AD概述及域中客户端

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,AD概述及域中客户端,议 程,Windows2000/2003活动目录概述,Windows2000/XP客户端启动/登录过程,域中客户端常见问题,常用工具,活动目录概述,活动目录的基本概念,活动目录的结构,管理操作主机,DNS 与活动目录,管理用户和组,组策略,常用工具,什么是活动目录,Printer1,用户,?,目录,服务器,名称:Server1,OS:Windows 2000,Type:File Server,Location:1st Floor,名称:Server2,OS:Novell Netware 4.0,Type:File Server,Location:2nd Floor,打印机,名称:Printer1,Type:HP4Si,Color:No,Duplex:Yes,Location:3rd Floor,Server1,Server2,活动目录服务基于,X.500 数据库结构，用于在一个层次结构中组织网络资源,目录,服务器,名称:Server1,OS:Windows 2000,Type:File Server,Location:1st Floor,名称:Server2,OS:Novell Netware 4.0,Type:File Server,Location:2nd Floor,打印机,名称:Printer1,Type:HP4Si,Color:No,Duplex:Yes,Location:3rd Floor,活动目录的对象,对象代表网络资源,属性存储对象的信息,属性,姓,名,登录名,属性,打印机名称,打印机位置,活动目录,打印机,Printer1,Printer2,Suzan Fine,用户,Don Hall,属性值,对象,打印机,用户,Printer3,活动目录的结构,活动目录逻辑结构,活动目录物理结构,Sites及活动目录的复制,活动目录逻辑结构,域 Domains,组织单元 Organizational Units,树和森林 Trees and Forests,全局编录 Global Catalog,域 Domains,域是一个安全边界,域管理员只能在本域中执行管理操作，除非他被明确地赋予其他域管理员身份,一个域是一个复制单元,域控制器包含域中信息的完整集合，并且参与域信息的复制,Windows 2000Domain,User1,User2,User1,User2,复制,能力,复制单元,大小,命名,管理委派,NT 4.0,对象,40,000 对象,NetBIOS,建立新域,Windows 2000,属性,1,000,000+ 对象,DNS,在域内建立管理委派到OU,域的性能,组织单元,用OU来个对象进行分组,管理委派到OU,用于结构化活动目录,公司的组织结构,公司的管理构架,组织结构,Sales,Vancouver,Repair,Users,Sales,Computers,网络管理型模型,组织单元的划分原则,基于部门 OUs,基于项目 OUs,基于业务功能 OUs,基于管理 OUs,基于对象 OUs,地理位置,Domain,Paris,Sales,Repair,User1,User2,User3,User4,树和森林,contoso.msft,(root),au.,contoso.msft,asia.,contoso.msft,树,双向传递性信任,au.,nwtraders.msft,asia.,nwtraders.msft,nwtraders.msft,森林,树,双向传递性信任,全局编录Global Catalog,Global Catalog Server,全局编录,所有对象的,属性子集,域,域,域,域,域,域,查询,用户登陆时的组成员,活动目录物理结构,域控制器,Sites,活动目录的复制,域控制器,域控制器,域控制器,域,复制,User1,User2,User1,User2,= 活动目录数据库的可写拷贝,域控制器:,参与活动目录复制,在域中作为单操作主机角色,Sites,Sites:,优化复制通信量,是用户可以通过可信赖的、高速的连接登录域控制器,Site,IP 子网,IP,子网,Los Angeles,Seattle,Chicago,New York,相关概念,Site A,Site B,Site C,Connections,Site Links,(Schedule & Cost),Bridgehead,Server,Site,一个或多个子网,一个或多个域,Site Link,Bridges,ISTG,Site层次,域结构,物理网络,Site Model,活动目录的复制,多主机复制,所有域控制器参预复制，对等的,任何变化将从一台域控制器复制到所有域控制器,任何变化可从不同的域控制器上产生,Sites 允许预定的复制,Schedule,Interval,Directory Partition,复制,Domain Z,Domain Y,Domain X,Configuration,Schema,Global Catalog