AD ---- 活動目錄的平常管理操做

管理信任關係:什麼是信任關係:信任關係是用於確保一個域的用戶能夠訪問和使用另外一個域中資源的安全機制根據傳遞性分,信任關係可分爲可傳遞信任關係和不可傳遞信任關係兩種根據域之間關係分,Windows信任關係則可分爲四種信任關係是如何工做的建立信任關係刪除信任關係防止未經受權的用戶訪問

關於信任關係:父子信任根信任默認工做快捷方式信任有肋於提升效率外部信任關係不可傳遞在Windows 2000域與Windows NT 4.0域之間須要建立外部信任關係 Windows 2000域與其餘非Windows Kerberos V5區域之間,須要建立外部信任關係建立信任關係的考慮:域中必定量用戶要求長期訪問某個域中的資源因爲安全理由,區分了資源域和帳號域部分信任關係默認存在處於減小上層域DC/GC壓力,可建立快捷方式信任關係

我如今來到一臺計算機名稱叫作Guangzhou的計算機它是一個森林的另外一棵域樹它的域名叫作Guangzhou.Contoso.Msft 在兩個域構建信任關係以前咱們必需確保這兩個域之間它們是可以相互訪問的並且它們必需可以彼此解析到對方的域名和查詢到對方的SRV記錄在命令提示符裏面輸入ping Hangzhou.Subdom.Nwtraders.Msft按回車鍵如今能夠看到是可以成功地訪問到Hangzhou.Subdom.Nwtraders.Msft這個子域的

我如今來到一臺計算機名稱叫作 Hangzhou的計算機它是一個森林的子域它的域名叫作Hangzhou.Subdom.Nwtraders.Msft 首先要在命令提示符裏面輸入ipconfig /flushdns按回車鍵去清除一下客戶端的DNS查詢緩存不然的話有可能它沒直接向對方進行查詢而直接把緩存裏面的無效信息提供給用戶在命令提示符裏面輸入ping Cotoso.Msft按回車鍵如今能夠看到已經成功地解析到Contoso.Msft這臺DC了接下來就能夠建立信任關係了

咱們如今所要建立的信任關係是Subdom.Nwtraders.Msft和Contoso.Msft之間的信任關係經過開始--程序--管理工具--選擇Active Directory域和信任關係首先對着Subdom.Nwtraders.Msft右鍵--選擇屬性按信任--在受此域信任的域那一項按添加接下來就輸入受信任域輸入Contoso.Msft 下面要求輸入密碼這個密碼是用來驗證這兩個域之間相互信任用的也就是這兩密碼須要兩個域之間的管理員進行協商的而不是說使用如今建立的管理員密碼按肯定的時候它會跟對應的域進行相互聯繫的若是這裏輸入密碼兩邊的密碼都要輸入相同的密碼我就不輸入密碼了

我如今來到一臺計算機名稱叫作Guangzhou的計算機經過開始--程序--管理工具--選擇Active Directory域和信任關係對着Contoso.Msft右鍵--選擇屬性按信任在信任此域的域那一項按添加在信任域裏面輸入Subdom.Nwtraders.Msft 由於那邊沒有設置密碼因此這裏也不輸入密碼了按肯定按是就ok了如今我構建的其實是屬於一個單向的信任關係也就是說Subdom.Nwtraders.Msft這個域信任Contoso.Msft那個域的 Contoso.Msft這個域裏面的用戶是可以訪問Subdom.Nwtraders.Msft域裏面的資源而Subdom.Nwtraders.Msft這個域裏面的用戶是不可以訪問Contoso.Msft這個域裏面的資源的這個信任關係是快捷方式信任關係

我如今來到一臺計算機名稱叫作Shenzhen的計算機它是另外一個森林它的域名叫作Xinge.com 它的IP地址是192.168.1.18 經過開始--運行--輸入dnsmgmt.msc按肯定來打開DNS 對着正向搜索區域右鍵--選擇新建區域接着下一步選擇標準輔助區域接着下一步

在名稱裏面輸入子域的域名(Subdom.Nwtraders.Msft) 接着下一步由於那臺子域的IP地址是192.168.1.6 因此在IP地址裏面輸入192.168.1.6按添加接着下一步按完成就ok了

有些時候區域的複製是須要時間的咱們可能會看到一個紅色的X號告訴你區域不是由DNS服務器加載的這時候問題並不大等待一下就可以複製成功了

我現來到一臺計算機名稱叫作Hangzhou的計算機它是森林中的字域經過開始--運行--輸入dnsmgmt.msc按肯定來打開DNS 對着正向搜索區域右鍵--選擇新建區域接着下一步選擇標準輔助區域接着下一步

在名稱裏面輸入Xinge.com 接着下一步在IP地址裏面輸入192.168.1.18 按添加接着下一步按完成就ok了

我在Hangzhou這臺計算機上經過開始--程序--管理工具--選擇Active Directory域和信任關係對着Subdom.Nwtraders.Msft這個子域右鍵--選擇屬性按信任在信任此域的域裏面--按添加在信任域裏面輸入Xinge.com 也就是說我如今設置Xinge.com信任Subdom.Nwtraders.Msft 按肯定 Xinge.com是屬於外部信任關係是不可傳遞的按Xinge.com-- 按編輯--按驗證--輸入信任域的用戶名和密碼確保這個信任關係是可靠的

