2部署全新AD DS域服务.docx
- 文档编号:16223542
- 上传时间:2023-07-11
- 格式:DOCX
- 页数:25
- 大小:800.16KB
2部署全新AD DS域服务.docx
《2部署全新AD DS域服务.docx》由会员分享,可在线阅读,更多相关《2部署全新AD DS域服务.docx(25页珍藏版)》请在冰点文库上搜索。
2部署全新ADDS域服务
部署全新ADDS域服务
ADDS域服务是WindowsServer2008的核心服务,主要提供用户身份验证、检索、组织结构规划、部署企业策略等基础服务。
与WindowsServer2003中不同,WindowsServer2008中的ADDS域服务以服务的方式运行,可以在不停机的状态下停止ADDS域服务。
一、基本概念介绍
1、独立服务器:
指安装有WindowsServer操作系统,但不是域成员,具有独立操作功能的服务器。
2、域控制器:
指安装了活动目录(ActiveDirectory)的服务器,主要负责管理用户对网络的各种各种权限。
3、成员服务器:
独立服务器添加为域成员后就变成了成员服务器,主要用来充当应用服务器、web服务器、数据库服务器等。
4、服务器角色:
在WindowsServer2008中,根据主要功能、用途的区别划分了16个角色,ADDS便是其中一个。
5、DNS:
全名叫DomainNameServer(域名服务器),提供了一种将名称和IP地址相关联的方法,这样用户就可以通过较易记忆的域名来代替难以记忆的IP地址进行操作。
6、域:
活动目录中的逻辑组织单元
7、域树:
域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。
树中的域通过信任关系连接起来,活动目录包含一个或多个域树。
域树中的域层次越深级别越低,一个“.”代表一个层次,如域child.M就比M这个域级别低,因为它有两个层次关系,而M只有一个层次。
而域Grandchild.Child.M双比Child.M级别低,道理一样。
他们都属于同一个域树。
Child.M就属于M的子域。
域“child.M”就比“M”这个域级别低,因为前者有两个层次关系,而后者只有一个层次。
域树中的域是通过双向可传递信任关系连接在一起的,因此在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。
这些信任关系允许单一的登录过程,在域树或树林中的所有域上对用户进行身份验证,但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。
因为域是安全界限,所以必须在每个域的基础上为用户指派相应的权利和权限。
8、域森林:
域林是指由一个或多个没有形成连续名字空间的域树组成,它与域树最明显的区别就在于域林之间没有形成连续的名字空间,而域树则是由一些具有连续名字空间的域组成。
但域林中的所有域树仍共享同一个表结构、配置和全局目录。
域林中的所有域树通过Kerberos信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同域树可以交叉引用其他域树中的对象。
域林都有根域,域林的根域是域林中创建的第一个域,域林中所有域树的根域与域林的根域建立可传递的信任关系.比如,则可以创建同属与一个林的,他们就在同一个域林里.
二、ADDS域服务对象介绍
1、计算机(Computer):
指网络上的计算机资源。
2、用户(User):
是活动目录中的安全主体,可被授予访问权限。
3、组(Group):
用于存放用户、计算机等对象的容器。
4、联系人(Contactor):
非安全主体的一个账户,不能被授予权限,一般情况下用于E-mail联系。
5、组织单元(OrganizationalUnit,简称OU):
用于组织其他活动目录的容器和对象。
6、默认容器对象:
6.1、Builtin容器:
是ADDS域服务创建的第一个容器,主要用于保存域中本地域组对象,比如Domainadmins。
6.2、Computer容器:
用于存放成员计算机的计算机帐户。
6.3、DomainController容器:
用于存放当前域的所有域控制器。
6.4、ForeignSecurityPrincipals容器:
主要存放受信任的外域中的安全主体。
6.5、Users容器:
主要用于存放用户组和当前域中的所有用户账户。
三、部署ADDS域服务的前期准备
1、设置网络运行模式
WindowsServer2008默认安装后是“公用网络”的网络类型,建议部署ActiveDirectory时使用“专用网络”类型。
补充:
专用网络指被配置为工作组成员的计算机所连接的网络,或者没有直接连接到Internet的网络,默认情况下,在专用网络上会启用发现功能,这样可以降低对专用网络上的计算机发现其他网络计算机和设备的限制。
公用网络指处于公共场所的非内部网络,默认情况下,在公用网络会禁用发现功能,这样可以通过防止公用网络上的计算机发现其他网络计算机或设备而增强安全性。
发现功能主要意味着
(1)本计算机可以发现网络上的其他计算机和设备;
(2)网络上的其他计算机可以发现本机
