3.3 拓展任务——Windows Server 2016域控制器的管理

【任务描述】

域控制器安装之后,附加域控制器、子域、树域的创建,并使用管理工具里的“Active Directory用户和计算机”“Active Directory域和信任关系”“Active Directory站点和服务”等菜单进行活动目录的管理。

【任务目标】

通过任务熟悉附加域控制器、子域、树域的创建,熟悉活动目录域和信任关系的建立以及掌握活动目录域站点间与站点内的复制及管理。

3.3.1 创建附加域控制器

通常情况下,一个功能强大的网络中至少应设置两台域控制器,即一台主域控制器和一台附加域控制器。网络中的第一台安装活动目录的服务器通常会默认被设置为主域控制器,其他域控制器(可以有多台)称为附加域控制器,主要用于主域控制器出现故障时及时接替其工作,继续提供各种网络服务,不致造成网络瘫痪,以及备份数据的作用。

前面已经介绍了如何创建一台全新的域控制器,即主域控制器,其实附加域控制器的安装过程与之类似,只是在选择域控制器类型时选择不同而已,具体操作步骤如下。

1)在一台已安装好Windows Server 2016的服务器上进行创建附加控制器的相关设置(激活系统并设置IP地址和主域控制器在同一个网段,如:IP192.168.1.103、子网掩码255.255.255.0、网关192.168.1.1、DNS192.168.1.101,计算机名为“Ycserver2016T”等)。

2)在服务器“服务器管理器”仪表板中,单击“添加角色和功能”来安装“Active Directory域服务”角色,安装方法前面已介绍过,操作步骤是一样的,当Active Directory域服务安装完毕,单击仪表板中的“任务”图标,在弹出的面板中选择“将此服务器提升为域控制器”选项。

3)进入“Active Directory域服务配置向导”的“部署配置”对话框,如图3-38所示。由于是进行附加域的创建,应选择“将域控制器添加到现有域”选项,在“域”区域主域控制器的域名“nos.com”下方单击“更改”按钮,在弹出的“Windows安全性”对话框中,输入“nos.com”域管理员用户名和密码。

4)单击“下一步”按钮,在“域控制器选项”→“DNS选项”对话框中进行设置,和主域控制器的配置是一样的,不同的是在“其他选项”对话框中,如图3-39所示,安装可以指定从介质安装的选项,设置指定的路径(如C:\InstalltionMedia)来复制AD DS数据库,也可以指定其他复制选项,直接从其他任何一台域控制器来复制AD DS数据库,此时图中只有“Ycserver2016.nos.com”这一台域控制器,应选择这台主域控制器。

图3-38 “部署配置”对话框

图3-39 “其他选项”对话框

5)单击“下一步”按钮,在“路径”→“查看选项”→“先决条件检查”对话框中,指定数据库、日志文件和SYSVOL所在的卷及文件夹的位置,查看要安装的Active Directory服务管理工具和模块,并进行附加域的安装先决条件的检查,如果先决条件检查通过,就可单击“安装”按钮进行安装。

6)安装完成后会要求重新启动服务器,此时的登录界面和主域控制器一样,系统管理员“Administrator”名称添加了NetBIOS名“NOS”,单击登录界面左下角用户图标,可以在域管理员用户与其他用户之间切换,以域用户系统管理员身份登录安装附加域的服务器。

7)和主域控制器安装一样,附加域的服务器也发生了比较大的变化,例如:在系统属性“计算机名”选项卡中,发现计算机名称已由“Ycserver2016T”变成“Ycserver2016T.nos.com”,原来的工作组“Workgroup”变成域“nos.com”,如图3-40所示。

8)主域控制器和附加器控制器的管理工具和对象是一模一样的,例如在主域和附加器控制器上,执行“开始”→“所有程序”→“Windows管理工具”→“Active Directory用户和计算机”命令,在“Active Directory用户和计算机”窗口中双击“Domain Computers”选项,可以看到刚刚成为附加域控制器的计算机图标,如图3-41所示。

