活動目錄
第一章部署windows域
活動目錄:活動目錄是一個目錄也是一種中服務。它保存這windows網絡中的用戶賬號、組、計算機、共享文件夾等信息。
活動目錄的特點:
1. 集中管理
2. 便捷的訪問網絡資源
3. 可擴展性
域控制器(DC):安裝了活動目錄的那臺計算機就是DC
域的結構:
1. 單域:網絡中只有一個域
2. 域樹:具有連續的名稱的多個域
3. 域林:是由一個或多個沒有形成連續名稱的域樹組成(一個域樹也能構成一個林)
Windows 2000以上版本會自動搭建雙向信任可傳遞。
安裝域控制器的條件:
1. 安裝必須有本地管理員權限(Adminnistrator)
2. 操作系統必須是windows NT server以上的版本,注意:除Web版以外。(這裏windows NT server 爲單主複製發其他以上版本都是多主複製法)
3. 本地磁盤至少有一個分區是NTFS
4. 配置靜態的IP地址和子網掩碼(DNS指向自己)
5. 有足夠的可用空間
安裝域控制器的命令:dcpromo(創建或刪除都用它)
客戶機加入域的條件:
★ 確保計算機和域相互連通
★ 配置正確的DNS地址
組的類型有:安全組和通訊組
★ 安全組:可羣發郵件、賦予權限(最爲常用)
★ 通訊組:只能發郵件
組的用戶域:本地域組、全局組和通用組
組的範圍:本地域組>全局組>通用組
權限:通用組和全局組可跨域訪問而本地組不可跨域
通用和全局的區別:通用組的信息會記載在全局編錄裏(GC),而全局組成員會記錄在沒個域中。相比較而言通用組會比全局組訪問的快。
OU稱之爲組織單位:OU是一個容器它保存這用戶、組、計算機、和其他OU。注意:OU不能包含來自其他的域。
第二章 域控管理
增加額外域控制器的好處:
1. 提供容錯功能
2. 提供負載均衡
3. 更易於用戶的連接和訪問
安裝額外域控制器的條件:
★ 安裝者必須有域管理員權限(administrator)
★ 計算機IP地址和DNS服務器配置正常(DNS服務器一般指向第一臺服務器的IP地址)
★ 確保計算機跟第一臺域控制器相連
卸載域控制器的注意事項:
★ 如果該域還有其它服務器的話會被降級爲成員
★ 如果該域爲域中的最後一臺服務器會被降級爲獨立域控制器
★ 如果該域承擔了“全局編錄”的角色,卸載前看還有沒有人承擔“全局編錄”這個角色否則會影響用戶登錄.
★ 域內所有域控制器都要聯機
第三章組策略的應用
組策略作用:用來控制應用程序,系統設置和管理模板的一種機制。
組策略的好處:
1. 減少成本,因爲只需設置一次,相應的用戶和計算機即全部應用規定設置
2. 減少用戶單獨配置錯誤的可能性
3. 可以針對特定對象(計算機或用戶)實施特定策略
Windows server 2008 默認有兩個GPO稱之爲組策略對象,一個是默認域策略一個是默認域控制器策略。
默認域策略影響域中的所有計算機和用戶而默認如控制器策略影響組織單位中的所有計算機。
組策略的創建方法:
組策略包含計算機和用戶,計算機配置對OU中的計算機起作用同理用戶配置的OU對用戶起作用。
組策略應用規則;
同一條組策略如果衝突計算機策略高於用戶策略。
刷新組策略的命令:gpupdate /force
組策略應用的順序:LSDOU 注意:範圍越小權限越大
1. 首先本地組策略對象(L)
2. 站點組策略對象(S)
3. 然後應用域組策略對象(D)
4. 如果一個計算機或用戶的某個OU則應用OU上的組策略。(O)
5. 如果一個OU的子OU則應用子OU的對象.(U)
6. 如果連接了多個組策略對象則連接順序最低組策略對象最後處理,因此它具有最高的優先級。
強制生效會覆蓋組織繼承設置,這是網絡管理員對網路統一管理的一種方法。
分發軟件應注意的事項:
★ 要分發的軟件必須要有.MSI文件。軟件分發採用windows Installer(製作.MSI的文件工具有VERITAS Discover和Advanced Installer)
