所選內(nèi)容"窗口ActiveDirectory域服務(wù)安裝成功1．安裝ActiveDirectory域服務(wù)項(xiàng)目實(shí)施任務(wù)1創(chuàng)建第一個(gè)域2．安裝活動(dòng)目錄將此服務(wù)器提升為域控制器項(xiàng)目實(shí)施任務(wù)1創(chuàng)建第一個(gè)域2．安裝活動(dòng)目錄部署配置設(shè)置林功能級(jí)別與域功能級(jí)別項(xiàng)目實(shí)施任務(wù)1創(chuàng)建第一個(gè)域2．安裝活動(dòng)目錄"DNS選項(xiàng)"窗口"其它選項(xiàng)"窗口項(xiàng)目實(shí)施任務(wù)1創(chuàng)建第一個(gè)域2．安裝活動(dòng)目錄指定AD

DS數(shù)據(jù)庫,日志文件與SYSVOL文件夾地位置"先決條件檢查"窗口項(xiàng)目實(shí)施任務(wù)1創(chuàng)建第一個(gè)域2．安裝活動(dòng)目錄"SamAccountName登錄"與"UPN登錄"對(duì)話框項(xiàng)目實(shí)施任務(wù)1創(chuàng)建第一個(gè)域3．驗(yàn)證ActiveDirectory域服務(wù)地安裝（1）查看計(jì)算機(jī)名（2）查看管理工具（3）查看活動(dòng)目錄對(duì)象（4）查看ActiveDirectory數(shù)據(jù)庫（5）查看DNS記錄注冊(cè)SRV記錄項(xiàng)目實(shí)施任務(wù)1創(chuàng)建第一個(gè)域3．驗(yàn)證ActiveDirectory域服務(wù)地安裝stoplogonstartlogon重新啟動(dòng)logon服務(wù)項(xiàng)目實(shí)施任務(wù)2將MS1加入long.域?qū)S1加入long.域加入long.域后地系統(tǒng)屬性將MS1提升為long.地成員服務(wù)器項(xiàng)目實(shí)施任務(wù)3利用已加入域地計(jì)算機(jī)登錄利用本地賬戶登錄本地登錄利用域用戶賬戶登錄登錄域0102項(xiàng)目實(shí)施任務(wù)3利用已加入域地計(jì)算機(jī)登錄1．利用本地賬戶登錄本地用戶登錄項(xiàng)目實(shí)施任務(wù)3利用已加入域地計(jì)算機(jī)登錄2．利用域用戶賬戶登錄域用戶登錄項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODCRODC委派及密碼策略修改RODC委派利用網(wǎng)絡(luò)直接安裝額外DC第二臺(tái)DC利用安裝介質(zhì)安裝額外DC介質(zhì)安裝利用網(wǎng)絡(luò)直接復(fù)制安裝RODCRODC04030102項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC1．利用網(wǎng)絡(luò)直接復(fù)制安裝額外控制器部署配置DC1,DC2連網(wǎng)模式都是"僅主機(jī)模式",首先要保證2臺(tái)服務(wù)器通信暢通。項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC1．利用網(wǎng)絡(luò)直接復(fù)制安裝額外控制器"域控制器選項(xiàng)"窗口"DNS選項(xiàng)"窗口項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC1．利用網(wǎng)絡(luò)直接復(fù)制安裝額外控制器"其它選項(xiàng)"窗口"路徑"窗口"先決條件檢查"窗口項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC2．利用網(wǎng)絡(luò)直接復(fù)制安裝RODCDC1,DC2與DC3連網(wǎng)模式都是"僅主機(jī)模式",首先要保證3臺(tái)服務(wù)器通信暢通。部署配置項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC2．利用網(wǎng)絡(luò)直接復(fù)制安裝RODC選"只讀域控制器（RODC）選項(xiàng)檢查DNS服務(wù)器項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC2．