《AD和DNS内部培训》PPT课件.pptx

田旻 2 0 1 1 -0 4 -2 1活动目录（ACTIVE DIRECTORY）& DNS内部分享 内容简介活动目录（Active Directory）组策略（Policy） DNS 活动目录（ACTIVE DIRECTORY）活动目录是微软目录服务的一种机制，它是用来存储网络上的用户账户、计算机、打印机等资源信息，方便用户的查找和使用 是一种目录服务，可以提供对象的存储、快速查找与定位，并且能够统一、集中、安全的管理计算机资源。 活动目录（ACTIVE DIRECTORY）子域根域IT HR树由多个域组成，形成一个连续的名字空间双向、可传递的信任关系 活动目录（ACTIVE DIRECTORY）子域根域IT HR子域根域IT HR域森林 是指一个或多个没有形成连续名字空间的域树。 活动目录（ACTIVE DIRECTORY）信任关系双向信任 A域、B域互相信任单向信任 A域信任B域，表示为：AB，使得B域的员工可以直接访问A域上的资源 B域信任A域，表示为：AB，使得A域的员工可以直接访问B域上的资源 双向:本地域信任指定域,同时指定域信任本地域单向:内传:指定域信任本地域单向:外传:本地域信任指定域 活动目录（ACTIVE DIRECTORY）单向外传单向内传双向 活动目录（ACTIVE DIRECTORY）全局编录全局编录是存储林中所有 Active Directory 对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完整副本，以及林中所有其他域中所有对象的部分副本. 活动目录（ACTIVE DIRECTORY）域功能级别林功能级别支持的域控制器Windows 2 0 0 0模式Windows 2 0 0 0模式Win 2 0 0 0Win Server 2 0 0 3Win Server 2 0 0 8Win Server 2 0 0 8 R2Windows Server 2 0 0 3模式Windows Server 2 0 0 3模式Win Server 2 0 0 3Win Server 2 0 0 8Win Server 2 0 0 8 R2 Windows Server 2 0 0 8模式Windows Server 2 0 0 8模式Win Server 2 0 0 8Win Server 2 0 0 8 R2Windows Server 2 0 0 8 R2模式Windows Server 2 0 0 8 R2模式Win Server 2 0 0 8 R2 活动目录（ACTIVE DIRECTORY） FSMO （Flexible Single Master Operations ）灵活单主机操作 5种角色：架构 Schema角色 林级别 域命名 Domain Naming角色 林级别 RID角色 域级别 PDC仿真器角色 域级别基础架构Infrastructure角色 域级别 架构 角色作用是修改活动目录的源数据。在活动目录里存在着各种各样的对像，对象和属性之间就像表格一样存在着对应关系，对像和属性之间的关系是由架构角色来定义的域命名角色主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话，那么就必须要和Domain Naming Master进行联系活动目录（ACTIVE DIRECTORY） RID角色负责AD对象创建时分配SID号码。验证RID角色是否正常，可通过创建一个新的用户或者其他对象完成。 PDC角色主要负责用户密码的更改以及时间同步。验证PDC是否正常，进行密码更改以及计算机时钟同步即可进行测试基础架构角色 负责用户与组的嵌套在Active Directory用户和计算机工具中，将一个域用户加入到一个组中，即可完成验证 活动目录（ACTIVE DIRECTORY） 组策略管理员可以很方便的管理域中的计算机和用户的工作环境，例如，用户的桌面环境，计算机启动、关机与用户登录、注销时所执行的脚本文件、软件安装、安全设置等。推行公司使用计算机的规范，包括桌面环境规范以及安全策略等内容。 组策略组策略：计算机配置和用户配置组策略是累计性的。组策略处理的顺序如下：本地网站域组织单位（父组织单位子组织单位） 默认子目录服务容器继承父容器的策略。同时，可以防止从父容器目录中继承组策略，方法是在域或组织单位上使用“阻止策略继承”选项。 组策略举例：需求：修改域内DNS客户端的首选DNS和备选DNS记录创建组策略将更改DNS设置的脚本发布到“计算机配置”中。打开Active Directory用户和计算机； 右键点击将要实施此组策略的计算机OU，选择“属性”“组策略”；创建一条新的组策略，并进行编辑；展开“计算机配置”“安全设置”“启动脚本”；在启动脚本中将此vbs文件添加到此脚本中即可；计算机重新启动即运行此策略。 DNS域名空间采用分层结构包括：根域、顶级域、二级域和主机名。域名空间的层次结构类似一棵倒置的树，其中根作为最高级别，大树枝处于下一级级别，树叶则处于最低级别。 DNS域名规则、查询的工作方式查询方式 2种 递归查询：解析特定名称的解析器或客户机迭代查询：解析查询或者尽力推举一个可能包含有关在何处解析查询的更准确信息的DNS服务器 DNS DNS建立正向查询区域正向查找区域是指在DNS域名空间中使用正向查找的区域，正向查找是根据DNS客户端提供的域名解析成IP地址。 DNS创建正向查找区域后，为新区域创建主机（A）记录。主机用于将DNS域名映射到计算机使用的IP地址。 DNS创建指针 当反向查找区域创建后，还要为该区域创建记录指针。该指针用于指向正向DNS域名计算机的IP地址到反向DNS域名的映射。 设置转发器 当DNS客户机向DNS服务器发送名称解析请求时，DNS服务器首先尝试自己解析该名称，如果不能解析，DNS服务器会向其他的DNS服务器进行递归查询，此时需要设置本服务器可以使用转发器功能。 DNS建立反向查询区域：将IP地址解析成域名。 DNS配置DNS客户端 DNS举例 在Windows架构内，域内部发布一网站在AD集成的DNS中添加A记录，将域名与IP做映射，直接访问域名打开网站 THANK YOU FOR YOUR ATTENTION!