1.1、依次选择“Start”→“Controlpanel”→“NetworkandSharingCenter”,点击如下图所示的“Customize”链接;
1.2、在Locationtype中选择“Private”,之后点击“Next”→“Close”完成设置。
2、设置网络参数
默认状态下,WindowsServer2008会同时启用IPv4和IPv6,但在安装ADDS时不允许两种协议同时存在,必须去除一项。
这里我们选择使用IPv4。
2.1、依次选择“Start”→“Controlpanel”→“NetworkandSharingCenter”,点击如下图所示的“Viewstatus”链接;
2.2、在“LocalAreaConnectionStatus”窗口中点击“Properties”;
2.3、在“LocalAreaConnectionProperties”窗口中取消“InternetProtocolVersion6(TCP/IPv6)”前的复选框,点击“OK”完成。
3、修改服务器IP地址
3.1、仍然是在“LocalAreaConnectionProperties”窗口中,选择“InternetProtocolVersion4(TCP/IPv4)”,然后点击“Properties”按钮;
3.2、选择“usethefollowingIPaddress”,此时下方的“usethefollowingDNS
Serveraddress”也会自动选中,设置好域控制器的IP地址、子网掩码、默认网关和DNS(我们准备在本机安装DNS服务,所以设置DNS为本机);
3.3、点击“OK”→“Close”完成设置。
4、修改服务器计算机名
4.1、依次选择“Start”→“Computer”→“Properties”;
4.2、出现System窗口,点击“Changesettings”链接;
4.3、在“SystemProperties”窗口中点击“Change…”按钮;
4.4、输入新的计算机名,点击“OK”;
4.5、提示需要重启计算机,点击“OK”
4.6、点击“RestartNow”重启服务器,设置便完成。
四、部署全新的ADDS域服务
部署全新的ADDS域服务主要分为两个步骤:
1)安装ADDS域服务角色;2)使用dcpromo.exe命令安装域服务。
1、依次选择“Start”→右键点击“Computer”→“Manage”打开“ServerManager”窗口;
2、在左边树形菜单中选择“Roles”,在右边窗口中点击“AddRoles”;
3、出现“BeforeYouBegin”窗口,单击“Next”按钮;
4、在如下“SelectServerRoles”窗口的“Roles”列表中选择“ActiveDirectoryDomainServices”,单击“Next”按钮;
5、出现“ActiveDirectoryDomainServices”窗口,该窗口中有ADDS的相关介绍和注意事项,单击“Next”按钮;
6、显示“ConfirmInstallationSelections”对话框,单击“Install”;
7、开始安装进程;
8、完成后,单击“ClosethewizardandlaunchtheActiveDirectoryDomainServicesInstallationWizard(dcpromo.exe)”超链接;
9、显示“WelcometotheActiveDirectoryDomainServicesInstallationWizard”对话框,直接单击“Next”按钮;(其中的“advancedmodeinstallation”超链接可以进行更详细的控制安装过程,但只建议有经验的用户使用)
10、直接单击“OperatingSystemCompatibility”中的“Next”按钮;
11、选择“Createanewdomaininanewforest”,单击“Next”;
12、设置林根域的FQDN,单击“Next”;
13、选择林功能级别(这里我们选择的是WindowsServer2008),单击“Next”;
14、由于ADDS需要DNS的支持,如果网络环境中没有DNS服务器,我们可以使用林根域服务器同时担当DNS服务器,选择“DNSServer”,单击“Next”;
15、弹出如下警告窗口,提示为找到权威父区域或为运行DNS,这里直接单击“Yes”;
16、设置数据库、日志和SYSVOL的位置,在生产环境中,出于性能和可恢复性的要求,建议分别放在不同的磁盘或存储设备中,之后单击“Next”;
17、设置目录服务欢迎模式下的administrator密码(该密码用户进行ADDS恢复时使用,如果忘记,还可以通过ntdsutil.exe工具来重置),单击“Next”;
18、出现“Summary”窗口,显示ADDS的设置信息,单击“Next”按钮,这里也可以先点击“Exportsettings…”按钮将设置信息导出成文本文件,用于以后的无人值守安装;
19、弹出ADDS安装窗口
20、完成后点击“Finish”;
21、提示需要重启电脑,点击“RestartNow”重启
22、至此,一个全新的ADDS安装过程便完成了。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2部署全新AD DS域服务 部署 全新 AD DS 服务