任務(wù)4部署基礎(chǔ)系統(tǒng)環(huán)境網(wǎng)絡(luò)操作系統(tǒng)項(xiàng)目教程目錄4.14.2CONTENTSWindowsServerDNS服務(wù)WindowsServer活動(dòng)目錄域服務(wù)4.3WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）4.4WindowsServer活動(dòng)目錄域組策略管理4.5WindowsServer證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)4.1WindowsServerDNS服務(wù)WindowsServerDNS服務(wù)了解并掌握DNS服務(wù)器概念、DNS服務(wù)器的工作原理、DNS服務(wù)器配置演示。1.DNS服務(wù)器概念DNS是包含TCP/IP的行業(yè)標(biāo)準(zhǔn)協(xié)議套件之一。DNS客戶(hù)端和DNS服務(wù)器共同為計(jì)算機(jī)和用戶(hù)提供計(jì)算機(jī)名稱(chēng)到IP地址的映射名稱(chēng)解析服務(wù)。在WindowsServer2016中，DNS是服務(wù)器角色，我們可以使用服務(wù)器管理器或WindowsPowerShell命令來(lái)安裝。AD域服務(wù)使用DNS作為其域控制器定位機(jī)制。WindowsServerDNS服務(wù)WindowsServerDNS服務(wù)WindowsServer2016DNS服務(wù)器和DNS客戶(hù)端服務(wù)使用TCP/IP協(xié)議套件中包含的DNS協(xié)議。DNS是TCP/IP參考模型的應(yīng)用層的一部分，如圖所示。WindowsServerDNS服務(wù)2.DNS服務(wù)器的工作原理WindowsServerDNS服務(wù)（1）檢查當(dāng)前主機(jī)客戶(hù)端DNS緩存，如果緩存區(qū)域存在該“IP地址-域名”對(duì)應(yīng)表，就直接采用該對(duì)應(yīng)表的結(jié)果進(jìn)行訪(fǎng)問(wèn)。（2）如果緩存區(qū)域沒(méi)有對(duì)應(yīng)表，就會(huì)去檢查本機(jī)的hosts文件。（3）如果hosts文件中并沒(méi)有需要查詢(xún)的條目才會(huì)進(jìn)行DNS查詢(xún)，這時(shí)候查詢(xún)請(qǐng)求來(lái)到DNS服務(wù)器上。（4）如果DNS服務(wù)器上的DNS緩存有當(dāng)前查詢(xún)域名對(duì)應(yīng)的條目，則會(huì)直接使用當(dāng)前DNS服務(wù)器緩存中對(duì)應(yīng)的信息進(jìn)行回復(fù)，并且回復(fù)是權(quán)威的。（5）如果條目不存在，則進(jìn)行遞歸或者迭代查詢(xún)。（6）以上查詢(xún)都失敗的情況下，則會(huì)使用備用DNS服務(wù)器進(jìn)行二次查詢(xún)。WindowsServerDNS服務(wù)3.DNS服務(wù)器配置演示按“Windows+R”組合鍵，在“運(yùn)行”對(duì)話(huà)框中輸入Servermanager，打開(kāi)“服務(wù)器管理器”窗口，單擊“添加角色和功能”。在“添加角色和功能向?qū)А睂?duì)話(huà)框“選擇服務(wù)器角色界面，勾選“DNS服務(wù)器”復(fù)選框，如圖所示。>WindowsServerDNS服務(wù)單擊“下一步”按鈕，其余步驟保持默認(rèn)，直至“確認(rèn)安裝所選內(nèi)容”界面，單擊“安裝”按鈕。在“服務(wù)器管理器”窗口，單擊“工具”按鈕，在彈出的下拉菜單中選擇“DNS”，打開(kāi)“DNS管理器”窗口，如圖所示。>WindowsServerDNS服務(wù)>在“DNS管理器”窗口左側(cè)的“正向查找區(qū)域”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“新建區(qū)域”，如圖所示。在打開(kāi)的“新建區(qū)域向?qū)А睂?duì)話(huà)框中選擇“主要區(qū)域”單選按鈕，單擊“下一步”按鈕，如圖所示。>WindowsServerDNS服務(wù)在“區(qū)域名稱(chēng)”文本框中輸入項(xiàng)目要求的域名，單擊“下一步”按鈕，如圖所示。