项目3 部署与管理Active Directory域服务

项目3部署与管理ActiveDirectory域服务公司内部的办公网络原是基于工作组方式的，近期由于公司业务发展，人员激增，基于方便和网络安全管理的需要，考虑将基于工作组的网络升级为基于域的网络。现在需要将一台或多台计算机升级为域控制器，并将其他所有计算机加入域成为成员服务器。2项目背景学习要点掌握规划和安装局域网中活动目录的方法。掌握创建域目录林根域的方法。 掌握安装额外域控制器的方法。掌握如何创建子域熟悉多台域控制器的情况

学习要点素质要点明确职业技术岗位所需的职业规范，树立社会主义核心价值观。“大学之道，在明明德，在亲民，在止于至善。”“‘高山仰止，景行行止。虽不能至，然心乡往之。”知悉“大学”的真正含义，以德化人，激发爱国情怀。素质要点01.项目基础知识contents目录02.项目设计及准备03.项目实施04.习题与实训项目基础知识幸福和美好未来不会自己出现，成功属于勇毅而笃行的人。3.101.认识活动目录及意义3.1项目基础知识02.认识活动目录的逻辑结构

03.认识活动目录的物理结构04.拓展阅读中国计算机的主奠基者认识活动目录及意义高山仰止，景行行止。虽不能至，然心乡往之。3.1.1认识活动目录活动目录就是Windows网络中的目录服务（DirectoryServices），即活动目录域服务（ActiveDirectoryDomainServices，ADDS）。它是一个分布式的目录服务，信息可分散在多台不同的计算机上，保证用户能够快速访问，既提高了管理效率，又使网络应用更加方便。目录服务有两方面的内容：目录和与目录相关的服务。认识活动目录及意义认识活动目录活动目录负责目录数据库的保存、新建、删除、修改与查询等服务，用户能很容易地在目录内找到所需的数据。ActiveDirectory存储了有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等，并且让管理员和用户能够轻松地查找和使用这些信息。认识活动目录及意义活动目录的核心是目录服务功能和集中管理目录服务功能组织管理控制资源集中管理单点管理所有用户一次登录访问整个活动目录资源3.1.1认识活动目录及意义

活动目录对象活动目录存储网络对象的信息。对象属性存储在活动目录活动目录的对象是组成活动目录基本元素AttributesFirstNameLastNameLogonNameAttributesPrinterNamePrinterLocationActiveDirectoryPrintersPrinter1Printer2SuzanFineUsersDonHallAttributeValueObjectsPrintersUsersPrinter3

3.1.1认识活动目录及意义活动目录架构对象类举例PrintersComputersUsers用户的属性可以包括accountExpiresdepartmentdistinguishedNamemiddleName属性列表accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName…属性举例

3.1.1认识活动目录及意义工作组环境如果资源分布在多台服务器上，那就需要在每台服务器分别为每一员工建立一个用户（共M*N个），员工则需要在每台服务器上（共M台）登录。3.1.1认识活动目录及意义域环境有了域，员工只需要在域中拥有一个域用户，因此管理员只须为员工创建一个域用户；员工只需要在域中登录一次就可以访问域中的资源了，实现了单一登录。3.1.1认识活动目录及意义用户A用户B用户C用户A用户C用户B工作组ActiveDirectory域环境

3.1.1认识活动目录及意义Active

Directory用户用户账户小组组账户计算机账户→

3.1.1认识活动目录及意义ADDS功能包括：集中式目录单一登录访问集成安全性可伸缩性ADDS提供了一个集中式的系统，用于管理网络上的用户、计算机和其他资源。公共管理界面

3.1.1认识活动目录及意义认识活动目录的逻辑结构幸福和美好未来不会自己出现，成功属于勇毅而笃行的人。3.1.2物理组件数据存储域控制器全局编录服务器只读域控制器(RODC)逻辑组件分区架构域域树林站点组织单位(OU)3.1.2认识活动目录的逻辑结构ADDS由物理组件和逻辑组件组成。域和域控制器域（Domain）是在WindowsServer2022网络环境中组建客户机/服务器网络的实现方式，是WindowsServer2022域中ActiveDirectory数据库的基本管理单位。域控制器中保存着整个网络的用户账号及目录数据库，即活动目录，并且可以被网络应用程序或者服务所访问。

