windows之家1.windows域的域控安装
要建立域进行管理,首先需安装域控制器(dc),dc上存储着域中的信息资源,如名称、位置和特性描述等信息。通过在一台服务器上安装活动目录(AD),就会将这台计算机安装成dc。 1安装者必须具有本地管理员的权限。
2操作系统版本必须满足条件(Windows server2003除web以外的所有都满足)。
3本地磁盘必须有一个NTFS文件系统
4有TCP/IP设置
5有相应的DNS服务器支持
6有足够的可用空间 1.打开ad开始--运行输入dcpromo
2.是否创建新域。dc有两种新域的域控和现有域的额外域控制器。一般选择新域的域控。
3.新域的DNS全名。
4.新域的NetBIOS名。下一步
5.数据库和日志文件夹。为了优化性能,可以将数据库和日志放在不同的硬盘上。该文件夹不一定在NTFS分区。如果本计算机是域的第一台域控,则sam数据库就会升级到C:\windows\ntds\ntds.dit,本地用户账户变成域用户账户。
6.共享的系统卷。共享系统卷SYSVOL文件夹存放的位置必须是NTFS文件系统。
7.DNS注册诊断。AD需要DNS服务支持。选第二项,下一步。
8.域兼容性。如果网络中不存在Windows server 2003 以前版本的域控制器,就选第二项。如果存在选第一项。
9.还原模式密码。目录服务还原模式的管理员密码,是在目录服务还原模式下登录系统时使用。由于目录服务还原模式下,所有的域账户用户都不能使用,只有使用这个还原模式管理员账户登录。
10.安装完成后需重启计算机。
前面讲解了怎样创建windows域,接下来完善一下,讲解怎样将计算机加入域。 在安装完AD后,需要将其它的服务器和客户计算机加入到域中。一般情况下,在从客户计算机加入域时,会在域中自动创建计算机账号。不过,用户必须在本地客户计算机上拥有管理权限才能将其加入到域中。在加入域之前,首先检查客户机的网络配置:1.确保网络上物理连通 2.设置IP地址 3.检查客户机到服务器是否连通 4.配置客户机的首选DNS服务器(通常为第一台DC的IP) 在客户端计算机系统属性中的“计算机名”选项卡里,单击更改按钮可以打开计算机加入域的对话框,选中域后,输入正确的域名,然后再根据提示输入具有加入域权限的用户名和密码即可。 这样就OK了!将客户机加入域,就可以在客户机上,使用域账户加入到域,也可以使用客户机的本地用户账户登录到域。 前面一直提到DNS,下面讲解DNS在域中的作用。 DNS在域中有两个作用:域名的命名采用DNS的标准、定位DC。 1、域名的命名采用DNS标准。遵循DNS分布式、等级结构的标准。这体现了办公网络与Internet集成的理念。 2、客户机如何定位DC。当域用户账户登陆时或者查找活动目录时,首先要定位DC,这需要DNS服务器支持,主要步骤: 1)客户机发送DNS查询请求给DNS服务器。 2)DNS服务器查询匹配的SRV资源记录。 3)DNS服务器返回相关DC的ip地址列表给客户机。 4)客户机联系到DC 5)DC响应客户机的请求 DNS在活动目录中为什么能起到定位DC的作用哪? 主要靠域的DNS区域中的SPV资源记录。开始--程序--管理工具--DNS,打开DNS管理器,就是SRV资源记录。
2.win10系统加入到win2008 r2域控下需要调整哪些组策略
Windows Server 2003 R2是基于Windows Server 2003 SP1 通过增添功能,同时保持Windows Server 2003 操作系统的内核。
Windows2003与WindowsXP 的内核相同,内核编号NT5.1;而Windows 2008与Windows Vista的内核相同,内核编号NT6.0;Windows 2008 R2与Windows 7 的内核是NT6.1。Windows 2003 R2只是一个在Windows 2008推出前的过渡产品,与Windows 2003 没有本质的区别。
不像Windows 2008 与Windows 2008 R2那样是内核的升级,从NT6.0升到NT6.1。效果就像Windows 2000升级到Windows XP 内核从NT5.0升到NT5.1那么明显。
Windows 2003 R2运行稳定、速度快,Windows 2008 系统太大、运行较慢。这二个系统其实都是过渡系统,如果你想升级到Windows 2008还不如用Windows 2003R2或直接升到Windows 2008 R2。