>WindowsServerDNS服務(wù)在“創(chuàng)建新文件”界面只需要保持默認(rèn)即可，單擊“下一步”按鈕。在“動(dòng)態(tài)更新”界面，若是獨(dú)立DNS服務(wù)器，則選擇“不允許動(dòng)態(tài)更新”單選按鈕或者“允許非安全和安全動(dòng)態(tài)更新”單選按鈕，若是AD域DNS服務(wù)器，需要選擇“只允許安全的動(dòng)態(tài)更新”單選按鈕，如圖所示。>WindowsServerDNS服務(wù)若需要?jiǎng)?chuàng)建反向區(qū)域，在“DNS管理器”窗口左側(cè)的“反向查找區(qū)域”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“新建區(qū)域”，如圖所示。>WindowsServerDNS服務(wù)>選擇“網(wǎng)絡(luò)ID”單選按鈕，輸入項(xiàng)目指定IP地址段，如圖所示。在“區(qū)域文件”界面保持默認(rèn)，單擊“下一步”按鈕。在“動(dòng)態(tài)更新”界面中選擇“只允許安全的動(dòng)態(tài)更新”單選按鈕。結(jié)果如圖所示。>4.2WindowsServer活動(dòng)目錄域服務(wù)WindowsServer活動(dòng)目錄域服務(wù)了解并掌握AD域服務(wù)的概念、AD域服務(wù)角色、AD域服務(wù)的功能、活動(dòng)目錄域服務(wù)配置。WindowsServer活動(dòng)目錄域服務(wù)1.AD域服務(wù)概念定義：AD域服務(wù)是一種目錄服務(wù)，是微軟用于開(kāi)發(fā)Windows域網(wǎng)絡(luò)的服務(wù)。它被包含在大多數(shù)WindowsServer操作系統(tǒng)中作為一組進(jìn)程和服務(wù)。發(fā)展：只負(fù)責(zé)集中式域管理——成為廣泛的基于目錄的身份相關(guān)服務(wù)的標(biāo)題（從WindowsServer2008開(kāi)始）在用AD域服務(wù)的系統(tǒng)版本：WindowsServer2003、WindowsServer2008、WindowsServer2008R2、WindowsServer2012、WindowsServer2012R2、WindowsServer2016。WindowsServer活動(dòng)目錄域服務(wù)運(yùn)行AD域服務(wù)的服務(wù)器稱(chēng)為域控制器。它對(duì)Windows域類(lèi)型網(wǎng)絡(luò)中的所有用戶(hù)和計(jì)算機(jī)進(jìn)行身份驗(yàn)證和授權(quán)，為所有計(jì)算機(jī)分配和實(shí)施安全策略并安裝或更新軟件。此外，它還允許管理和存儲(chǔ)信息，提供身份驗(yàn)證和授權(quán)機(jī)制，并建立一個(gè)框架來(lái)部署其他相關(guān)服務(wù)：證書(shū)服務(wù)，聯(lián)合服務(wù)，輕量級(jí)目錄服務(wù)和權(quán)限管理服務(wù)。簡(jiǎn)單地說(shuō)，使用AD域服務(wù)的服務(wù)器角色，我們可以為用戶(hù)和資源管理創(chuàng)建可擴(kuò)展、安全且可管理的基礎(chǔ)架構(gòu)，并且可以為支持目錄的應(yīng)用程序，例如MicrosoftExchangeServer等應(yīng)用程序。WindowsServer活動(dòng)目錄域服務(wù)2.AD域服務(wù)角色AD域服務(wù)提供了一個(gè)分布式數(shù)據(jù)庫(kù)，用于存儲(chǔ)和管理來(lái)自啟用目錄的應(yīng)用程序的網(wǎng)絡(luò)資源和應(yīng)用程序特定數(shù)據(jù)的信息。管理員可以使用AD域服務(wù)將網(wǎng)絡(luò)的元素（例如用戶(hù)、計(jì)算機(jī)和其他設(shè)備）組織為分層包含結(jié)構(gòu)。分層包含結(jié)構(gòu)包括AD林，林中的域以及每個(gè)域中的組織單位（OrganizationalUnit，OU）。運(yùn)行AD域服務(wù)的服務(wù)器稱(chēng)為域控制器。WindowsServer活動(dòng)目錄域服務(wù)將網(wǎng)絡(luò)元素組織成分層包含結(jié)構(gòu)可帶來(lái)以下好處。林作為組織的安全邊界，并為管理員定義權(quán)限范圍?？