¿Alguien sabe cómo configurar Active Directory?
Categoría: Computadora/Red gt; Sistema operativo/Fallo del sistema
Descripción del problema:
Es mejor tener claro cómo construir un activo. directorio.
Análisis:
Introducción e instalación de Active Directory
1. Introducción a Active Directory
(1) Servicio de directorio
El directorio es una base de datos que almacena información relacionada con los recursos de la red, incluida la ubicación de los recursos, su administración y otra información.
El servicio de directorio es un servicio de red que administra todos los recursos de la entidad en la red (como computadoras, usuarios, impresoras, archivos, aplicaciones, etc.) y proporciona nombres, descripciones, búsquedas, accesos y un enfoque consistente. para proteger la información sobre estas entidades hace que estos recursos sean accesibles para todos los usuarios y aplicaciones de la red.
(2) Active Directory (Active Directory)
Active Directory es un servicio de directorio completamente implementado en Windows 2000. También es el modelo estructural básico del sistema de red de Windows 2000 y el El sistema operativo de red Windows 2000 El pilar central de la empresa es también la organización de gestión central.
Active Directory proporcionado por Microsoft en Windows 2000 es una solución integral de administración de servicios de directorio y un servicio de directorio de nivel empresarial con buena escalabilidad. Active Directory adopta el protocolo estándar de Internet, que está estrechamente integrado con el sistema operativo. Active Directory no solo puede administrar recursos básicos de la red, como objetos de computadora, cuentas de usuario, impresoras, etc., sino que también considera completamente las necesidades comerciales de las aplicaciones modernas y proporciona un modelo de objetos de administración básico para estas aplicaciones, como objetos de cuentas de usuario. tener teléfono de oficina, teléfono móvil, buscapersonas, dirección, jefe, subordinado, correo electrónico y otros atributos. Casi todas las aplicaciones pueden utilizar directamente la estructura del servicio de directorio proporcionada por el sistema, y Active Directory también tiene una buena extensibilidad, lo que permite a las aplicaciones personalizar los atributos de los objetos en el directorio o agregar nuevos tipos de objetos.
(3) El uso de Active Directory
(4) La estructura lógica de Active Directory
La estructura lógica de Active Directory es muy flexible y proporciona Una vista jerárquica completa en forma de árbol, la estructura lógica está directamente relacionada con el espacio de nombres que discutimos anteriormente. La estructura lógica proporciona una gran comodidad para que los usuarios y administradores busquen y ubiquen objetos. Las unidades lógicas en Active Directory incluyen: dominio, unidad organizativa (OU), árbol de dominio y bosque de dominio.
1. Dominio
El dominio no es solo la unidad organizativa lógica del sistema de red Windows, sino también la unidad organizativa lógica de Internet. En el sistema Windows 2000, el dominio es. el límite de seguridad. Un administrador de dominio sólo puede gestionar el interior del dominio. Puede acceder o gestionar otros dominios a menos que otros dominios le otorguen explícitamente derechos administrativos. Cada dominio tiene su propia política de seguridad y sus relaciones de confianza de seguridad con otros dominios.
2. OU (Unidad organizativa)
OU es un objeto contenedor. Podemos organizar objetos en el dominio en grupos lógicos, por lo que OU es un concepto puramente lógico, que puede ayudarnos. simplificar la gestión. Las unidades organizativas pueden contener varios objetos, como cuentas de usuario, grupos de usuarios, computadoras, impresoras e incluso otras unidades organizativas. Por lo tanto, podemos usar OU para formar una estructura jerárquica completamente lógica para los objetos en el dominio. Para una empresa, podemos formar una estructura jerárquica de OU para todos los usuarios y dispositivos por departamento, o también podemos formar una estructura jerárquica por ubicación geográfica. También se puede dividir en múltiples jerarquías de unidades organizativas según funciones y permisos. Debido a que la jerarquía de OU está localizada dentro del dominio, la jerarquía de OU en un dominio es completamente independiente de la jerarquía de OU en otro dominio.
3. Árbol
Cuando se conectan varios dominios a través de relaciones de confianza, todos los dominios comparten la misma estructura de tablas (esquema), configuración y directorio global (catálogo global), formando así un. árbol de dominio. El árbol de dominios consta de varios dominios, que comparten la misma estructura y configuración de tabla, formando un espacio de nombres continuo. Los dominios del árbol están conectados mediante relaciones de confianza. Active Directory contiene uno o más árboles de dominio.
4. Bosque
El bosque de dominio se refiere a uno o más árboles de dominio que no forman un espacio de nombres continuo. Todos los árboles de dominio en un bosque de dominio comparten la misma estructura de tablas, configuración y catálogo global. Todos los árboles de dominio en el bosque de dominios se establecen a través de relaciones de confianza de Kerberos, por lo que cada árbol de dominio conoce la relación de confianza de Kerberos y diferentes árboles de dominio pueden hacer referencias cruzadas a objetos en otros árboles de dominio.
