转载:微信公众号“即到哥”
一、主域控
需求描述
兄弟们,windows Server2022搭建AD域控服务器。超详细过程来了,我们一起来看一下吧,需要的兄弟建议收藏,转发。
配置过程
首先安装windows Server2022操作系统,在Windows Server 2022系统中,通过Hyper-V创建多个Windows Server2022虚拟机。
一、修改服务器主机名。
进入系统后,使用win+r打开运行,在运行中输入sysdm.cpl。
打开系统属性,在系统属性中点击更改,来重命名这台计算机。
输入域控主机名,然后点击确定。
确定完成之后,需要重启服务器,这时我们点击确定。
然后点击立即重新启动。
这时域控服务器的主机名重命名完成。
二、为域控服务器配置静态IP地址。
再次使用win+r键,打开运行,在运行中输入ncpa.cpl。
打开网络连接,找到以太网。这里可以看到是Hype-V的虚拟网卡。
因为是AD域控服务器,所以还需要配置静态IP地址,然后将DNS服务器指向自己的IP地址,因为AD域控服务器,也是DNS服务器。
当然了,配置DNS有两种方式,第一种,就是将DNS设置为127.0.0.1。然后点击确定。
第二种,就是将DNS配置为AD域的IP地址,这两个配置都可以,就算你在DNS服务器中不是配置的127.0.0.1,而是配置的IP地址192.168.10.230。其实最后,安装完域控服务器后,DNS都会被设置为127.0.0.1的本机回环地址。
可以看到,虽说服务器配置了自己IP地址为DNS,但是现在网页还是打不开的,因为我们还没有安装AD域控服务器和DNS服务器。
那这时肯定有兄弟会问题,为什么安装域控服务器,必须要安装DNS服务器呢?因为域控器是使用DNS来解析主机名和域名的,以便其他计算机能够通过域名找到域控制器。
还有就是域控制器和其他计算机在域中加入时,会动态注册其服务记录和资源记录到 DNS 服务器中。这些记录对于域内计算机的身份验证和通信至关重要。
而且在 Windows 域中,域名必须是唯一的。DNS 服务可以帮助确保域名的唯一性,防止冲突和混乱。
所以安装 DNS 服务是在 Windows 网络中部署域控制器的必要步骤之一,它可以提供域名解析、动态注册、记录缓存和确保域名的唯一性等功能,确保域控制器和其他计算机在域中的正常运行和通信。
三、更新补丁,由于服务器的安全,我们还需要更新服务器的补丁 。
四、安装AD域服务器角色,打开服务器管理器。
在管理中,点击添加角色和功能。
默认下一步。
选择默认基于角色或基于功能的安装,下一步。
服务器选择中,可以看到我们的主机名和IP地址,然后下一步。
我们勾选Active Directory域服务。我们电脑加域主要用的就是Active Directory域服务这个角色。
然后,添加Active Directory域服务中所需要的功能,有AD DS和AD LDS工具,Active Directory模块,工具中有组策略管理。我们点击添加功能。
这时Active Directory域服务就被选中了,然后下一步。在这里我们没有选择DNS服务器,但是后面会默认安装DNS服务器角色。
功能选择默认下一步。
AD DS配置,默认下一步。AD DS存储有关网络上的用户、计算机和其他设备的信息。
这里有两个注意事项:
如果要确保在某台服务器中断的情况下,用户仍然可以登录到域控服务器,这里至少要安装两个域控服务器。这里就是要安装备域控服务器,备域控服务器,我们下载期再讲。
还有一个就是AD DS要求将DNS服务器安装在网络上,如果未安装DNS服务器,系统会提示你在该服务器上要安装DNS服务角色。这里也说明了,为什么在安装AD域控服务器时,虽说我们没有选择安装DNS服务器,最后,还是把DNS服务器安装上了。
点击安装。
正在安装AD域角色和功能。
AD域角色和功能安装完成,点击关闭。
在安装完成AD域角色和功能后,建议将服务器手动重新启动一下,然后再配置AD域服务器。
五、配置AD域服务器。
刚才是安装AD角色和功能,AD域角色和功能安装完成之后,下面来配置AD域。
