Windows域控管理
说明:
1.本文档没有目录,本文档在发布时为pdf文档,有章节书签,可以下载到本地来查看,点
击书签进入相应的章节。
2.蓝的字为配置命令,绿的字为命令的注释,有时命令太密集时,就不用蓝标出了。
3.注意:本文档的所有操作请先在在虚拟机里进行实践,请不要直接在真实的服务器中操作! cof作者:李茂福
日期:2019年12月24日
Windows域
Windows中的域(domain)是一套统一的身份验证系统,是企业应用的基础。组策略通过用户身份验证和域绑定得比较紧密。 域树:由多个域组成,这些域共享同一个存储结构和配置,形成一个连续的名字空间,有相同的DNS后缀。
域林:由一个或多个没有形成连续名字空间的域树组成,构成域林的各个域树之间没有形成连续的名字空间,没有相同的DNS后缀。但域林中的所有域树仍共享同一个存储结构、配置和全局目录。
根域:网络中创建的第一个域,一个域林中只能有一个根域(Root Domain)。
DC>get-ADforest//查看根域
部署第一台域控制器
1.以管理员帐号Administrator登录服务器
3.设置静态IP
4.首选DNS配置为本机IP
5.添加角和功能:
打开“服务器管理器”→添加角和功能→基于角或基于功能的安装→...→Active Directory域服务→....→安装进度(结果)→点击“将此服务器提升为域控制器→添加新林一般第一台域控制器同时也是“集成区域DNS服务器”
>net accounts//查看计算机角,第一台域控的角为Primary
>net share//查看系统共享卷,以下为安装DC功能后添加的NETLOGON C:\Windows\SYSVOL\sysvol\guotai\SCRIPTS Logon server share SYSVOL C:\Windows\SYSVOL\sysvol Logon server share
FSMO操作主机角
Flexible Single Master Operation
>netdom query fsmo//查看5种操作主机角所在的域控制器
1.架构主机Schema Master
域林中只有一个架构主机,作用是定义所有域的对象属性(定义数据库字段及存储方式)
2.域命名主机Domain Naming Master
域林中只有一个域命名主机,负责控制域林内域的添加或删除
3.PDC主机PDC Emulator Master
每个域中只有一个PDC主机,作用:
兼容低版本的DC
PDC主机角所在的DC优先成为主域浏览器,用>net accounts查看的那个Primary 活动目录数据库的优先复制权
时间同步
防止重复套用组策略,使用组策略时,组策略编辑器默认连到PDC主机
4.RID主机Relative Identifier Master
每个域中只有一个RID主机
作用是在域中创建对象时保证每个对象有一个唯一的SID,跨域访问、迁移域对象时,通过RID主机确认域对象的唯一性
5.基础结构主机Infrastructure Master
每个域中只有一个基础结构主机,负责对跨域对象的引用进行更新
*整个域林中只有一台架构主机和一台域命名主机
*每个域中都有自己的PDC主机、RID主机和基础架构主机各一台
FSMO角转移
将Primary上的操作主机角转移到Backup上
登录Backup DC
>ntdsutil
ntdsutil:roles
Fsmo maintenance:connections
Server connections:connect to f//连接至Backup DC server connections:quit
Fsmo maintenance:transfer schema master//转移架构主机角
Fsmo maintenance:transfer naming master//转移域命名主机角
Fsmo maintenance:transfer RID master//转移RID主机角
Fsmo maintenance:transfer PDC//转移PDC主机角
Fsmo maintenance:transfer infrastructure master//转移基础结构主机角
抢占
当Primary DC出现故障时,就不能进行转移操作了,只能占用操作主机,操作过程同上,只是把transfer改为seize
>get-ADforest//查看域林信息
>netdom query fsmo//查看操作主机角
修改域控IP
1.直接在网卡配置里修改IP
2.命令行里操作:
>net stop NETLOGON
>net start NETLOGON
>ipconfig/registerdns
3.打开DNS服务器管理控制台,删除所有和原IP相关的A记录
重命名域控制器
>netdom f/enumerate//查看DC的所有FQDN名称>netdom f/f//添加新名称
>netdom f/f
重启域控制器
>netdom f/f//删除原来名字
>netdom f/enumerate//查看
删除原来的DNS记录(正向查区域)
允许域用户将计算机加入域的数量
*默认每个域用户可将10台计算机加入域,自定义设置:
Win+R输入adsiedit.msc//打开ADSI编辑器
右击“ADSI编辑器”→连接到→默认命名上下文→右击DC=cof,DC=com→属性→ms-DS-MachineAccountQuota→值为0~65535表示用户可加入域的计算机数
*或者单独委派用户加域权限
打开Active Directory用户和计算机→右击域名→委派控制→下一步,添加用户→下一步,将计算机加域→完成
查看用户修改密码的时间
Active Directory用户和计算机→选中用户→双击属性→属性编辑器下边底部→pwdLastSet 即为最近修改密码的时间
-LastLogon最后一次登录时间
AD域控相关端口号
端口号tcp/udp服务
53t/u DNS
88t/u Kerberos
123u NTP
135t Rpc Endpoint Master(msrpc)
137u NetBIOS Name Service
138u NetBIOS Datagram Service
139t/u NetBIOS session Service(netbios-ssn)
389t/u LDAP
445t SMB(CIFS)(microsoft-ds)
464Kpasswd5
593ncacn_http(msrpc over HTTP1.0)
636u/t LDAPS(tcpwrapped Ldap over SSL)
2179vmrdp
3268t LDAP GC(Global Catalog)
3269t LDAPS GC(Global Catalog over SSL)
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议