图3-40 “计算机名”选项卡

图3-41 “Active Directory用户和计算机”窗口

3.3.2 创建子域

为了使文件分类更加详细,管理更加简便,往往需要在指定文件夹下创建多个不同名称的子文件夹。企业网络的管理同样可以采用这种方法,根据内部分工的不同为每个部门创建不同的域,进而为同一部门下不同的小组创建子域。这样不仅方便管理,而且可以对不同的小组进行横向比较。

当需要更为详细地划分某个域范围或者空间时,需要创建子域,建成子域后该域也就成了父域,其下所有的子域名称中均包含其(父域)名称。

创建子域的过程和创建主域控制器的过程基本相似,以在nos.com的域下面创建的win子域为例,介绍其具体的操作步骤。

1)在一台已安装好Windows Server 2016的服务器上进行创建子域的相关设置(激活系统并设置IP地址和主域控制器在同一个网段,例如:IP192.168.1.105、子网掩码255.255.255.0、网关192.168.1.1、DNS192.168.1.101,计算机名为“Ycserver2016S”等)。

2)在服务器“服务器管理器”仪表板中,单击“添加角色和功能”来安装“Active Directory域服务”角色,安装方法前面已介绍过,操作步骤是一样的,当Active Directory域服务安装完毕,单击仪表板中的“任务”图标,在弹出的面板中选择“将此服务器提升为域控制器”选项。

3)进入“Active Directory服务配置向导”的“部署配置”对话框,选择“将新域添加到现有林”选项,并指定操作域的信息:选择域的类型为“子域”,父域名“nos.com”,新域名为“nos.com”,单击“更改”按钮,在弹出的“Windows安全性”对话框中,输入“nos.com”域管理员用户名和密码,通过验证后如图3-42所示。

4)单击“下一步”按钮,在“域控制器选项”→“DNS选项”对话框中进行设置,“域控制器选项”和主域控制器的配置是一模一样的,“DNS选项”的设置和主域控制器就有了很大的不同,如图3-43所示。由于部署环境的需要,搭建子域,有时由于物理距离较远或是主域的负载很重,不好使用主域的DNS进行站点解析,此时需要搭建子域的DNS服务器,配合子域的域控制器进行工作。

图3-42 “部署配置”对话框

图3-43 “DNS选项”对话框

5)单击“下一步”按钮,在“其他选项”→“路径”→“查看选项”→“先决条件检查”对话框中,对安装的子域进行设置,和主域控制器的设置基本上是一样的,如果先决条件检查通过,就可单击“安装”按钮进行安装。

6)安装完成后会要求重新启动服务器,此时的登录界面和主域控制器一样,如图3-44所示:系统管理员“Administrator”名称添加了NetBIOS名“WIN”,单击登录界面左下角用户图标,可以在域管理员用户与其他用户之间切换,以子域用户系统管理员身份登录子域服务器。

7)和主域控制器安装一样,子域的服务器也发生了比较大的变化,除了计算机名称和域名被更改之外,最大的变化还是DNS服务器的变化:子域服务器IP地址设置中,首选DNS服务器被系统修改为“127.0.0.1”,如图3-45所示,也就是指向了自身,子域服务器将承担“win”子域的DNS解析工作。

图3-44 子域用户账户登录

图3-45 子域服务器IP地址

8)子域服务器也有和主域控制器一样的管理工具,但管理对象发生了变化,例如在主域和附加器控制器上,执行“开始”→“所有程序”→“Windows管理工具”→“Active Directory用户和计算机”命令,在“Active Directory用户和计算机”窗口,双击“Computers”选项,可以看到刚刚成为子域服务器的计算机图标,但是看不到主域控制器的计算机图标,如图3-46所示。

9)由于域中的所有对象都依赖于DNS服务,因此,首先应该确认与子域集成的DNS服务器的安装是否正确:选择“开始”→“所有程序”→“Windows管理工具”→“DNS”命令,打开如图3-47所示的窗口,选择“正向查找区域”选项,可以看到与子域服务器集成的正向查找区域的多个子目录,这是子域安装成功的标志。

图3-46 子域“Active Directory用户和计算机”

图3-47 子域“DNS管理器”窗口

10)执行“开始”→“命令提示符”命令,进入DOS命令提示符状态,输入“nslookup”,在交互式模式下输入“win.nos.com”,若能查询到它的地址“192.168.1.105”,则代表子域服务器所依赖的DNS服务器配置成功,如图3-48所示。