梢栽诹种袆?chuàng)建其他域以提供AD域服務(wù)數(shù)據(jù)的分區(qū)，這使得組織可以?xún)H在需要時(shí)才復(fù)制數(shù)據(jù)，使得AD域服務(wù)可以通過(guò)可用帶寬有限的網(wǎng)絡(luò)進(jìn)行全局?jǐn)U展。AD域還支持許多與管理相關(guān)的其他核心功能，包括全網(wǎng)用戶(hù)身份、身份驗(yàn)證和信任關(guān)系。OU簡(jiǎn)化了權(quán)限的授權(quán)，以便管理大量的對(duì)象。WindowsServer活動(dòng)目錄域服務(wù)3.AD域服務(wù)的主要功能安全性通過(guò)登錄身份驗(yàn)證和對(duì)目錄中資源的訪(fǎng)問(wèn)控制與AD域服務(wù)集成。通過(guò)單一網(wǎng)絡(luò)登錄，管理員可以管理整個(gè)網(wǎng)絡(luò)中的目錄數(shù)據(jù)和組織。授權(quán)網(wǎng)絡(luò)用戶(hù)還可以使用單一網(wǎng)絡(luò)登錄訪(fǎng)問(wèn)網(wǎng)絡(luò)中任何位置的資源。基于策略的管理可以簡(jiǎn)化最復(fù)雜網(wǎng)絡(luò)的管理。WindowsServer活動(dòng)目錄域服務(wù)4.其他AD域服務(wù)的功能組規(guī)則、模式，用于定義目錄中包含的對(duì)象和屬性的類(lèi)別、這些對(duì)象實(shí)例的約束和限制及它們的名稱(chēng)格式。全局編錄包含有關(guān)目錄中每個(gè)對(duì)象的信息。查詢(xún)和索引機(jī)制，以便網(wǎng)絡(luò)用戶(hù)或應(yīng)用程序發(fā)布和查找對(duì)象及其屬性。通過(guò)網(wǎng)絡(luò)分發(fā)目錄數(shù)據(jù)的復(fù)制服務(wù)。操作主角色（也稱(chēng)為靈活單主操作）。WindowsServer活動(dòng)目錄域服務(wù)5.活動(dòng)目錄域服務(wù)配置在“服務(wù)器管理器”窗口中添加角色，在“添加角色和功能向?qū)А睂?duì)話(huà)框的“選擇服務(wù)器角色”界面中勾選“ActiveDirectory域服務(wù)”復(fù)選框，單擊“下一步”按鈕，如圖所示。>WindowsServer活動(dòng)目錄域服務(wù)其余配置選項(xiàng)保持默認(rèn)，在“確認(rèn)安裝所選內(nèi)容”界面單擊“安裝”按鈕。安裝完畢后，單擊“將此服務(wù)器提升為域控制器”超鏈接，如圖所示。>WindowsServer活動(dòng)目錄域服務(wù)在“ActiveDirectory域服務(wù)配置向?qū)А睂?duì)話(huà)框的“部署配置”界面，選擇“添加新林”單選按鈕，在“根域名”文本框中輸入項(xiàng)目要求的域名，單擊“下一步”按鈕，如圖所示。>WindowsServer活動(dòng)目錄域服務(wù)在“域控制器選項(xiàng)”界面輸入目錄服務(wù)還原模式（DirectoryServicesRestoreMode，DSRM）密碼，單擊“下一步”按鈕，如圖所示。>WindowsServer活動(dòng)目錄域服務(wù)在“其他選項(xiàng)”界面，netbios域名保持默認(rèn)，單擊“下一步”按鈕。在“路徑”界面，提供存儲(chǔ)數(shù)據(jù)庫(kù)與日志的路徑，此路徑需要為NTFS格式路徑，保持默認(rèn)即可，單擊“下一步”按鈕。在“查看選項(xiàng)”界面做最后檢查，單擊“下一步”按鈕。完成上一步操作后，安裝程序會(huì)檢查先決條件，若無(wú)問(wèn)題，即可單擊“安裝”按鈕開(kāi)始升級(jí)域控制器，如圖所示。4.3WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）了解并掌握林與域信任是什么、信任方向、信任傳遞、信任類(lèi)型、身份驗(yàn)證級(jí)別、六種信任關(guān)系、域信任配置演示、站點(diǎn)與AD域服務(wù)數(shù)據(jù)庫(kù)復(fù)制概念、復(fù)制方式、復(fù)制協(xié)議、復(fù)制伙伴、目錄分區(qū)以及復(fù)制機(jī)制。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）1.林與域信任鏡像賬戶(hù)以及資源跨域分配。資源跨域分配的主流方法是創(chuàng)建域信任關(guān)系，域信任關(guān)系是有方向性的，信任關(guān)系的主動(dòng)權(quán)掌握在被信任域而不是信任域手中。