AD概述及域中客戶端

1、AD概述及域中客戶端議 程 Windows2000/2003活動目錄概述 Windows2000/XP客戶端啟動/登錄過程 域中客戶端常見問題 常用工具活動目錄概述 活動目錄的基本概念 活動目錄的結(jié)構(gòu) 管理操作主機 DNS 與活動目錄 管理用戶和組 組策略 常用工具什么是活動目錄Printer1用戶?目錄目錄服務(wù)器服務(wù)器 名稱名稱:Server1OS:Windows 2000Type:File ServerLocation:1st Floor 名稱名稱:Server2OS:Novell Netware 4.0Type:File ServerLocation:2nd Floor打印機打印機 名稱

2、名稱:Printer1Type:HP4SiColor:NoDuplex:YesLocation:3rd FloorServer1Server2活動目錄服務(wù)基于活動目錄服務(wù)基于 X.500 數(shù)據(jù)庫結(jié)構(gòu)，用數(shù)據(jù)庫結(jié)構(gòu)，用于在一個層次結(jié)構(gòu)中組于在一個層次結(jié)構(gòu)中組織網(wǎng)絡(luò)資源織網(wǎng)絡(luò)資源目錄目錄服務(wù)器服務(wù)器 名稱名稱:Server1OS:Windows 2000Type:File ServerLocation:1st Floor 名稱名稱:Server2OS:Novell Netware 4.0Type:File ServerLocation:2nd Floor打印機打印機 名稱名稱:Printer1Ty

3、pe:HP4SiColor:NoDuplex:YesLocation:3rd Floor活動目錄的對象 對象代表網(wǎng)絡(luò)資源 屬性存儲對象的信息 姓姓名名登錄名打印機名稱打印機名稱打印機位置打印機Printer1Printer2Suzan Fine用戶Don Hall打印機用戶Printer3活動目錄的結(jié)構(gòu) 活動目錄邏輯結(jié)構(gòu) 活動目錄物理結(jié)構(gòu) Sites及活動目錄的復(fù)制活動目錄邏輯結(jié)構(gòu) 域 Domains 組織單元 Organizational Units 樹和森林 Trees and Forests 全局編錄 Global Catalog域 Domains 域是一個安全邊界 域管理員只能在本域中

4、執(zhí)行管理操作，除非他被明確地賦予其他域管理員身份 一個域是一個復(fù)制單元 域控制器包含域中信息的完整集合，并且參與域信息的復(fù)制Windows 2000DomainUser1User2User1User2能力復(fù)制單元大小命名管理委派域的性能組織單元 用OU來個對象進行分組 管理委派到OU 用于結(jié)構(gòu)化活動目錄 公司的組織結(jié)構(gòu) 公司的管理構(gòu)架SalesVancouverRepairUsersSalesComputers組織單元的劃分原則 基于部門 OUs 基于項目 OUs 基于業(yè)務(wù)功能 OUs 基于管理 OUs 基于對象 OUs 地理位置DomainParisSalesRepairUser1User2

5、User3User4樹和森林contoso.msft(root)au. contoso.msftasia. contoso.msft樹樹au. nwtraders.msftasia. nwtraders.msftnwtraders.msft森林森林樹樹全局編錄Global CatalogGlobal Catalog Server所有對象的所有對象的屬性子集屬性子集域域域域域域域域域域域域 活動目錄物理結(jié)構(gòu) 域控制器 Sites 活動目錄的復(fù)制域控制器域控制器域控制器域控制器域控制器域域User1User2User1User2= 活動目錄數(shù)據(jù)庫的可寫拷貝活動目錄數(shù)據(jù)庫的可寫拷貝域控制器域控制器:

6、 l參與活動目錄復(fù)制參與活動目錄復(fù)制l在域中作為單操作主機角色在域中作為單操作主機角色SitesSites: l優(yōu)化復(fù)制通信量優(yōu)化復(fù)制通信量l是用戶可以通過可信賴的、高速的連接登錄域是用戶可以通過可信賴的、高速的連接登錄域控制器控制器SiteLos AngelesSeattleChicagoNew York相關(guān)概念Site層次活動目錄的復(fù)制 多主機復(fù)制 所有域控制器參預(yù)復(fù)制，對等的 任何變化將從一臺域控制器復(fù)制到所有域控制器 任何變化可從不同的域控制器上產(chǎn)生 Sites 允許預(yù)定的復(fù)制 Schedule IntervalDirectory Partition 復(fù)制Domain ZDomain

