• Digitaaliset tarvikkeet
  • Palvelin
  • Digitaalinen elämä
  • Tietosuojakäytäntö
  • Ota meihin yhteyttä
  1. Home
  2. Palvelin
  3. Active Directoryn ymmärtäminen Windows Server 2012 R2:ssa ...

Active Directoryn ymmärtäminen Windows Server 2012 R2:ssa ...

Rsdaa 08/12/2021 1108

Edellisessä viestissä annoin sinulle käsitteellisen yleiskatsauksen Active Directorysta.

Tässä viestissä laitamme sormemme näppäinten väliin ja aloitamme sen asentamisen alusta alkaen Windows Server 2012 R2:ssa.

Aiot oppia:

Active Directory Domain Service -vaihtoehdon lisääminen palvelimellesiPalvelimen mainostaminen verkkotunnuksen ohjaimeksiOpi yleisistä ominaisuuksista ja milloin niitä kannattaa käyttää

Tehdäänpä tämä!

Windows Server 2012 R2:n myötä Microsoft on todella parantanut koko uuden verkkotunnuksen ohjaimen määritysprosessia. (DC)

Microsoft tehosti myös siirtoprosessia. Aiemmin, jos sinulla oli vanhempi toimialueen ohjain, sinun piti suorittaa Adprep.exe siirtääksesi toimialueen ja metsän, jotta vanhempi skeema (tietokantarunko) olisi yhteensopiva uudemman skeeman kanssa. DC:stäsi. Windows 2012 ei tuo sinulle mitään sellaista paskaa, koska se hoitaa adprepin puolestasi.

Aloitetaan.

Kirjaudu sisään Windows Server 2012 -koneellesi ja avaa Palvelimenhallinta napsauttamalla aloituspainikkeen vieressä olevaa pientä kuvaketta näytön vasemmassa alakulmassa.

Active Directory -roolin määrittäminen

Valitse valikkopalkista Hallitse ja valitse sitten Lisää rooleja ja ominaisuuksia.

Ohjatun Ennen aloittamista -toiminnon pitäisi avautua.

Klikkaa Seuraava aloittaaksesi esitys.

Koska emme tee mitään virtualisointia, pysy vain oletusroolipohjaisessa tai ominaisuuspohjaisessa asennuksessa.

Nyt meidän on valittava, mihin palvelimeen haluamme asentaa Active Directory -roolin ja -ominaisuuden.

Voit asentaa sen useille palvelimille samanaikaisesti. Meillä on kuitenkin vain yksi palvelin, joten napsauta Seuraava.

Valitse Valitse palvelinroolit -näytöstä Active Directory -toimialueen palvelut.

Valitse Lisää ominaisuuksia.

Nyt voit seuraavaksi läpäistä Ominaisuudet-, AD DS- ja Vahvistusosat.

Viimeistele ohjattu toiminto ja nappaa kuppi Kirklandin allekirjoitusvihreää teetä, koska asennat AD:ta kuin ammattilainen nyt.

Erinomainen.

Nyt takaisin Palvelinhallinnassa huomaat uuden loistavan AD DS -roolin roikkuvan vasemmassa ruudussa.

Napsauta sitten oikeanpuoleisessa ruudussa Lisää…-linkkiä ilmoituksessa, jossa lukee Active Directory Domain Services -palvelun määritys vaaditaan MyServerNamessa.

Palvelimen ylennys verkkotunnuksen ohjaimeksi

Jos vain ylennyksen saaminen oikeassa työssäsi olisi yhtä helppoa kuin napin painaminen…

Valitse vain Mainosta tämä palvelin toimialueen ohjaimeksi.

Koska olemme luomassa yrityksemme ensimmäistä ja ainoaa verkkotunnusta, voimme valita Lisää uusi metsä.