以為只要兩個(gè)域之間存在信任關(guān)系，被信任域的用戶(hù)就一定可以無(wú)條件地獲得信任域內(nèi)的所有資源，這個(gè)理解是錯(cuò)誤的，因?yàn)樵L(fǎng)問(wèn)條件還需要根據(jù)信任的權(quán)限配置。在WindowsNT4.0的域時(shí)代，信任關(guān)系是不具有傳遞性的。因此微軟公司在Windows2000發(fā)布時(shí)，允許在林和林內(nèi)進(jìn)行信任關(guān)系的傳遞，在Windows2003中更是允許在林之間進(jìn)行信任關(guān)系的傳遞。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）2.信任方向內(nèi)傳（內(nèi)向信任，DirectInbound）外傳（外向信任，DirectOutbound）雙向：同時(shí)包括內(nèi)傳和外傳WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）3.信任傳遞企業(yè)內(nèi)部來(lái)自間接信任域的用戶(hù)可以在信任域中進(jìn)行身份驗(yàn)證。4.信任類(lèi)型外部信任、林信任。5.身份驗(yàn)證級(jí)別全域性身份驗(yàn)證、選擇性身份驗(yàn)證。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）6.六種信任關(guān)系（1）父子域信任。（2）樹(shù)狀根信任。（3）快捷方式信任。（4）林信任。（5）外部信任。（6）領(lǐng)域信任。7.域信任配置演示配置演示中，用到了兩個(gè)域，分別是A.com與B.com，兩個(gè)域不屬于同一個(gè)林，進(jìn)行信任配置之前，必須要能夠相互解析，建議配置DNS輔助區(qū)域。在A.com打開(kāi)“DNS管理器”窗口，在“正向查找區(qū)域”選項(xiàng)上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“新建區(qū)域向?qū)А泵睿蜷_(kāi)“新建區(qū)域向?qū)А睂?duì)話(huà)框，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>在“新建區(qū)域向?qū)А睂?duì)話(huà)框中選擇“輔助區(qū)域”單選按鈕，單擊“下一步”按鈕，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>在“新建區(qū)域向?qū)А睂?duì)話(huà)框中選擇“輔助區(qū)域”單選按鈕，單擊“下一步”按鈕，如圖所示。>在“主服務(wù)器”列表框中輸入能夠解析對(duì)方AD域服務(wù)域名的DNS服務(wù)器地址，單擊“下一步”按鈕，完成新建區(qū)域操作，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>在B.com的DNS服務(wù)器重復(fù)以上操作，只需要將區(qū)域名稱(chēng)和主DNS服務(wù)器地址更換為A.com的即可。設(shè)定當(dāng)前區(qū)域允許區(qū)域傳送，在B.com重復(fù)此操作，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>配置完成后，等待區(qū)域傳送成功，結(jié)果如圖所示。>在B.com的DNS服務(wù)器重復(fù)以上操作，只需要將區(qū)域名稱(chēng)和主DNS服務(wù)器地址更換為A.com的即可。設(shè)定當(dāng)前區(qū)域允許區(qū)域傳送，在B.com重復(fù)此操作，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>配置完成后，等待區(qū)域傳送成功，結(jié)果如圖所示。>接下來(lái)需要?jiǎng)?chuàng)建域信任關(guān)系，按“Windows+R”組合鍵，在“運(yùn)行”對(duì)話(huà)框中輸入domain.msc，打開(kāi)“ActiveDirectory域和信任關(guān)系”窗口。