AD 域服務簡介（一）- 基於 LDAP 的 AD 域服務器搭建及其使用

博客地址：http://www.moonxy.com

1、前言

1.1 AD 域服務

什麼是目錄（directory）呢？

平常生活中使用的電話薄內記錄着親朋好友的姓名、電話與地址等數據，它就是 telephone directory（電話目錄）；計算機中的文件系統（file system）內記錄着文件的文件名、大小與日期等數據，它就是 file directory（文件目錄）。

若是這些目錄內的數據可以由系統加以整理，用戶就可以容易且迅速地查找到所需的數據，而 directory service（目錄服務）提供的服務，就是要達到此目的。在現實生活中，查號臺也是一種目錄；在 Internet 上，百度和谷歌提供的搜索功能也是一種目錄服務。

Active Directory 域內的 directory database（目錄數據庫）被用來存儲用戶帳戶、計算機帳戶、打印機和共享文件夾等對象，而提供目錄服務的組件就是 Active Directory （活動目錄）域服務（Active Directory Domain Service，AD DS），它負責目錄數據庫的存儲、添加、刪除、修改與查詢等操做。通常適用於一個局域網內。

在 AD 域服務（AD DS）內，AD 就是一個命名空間（Namespace）。利用 AD，咱們能夠經過對象名稱來找到與這個對象有關的全部信息。

在 TCP/IP 網絡環境內利用 Domain Name System（DNS）來解析主機名與 IP 地址的對應關係，也就是利用 DNS 來解析來獲得主機的 IP 地址。除此以外，AD 域服務也與 DNS 緊密結合在一塊兒，它的域命名空間也是採用 DNS 架構，所以域名採用 DNS 格式來命名，例如能夠將 AD 域的域名命名爲 moonxy.com。

1.2 AD域對象與屬性

AD 域內的資源以對象（Object）的形式存在，例如用戶、計算機與打印機等都是對象，而對象則經過屬性（Attriburte）來描述其特徵，也就是說對象自己是一些屬性的集合。例如，建立一個帳戶張三，則必須添加一個對象類型（object class）爲用戶的對象（也就是用戶帳戶），而後在這個用戶帳戶內輸入張三的姓名、登陸帳戶、電話號碼和電子郵件等信息，這其中的用戶帳戶就是對象，而姓名、登陸帳戶等數據就是該對象的屬性，張三就是對象類型爲用戶（user）的對象。

1.3 AD 域控制器 DC

AD 域服務（AD DS）的目錄數據存儲在域控制器（Domain Controller，DC）內。一個域內能夠有多臺域控制器，每臺域控制器的地位幾乎是平等的，它們各自存儲着一份幾乎徹底相同的 Active Directory。當在任何一臺域控制器內添加了一個用戶帳戶後，此帳戶默認被建立在此域控制器的 Active Directory，以後會自動被複制（replicate）到其餘域控制器的 Active Directory，以便讓全部域控制器內的 Active Directory 數據都可以同步（synchronize）。

當用戶在域內某臺計算機登陸時，會由其中一臺域控制器根據其 Active Directory 內的帳戶數據，來審覈用戶輸入的帳戶與密碼是否正確。若是是正確的，用戶就能夠登陸成功；反之，會被拒絕登陸。域控制器是由服務器級別的額計算機來扮演的，例如 Windows Server 2012 和 Windows Server 2008 R2 等。

一般，域控制器的 Active Directory 數據庫是能夠被讀寫的，除此以外，還有 Active Directory 數據庫是隻能夠讀取、不能夠被修改的只讀域控制器（Read-Only Domain Controller，RODC）。例如，某子公司位於遠程網絡，若是安全措施並不像總公司同樣完備，則可使用 RODC。

1.4 LDAP

LDAP（Lightweight Directory Access Protocol），輕量目錄訪問協議，是一種用來查詢與更新 Active Directory 的目錄服務通訊協議。AD 域服務利用 LDAP 命名路徑（LDAP naming path）來表示對象在 AD 內的位置，以便用它來訪問 AD 內的對象。