11)执行“开始”→“命令提示符”命令,进入DOS命令提示符状态,输入“ping win.nos.com”,若能ping通,则代表子域创建成功,如图3-49所示。

图3-48 “nslookup”命令

图3-49 “ping”命令

3.3.3 创建林中的第二个域树

在前面已经建立域树中的第一个域“nos.com”,这是网络中的主域控制器,同时也是域树的根域。现在在这个林中创建第二个域树“iot.com”。创建树域的过程和创建主域控制器的过程基本相似,具体的操作步骤如下。

1)在一台已安装好Windows Server 2016的服务器上进行创建树域的相关设置(激活系统并设置IP地址和主域控制器在同一个网段,例如:IP192.168.1.107、子网掩码255.255.255.0、网关192.168.1.1、DNS192.168.1.101,计算机名为“Ycserver2016B”等)。

2)在服务器“服务器管理器”仪表板中,单击“添加角色和功能”来安装“Active Directory域服务”角色,安装方法前面已介绍过,操作步骤是一样的。当Active Directory域服务安装完毕,单击仪表板“任务”图标,在弹出的面板中选择“将此服务器提升为域控制器”选项。

3)进入“Active Directory服务配置向导”的“部署配置”界面,选择“将新域添加到现有林”选项,并指定操作域的信息:选择域的类型为“树域”,林名称“nos.com”,新域名为“iot.com”,单击“更改”按钮,在弹出的“Windows安全性”对话框中输入“nos.com”域管理员用户名和密码,通过验证后如图3-50所示。

4)单击“下一步”按钮,在“域控制器选项”→“DNS选项”界面中进行设置,“域控制器选项”和主域控制器的配置是一模一样的,“DNS选项”的设置和主域控制器是一样的,和子域的“DNS选项”设置不一样,如图3-51所示。

图3-50 “部署配置”界面

图3-51 “DNS选项”界面

5)单击“下一步”按钮,在“其他选项”→“路径”→“查看选项”→“先决条件检查”对话框中,对安装的子域进行设置,和主域控制器的设置基本上是一样的,如果先决条件检查通过,就可单击“安装”按钮进行安装。

6)安装完成后会要求重新启动服务器,此时的登录界面和主域控制器一样,如图3-52所示:系统管理员“Administrator”名称添加了NetBIOS名“IOT”,单击登录界面左下角用户图标,可以在域管理员用户与其他用户之间切换,以树域用户系统管理员身份登录树域服务器。

7)树域所依赖的DNS服务器就是本身树域服务器:执行“开始”→“所有程序”→“Windows管理工具”→“DNS”命令,打如图3-53所示的窗口,选择“正向查找区域”选项,可以看到与树域服务器集成的正向查找区域的多个子目录,这是树域安装成功的标志。

图3-52 树域用户账户登录

图3-53 “DNS管理器”窗口

8)执行“开始”→“命令提示符”命令,进入DOS命令提示符状态,输入“nslookup”,在交互式模式下输入“iot.com”,若能查询到它的地址“192.168.1.107”,则代表树域服务器所依赖的DNS服务器配置成功。

9)执行“开始”→“命令提示符”命令,进入DOS命令提示符状态,输入“ping iot.com”,若能ping通,则代表树域创建成功。

3.3.4 域的管理工具

域控制器安装完成之后,通过执行“开始”→“所有程序”→“Windows管理工具”命令,可以看到新增了一些域的管理工具,这些是网络管理员管理域网络重要的工具。

1.Active Directory管理中心

Windows Server 2008之后的版本,除“Active Directory用户和计算机”管理单元外,域管理员可以使用“Active Directory管理中心”管理,如图3-54所示。“Active Directory管理中心”并不能完成域中所有的管理工作,主要用来管理组织单位、组、用户以及计算机等方面的域对象。针对域可以进行更改域控制器、提升域功能级别、提升林功能级别等操作,并启用回收站。特别是启用回收站功能,删除的域对象首先被存放到回收站中,但域管理员发现误操作后,可以从回收站中恢复删除的域对象。以前版本的域环境中,域对象删除后如果要恢复被删除的域对象,比较烦琐。