7、YDomain XConfigurationSchemaSchemaConfigurationDomainDomainConfigurationSchemaDomainConfigurationSchemaDomain ZDomain YDomain XConfigurationSchemaDirectory Partition也稱為命名上下文命名上下文Naming Context or NC復(fù)制協(xié)議Transport拓撲結(jié)構(gòu)拓撲結(jié)構(gòu)復(fù)制模型復(fù)制模型壓縮壓縮RPC over IPRingNotify/PullNoneRPC or SMTP*Spanning TreeRequest/PullFu

8、llIntra-Site復(fù)制復(fù)制Inter-Site復(fù)制復(fù)制SMTP over IP is only supported for DC of different domains (i.e. Schema, Configuration and GC replication) 操作主機 森林范圍內(nèi)： Schema Master Domain Naming Master 域范圍內(nèi)： PDC Emulator RID Master Infrastructure Master操作主機介紹n只有只有作為操作主機的作為操作主機的域控制器才能對活動目錄信息作相應(yīng)改變域控制器才能對活動目錄信息作相應(yīng)改變n在操作

9、主機上作的改變將會復(fù)制到其他的域控制器在操作主機上作的改變將會復(fù)制到其他的域控制器n任何域控制器可以作為操作主機任何域控制器可以作為操作主機n操作主機角色可以轉(zhuǎn)移操作主機角色可以轉(zhuǎn)移復(fù)制復(fù)制單主機操作單主機操作操作主機操作主機操作主機的默認(rèn)位置森林中的第一臺域控制器森林中的第一臺域控制器森林范圍你的角色：森林范圍你的角色：lSchema masterlDomain naming master域范圍內(nèi)角色：域范圍內(nèi)角色：lRID masterlPDC emulatorlInfrastructure master轉(zhuǎn)移操作主機角色 不丟失數(shù)據(jù) 方法： NTDSUtil.exe 圖形界面Functio

10、ningOperations Master Transfer Role to Another Domain Controller抓取操作主機角色 當(dāng)且僅當(dāng)某個操作主機無法再使用 可能丟失數(shù)據(jù) 方法： NTDSUtilNon FunctioningOperations Master Seize a Role and Reassign to Another Functioning Domain ControllerDNS 與活動目錄 DNS在活動目錄中的角色 DNS 和活動目錄的命名空間 活動目錄中的DNS名字解析 SRV記錄DNS在活動目錄中的角色 名稱解析 DNS 轉(zhuǎn)換計算機名稱到IP地址 計

11、算機之間相互確定地址 Windows 2000/2003 域的名稱 Windows 2000 /2003 使用 DNS 命名標(biāo)準(zhǔn) DNS 域和活動目錄的域使用共同的名稱層析結(jié)構(gòu) 定位活動目錄的物理組件 DNS根據(jù)域控制器提供的服務(wù)來確定它們 域中計算機使用DNS來定位域控制器何全局編錄DNS 和活動目錄的命名空間AmericamicrosoftDNS NamespaceActive Directory Namespace= DNS node (domain or computer)= Active Directory domainFareastcomputer1(DNS root domain

12、)Internet活動目錄中的DNS名字解析 SRV (Service) 資源紀(jì)錄 SRV Records 由域控制器注冊 域中計算機用DNS 來定位域控制器由域控制器注冊的SRV 記錄nNetlogon 服務(wù)負責(zé)注冊域控制器的所有DNS紀(jì)錄ldap._tcp.DnsDomainName.LDAP服務(wù)器 _ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName.查找同Site的域控制器_gc._tcp.DnsForestName.GC_gc._tcp.SiteName._sites.DnsForestName.查找同Site的GC_kerberos.