★ 軟件分發點必須是服務器的上的共享文件夾
★ 客戶機上安裝軟件時要注意的軟件的權限
分發軟件的方式:分配和發佈
分配:可以到計算機或用戶,如果分配了一個軟件則登錄用戶或啓動計算機時會自動安裝。
發佈:只能到用戶,若果發佈了一個軟件則登入用戶可選用或不選用會在控制面板顯示
分配和發佈的區別:分配的權限要比發佈的權限大。
第四章windows備份和災難恢復
Windows server 2008中會自帶一個windows server backup 可以進行數據的備份和恢復。
Windows Server Backup備份的注意事項:
1. 需要一個單獨的專用磁盤運行計劃備份(需要兩塊硬盤)
2. 只能備份本地磁盤的NTFS格式的卷
3. 不能備份到磁帶
4. 可以使用Windows Server Backup 備份整個服務器
5. 可以恢復文件夾、磁盤、某個應用程序和系統狀態
6. 無法使用Windows Server Backup 恢復Ntbackup.exe創建的備份(如要恢復只能降級)
Windows Server Backup的新功能:
1. 更快速的備份技術
2. 簡化還原
3. 簡化的操作系統恢復
4. 恢復應用程序的功能
5. 改進的計劃功能
6. 非現場刪除備份,以便進行災難保護
7. 遠程管理
Windows Server Backup 提供兩種選擇來進行備份
1. 手動備份(爲一次性備份)
2. 自動備份(計劃備份)注意:備份目的磁盤不可以包含在備份的磁盤內。且備份方式必須要含有操作系統的卷
Windows server backup 不具有備份各個文件和文件夾的功能,只能備份某些卷或整個服務器(所有卷),但可以恢復某個文件或文件夾及應用程序。
一次性備份使用命令用windows server backup 進行備份:
1. 進行備份在命令行輸入 “wbadmin /?”可以查看可用參數,
2. 在命令行輸入“wbadmin start backup —backuptarget:要存儲
(開始備份) (要備份的項目)
的盤符:—include:要備份的盤符:
(備份存儲位置)
權限:必須要有Aminnistrator組和Backup Operators組的成員才能使用Windows Server Backup
計劃備份注意事項:
★ 默認時間爲半小時一次,如要選擇10:10則需要wbadmin來完成
★ 如要備份到別的磁盤的某個分區則分區會被自動格式化
★ 完成後再windows 管理器中用於磁盤備份的磁盤將不可見,在磁盤管理器中可以看到此驅動程序,如要恢復必須取消計劃備份
使用命令行進行自動備份:
1. 在命令行輸入“wbadmin get disks”可現實磁盤表示
2. Wbadmin enable backup —addtarget:{備份目標位置的標示符}
(啓用計劃備份) (目標標示符)
—schedule:{要備份的時間} —include:{需要備份的卷}:—
(備份時間) ( 要備份的項目)
allCritical
(包含系統分區)
備份設置:
1. 始終執行完整備份:所有文件都會備份,這種備份話費時間長但不影響性能。
2. 始終執行增量備份:只備份新增加的文件或有改動的文件,這種備份時間快但影響性能。(第一次增量備份時會先用完整備份一次然後在實施增量備份)
3. 自定義:可以針對不同情況用不同的方式(完整備份或增量備份)
使用命令行進行數據還原:
1. 輸入命令“wbadmin get versions”顯示可用的備份集版本唯一標示符。
2. 輸入命令“wbadmin start recovery —version:{唯一標示符}
(開始恢復)
—itemtype:file —items:{要備份的項目列表}: —
(要恢復的類型)
recoverytarget:{要還原的目錄}:
任務計劃使用觸發器來編輯。
第五章活動目錄的備份和災難恢復
系統狀態數據一般包括:
★ 註冊表
★ COM+類註冊數據庫
★ 引導文件、系統文件
★ 證書服務數據庫
★ 活動目錄域服務
★ SYSVOL目錄
★ Internet 信息服務(IIS)
★ Windows 文件保護 (wfp)下的系統文件
Windows server 2008中對系統備份的注意事項:(需要命令wbadmin來備份)
1. 系統狀態備份只能用命令行,不能再windows server backup管理控制檯進行
2. 在windows server backup中無法通過配置計劃備份來自動備份系統狀態
3. 必須是backup Operators或Administrator組成員纔可以使用wbadmin命令來創建系統備份
4. 系統狀態只能保存在本地磁盤不能保存到DVD或遠程共享位置
5. 只有系統狀態和系統應用程序可以從系統狀態恢復,卷和文件無法從此備份恢復
手動備份系統狀態:
1. 輸入命令“wbadmin /? ”可以查看到備份系統狀態的命令
2. 輸入命令“wbadmin strat systemstatebackup —backuptarget:{要備份的位置}:
自動備份系統狀態:使用“wbadmin命令製作腳本”保存名爲“backup_sysstate.bat”
1. “wbadmin strat systemstatebackup —backuptarget:{要備份的位置}: —quiet
2. 將此腳本添加到任務計劃中
活動目錄還原有:非授權還原(應用在只用一臺DC的時候),授權還原(應用在擁有多臺DC的時候)
非授權還原的步驟:
1. 重啓計算機在開機時按F8“選擇目錄還原模式”
2. 以管理員身份登錄(注意密碼爲還原域的密碼)
3. 輸入命令“wbadmin get versions”查看備份集備份版本的標示符
4. 輸入命令“wbadmin start systemstaterecovery —version:{唯一標示符}” 進行 系統狀態還原
5. 完成後從新啓動計算機
授權還原:
1. 先進行非授權還原,還原之後不要從新啓動接着輸入命令“ntdsutil”
2. 繼續輸入命令“Activate Instance ntds”然後在此輸入命令“Authoritative restore”進行授權恢復模式
3. 繼續輸入命令“restore object cn=用戶,dc=域名,dc=com
Window安全模式:啓動時按F8進入高級啓動項
1. 安全模式:用於解決windows 啓動或使用的大部分問題(殺毒)
2. 網絡安全模式:帶網絡的安全模式
3. 帶命令提示符安全模式:直接進入命令行模式
4. 啓用啓動日誌:啓動日誌對確定系統啓動問題的準確原因
5. 啓用低分辨率視頻:使用最低分辨率(640×480)啓動
6. 最後一次正確配置:指最後一次沒有錯誤的時候
7. 目錄還原模式:還原活動目錄的
8. 調試模式:啓動時通過串行電纜將調試信息發送到另一臺計算機
第六章操作主機
操作主機的類型:
★ 架構主機和域命名主機是從在於每個林中,這些角色必須是唯一的。
★ PDC仿真主機、相對ID(RID)主機、基礎結構主機它們存在於域中,這些角色在域中是唯一的。
1. 架構主機:對整個林的結構修改,林中的對象和屬性的定義,對象和屬性之間的關係是由架構主機完成的。(在林中唯一)
2. 域命名主機:保證域中的域命名唯一性。(在林中唯一)
3. PDC仿真主機:負責時間的同步、密碼變化複製等待時間、對windows 2000 以前的操作系統提供支持。(域中唯一)
4. RID主機:它創建的每個SID在域中都是唯一的,而SID包含一個域它與域中創建的所有SID都相同。(域中唯一)
5. 基礎結構主機:負責更新它所在的域中的對象到其它域中對象的引用。
基礎結構主機的注意事項:(域中唯一)
