001.AD域控簡介及使用

2021 年 11 月 15 日
筆記
AD域, Windows, 域控, 系統管理

一 AD概述

1.1 AD簡介

域(Domain)是Windows網路中獨立運行的單位，域之間相互訪問則需要建立信任關係。

當一個域與其他域建立了信任關係後，2個域之間不但可以按需要相互進行管理，還可以跨網分配文件和印表機等設備資源，使不同的域之間實現網路資源的共享與管理，以及相互通訊和數據傳輸。

域既是 Windows 網路作業系統的邏輯組織單元，也是Internet的邏輯組織單元，在 Windows 網路作業系統中，域是安全邊界。域管理員只能管理域的內部，除非其他的域顯式地賦予他管理許可權，他才能夠訪問或者管理其他的域，每個域都有自己的安全策略，以及它與其他域的安全信任關係。

1.2 域的原理

工作組方式使得系統的一切設置在本機上進行，包括各種策略、用戶登錄，密碼也是存放在本機的資料庫來驗證。若該電腦加入域的話，各種策略是域控制器統一設定，用戶名和密碼也是放到域控制器去驗證，即帳號密碼可以在同一域的任何一台電腦登錄。

「域」的真正含義指的是伺服器控制網路上的電腦能否加入的電腦組合。

在「域」模式下，至少有一台伺服器負責每一台聯入網路的電腦和用戶的驗證工作，稱為「域控制器（Domain Controller，簡寫為DC）」。

域控制器中包含了由這個域的賬戶、密碼、屬於這個域的電腦等資訊構成的資料庫。

當電腦聯入網路時，域控制器首先要鑒別這台電腦是否是屬於這個域的，用戶使用的登錄帳號是否存在、密碼是否正確。

如果以上資訊有一樣不一致，那麼域控制器則拒絕這個用戶從這台電腦登錄。

1.3 域和組的區別

工作組是一群電腦的集合，它僅僅是一個邏輯的集合，各自電腦各自管理，若要訪問其他電腦，需要被訪問電腦上來實現用戶驗證的。

而域是一個有安全邊界的電腦集合，在同一個域中的電腦彼此之間已經建立了信任關係，在域內訪問其他機器，不再需要被訪問機器的許可了。

因為在加入域的時候，管理員為每個電腦在域中（可和用戶不在同一域中）建立了一個電腦帳戶，這個帳戶和用戶帳戶一樣，也有密碼（登錄憑證，由DC（域控制器）上的KDC服務來頒發和維護）保護的。

域和工作組適用的環境不同，域一般是用在比較大的網路里，工作組則較小，在一個域中需要一台類似伺服器的電腦，叫域控伺服器，其他電腦如果想互相訪問首先都是經過它的。

但是工作組則不同，在一個工作組裡的所有電腦都是對等的，也就是沒有伺服器和客戶機之分。

1.4 域的優勢

方便管理,許可權管理比較集中,可以較好的管理電腦資源。
安全性高,有利於企業的一些保密資料的管理,比如一個文件只能讓某一個人或指定人員看,但不可以刪/改/移等。
方便對用戶操作進行許可權設置,可以分發,指派軟體等,實現網路內的軟體一起安裝。
很多服務必須建立在域環境中,對管理員來說有好處:統一管理,方便在MS 軟體方面集成,如ISA EXCHANGE(郵件伺服器)、ISA SERVER(上網的各種設置與管理)等。
使用漫遊賬戶和文件夾重定向技術,個人賬戶的工作文件及數據等可以存儲在伺服器上,統一進行備份、管理,用戶的數據更加安全、有保障。
方便用戶使用各種資源。
SMS(System Management Server)能夠分發應用程式、系統修補程式等,用戶可以選擇安裝,也可以由系統管理員指派自動安裝。並能集中管理系統修補程式(如Windows Updates),不需每台客戶端伺服器都下載同樣的修補程式,從而節省大量網路頻寬。
資源共享：用戶和管理員可以不知道他們所需要的對象的確切名稱,但是他們可能知道這個對象的一個或多個屬性,他們可以通過查找對象的部分屬性在域中得到一個所有已知屬性相匹配的對象列表,通過域使得基於一個或者多個對象屬性來查找一個對象變得可能。