Server,Full,Replica,Partial,Replica,Forest,Domain,Schema,Configuration,Domain,Domain Controller,NTDS.DIT,Domain,Configuration,Schema,Domain,Configuration,Schema,Domain Z,Domain Y,Domain X,Configuration,Schema,Replica,DC,DC,GC,Directory Partition也称为,命名上下文,Naming Context or NC,复制协议,Transport,拓扑结构,复制模型,压缩,RPC over IP,Ring,Notify/Pull,None,RPC or SMTP*,Spanning Tree,Request/Pull,Full,Intra-Site复制,Inter-Site复制,SMTP over IP is only supported for DC of different domains (i.e. Schema, Configuration and GC replication),操作主机,森林范围内：,Schema Master,Domain Naming Master,域范围内：,PDC Emulator,RID Master,Infrastructure Master,操作主机介绍,只有,作为操作主机的,域控制器才能对活动目录信息作相应改变,在操作主机上作的改变将会复制到其他的域控制器,任何域控制器可以作为操作主机,操作主机角色可以转移,复制,单主机操作,操作主机,操作主机的默认位置,森林中的第一台域控制器,森林范围你的角色：,Schema master,Domain naming master,域范围内角色：,RID master,PDC emulator,Infrastructure master,转移操作主机角色,不丢失数据,方法：,NTDSUtil.exe,图形界面,Functioning,Operations Master,Transfer Role to Another,Domain Controller,抓取操作主机角色,当且仅当某个操作主机无法再使用,可能丢失数据,方法：,NTDSUtil,Non Functioning,Operations Master,Seize a Role and Reassign to Another,Functioning Domain Controller,DNS 与活动目录,DNS在活动目录中的角色,DNS 和活动目录的命名空间,活动目录中的DNS名字解析,SRV记录,DNS在活动目录中的角色,名称解析,DNS 转换计算机名称到IP地址,计算机之间相互确定地址,Windows 2000/2003 域的名称,Windows 2000 /2003 使用 DNS 命名标准,DNS 域和活动目录的域使用共同的名称层析结构,定位活动目录的物理组件,DNS根据域控制器提供的服务来确定它们,域中计算机使用DNS来定位域控制器何全局编录,DNS 和活动目录的命名空间,America,microsoft,DNS Namespace,Active Directory Namespace,= DNS node (domain or computer),= Active Directory domain,Fareast,computer1,(DNS root domain),“.”,com.,Internet,活动目录中的DNS名字解析,SRV (Service) 资源纪录,SRV Records 由域控制器注册,域中计算机用DNS 来定位域控制器,由域控制器注册的SRV 记录,Netlogon,服务负责注册域控制器的所有,DNS,纪录,SRV Record,Lookup Criteria,ldap._tcp.,DnsDomainName,.,LDAP服务器,_ldap._tcp.,SiteName,._sites.dc.,_msdcs.,DnsDomainName,.,查找同Site的域控制器,_gc._tcp.,DnsForestName,.,GC,_gc._tcp.,SiteName,._sites.,DnsForestName,.,查找同Site的GC,_kerberos._tcp.,DnsDomainName,.,KDC,_kerberos._tcp.,SiteName,.,_,sites.,DnsDomainName,.,查找同Site的KDC,建立一个新域,运行 dcpromo.exe,建立 root domain,建立 sub-domain,建立额外的 domain controller,管理用户和组,用户帐户和组的介绍,Active Directory 用户和计算机,建立大量用户帐户,管理用户帐户,使用组,用户帐户和组的介绍,Users,Shared Resources,Permissions,Group,使用 CSVDE,使用LDIFDE,使用脚本(VBScript),建立大量用户帐户,使用组,活动目录的组,使用 Global Groups,使用 Domain Local Groups,使用Universal Groups,Distributed