利用網(wǎng)絡(luò)直接復(fù)制安裝RODCActiveDirectory用戶與計(jì)算機(jī)項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC3．利用安裝介質(zhì)來安裝額外域控制器（1）制作安裝介質(zhì)項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC3．利用安裝介質(zhì)來安裝額外域控制器（2）安裝額外域控制器選"從介質(zhì)安裝"復(fù)選框項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC4．修改RODC地委派與密碼復(fù)制策略設(shè)置ActiveDirectory用戶與計(jì)算機(jī)項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC4．修改RODC地委派與密碼復(fù)制策略設(shè)置"密碼復(fù)制策略"與"管理者"選項(xiàng)卡項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC4．修改RODC地委派與密碼復(fù)制策略設(shè)置ActiveDirectory管理心地DomainControllers"密碼復(fù)制策略"選項(xiàng)卡項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC5．驗(yàn)證額外域控制器運(yùn)行正常DC1是第一臺(tái)域控制器,DC2服務(wù)器已經(jīng)提升為額外域控制器,現(xiàn)在可以將成員服務(wù)器MS1地首選DNS指向DC1域控制器,備用DNS指向DC2額外域控制器,當(dāng)DC1域控制器發(fā)生故障時(shí),DC2額外域控制器可以負(fù)責(zé)域名解析與身份驗(yàn)證等工作,從而實(shí)現(xiàn)不間斷服務(wù)。項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC5．驗(yàn)證額外域控制器運(yùn)行正常利用DC1域控制器地"ActiveDirectory用戶與計(jì)算機(jī)"建立供測試用地域用戶domainuser1（新建用戶時(shí),姓名與用戶登錄名都是domainuser1）。刷新DC2,DC3地"ActiveDirectory用戶與計(jì)算機(jī)"地users容器,發(fā)現(xiàn)domainuser1幾乎同時(shí)同步到了這兩臺(tái)域控制器上。在MS1上使用域賬戶"domainuser1"登錄驗(yàn)證項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC5．驗(yàn)證額外域控制器運(yùn)行正常"ActiveDirectory站點(diǎn)與服務(wù)"窗口取消"全局編錄"項(xiàng)目實(shí)施任務(wù)4安裝額外地域控制器與RODC5．驗(yàn)證額外域控制器運(yùn)行正常查看"DC類型"項(xiàng)目實(shí)施任務(wù)5轉(zhuǎn)換服務(wù)器角色DC隆級(jí)為成員服務(wù)器DC降為成員成員服務(wù)器降級(jí)為獨(dú)立服務(wù)器成員降為獨(dú)立0102項(xiàng)目實(shí)施任務(wù)5轉(zhuǎn)換服務(wù)器角色1．域控制器降級(jí)為成員服務(wù)器（1）刪除活動(dòng)目錄注意要點(diǎn)①如果該域內(nèi)還有其它域控制器,則該域會(huì)被降級(jí)為該域地成員服務(wù)器。②如果這個(gè)域控制器是該域地最后一個(gè)域控制器,則被降級(jí)后,該域內(nèi)將不存在任何域控制器。（被降級(jí)為獨(dú)立服務(wù)器）③如果這臺(tái)域控制器是"全局編錄",則降級(jí)后,不再擔(dān)當(dāng)"全局編錄"地角色,因此要先確定網(wǎng)絡(luò)上是否還有其它"全局編錄"域控制器。如果沒有,則要先指派一臺(tái)域控制器來擔(dān)當(dāng)"全局編錄"地角色。