提示：如上參考 //zhuanlan.zhihu.com/p/45553448 。

二部署規劃準備

2.1 伺服器規劃

按照如下規劃配置主機名（domain前綴）及IP。

伺服器名稱

描述

IP

DNS

作業系統

備註

adserver.imxhy.com

DNS伺服器

AD域控

10.7.11.10

127.0.0.1

Windows Server 2016 R2 DC

nodea

域控伺服器

10.7.10.101

10.7.11.10

Windows Server 2016 R2 DC

提示：為便於測試，本環境將所有節點的專用、公用、域網路的防火牆均關閉。

三 DNS伺服器安裝

dsserver相關IP設置如下。

伺服器管理器 -> 添加角色和功能，選擇DNS 伺服器，下一步：

保持默認。

選擇基於角色或基於功能的安裝。

選擇從伺服器池中選擇伺服器，選擇本主機。

勾選DNS伺服器。

勾選包括管理工具。

保持默認。

勾選如果需要，自動重新啟動目標伺服器。

等待安裝完成。

如下相關服務已安裝完成。

四安裝 Active Directory 域服務

伺服器管理器 -> 添加角色和功能，選擇Active Directory 域服務。

保持默認。

選擇基於角色或基於功能的安裝。

選擇從伺服器池中選擇伺服器，選擇本主機。

勾選Active Directory域伺服器，包括管理工具。

確認資訊，下一步。

保持默認。

確認資訊。

確認所選內容，勾選如果需要，自動重新啟動目標伺服器。

等待安裝完成。

確認安裝完成。

將此伺服器提升為域控制器，進入域控制器服務嚮導。

彈出 Active Direcotry 域服務配置嚮導，選擇 “添加新林」，輸入域名imxhy.com，這個需慎重，FQDN配置完畢之後修改相對麻煩且有風險，並點擊 “下一步” 按鈕：

注意：如果是第一次搭建，同時也是整個內網中的第一台域控制器，那麼需要選擇第二項 “在新林中新建域”，第一項是內網中已經存在 AD 環境再想搭建額外域控制器的時候使用的。

設置DSRM密碼，默認林中的第一棵域樹的根域的域控制器必須擔當全局編錄伺服器和必須安裝DNS服務，不能是只讀域控制器。

設置”域還原密碼”，此密碼相當的重要，後續做資料庫遷移、備份、整理、恢復的時候都可能用到，需要謹記：

創建DNS委派，跳過即可。

NetBIOS名稱，默認即可。

進入AD 域的資料庫文件、日誌文件和共享文件位置設置頁面，此處保持默認設置，點擊 “下一步” 按鈕：

進入 “摘要” 介面，顯示之前設置的摘要資訊，點擊 “下一步” 按鈕：

也可查看詳細腳本：

# 用於 AD DS 部署的 Windows PowerShell 腳本

Import-Module ADDSDeployment

Install-ADDSForest `

-CreateDnsDelegation:$false `

-DatabasePath “C:\Windows\NTDS” `

-DomainMode “WinThreshold” `

-DomainName “imxhy.com” `

-DomainNetbiosName “IMXHY” `

-ForestMode “WinThreshold” `

-InstallDns:$true `

-LogPath “C:\Windows\NTDS” `

-NoRebootOnCompletion:$false `

-SysvolPath “C:\Windows\SYSVOL” `

-Force:$true

先決條件檢查，通過後即可進行安裝。

安裝嚮導進入安裝過程。

提示：安裝完成後，建議重啟伺服器。

此時，AD 域服務已經安裝完成，ADDS域控制器已經安裝完成，在完成域控制器的安裝後，系統會自動的將該伺服器的用戶帳號轉移到 AD 資料庫中。

域控制器 DC 會將自己扮演的角色註冊到 DNS 伺服器內，以便讓其他電腦能夠通過 DNS 伺服器來找到這台域控制器，因此先檢查 DNS 伺服器內是否已經存在這些記錄。

首先檢查域控制器是否已經將其主機名與 IP 地址註冊到 DNS 伺服器內，本域控制器也扮演DNS伺服器，則進入DNS中查看，此處應該會有一個名稱為 imxhy.com 的區域，主機(A)記錄表示域控制器 dsserver.imxhy.com 已經正確地將其主機名與 IP 地址註冊到 DNS 伺服器內。DNS 客戶端所提出的請求大多是正向解析，即通過 hostname 來解析 IP 地址對應與此處的正向查找區域；通過 IP 來查找 hostname 即為反向解析，對應於此處的反向查找區域。

如果域控制器已經正確地將其扮演的角色註冊到 DNS 伺服器，則還應該有對應的 _tcp、_udp 等文件夾。在單擊 _tcp 文件夾後可以看到如下所示的介面，其中數據類型為服務位置（SRV）的 _ldap 記錄，表示 adserver.imxhy.com 已經正確地註冊為域控制器。其中的 _gc 記錄還可以看出全局編錄伺服器的角色也是由 adserver.imxhy.com 扮演的。

DNS 區域內包含這些數據後，其他要加入域的電腦就可以通過通過此區域來得知域控制器為 adserver.imxhy.com。這些加入域的成員（域控制器、成員伺服器、Windows 8、Windows 7、Windows Vista、Windows XP Professional 等）也會將其主機與 IP 地址數據註冊到此區域內。