1) 如果基礎結構主機跟全局編錄在一個域內則基礎結構主機失效。
2) 如果域中所有域控制器都存在全局編錄則基礎結構主機失效。
3) 基礎結構主機還負責重命名和更改組成員時更新“組到用戶”的引用。
查看所有操作主機的命令:netdom query fsmo
轉移和佔用操作主機角色:
轉移操作主機角色步驟:域控制器和目標域控制器聯機的情況,可以使用轉移操作主機角色。
1. 轉移架構主機:
1) 在DC1上運行“MMC”命令添加“Active Directory 架構”“Active Directory 域和信任關係”“Active Directory 用戶和計算機”
2) 右擊“Active Directory 架構”選擇更改Active Directory 域控制器。
3) 在目錄服務中選擇“DC2”
4) 系統會提示只能在操作主機盒上進行修改
5) 返回控制檯右擊“Active Directory 架構”在彈出菜單選中操作主機
6) 在彈出來的更改操作主機裏確認當前是DC1,要轉換的目標是DC2點確認進行轉換
2. 轉移域命名主機:步驟跟架構主機一樣只不過是在“Active Directory 域和信任關係”進行轉移
3. 轉移RID、PDC、基礎結構主機:
1) 右擊左側的“Active Directory用戶和計算機”
選擇更改“Active Directory 域控制器”。
2) 在更改“目錄服務器中”選擇所有任務的操作主機。
3) 然後進行轉移。
佔用操作主機角色步驟:
1) 輸入命令“ntdsutil”命令
2) 在ntdsutil下輸入“roles”命令
3) 在Fsmo Maintenance 命令輸入“connection”命令
4) 在server connection命令輸入“connect to server DC2.benet.com”(由於第一臺DC脫機,第二臺需要進行需要域名解析)
5) 在server connection命令輸入“quit”返回上一級命令
6) 在Fsmo Maintenance命令下輸入“seize 加操作主機名”如果兩臺DC聯機的話可以用“transfer 加操作主機名”進行轉移。(seize 屬於強制性 transfer屬於平常轉移)
第七章AD常見故障排查
AD常見故障排查思路:可以從域用戶賬戶、客戶端、網絡和服務器等方面。
AD故障範圍有四個方面:
1. 確認單一域用戶賬戶的故障:原因可能是用戶賬戶被禁用、密碼過期、權限設置等問題
2. 確認單一客戶端的故障:原因計算機和服務器之間時間不同步、網絡連接有問題、DNS設置錯誤、網卡故障等。
3. 確認 網絡方面的故障:原因是路由交換機的故障
4. 確認服務端的故障:如果域賬戶在任何機器都無法登陸域無外乎就是域控制器和網絡的原因。
第八章多域間訪問
林中的信任:信任是域林之間建立的關係,它可以是一個域(或林)中的用戶由一個域(或林)中的域控制器來進行驗證。
林中信任關係有兩種:林中跨域訪問和林間跨域訪問
林中垮與訪問特點:林中所有域之間的信任關係是自動建立的,而且是雙向可傳遞的信任關係,但不是這樣就可以訪問了還要設置正確的權限。
1. 自動創建
2. 雙向信任
3. 可傳遞性
林間信任特點:林間信任分爲外部信任和林信任
1. 必須手動創建
2. 可單向或雙向,單向又分內傳和外傳,內傳指指定域信任本地域,外傳指本地域信任指定域。
3. 不可傳遞(需手動設置)
林信任的要求:
1. 林功能級別不得低於windows server 2003
2. 必須在林根域下創建
實現跨域的權限應該怎麼設置:
AGDLP的規則:A(表示賬戶)→G(表示全劇組)→DL(表示域本地組)→(表示權限)
林間跨域訪問也是使用AGDLP規則訪問權限進行訪問,步驟如下
1. 被信任的域賬戶加入到本地域的全局組
2. 被信任域的全局組加到信任域的本地組
3. 給信任域的本地組設置權限