在窗口左側(cè)的“A.com”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”，在打開(kāi)的“A.com屬性”對(duì)話(huà)框中單擊“信任”選項(xiàng)卡，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>單擊“新建信任”按鈕，打開(kāi)“新建信任向?qū)А睂?duì)話(huà)框，單擊“下一步”按鈕，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>在“信任名稱(chēng)”界面，輸入需要與其建立信任的AD域服務(wù)器的域名，單擊“下一步”按鈕，如圖所示。>在“信任類(lèi)型”界面，選擇需要使用的信任關(guān)系，此處選擇“林信任”單選按鈕，單擊“下一步”按鈕，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>在“信任方向”界面選擇“雙向”單選按鈕，單擊“下一步”按鈕，如圖所示。>在“信任方”界面選擇“此域和指定的域”單選按鈕（這樣選擇的原因是比較快捷，不需要再到對(duì)端的信任管理器進(jìn)行配置），單擊“下一步”按鈕，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>在“用戶(hù)名和密碼”界面，指定對(duì)端AD域服務(wù)器的用戶(hù)名和密碼用于反向信任創(chuàng)建，如圖所示。>在“傳出信任身份驗(yàn)證級(jí)別-本地林”界面，可以選擇身份驗(yàn)證的類(lèi)型，此處選擇“全林性身份驗(yàn)證”單選按鈕，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>在“選擇信任完畢”界面進(jìn)行信任確認(rèn)檢查，單擊“下一步”按鈕，如圖所示。>WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）８.站點(diǎn)與AD域服務(wù)數(shù)據(jù)庫(kù)復(fù)制概念為了保持所有域控制器上的目錄數(shù)據(jù)一致和最新，AD會(huì)定期復(fù)制目錄進(jìn)行更改。復(fù)制根據(jù)標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議進(jìn)行，并通過(guò)更改跟蹤信息防止發(fā)生不必要的復(fù)制，以及使用鏈接值復(fù)制以提高效率。復(fù)制僅發(fā)生在多域控制器環(huán)境中，如果域中只有一臺(tái)域控制器，將不會(huì)產(chǎn)生復(fù)制。復(fù)制分為站點(diǎn)內(nèi)復(fù)制和站點(diǎn)間復(fù)制。站點(diǎn)內(nèi)復(fù)制通過(guò)知識(shí)一致性檢查器（Knowledge

ConsistencyChecker，KCC）自動(dòng)創(chuàng)建最佳的復(fù)制拓?fù)?，站點(diǎn)間通過(guò)站點(diǎn)間拓?fù)浒l(fā)生器創(chuàng)建站點(diǎn)間的復(fù)制鏈接。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）9.復(fù)制方式復(fù)制方式有單主復(fù)制和多主復(fù)制。AD域服務(wù)采用多主復(fù)制方式，多主復(fù)制在對(duì)等域控制器之間復(fù)制活動(dòng)目錄數(shù)據(jù)庫(kù)，每個(gè)域控制對(duì)活動(dòng)目錄數(shù)據(jù)庫(kù)具備完全控制的權(quán)限。多主復(fù)制架構(gòu)模式下，林內(nèi)任何域控制器都可處理和更新復(fù)制，要注意靈活的單主機(jī)操作（FlexibleSingleMasterOperations，F(xiàn)SMO）角色的位置。域控制器采用多主復(fù)制的優(yōu)點(diǎn)是高效，缺點(diǎn)是產(chǎn)生大量的網(wǎng)絡(luò)流量。10.復(fù)制協(xié)議IP和SMTP。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）11.復(fù)制伙伴復(fù)制伙伴分為直接復(fù)制伙伴和間接復(fù)制伙伴。12.目錄分區(qū)架構(gòu)目錄分區(qū)、配置目錄分區(qū)、域目錄分區(qū)、應(yīng)用程序目錄分區(qū)。13.復(fù)制機(jī)制（1）通知更新復(fù)制。（2）緊急復(fù)制。（3）定時(shí)檢查復(fù)制。14.