（2）刪除活動(dòng)目錄項(xiàng)目實(shí)施任務(wù)5轉(zhuǎn)換服務(wù)器角色1．域控制器降級(jí)為成員服務(wù)器（1）刪除活動(dòng)目錄注意要點(diǎn)（2）刪除活動(dòng)目錄刪除角色與功能項(xiàng)目實(shí)施任務(wù)5轉(zhuǎn)換服務(wù)器角色1．域控制器降級(jí)為成員服務(wù)器（1）刪除活動(dòng)目錄注意要點(diǎn)（2）刪除活動(dòng)目錄刪除服務(wù)器角色與功能驗(yàn)證結(jié)果項(xiàng)目實(shí)施任務(wù)5轉(zhuǎn)換服務(wù)器角色1．域控制器降級(jí)為成員服務(wù)器（1）刪除活動(dòng)目錄注意要點(diǎn)（2）刪除活動(dòng)目錄"憑據(jù)"窗口"警告"窗口項(xiàng)目實(shí)施任務(wù)5轉(zhuǎn)換服務(wù)器角色1．域控制器降級(jí)為成員服務(wù)器（1）刪除活動(dòng)目錄注意要點(diǎn)（2）刪除活動(dòng)目錄新管理員密碼刪除服務(wù)器角色與功能項(xiàng)目實(shí)施任務(wù)5轉(zhuǎn)換服務(wù)器角色2．成員服務(wù)器降級(jí)為獨(dú)立服務(wù)器DC2刪除ActiveDirectory域服務(wù)后,降級(jí)為域long.地成員服務(wù)器?，F(xiàn)在將該成員服務(wù)器繼續(xù)降級(jí)為獨(dú)立服務(wù)器。項(xiàng)目實(shí)施任務(wù)6創(chuàng)建子域創(chuàng)建子域創(chuàng)建子域驗(yàn)證父子信任關(guān)系驗(yàn)證信任關(guān)系驗(yàn)證子域驗(yàn)證子域030102項(xiàng)目實(shí)施任務(wù)6創(chuàng)建子域1．部署需求2．部署環(huán)境設(shè)置域父域控制器與子域控制器地TCP/IP屬性,手工指定IP地址,子網(wǎng)掩碼,默認(rèn)網(wǎng)關(guān)與DNS服務(wù)器IP地址等。部署域環(huán)境,父域域名為long.,子域域名為china.long.。創(chuàng)建子域地網(wǎng)絡(luò)拓?fù)鋱D項(xiàng)目實(shí)施任務(wù)6創(chuàng)建子域3．創(chuàng)建子域"部署配置"窗口提供憑據(jù)地"部署配置"界面項(xiàng)目實(shí)施任務(wù)6創(chuàng)建子域3．創(chuàng)建子域域控制器選項(xiàng)DNS選項(xiàng)項(xiàng)目實(shí)施任務(wù)6創(chuàng)建子域4．驗(yàn)證子域"ActiveDirectory用戶與計(jì)算機(jī)"窗口項(xiàng)目實(shí)施任務(wù)6創(chuàng)建子域4．驗(yàn)證子域子域域控制器地DNS管理器父域域控制器地DNS管理器項(xiàng)目實(shí)施任務(wù)6創(chuàng)建子域5．驗(yàn)證父子信任關(guān)系"ActiveDirectory域與信任關(guān)系"窗口項(xiàng)目實(shí)施任務(wù)6創(chuàng)建子域5．驗(yàn)證父子信任關(guān)系long.地信任關(guān)系及china.long.地信任關(guān)系項(xiàng)目實(shí)施任務(wù)7熟悉多臺(tái)域控制器地情況更改PDC操作主機(jī)更改PDC用組策略解決登錄問題登錄疑難問題更改域控制器更改DC030102項(xiàng)目實(shí)施任務(wù)7熟悉多臺(tái)域控制器地情況1．更改PDC操作主機(jī)如果域內(nèi)有多臺(tái)域控制器,則妳所設(shè)置地安全設(shè)置值,是先被存儲(chǔ)到扮演PDC操作主機(jī)角色地域控制器內(nèi),而它默認(rèn)由域內(nèi)地第1臺(tái)域控制器扮演?？梢酝ㄟ^ActiveDirectory用戶與計(jì)算機(jī)→選域名long.并單擊鼠標(biāo)右鍵→操作主機(jī)→選擇PDC標(biāo)簽查詢。項(xiàng)目實(shí)施任務(wù)7熟悉多臺(tái)域控制器地情況2．更改域控制器如果要更改連接到其它域控制器,請(qǐng)?jiān)?ActiveDirectory用戶與計(jì)算機(jī)"窗口,右擊用鼠標(biāo)右鍵單擊l