1、项目准备
AD DS网络规划拓扑图:
下面说明如何建立第1个林中的第1个域(根域)。我们将安装一台 Windows Server 2016的服务器,然后将其升级为域控制器并建立域;也将架设此域的第2台域控制器(Windows Server 2016)、第3台域控制器(Windows Server 2016)、第4台域控制器(Windows Server 2016)和一台加入域的成员服务器(Windows Server 2016)。
建议利用VMware Workstation或Windows Server 2016 Hyper-V等提供虚拟环境的软件来搭建图中的网络环境。
若复制(克隆)现有虚拟机,则要记得执行c:\windows\system32\sysprep\Sysprep.exe命令并勾选“通用”复选框,因为要对新克隆的计算机进行重整后才能正常使用。为了不相互干扰,VMware 的虚拟机的网络连接模式采用“仅主机模式”。
2、项目准备
要将拓扑图中左上角的服务器DC1升级为域控制器(安装Active Directory域服务),因为它是第一台域控制器,所以这个升级操作会同时完成下面的工作。
- 建立第一个新林。
- 建立此新林中的第一个域树。
- 建立此新域树中的第一个域。
- 建立此新域中的第一台域控制器。
- 计算机名称DC1自动更改为DC1.long.com。
换句话说,在建立拓扑图中的第一台域控制器 DC1.long.com时,会同时建立此域控制器所隶属的域long.com、域long.com所隶属的域树,而域long.com也是此域树的根域。由于是第一个域树,因此它同时会建立一个新林,林名就是第一个域树根域的域名long.com,域long.com就是整个林的林根域。
我们将通过新建服务器角色的方式,将拓扑图中左上角的服务器 DC1.long.com升级为网络中的第一台域控制器。
超过一台计算机参与部署环境时,一定要保证各计算机间的通信畅通,否则无法进行后续的工作。当使用ping命令测试失败时,有两种可能:一种是计算机间的配置确实存在问题,如IP地址、子网掩码等;另一种情况也可能是本地计算机间的通信是畅通的,但由于防火墙等阻挡了ping命令的执行。第2种情况可以配置防火墙,放行ping命令进行相应的处理,或者关闭防火墙。
3、创建第一个域(目录林根级域)
由于域控制器使用的活动目录和DNS有非常密切的关系,因此网络中要求有DNS服务器存在,并且DNS服务器要支持动态更新。如果没有DNS服务器存在,可以在创建域时一起把DNS安装上。这里假设拓扑图中的DC1服务器尚未安装DNS,并且是该域林中的第1台域控制器。
1. 安装Active Directory域服务
活动目录在整个网络中的重要性不言而喻。经过Windows Server 2008和Windows Server 2012的不断完善,Windows Server 2016中的活动目录服务功能更加强大,管理更加方便。在 Windows Server 2016系统中安装活动目录时,需要先安装Active Directory域服务,然后将此服务器提升为域控制器,从而完成活动目录的安装。
Active Directory域服务的主要作用是存储目录数据并管理域之间的通信,包括用户登录处理、身份验证和目录搜索等。
STEP 1 先在拓扑图中左上角的服务器DC1上安装Windows Server 2016,将其计算机名称设置为DC1,IPv4地址等按拓扑图所示的信息进行配置(拓扑图中采用TCP/IPv4)。注 意将计算机名称设置为DC1即可,等升级为域控制器后,它会被自动改为DC1.long.com。
STEP 2 以管理员用户身份登录到DC1,依次选择“开始”→“Windows 管理工具”→“服务器管理器”命令(也可以依次选择“开始”→“控制面板”→“系统和安全”→“管理工具”→“服务器管理器”命令),单击“添加角色和功能”按钮,打开下图所示的“添加角色和功能向导”窗口。
“添加角色和功能向导”窗口:
注意图中所示的“启动‘删除角色和功能’向导”按钮。如果安装完AD服务后需要删除该服务角色,则单击“启动‘删除角色和功能’向导”按钮,删除Active Directory域服务即可。
STEP 3 持续单击“下一步”按钮,直到显示下图所示的“选择服务器角色”窗口时,勾选“Active Directory域服务”复选框,单击“添加功能”按钮。
选择服务器角色:
STEP 4 持续单击“下一步”按钮,直到显示下图所示的“确认安装所选内容”窗口。
“确认安装所选内容”窗口:
STEP 5 单击“安装”按钮即可开始安装。安装完成后显示下图所示的安装结果,提示“Active Directory域服务”已经安装成功。
Active Directory域服务安装成功:
如果在上图所示的窗口中直接单击“关闭”按钮,则之后要将其提升为域控制器,请单击下图所示的服务器管理器右上方的旗帜符号,再单击“将此服务器提升为域控制器”按钮。
将此服务器提升为域控制器:
2. 安装活动目录
STEP 1 单击“将此服务器提升为域控制器”按钮,显示下图所示的“部署配置”窗口。
“部署配置”窗口:
选中“添加新林”单选按钮,设置林根域名(本例为long.com),创建一台全新的域控制器。如果网络中已经存在其他域控制器或林,则可以选中“将新域添加到现有林”单选按钮,在现有林中安装。
