server2012 域控搭建 汇总

目录windowsserver2012AD活动目录部署系列（一）DNS配置...........................................2windowsserver2012AD活动目录部署系列（二）创建域控制器....................................18windowsserver2012AD活动目录部署系列（三）加入域并创建域用户........................24windowsserver2012AD活动目录部署系列（四）用户资源的权限分配........................32windowsserver2012AD活动目录部署系列（五）备份和还原域控制器........................39windowsserver2012AD活动目录部署系列（六）部署额外域控制器............................54windowsserver2012AD活动目录部署系列（七）ActiveDirectory的授权还原.......61windowsserver2012AD活动目录部署系列（一）DNS配置前言本系列将介绍在windowsserver2012下AD的详细部署文档，首先我们需要做以下准备工作：1、导入五台备用的虚拟机，具体教程参考、准备好虚拟机后，计算机名分别命名如下：DNS、Florence、Firenze、Berlin、Perth。一般情况下，域中有三种计算机，一种是域控制器，域控制器上存储着ActiveDirectory；一种是成员服务器，负责提供邮件，数据库，DHCP等服务；还有一种是工作站，是用户使用的客户机。我们准备搭建一个基本的域环境，拓扑如下图所示，Florence是域控制器，Berlin是成员服务器，Perth是工作站。部署一个域大致要做下列工作：1DNS前期准备2创建域控制器3创建计算机账号4创建用户账号一DNS前期准备DNS服务器对域来说是不可或缺的，一方面，域中的计算机使用DNS域名，DNS需要为域中的计算机提供域名解析服务；另外一个重要的原因是域中的计算机需要利用DNS提供的SRV记录来定位域控制器，因此我们在创建域之前需要先做好DNS的准备工作。那么究竟由哪台计算机来负责做DNS服务器呢？一般工程师有两种选择，要么使用域控制器来做DNS服务器，要么使用一台单独的DNS服务器。这里使用一台独立的计算机来充当DNS服务器，这台DNS服务器不但为域提供解析服务，也为公司其他的业务提供DNS解析支持，大家可以根据具体的网络环境来选择DNS服务器。1、添加“DNS服务器”角色，如下图所示：至此，DNS角色添加成功后，重启计算机。2、创建区域并允许动态更新首先我们要在DNS服务器上创建出一个区域，区域的名称和域名相同，域内计算机的DNS记录都创建在这个区域中。我们在DNS服务器上打开DNS管理器，如下图所示，右键单击正向查找区域，选择新建一个区域，出现新建区域向导后，点击下一步继续。3、检查NS和SOA记录区域创建完成后，一定要检查一下区域的NS记录和SOA记录。NS记录描述了有多少个DNS服务器可以解析这个区域，SOA记录描述了哪个DNS服务器是区域的主服务器。如果NS记录和SOA记录出错，域的创建过程中就无法向DNS区域中写入应有的记录。打开DNS管理器，在adtest.com区域中检查ns记录，如下图所示，我们发现ns记录不是一个有效的完全合格域名，我们需要对它进行修改。至此，DNS准备工作完成，我们接下来可以部署域了。windowsserver2012AD活动目录部署系列（二）创建域控制器二创建域控制器上一篇我们进行了DNS配置，有了DNS的支持，我们现在可以开始创建域控制器了，域控制器是域中的第一台服务器，域控制器上存储着ActiveDirectory，可以说，域控制器就是域的灵魂。我们准备在Florence上创建域控制器，首先检查Florence网卡的TCP/IP属性，注意，Florence应该使用192.168.11.1作为自己的DNS服务器。因为我们刚刚在192.168.11.1上创建了adtest.com区域。1、添加“AD域服务”角色首先，我们需要添加域服务角色，此过程类似于“DNS服务”角色添加，这里不再重复讲，如有需要，请参照、添加新域（提升域控制器）添加好域服务角色后，打开服务器管理器，会看右上角一栏中的旗帜图标下有一个黄色的警告，点击后会弹出如下图所示，然后点击“将此服务器提升为域控制器”，打开域服务配置向导，如下图所示，我们选择“添加新林”，这个选项是什么意思呢？我们虽然只是简单地创建了一个域，但其实从逻辑上讲是创建了一个域林。因为域一定要隶属于域树，域树一定要隶属于域林。因为我们实际上是创建了一个域林，虽然这个域林内只有一棵域树，域树内只有一个树根。输入域名：adtest.com。去掉“DNS服务器”的勾选项，输入还原模式密码（此密码在本系列后续中的‘恢复域控制器’会用到），安装完，重启Florence后我们发现已经可以用域管理员的身份登录了，adtest.com域已经被成功创建了。检查DNS服务器，我们发现DNS区域中已经自动创建了很多记录，这些记录的作用以后我们再来分析，现在大家只要注意检查一下创建域时有没有把这些记录创建出来，如果没有那就有问题了。至此，我们完成了域控制器的创建，adtest.com域诞生了！windowsserver2012AD活动目录部署系列（三）加入域并创建域用户1、加入域创建计算机账号就是把成员服务器和用户使用的客户机加入域，这些计算机加入域时会在ActiveDirectory中创建计算机账号。