本文章最大程度还原企业的AD域控制器的部署,使用,搭建灾备等过程。适合中小型企业使用AD域控制器进行企业信息化管理。看完及实验约1小时左右,可以使你对AD活动目录有初步的了解。(吐槽下,高清截图放在博客里面,打开浏览就没有那么清晰)

老规矩,介绍走一波。


AD活动目录:

活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。)Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。Microsoft Active Directory 服务是Windows 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。


使用原因:

AD域控制器很多公司都在使用,建立环境了解下。

微软针对计算机及用户账号的管理俩种模式, 一种为工作组称为分散式管理(工作组模式,每台计算机只负责管理本机的账号。);另一种像AD一样的叫集中式管理。(域环境,所有的账号信息存放于域控制器)。


环境准备:

虚拟机环境:(网络隔离)

1、服务器版本:windows server 2016(标准版)

2、网络地址:192.168.10.10(主域控制器)192.168.10.20(副域控制器)

3、域名:eve.com

4、DNS服务(已安装)


安装步骤记录如下:

打开Hyper-V管理器


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用


准备两台服务器


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_02


adserver-1

设置静态IP地址(静态地址设置完毕,最好重启服务器)

192.168.10.10


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_03


adserver-2

设置静态IP地址(静态地址设置完毕,最好重启服务器)

192.168.10.20


AD搭建步骤记录如下:

开始菜单

服务器管理器


主域控制器安装(AD1)


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_04


添加角色功能

添加角色和功能


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_05


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_06


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_07


基于角色或基于功能的安装


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_08


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_09


从服务器池中选择服务器

下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_10


选择Active Directory域服务

DNS服务器

下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_11


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_12


微软有建议至少搭建两个AD域控制器

下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_13


安装


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_14


如果需要,自动重新启动目标服务器


等待安装

等待安装


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_15


完成AD安装

关闭


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_16


红旗标志

黄色感叹号


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_17


域配置

将此服务器提升为域控制器


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_18


添加新林

添加新林


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_19


输入根域名

下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_20


输入还原密码

下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_21


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_22


输入NetBIOS域名

自动检测

下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_23


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_24


新域名:eve.com

鼠标下滑


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_25


域管理员信息

域管理员信息与本机管理员信息相同


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_26


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_27


安装

安装


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_28


自动重启


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_29


重启画面


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_30


域控制器安装成功

登陆到EVE

说明域控制器已经安装成功


副域控制器安装(AD2)

下面进行安装副域控制器(由于安装步骤与主域控制器步骤一样,如图所示)


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_31


开始菜单

服务器管理


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_32


添加角色功能(AD2)

添加角色和功能


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_33


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_34


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_35


基于角色或基于功能的安装(AD2)

基于角色或基于功能的安装


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_36


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_37


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_38


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_39


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_40


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_41


如果需要,自动重新启动目标服务器


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_42


等待安装(AD2)

等待安装


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_43


关闭


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_44


红旗(黄色感叹号)


将此服务器提升为域控制器


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_45


将域控制器添加到现有域

域:eve.com


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_46


提供此操作所需的凭据

域控管理员的账号信息

确定


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_47


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_48


设置还原密码(AD2)


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_49


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_50


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_51


任何域控制器

下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_52


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_53


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_54


查看摘要信息


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_55


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_56


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_57


安装


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_58


正在检查域升级状态


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_59


等待安装


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_59


添加失败

原因是我克隆了一个windows server 2016


SID相同


报错信息(微软建议该服务器运行sysprep,重新生成新SID信息)



重新来


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_61


安装完毕之后,自动重启电脑


实验验证:

