域知识深入学习二：建立AD DS域

2.1 建立AD DS域前的准备工作

先安装一台服务器，然后将其升级（promote）为域控

2.1.1 选择适当的DNS域名

AD DS域名采用DNS的架构与命名方式

2.1.2 准备好一台支持AD DS的DNS服务器

DNS服务器需要支持SRV记录，同时最好支持动态更新，Incremental Zone Transfer，Fast Zone Transfer，这几种功能在Windows Server和Bind DNS上都支持

 

SRV记录(Service Location Resource Record),域控会把其所扮演的角色注册到DNS服务器的SRV记录内

 

动态更新，开启后，域控可以自动将自己注册到DNS服务器的SRV记录内，否则需要管理员手动录入数据

 

Incremental Zone Transfer（IXFR），这样，DNS服务器之间执行区域传送（zone transfer）时，只会复制最新变动记录

 

Fast Zone Transfer，可对数据进行压缩，Windows Server默认开启

 

搭建DNS服务器的两种方式

1 在将服务器升级为域控时，让系统自动在这台服务器安装DNS服务器角色，注意需要清楚这台服务器的首选DNS服务器的IP地址或设置为自己的IP

2 使用现有DNS服务器，在其上建立DNS区域。

 

添加角色和功能 - DNS服务器

开始 - Windows管理工具 - DNS - 正向查找区域 - 右键，新建区域

2.1.3 寻找AD DS数据库的存储位置

域控会存储三种数据，SYSVOL必须存储在NTFS格式下

1 AD DS数据库

2 日志文件

3 SYSVOL文件夹，用来存储域共享文件

 

建立NTFS磁盘的方法

1 如果还有未划分的可用空间，用磁盘管理

2 convert d: /fs:ntfs

 

AD DS数据库和日志文件的存储位置事后可以用ntdsutil更改

 

2.2 建立AD DS域

升级为域控后，Windows防火墙会自动开放AD DS相关的端口

 

2.3 确认AD DS域是否正常

2.3.1 检查DNS服务器内的记录是否完备

1 检查主机记录

DNS服务器上 - 开始 - Windows管理工具 - DNS

2 利用DNS控制台检查SRV记录

_tcp 下会有_gc _ldap等SRV记录

如果DNS服务器时在安装AD DS时同时安装的，还会建立一个_msdcs.xx.xx。域控会把信息注册到这里

建立第一个域后，系统会自动建立一个名为Default-First-Site-Name的site，里面有gc kerberos LDAP服务器

3 利用NSLOOKUP命令检查SRV记录

nslookup

set type=srv

_ldap._tcp.dc._msdcs.xx.xx

2.3.2 排除注册失败的问题

可以在域成员计算机上手动注册到DNS服务器

ipconfig /registerdns

 

如果发现域控没有将其所扮演的角色注册到DNS服务器，可以重启Netlogon服务

域控默认自动每隔24小时向DNS服务器注册一次

2.3.3 检查AD DS数据库文件与SYSVOL文件夹

AD DS数据库文件和日志文件默认在%systemroot%\ntds

ntds.dit就是AD DS数据库文件

xxx.log就是日志文件

%systemroot%是c:\windows\

 

SYSVOL默认在%systemroot%\SYSVOL

其下的sysvol和sysvol、scripts都被设置为共享文件夹

net share查看共享

2.3.4 新增的管理工具

Active Directory用户和计算机

Active Directory管理中心

Active Directory站点和服务

2.3.5 查看事件日志文件

开始 - Windows管理工具 - 事件查看器

 

2.4 提升域与林功能级别

提升信息会自动复制到所有域控，大概15秒多

 

2.5 新建额外域控制器与RODC

好处

1 改善用户登陆效率

2 容错功能

 

复制方式

1 通过网络直接复制

2 通过安装媒体

2.5.1 安装额外域控制器

只有Enterprise Admins和Domain Admins组内的用户有权建立其他域控

额外域控制器上原来的本地账户会被删除

 

安装完可以到DNS服务器上检查

2.5.2 利用安装媒体来安装额外域控制器

1 制作安装媒体

如果安装媒体要给可读写域控制器用，就不能到RODC上制作

域管登陆 - powershell - ntdsutil - activate instance ntds - ifm - create sysvol full c:\InstallationMedia - quit - quit

activate instance ntds 将域控的AD DS数据库设置为使用中

create sysvol full c:\InstallationMedia 将安装媒体的内容存储到c:\InstallationMedia

sysvol表示要制作包含ntds.dit和SYSVOL的安装媒体

full表示要制作公可读写域控使用的。RODC的话不用full，用rodc

 

把c:\InstallationMedia文件夹内的所有数据复制走

 

2 安装额外域控制器

在Active Directory域服务配置向导 - 其他选项 - 制定从介质安装（IFM）

2.5.3 更改RODC的委派与密码复制策略设置

Active Directory用户和计算机 - Domain Controllers 右侧 - RODC 属性 - 密码复制策略 - 管理者

 

2.6 RODC阶段式安装

两个阶段由不同用户完成，这种方法一般是用来安装远程分公司所需的RODC

2.6.1 建立RODC账户

2.6.2 将服务器附加到RODC账户

 

2.7 将Windows计算机加入或脱离域

2.7.1 将Windows计算机加入域

加入域的计算机默认会自动建立在Computers容器内，可以事先在其他容器或组织单位建立计算机账户

在计算机上建立域或者把计算机加入域，一般只需要操作三个地方，一是改计算机名，二是设置ip，三是设置dns

 

普通域用户账户只有10次将计算机加入域的机会，域管没有限制

2.7.2 利用已加入域的计算机登陆

1 利用本地用户账户登陆

主机名\用户名

2 利用域用户账户登陆

域名\用户名

2.7.3 脱机加入域

windows7开始的客户端计算机可以在不与域控连接的情况下加入域

1 在域内计算机上

Djoin.exe /provision /domain sayms.local /machine win10pc2 /savefile win10pc2.txt

 

2 在脱机计算机上

Djoin.exe /requestODJ /loadfile C:\win10pc2.txt /windowspath %SystemRoot%/localos

2.7.4 脱离域

只有Enterprise Admins / Domain Admins / 本地系统管理员才有权限脱域

 

2.8 在域成员计算机内安装AD DS管理工具

1 Windows Server 2016 / Windows Server 2012（R2）

添加角色和功能 - 选择功能 - 远程服务器管理工具 - AD DS和AD LDS工具

 

2 Windows Server 2008 R2 / Windows Server 2008

添加功能

 

3 Win10 Win8 Win7

 

2.9 删除域控制器与域

可以通过降级的方式删除域控，删除后，此机器会被降级为该域的成员服务器

如果此域控是域内最后一台域控，必须是Enterprise Admins组的成员才能降级它，降级后，域会被删除

删除角色和功能 - Active Directory域服务