“选择部署操作”选项区中的3个选项的具体含义如下:
- 将域控制器添加到现有域:可以向现有域添加第2台或更多域控制器。
- 将新域添加到现有林:在现有林中创建现有域的子域。
- 添加新林:新建全新的域。
注意:网络既可以配置一台域控制器,也可以配置多台域控制器,以分担用户的登录和访问。多个域控制器可以一起工作,并会自动备份用户账户和活动目录数据,即使部分域控制器瘫痪,网络访问仍然不受影响,从而提高网络的安全性和稳定性。
STEP 2 单击“下一步”按钮,显示下图所示的“域控制器选项”窗口。
“域控制器选项”窗口:
① 设置林功能级别和域功能级别。不同的林功能级别可以向下兼容不同平台的 Active Directory服务功能。选择“Windows Server 2008”可以提供Windows Server 2008网络操作系统平台以上的所有Active Directory功能;选择“Windows Server 2016”可提供Windows Server 2016网络操作系统平台以上的所有Active Directory功能。用户可以根据自己实际的网络环境选择合适的功能级别。设置不同的域功能级别主要是为了兼容不同平台下的网络用户和子域控制器,在此只能设置“Windows Server 2016”版本的域控制器。
② 设置目录服务还原模式密码。由于有时需要备份和还原活动目录,且还原时(启动系统时按F8键)必须进入“目录服务还原模式”下,所以此处要求输入“目录服务还原模式”时使用的密码。由于该密码和管理员密码可能不同,所以一定要牢记该密码。
③ 指定域控制器功能。因为默认在此服务器上直接安装DNS服务器,所以该向导将自动创建DNS区域委派。无论DNS服务是否与AD DS集成,都必须将其安装在部署的AD DS目录林根级域的第一个域控制器上。
④ 第一台域控制器需要扮演全局编录服务器的角色。
⑤ 第一台域控制器不可以是RODC。
安装后若要设置“林功能级别”,登录域控制器,打开“Active Directory域和信任关系”窗口,用鼠标右键单击“Active Directory域和信任关系”,在弹出的快捷菜单中单击“提升林功能级别”,选择相应的林功能级别即可。正版的软件可在包装盒上查看到有效序列号。
STEP 3 单击“下一步”按钮,显示下图所示的警告信息,目前不会有影响,因此不必理会它,直接单击“下一步”按钮。
“DNS选项”窗口:
STEP 4 在下图所示的窗口中会自动为此域设置一个NetBIOS名称,也可以更改此名称。如果此名称已被占用,安装程序会自动指定一个建议名称。完成后单击“下一步”按钮。
“其他选项”窗口:
STEP 5 显示下图所示的“路径”窗口,可以单击“浏览”按钮更改为其他路径。
指定AD DS数据库、日志文件和SYSVOL的位置:
其中,“数据库文件夹”用来存储互动目录数据库,“日志文件文件夹”用来存储活动目录的变化日志,以便于日常管理和维护。需要注意的是,“SYSVOL文件夹”必须保存在NTFS格式的分区中。完成后单击“下一步”按钮。
STEP 6 出现“查看选项”窗口,单击“下一步”按钮。
STEP 7 在下图所示的“先决条件检查”窗口中,如果顺利通过检查,就直接单击“安装”按钮,否则要先按提示排除问题。安装完成后会自动重新启动计算机。
“先决条件检查”窗口:
STEP 8 重新启动计算机,升级为Active Directory域控制器之后,必须使用域用户账户登录,格式为“域名\用户账户”,如下图所示。
SamAccountName登录:
选择左下角的其他用户可以更换登录用户,如下图所示。
UPN 登录:
- 用户名SamAccountName登录。用户也可以利用此名称(如long\administrator)来登录,其中long是NetBIOS名。同一个域中,此名称必须是唯一的。Windows NT、Windows 98等旧版操作系统不支持UPN,因此在这些计算机上登录时,只能使用此登录名。
- 用户UPN 登录。用户可以利用这个与电子邮箱格式相同的名称([email protected])来登录域,此名称被称为User Principal Name(UPN)。此名在林中是唯一的。上图所示即为此种登录。
3. 验证Active Directory域服务的安装
活动目录安装完成后,在DC1上可以从各方面进行验证。
(1)查看计算机名
用鼠标右键单击“开始”菜单,在弹出的快捷菜单中选择“控制面板”→“系统和安全”→“系统”→“高级系统设置”命令,打开“系统属性”对话框,再单击“计算机名”选项卡,可以看到计算机已经由工作组成员变成了域成员,而且是域控制器。计算机名称已经变为“DC1.long.com”了。
(2)查看管理工具
活动目录安装完成后,会添加一系列的活动目录管理工具,包括“Active Directory用户和计算机”“Active Directory 站点和服务”“Active Directory 域和信任关系”等。选择“开始”→“Windows 管理工具”,可以在“管理工具”中找到这些管理工具的快捷方式。在“服务器管理器”的“工具”菜单中也会增加这些管理工具。
(3)查看活动目录对象