Muista, että yksi verkkotunnus on myös metsä…

Juuriverkkotunnuksen nimi ei ole kukaan muu kuin superluova verkkotunnuksesi nimi: smocksocks.com

Seuraavassa näytössä saatat saada seuraavan virheilmoituksen:

Tämän DNS-palvelimen delegointia ei voida luoda, koska arvovaltaista päävyöhykettä ei löydy tai se ei käytä Windowsin DNS-palvelinta. Jos olet integroimassa olemassa olevaan DNS-infrastruktuuriin, sinun tulee luoda delegointi tälle DNS-palvelimelle manuaalisesti päävyöhykkeellä. varmistaaksesi luotettavan nimien erottelun verkkotunnuksen "domain-name.com" ulkopuolelta. Muuten toimenpiteitä ei tarvita.

Se on vain Microsoftin suurenmoinen tapa sanoa:

Hei missä DNS-palvelin on? En löydä sellaista, joten aion varoittaa sinua siitä. Mutta hei, jos aiot tehdä tästä palvelimesta DNS-palvelimen, jätä pieni virheeni huomioimatta.

Napsauta OK ja jatka eteenpäin.

Seuraava näyttö antaa sinulle enemmän vaihtoehtoja verkkotunnuksen ohjaimelle. Keskitytään ensin näytön yläosaan:

Näet kaksi avattavaa valikkoa Metsän toiminnallinen taso ja Verkkotunnuksen toiminnallinen taso vieressä.

Jos lisäisimme Active Directory Domain Services -palvelun olemassa olevaan, vanhempaan verkkotunnukseen, voisimme päivittää Windows Server 2012 -sivustomme vanhempaan versioon, jotta se vastaisi vanhempaa ominaisuusjoukkoa. Toisin sanoen voisimme asettaa manuaalisesti yhteensopivuustason metsää tai verkkoaluetta poistamalla ominaisuuksia valitun toimintatason perusteella.

Tämä ei koske meitä.

Toimintatasojen avattavien valikoiden alla on kolme osiota, joiden avulla voit määrittää toimialueen ohjaimesi ominaisuudet:

Domain Name System (DNS) -palvelinGlobal Catalog (GC) Vain luku -toimialueen ohjain (RODC)

En ole varma, miksi DNS-asetus on valinnainen, koska Active Directory käyttää DNS:ää nimien selvittämisessä. Jätä tämä ehdottomasti valituksi.

Global Catalog on myös hyvä jättää valituksi, koska sen avulla käyttäjät voivat etsiä objekteja jokaisesta metsäsi verkkotunnuksesta. Ajattele sitä kuin Active Directoryn "keltaisia ​​sivuja".

Viimeinen toimialueen ohjainvaihtoehto on todella mielenkiintoinen.

Jos otat käyttöön vain luku -toimialueen ohjaimen (RODC), tämä toimialueen ohjain estää ketään luomasta tai muokkaamasta tilejä palvelimella. Joskus on järkevää käyttää tätä pienemmissä sivukonttoreissa, joissa fyysisen turvallisuuden taso ei ole ihanteellinen. Jos vihainen työntekijä pääsi fyysisesti RODC:hen, hän ei voinut muokata mitään esinettäsi. Se rajoittaa vahinkojen laajuutta.

Vahinkoista puheen ollen, mitä tapahtuu, jos verkkotunnuksesi ohjain epäonnistuu? Miten kirjautuisit DC:hen, jos DC ei toimi?

Tästä on kyse Directory Services Restore Mode (DSRM) -salasanasta. Sen avulla voit kirjautua sisään DC:hen muulla kuin Active Directory -tilillä, jotta voit tehdä vianmäärityksen. Varmista, että määrität tähän vahvan salasanan, koska se on sinun pelastusvene hätätilanteita varten.

Jatka napsauttamalla seuraavaa, kunnes pääset Polut-osioon. Täältä löydät kansiosijainnin Active Directory -tietokannalle, lokeille ja julkisille tiedostoille, jotka replikoidaan (SYSVOL-kansio).