打开服务器管理,找到右上角的小旗子图标,点击后,可以看到部署后配置,虽说我们安装了AD域服务角色和功能,但是如果没有配置AD域,那这台服务器还不是AD域服务器,只有安装配置了AD域服务器,这台服务器才是真正的AD域服务器。
点击将此服务器提升为域控制器。
选择部署操作,因为这台域控制器,在公司中是第一台域控制器,所以我们选择第三个,添加新林。根域名,jidaoge.com,当然了,这里的域名可以根据自己的需要求填定。
这里的根域名,填写的时候也要注意一下,一般有两种情况,主要是有的时候,填写的是xxx.com有的时候,填写的是xxx.local。在安装域控制器(Domain Controller)时,选择使用的域名对于整个域架构和命名约定都会产生影响。在选择域名时,主要的区别在于使用 xxx.com 和 xxx.local 作为域名的不同点如下:
xxx.com:建议用于生产环境。可用于公共互联网中的域名。可通过公共 DNS 服务器解析。在使用该域名时,需要确保拥有该域名的权利,以避免与现有的互联网域名冲突。
xxx.local:建议用于内部网络环境。不会与公共互联网中的域名冲突。通常用于内部域控制器和内部服务之间的通信。不需要向公共 DNS 服务器注册该域名。
选择使用 xxx.com 还是 xxx.local 作为域名取决于您的网络环境和需求。如果您的域控制器主要用于内部网络使用,并且不需要与公共互联网进行通信,则可以选择使用 xxx.local。如果您需要在公共互联网中使用域名或者需要确保域名的唯一性,则可以选择使用 xxx.com。
可以看到新林和根域的功能级别版本最高的也就是Windows server 2016,这个域控功能版本,不是windows系统版本,我们现在的windows 系统版本是2022。
在这里,可以看到域名系统DNS服务器,默认是勾选的,这个不是我们手动勾选的。
还有一个是全局编录,默认是直接勾选的。
那什么是全局编录呢?
在域控制器配置中,全局编录是指Active Directory中的全局目录服务数据库,其中存储了整个域中所有对象的信息,包括用户、计算机、组等。全局编录是Active Directory的核心组成部分,负责存储和管理域中的所有对象及其属性。
全局编录具有以下重要特点:
1.集中管理:全局编录提供了一个集中管理的机制,可以在一个地方管理整个域中的对象,包括用户、计算机、组等。
2.分布式:全局编录是分布式的,域控制器之间会复制全局编录数据,确保数据的一致性和可用性。
3.安全性:全局编录中的数据受到严格的访问控制和权限控制,只有经过授权的用户才能访问和修改数据。
4.灵活性:全局编录允许管理员定义自定义的属性和对象类别,以满足特定的业务需求。
5.通过全局编录,域控制器可以实现用户认证、授权、资源管理等功能,为整个域提供统一的管理和安全机制。
那什么又是键入目录服务还原模式DSRM密码?
键入目录服务还原模式(Directory Services Restore Mode,DSRM)密码是在安装域控制器时设置的密码,用于进入目录服务还原模式。目录服务还原模式是 Windows Server 中的一种特殊模式,用于修复域控制器出现问题时的紧急恢复操作。
DSRM密码的作用:
1.紧急恢复:当域控制器遇到严重问题,例如无法正常启动或域数据库损坏时,管理员可以使用 DSRM 密码登录目录服务还原模式,进行紧急修复和恢复操作。
2.目录服务维护:进入目录服务还原模式后,管理员可以执行一些高级维护任务,如进行数据库修复、进行域控制器的系统状态还原等操作。
3.重置域管理员密码:在目录服务还原模式下,管理员也可以重置遗忘的域管理员密码,以便重新获得管理员权限。
4.安全性:DSRM 密码的设置增强了系统的安全性,确保只有授权人员才能进入目录服务还原模式并执行相关操作。
5.DSRM密码是用于进入目录服务还原模式的凭据,具有紧急修复、维护和重置密码等功能,是保障域控制器安全和稳定运行的重要措施之一。
DNS选项,配置时,报无法创建该DNS服务器委派,这个直接跳过即可。
确保为域分配置了NetBIOS名称,并在必要时更改该名称。那NetBIOS又有什么作用呢?