(5) Otros
1. Controlador de Dominio (Domain Controller)
Un controlador de dominio se refiere a un servidor que ejecuta la versión Windows 2000 Server. Guarda una copia. de la información de Active Directory. Los controladores de dominio administran los cambios en la información del directorio y replican estos cambios en otros controladores de dominio en el mismo dominio. El controlador de dominio también es responsable del proceso de inicio de sesión del usuario y otras operaciones relacionadas con el dominio, como la autenticación de identidad, la búsqueda de información de directorio, etc.
Un dominio puede tener varios controladores de dominio. Los dominios más pequeños pueden requerir sólo dos controladores de dominio, uno para uso real y el otro para comprobar la tolerancia a fallos. Los dominios más grandes pueden utilizar varios controladores de dominio;
La estructura de dominio de Windows 2000 es diferente de la de Windows NT 4 en que no hay un controlador de dominio primario o secundario en Active Directory. Active Directory adopta un esquema de replicación de múltiples hosts y cada controlador de dominio existe. es una copia grabable del directorio. En un momento determinado, la información del directorio en diferentes controladores de dominio puede ser diferente. Una vez que todos los controladores de dominio en Active Directory realicen una operación de sincronización, la información modificada más reciente será consistente.
2. Active Directory y DNS
Active Directory utiliza el DNS del Servicio de Nombres de Dominio como servicio de posicionamiento, y también amplía el DNS estándar. El mayor beneficio de usar DNS en Active Directory es que podemos unificar dominios de Windows 2000 con dominios en Internet, es decir, los nombres de dominio de Windows también son nombres de dominio DNS.
3. Convención de nomenclatura de Active Directory
(1) Nombre distinguido (nombre distinguido (DN))
Cada objeto en Active Directory tendrá un nombre distinguido único DN. DN consta de un nombre de dominio y un nombre de objeto:
DC=/DC=contoso/OU=Users/OU=Teacher/CN=James Smith representa el objeto de usuario James Smith como Profesor en la unidad organizativa Usuarios del archivo dominio contoso en la unidad.
(2) Nombre principal del usuario: compuesto por el nombre de inicio de sesión del usuario y el nombre de dominio, como JamesS@contoso
4. Modo de funcionamiento del dominio
(1) Modo mixto. Un dominio de modo mixto puede tener controladores de dominio de Windows 2000 o controladores de dominio de Windows NT 4. Este es un modo de transición; al utilizar este modo, podemos actualizar gradualmente el sistema existente. Sin embargo, algunas funciones de Active Directory no funcionan bien en modo mixto.
(2) Cuasi-modo. El modo estándar de Active Directory requiere que todos los controladores de dominio ejecuten Windows 2000. Sólo en este momento se podrán realizar plenamente todas las funciones y características de Active Directory.
Instalación de Active Directory
Al ejecutar el Asistente de instalación de Active Directory para actualizar una computadora con Windows 2000 Server a un controlador de dominio, se crea un nuevo dominio o se agregan controladores de dominio adicionales a un dominio existente. Crear un controlador de dominio puede:
§ Crear el primer dominio en la red.
§ Crear dominios adicionales en el bosque.
§ Mejorar la disponibilidad y confiabilidad de la red.
§ Mejorar el rendimiento de la red entre sitios.
Para crear un dominio de Windows 2000, debe crear al menos un controlador de dominio en el dominio. La creación de un controlador de dominio también crea el dominio. Es imposible tener un dominio sin un controlador de dominio. Si determina que la organización de un usuario requiere más de un dominio, debe crear al menos un controlador de dominio para cada dominio adicional. Los dominios adicionales en el bosque pueden ser: nuevos subdominios, la raíz de un nuevo árbol de dominios.
Antes de instalar Active Directory, primero asegúrese de que el servicio DNS esté funcionando correctamente. A continuación, el usuario instalará el primer controlador de dominio en el dominio con el dominio raíz nt2000.
Paso 1 Utilice el servidor de configuración para iniciar el asistente de instalación de Active Directory DCPromo.exe ubicado en Systemroot\system32, haga clic en "Siguiente"
Paso 2 Dado que el usuario está creando un dominio Entonces seleccione "Controlador de dominio para el nuevo dominio" y haga clic en "Siguiente"
Paso 3 Seleccione "Crear un árbol de directorio de dominio para un nuevo dominio" y haga clic en "Siguiente" "
Paso 4 Seleccione "Crear un bosque de dominio para un nuevo dominio" y haga clic en "Siguiente"
Paso 5 Ingrese el nombre que desea crear en el campo "Nombre DNS completo del nuevo dominio" Obtenga el nombre de dominio, nt2000, haga clic en "Siguiente"
Paso 6 El asistente de instalación establece automáticamente el nombre NetBIOS del controlador de dominio en "nt2000", haga clic en "Siguiente"
Paso 7 Muestra la ubicación de almacenamiento de la base de datos , archivo de directorio y archivo Sysvol. Generalmente, no se requiere ninguna modificación. Haga clic en "Siguiente"
Paso 8 Configure el servicio DNS y haga clic en "Siguiente" (si ha instalado Active Directory antes). no configurado, puede dejar que el asistente de instalación configure el DNS aquí. Se recomienda este método)
Paso 9 Seleccione los permisos predeterminados para usuarios y grupos, considerando que la mayoría de las organizaciones aún necesitan usar Windows 2000. versión anterior. así que seleccione "Permisos compatibles con versiones anteriores de Windows 2000 Server" y haga clic en "Siguiente"
Paso 10 Ingrese la contraseña de administrador en el modo de recuperación de directorio y haga clic en "Siguiente"
Paso 11 El asistente de instalación muestra información resumida, haga clic en "Siguiente" para iniciar la instalación como se muestra en la Figura 6.7
Paso 12 Una vez completada la instalación, reinicie la computadora.