LDAP 數據的組織方式：

LDAP 名稱路徑以下：

標識名稱（distinguished Name，DN）：它是對象在 Active Directory 內的完整路徑，DN 有三個屬性，分別是 CN，OU，DC。

DC (Domain Component)：域名組件；

CN (Common Name)：通用名稱，通常爲用戶名或計算機名；

OU (Organizational Unit)：組織單位；

例如，如上用戶帳戶，其 DN 爲：

CN=張三,OU=Web前端組,OU=軟件開發部,DC=moonxy,DC=com

其中 DC（Domain Component）表示 DNS 域名中的組件，例如 moonxy.com 中的 moonxy 與 com；OU爲組織單位（Organization Unit）；CN爲通用名稱（Common Name），通常爲用戶名或服務器名。除了DC與OU以外，其餘都利用CN來表示，例如用戶與計算機對象都屬於CN。上述DN表示法中的 moonxy.com 爲域名，軟件研發部、Web前端組都是組織單位。此 DN 表示帳戶張三存儲在 moonxy.com\軟件研發部\Web前端組路徑中。

相對標識名稱（Relative Distinguished Name，RDN）：RDN用來表明DN完整路徑中的部分路徑，例如上面路徑中的 CN=張三與 OU=Web前端組等都是 RDN。

Base DN：LDAP 目錄樹的最頂部就是根，也就是所謂的 "Base DN"，如 "DC=moonxy,DC=com"。

除了 DN 與 RDN 這兩個對象名稱外，另外還有以下兩個名稱：

全局惟一標識符（Global Unique Identifier，GUID）：GUID 是一個128位的數值，系統會自動爲每一個對象指定一個惟一的GUID。雖然能夠改變對象的名稱，可是其GUID永遠不會改變。

用戶主體名稱（User Principal Name，UPN）：每一個用戶還能夠有一個比DN更短、更容易記憶的 UPN，例如上面的張三隸屬於 moonxy.com，則其 UPN 能夠爲 zhangsan@moonxy.com。用戶登陸時所輸入的帳戶名最好是 UPN，由於不管此用戶的帳戶被移動到哪個域，其 UPN 都不會改變，所以用戶能夠一直使用同一個名稱來登陸。

AD 與 LDAP 的關係：LDAP 是一種用來訪問 AD 數據庫的目錄服務協議，AD DS 會經過 LDAP 名稱路徑來表示對象在 AD 數據庫中的位置，以便用它來訪問 AD 數據庫內的對象。LDAP 的名稱路徑包括有 DN、RDN。

openLDAP（Linux），Active Directory（Microsoft）等是對 LDAP 目錄訪問協議的具體實現，除了實現協議的功能，還對它進行了擴展。

1.5 全局編錄

雖然在域樹內的全部域共享一個 Active Directory，可是 Active Directory 數據卻分散在各個域內，而每一個域僅存儲該域自己的數據。所以，爲了讓用戶、應用程序可以快速找到位於其餘域內的資源，在 AD 域服務器內設計了全局編錄（Global Catalog，GC）。

全局編錄的數據存儲在域控制器內，這臺域控制器被稱爲全局編錄服務器，它存儲着林內全部域的 AD 內的每一個對象。不過只存儲對象的部分屬性，這些屬性都是經常使用來搜索的屬性，例如用戶的電話號碼、登陸帳戶名等。全局編錄讓用戶即便不知道對象位於哪個域內，仍然能夠快速的找到所需的對象。

用戶登陸時，全局編錄服務器還負責提供該用戶所屬的通用組的信息；用戶利用 UPN 登陸時，它會負責提供該用戶隸屬於哪個域的信息。

一個林內的全部域樹共享相同的全局編錄，而林內的第一臺域控制器默認就是全局編錄服務器。必要時，也能夠另外指派其餘域控制器來當作全局編錄服務器。

2、安裝 DNS 和 AD 域服務

Windows 版本：Windows Server 2008 Enterprise Service Pack 1

系統類型： 64 位操做系統

2.1 安裝 DNS 服務器

這一步不是必須的，在安裝 Active Directory 域服務時能夠同時裝上 DNS 服務器：Active Directory 域服務安裝嚮導 -> 其它域控制服務器，勾上 DNS 服務器也有一樣效果。可是鑑於服務器配置容易出現一些未知錯誤，因此仍是推薦提早安裝 DNS 服務比較好。