以Berlin为例为大家介绍如何把计算机加入域，首先要确保Berlin已经使用了192.168.11.1作为自己的DNS服务器，否则Berlin无法利用DNS定位域控制器。右键点击“计算机”，打开‘属性’对话框，再点击“更改”，选择隶属于“域”，输入要加入的域名：adtest.com。点击“确定”后，会弹出输入域管理员凭证的对话框，点击“确定”，提示“欢迎加入域”，然后按提示重启计算机。这时在域控制器Florence上打开ActiveDirectory用户和计算机，如下图所示，我们发现Berlin的计算机账号已经被创建出来了。至此，计算机加入域已成功！2、创建用户账号计算机加入域后，我们需要为企业内的员工在ActiveDirectory中创建关联的用户账号。首先我们应该在ActiveDirectory中利用组织单位展示出企业的管理架构，如下图所示，我们为大家演示一下如何创建一个组织单位。打开ActiveDirectory用户和计算机，选择新建组织单位。点击“确定”，完成组织单位的创建，接着在该组织单位下创建用户，输入帐号和姓名，输入密码（密码有一定的复杂度：由字母、数字、符号三种字符组成并超过八位数），并在下面选择“密码永不过期”，这步很重要，完成用户添加，如下图所示，目前为止，我们已经创建了一个域，也在域中创建了计算机账号和用户账号。我们在下篇博文中将介绍域用户权限分配问题。windowsserver2012AD活动目录部署系列（四）用户资源的权限分配上篇博文中我们已经为张建国创建了用户账号，这次我们来看看如何利用这个用户账号来实现资源分配的目标。我们现在做个简单的实验，要把成员服务器Berlin上一个共享文件夹的读权限分配给公司的员工张建国。如下图所示，我们在成员服务器Berlin上右键点击文件夹Tools，选择“属性－共享－高级共享”，准备把Tools文件夹共享出来。勾选“共享此文件夹”，然后点击“权限”，Tools文件夹的默认共享权限是Everyone组只读，我们删除默认的权限设置，点击添加按钮，准备把文件夹的读权限授予张建国。如下图所示，我们选择adtest.com域中的张建国作为权限的授予载体，这时我们要理解域的共享用户账号的含义，在域控制器上为张建国创建了用户账号后，成员服务器分配资源时就可以使用这些用户账号了。为用户张建国赋予读权限，点击“确定”完成权限分配。我们先用域管理员登录Perth（已加入域）服务器上，访问一下Berlin上的Tools共享文件夹，如下图所示，域管理员没有访问共享文件夹的权限。这个结果和我们的权限分配是一致的，我们只把共享文件夹的权限授予了张建国。我们再在Perth上以张建国的身份登录，如下图所示，张建国访问Berlin上的共享文件夹Tools，如下图所示，张建国顺利地访问到了目标资源，我们的资源分配达到了预期的效果。至此，权限分配已完成！总结：做完这个实验后，我们应该想一下，为什么张建国在访问共享文件夹时没有被要求身份验证呢？这是个关键问题，因为当张建国登录时，输入的用户名和口令将送到域控制器请求验证，域控制器如果认可了张建国输入的用户名和口令，域控制器将为张建国发放一个电子令牌，令牌中描述了张建国隶属于哪些组等信息，令牌就相当于张建国的电子身份证。当张建国访问Berlin上的共享文件夹时，Berlin的守护进程会检查访问者的令牌，然后和被访问资源的访问控制列表进行比较。如果发现两者吻合，例如本例中Berlin上的共享文件夹允许域中的张建国访问，而访问者的令牌又证明了自己就是域中的张建国，那么访问者就可以透明访问资源，无需进行其他形式的身份验证。windowsserver2012AD活动目录部署系列（五）备份和还原域控制器在前篇博文中，我们介绍了用户资源的权限分配，用户只要在登录时输入一次口令，就能访问基于该域所分配给他的所有资源。但是我们需要考虑一个问题：万一域控制器坏了怎么办？！如果这个域控制器损坏了，那用户登录时可就无法获得令牌了，没有了这个令牌，用户就不能访问域中的资源，那么整个域的资源分配趋于崩溃。那我们应该如何预防这种灾难性的后果呢？我们可以考虑对活动目录进行备份以及部署额外域控制器，本篇博文我们先看如何利用对ActiveDirectory的备份来实现域控制器的灾难重建。如果只有一个域控制器，那么我们可以利用Windows自带的备份工具对Activedirectory进行完全备份，这样万一这个域控制器有个三长两短，备份可以帮助我们从困境中解脱出来。备份域控制器：1、在Florence上的服务器管理器中添加“WindowsServerBackup”功能此步骤与“添加角色”类似，此外不再重复，如有需要请参考、利用WindowsServerBackup，进行系统状态的备份打开WindowsServerBackup，右键点击“本地备份”，选择“一次性备份”，如下图所示：选择“添加项目”，选择“系统状态”，选择“远程共享文件夹”，备份最好放在别的计算机磁盘上，指定远程文件夹路径，这里放在Berlin的共享文件夹“ADBackup”上，点击“备份”，开始备份，总容量7G多，大概需要10~20分钟时间，请稍等...备份完成！备份完成后，我们假设域控制器Florence发生了物理故障，现在我们用另外一台计算机来接替Florence。我们把这台新计算机也命名为Florence，IP设置和原域控制器也保持一致，尤其是一定要把DNS指向为adtest.com提供解析支持的那个DNS服务器，在此例中就是192.168.11.1。还原域控制器：在新的计算机中，首先我们需要添加“ActiveDirectory域服务”角色，然后通过提升域控制器来创建一个新的域控制器，同样命名为adtest.com。此步骤请参考