我的笔记本目前使用的系统就是Windows2008 Standard R2 版优化的桌面系统,个人感觉2008 R2运行速度比Win7还要快些。虚拟机内安装的Windows 2003 R2 SP2标准版与企业版、Windows 2008 SP1标准版感觉都不怎么样。
3.域控关闭445端口以后
1、确保主机名设置里面的DNS后缀设置以及加入的域名正确;IP设置里面DNS是否指向DNS服务器;看看DNS里是不是有条SRV记录,或是没有重启NETLOGON服务。
2、在客户端修改hosts文件,将DNS的域名和IP地址写进去。
3、DNS的端口号 53 ,看看端口有没有被禁掉。
4、关掉客户机的防火墙,比如:ZoneAlarm之类。
5、TCP/IP NetBIOS Helper 服务没起来!NetBIOS 服务接收以下 UDP 端口上的通信:137(WINS 或 NetBIOS 名称服务器),138(NetBIOS 数据报服务)和 139(NetBT客户请求程序服务)。一旦禁用,通过适配器接口接收到这些接口上的所有通信,都将在不通知的情况下被忽略。也要注意看看交换机端口是否限制了135、139 端口。
4.如何将VCSA添加到微软域控环境,并且实现微软域账号登陆vCenter
环境:
VCSA版本5.5U2
微软AD域版本Windows Server 2012 R2
为什么要这样做:
在VMware的VCSA6.0之后的版本内置了PSC,在这个环境下集成微软域控是非常方便的,不需要过多复杂设置就能实现入域并使用微软域账户登陆vCenter。
而在现有的环境中有若干个5.5版的VCSA,希望实现单点登录多VCSA必须借助微软域控账号,这对统一安全管理账号来说是非常有必要的。
操作流程:
在了解过上面的基础信息之后我们需要使用微软域控账户打通这些VCSA,下文图片较多,图片下方是注解。
image001
Figure 1通过work.Address 登陆VCSA的后台管理端设置主机名和DNS,随后保存配置
image002
Figure 2通过https://:5480/#virtualcenter.authentication 登陆VCSA的授权认证设置,填写入域的认证信息,随后保存
image003
Figure 3通过https://:5480/#virtualcenter.Summary 进行vCenter的服务域实例服务的重启,完成入域的最后操作
image004
Figure 4在VCSA端操作完毕之后,我们来到AD的用户和计算机界面,可以看到相应的计算机已经登陆进来了
image005
Figure 5使用浏览器登陆https://:9443/vsphere-client webclient,需要使用具有SSO功能权限的账户,比如administrator@vsphere.local默认密码是vmware
image006
Figure 6在SSO的配置中找到标识源选项卡,点击绿色加号,添加一个标识源
image007
Figure 7由于标识源中需要使用到标识名(DN)因此我们需要借助sysinternals的AD浏览器工具来获取我的用户DN和组DN
image008
Figure 8比如我这里的用户DN对应的OU是vcuser,那么双击distinguishedName,复制里面values的内容即可
image009
Figure 9用户的基本DN来自于Figure 8的复制,组的基本DN来自于一个用户组,主服务器URL可以填写微软全局编录服务的服务端口3268,测试后没什么问题点击确定
image010
Figure 10在SSO的用户和组内容下,切换到新加入的域,验证用户信息同步情况,这个展示与AD域内的信息是一样的
image011
Figure 11以vCenter为对象进行权限的赋予
image012
Figure 12选择新加入的域,选择用户,点击添加,最后确定完成
image013
Figure 13最后通过新加入的用户来实现vCenter的管理
小结:
1. VCSA5的环境下明显比VCSA6在进域的情况下复杂一些,好在VCSA5.5之后都支持这样操作了,而5.5之前的版本是不支持这样使用的
2. 使用AD的好处非常多,这个场景里面使用了他作为“户口本”的功能
3. 使用微软全局编录的3268端口而非普通ldap的389端口进行“户口”信息的交换
4. 对于DN等特殊信息我们需要使用AD浏览器来读取并使用
5. 微软产品作为基础设施已经不单单是运行的操作系统,而是某一团体的逻辑信息
转载请注明出处windows之家 » 域控披露安装win10