AD DS部署配置

《AD DS部署配置》由会员分享，可在线阅读，更多相关《AD DS部署配置（28页珍藏版）》请在装配图网上搜索。

1、第 1 章 实施 Active Directory 域服务章节概述章节概述 第第 1 节：节：安装安装 Active Directory 域服务域服务 第第 2 节：节：部署只读域控制器部署只读域控制器第第 3 节：节：配置配置 AD DS 域控制器角色域控制器角色 第第 1 节：安装节：安装 Active Directory 域服务域服务 安装安装 AD DS 的要求的要求域功能级别和林功能级别域功能级别和林功能级别AD DS 安装过程安装过程安装安装 AD DS 的高级选项的高级选项从介质安装从介质安装 AD DS演示：验证演示：验证 AD DS 安装安装升级到升级到 Windows Se

2、rver 2008 AD DS在服务器核心计算机上安装在服务器核心计算机上安装 AD DS讨论：讨论：AD DS 的常见配置的常见配置 安装安装 AD DS 的要求的要求 在林中安装第一个域控制器的本地管理员权限在林中安装第一个域控制器的本地管理员权限 在域中安装更多域控制器的域管理员权限在域中安装更多域控制器的域管理员权限 在林中安装更多域的企业管理员权限在林中安装更多域的企业管理员权限管理员权限管理员权限 必须配置必须配置 TCP/IP，包括，包括 DNS 客户端设置客户端设置 域控制器上必须已经有或将要配置支持动态更新的域控制器上必须已经有或将要配置支持动态更新的 DNS 服务器服务器

3、网络配置网络配置运行运行 Windows Server 2008 的计算机（不支持的计算机（不支持 Web Server 版）版）磁盘空间至少磁盘空间至少 250 MB，格式化为，格式化为 NTFS 文件系统的分区文件系统的分区安装安装 AD DS 的的服务器要求服务器要求 域功能级别和林功能级别域功能级别和林功能级别功能级别：功能级别：决定域或林中可用的决定域或林中可用的 AD DS 功能功能 在域或林中的域控制器上，可限制运行哪些在域或林中的域控制器上，可限制运行哪些 Windows Server 操作系统操作系统支持的域控制器操作系统支持的域控制器操作系统Windows 2000Wind

4、ows 2000 纯模式纯模式 Windows Server 2003Windows Server2003 Windows Server 2008 Windows Server 2008 林林域域Windows Server 2008 Windows Server 2003Windows 2000 ServerWindows Server 2008 Windows Server 2003Windows Server 2008 支持的功能级别：支持的功能级别：AD DS 安装过程安装过程 使用使用“服务器管理器服务器管理器”安装安装 Active Directory 域服务角色域服务角色1 选择

5、部署配置选择部署配置 3 配置附加域控制器功能配置附加域控制器功能 4 运行运行 Active Directory 域服务安装向导域服务安装向导 2 选择数据库、日志文件和选择数据库、日志文件和 SYSVOL 文件夹的位置文件夹的位置5 配置目录服务还原模式管理员密码配置目录服务还原模式管理员密码 6安装安装 AD DS 的高级选项的高级选项使用高级模式选项：使用高级模式选项：创建新的域树创建新的域树 使用备份介质作为使用备份介质作为 AD DS 信息源信息源为了访问高级模式安装选项，可选择为了访问高级模式安装选项，可选择“安装向导安装向导”中的中的“高级模式高级模式”选项，或者运行选项，或者

6、运行 DCPromo/adv 选择用于安装的源域控制器选择用于安装的源域控制器 修改默认的域修改默认的域 NetBIOS 名称名称 定义定义 RODC 的密码复制策略的密码复制策略从介质安装从介质安装 AD DS使用使用 Ntdsutil.exe 创建安装介质。创建安装介质。Ntdsutil.exe 可创建以下类型的安装介质可创建以下类型的安装介质：完全（或可写）域控制器完全（或可写）域控制器 带有带有 SYSVOL 数据的完全（或可写）域控制器数据的完全（或可写）域控制器 带有带有 SYSVOL 数据的只读域控制器数据的只读域控制器 只读域控制器只读域控制器 演示：验证演示：验证 AD DS

