windows_ad域配置方案和操作手册
山东神达化工windows_ad域配置方案和操作手册山东神达化工windows_ad域配置方案和操作手册2015年01月14日1 ,山东神达化工windows_ad域配置方
山东神达化工windows_ad域配置方案和操作手册
山东神达化工windows_ad域
配置方案和操作手册
2015年01月14日
1
,山东神达化工windows_ad域配置方案和操作手册
目录
1. 背景................................................................................................................................................................. 3
2. 为什么要用域 . ................................................................................................................................................ 4
2.1. 一个演示实例说明 . ..................................................................................................................... 4
2.2域的概念 . ...................................................................................................................................... 7
3. 如何部署一个域 . ............................................................................................................................................ 7
3.1. DNS 前期准备 .............................................................................................................................. 8
3.1.1. 创建区域并允许动态更新 ............................................................................................................ 9
3.1.2. 检查NS 和SOA 记录 .................................................................................................................... 12
3.2. 创建域控制器 ........................................................................................................................... 14
3.3. 创建计算机账号 ....................................................................................................................... 23
3.4. 创建用户账号 ........................................................................................................................... 26
4. 用备份进行域的灾难重建 . .......................................................................................................................... 30
4.1. 如何备份 ................................................................................................................................... 30
4.2. 如何还原 ................................................................................................................................... 34
5. 部署额外域控制器 . ...................................................................................................................................... 39
6. ACTIVE DIRECTORY的授权还原 . ................................................................................................................. 48
7. ACTIVE DIRECTORY的脱机碎片整理 . ......................................................................................................... 57
8. 针对神达化工的具体方案 . .......................................................................................................................... 62
8.1. 用户管理 . ................................................................................................................................... 62
8.2. 灾备和重建 . ............................................................................................................................... 63
8.3. 桌面恢复 . ................................................................................................................................... 63
8.4. 域用户集成本地管理员 . ........................................................................................................... 63
8.5如何限制域用户脱离域后登陆 . ................................................................................................ 68
2
,山东神达化工windows_ad域配置方案和操作手册
1. 背景
山东神达化工有限公司(以下简称:神达化工)目前实施的HONEYWELL PHD 实时数据库需要且必须运行在windows 的ad 域中,目前项目进展顺利。
神达化工实施HONEYWELL PHD 实时数据库的网络拓扑如图1所示:
图1
⏹
⏹
⏹ 一台域控制器:负责域用户的维护 一台数据库服务器:运行HONEYWELL 所依赖的数据库 一台web 服务器:对外访问,所有终端通过这台机器获取浏览信息。
神达化工在以往的信息化建设中并未使用过windows 的ad 域,借助HONEYWELL PHD 实时数据库项目,希望将域引入并通过域对公司内部的计算机进行管控。在项目建设过程中,针对windows 的ad 域,神达化工还有如下疑虑:
1、什么是域,为什么要实施域。
3
,山东神达化工windows_ad域配置方案和操作手册
2、如何创建、管理、维护域。
3、如何处理灾备和恢复。
针对以上几个问题,下面将详细介绍并列举实例进行演示。
2. 为什么要用域
微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?
下面我们通过一个例子来说明这个问题。
2.1. 一个演示实例说明
假设现在工作组内有两台计算机,一台是服务器Florence ,一台是客户机Perth 。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源也有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。
现在服务器Florence 提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国。(注意,这个文件夹只有张建国一个人可以访问)
那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。
首先,如图2所示,我们在服务器上为张建国创建用户账号。
4
,山东神达化工windows_ad域配置方案和操作手册
图2
然后,在共享文件夹中进行权限分配,如图3所示,我们只需把共享文件夹的读权限授予用户张建国。
图
3
5
,山东神达化工windows_ad域配置方案和操作手册
接下来,张建国就可以在客户机Perth 上准备访问服务器上的共享文件夹。张建国准备访问资源Florence人事档案,服务器对访问者提出了身份验证请求,如图4所示,张建国输入了自己的用户名和口令。
图4
如图5所示,张建国成功地通过了身份验证,访问到了目标资源。
图
5
6
,山东神达化工windows_ad域配置方案和操作手册
以上实例说明,在这个小型网络中,工作组模型没有暴露出什么问题。但是如果我们要把问题扩展一下,假设现在公司不是一台服务器,而是500台服务器,那么我们的麻烦就来了。
如果这500台服务器上都有资源要分配给张建国,那会有什么样的后果呢?由于工作组的特点是分散管理,也就意味着每台服务器都要给张建国创建一个用户账号。那么张建国这个用户就必须痛不欲生的记住自己在每个服务器上的用户名和密码,而服务器管理员也将需要为每个用户账号都重新创建500次。
如果公司内有1000人呢?我们难以想象这样管理网络资源的后果,这一切的根源都是由于工作组的分散管理。这就说明工作组这种散漫的管理方式和大型网络所要求的高效率是背道而驰的。
2.2域的概念
既然工作组不适合大型网络的管理要求,那么我们就需要重新审视一下其他的管理模型。其中域模型就是针对大型网络的管理需求而设计的,域就是共享用户账号、计算机账号和安全策略的计算机集合。
从域的基本定义中我们可以看到,域模型的设计考虑到了用户账号等资源的共享问题。这样域中只要有一台计算机为公司员工创建了用户账号,那么其他计算机就都可以共享账号了。这样就很好地解决刚才我们提到的账号重复创建的问题。域中的这台集中存储用户账号的计算机就是域控制器、用户账号、计算机账号和安全策略被存储在域控制器上一个名为Active Directory的数据库中。
3. 如何部署一个域
一般情况下,域中有三种计算机,一种是域控制器,域控制器上存储着
Active Directory ;一种是成员服务器,负责提供邮件、数据库、DHCP 等服务;还有一种是工作站,是用户使用的客户机。我们准备搭建一个基本的域环境,拓扑如图6所示,Florence 是域控制器,Berlin 是成员服务器,Perth 是工作站。
7
,山东神达化工windows_ad域配置方案和操作手册
图6
3.1. DNS 前期准备
DNS 服务器对域来说是不可或缺的。
一方面,域中的计算机使用DNS 域名,DNS 需要为域中的计算机提供域名解析服务。
另外一种重要的原因是域中的计算机需要利用DNS 提供的SRV 记录下来定位域控制器。
因此我们在创建域之前需要先做好DNS 的准备工作。那么究竟由哪台计算机来负责做DNS 服务器呢。
一般工程师有两种选择,要么使用域控制器来做DNS 服务器,要么就使用一台单独的DNS 服务器。这台DNS 服务器不但能为域提供解析服务,同时还能为公司其他的业务提供DNS 解析支持,大家可以根据具体的网络环境来选择DNS 服务器。
8
,山东神达化工windows_ad域配置方案和操作手册
那么在创建域之前,DNS 服务器需要做好哪些准备工作呢?
3.1.1. 创建区域并允许动态更新
首先我们需要在DNS 服务器上创建一个区域,区域的名称和域名相同,域内计算机的DNS 记录都创建在这个区域中。我们在DNS 服务器上打开DNS 管理器,如图7所示,右键单击正向查找区域,选择新建一个区域。出现新建区域向导后,点击下一步继续。
图7
区域类型选择“主要区域”,如图8所示。
9
,山东神达化工windows_ad域配置方案和操作手册
图8
区域名称和域名相同,是adtest.com 。
图9
由于区域一定要允许动态更新,因此在创建域的过程中需要向DNS 区域中写入A 记录、SRV 记录和Cname 记录。
10