单击“开始”→“Windows 管理工具”→“Active Directory 用户和计算机”命令,或者通过选择“服务器管理器”→“工具”命令,打开“Active Directory用户和计算机”控制台,可以看到企业的域名为 long.com。单击该域,窗口右侧的详细信息窗格中会显示域中的各个容器,其中包括一些内置容器,主要有以下几种:
- built-in:存放活动目录域中的内置组账户。
- computers:存放活动目录域中的计算机账户。
- users:存放活动目录域中的一部分用户和组账户。
- Domain Controllers:存放域控制器的计算机账户。
(4)查看Active Directory数据库
Active Directory数据库文件保存在%SystemRoot%\Ntds(本例为C:\windows\ntds)文件夹中,主要的文件如下。
- Ntds.dit:数据库文件。
- Edb.chk:检查点文件。
- Temp.edb:临时文件。
(5)查看DNS记录
为了让活动目录正常工作,需要DNS服务器的支持。活动目录安装完成后,重新启动DC1时会向指定的DNS服务器注册SRV记录。
依次选择“开始”→“Windows 管理工具”→“DNS”命令,或者在服务器管理器窗口中选择右上方的“工具”→“DNS”命令,打开“DNS管理器”窗口。一个注册了SRV记录的DNS服务器如下图所示。
注册了SRV记录:
如果因为域成员本身的设置有误或者网络问题,造成它们无法将数据注册到 DNS 服务,则可以在问题解决后重新启动这些计算机或利用以下方法来手动注册。
如果某域成员计算机的主机名与IP地址没有正确注册到DNS服务器,可到此计算机上运行ipconfig /registerdns命令来手动注册,完成后再到DNS服务器检查是否已有正确记录。例如,域成员主机名为DC1.long.com,IP地址为192.168.10.1,则检查区域long.com内是否有DC1的主机记录、其IP地址是否为192.168.10.1。
如果发现域控制器并没有将其扮演的角色注册到 DNS服务器内,也就是并没有类似上图所示的_tcp等文件夹与相关记录,可到此域控制器上选择“开始”→“Windows管理工具”→“服务”命令,打开下图所示的“服务”窗口。
重新启动Netlogon服务:
选中Netlogon服务,并单击鼠标右键,在弹出的快捷菜单中选择“重新启动”命令来注册。
具体操作也可以使用以下命令:
net stop netlogon
net start netlogon“服务器管理器”控制台的“工具”菜单中包含了“管理工具”的所有工具,因此,一般情况下,凡是集成在“管理工具”的工具都能在“服务器管理器”控制台的“工具”菜单中找到。
4、将MS1加入long.com域
下面再将MS1(IP:192.168.10.10/24)独立服务器加入long.com域,将MS1提升为long.com的成员服务器。MS1与DC1的虚拟机网络连接模式都是“仅主机模式”,步骤如下。
STEP 1 在 MS1服务器上,确认“本地连接”属性中的 TCP/IP 首选DNS指向了long.com域的DNS服务器,即192.168.10.1。
STEP 2 用鼠标右键单击“开始”菜单,在弹出的快捷菜单选择“控制面板”→“系统和安全”→“系统”→“高级系统设置”命令,弹出“系统属性”对话框,选择“计算机名”选项卡,单击“更改”按钮,弹出“计算机名/域更改”对话框,在“隶属于”选项区中,选中“域”单选按钮,并输入要加入的域的名称long.com,单击“确定”按钮。
STEP 3 输入有权限加入该域的账户名称和密码,确定后重新启动计算机即可。例如,输入该域控制器DC1.long.com的管理员账户和密码,如下图所示。
将MS1加入long.com域:
STEP 4 加入域后,其完整计算机名的后缀就会附上域名,即下图所示的MS1.long.com。
加入long.com域后的系统属性:
单击“关闭”按钮,按照界面提示重新启动计算机。
注意:
- Windows 10操作系统的计算机加入域中的步骤和Windows Server 2016网络操作系统加入域中的步骤相同。
- 这些被加入域的计算机,其计算机账户会被创建在Computers窗口内。
5、利用已加入域的计算机登录
除了利用本地账户登录,也可以在已经加入域的计算机上利用本地域用户账户登录。
1. 利用本地账户登录
在MS1登录界面中按Ctrl+Alt+Del组合键后,出现下图所示的界面,图中默认让用户利用本地系统管理员Administrator的身份登录,因此只要输入Administrator的密码就可以登录。
本地用户登录:
此时,系统会利用本地安全性数据库来检查账户与密码是否正确,如果正确,就可以成功登录,也可以访问计算机内的资源(若有权限),不过无法访问域内其他计算机的资源,除非在连接其他计算机时再输入有权限的用户名与密码。
2. 利用域用户账户登录
如果要利用域系统管理员Administrator的身份登录,则单击左下角的“其他用户”链接,打开下图所示的“其他用户”登录框,输入域系统管理员的账户(long\administrator)与密码,单击“登录”按钮进行登录。
域用户登录:
注意:
账户名前面要附加域名,如long.com\administrator或long\administrator,此时账户与密码会被发送给域控制器,并利用Active Directory数据库来检查账户与密码是否正确,如果正确,就可以成功登录,并且可以直接连接域内任何一台计算机并访问其中的资源(如果被赋予权限),不需要手动输入用户名与密码。当然,也可以用 UPN 登录,形如[email protected]。