7、 安装安装在本演示中，你将看到如何验证在本演示中，你将看到如何验证 AD DS 安装。安装。升级到升级到 Windows Server 2008 AD DS安装之前安装之前adprep/forestprepWindows 2000 Windows 2003adprep/domainprep/gpprep Windows Server2000 adprep/domainprepWindows Server 2003 命令命令当前版本当前版本Windows Server 2008 域控制器域控制器必须在其他必须在其他 adprep 命令之命令之前运行前运行 Windows Server 2008

8、域控制器域控制器Windows Server 2008 域域控制器控制器为安装 Windows Server 2008 域控制器而准备以前版本的 Active Directory：adprep/rodcprepWindows Server 2003Windows Server 2008 RODC在服务器核心计算机上安装在服务器核心计算机上安装 AD DS为了在服务器核心计算机上安装为了在服务器核心计算机上安装 AD DS，可使用应答文件执行无人参与安装。，可使用应答文件执行无人参与安装。按照以下语法使用按照以下语法使用 Dcpromo 命令：命令：Dcpromo/answer:filename

9、 其中其中 filename 是应答文件的名称是应答文件的名称讨论：讨论：AD DS 的常见配置的常见配置安装第一个安装第一个 Windows Server 2008 域控制器后，你还将在环域控制器后，你还将在环境中采取哪些其他步骤？境中采取哪些其他步骤？在域中部署了除第一个域控制器外的其他域控制器之后，这些任务在域中部署了除第一个域控制器外的其他域控制器之后，这些任务有何变化？有何变化？“服务器管理器服务器管理器”中列出的哪些建议适用于你的公司？中列出的哪些建议适用于你的公司？第第 2 节：部署只读域控制器节：部署只读域控制器只读域控制器只读域控制器只读域控制器的功能只读域控制器的功能准备安

10、装准备安装 RODC 安装安装 RODC委派委派 RODC 安装安装密码复制策略密码复制策略演示：配置管理员角色分离和密码复制策略演示：配置管理员角色分离和密码复制策略 只读域控制器只读域控制器RODC 承载承载 AD DS 数据库的只读分区，数据库的只读分区，只接受复制的只接受复制的 Active Directory 更改，更改，并且从不发起复制。并且从不发起复制。RODC：不能承担操作主机角色，或配置为复制桥头服务器不能承担操作主机角色，或配置为复制桥头服务器 可部署在运行可部署在运行 Windows Server 2008 服务器核心的服务器上以提高安全性服务器核心的服务器上以提高安全性

11、RODC提供：提供：为物理安全条件有限的分支机构提供额外的安全性为物理安全条件有限的分支机构提供额外的安全性 在域控制器上必须运行应用程序的情况下，提供额外的安全性在域控制器上必须运行应用程序的情况下，提供额外的安全性 RODC只读域控制器的功能只读域控制器的功能RODC 提供：提供：单向复制单向复制 凭据缓存凭据缓存 管理角色分离管理角色分离 只读只读 DNS RODC 筛选的属性集筛选的属性集 准备安装准备安装 RODC安装安装 RODC 之前：之前：确保域和林为确保域和林为 Windows Server 2003 功能级别功能级别 确保运行确保运行 Windows Server 2008

12、 的可写域控制器可用于复制域分区的可写域控制器可用于复制域分区 运行运行 ADPrep/rodcprep 使使 RODC 能复制能复制 DNS 分区分区 如果如果 RODC 将作为全局编录服务器，那么在所有域中运行将作为全局编录服务器，那么在所有域中运行 ADPrep/domainprep 安装安装 RODC 选择在现有域中安装其他域控制器的选项选择在现有域中安装其他域控制器的选项 1 如果要配置密码复制策略，那么选择高级模式安装如果要配置密码复制策略，那么选择高级模式安装3 选择从选择从 Active Directory 域服务安装向导中安装域服务安装向导中安装 RODC 的选项的选项 2

13、要在服务器核心安装上安装要在服务器核心安装上安装 RODC，可使用包含，可使用包含 ReplicaOrNewDomain=ReadOnlyReplica 值的无人参与安装文件值的无人参与安装文件 委派委派 RODC 安装安装 为了委派为了委派 RODC 安装：安装：在在 Domain Controllers 容器中预先创建容器中预先创建 RODC 计算机帐户计算机帐户 为用户或组分配安装为用户或组分配安装 RODC 的权限的权限 为了完成委派为了完成委派 RODC 安装，附带安装，附带 /UseExistingAccount:Attach 开关运行开关运行 DCPromo 密码复制策略密码复制

