001.AD域控簡介及使用

木二發表於2021-11-15

一 AD概述

1.1 AD簡介

域(Domain)是Windows網路中獨立執行的單位，域之間相互訪問則需要建立信任關係。

當一個域與其他域建立了信任關係後，2個域之間不但可以按需要相互進行管理，還可以跨網分配檔案和印表機等裝置資源，使不同的域之間實現網路資源的共享與管理，以及相互通訊和資料傳輸。

域既是 Windows 網路作業系統的邏輯組織單元，也是Internet的邏輯組織單元，在 Windows 網路作業系統中，域是安全邊界。域管理員只能管理域的內部，除非其他的域顯式地賦予他管理許可權，他才能夠訪問或者管理其他的域，每個域都有自己的安全策略，以及它與其他域的安全信任關係。

1.2 域的原理

工作組方式使得系統的一切設定在本機上進行，包括各種策略、使用者登入，密碼也是存放在本機的資料庫來驗證。若該計算機加入域的話，各種策略是域控制器統一設定，使用者名稱和密碼也是放到域控制器去驗證，即賬號密碼可以在同一域的任何一臺計算機登入。

“域”的真正含義指的是伺服器控制網路上的計算機能否加入的計算機組合。

在“域”模式下，至少有一臺伺服器負責每一臺聯入網路的電腦和使用者的驗證工作，稱為“域控制器（Domain Controller，簡寫為DC）”。

域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等資訊構成的資料庫。

當電腦聯入網路時，域控制器首先要鑑別這臺電腦是否是屬於這個域的，使用者使用的登入賬號是否存在、密碼是否正確。

如果以上資訊有一樣不一致，那麼域控制器則拒絕這個使用者從這臺電腦登入。

1.3 域和組的區別

工作組是一群計算機的集合，它僅僅是一個邏輯的集合，各自計算機各自管理，若要訪問其他計算機，需要被訪問計算機上來實現使用者驗證的。

而域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經建立了信任關係，在域內訪問其他機器，不再需要被訪問機器的許可了。

因為在加入域的時候，管理員為每個計算機在域中（可和使用者不在同一域中）建立了一個計算機帳戶，這個帳戶和使用者帳戶一樣，也有密碼（登入憑證，由DC（域控制器）上的KDC服務來頒發和維護）保護的。

域和工作組適用的環境不同，域一般是用在比較大的網路裡，工作組則較小，在一個域中需要一臺類似伺服器的計算機，叫域控伺服器，其他電腦如果想互相訪問首先都是經過它的。

但是工作組則不同，在一個工作組裡的所有計算機都是對等的，也就是沒有伺服器和客戶機之分。

1.4 域的優勢

方便管理,許可權管理比較集中,可以較好的管理計算機資源。
安全性高,有利於企業的一些保密資料的管理,比如一個檔案只能讓某一個人或指定人員看,但不可以刪/改/移等。
方便對使用者操作進行許可權設定,可以分發,指派軟體等,實現網路內的軟體一起安裝。
很多服務必須建立在域環境中,對管理員來說有好處:統一管理,方便在MS 軟體方面整合,如ISA EXCHANGE(郵件伺服器)、ISA SERVER(上網的各種設定與管理)等。
使用漫遊賬戶和資料夾重定向技術,個人賬戶的工作檔案及資料等可以儲存在伺服器上,統一進行備份、管理,使用者的資料更加安全、有保障。
方便使用者使用各種資源。
SMS(System Management Server)能夠分發應用程式、系統補丁等,使用者可以選擇安裝,也可以由系統管理員指派自動安裝。並能集中管理系統補丁(如Windows Updates),不需每臺客戶端伺服器都下載同樣的補丁,從而節省大量網路頻寬。
資源共享：使用者和管理員可以不知道他們所需要的物件的確切名稱,但是他們可能知道這個物件的一個或多個屬性,他們可以通過查詢物件的部分屬性在域中得到一個所有已知屬性相匹配的物件列表,通過域使得基於一個或者多個物件屬性來查詢一個物件變得可能。

提示：如上參考 https://zhuanlan.zhihu.com/p/45553448 。

二部署規劃準備

2.1 伺服器規劃

按照如下規劃配置主機名（domain字首）及IP。

伺服器名稱	描述	IP	DNS	作業系統	備註
adserver.imxhy.com	DNS伺服器 AD域控	10.7.11.10	127.0.0.1	Windows Server 2016 R2 DC
nodea	域控伺服器	10.7.10.101	10.7.11.10	Windows Server 2016 R2 DC