Aiemmin oli järkevää asentaa tietokanta ja lokit erilliselle kiintolevylle. Tämä ei kuitenkaan ole enää ratkaisevaa viimeaikaisten laitteisto- ja ohjelmistoparannusten vuoksi. Useimmat järjestelmänvalvojat voivat turvallisesti jättää nämä oletusasetukset ennalleen.

Tarkista asetukset napsauttamalla Seuraava ja valitse sitten Näytä komentosarja -painike näytön oikeasta alakulmasta.

Näytölle hyppää tekstitiedosto, jossa on joukko hienoa koodia.

Arvaa mitä tämä tekee?

Joo.

Jos tallennat tämän tiedoston PowerShell-komentosarjana (esimerkiksi Tiedosto, Tallenna nimellä, ADDSSetup.ps1), voit suorittaa sen ympäristösi muilta palvelimilta, jotta asennusprosessi on nopeaa. PowerShell-komentosarja on periaatteessa ytimekäs tekstipohjainen tapa tehdä kaikki asiat, jotka teimme juuri Active Directory Domain Services Configuration Wizardissa.

Hienoa.

Selvä, napsauta Seuraava rohkaistaksesi ohjattua toimintoa suorittamaan automaattisesti esivaatimustarkistuksen. Windows varmistaa, että kaikki on oikeissa paikoissa ennen asennuksen jatkamista.

Näet aina kokoelman ilmoituksia Näytä tulokset -ruudussa. Useimmat niistä ovat hyvänlaatuisia, mutta sinun on silti ymmärrettävä jokainen varoitus. Esimerkiksi yksi alla olevista hälytyksistä kertoo minulle, että palvelimellani ei ole staattista IP-osoitetta osoite ja minun pitäisi luultavasti korjata se.

Hei, kuka käyttää staattista IP-osoitetta palvelimelle? Palvelimen uudelleenkäynnistäminen voi johtaa erilaiseen IP-osoitteeseen, mikä vaikeuttaa työasemien todentamista!

Klikkaa Asenna ja odota.

Palvelin käynnistyy uudelleen muutaman minuutin kuluttua.

Palataanpa hetkeksi Palvelinhallintaan. Haluan näyttää sinulle jotain hienoa.

Lyhyt katsaus DNS Manageriin

Napsauta oikeasta yläkulmasta Työkalut ja siirry hiirellä DNS-kohtaan.

DNS Manager hyppää näyttöön odottamaan komentojasi.

Laajenna vasen ruutu.Haluan näyttää sinulle uuden toimialueen ohjaimemme DNS-tietueen.

Toimialueen ohjaimeni isäntänimi on FBVDC1. Joten kun laajenna DNS > FBVDC1 Näen joukon vaihtoehtoja.Yksi niistä on nimeltään Forward Lookup Zones.

Vyöhyke on vain luotettava ja arvovaltainen paikka DNS-tiedoille. Tässä esimerkissä Forward Lookup Zones -osiossa näkyy IP-osoite, joka liittyy verkkotunnukseemme.

Näet esimerkiksi juuri luomamme objektin isäntätietueen. Tämä tarkoittaa, että jos kirjoitamme lähiverkkoon fbvdc1.smocksocks.com, käyttäjämme siirtyvät osoitteeseen 10.0.2.15.

Halusin näyttää tämän sinulle todella nopeasti, jotta saat käsityksen siitä, miten nimenratkaisu toimii.

Seuraavat vaiheet

Kolmiosaisen sarjamme seuraavassa ja viimeisessä artikkelissa näytän sinulle, kuinka luodaan ensimmäinen organisaatioyksikkösi ja käyttäjäsi. Sitten näytän sinulle, kuinka PC liitetään verkkotunnukseen.

Teistä on tulossa asiantuntija!

Jatketaan samaan malliin. Tarkista tilanne huomenna.


PREV: Azure Virtual Network FAQ | Microsoft Docs

NEXT: IP- ja porttipohjaisen Virtualhost Apachen määrittäminen

Popular Articles

Hot Articles

Navigation Lists

Back to Top