14、策略 密码复制策略决定了密码复制策略决定了 RODC 如何为通过身份验证的用户执行凭据缓存如何为通过身份验证的用户执行凭据缓存 默认情况下，默认情况下，RODC 不缓存任何用户凭据或计算机凭据不缓存任何用户凭据或计算机凭据 不缓存凭据不缓存凭据 在在 RODC 上为指定用户启用凭据缓存上为指定用户启用凭据缓存 配置密码复制策略的选项：配置密码复制策略的选项：将用户或组添加到将用户或组添加到“域域 RODC 密码复制允许的组密码复制允许的组”，这样凭据就可以缓存在所有这样凭据就可以缓存在所有 RODC 上上 演示：配置管理员角色分离和密码复制策略演示：配置管理员角色分离和密码复制策略 在本演示中

15、，你将看到如何：在本演示中，你将看到如何：配置管理员角色分离配置管理员角色分离配置配置 RODC 密码复制组密码复制组跟踪有哪些用户登录到跟踪有哪些用户登录到 RODC为这些帐户配置密码复制策略为这些帐户配置密码复制策略 第第 3 节：配置节：配置 AD DS 域控制器角色域控制器角色 全局编录服务器全局编录服务器修改全局编录修改全局编录 演示：配置全局编录服务器演示：配置全局编录服务器操作主机角色操作主机角色演示：管理操作主机角色演示：管理操作主机角色 Windows 时间服务的工作方式时间服务的工作方式 全局编录服务器全局编录服务器域域域域域域域域域域域域域域全局编录服务器全局编录服务器全

16、局编录全局编录结果结果查询查询修改全局编录修改全局编录全局编录服务器全局编录服务器创建附加属性创建附加属性 只添加你频繁查询或引用的附加属性。只添加你频繁查询或引用的附加属性。firstNamelastNameemail addressaccountExpiresdistinguishedName常常用用属属性性departmentfirstNamelastNameemail addressaccountExpiresdistinguishedName更更改改后后的的属属性性演示：配置全局编录服务器演示：配置全局编录服务器在本演示中，你将看到如何：在本演示中，你将看到如何：使用使用“Activ

17、e Directory 站点和服务站点和服务”配置全局编录服务器配置全局编录服务器将服务器核心上的域控制器配置为全局编录服务器将服务器核心上的域控制器配置为全局编录服务器将属性添加到全局编录服务器将属性添加到全局编录服务器操作主机角色操作主机角色角色角色描述描述架构主机架构主机 每个林一个每个林一个 执行对执行对 Active Directory 架构的所有更新架构的所有更新 域命名主机域命名主机 每个林一个每个林一个 管理添加和删除所有域和目录分区管理添加和删除所有域和目录分区 RID 主机主机 每域一个每域一个 将成批的将成批的 RID 分配到域中的每个域控制器分配到域中的每个域控制器PD

18、C 仿真器仿真器 每域一个每域一个 最大限度降低密码更改的复制延迟最大限度降低密码更改的复制延迟 同步域中所有域控制器上的时间同步域中所有域控制器上的时间基础结构主机基础结构主机 每域一个每域一个 更新其所属域中指向其他域中的对象的对象引用更新其所属域中指向其他域中的对象的对象引用 演示：管理操作主机角色演示：管理操作主机角色在本演示中，你将看到如何：在本演示中，你将看到如何：确定哪台服务器承担操作主机角色确定哪台服务器承担操作主机角色移动操作主机角色移动操作主机角色占据操作主机角色占据操作主机角色 Windows 时间服务的工作方式时间服务的工作方式时间同步非常重要，因为：时间同步非常重要，因为：Kerberos 身份验证包含时间戳身份验证包含时间戳 域控制器之间的复制带有时间戳域控制器之间的复制带有时间戳 Windows 时间服务（时间服务（W32Time）为为 域控制器和客户端计算机提供网络时钟域控制器和客户端计算机提供网络时钟 同步同步。域控制器域控制器PDC 仿真器仿真器客户端计算机客户端计算机 在在 Windows Server 2008 林中，林中，PDC 仿真器用于为所有其他计算机仿真器用于为所有其他计算机 提供公信时间。提供公信时间。