AD域控可以进行创建用户,设置分组,设置组策略等等操作

1、在ad1上创建ou

2、在ad2上查看ou


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_62


查看ou


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_63


右键


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_64


新建


新建用户


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_65


用户


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_66


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_67


输入密码


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_68


完成


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_69


AD域控常用功能

右键

属性


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_70


常用的有三个选项卡

常规


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_71


账户


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_72


可以设定账号的过期时间


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_73


隶属于


设置权限

在创建了用户之后,普通域用户尝试并不能进行登陆,提示请添加远程登陆权限。


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_74


开始菜单

windows管理工具


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_75


本地安全策略

本地安全策略


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_76


本地策略

用户权限分配

允许通过远程桌面服务登陆


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_77


添加用户或组

domain users


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_78


新建


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_79


确定


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_80


右键

属性


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_81


成员

检查名称


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_82


确定


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_83


应用

确定


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_84


工具

组策略管理


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_85


default domain policy(右键)

编辑


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_86


计算机配置

策略

windows设置

安全设置

账户策略


密码策略



使用步骤记录如下:

主域控制器DNS配置


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_87


DNS

右键服务器

DNS管理器


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_88


正向查找区域

新建区域


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_89


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_90


主要区域

在active directory 中存储区域(只有DNS服务器是可写域控制器时才可用)

下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_91


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_92


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_93


下一步


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_94


完成


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_95


转发器

右键

属性


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_96


编辑


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_97


输入dns地址


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_98


确定


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_99


应用

确定


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_100


cmd


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_101


gpupdate /force



灾备恢复步骤记录如下:


主域控制器转移到副域控制器(主动转移)

查看两个域控制器


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_102


ad1

ad2


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_103


cmd

netdom query fsmo


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_104


操作主机


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_105


RID


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_106


更改


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_107


报错


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_108


更改域控制器


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_109


ad2

确定


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_110


确定


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_111


确定


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_112


PDC

更改


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_113


基础架构

更改

更改之后的主机都指向ad2


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_114


工具

active directory域和信任关系


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_115


操作

操作主机


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_116


操作主机


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_116


更改

确定


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_118



Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_119


关闭


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_120


cmd

netdom query fsmo


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_121


可以看到架构主机是ad1


接下来进行架构主机角色迁移,在迁移前需要首先注册schmmgmt.dll,输入命令:regsvr32 schmmgmt.dll,回车后提示注册成功


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_122


mmc


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_123


文件

添加/删除管理单元


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_124


active directory架构

添加

确定


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_125


右键

更改active directory域控制器


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_126


ad 2

确定


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_127


提示


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_128


操作主机


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_129


更改


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_130


AD2


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_131



如何查看客户端登陆到哪台域控制器上 ?

在客户端DOS下输入“set logonserver” 就可以查看到当前客户端登陆的是哪一台域控制器


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_132



副域控制器强制升级为主域控制器(命令行)


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_133


cmd

ntdsutil

?

以管理员身份打开命令提示符窗口,输入:ntdsutil,回车,然后再输入:?,可以查看该工具的具体命令(此时fsmo 5大角色位于AD-2上,我们将其夺回到原有AD-1上)


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_134


roles

?

输入:roles,进入fsmo维护模式,再次输入:?,可以查看维护命令。

说明:Seize夺取,即在主AD已经挂了情况下,辅助AD强制夺取5大角色。Transfer传送,是在原主AD未挂的情况下,传送5大角色到辅助AD,适合AD升级。


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD活动目录的搭建使用_135


connections

connect to server adserver-1

输入命令:connections回车后,再输入命令:connect to server adserver-1,当绑定到ad时,输入quit,退出服务器连接进入fsmo维护模式,再次打问号:?查看都有哪些命令可以使用。


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_2016设置AD活动目录_136


依次执行五条命令

Seize infrastructure master


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_137


提示成功


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_138


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_139


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_140


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_141


最后进行fsmo查询


Server 2016部署AD活动目录、安装搭建、使用、灾备恢复_AD域控制器的灾备设置_142


ad 1


至此,AD活动目录的使用,搭建,使用,灾备恢复已经全部实验完。




如有问题,可留言交流。