山東神達(dá)化工windows_ad域配置方案和操作手冊山東神達(dá)化工windows_ad域配置方案和操作手冊2015年01月14日1 ,山東神達(dá)化工windows_ad域配置方

山東神達(dá)化工windows_ad域配置方案和操作手冊

山東神達(dá)化工windows_ad域

配置方案和操作手冊

2015年01月14日

1

山東神達(dá)化工windows_ad域配置方案和操作手冊

目錄

1. 背景................................................................................................................................................................. 3

2. 為什么要用域 . ................................................................................................................................................ 4

2.1. 一個演示實(shí)例說明 . ..................................................................................................................... 4

2.2域的概念 . ...................................................................................................................................... 7

3. 如何部署一個域 . ............................................................................................................................................ 7

3.1. DNS 前期準(zhǔn)備 .............................................................................................................................. 8

3.1.1. 創(chuàng)建區(qū)域并允許動態(tài)更新 ............................................................................................................ 9

3.1.2. 檢查NS 和SOA 記錄 .................................................................................................................... 12

3.2. 創(chuàng)建域控制器 ........................................................................................................................... 14

3.3. 創(chuàng)建計算機(jī)賬號 ....................................................................................................................... 23

3.4. 創(chuàng)建用戶賬號 ........................................................................................................................... 26

4. 用備份進(jìn)行域的災(zāi)難重建 . .......................................................................................................................... 30

4.1. 如何備份 ................................................................................................................................... 30

4.2. 如何還原 ................................................................................................................................... 34

5. 部署額外域控制器 . ...................................................................................................................................... 39

6. ACTIVE DIRECTORY的授權(quán)還原 . ................................................................................................................. 48

7. ACTIVE DIRECTORY的脫機(jī)碎片整理 . ......................................................................................................... 57

8. 針對神達(dá)化工的具體方案 . .......................................................................................................................... 62

8.1. 用戶管理 . ................................................................................................................................... 62

8.2. 災(zāi)備和重建 . ............................................................................................................................... 63

8.3. 桌面恢復(fù) . ................................................................................................................................... 63

8.4. 域用戶集成本地管理員 . ........................................................................................................... 63

8.5如何限制域用戶脫離域后登陸 . ................................................................................................ 68

2

山東神達(dá)化工windows_ad域配置方案和操作手冊

1. 背景

山東神達(dá)化工有限公司（以下簡稱：神達(dá)化工）目前實(shí)施的HONEYWELL PHD 實(shí)時數(shù)據(jù)庫需要且必須運(yùn)行在windows 的ad 域中，目前項(xiàng)目進(jìn)展順利。

神達(dá)化工實(shí)施HONEYWELL PHD 實(shí)時數(shù)據(jù)庫的網(wǎng)絡(luò)拓?fù)淙鐖D1所示：

圖1

?

?

? 一臺域控制器：負(fù)責(zé)域用戶的維護(hù) 一臺數(shù)據(jù)庫服務(wù)器：運(yùn)行HONEYWELL 所依賴的數(shù)據(jù)庫 一臺web 服務(wù)器：對外訪問，所有終端通過這臺機(jī)器獲取瀏覽信息。

神達(dá)化工在以往的信息化建設(shè)中并未使用過windows 的ad 域，借助HONEYWELL PHD 實(shí)時數(shù)據(jù)庫項(xiàng)目，希望將域引入并通過域?qū)緝?nèi)部的計算機(jī)進(jìn)行管控。在項(xiàng)目建設(shè)過程中，針對windows 的ad 域，神達(dá)化工還有如下疑慮：

1、什么是域，為什么要實(shí)施域。

3

山東神達(dá)化工windows_ad域配置方案和操作手冊

2、如何創(chuàng)建、管理、維護(hù)域。

3、如何處理災(zāi)備和恢復(fù)。

針對以上幾個問題，下面將詳細(xì)介紹并列舉實(shí)例進(jìn)行演示。

2. 為什么要用域

微軟管理計算機(jī)可以使用域和工作組兩個模型，默認(rèn)情況下計算機(jī)安裝完操作系統(tǒng)后是隸屬于工作組的。我們從很多書里可以看到對工作組特點(diǎn)的描述，例如工作組屬于分散管理，適合小型網(wǎng)絡(luò)等等。我們這時要考慮一個問題，為什么工作組就不適合中大型網(wǎng)絡(luò)呢，難道每臺計算機(jī)分散管理不好嗎？

下面我們通過一個例子來說明這個問題。

2.1. 一個演示實(shí)例說明

假設(shè)現(xiàn)在工作組內(nèi)有兩臺計算機(jī)，一臺是服務(wù)器Florence ，一臺是客戶機(jī)Perth 。服務(wù)器的職能大家都知道，無非是提供資源和分配資源。服務(wù)器提供的資源也有多種形式，可以是共享文件夾，可以是共享打印機(jī)，可以是電子郵箱，也可以是數(shù)據(jù)庫等等。

現(xiàn)在服務(wù)器Florence 提供一個簡單的共享文件夾作為服務(wù)資源，我們的任務(wù)是要把這個共享文件夾的訪問權(quán)限授予公司內(nèi)的員工張建國。（注意，這個文件夾只有張建國一個人可以訪問）

那我們就要考慮一下如何才能實(shí)現(xiàn)這個任務(wù)，一般情況下管理員的思路都是在服務(wù)器上為張建國這個用戶創(chuàng)建一個用戶賬號，如果訪問者能回答出張建國賬號的用戶名和密碼，我們就認(rèn)可這個訪問者就是張建國?；谶@個樸素的管理思路，我們來在服務(wù)器上進(jìn)行具體的實(shí)施操作。