6、安装额外的域控制器与RODC
一个域内若有多台域控制器,便可以拥有下面的优势:
- 改善用户登录的效率。若同时有多台域控制器来对客户端提供服务,就可以分担用户身份验证(账户与密码)的负担,提高用户登录的效率。
- 容错功能。若有域控制器故障,此时仍然可以由其他正常的域控制器来继续提供服务,因此对用户的服务并不会停止。在安装额外域控制器(Additional Domain Controller)时,需要将AD DS数据库由现有的域控制器复制到这台新的域控制器。然而若数据库非常庞大,则这个复制操作势必会增加网络负担,尤其是这台新域控制器位于远程网络内时。系统提供了两种复制AD DS数据库的方式。
- 通过网络直接复制。若AD DS数据库庞大,此方法会增加网络负担、影响网络效率。
- 通过安装介质。需要事先到一台域控制器内制作安装介质(Installation Media),其中包含AD DS数据库;接着将安装介质复制到U盘、CD、DVD等媒体或共享文件夹内;然后在安装额外域控制器时,要求安装向导到这个媒体或共享文件夹内读取安装介质内的AD DS数据库。这种方式可以大幅降低对网络造成的负担。若在安装介质制作完成之后,现有域控制器的AD DS数据库内有新变动数据,则这些少量数据会在完成额外域控制器的安装后,再通过网络自动复制过来。
下面说明如何将DC2升级为常规额外域控制器(可写域控制器),将右下角的DC3升级为RODC。其中DC2为域long.com的成员服务器,DC3为独立服务器。
1. 利用网络直接复制安装额外控制器
DC1、DC2和DC3的网络连接模式都是“仅主机模式”,首先要保证3台服务器通信畅通。
STEP 1 先在下图中的服务器DC2与DC3上安装Windows Server 2016,IPv4地址等按照图所示的信息来设置(图中采用TCP/IPv4),同时将DC2加入域long.com。
long.com域的网络拓扑:
注意将计算机名称分别设置为DC2与DC3即可,等升级为域控制器后,它们会自动被改为DC2.long.com与DC3.long.com。
STEP 2 在DC2上安装Active Directory域服务。操作方法与安装第1台域控制器的方法完全相同。安装完Active Directory域服务后,单击“将此服务器提升为域控制器”按钮,开始活动目录的安装。
STEP 3 当显示“部署配置”窗口时,选中“将域控制器添加到现有域”单选按钮,在“域”项下面直接输入“long.com”,或者单击“选择”按钮进行“域”的选择操作。单击“更改”按钮,弹出“Windows 安全性”对话框,需要指定可以通过相应主域控制器验证的用户账户凭据,该用户账户必须是 Domain Admins 组,拥有域管理员权限。例如,根域控制器的管理员账户long\administrator,如下图所示。
“部署配置”窗口:
注意
只有Enterprise Admins或Domain Admins内的用户有权建立其他域控制器。若现在登录的账户不隶属于这两个组(例如,现在登录的账户为本机Administrator),则需另外指定有权力的用户账户。
STEP 4 单击“下一步”按钮,显示下图所示的“域控制器选项”窗口。
① 选择是否在此服务器上安装DNS服务器(默认会),本例选择在DC2上安装DNS服务器。
② 选择是否将其设定为全局编录服务器(默认会)。
③ 选择是否将其设置为只读域控制器(默认不会)。
④ 设置目录服务还原模式的密码。
STEP 5 单击“下一步”按钮,出现下图所示的界面。
不勾选“更新DNS委派”复选框。注意,如果不存在DNS委派却勾选此复选框了,则在后面将会报错。
STEP 6 单击“下一步”按钮,出现下图所示的界面,继续单击“下一步”按钮,会直接从其他任何一台域控制器复制AD DS数据库。
STEP 7 在下图中可直接单击“下一步”按钮。
数据库文件夹:用来存储AD DS数据库。
日志文件文件夹:用来存储 AD DS 数据库的变更日志,此日志文件可被用来修复AD DS数据库。
SYSVOL 文件夹:用来存储域共享文件(如组策略相关的文件)。STEP 8 在“查看选项”窗口中单击“下一步”按钮。
STEP 9 在下图中,若顺利通过检查,就直接单击“安装”按钮,否则请根据界面提示先排除问题。
STEP 10 安装完成后会自动重新启动计算机,请重新登录。
2. 利用网络直接复制安装RODC
在DC3上安装RODC,DC3为独立服务器。DC2和DC3的网络连接模式都是“仅主机模式”,首先要保证两台服务器通信畅通。
STEP 1 在DC3上安装Active Directory域服务。操作方法与安装第1台域控制器的方法完全相同。安装完Active Directory域服务后,单击“将此服务器提升为域控制器”按钮,开始活动目录的安装。
STEP 2 当显示“部署配置”窗口时,选中“将域控制器添加到现有域”单选按钮,在“域”项下面直接输入“long.com”,或者单击“选择”按钮进行“域”的选择操作。单击“更改”按钮,弹出“Windows 安全性”对话框,需要指定可以通过相应主域控制器验证的用户账户凭据,该用户账户必须是Domain Admins组,拥有域管理员权限。例如,根域控制器的管理员账户long\administrator,如下图所示。