13、_tcp.DnsDomainName.KDC_kerberos._tcp.SiteName._sites.DnsDomainName.查找同Site的KDC建立一個新域 運行 dcpromo.exe 建立 root domain 建立 sub-domain 建立額外的 domain controller管理用戶和組 用戶帳戶和組的介紹 Active Directory 用戶和計算機 建立大量用戶帳戶 管理用戶帳戶 使用組用戶帳戶和組的介紹Permissions 使用 CSVDE 使用LDIFDE 使用腳本(VBScript)建立大量用戶帳戶使用組 活動目錄的組 使用 Global Groups

14、 使用 Domain Local Groups 使用Universal Groups Distributed GroupsnGroups Can Be Nested Inside Other GroupsnUsers Can Be Members of Multiple GroupsGroupGroupnGroups Simplify Assigning Permission to ResourcesGroupGroupGroupGroupGroupGroup組策略 組策略介紹 組策略設(shè)置的類型 組策略對象和組策略容器 組策略應(yīng)用的順序組策略介紹組策略作用: 設(shè)置集中或分散的策略 確保用戶有他

15、們需要的環(huán)境 通過控制用戶和計算機環(huán)境來降低TCO 強制全體策略SiteDomainOUWindows 2000 Applies ContinuallyUsersComputersAdministrator Sets Group Policy OnceGroup Policy組策略設(shè)置的類型AdministrativeTemplates基于注冊標(biāo)的組策略設(shè)置Security本地、域、網(wǎng)絡(luò)安全設(shè)置Software Installation軟件安裝的集中管理設(shè)置ScriptsStartup, shutdown, logon, and logoff 腳本Remote Installation Ser

16、vices 有關(guān)遠程安裝服務(wù)的設(shè)置Internet Explorer Maintenance設(shè)置和管理定制的IEFolder Redirection將用戶文件夾存貯到網(wǎng)絡(luò)服務(wù)器上的設(shè)置針對計算機和用戶的組策略 Group Policy Settings for Computers: Group Policy Settings for Users:UsersComputers組策略對象和組策略容器GPO 設(shè)置應(yīng)用于連接在在一個Site、域、和OU中的用戶和計算機 一個GPO可以連接在多個Site、域、和OU 上 一個Site、域、和OU 上可以連接多個GPOSiteDomainOUOUOUOU

17、GPOOU GPOSite GPODomain GPO一個組策略應(yīng)用的順序 Computer - Scripts - Startup Computer - Software Installation User - Software Installation User Profile Logon Scripts User - Scripts - Logon User - Scripts - Logoff Computer - Scripts - Shutdown常用工具 常用管理工具 AD用戶和計算機 站點和服務(wù) AD域信任 DNS管理器 Resource Kit/Support Tools 工

18、具 排錯工具 事件察看器 MPS Report Network MonitorWindows2000/XP客戶端啟動/登錄過程 啟動過程 登錄過程啟動過程 連接到網(wǎng)絡(luò) 確定Site和域控制器 建立和域控制器的安全通道 Kerberos認(rèn)證 加載組策略 客戶端證書 時間同步 動態(tài)DNS注冊 登錄畫面(GINA)連接到網(wǎng)絡(luò) 連接到網(wǎng)絡(luò)并加載TCP/IP協(xié)議 啟動過程的開始 靜態(tài)TCP/IP設(shè)置或者DHCP獲得 DHCP 網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，不是AD必須的 不使用DHCP，而使用靜態(tài)TCP/IP設(shè)置，AD依舊可以正常工作確定Site和域控制器 客戶端定位服務(wù)確定最近的一個Site，并存貯在注冊表：HKEY

19、_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParametersDynamicSiteName 向DNS服務(wù)器發(fā)出查詢請求，查找當(dāng)前Site的DC 客戶端： _ldap._tcp.dc._msdcs.Domain.Name 服務(wù)器端：_ldap._tcp.dc._msdcs.main.local 隨機挑選DC（如果DNS返回記錄大于1）建立和域控制器的安全通道 安全通道 客戶端和DC之間建立的 獲得域的特定信息 更新客戶端計算機特定信息 Eg: 計算機密碼，檢查域成員信息 SMBKerberos認(rèn)證 獲取所有的必須的Tickets來

