什么是域控?
域控制器: 域控制器是运行Windows Server操作系统的计算机,负责存储和维护域中的用户账户、组策略、安全凭据等信息。通过域控制器,用户可以进行身份验证和授权,并访问域中的资源。
域与林的区别
-
域(Domain): 域是一组网络对象(如计算机、用户账户、打印机等)的集合,它们共享一个共同的安全策略数据库,即Active Directory数据库。域提供了对这些对象的集中管理和控制,并允许用户使用单一的身份验证机制来访问域中的资源。
-
林(Forest): 林是一个或多个域的集合,它们共享一个共同的林根域。林中的域可以共享全局目录服务、林范围的安全策略和信任关系。林的边界由林根域定义,而每个域则有其自己的命名空间和安全策略。
部署域控前置条件
在部署域控之前,需要满足以下一些前置条件:
-
固定IP地址: 域控制器应该分配一个静态IP地址,以确保网络连接的稳定性和可靠性。
-
SID(Security Identifier): 在部署域控时,每个域控制器都会被分配一个唯一的SID,用于标识其在域中的身份和权限。这个SID在域中必须是唯一的,因此在部署之前需要确保不会发生SID冲突,如果环境中的机器都是从一个模板镜像中克隆出来的,那么这些主机的SID都会相同,需要使用sysprep 系统部署工具,来重新产生一个新的SID。
-
全新的机器: 建议使用全新的服务器或虚拟机来部署域控制器,以确保系统环境的清洁和稳定性。在新机器上部署域控制器也可以避免与现有应用程序或配置的冲突。
部署域控
部署域控的过程涉及到多个步骤,包括安装Active Directory域服务角色、配置域信息、创建域控管理员账户等。具体的部署步骤请参考下方内容。
修改主机名
按下Win+X组合键 点击运行 输入 sysdm.cpl 然后点击确定,打开计算机属性页面。
点击更改,输入新的计算机名,因为这里我们要将此机器作为域控使用,我们将计算机名改为dc。
需要重启后才能生效。
配置静态IP地址
因为我们这台机器要作为整个集群中的“老大”所以我们必须要设置这台域控的静态IP地址,给域控配置静态IP的主要原因是确保网络环境的稳定性和可靠性。作为整个集群的领导者,域控制器需要提供持续可靠的服务,而静态IP地址可以确保其在网络中的位置不变,从而使其他计算机能够准确地找到它。相比动态分配的IP地址,静态IP地址不会在DHCP重新分配IP地址时发生变化,从而减少了网络中断和服务中断的风险,提高了域控制器的稳定性和可用性。
配置IP地址有多种方式可供选择。我使用的是通过运行命令 ncpa.cpl 快速打开网络连接管理窗口,在其中配置静态IP地址以及其他网络参数,简单易行,提高操作效率。
PS:DNS服务器现在不填也可以,安装完成域控之后会自动设置为127.0.0.1,从DNS服务器则是你手动配置的那个。
安装域控服务
打开服务器管理器,点击添加角色和功能,也可以点击管理,添加角色和功能。
勾选 Active Directory域服务进行安装。
安装完成后会在右上角显示感叹号,我们点击这个感叹号,然后点击将此服务器提升为域控制器。
如上图所示,有三种常见的部署操作:
1. 将域控制器添加到现有域:
将一个新的域控制器加入到现有域中。域控制器是用来管理和维护特定域中的用户账户、组策略、安全凭据等信息的服务器。当一个新的域控制器被添加到现有域中时,它会共享该域中的资源和安全策略,并与其他域控制器共同构建域的目录服务。这种操作是在现有域的范围内进行的,不涉及到更大范围的林的变化。
2. 将新域添加到现有林:
在一个已有的林(Forest)中创建一个新的域。林是由一个或多个域组成的集合,它们共享一个共同的林根域。当您向现有林中添加一个新域时,新域会共享该林中的全局目录服务、安全策略和信任关系。这种操作会增加林的规模和复杂性,因为新域将与现有的域和林中的其他域产生关联,需要考虑林范围内的安全性和管理问题。
3. 添加新林:
在 Active Directory 环境中创建一个全新的林结构,独立于已有的林。新林将有其自己的林根域和目录结构,可以独立管理用户、组和策略。添加新林是在更大范围内进行的操作,需要考虑到新林与现有林之间的信任关系和跨林的访问控制。
我们是需要创建一个全新的域控,所以我们选择添加新林,并指派根域名,我这边以example.com举例。
如上图,我们可以看到有个选项叫做选择新林和根域的功能级别,当您创建一个新的林时,需要选择新林的功能级别。选择不同的功能级别会影响到林中所有域的功能和特性,包括安全性、管理能力和可用性等方面。根据组织的需求和对功能的要求,可以选择适合的功能级别,以确保林中的域能够提供所需的功能和服务。
在新林中,根域是林结构的顶层域,它包含林中所有其他域。选择根域的功能级别同样会影响到整个林中所有域的功能和特性。根域的功能级别通常应该与新林的功能级别保持一致,以确保整个林结构的一致性和兼容性,所以如果无特殊要求在部署域控的时候功能级别保持最新即可。
然后下方的dsrm密码是用于删除 Active Directory 对象,包括用户、计算机、组等。在执行 dsrm 命令时,可以选择指定一个 dsrm 密码,这个密码可以帮助您确认删除操作,避免误操作或意外删除重要的对象。当使用 dsrm 命令删除对象时,系统会要求您提供 dsrm 密码作为确认,以确保您有权限执行删除操作,并且可以防止他人未经授权地删除重要对象。
没提到的直接默认即可。
那个AD域数据库文件以及log文件存放路径如果不是生产环境就没必要改了。
验证配置:
部署过程中会自动重新启动计算机。
安装完成!
本站为个人非盈利博客,资源均网络收集且免费分享无限制,资源仅供测试学习。
本站所有软件和内容大多数都来源于网络,本站所发布的一切修改补丁、注册机和注册信息及软件的文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。
VIP功能仅仅作为用户喜欢本站捐赠打赏功能,本站不贩卖软件,所有内容不作为商业行为。
如果您的权益受到了侵犯,请将相关证据和详细信息发送至 admin@itwk.cc
我们会在收到您的邮件后,立即进行核实和处理,并在确认问题后采取必要的删除或修改措施。