STEP 3 单击“下一步”按钮,显示下图所示的“域控制器选项”窗口,勾选“只读域控制器(RODC)”复选框,单击“下一步”按钮,直到安装成功,自动重新启动计算机。
“域控制器选项”-勾选“只读域控制器(RODC)”复选框:
STEP 4 依次选择“开始”→“Windows 管理工具”→“DNS”命令,分别打开 DC1、DC2、DC3的 DNS 服务器管理器,检查 DNS 服务器内是否有域控制器 DC2.long.com 与DC3.long.com的相关记录,如下图所示(DC2、DC3上的DNS服务器类似)。
检查DNS服务器:
这两台域控制器的 AD DS 数据库内容是从其他域控制器复制过来的,而原本这两台计算机内的本地用户账户会被删除。
注意:
在服务器DC1(第一台域控制器)升级成为域控制器之前,原本位于本地安全性数据库内的本地账户会在升级后被转移到Active Directory数据库内,而且是被放置到Users容器内,并且这台域控制器的计算机账户会被放置到Domain Controllers组织单位内,其他加入域的计算机账户默认会被放置到Computers容器内。只有在创建域内的第一台域控制器时,该服务器原来的本地账户才会被转移到Active Directory数据库,其他域控制器(如本例中的DC2、DC3)原来的本地账户并不会被转移到Active Directory数据库,而是被删除。
STEP 5 依次选择“开始”→“Windows 管理工具”→“Active Directory用户和计算机”命令,分别打开DC1、DC2、DC3的“Active Directory用户和计算机”,检查Domain Controllers容器里是否存在DC1、DC2、DC3(只读)等域控制器,如下图所示(DC2、DC3上的情况类似)。
Active Directory用户和计算机:
3. 利用安装介质来安装额外域控制器
先到一台域控制器上制作安装介质(Installation Media),也就是将AD DS数据库存储到安装介质内,并将安装介质复制到U盘或共享文件夹内。然后在安装额外域控制器时,要求安装向导从安装介质来读取AD DS数据库,这种方式可以大幅降低对网络造成的负担。
1)制作安装介质
请到现有的域控制器上执行ntdsutil命令来制作安装介质。
●若此安装介质是要给可写域控制器使用的,则需到现有的可写域控制器上执行ntdsutil指令。
●若此安装介质是要给 RODC 使用的,则可以到现有的可写域控制器或 RODC 上执行ntdsutil指令。
STEP 1 到域控制器DC1上利用域系统管理员的身份登录。
STEP 2 选中左下角的“开始”菜单,单击鼠标右键,在弹出的快捷菜单中选择“命令提示符”命令。
STEP 3 输入以下命令后按Enter键:
ntdsutil操作界面可参考下图:
STEP 4 在ntdsutil提示符下,执行以下命令。
activate instance ntds它会将域控制器的AD DS数据库设置为使用中。
STEP 5 在ntdsutil提示字符下,执行以下命令。
ifmSTEP 6 在ifm提示符下,执行以下命令。
create sysvol full c:\InstallationMedia注意:此命令假设要将安装介质的内容存储到C:\InstallationMedia文件夹内。其中的sysvol表示要制作包含ntds.dit与SYSVOL的安装介质;full表示要制作供可写域控制器使用的安装介质。若是要制作供RODC使用的安装介质,则将full改为RODC。
STEP 7 连续执行两次quit命令来结束ntdsutil。
STEP 8 将整个C:\InstallationMedia文件夹内的所有数据复制到U盘或共享文件夹内。
2)安装额外域控制器
STEP 1 将包含安装介质的U盘放到即将扮演额外域控制器角色的计算机DC4(还记得项目2的任务2-5吗?克隆生成了DC4)上,或将其放到可以访问到的共享文件夹内。本例放到DC4的C:\InstallationMedia文件夹内。设置DC4的计算机名称为DC4,IP地址为192.168.10.14/24, DNS服务器的IP地址为192.168.10.1。
STEP 2 安装额外域控制器的方法与前面的大致相同,因此下面仅列出不同之处。下面假设安装介质被复制到即将升级为额外域控制器的服务器DC4的C:\InstallationMedia文件夹内,在下图中改为选中“从介质安装”复选框,并在路径处指定存储安装介质的文件夹C:\InstallationMedia。
选中“从介质安装”复选框:
在安装过程中会从安装介质所在的文件夹 C:\InstallationMedia 复制 AD DS 数据库。若在安装介质制作完成之后,现有域控制器的 AD DS 数据库更新数据,则这些少量数据会在完成额外域控制器安装后再通过网络自动复制过来。
4. 修改RODC的委派与密码复制策略设置
若要修改密码复制策略设置或RODC系统管理工作的委派设置,则在开启“Active Directory用户和计算机”后,在下图中单击容器Domain Controllers右方扮演RODC角色的域控制器。