确保为域分配了 NetBIOS 名称并在必要时更改该名称是为了确保域在网络中能够正常运行并避免冲突。NetBIOS 是一种用于在局域网中进行计算机通信的传统协议,它提供了一种基于名称的计算机标识和寻址机制。以下是 NetBIOS 的作用:
1.计算机标识:NetBIOS 名称是用于标识计算机在局域网中的唯一名称,通过 NetBIOS 名称可以识别和访问其他计算机。
2.名称解析:NetBIOS 名称与 IP 地址之间的解析是通过 NetBIOS Name Service (NBNS) 或 Windows Internet Name Service (WINS) 来实现的。当计算机需要与其他计算机通信时,会通过 NetBIOS 名称解析为对应的 IP 地址。
3.计算机通信:NetBIOS 协议提供了一种计算机之间进行通信的机制,包括文件共享、打印机共享、消息传递等功能。
4.旧系统兼容*:在早期的 Windows 网络中,NetBIOS 是主要的计算机通信协议,因此一些旧系统和应用程序仍然依赖于 NetBIOS。
5.NetBIOS 名称解析缓存:类似于 DNS 缓存,计算机会缓存已解析的 NetBIOS 名称和对应的 IP 地址,提高通信效率。
6.虽然 NetBIOS 是一种传统的协议,但在一些特定场景下仍然具有重要作用。通过为域分配并管理良好的 NetBIOS 名称,可以确保域内计算机之间能够正确识别和通信,提高网络的可靠性和稳定性。
客户端加域的电脑,也可以直接输入NEBIOS可以直接加域。
下面的配置默认下一步即可。
点击安装。
正在安装,等待一下。
域控服务器配置完成之后,会自动重启服务。
重新启动之后,可以看到登录就不一样了。
NetBIOS名称加用户名。
登录域控服务器之后,可以看到就算当时在配置之前,我使用的的DNS是192.168.10.230,配置域控服务器之后,可以看到现在的DNS变成了127.0.0.1。
然后,打开服务器管理器。
在工具中,找到Active Directory用户和计算机。
这时就可以正常打开域控制器中,我们最常用的Active Directory用户和计算机功能了。
在域控制器服务器中,这些文件夹代表了不同类型的安全主体(Security Principal)或对象集合,用于帮助管理域中的用户、计算机和其他安全对象。以下是这些文件夹的含义和作用:
Builtin:
含义:Builtin 文件夹包含了一些内置的安全主体,例如内置的用户组和计算机组。
作用:这些内置的安全主体提供了一些基本的安全功能,如内置管理员组、内置用户组等,用于管理权限和访问控制。
- Computers:
含义:Computers 文件夹包含了域中所有计算机对象的列表。
作用:用于管理域中的计算机对象,可以对计算机进行组织、授权和管理。
- Domain Controllers:
含义:Domain Controllers 文件夹包含了域中所有域控制器的列表。
作用:用于管理域中的域控制器对象,可以查看域控制器的属性、状态和配置信息。
- ForeignSecurityPrincipals:
含义:ForeignSecurityPrincipals 文件夹包含了与外部安全主体(外部域或非 Windows 系统)相关的信息。
作用:用于管理与外部系统或域相关的安全主体,用于跨域或与非 Windows 系统进行安全通信。
- Managed Service Accounts:
含义:Managed Service Accounts 文件夹包含了受管理服务账户的列表。
作用:用于管理受管理服务账户,这些账户用于运行服务和应用程序,并具有自动密码管理和更新功能。
- Users:
含义:Users 文件夹包含了域中所有用户账户的列表。
作用:用于管理域中的用户账户,可以创建、编辑和删除用户账户,分配权限和组织结构等。
这些文件夹和对象集合在域控制器中起着重要的管理和安全作用,帮助管理员组织和管理域中的安全主体,确保系统的安全性和稳定性。
二、备域控
需求描述
主域控已经创建完成了,如果要确保在域控服务器中断的情况下,用户仍然可以正常使用域控服务器,这里至少要安装两个域控服务器,要安装备域控服务器,如何安装?下面我们就来看一下,备域控服务器如何同步主域控中的用户和加域计算机?