20、建立IPC$的對話加載組策略 RPC call，轉(zhuǎn)換名稱到DistinguishedName LDAP查詢組策略 使用SMB加載各項組策略客戶端證書 每次加載組策略時進行 檢查計算機證書狀態(tài) 下載企業(yè)CA證書 下載有關(guān)SMART Card證書時間同步 TCP 123端口 域中時間同步機制 客戶端和登錄DC同步 DC和域中PDC同步 其他域PDC和根域PDC同步 根域PDC和外部時間源同步 時間服務(wù)(w32time)類型 NTP NT5DS動態(tài)DNS注冊 更新DNS記錄用戶登錄過程 按Ctrl+Alt+Del Kerberos認(rèn)證 加載組策略 完成 顯示桌面按Ctrl+Alt+Del 登錄名(S

21、am account name)+選擇域 UPN（） 用戶FQDNKerberos認(rèn)證 獲得對話Ticket Kerberos: Server Name = $ Kerberos: Server Name = $ Kerberos: Server Name = krbtgt. Kerberos: Server Name = ldap.加載組策略 RPC call，轉(zhuǎn)換名稱到DistinguishedName LDAP查詢組策略 使用SMB加載各項組策略完成 斷開和DC的連接（SMB） 顯示桌面客戶端常見問題 無法加入域 登錄慢 組策略應(yīng)用不成功 Internet Explorer 的一般除錯步

22、驟 共享不能訪問其他的機器無法加入域 網(wǎng)絡(luò)配置(TCP/IP) DNS 客戶端防火墻 使用NetBIOS域名，但是沒有NetBIOS over TCP/IP 已經(jīng)建立了和域控制器的連接 File and Print Sharing/Client for Microsoft Networks無法加入域-續(xù) SMB Signing 拒絕訪問 計算機賬戶已存在 權(quán)限修改 普通用戶只能加入10臺計算機 安裝了Proxy2.0客戶端 KDC無法找到無法加入域-一般排錯 檢查網(wǎng)絡(luò)配置 Ping NSLookup Portqry 停用SMB Signing Network Monitor登錄慢 網(wǎng)絡(luò) DNS

23、 加載組策略 運行大量腳本 本地DC不可用 Roaming Profile Proxy2.0 第三方應(yīng)用程序 Anti Virus 防火墻 第三方GINA WebClient service 登錄慢-一般排錯 檢查網(wǎng)絡(luò)通訊 檢查DNS 查看Event log 復(fù)查Sysvol文件夾，是否太大 復(fù)查腳本內(nèi)容 暫停第三方應(yīng)用程序 Netlogon日志和Userenv日志（109626，221833 ） 帶網(wǎng)絡(luò)的安全模式 Network Monitor緩存登錄 用戶客戶端無法聯(lián)系到DC時，依舊可以使用域用戶登錄計算機 默認(rèn)10個用戶 HKEY_LOCAL_MACHINESoftwareMicroso

24、ftWindows NTCurrent VersionWinlogon 組策略應(yīng)用不成功網(wǎng)絡(luò)DNS計算機賬戶過期千兆網(wǎng)卡本地服務(wù)（WMI, Registry）防火墻GPO應(yīng)用權(quán)限訪問DC權(quán)限 Bypass Traverse checking Access this computer from network第三方GINADC上的Sysvol復(fù)制不成功Password和“賬戶鎖定”策略是整個域強制的組策略應(yīng)用不成功-一般排錯 檢查網(wǎng)絡(luò) 檢查DNS 重新加入域 檢查本地服務(wù) 檢查防火墻 檢查GPO權(quán)限和用戶權(quán)限 SYSVOL復(fù)制排錯Internet Explorer 的一般除錯步驟 重新注冊IE的

25、重要文件 scrrun.dll, msxml.dll, mshtml.dll, jscript.dll, urlmon.dll shdocvw.dll, browseui.dll, softpub.dll wintrust.dll, dssenh.dll, rsaenh.dll, gpkcsp.dll, sccbase.dll, slbcsp.dll, cryptdlg.dll, actxprxy.dll, shell32.dll, oleaut32.dll, 命令： Regsvr32 Internet Explorer 的一般除錯步驟 清空IE的臨時文件，SSL狀態(tài)。禁止第三方的網(wǎng)絡(luò)插件Internet Explorer 的一般除錯步驟 使用Process Explorer 來查看是否有第三方的DLL附在IE的進程上面。如果有，暫時卸載它們。共享不