Active Directory 用户和计算机:
单击上方的属性图标,通过下图中的“密码复制策略”与“管理者”选项卡来设置。
“密码复制策略”与“管理者”选项卡:
也可以依次选择“开始”→“Windows 管理工具”→“Active Directory 管理中心”命令,通过“Active Directory管理中心”来修改上述设置:开启Active Directory管理中心后,如下图所示。
Active Directory管理中心的Domain Controllers:
单击容器Domain Controllers界面中间扮演RODC角色的域控制器,单击右方的“属性”选项,通过下图中的“管理者”选项与“扩展”选项中的“密码复制策略”选项卡来设定。
“密码复制策略”选项卡:
5. 验证额外域控制器运行正常
DC1是第一台域控制器,DC2服务器已经提升为额外域控制器,现在可以将成员服务器MS1的首选DNS指向DC1域控制器,备用DNS指向DC2额外域控制器,当DC1域控制器发生故障时,DC2额外域控制器可以负责域名解析和身份验证等工作,从而实现不间断服务。
STEP 1 在MS1上配置“首选DNS”的IP地址为192.168.10.1,“备用DNS”的IP地址为192.168.10.2。
STEP 2 利用DC1域控制器的“Active Directory用户和计算机”建立供测试用的域用户 domainuser1(新建用户时,姓名和用户登录名都是domainuser1)。刷新DC2、DC3的“Active Directory用户和计算机”中的users容器,发现domainuser1几乎同时同步到了这两台域控制器上。
STEP 3 将“DC1域控制器”暂时关闭,在VMware Workstation中也可以将“DC1域控制器”暂时挂起。
STEP 4 在“MS1”上,注销原来的administrator账户后,用“其他用户”登录,如下图所示。
在MS1上使用域账户“domainuser1”登录验证:
使用 long\domainuser1登录域,观察是否能够登录,如果可以登录成功,说明可以提供AD的不间断服务了,也验证了额外域控制器安装成功。
STEP 5 选择“DC2”→“服务器管理器”→“工具”命令,打开“Active Directory 站点和服务”窗口,依次单击“Sites”→“Default- First- Site- Name”→“Servers”→“DC2”→“NTDS Settings”选项,单击鼠标右键,在弹出的快捷菜单中选择“属性”命令,如下图所示。
“Active Directory站点和服务”窗口:
STEP 6 在弹出的对话框中取消勾选“全局编录”复选框,如下图所示。
取消勾选“全局编录”复选框:
STEP 7 在“服务器管理器”主窗口下,选择“工具”命令,打开“Active Directory用户和计算机”窗口,单击“Domain Controllers”选项,可以看到DC2的“DC类型”由之前的GC变为现在的DC,如下图所示。
查看“DC类型”:
7、转换服务器角色
Windows Server 2016网络操作系统的服务器在域中可以有3种角色:域控制器、成员服务器和独立服务器。当一台Windows Server 2016网络操作系统的成员服务器安装了活动目录后,服务器就成为域控制器,域控制器可以对用户的登录等进行验证;Windows Server 2016网络操作系统的成员服务器还可以仅仅加入域中,而不安装活动目录,这时服务器的主要目的是提供网络资源,这样的服务器称为成员服务器。
严格说来,独立服务器和域没有什么关系,如果服务器不加入域中,也不安装活动目录,服务器就称为独立服务器。
服务器的这3个角色的改换如图所示:
1. 域控制器降级为成员服务器
在域控制器上把活动目录删除,服务器就降级为成员服务器了。下面以图3-3中的DC2降级为例,介绍具体步骤。
1)删除活动目录注意要点
用户删除活动目录也就是将域控制器降级为独立服务器。降级时要注意以下3点:
- 如果该域内还有其他域控制器,则该域会被降级为该域的成员服务器。
- 如果这个域控制器是该域的最后一个域控制器,则被降级后,该域内将不存在任何域控制器。因此,该域控制器被删除,而该计算机被降级为独立服务器。
- 如果这台域控制器是“全局编录”,则将其降级后,它将不再担当“全局编录”的角色,因此要先确定网络上是否还有其他“全局编录”域控制器。如果没有,则要先指派一台域控制器来担当“全局编录”的角色,否则将影响用户的登录操作。
提示:指派“全局编录”的角色时,可以选择“开始”→“Windows管理工具”→“Active Directory站点和服务”→“Sites”→“Default-First-Site-Name”→“Servers”命令,展开要担当“全局编录”角色的服务器名称,用鼠标右键单击“NTDS Settings属性”选项,在弹出的快捷菜单中选择“属性”命令,在显示的“NTDS Settings属性”对话框中选中“全局编录”复选框。
2)删除活动目录
STEP 1 以管理员身份登录 DC2,单击左下角的服务器管理器图标,在下图所示的窗口中选择右上方的“管理”→“删除角色和功能”命令。
“删除角色和功能”:
STEP 2 在下图所示的对话框中取消勾选“Active Directory域服务”复选框,单击“删除功能”按钮。
删除服务器角色和功能:
STEP 3 出现下图所示的界面时,单击“确定”按钮,即将此域控制器降级。
验证结果:
STEP 4 如果在下图所示的界面中当前的用户有权删除此域控制器,则单击“下一步”按钮,否则单击“更改”按钮来输入新的账户与密码。
“凭据”窗口:
提示:如果因故无法删除此域控制器(例如,在删除域控制器时,需要能够先连接到其他域控制器,但是却一直无法连接),或者是最后一个域控制器,此时勾选图中的“强制删除此域控制器”复选框,一般情况下按默认值,不勾选此项。
STEP 5 在下图所示的界面中勾选“继续删除”复选框后,单击“下一步”按钮。
“警告”窗口:
STEP 6 在下图中为这台即将被降级为独立或成员服务器的计算机设置本地Administrator的新密码后,单击“下一步”按钮。
新管理员密码:
STEP 7 在查看选项界面中单击“降级”按钮。
STEP 8 完成后会自动重新启动计算机,请重新登录。(以域管理员登录,图中设置的是降级后的计算机DC2的本地管理员密码。)
注意:虽然这台服务器已经不再是域控制器了,但此时其Active Directory域服务组件仍然存在,并没有被删除。因此,也可以直接将其升级为域控制器。
STEP 9 在服务器管理器中,选择“管理”→“删除角色和功能”命令。
STEP 10 出现“开始之前”界面,单击“下一步”按钮。
STEP 11 确认选择目标服务器界面的服务器无误后单击“下一步”按钮。
STEP 12 在下图所示的界面中取消勾选“Active Directory域服务”复选框,单击“删除功能”按钮。
删除服务器角色和功能:
STEP 13 回到“删除服务器角色”界面时,确认“Active Directory域服务”已经被取消勾选(也可以一起取消勾选“DNS服务器”)后,单击“下一步”按钮。
STEP 14 出现“删除功能”界面时,单击“下一步”按钮。
STEP 15 在确认删除选择界面中单击“删除”按钮。
STEP 16 完成后,重新启动计算机。
2. 成员服务器降级为独立服务器
DC2删除Active Directory域服务后,降级为域long.com的成员服务器。现在将该成员服务器继续降级为独立服务器。
首先在DC2上以域管理员(long\administrator)或本地管理员(DC2\ administrator)身份登录。登录成功后,用鼠标右键单击“开始”菜单,单击“控制面板”→“系统和安全”→“系统”→“高级系统设置”命令,弹出“系统属性”对话框,选择“计算机名”选项卡,单击“更改”按钮,弹出“计算机名/域更改”对话框;在“隶属于”选项区中,选中“工作组”单选按钮,并输入从域中脱离后要加入的工作组的名称(本例为WORKGROUP),单击“确定”按钮;输入有权限脱离该域的账户的名称和密码,确定后重新启动计算机即可。
至此DC2已经变成一台独立服务器了。
8、创建子域
本次任务要求创建long.com的子域china.long.com。创建子域之前,需要先了解本任务实例部署的需求和实训环境。
1. 部署需求
在向现有域中添加域控制器之前需满足以下要求:
- 设置域中父域控制器和子域控制器的TCP/IP 属性,手动指定 IP 地址、子网掩码、默认网关和DNS服务器的IP地址等。
- 部署域环境,父域域名为long.com,子域域名为china.long.com。
2. 部署环境
本任务所有实例被部署在域环境下,父域域名为long.com,子域域名为china.long.com。其中父域的域控制器主机名为DC1,其本身也是DNS服务器,IP地址为192.168.10.1。子域的域控制器主机名为DC2(前例中的DC2通过降级已经变成独立服务器,使用前例中的服务器可以提高实训效率),其本身也是DNS服务器,IP地址为192.168.10.2。
具体网络拓扑图如图所示:
本例中仅用到 DC1和 DC2,DC2在前几个实例中是额外域控制器,降级后成为独立服务器。下面会将DC2升级为子域china的域控制器。
3. 创建子域
在计算机“DC2”上安装Active Directory域服务,使其成为子域“china.long.com”中的域控制器,具体步骤如下。
STEP 1 在DC2上以管理员账户登录,打开“Internet协议版本4(TCP/IPv4)属性”对话框,按拓扑图所示的信息配置DC2计算机的IP地址、子网掩码、默认网关以及DNS服务器的IP地址,其中DNS服务器一定要设置为自身的IP地址和父域的域控制器的IP地址。
STEP 2 添加“Active Directory 域服务”角色和功能的过程安装Active Directory域服务,这里不再赘述。
STEP 3 启动Active Directory安装向导(启动方法请参考安装活动目录),当显示“部署配置”窗口时,选中“将新域添加到现有林”单选按钮,单击“未提供凭据”后面的“更改”按钮,出现“Windows安全”对话框,输入有权限的用户long\administrator及其密码,如下图所示,单击“确定”按钮。
“部署配置”窗口:
STEP 4 出现提供凭据后的“部署配置”界面,如图所示。
提供凭据的“部署配置”界面:
请选择或输入父域名long,键入新域名china。(注意,不是china.long.com!)