首先，如圖2所示，我們在服務(wù)器上為張建國創(chuàng)建用戶賬號。

4

山東神達(dá)化工windows_ad域配置方案和操作手冊

圖2

然后，在共享文件夾中進(jìn)行權(quán)限分配，如圖3所示，我們只需把共享文件夾的讀權(quán)限授予用戶張建國。

圖

3

5

山東神達(dá)化工windows_ad域配置方案和操作手冊

接下來，張建國就可以在客戶機(jī)Perth 上準(zhǔn)備訪問服務(wù)器上的共享文件夾。張建國準(zhǔn)備訪問資源Florence人事檔案，服務(wù)器對訪問者提出了身份驗(yàn)證請求，如圖4所示，張建國輸入了自己的用戶名和口令。

圖4

如圖5所示，張建國成功地通過了身份驗(yàn)證，訪問到了目標(biāo)資源。

圖

5

6

山東神達(dá)化工windows_ad域配置方案和操作手冊

以上實(shí)例說明，在這個小型網(wǎng)絡(luò)中，工作組模型沒有暴露出什么問題。但是如果我們要把問題擴(kuò)展一下，假設(shè)現(xiàn)在公司不是一臺服務(wù)器，而是500臺服務(wù)器，那么我們的麻煩就來了。

如果這500臺服務(wù)器上都有資源要分配給張建國，那會有什么樣的后果呢？由于工作組的特點(diǎn)是分散管理，也就意味著每臺服務(wù)器都要給張建國創(chuàng)建一個用戶賬號。那么張建國這個用戶就必須痛不欲生的記住自己在每個服務(wù)器上的用戶名和密碼，而服務(wù)器管理員也將需要為每個用戶賬號都重新創(chuàng)建500次。

如果公司內(nèi)有1000人呢？我們難以想象這樣管理網(wǎng)絡(luò)資源的后果，這一切的根源都是由于工作組的分散管理。這就說明工作組這種散漫的管理方式和大型網(wǎng)絡(luò)所要求的高效率是背道而馳的。

2.2域的概念

既然工作組不適合大型網(wǎng)絡(luò)的管理要求，那么我們就需要重新審視一下其他的管理模型。其中域模型就是針對大型網(wǎng)絡(luò)的管理需求而設(shè)計的，域就是共享用戶賬號、計算機(jī)賬號和安全策略的計算機(jī)集合。

從域的基本定義中我們可以看到，域模型的設(shè)計考慮到了用戶賬號等資源的共享問題。這樣域中只要有一臺計算機(jī)為公司員工創(chuàng)建了用戶賬號，那么其他計算機(jī)就都可以共享賬號了。這樣就很好地解決剛才我們提到的賬號重復(fù)創(chuàng)建的問題。域中的這臺集中存儲用戶賬號的計算機(jī)就是域控制器、用戶賬號、計算機(jī)賬號和安全策略被存儲在域控制器上一個名為Active Directory的數(shù)據(jù)庫中。

3. 如何部署一個域

一般情況下，域中有三種計算機(jī)，一種是域控制器，域控制器上存儲著

Active Directory ；一種是成員服務(wù)器，負(fù)責(zé)提供郵件、數(shù)據(jù)庫、DHCP 等服務(wù)；還有一種是工作站，是用戶使用的客戶機(jī)。我們準(zhǔn)備搭建一個基本的域環(huán)境，拓?fù)淙鐖D6所示，F(xiàn)lorence 是域控制器，Berlin 是成員服務(wù)器，Perth 是工作站。

7

山東神達(dá)化工windows_ad域配置方案和操作手冊

圖6

3.1. DNS 前期準(zhǔn)備

DNS 服務(wù)器對域來說是不可或缺的。

一方面，域中的計算機(jī)使用DNS 域名，DNS 需要為域中的計算機(jī)提供域名解析服務(wù)。

另外一種重要的原因是域中的計算機(jī)需要利用DNS 提供的SRV 記錄下來定位域控制器。

因此我們在創(chuàng)建域之前需要先做好DNS 的準(zhǔn)備工作。那么究竟由哪臺計算機(jī)來負(fù)責(zé)做DNS 服務(wù)器呢。

一般工程師有兩種選擇，要么使用域控制器來做DNS 服務(wù)器，要么就使用一臺單獨(dú)的DNS 服務(wù)器。這臺DNS 服務(wù)器不但能為域提供解析服務(wù)，同時還能為公司其他的業(yè)務(wù)提供DNS 解析支持，大家可以根據(jù)具體的網(wǎng)絡(luò)環(huán)境來選擇DNS 服務(wù)器。

8

山東神達(dá)化工windows_ad域配置方案和操作手冊

那么在創(chuàng)建域之前，DNS 服務(wù)器需要做好哪些準(zhǔn)備工作呢？

3.1.1. 創(chuàng)建區(qū)域并允許動態(tài)更新

首先我們需要在DNS 服務(wù)器上創(chuàng)建一個區(qū)域，區(qū)域的名稱和域名相同，域內(nèi)計算機(jī)的DNS 記錄都創(chuàng)建在這個區(qū)域中。我們在DNS 服務(wù)器上打開DNS 管理器，如圖7所示，右鍵單擊正向查找區(qū)域，選擇新建一個區(qū)域。出現(xiàn)新建區(qū)域向?qū)Ш?，點(diǎn)擊下一步繼續(xù)。

圖7

區(qū)域類型選擇“主要區(qū)域”，如圖8所示。

9

山東神達(dá)化工windows_ad域配置方案和操作手冊

圖8

區(qū)域名稱和域名相同，是adtest.com 。

圖9

由于區(qū)域一定要允許動態(tài)更新，因此在創(chuàng)建域的過程中需要向DNS 區(qū)域中寫入A 記錄、SRV 記錄和Cname 記錄。

10