提示：為便於測試，本環境將所有節點的專用、公用、域網路的防火牆均關閉。

三 DNS伺服器安裝

dsserver相關IP設定如下。

伺服器管理器 -> 新增角色和功能，選擇DNS 伺服器，下一步：

保持預設。

選擇基於角色或基於功能的安裝。

選擇從伺服器池中選擇伺服器，選擇本主機。

勾選DNS伺服器。

勾選包括管理工具。

保持預設。

勾選如果需要，自動重新啟動目標伺服器。

等待安裝完成。

如下相關服務已安裝完成。

四安裝 Active Directory 域服務

伺服器管理器 -> 新增角色和功能，選擇Active Directory 域服務。

保持預設。

選擇基於角色或基於功能的安裝。

選擇從伺服器池中選擇伺服器，選擇本主機。

勾選Active Directory域伺服器，包括管理工具。

確認資訊，下一步。

保持預設。

確認資訊。

確認所選內容，勾選如果需要，自動重新啟動目標伺服器。

等待安裝完成。

確認安裝完成。

將此伺服器提升為域控制器，進入域控制器服務嚮導。

彈出 Active Direcotry 域服務配置嚮導，選擇 "新增新林”，輸入域名imxhy.com，這個需慎重，FQDN配置完畢之後修改相對麻煩且有風險，並點選 "下一步" 按鈕：

注意：如果是第一次搭建，同時也是整個內網中的第一臺域控制器，那麼需要選擇第二項 "在新林中新建域"，第一項是內網中已經存在 AD 環境再想搭建額外域控制器的時候使用的。

設定DSRM密碼，預設林中的第一棵域樹的根域的域控制器必須擔當全域性編錄伺服器和必須安裝DNS服務，不能是隻讀域控制器。

設定"域還原密碼"，此密碼相當的重要，後續做資料庫遷移、備份、整理、恢復的時候都可能用到，需要謹記：

建立DNS委派，跳過即可。

NetBIOS名稱，預設即可。

進入AD 域的資料庫檔案、日誌檔案和共享檔案位置設定頁面，此處保持預設設定，點選 "下一步" 按鈕：

進入 "摘要" 介面，顯示之前設定的摘要資訊，點選 "下一步" 按鈕：

也可檢視詳細指令碼：

# 用於 AD DS 部署的 Windows PowerShell 指令碼

Import-Module ADDSDeployment

Install-ADDSForest `

-CreateDnsDelegation:$false `

-DatabasePath "C:\Windows\NTDS" `

-DomainMode "WinThreshold" `

-DomainName "imxhy.com" `

-DomainNetbiosName "IMXHY" `

-ForestMode "WinThreshold" `

-InstallDns:$true `

-LogPath "C:\Windows\NTDS" `

-NoRebootOnCompletion:$false `

-SysvolPath "C:\Windows\SYSVOL" `

-Force:$true

先決條件檢查，通過後即可進行安裝。

安裝嚮導進入安裝過程。

提示：安裝完成後，建議重啟伺服器。

此時，AD 域服務已經安裝完成，ADDS域控制器已經安裝完成，在完成域控制器的安裝後，系統會自動的將該伺服器的使用者賬號轉移到 AD 資料庫中。

域控制器 DC 會將自己扮演的角色註冊到 DNS 伺服器內，以便讓其他計算機能夠通過 DNS 伺服器來找到這臺域控制器，因此先檢查 DNS 伺服器內是否已經存在這些記錄。

首先檢查域控制器是否已經將其主機名與 IP 地址註冊到 DNS 伺服器內，本域控制器也扮演DNS伺服器，則進入DNS中檢視，此處應該會有一個名稱為 imxhy.com 的區域，主機(A)記錄表示域控制器 dsserver.imxhy.com 已經正確地將其主機名與 IP 地址註冊到 DNS 伺服器內。DNS 客戶端所提出的請求大多是正向解析，即通過 hostname 來解析 IP 地址對應與此處的正向查詢區域；通過 IP 來查詢 hostname 即為反向解析，對應於此處的反向查詢區域。

如果域控制器已經正確地將其扮演的角色註冊到 DNS 伺服器，則還應該有對應的 _tcp、_udp 等資料夾。在單擊 _tcp 資料夾後可以看到如下所示的介面，其中資料型別為服務位置（SRV）的 _ldap 記錄，表示 adserver.imxhy.com 已經正確地註冊為域控制器。其中的 _gc 記錄還可以看出全域性編錄伺服器的角色也是由 adserver.imxhy.com 扮演的。

DNS 區域內包含這些資料後，其他要加入域的計算機就可以通過通過此區域來得知域控制器為 adserver.imxhy.com。這些加入域的成員（域控制器、成員伺服器、Windows 8、Windows 7、Windows Vista、Windows XP Professional 等）也會將其主機與 IP 地址資料註冊到此區域內。