一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。3.1.2认识活动目录的逻辑结构域安全边界：安全边界的作用就是保证域的管理者只能在该域内有必要的管理权限，除非管理者得到其他域得明确授权。复制单元：在域中，作为域控制器的计算机包含活动目录的副本。在一个特定的域中，所有域控制都能够得到活动目录得变化信息，并把变化信息复制给该域中得其它域控制器。3.1.2认识活动目录的逻辑结构WindowsServer2022User1User2User1User2Replication组织单位组织单位是包含在活动目录中的容器对象，是可以指派组策略设置或委派管理权限的最小作用单位。组织单位可以将用户、组、计算机和其他单元放入活动目录的容器。组织单位不能包括来自其他域的对象。3.1.2认识活动目录的逻辑结构组织单位3.1.2认识活动目录的逻辑结构地理位置的组织结构SalesVancouverRepairUsersSalesComputers网络管理模型利用OU可以把对象组织到一个逻辑结构中使其最适应你的组织需求。可以把管理控制权委派给OU中的对象。要委派的管理控制权，必须把OU及OU包含的对象的具体的权限指给一个或几个用户和组。

3.1.2认识活动目录的逻辑结构ExamplesFunction(功能)OrganizationLocation(位置)FunctionOrganization(组织)Location组织单位模型SCMS–SalesC–ConsultantsM-MarketingFunction-basedMERM–ManufacturingE–EngineeringR-ResearchOrganization-basedNFIN–NorwayF–FranceI–IndonesiaLocation-based组织单位创建组织单位有如下好处：（1）可以分类组织对象，使所有对象结构更清晰。（2）可以对某些对象配置组策略，实现对这些对象的管理和控制。（3）可以委派管理控制权，如管理员可以给不同部门的网络主管授权，让他们管理本部门的账号。3.1.2认识活动目录的逻辑结构目录树和目录林

3.1.2认识活动目录的逻辑结构目录林是一个或多个目录树的集合。目录林中的目录树并不共用相同的连续的名字空间。域目录林

3.1.2认识活动目录的逻辑结构(root)树双向可传递的信任林树双向可传递的信任Nwtraders.msftAsia.Nwtraders.msftAu.Nwtraders.msftcontoso.msftasia.contoso.msftau.contoso.msft全局编录服务器全局编录：包含林中所有ADDS对象的副本，但是该副本仅包含林中每个对象的部分属性提高搜索对象的效率，因为它避免了不必要地引用域控制器是用户登录到域中所必需的全局编录服务器是存储了全局编录的副本的域控制器。

信任关系信任关系是网络中不同域之间的一种内在联系。只有在两个域之间创建了信任关系，这两个域才可以相互访问。在通过WindowsServer2022系统创建域目录树和域目录林时，域目录树的根域和子域之间，域目录林的不同树根之间都会自动创建双向的、传递的信任关系，有了信任关系，使根域与子域之间、域目录林中的不同树之间可以互相访问，并可以从其他域登录到本域。3.1.2认识活动目录的逻辑结构信任关系如果希望两个无关域之间可以相互访问或从对方域登录到自己所在的域，也可以手工创建域之间的信任关系。3.1.2认识活动目录的逻辑结构3.1.2认识活动目录的逻辑结构 Sites:优化复制流量使用户能够使用可靠、高速的连接登录到域控制器上IPsubnetIPsubnetNewYork信任关系LosAngelesSeattleChicago3.1.2认识活动目录的逻辑结构站点SitesDomaincontrollersWANlinksSiteDomainControllersWANLinkSite

认识活动目录的

物理结构盛年不重来，一日难再晨。及时当勉励，岁月不待人。3.1.3域控制器：承载ADDS目录存储的副本提供身份验证和授权服务将更新复制到域和林中的其他域控制器域控制器是安装了ADDS服务器角色的服务器。允许在服务器上管理用户账户和网络资源WindowsServer2022ADDS支持RODC

3.1.3认识活动目录的物理结构--ADDS域控制器域控制器3.1.3认识活动目录的物理结构--ADDS域控制器DomainControllerDomainControllerDomainReplication=AWriteableCopyoftheActiveDirectoryDatabase DomainControllers:参与活动目录的复制进行单主控操作