STEP 5 单击“下一步”按钮,显示“域控制器选项”界面,如图所示。
“域控制器选项”界面:
选中安装DNS服务器。
STEP 6 单击“下一步”按钮,显示“DNS选项”界面,默认选中“创建DNS委派”复选框,如图所示。
“DNS选项”界面:
注意:前面的例子中若选中[创建DNS委派]则会出错。
STEP 7 单击“下一步”按钮,设置“NetBIOS”的名称。持续单击“下一步”按钮,在“先决条件检查”对话框中,如果顺利通过检查,就直接单击“安装”按钮,否则要按提示先排除问题。安装完成后会自动重新启动计算机。
STEP 8 重新启动计算机,升级为Active Directory域控制器之后,必须使用域用户账户登录,格式为“域名\用户账户”,选择“其他用户”可以更换登录用户。
注意:这里的China\Administrator域用户是DC2子域控制器中的管理员账户,不是DC1的,请务必注意。
4. 创建验证子域
STEP 1 重新启动DC2计算机后,用管理员身份登录到子域中。选择“服务器管理器”→“工具”→“Active Directory用户和计算机”命令,打开“Active Directory用户和计算机”窗口,可以看到china.long.com子域,如图所示。
“Active Directory用户和计算机”窗口:
STEP 2 在DC2上,选择“开始”→“Windows管理工具”→“DNS”命令,打开“DNS管理器”窗口,依次展开各选项,可以看到区域“china.long.com”,如下图所示。
子域域控制器的DNS管理器:
请打开DC1的DNS服务器的“DNS管理器”窗口,观察china区域下面有何记录。下图所示的是父域域控制器中的DNS管理器。
父域域控制器的DNS管理器:
5. 验证父子信任关系
通过前面的任务,我们构建了long.com及其子域china.long.com,而子域和父域的双向、可传递的信任关系是在安装域控制器时就自动建立的,同时由于域林中的信任关系是可传递的,因此同一域林中的所有域都显式或者隐式地相互信任。
STEP 1 在 DC1上以域管理员身份登录,选择“服务器管理器”→“工具”→“Active Directory域和信任关系”命令,弹出“Active Directory域和信任关系”窗口,可以对域之间的信任关系进行管理,如下图所示。
“Active Directory域和信任关系”窗口:
STEP 2 在窗口左侧用鼠标右键单击“long.com”节点,在弹出的快捷菜单中选择“属性”命令,打开“long.com属性”对话框,选择“信任”选项卡,如图所示。
long.com的信任关系:
可以看到long.com和其他域的信任关系。对话框的上部列出的是long.com所信任的域,表明long.com信任其子域china.long.com;窗口下部列出的是信任long.com的域,表明其子域china.long.com信任其父域long.com。也就是说,long.com和china.long.com有双向信任关系。
STEP 3 用鼠标右键单击“china.long.com”节点,在弹出的快捷菜单中选择“属性”命令,查看其信任关系,如下图所示。
china.long.com的信任关系:
可以发现,该域只是显式地信任其父域long.com,而和另一域树中的根域 smile.com 并无显式的信任关系。可以直接创建它们之间的信任关系,以减少信任的路径。
9、熟悉多台域控制器的情况
1. 更改PDC操作主机
如果域内有多台域控制器,则所设置的安全设置值是先被存储到扮演 PDC操作主机角色的域控制器内的,而它默认由域内的第1台域控制器扮演,可以选择DC1的“服务器管理器”→“工具”→“Active Directory用户和计算机”命令,选中“域名long.com”节点,并单击鼠标右键,在弹出的快捷菜单中选择“操作主机”命令,打开“操作主机”对话框,选择“PDC”选项卡来得知PDC操作主机是哪一台域控制器(例如,图中的操作主机为DC1.long.com),如下图所示。
操作主机:
2. 更改域控制器
如果使用Active Directory用户和计算机,则可以从上图所示的界面来更改所连接的域控制器为DNS1.long.com。
如果要更改连接到其他域控制器,可在下图所示的“Active Directory用户和计算机”窗口中,用鼠标右键单击“long.com”域,在弹出的快捷菜单中选择“更改域控制器”命令。
更改域控制器DNS1.long.com:
3. 登录疑难问题排除
当在 DC1域控制器上利用普通用户账户long\domainuser1登录时,如果出现下图所示的“不允许使用你正在尝试的登录方式……”警告界面。
登录警告界面:
表示此用户账户在这台域控制器上没有允许本地登录的权限,原因可能是尚未被赋予此权限、策略设置值尚未被复制到此域控制器或尚未应用。
解决问题的方法如下:
除了域 Administrators 等少数组内的成员外,其他一般域用户账户默认无法在域控制器上登录,除非另外开放。
一般用户必须在域控制器上拥有允许本地登录的权限,才可以在域控制器上登录。此权限可以通过组策略来开放:可到任何一台域控制器上(如DC1)进行如下操作。
STEP 1 以域管理员身份登录DC1,选择“服务器管理器”→“工具”→“组策略管理”→“林:long.com”→“域”→“long.com”→“Domain Controllers”命令,如图所示。
“组策略管理”界面:
选中“Default Domain Controllers Policy”节点,并单击鼠标右键,在弹出的快捷菜单中选择“编辑”命令。
STEP 2 在下图所示的界面中双击“计算机配置”处的“策略”选项。
“组策略管理编辑器”界面:
单击“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”选项,接着双击右侧的“允许本地登录”选项,然后单击“添加用户和组”按钮,将用户或组加入列表内。本例将domainuser1添加进来。在这里特别注意,由于 administrators 管理员组默认不在此列表,所以必须将其一起添加。
STEP 3 需要等设置值被应用到域控制器后才有效,应用的方法有以下3种:
- 将域控制器重新启动。
- 等域控制器自动应用此新策略设置,可能需要等待5分钟或更久。
- 手动应用:到域控制器上运行gpupdate或gpupdate/force。
STEP 4 可以在已经完成应用的域控制器上,利用前面创建的新用户账户来测试是否能正常登录。本例可使用[email protected]在DC1上进行登录测试。