站點(diǎn)復(fù)制配置演示以下案例將演示站點(diǎn)復(fù)制，打開(kāi)“服務(wù)器管理器”窗口，在“工具”按鈕的下拉菜單中選擇“ActiveDirectory站點(diǎn)和服務(wù)”，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>在打開(kāi)的“ActiveDirectory站點(diǎn)和服務(wù)”窗口左側(cè)“Sites”上單擊鼠標(biāo)右鍵，在彈出快捷菜單中選擇“新站點(diǎn)”，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>打開(kāi)“新建對(duì)象-站點(diǎn)”對(duì)話(huà)框，在“名稱(chēng)”文本框中輸入“SiteA”，選擇“DEFAULTIPSITELINK”，單擊“確定”按鈕，如圖所示。>在彈出的“ActiveDirectory域服務(wù)”對(duì)話(huà)框中，單擊“確定”按鈕，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>重復(fù)以上操作創(chuàng)建SiteB，如圖所示。>在“Subnets”上單擊鼠標(biāo)右鍵，選擇“新建子網(wǎng)”，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>打開(kāi)“新建對(duì)象-子網(wǎng)”對(duì)話(huà)框，在“前綴”文本框中輸入“/24”，選擇“SiteA”，如圖所示。（實(shí)際情況以項(xiàng)目?jī)?nèi)容為準(zhǔn)。）>重復(fù)以上操作，將SiteB加入/24，如圖所示。（實(shí)際情況以項(xiàng)目?jī)?nèi)容為準(zhǔn)。）WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>在“IP”上單擊鼠標(biāo)右鍵，選擇“新站點(diǎn)鏈接”，如圖所示。>打開(kāi)“新建對(duì)象-站點(diǎn)鏈接”對(duì)話(huà)框，在“名稱(chēng)”文本框中輸入“SiteLinkAB”，將SiteA與SiteB添加到“在此站點(diǎn)鏈接中的站點(diǎn)”列表框中，單擊“確定”按鈕，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>在“ActiveDirectory站點(diǎn)和服務(wù)”窗口左側(cè)選擇“Servers”，在右側(cè)的“AD”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“移動(dòng)”，打開(kāi)“移動(dòng)服務(wù)器”對(duì)話(huà)框，選擇“SiteA”，將AD移動(dòng)到SiteA當(dāng)中用于測(cè)試復(fù)制，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>重復(fù)以上移動(dòng)操作，將AD-1移動(dòng)到SiteB，最終結(jié)果如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>在“ActiveDirectory站點(diǎn)和服務(wù)”窗口左側(cè)的“AD”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”，如圖所示。>打開(kāi)“AD屬性”對(duì)話(huà)框，將“IP”添加到右側(cè)列表框中，將IP設(shè)置為橋頭服務(wù)器。如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>在“ActiveDirectory站點(diǎn)和服務(wù)”窗口左側(cè)選擇“IP”，在右側(cè)的“SiteLinkAB”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”，如圖所示。>打開(kāi)“SiteLinkAB屬性”對(duì)話(huà)框，單擊“更改計(jì)劃”按鈕，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）>打開(kāi)“SiteLinkAB的計(jì)劃”對(duì)話(huà)框，設(shè)置同步計(jì)劃時(shí)間，如圖所示。