Groups,Groups Can Be Nested Inside Other Groups,Users Can Be Members of Multiple Groups,Group,Group,Groups Simplify Assigning Permission to Resources,Group,Group,Group,Group,Group,Group,组策略,组策略介绍,组策略设置的类型,组策略对象和组策略容器,组策略应用的顺序,组策略介绍,组策略作用:,设置集中或分散的策略,确保用户有他们需要的环境,通过控制用户和计算机环境来降低TCO,强制全体策略,Site,Domain,OU,Windows 2000 Applies Continually,Users,Computers,Administrator Sets Group Policy Once,Group Policy,组策略设置的类型,组策略设置的类型,Administrative,Templates,基于注册标的组策略设置,Security,本地、域、网络安全设置,Software Installation,软件安装的集中管理设置,Scripts,Startup, shutdown, logon, and logoff 脚本,Remote Installation Services,有关远程安装服务的设置,Internet Explorer Maintenance,设置和管理定制的IE,Folder Redirection,将用户文件夹存贮到网络服务器上的设置,针对计算机和用户的组策略,Group Policy Settings for Computers:,Group Policy Settings for Users:,Users,Computers,组策略对象和组策略容器,GPO 设置应用于连接在在一个Site、域、和OU中的用户和计算机,一个GPO可以连接在多个,Site、域、和OU,上,一个,Site、域、和OU,上可以连接多个GPO,Site,Domain,OU,OU,OU,OU GPO,OU GPO,Site GPO,Domain GPO,一个组策略应用的顺序,Computer - Scripts - Startup,Computer - Software Installation,User - Software Installation,User Profile Logon Scripts,User - Scripts - Logon,User - Scripts - Logoff,Computer - Scripts - Shutdown,常用工具,常用管理工具,AD用户和计算机,站点和服务,AD域信任,DNS管理器,Resource Kit/Support Tools 工具,排错工具,事件察看器,MPS Report,Network Monitor,Windows2000/XP客户端启动/登录过程,启动过程,登录过程,启动过程,连接到网络,确定Site和域控制器,建立和域控制器的安全通道,Kerberos认证,加载组策略,客户端证书,时间同步,动态DNS注册,登录画面(GINA),连接到网络,连接到网络并加载TCP/IP协议,启动过程的开始,静态TCP/IP设置或者DHCP获得,DHCP,网络基础架构，不是AD必须的,不使用DHCP，而使用静态TCP/IP设置，AD依旧可以正常工作,确定Site和域控制器,客户端定位服务确定最近的一个Site，并存贮在注册表：,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParametersDynamicSiteName,向DNS服务器发出查询请求，查找当前Site的DC,客户端：,_ldap._tcp.dc._msdcs.Domain.Name,服务器端：,_ldap._tcp.dc._msdcs.main.local,随机挑选DC（如果DNS返回记录大于1）,建立和域控制器的安全通道,安全通道,客户端和DC之间建立的,获得域的特定信息,更新客户端计算机特定信息,Eg: 计算机密码，检查域成员信息,SMB,Kerberos认证,获取所有的必须的Tickets来建立IPC$的对话,加载组策略,RPC call，转换名称到DistinguishedName,LDAP查询组策略,使用SMB加载各项组策略,客户端证书,每次加载组策略时进行,检查计算机证书状态,下载企业CA证书,下载有关SMART Card证书,时间同步,TCP 123端口,域中时间同步机制,客户端和登录DC同步,DC和域中PDC同步,其他域PDC和根域PDC同步,根域PDC和外部时间源同步,时间服务(w32time)类型,NTP,NT5DS,动态DNS注册,更新DNS记录,用户登录过程,按Ctrl+Alt+Del,Kerberos认证,加载组策略,完成,显示桌面,按Ctrl+Alt+Del,登录名(Sam account name)+选择域,UPN（）,用户FQDN,Kerberos认证,获得对话Ticket,Kerberos: Server Name = $,Kerberos: Server Name = $,Kerberos: Server Name = krbtgt.,Kerberos: Server Name = ldap.,加载组策略,RPC call，转换名称到DistinguishedName,LDAP查询组策略,使用SMB加载各项组策略,完成,断开和DC的连接（SMB）,显示桌面,客户端常见问题,无法加入域,登录慢,组策略应用不成功,Internet Explorer 的一般除错步骤,共享不能访问其他的机器,无法加入域,网络配置(TCP/IP),DNS,客户端防火墙,使用NetBIOS域名，但是没有NetBIOS over TCP/IP,已经建立了和域控制器的连接,File and Print Sharing/Client for Microsoft Networks,无法加入域-续,SMB Signing,拒绝访问,计算机账户已存在,权限修改,普通用户只能加入10台计算机,安装了Proxy2.0客户端,KDC无法找到,无法加入域-一般排错,检查网络配置,Ping,NSLookup,Portqry,停用SMB Signing,Network Monitor,登录慢,网络,DNS,加载组策略,运行大量脚本,本地DC不可用,Roaming Profile,Proxy2.0,第三方应用程序,Anti Virus,防火墙,第三方GINA,WebClient service,登录慢-一般排错,检查网络通讯,检查DNS,查看Event log,复查Sysvol文件夹，是否太大,复查脚本内容,暂停第三方应用程序,Netlogon日志和Userenv日志（109626，221833 ）,带网络的安全模式,Network Monitor,缓存登录,用户客户端无法联系到DC时，依旧可以使用域用户登录计算机,默认10个用户,HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrent VersionWinlogon,组策略应用不成功,网络,DNS,计算机账户过期,千兆网卡,本地服务（WMI, Registry）,防火墙,GPO应用权限,访问DC权限,Bypass Traverse checking,Access this computer from network,第三方GINA,DC上的Sysvol复制不成功,Password和“账户锁定”策略是整个域强制的,组策略应用不成功-一般排错,检查网络,检查DNS,重新加入域,检查本地服务,检查防火墙,检查GPO权限和用户权限,SYSVOL复制排错,Internet Explorer 的一般除错步骤,重新注册IE的重要文件,scrrun.dll, msxml.dll, mshtml.dll, jscript.dll, urlmon.dll,shdocvw.dll, browseui.dll, softpub.dll,wintrust.dll, dssenh.dll, rsaenh.dll, gpkcsp.dll,sccbase.dll, slbcsp.dll, cryptdlg.dll,actxprxy.dll, shell32.dll, oleaut32.dll,命令：,Regsvr32 ,Internet Explorer 的一般除错步骤,清空IE的临时文件，SSL状态。禁止第三方的网络插件,Internet Explorer 的一般除错步骤,使用Process Explorer 来查看是否有第三方的DLL附在IE的进程上面。如果有，暂时卸载它们。,共享不能访问其他的机器,常见原因,网络不通,名字解析有问题，解析到了错误的IP地址,对方文件共享的端口被关闭了,常用对策,检查网络连通情况,检查WINS,DNS,HOSTS,LMHOSTS文件,直接用”IP address”的方式访问,检查对方机器的445(TCP)(DIRECTHOST SMB), 137-139(UDP)(NETBIOS over Tcpip(NBT) 端口,常用工具,Event Log,Windows Support Tools,Windows Resource Kit tools,Enable Debug log,Userenv (221833),Netlogon (109626),WinLogon (232575),GINA (312158),Group Policy Edit (833384 ),常用工具,Process Explorer,常用工具,Network Monitor,常用工具,MPS Report,常用工具,File Monitor,常用工具,Registry Monitor,常用工具,TCP Viewer,常用工具,Advanced Registry Tracer, 2000 Startup and Logon Traffic Analysis, domain logon information, Users Cannot Join Workstation or Server to a Domain, 配置捕获实用工具 (MPS_REPORTS) 概述, to disable automatic machine account password changes, Report,