创建备域控制器
重新安装一台Windows server 2022操作系统。系统安装完成之后,重命名服务器为DC2。
一、更改服务器主机名
使用win+r打开运行,在运行中输入sysdm.cpl。
然后重启服务器。
二、配置静态IP地址
备域服务器主要就是注意,首选DNS服务器,要配置为主服务器的IP地址,为192.168.10.230,备用DNS也就是自己的IP地址。
三、添加AD域服务角色
在服务器管理器中找到添加角色和功能。
默认下一步。
默认下一步。
服务器选择,默认下一步。
选择服务器角色中,还是选择Active Directory域服务。
点击添加功能。
这时Active Directory域服务就选中了。
功能,默认下一步。
默认下一步。
点击安装。
正在安装。
安装完成。
对于Active Directory域服务,添加角色功能都是一样的操作。就是在配置备AD域时有点不一样。
四、配置备域控服务器
点击将此服务顺路提升为域控制器。
在部署配置中,我们之前搭建主域时,选择的是添加新林,因为已经有主域控,已经有林了,所以这时我们要选择第一个,将域控制器添加到现有域。
然后在域后面输入主域的域名:jidaoge.com
这时会跳出来提供凭据,那这个凭据是谁的呢?就是主域的用户名和密码。
注意,这里前面一定要加上主域的NetBIOS名称\主域的域管理员,然后再输入域管理员密码。
然后点击确定,如果密码正常,这时就可以正常检索到主域。选中主域后点击确定。
确定完成之后,可以看到提供执行此操作所需要凭据已经在里面了。然后下一步。
输入DSRM密码。
默认下一步。
这里也非常关键,指定其他复制选项,这里我们要选择主域,因为这台备域控制器需要从主域控制器上来同步域用户的配置文件等。
选中主域控制器后,点击下一步。
默认下一步。
默认下一步。
点击安装。
正在安装中。
备域安装完成之后,服务器也会自动重启服务器。
五、验证
备域控制器,加完域之后,这时我们也可以使用主域控制器的域管理员登录到这个备域服务器上。
在AD2上,也可以看到jidaoge.com的Active Directory用户和计算机。
这时可以看到AD1和AD2中的Active Directory用户和计算机都是默认的。
如何查看哪台域控服务器是主域,哪台是备域,我们可以使用net accounts命令查看,当是主域时,计算机角色是Primary。
当是备域时,计算机角色就是backup。
我们还可以通过systeminfo来查看哪台域控是主域控器,哪台是备域控制器。
在主域控制器中,在Domain Controllers中,可以看到主域的DC01和备域控制器DC2的两台服务器。DC类型是GC,GC是全球编录。
在AD2备域中,也可以看到这两台主域服务器和备域服务器。
测试一:当我们在主域控制器上创建一个组织单位,那备域上会同步出来一个组织单位吗?
在主域上右击,新建,组织单位。
研发部。
刚创建完成之后,主域上有研发部,但是备域上没有。
等过个几秒钟以后,在AD2备域上,刷新之后,也出现了研发部。
测试二:如果我在备域上创建一个新的组织单位,那么主域中会同步备域中的配置吗?
在AD2上创建一个组织单位,销售部。
创建完成之后,可以看到主域控制器上没有出现销售部。
但是过了几秒之后,可以看到销售部已经同步到主域上面了。
如果将win11客户端加入到主域,可以看到主域的Computers中可以看到这个win11-01的计算机。
在备域中,也可以在Computers中查看到WIN11-01的计算机。
测试三:正常的加域电脑中的DNS如下配置。主域DNS在上面,备域DNS在下面。
假如,现在我把主DNS更改为192.168.10.231是备域控制器IP地址,备用DNS服务器IP地址不填写,那么你们说,现在将这个操作系统加域后,这个系统会先在备域控制器中出现吗?
我们来测试一下,在首选DNS服务器中配置的备域的IP地址,然后将电脑加域。
可以看到,虽说,我们在DNS中输入的是备域的IP地址,但是也可以正常加域,输入加域用户名和密码。
加域成功。
输入完用户名和密码之后,可以看到在主域中,出现了这台Win10-01的电脑,现在备域中还没有出现。
等待几秒后,可以看到win10-01这台电脑,已经同步到备域中了。
所以说,无论你客户端电脑配置的主DNS配置的主域或者备域,都是先将电脑加入到主域中,然后备域再从主域中同步数据。
版权归原作者 道不贱卖,法不轻传 所有, 如有侵权,请联系我们删除。