首先應該配置 DNS 服務器的靜態 IP（推薦），不然安裝時會出現以下提示：

而且 DNS 服務器的地址設置爲本身的地址 127.0.0.1：

開始菜單 -> 管理工具 -> 服務器管理器，或者直接點擊開始菜單旁邊的快捷圖標：

選擇左側樹形菜單 "角色" 節點，右鍵 "添加角色"，此處的 "角色" 表示此服務器要被配置爲何功能的服務器，即提供什麼樣的服務：

 進入 "添加角色嚮導"，點擊 "下一步" 按鈕：

進入選擇 "角色" 頁面：

勾選 "DNS 服務器" 角色，並點擊 "下一步" 按鈕：

進入 DNS 服務器簡介頁面，點擊 "下一步" 按鈕：

進入確認安裝頁面，點擊 "安裝" 按鈕：

出現以下進度條：

點擊 "關閉" 按鈕，並重啓服務器：

此時，DNS 服務已經安裝完成。

2.2 安裝 Active Directory 域服務

進入 "服務器管理器" 中添加 AD 域服務角色：

或者點擊開始菜單 -> 運行 -> 輸入命令 "dcpromo" ，而後回車：

備註：

dcpromo 命令是一個 "開關" 命令。若是 Windows Server  2008 計算機是成員服務器，則 運行 dcpromo 命令會安裝 AD 活動目錄，將其升級爲域控制器；若是Windows Server 2008 計算機已是域控制器，則運行 dcpromo 命令會卸載 AD 活動目錄，將其降級爲成員服務器。

進入安裝界面界面：

彈出 Active Direcotry 域服務安裝嚮導，點擊 "下一步" 按鈕：

進入兼容性提醒頁面，不用理會，點擊 "下一步" 按鈕：

注意：若是是第一次搭建也是你整個內網中的第一臺域控制器，那麼須要選擇第二項 "在新林中新建域"，第一項是內網中已經存在 AD 環境再想搭建額外域控制器的時候使用的。

選擇 "在新林中新建域」並點擊"，點擊 "下一步" 按鈕：

輸入域名，這個要慎重，由於這個配置完畢以後要修改很麻煩且有風險，並點擊 "下一步" 按鈕：

進入林功能級別設置界面，選擇 "Windows Server 2008"，而後點擊 "下一步"：

注意：

這裏須要強調的是，若是你的 AD 中之後可能會出現 Windows Server 2003 系統的域控制器，請務必選擇 Windows Server 2003 的域功能級別，要不之後那些 Windows Server 2003 的服務器就作不了域控制器了，因此安裝第一臺 DC 的時候，都選擇的低級別的林功能，之後要升到 Windows Server 2008 的域功能級別是沒問題的，如果選了 Windows Server 2008 的功能級別，之後要降級就難了。

點擊 "下一步" 按鈕：

若是最初沒有安裝 DNS 服務器，此處能夠勾選並安裝：

若是已經安裝，此處即爲灰色：

彈出 DNS 提示框，不用理會，點擊 "是" 按鈕，繼續安裝：

進入AD 域的數據庫文件、日誌文件和共享文件位置設置頁面，此處保持默認設置，點擊 "下一步" 按鈕：

進入 "域還原密碼" 設置界面，此密碼至關的重要，後續作數據庫遷移、備份、整理、恢復的時候均可能用到，務必要牢記：

 填入密碼以後，點擊 "下一步" 按鈕：

進入 "摘要" 界面，顯示以前設置的摘要信息，點擊 "下一步" 按鈕：

此處能夠點擊 "導出設置" 到一個位置保持起來，以便後續排錯時查閱，也能夠做爲 DC 安裝時的無人值守安裝的腳本。

安裝嚮導進入配置過程

點擊 "完成" 按鈕，重啓服務器：

此時，AD  域服務已經安裝完成。ADDS域控制器已經安裝完成，在完成域控制器的安裝後，系統會自動的將該服務器的用戶帳號轉移到 AD 數據庫中。

2.3 檢查 DC 是否已經註冊到 DNS

域控制器 DC 會將本身扮演的角色註冊到 DNS 服務器內，以便讓其餘計算機可以經過 DNS 服務器來找到這臺域控制器，所以先檢查 DNS 服務器內是否已經存在這些記錄。利用與系統管理員（MOONXY/Administrator）登陸。

檢查主機記錄

首先檢查域控制器是否已經將其主機名與 IP 地址註冊到 DNS 服務器內。請到扮演 DNS 服務器角色的計算機 WIN-NHLP41A04F6.moonxy.com 上點擊 "DNS" 菜單：