在“Active Directory管理中心”中可以选择具体的域对象,例如选择了域控制器“Domain Controllers”,除了新建用户、计算机、组织单位等域对象,还可以创建只读域控制器账户等,如图3-55所示。同时“Active Directory管理中心”构建在Windows Powershell技术之上,域管理员管理域的操作都可以通过“Windows Powershell历史记录”显示出详细的处理过程。

图3-54 Active Directory管理中心

图3-55 Domain Controllers

2.Active Directory用户和计算机

“Active Directory用户和计算机”完成了Active Directory的创建,用户、计算机的添加,具有相应权限的用户,还可以创建、删除、修改、移动、锁定用户账户、禁用用户账户、重设密码、委派控制和设置存储在目录中的对象的权限。管理的对象包括组织单位、用户、联系人、组、计算机、打印机和共享的文件对象等,如图3-56所示。

Active Directory用户和计算机管理的对象具体分类如下。

1)Builtin:域的默认组,包含很多管理组,每个组有各种用来管理用户权限的权限,使用组可以统一方便地管理一组用户的权限。

2)Computers:显示具体加入域的计算机。

3)Domain Controllers:域控制器计算机。

4)Foreign Security Principles:外部安全准则,存储来自有信任关系域的对象。

5)Managed Service Accounts:管理服务账户,绑定到单独的机器上,仅用于管理服务,所以不能用来登录,不需要指定密码,密码会由活动目录自动管理,根据密码策略(默认30天)自动刷新,方便用户设定权限。

6)Users:使用域服务的用户。

3.Active Directory域和信任关系

任何一个网络中都可能存在两台甚至多台域控制器,而对于企业网络而言更是如此,因此域和域之间的访问安全自然就成了主要问题,Windows Server 2016的活动目录为用户提供了信任关系功能,可以很好地解决这些问题。

信任关系是两个域控制器之间实现资源互访的重要前提,任何一个Windows Server 2016域被加入域目录树后,这个域都会自动信任父域,同时父域也会自动信任这个新域,而且这些信任关系具备双向传递性,如图3-57所示。

图3-56 Active Directory用户和计算机

图3-57 Active Directory域和信任关系

由于这个信任关系的功能是通过默认的Kerberos安全协议完成的,因此有时也被称为Kerberos信任。有时候信任关系并不是由加入域目录树或用户创建产生的,而是由彼此之间的传递得到的,这种信任关系也被称为隐含的信任关系。

4.Active Directory站点和服务

活动目录站点复制服务,如图3-58所示,就是将同一Active Directory站点的数据内容保存在网络中不同的位置,以便所有用户快速调用,同时还可以起到备份的作用。Active Directory站点复制服务使用的是多主机复制模型,允许在任何域控制器上更改目录。Active Directory依靠站点概念来保持复制的效率,并依靠知识一致性检查器来自动确定网络的最佳复制拓扑。

Active Directory站点复制可以分为两种类型。

1)站点间的复制:主要是指发生在处于不同地理位置的主机之间的Active Directory站点复制,站点之间的目录更新可根据可配置的日程安排自动进行,在站点之间复制的目录更新被压缩以节省带宽。

2)站点内的复制:可实现速度优化,站点内的目录更新根据更改通知自动进行,在站点内复制的目录更新并不压缩。对于站点内的某些目录更新,复制会立即发生,应用于重要的目录更新,包括账户锁定的指派以及账户锁定策略、域密码策略或域控制器账户上密码的更改等。

Active Directory依靠站点配置信息来管理和优化复制过程。在某些情况下,Active Directory可自动配置这些设置。此外,用户可以使用“Active Directory站点和服务”为自己的网络配置与站点相关的信息,包括站点链接、站点链接桥和桥头服务器的设置等。

5.ADSI编辑器

活动目录访问接口(Active Directory Service Interfaces,ADSI)编辑器是一个轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)编辑器,用来管理Active Directory域服务中的对象和属性,如图3-59所示。它可以实现活动目录的自动化操作,完成任何通过Active Directory图形界面可以完成的工作,例如创建、删除、修改目录对象(容器、用户、组等),另外ADSI还可以通过查询目录来快速获得目录信息。

图3-58 Active Directory站点和服务

图3-59 Active Directory域和信任关系