我如今來到Shenzhen這臺計算機經過開始--程序--管理工具--選擇Active Directory域和信任關係對着Xinge.com右鍵--選擇屬性按信任在受此域信任的域裏面按添加在受信任域裏面輸入Subdom.Nwtraders.Msft按肯定 Subdom.Nwtraders.Msft是屬於外部信任關係是不可傳遞的

刪除信任關係:再也不信任一個域或原域將被移除的時候,須要刪除已創建的信任關係驗證和刪除信任關係:NETDOM TRUST 目標域FQDN /Verify NETDOM TRUST 目標域FQDN /Domain:本地域FQDN /remove

阻止未經受權的用戶訪問:何爲之未經受權的用戶如何阻止未經受權的用戶訪問 netdom.exe /flitersids:信任域FQDN

咱們有時候會刪除掉信任關係何時刪除掉信任關係呢？當咱們再也不信任一個域好比說一家公司和另外一家公司是處於合做夥伴的關係關係很是友好那麼有一些資源須要共享須要建立一個信任關係可是世界是永恆不變的只有利益時間長了可能兩家公司出現了分離合做夥伴終止咱們這個時候須要把信任關係立刻終止防止對方的用戶還可以來咱們的公司看資料好比說我如今想刪除掉Xinge.com這個域打開Active Directory域和信任關係後對着Subdom.Nwtraders.Msft右鍵--選擇屬性按信任---按Xinge.com按刪除就ok了

經過開始--程序--管理工具--選擇Active Directory 站點和服務對着Sites右鍵--新建--按站點好比某些DC是在Shanghai的站點的名稱就叫作Shanghai吧下面有一個DEFAULTIPSITELINK這個是站點間的複製鏈接這個是必需選上的按DEFAULTIPSITELINK 按肯定

對着Subnets右鍵--選擇新建--子網 IP地址爲192.168.1.2 掩碼爲255.255.255.255 建立一個這樣的子網按Shanghai 按肯定

我再來建立一個子網 IP地址爲192.168.1.3 掩碼爲255.255.255.255 按Shanghai 按肯定這兩臺DC都放在Shanghai這個站點內當有客戶端使用IP地址來訪問的時候它就會默認地到Shanghai這個站點的DC裏面去而不須要去訪問DEFAULTIPSITELINK裏面的DC 固然DC還須要咱們手動移動到Shanghai站點裏面

我如今把Beijing Hangzhou這二臺DC都移動到Shanghai這個站點裏面對着DC右鍵--選擇移動按Shanghai 按肯定那麼這個Shanghai站點它下面就包含兩個子網

另外咱們也能夠建立一個新的站點名稱就叫作Beijing吧按DEFAULTIPSITELINK 按肯定

如今爲Beijing這個站點新建子網對着Subnets右鍵--選擇新建--子網 IP地址爲192.168.1.12 掩碼爲255.255.255.254 按Beijing 按肯定

我如今把Guangzhou這臺DC移動到Beijing這個站點裏面對着Guangzhou右鍵--選擇移動按Beijing 按肯定

我如今來建立一個站點間的傳輸連接站點間的傳輸連接有二種方式 IP連接和SMTP連接在絕大部分的狀況下咱們都會使用IP連接由於IP連接它更有保證性和效率更高 SMTP連接會用於什麼狀況呢？SMTP連接它須要使用SMTP服務那麼它一般是使用網絡帶寬很是小並且網絡連接很是不穩定常常會斷咱們須要使用SMTP連接使這個複製連接可以保證數據的可靠性和可用性我如今來建立一個IP連接展開Inter-Site Transports 對着IP右鍵--選擇新站點連接名稱就叫作Beijing to Shanghai吧把Beijing和Shanghai都添加在此站點連接中的站點裏面按肯定

雙擊DEFAULTIPSITELINK這個站點連接在此站點連接中的站點按Beijing按刪除確保Beijing和Shanghai站點之間就只有我當前所建立的Beijing to Shanghai的站點連接

對着Beijing to Shanghai這個站點連接右鍵--選擇屬性在常規裏面能夠看到開銷值默認值是100 它是用來計算兩個站點之間複製優先級的數值越小的優先級越高在複製的時候優先保證開銷值小的先進行副本複製頻率默認值是180分鐘也就是Beijing站點和Shanghai站點之間是每180分鐘才發生一次複製更關鍵的是能夠更改日程安排按更改日程安排咱們能夠規定天天何時進行復制好比說咱們天天早上8點鐘到晚上8點鐘可能有同事在使用寬帶網絡網絡的效率無法獲得保證咱們就規定從早上8點鐘到晚上8點鐘之間不能夠進行任何AD複製的選擇沒法使用複製那一項只有在晚上8點鐘以後到早上8點鐘以前才容許AD複製按肯定就ok了

若是Beijing這個站點想和DEFAULTIPSITELINK這個站點進行復制怎麼辦呢? 固然咱們可建立一個新的站點連接可是建立多個站點連接對你之後的管理不是好事因此咱們就建立一個站點連接橋吧對着IP右鍵--選擇新站點連接橋名稱就叫作Beijing to Default site吧那麼站點連接橋就把這兩個站點連接放在裏面了這樣Beijing和DEFAULTIPSITELINK站點之間可以經過Shanghai站點來進行復制固然這個複製模式是Beijing先複製到Shanghai Shanghai再複製到DEFAULTIPSITELINK 這樣可以保證Beijing到Shanghai只有一次複製而不是二次複製一樣也減小了咱們日程的維護量按肯定就ok了

部署站點的最佳實踐:根據複製需求來訂製站點間的複製間隔和複製時間對於大環境,建議關閉ITSG,手動配置複製連接