網路規畫完畢後,如果要有好的管理機制建議可以建立AD網域,可以集中控管用戶端電腦及帳號還有軟體派送等等的好處。
DC是否虛擬化個人認為是OK的。微軟建議作法至少有兩台網域控制站來互作備援,個人建議環境中有一台實體穩定的主機擔任DC角色會比較適當,後來建立的DC就建置在虛擬環境就可以。
因為是小公司所以有可能是PC Server ,所以我建立的第一台網域控制站就是使用一台實體PC安裝Server 2012 R2 來擔任(記憶體8G )
網域名 : misbacks.com
安裝AD網域服務及DSN伺服器 :
在Windows Server 2012 (R2)要升級網域時已經不在使用dcpromo 指令來做,而是先安裝角色在進行升級
在伺服器管理員勾選[Active Direcrory網域服務]&[DSN伺服器]進行安裝即可
安裝完畢後,點選右上方黃色三角形 > [將此伺服器升級為網域控制站]
選擇[新增樹系]
輸入跟網域名稱 : misbacks.com
因為目前規畫環境都是使用ws2012r2 所以樹系及網域功能等級就選擇[Windows Server 2012 R2]
輸入 DSRM 密碼 (有密碼複雜度:大小寫英文、數字、特殊符號)
DNS選項 > 直接點選 [下一步]
其選選項 > 點選 [下一步]
若電腦內有多個硬碟建議將資料庫與記錄檔分開,可以提高效能
預設路徑
資料庫 : c:\windows\NTDS
記錄檔 : c:\windows\NTDS
SYSVOL : c:\windows\SYSVOL
本台電腦有多個硬碟所以重新設定資料庫及記錄檔路徑
先決條件檢查沒有問題後點選[安裝],安裝完畢後會自動重新開機。
DC安裝完畢後重新開機後,接下來檢查DC使否運作正常
DNS SRV 紀錄檢查
網域控制站會將DC 主機IP資訊登記到DNS上面
打開DNS管理工具,
支援網域控制站的DNS會出現 msdcs.xxx.xxx & _tcp & _site & _udp 等資料
在misbacks.com 中 ,就會記錄DC01 的ip 位址 : 192.168.1.1
_tcp 部分 :
_ldap 會看到 SRV 紀錄,因為目前只有一台dc1,且擔任GC
所以會有如下圖四筆SRV紀錄,其中3286 , 88 , 464, 389 ,就是使用的 port 號碼
檢查sysvol 資料夾是否有共享
預設該資料夾路徑 : C :\windows\SYSVOL\sysvol 該資料夾會啟動分享,此資料夾是存放及同步GPO
但是在安裝DC時有改路徑為E:\SYSVOL ,所以分享的路徑會是E:\SYSVOL\sysvol
ad資料庫 :
路徑 : E:\ntds (安裝時已修改路徑)
其中ntds.dit 就是AD資料庫
edb.log是記錄檔
大致上檢查完DC相關東西後,還有一項重要的事情就是設定備份DC資料以備不時之需。
使用windows Server backup 工具備份AD資料庫
在伺服器管理員中新增 windows Server backup 功能(安裝完畢不需要重新啟動電腦)
開啟備份工具,設定每天晚上進行AD資料庫備份
點選 > 備份排程
勾選系統狀態就包含AD資料庫
設定每天晚上11點備份
選擇備份目的
因為該主機有另外一個分割區所以選擇備份到磁碟區,若有網路共享資料夾可以選擇該項
點選[新增] > 選取 磁碟區
確認沒有問題後>點選 [完成]
以上就完成了第一台網域控制站及備份設定。接下來會將建置幾台Hyper-v 主機後再進行第二台虛擬機器網域控制站建立。
目前的網路架構圖為
本文同步發表於IT幫鐵人賽 :
http://ithelp.ithome.com.tw/ironman7/app/#/article/mis/recent/10157018
本篇瀏覽人數: 22357
不錯~~~
您好
謝謝~~
概念和實現並重
很容易明白和理解
多謝榮哥
您好
謝謝您來本站~~希望文章有幫助到您
請問AD中的SRV跟 LDAP代表甚麼意思呢?
甚麼是GC呢?
您好
簡單說
SRV 記錄是用來識別該主機的特定服務的電腦的網域名稱系統 (DNS) 資源記錄
LDAP (Lightweight Directory Access Protocol) 是一種輕量的目綠服務協定
GC 通用類別目錄(Global Catalog) ,簡單 AD樹系中的資料是分散在各網域間,所以微軟有GC這功能讓用戶應用程式能夠快速找到其他網域資源
版主你好,想請教你一個問題,我有上網查過資料,如果要把本機電腦加入網域,應該是要把本機電腦的dns位址指定到ad網域的ip位址,但如果把本機電腦的dns位址指定到ad網域的ip位址,這樣能上網嗎?
因為本機的電腦dns位址是設定內部的dns ip位址,沒有設定外部的dns ip 位址,例如:8.8.8.8 ,這樣應該是不能上網的吧?
您好
確實用戶電腦要指向AD 才可以join domin,當然用戶要查詢網址會詢問DC
所以你的DC 必須要能夠向外查找DNS 才可以。
你好,在網路上查閱了很多關於dns解析順序的文章,但每篇說的好像都不太依樣,所以想請問正確的dns解析順序?
您好
如果你是說windows 電腦解析的方式我自己了解的(不一定是最正確)
1.檢查電腦名稱是否為自已
2.NetBIOS快取
3.WINS Server
4.LMHOSTS
5.HOSTS
6.DNS Server
以上您參考一下
hi 你好
照著你的文章,有順利把ad架設出來,並把client端電腦加入網域,
但在client端電腦,輸入網域使用者帳號,會跳出一個錯誤訊息,
您無法使用此登入方式登入電腦,請聯絡您的系統管理員
請問榮哥有逾過這種狀況嗎?
您好
沒遇過
榮哥您好,
一直以來拜讀此格,獲益良多,深感謝意,
在此小弟想厚顏請教下榮哥:
1. 在同個區網內,如果再建一個新Domain,是否前綴碼可以相同,例如ABC.com.tw 和ABC.tw
2.新的DC :windows 2012 如與 2003 互建trust,有需要注意的地方嗎?
以上是否可容小弟敲碗請教下榮哥
謝謝
您好
我說的不一定正確參考用囉(可以請更專業的SI協助您)
1. 在同個區網內,如果再建一個新Domain,是否前綴碼可以相同,例如ABC.com.tw 和ABC.tw
=> 如果本來的AD網域是 abc.com.tw 這樣 你要再建立一個新的abc.tw 的AD網域是OK的
但印象中應該有一個地方當建立AD時會有一個NETBIOS NAME 通常 我都是下一步下一部,以上面的例子應該為abc,所以你在建立另外一個ABC.TW 時因為是在同一個區網或許會出現不一樣的建議名稱
2. 新的DC :windows 2012 如與 2003 互建trust,有需要注意的地方嗎?
=> 獨立的樹系互相建立信任的話應該是沒有啥問題的