项目设计及准备盛年不重来，一日难再晨。及时当勉励，岁月不待人。3.2项目设计项目准备

建立第一个新林。

建立此新林中的第一个域树。

建立此新域树中的第一个域。

建立此新域中的第一台域控制器。

计算机名称Server1自动更改为DC1.项目设计将项目2中的Server1升级为域控制器并建立域，架设根域的第2台域控制器（Server2）、第3台域控制器（Server3）、第4台域控制器（Server4）和一台加入域的成员服务器（MS1）项目实施幸福和美好未来不会自己出现，成功属于勇毅而笃行的人。3.3项目实施任务5服务器角色任务3登录域任务4额外DC任务2域成员任务7多台DC任务1第一台DC任务6子域任务1创建第一个域安装ActiveDirectory域服务安装ADDS验证ActiveDirectory域服务的安装验证结果提升服务器为DC安装活动目录03010201-安装ADDS01-安装ADDS02-安装活动目录02-安装活动目录02-安装活动目录02-安装活动目录03-验证结果（1）查看计算机名（2）查看管理工具（3）查看活动目录对象（4）查看ActiveDirectory数据库（5）查看DNS记录注册的SRV记录03-验证结果netstopnetlogonnetstartnetlogon重新启动Netlogon服务任务2将MS1加入域将MS1加入域加入域后的系统属性将MS1提升为的成员服务器任务3利用已加入域的计算机登录利用本地账户登录本地登录利用域用户账户登录登录域010201-本地登录本地用户登录02-登录域域用户登录任务4安装额外的域控制器与RODCRODC委派及密码策略修改RODC委派利用网络直接安装额外DC第二台DC利用安装介质安装额外DC介质安装利用网络直接复制安装RODCRODC0403010201-第二台DC部署配置Server1、Server2和Server3的网络连接模式都是“仅主机模式”，首先要保证3台服务器通信畅通。01-第二台DC01-第二台DC02-RODCServer1、Server2和Server3的网络连接模式都是“仅主机模式”，首先要保证3台服务器通信畅通。部署配置02-RODC02-RODC03-介质安装制作安装介质03-介质安装安装额外域控制器04-修改RODC委派04-修改RODC委派04-修改RODC委派04-修改RODC委派05-验证额外域控制器运行正常DC1是第一台域控制器，DC2服务器已经提升为额外域控制器，现在可以将成员服务器MS1的首选DNS指向DC1域控制器，备用DNS指向DC2额外域控制器，当DC1域控制器发生故障时，DC2额外域控制器可以负责域名解析和身份验证等工作，从而实现不间断服务。利用DC1域控制器的“ActiveDirectory用户和计算机”建立供测试用的域用户domainuser1（新建用户时，姓名和用户登录名都是domainuser1）。刷新DC2、DC3的“ActiveDirectory用户和计算机”中的users容器，发现domainuser1几乎同时同步到了这两台域控制器上。在MS1上使用域账户“domainuser1“登录验证05-验证额外域控制器运行正常查看DC类型任务5转换服务器角色DC隆级为成员服务器DC降为成员成员服务器降级为独立服务器成员降为独立010201-DC降为成员服务器删除活动目录注意要点①如果该域内还有其他域控制器，则该域会被降级为该域的成员服务器。②如果这个域控制器是该域的最后一个域控制器，则被降级后，该域内将不存在任何域控制器。（被降级为独立服务器）③如果这台域控制器是“全局编录”，则降级后，不再担当“全局编录”的角色，因此要先确定网络上是否还有其他“全局编录”域控制器。如果没有，则要先指派一台域控制器来担当“全局编录”的角色。01-DC降为成员服务器01-DC降为成员服务器01-DC降为成员服务器01-DC降为成员服务器02-成员服务器降级为独立服务器成员服务器删除ActiveDirectory域服务后，继续降级为独立服务器。删除服务器角色和功能任务6创建子域创建子域创建子域验证父子信任关系验证信任关系验证子域验证子域03010201-创建子域设置域中父域控制器和子域控制器的TCP/IP属性，手工指定IP地址、子网掩码、默认网关和DNS服务器IP地址等。部署域环境，父域域名为，子域域名为。创建子域的网络拓扑图01-创建子域01-创建子域02-验证子域02-验证子域02-验证子域02-验证子域任务7熟悉多台域控制器的情况更改PDC操作主机更改PDC用组策略解决登录问题登录疑难问题更改域控制器更改DC03010201-更改PDC操作主机如果域内有多台域控制器，则你所设置的安全设置值，是先被存储到扮演PDC操作主机角色的域控制器内，而它默认由域内的第1台域控制器扮演。可以通过【ActiveDirectory用户和计算机】→选中域名S并单击鼠标右键→【操作主机】→选择【PDC】标签查询。更改