Verifique los resultados de la instalación
Una vez completada la instalación, puede verificar que Active Directory esté instalado correctamente mediante los siguientes métodos. Una de las tareas más importantes durante el proceso de instalación es. agregar registros de servicio en la base de datos DNS (registros SRV).
1. Verifique el registro SRV del archivo DNS
Abra el archivo Netlogon.dns en systemroot/system32/config/ con un editor de texto y vea el registro de servicio LDAP, en este caso
_ldap _tcp.nt2000. 600 IN SRV 0 100 389 n2k_server.nt2000.
2. Verifique que el registro SRV se esté ejecutando normalmente en la herramienta de comando NSLOOKUP
Paso 1 En el símbolo del sistema. , ingrese NSLOOKUP
Paso 2 Ingrese set type=srv
Paso 3 Ingrese _ldap._tcp.nt2000
Si se devuelven el nombre del servidor y la dirección IP, el El registro SRV funciona correctamente
6.2.3 Instale el segundo controlador de dominio
Después de instalar el primer controlador de dominio, su nombre de dominio es nt2000. En el ejemplo anterior, este servidor se utiliza para. la oficina central si la empresa necesita establecer su propio nombre de dominio y controlador de dominio para su nueva fábrica debido a la expansión de la empresa, el usuario definirá el nombre de dominio de la fábrica como man.nt2000, ya que este nombre de dominio y nt2000 son nombres de dominio consecutivos. Forman un árbol de directorios. En el futuro, a medida que se desarrolle la fábrica, los usuarios podrán continuar agregando subdominios paso a paso en este árbol de directorios (como: contabilidad.man.nt2000 si el nombre de dominio que se agregará no es continuo). el árbol de directorios (como: nt3000), el usuario necesitará Crear un nuevo árbol de directorios, de modo que varios árboles de directorios formen un bosque de directorios de dominio.
Antes de instalar el segundo controlador de dominio, primero verifique su configuración de IP y configuración de DNS para asegurarse de que se pueda acceder al controlador de dominio (n2k_server.nt2000).
Paso 1 Utilice el servidor de configuración para iniciar el programa asistente de instalación de Active Directory DCPromo.exe ubicado en Systemroot\system32. Como se muestra en la Figura 6.4, haga clic en "Siguiente"
Paso 2 Dado que el usuario está creando un controlador de dominio en el dominio, seleccione "Controlador de dominio del nuevo dominio" y haga clic en "Siguiente"
Paso 3 Seleccione "Crear un nuevo subdominio en el árbol de directorio de dominio existente" y haga clic en "Siguiente"
Paso 4 Ingrese lo anterior en el cuadro de diálogo "Credenciales de red" El nombre de dominio de primer nivel dominio y el nombre de usuario y contraseña con derechos de administrador, haga clic en "Siguiente"
Paso 5 En el cuadro de diálogo "Instalación de subdominio", ingrese el nombre de dominio del dominio principal (nt2000) y el nombre de dominio del subdominio (nt2000) man), man.nt2000 se mostrará automáticamente en el nombre de dominio completo del subdominio a continuación, haga clic en "Siguiente"
Paso 6 El asistente de instalación establece automáticamente el nombre NetBIOS del controlador de dominio en "man". , y el usuario también puede modificarlo y hacer clic en "Siguiente"
El paso 7 muestra la ubicación de almacenamiento de la base de datos, el archivo de directorio y el archivo Sysvol. Generalmente, no se requiere ninguna modificación. Haga clic en "Siguiente". Paso 8 Seleccione los permisos predeterminados para usuarios y grupos. Teniendo en cuenta que la mayoría de las organizaciones aún necesitan usar versiones anteriores de Windows 2000, seleccione "Permisos compatibles con versiones anteriores de Windows 2000 Server" y haga clic en "Siguiente".
Paso 9 Haga clic en "Siguiente" para iniciar la instalación. Después de reiniciar, el subdominio man.nt2000 recién creado se mostrará en "Dominios de Active Directory y relaciones de confianza" de n2k_server.nt2000
.