前言
一个典型的单域环境由主机,DC(Domain Controller域控制器)、DNS服务器组成。DNS、DC都可以有多个,以实现负载均衡和容错
域中的计算机通过DNS解析域控制器,然后向域控制器注册自己。
实验环境
DNS可以和DC在一台机器上,于是实验环境如下
192.168.40.10这台机器既是DC,又是DNS。其DNS指向自己(为啥可以指向自己,参考 DNS专题系列)
注意:域中的计算机SID不可以相同。对于使用WMWare Workstation克隆(软硬克隆)虚拟机来说,SID是相同的,如何修改SID参考Windows Server 2008更改SID
DC Controller配置
安装域控制器
重启后,再次登陆就是域账号登陆
登陆系统后变化:本地用户和组没了,计算机名称变成了FQDN
安装完成后检查及修改
检查
开始-管理工具 新增如下几项
上面说到,升级为域以后,本地用户和组没了。原来的用户和组并没有消失,而是放到了 开始-管理工具-Active Directory用户和计算机下面
接下来检查DNS,注意你环境的数目是否与我的相同
修改
重启后,DNS会指向127.0.0.1,虽然也是只想自己但是不正规,修改如下
将Web Srv和 File Srv加入域
网络配置
DC、Web Srv、File Srv网络互通,都可以上外网
Web Srv
File Srv
加入域
服务器管理器-更改系统属性-更改
加入域的时候需要输入账号密码,这个账号密码不是Web Srv自己的,而是DC上的账号密码。加入域好比入党,入党需要入党介绍人,DC里面的用户就可以充当入党介绍人。DC里面的administrator肯定可以当入党介绍人,除了administrator,DC里面的普通用户也可以充当入党介绍人。见上图
加入域后,DC的computers下面可以看到域中的计算机
DNS指向互联网DNS
如果Web Srv的DNS没有指向DC,而是指向了互联网DNS,那么他在加入域的时候会等很久,因为他试图通过互联网DNS解析域。最终找不到域,报错 “不能联系域winsrv.cac.com 的 Active Directory域控制器”
能成功加入域,DNS功不可没。前面说过注意DNS的条目数量,少的话就会导致无法加入域。执行如下命令重启netlogon服务,DC会自动向DNS服务器注册自己。
当然除了在命令行重启netlogon服务,图形界面也可以重启netlogon
如果netlogon重启后还是没有恢复DNS怎么办?
检查DNS区域是否允许更新
无:表示谁都不能更新DNS记录
安全:只有域中的计算机可以更新DNS记录
非安全:谁都能更新DNS记录
通常选安全
检查域控制器是否有完整的域名
其次检查DC的名称
有的时候即使升级为DC,计算机名称还是没变成FQDN那种形式,还是显示原来的名字,eg:WinSrv
检查域控制器的DNS是否指向正确的DNS服务器
本地连接DNS设置中,是否选中 向DNS中注册此链接的地址
加入域带来的好处
统一身份验证
域中的账户,可以在域中的任何一台计算机登陆,访问共享资源的时候不需要输入账号密码。
统一管理
禁止域账户登陆特定计算机
加入域后,域账户可以在域中任意一台计算机的登陆。当然也可以限制域账号只在某台计算机登陆,演示如下
禁止域账户在指定时间登陆
除了禁止域账号登陆某台计算机外,还可以设置域账号在什么时间允许登陆
使用组策略限制域用户更改IE首页
域用户和本地用户登录
登陆域账号需要输入完整FQDN,登陆本地账户直接输入用户名即可。输入提示会告诉你登陆的是域还是本地计算机
默认情况下域管理员没有设置FQDN,可以单独设置。这样域管理员可以在域中其他计算机登陆
域管理员默认是域中所有计算机的管理员,因为域中的计算机默认将域管理员加入了本地计算机管理员组