>在“ActiveDirectory站點(diǎn)和服務(wù)”窗口左側(cè)“IP”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”，打開(kāi)“IP屬性”對(duì)話(huà)框，勾選“為所有站點(diǎn)鏈接搭橋”復(fù)選框，單擊“確定”按鈕，如圖所示。WindowsServer活動(dòng)目錄域管理（信任與站點(diǎn)）4.4WindowsServer活動(dòng)目錄域組策略管理WindowsServer活動(dòng)目錄域組策略管理了解并掌握組策略對(duì)象概念、AD中的兩個(gè)內(nèi)置組策略對(duì)象以及組策略配置方法。1.組策略對(duì)象概念組策略定義：是一個(gè)能夠讓系統(tǒng)管理員充分控制和管理用戶(hù)工作環(huán)境的功能。作用：可以用來(lái)確保用戶(hù)擁有受控制的工作環(huán)境，也可以用來(lái)限制用戶(hù)。設(shè)置方向：在AD域中針對(duì)計(jì)算機(jī)、域或者組織單位。組策略常用配置：賬戶(hù)策略設(shè)置、本地策略設(shè)置、腳本的設(shè)置、用戶(hù)工作環(huán)境設(shè)置、限制軟件運(yùn)行與其他系統(tǒng)優(yōu)化設(shè)置等。注意：對(duì)于加入域的計(jì)算機(jī)來(lái)說(shuō)，如果本地組策略的設(shè)置與域或組織單位的組策略設(shè)置發(fā)生沖突，以域或組織單位的組策略的設(shè)置優(yōu)先。WindowsServer活動(dòng)目錄域組策略管理2.AD中的兩個(gè)內(nèi)置組策略對(duì)象DefaultDomainControllersPolicy（默認(rèn)域控制器策略）WindowsServer活動(dòng)目錄域組策略管理DefaultDomainPolicy（一個(gè)單獨(dú)的，存在于域控制器的文件對(duì)象）組策略的條目較多，這里只做部分演示，按“Windows+R”組合鍵，在“運(yùn)行”對(duì)話(huà)框中輸入gpmc.msc，打開(kāi)“組策略管理”窗口。在窗口左側(cè)“DefaultDomainPolicy”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“編輯”，如圖所示。>WindowsServer活動(dòng)目錄域組策略管理3.組策略配置方法在打開(kāi)的“組策略管理編輯器”窗口左側(cè)依次選擇“計(jì)算機(jī)配置”-“策略”-“Windows設(shè)置”-“安全設(shè)置”-“帳戶(hù)策略”-“密碼策略”，在窗口右側(cè)選擇“密碼長(zhǎng)度最小值”策略，如圖所示。WindowsServer活動(dòng)目錄域組策略管理>雙擊打開(kāi)“密碼長(zhǎng)度最小值屬性”對(duì)話(huà)框，選中“定義此策略設(shè)置”復(fù)選框，將長(zhǎng)度設(shè)置為0個(gè)字符，如圖所示。WindowsServer活動(dòng)目錄域組策略管理>在“組策略管理編輯器”窗口右側(cè)雙擊“密碼必須符合復(fù)雜性要求”策略，打開(kāi)“密碼必須符合復(fù)雜性要求屬性”對(duì)話(huà)框，選中“定義此策略設(shè)置”復(fù)選框，選擇“已禁用”單選按鈕，單擊“確定”按鈕，如圖所示。WindowsServer活動(dòng)目錄域組策略管理>可使用命令提示符工具進(jìn)行更新組策略。在“運(yùn)行”對(duì)話(huà)框中輸入cmd，打開(kāi)命令提示符窗口，輸入gpupdate命令進(jìn)行更新并測(cè)試效果，如圖所示。WindowsServer活動(dòng)目錄域組策略管理4.5WindowsServer證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)WindowsServer證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)了解并掌握證書(shū)頒發(fā)機(jī)構(gòu)概念、證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)概念、以及證書(shū)頒發(fā)機(jī)構(gòu)演示配置。1.