此處應該會有一個名稱爲 moonxy.com 的區域，圖中的主機(A)記錄表示域控制器 WIN-NHLP41A04F6.moonxy.com 已經正確地將其主機名與 IP 地址註冊到 DNS 服務器內。DNS 客戶端所提出的請求大可能是正向解析，即經過 hostname 來解析 IP 地址對應與此處的正向查找區域；經過 IP 來查找 hostname 即爲反向解析，對應於此處的反向查找區域。

若是域控制器已經正確地將其扮演的角色註冊到 DNS 服務器，則還應該有對應的 _tcp、_udp 等文件夾。在單擊 _tcp 文件夾後能夠看到以下所示的界面，其中數據類型爲服務位置（SRV）的 _ldap 記錄，表示 WIN-NHLP41A04F6.moonxy.com 已經正確地註冊爲域控制器。其中的 _gc 記錄還能夠看出全局編錄服務器的角色也是由 WIN-NHLP41A04F6.moonxy.com 扮演的。

DNS 區域內包含這些數據後，其餘要加入域的計算機就能夠經過經過此區域來得知域控制器爲 WIN-NHLP41A04F6.moonxy.com。這些加入域的成員（域控制器、成員服務器、Windows 八、Windows 七、Windows Vista、Windows XP Professional 等）也會將其主機與 IP 地址數據註冊到此區域內。

3、管理 AD 域用戶帳戶

3.1 域用戶管理工具

可使用以下兩個工具來管理域帳戶，以下：

Active Directory 用戶和計算機：這是以前 Windows Server 200八、Windows Server 2003 等系統就已經提供的工具；

Active Directory 管理中心：這是從 Windows Server 2008 R2 開始提供的工具，用來取代 Active Directory 用戶和計算機。

3.2 建立組織單位與域用戶帳戶

經過使用 Active Directory 用戶和計算機進行說明：

能夠將用戶帳戶建立到任何一個容器或組織單位（OU）內。如下建立一個名爲軟件研發部的組織單位。而後再建子組織單位，最後在此子組織單位內建立域用戶帳戶。

建立組織單位：

輸入軟件研發部的組織單位，而後點擊 "肯定" 按鈕：

建立以後，在該組織下面繼續建立兩個子組織單位：Web 前端組和 Java 開發組。

Web 前端組：

Java開發組：

建立用戶：

進入建立用戶界面，填入用戶信息，好比此處建立用戶：張三，而後點擊 "下一步" 按鈕：

注意：

用戶 UPN 登陸：用戶能夠利用這個與電子郵箱格式相同的名稱（zhangsan@moonxy.com）來登陸域，此名稱被稱爲 User Principal Name（UPN）。在整個林內，此名稱必須是惟一的。

用戶 SamAccountName 登陸：用戶也能夠利用此名稱（MOONXY\zhangsan）來登陸域，其中 MOONXY 爲 NetBIOS 域名。同一個域內，此登陸名稱必須是惟一的。Windows NT、Windows 98 等舊版系統並不支持 UPN，所以在這些計算機上登陸時，只能使用此處的登陸名。

進入建立密碼界面，域用戶的密碼默認必須至少7個字符，且至少包含大寫字母、小寫字母、數字、非字母數字等4組中的3組，點擊 "下一步" 按鈕：

進入完成頁面：

 點擊上面的 "完成" 按鈕，便可看到新增的用戶：張三

同理，在 "Web 前端組" 子組織單位下繼續建立用戶：李四，在 "Java開發組" 組組織機構下建立兩個用戶：王5、趙六。結果以下：

Web 前端組用戶：

Java 開發組用戶：

建立好上面的域用戶帳戶以後，就能夠用來測試登陸域的操做。直接到域內任何一臺非域控制器的計算機上登陸域，例如 Windows Server 2012 成員服務器或已加入域的 Windows 8 計算機。通常用戶帳戶默認沒法在域控制器上登陸，除非另外開放。

備註：

以上是 Windows Server 2008  AD 域服務器搭建的過程和簡介，此過程也適用於 Windows Server 2008 R2 版本的 AD域搭建。此外也能夠參考以下博友不一樣版本的搭建過程：

Windows Server 2008 R2 AD服務器搭建

Windwos 08R2_DNS全面圖文詳解

Windows 08 R2_建立AD DS域服務(圖文詳解)

Windows Server 2008 R2 配置AD(Active Directory)域控制器(圖文教程)

Windows Server 2012 R2 建立AD域