域:用来描述一种系统架构,和“事情组”相对应,由事情组升级而来的高级架构,在域架构中,可以实现统一化打点(一般通过计谋实现,执行下发计谋的权限是写这条计谋的用户即处事器上写计谋的用户,而非登陆当前客户真个用户。)。
勾当目录:是微软供给的目录处事(盘问、身份验证),勾当目录的核心包罗了勾当目录数据库,在勾当目录数据库中包罗了域中所有的东西(用户、计算机、组。。。)
注意:目录处事不是我微软专有的,好比linux的ldap处事也是目录处事。
域控制器:在域架构顶用来打点所有客户真个处事器,是域架构中的核心,每个域控制器上都包罗了勾当数据库。
建议:安置域控制器时至少有一台物理机是对照合理的。
2、事情组、域
事情组:每台计算机都是独立的,独立打点
域:域中的客户端受控于域控制器。
3、微软基于域的产品平台
exchange、lync、systemcenter、sqlserver(高可用、cluster)、sharepoint、projectserver、windowshyper-v(实时迁移)
4、企业中部署域架构
①在域架构中,最核心的就是DC(域控制器),创建域首先必需要创建DC,DC创建完成后,把所有的客户端插手DC中,这样就形成了域环境。
②域控制器是由事情组的计算机升级而成,通过DCPROMO命令就可以完成升级。注意windows2012版本之前可以通过DCPROMO实现,win2012及后续版本只能通过图形界面完成。
③只有windows server(web版本除外)才可以提成为域控制器。注意win2012中只有标准版和数据中心版。
④在升级DC前,不需要安置DNS处事。dc的安置和dns的安置放在一起来做,是建议的做法。
⑤文件系统必需要是NTFS。 原因是:FAT32的文件系统单个文件最大4GB,而勾当目录数据库就是一个单独的文件,有可能大于4GB。
5、安置DC处事器(域控制器)法式:
①、IP地点设置:静态地点
第一台域控的DNS指向本身的IP地点。
②、处事器安置向导安置域处事。
Active Directory域处事
注意:win2012中角色和成果在一个向导里
③、一直到角色安置完成。
④、点击“将此处事器提升为域控制器”会呈现如下三个选择:
将域控制器添加到现有域
将新域添加到现有林
添加新林
如果是第一次创建域,选择“添加新林”,输入域名,保举为公司公网域名。
如:xxxx.com
也可以写成xxxx.local,但是不保举。
⑤、选择新林和根域的成果级别: 限制的是整个域中域控制器操纵系统版本。
林成果级别:
域成果级别:
指定域控制器成果:
域名系统DNS处事器 :选择此项,安置DNS
全局辑录(GC):默认选择,一个域中需要一台全局辑录处事器。
只读域控制器(RODC)
输入目录处事还原模式(DSRM)暗码:
一般来说,一个域成果级别兼容三个版本,往后(新版本)兼容。
如果域成果级别为:windows server 2003模式,兼容DC:2003 ,2008,2008R2
⑥、一直下一步到安置完成。
6、如何保证域的高可用性:
不要再域控制器运行大型的处事(如:exchange、sharepoint、sqlserver、lync)
不要让公网直接能够访谒到域控制器。
为公司的DC部署多台备份域控制器
客户端:分发多个DNS地点。
按期为公司的域控制器进行备份(少于180天)
7、验证域安置正确性:如:love.com
①域控制器的active directory用户和计算机
②dns中有两个区域
_msdc.love.com
love.com
8、客户端加域
要注意的问题:
①确保可以和域控制器通讯
②确保DNS指向域控制器
③普通用户也可以将计算机插手域,但有数量限制
客户端加域时 填写域名时是怎么解析出来的?
答:是通过Srv记录解析的,不是通过A记录,最终的解析会回归A记录。
srv记录存在于DNS处事器中的 _msdc.xxx.com区域中的dc下TCP协议下的ldap记录,一般有几个域控就会有几个ldap记录。xxx.com是你的域名,之所以插手域 用域名而不是主机记录是因为用单一的域名可以实现自动负载均衡和高可用。
注意:如果ldap删除了,可以通过重启处事“net logon”来自动注册dns处事恢复ldap记录。
ldap是一个协议,勾当目录有一个数据库,通过ldap这套协议标准来读取数据库。
客户端插手域后,登陆域客户端计算机时,输入用户名首先查找本地用户 再是域用户。
二、勾当目录的逻辑架构观点
有这样的域环境:ilync.cn、gz.ilync.cn、bj.ilync.cn,问在ilync.cn中创建一个用户alice,把alice插手到ilync.cn的domain admins组中,问alice账号可以打点子域吗?
答:颠末尝试,alice账号只能检察子域(因为存在信任关系),不能进行子域打点。
1、域的两个重要特性:
域是一个安适界限:权限的界说范畴限制在本地域内。