證書(shū)頒發(fā)機(jī)構(gòu)概念定義：MicrosoftActiveDirectory證書(shū)服務(wù)是一個(gè)平臺(tái)，提供用于發(fā)布和管理公共密鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）證書(shū)的服務(wù)。作用：用于保護(hù)超文本傳輸安全協(xié)議（HypertextTransferProtocolSecure，HTTPS）連接，驗(yàn)證網(wǎng)絡(luò)上的設(shè)備和用戶(hù)等。發(fā)展：此服務(wù)已在WindowsServer2000中引入，并且自WindowsServer2008R2起，其在服務(wù)器管理器中可用作為服務(wù)器角色。WindowsServer證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)2.證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)概念（1）PKI系統(tǒng)介紹定義：PKI是一個(gè)包括硬件、軟件、人員、策略和規(guī)程的集合，用來(lái)實(shí)現(xiàn)基于公鑰密碼體制的密鑰和證書(shū)的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷(xiāo)等功能。作用：PKI體系是計(jì)算機(jī)軟硬件、權(quán)威機(jī)構(gòu)及應(yīng)用系統(tǒng)的結(jié)合。它為實(shí)施電子商務(wù)、電子政務(wù)、辦公自動(dòng)化等提供了基本的安全服務(wù)，從而使那些彼此不認(rèn)識(shí)或距離很遠(yuǎn)的用戶(hù)能通過(guò)信任鏈安全地交流。包括：PKI策略、軟硬件系統(tǒng)、認(rèn)證機(jī)構(gòu)、注冊(cè)機(jī)構(gòu)、證書(shū)發(fā)布系統(tǒng)和PKI應(yīng)用等。WindowsServer證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)WindowsServer證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)（2）PKI的標(biāo)準(zhǔn)一類(lèi)用于定義PKI，而另一類(lèi)用于PKI的應(yīng)用。定義PKI的標(biāo)準(zhǔn)：ASN.1基本編碼規(guī)則的規(guī)范——X.209（1988）目錄服務(wù)系統(tǒng)標(biāo)準(zhǔn)——X.500（1993）IDAP輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議——IDAPV3數(shù)字證書(shū)標(biāo)準(zhǔn)——X.509（1993）在線(xiàn)證書(shū)狀態(tài)協(xié)議公鑰加密標(biāo)準(zhǔn)（thePublic-KeyCryptographyStandards，PKCS）3.證書(shū)頒發(fā)機(jī)構(gòu)演示配置以下配置作為證書(shū)頒發(fā)機(jī)構(gòu)的配置搭建演示。在“服務(wù)器管理器”窗口單擊“添加角色和功能”，打開(kāi)“添加角色和功能向?qū)А睂?duì)話(huà)框。在“選擇服務(wù)器角色”界面勾選“ActiveDirectory證書(shū)服務(wù)”復(fù)選框，如圖所示。WindowsServer證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)>在“選擇角色服務(wù)”界面勾選“證書(shū)頒發(fā)機(jī)構(gòu)Web注冊(cè)”復(fù)選框，單擊“下一步”按鈕，如圖所示。（證書(shū)頒發(fā)機(jī)構(gòu)Web注冊(cè)能夠更方便地注冊(cè)部分模板，是比較適合初始階段的一種注冊(cè)模式。）WindowsServer證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)>在“確認(rèn)安裝所選內(nèi)容”界面單擊“安裝”按鈕。安裝完成后，在“服務(wù)器管理器”窗口，單擊感嘆號(hào)標(biāo)識(shí)，在彈出的對(duì)話(huà)框中單擊“配置服務(wù)器上的ActiveDirectory證書(shū)服務(wù)”超鏈接，如圖所示。WindowsServer證書(shū)頒發(fā)機(jī)構(gòu)