从入门到精通AD域之DNS

从入门到精通AD域之DNS

首先，要去了解任何东西，那么你需要从大体去了解这个东西是什么，人们怎么叫的，有那些专业名词。要想对域有一定的了解，那么需要理解一下以下简单的入门概念，什么是域，什么是林，什么是站点等！
工作组：一个位于局域网中的一台或者多台计算机，它们没有加入域。不存在依赖关系；
域： 一个域表示一组共享同一个数据库的对象；
AD DS: 活动目录域服务，是一个集成到windows server操作系统中的服务；
站点： 表示网络的物理结构或拓扑；
复制：相对一个复杂的根据，只要记住域是一个多主机复制系统设计。关键要记住两个时间点，同站点内15秒复制，不同站点最短在15分钟（默认180分钟）；
对象：AD内的每样东西都是一个对象；
架构：架构用于存放所创建的对象的类；
组策略：配置用户或计算机时需要使用的组策略；
组织单元：组织AD中的对象，主要是用户和计算机对象；
默认域策略：随着第一个域一起创建，所包含的策略应用于整个域中所有用户和计算机。不能删除，对域的网络环境至关重要。同时不建议修改，可以新建一个域级别的新策略，在新创建的策略里修改并保存自定义设置；
默认域控制器策略：它链接到AD中的所有域控制器的；
林：一个林是单个AD实例。在一个林中可心包含一到多个共享相同架构的域；
全局编录：包含了每个域中所有对象的信息。一个大中只有一个全局编录，但其数据复制有多个；
信任：域之间用于访问资源（例如服务器和应用程序）的连接。
树： 同一个林中创建一到多个具有连续名称空间的域，且/或共享相同的架构。
基本根据先了解于此，接下来，述说一个如果创建一个简单的域控制器。
————————————————
 

AD域之单域安装

上文已经对一些域的基本概念有所了解。接下来，让我们来搭建属于自己的第一台域，简单来讲就是如果创建一个单林域。本文采用两种方式，图形界面与命令模式分别创建。
第一步：固定IP地址（为什么域控制器一定要固定IP，后期慢慢详解）
命令模式：
1.获得当前网卡配置Get-NetAdapter，得到 InterfaceIndex 的值
2. 设置IP地址，
New-NetIPAddress –InterfaceIndex 12 –IPAddress 192.168.128.200 -PrefixLength 24 -DefaultGateway 192.168.128.1
3.设置DNS
Set-DnsClientServerAddress -InterfaceIndex 12 -ServerAddresses("127.0.0.1")
图形设置：开始-运行cmd–输入–ncpa.cpl 回车

第二步：命名计算机名（一般以DC#，#代表数字。当然你可以根据自己后期方便维护的计算机名命名）
命令模式：
Rename-Computer DC1
图形界面：右击–我的电脑–属性–更改设置

第四步，安装AD并配置
命令模式：
1.安装AD域服务
Add-WindowsFeature AD-Domain-services,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC
2.配置AD
Import-Module ADDSDeployment #####引入ADDS模块
Install-ADDSForest ` #####安装新林
-CreateDnsDelegation:$false ` #####是否创建DNS委派
-DatabasePath "C:\windows\NTDS" ` #####存放AD数据库路径
-DomainMode "Win2012R2" ` #####域级别
-DomainName "test.com" ` #####域名称
-DomainNetbiosName "TEST" ` #####一般图形向导中这个默认为域名称前缀
-ForestMode "Win2012R2" ` ####林级别
-InstallDns:$true ` ####是否安装DNS服务器
-LogPath "C:\windows\NTDS" ` ####日志文件保存路径
-NoRebootOnCompletion:$false ` ####完成安装后是否重启计算机
-SysvolPath "C:\windoes\SYSVOL" ` ####Sysvol存放路径
-SafeModeAdministratorPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force) ` ####DSRM密码
-Force:$true
 
图形模式：
1.打开服务器管理器–点击 添加角色和功能 – 一直点击下一步，点击到服务器角色这个步骤

2.勾选 Active Directory 域服务 角色点击下一步 — 点击 添加功能

3.点击下一步

4.点击安装，等待安装完成

5.打开服务器管理器，在右上方有个小旗的位置，有个感叹号，点击–将此服务器提升为域控制器

6.添加新林

7.选择林、域功能级别，并设置DSRM密码

9.安装，等待安装完成并重启电脑

至此安装完成

AD域之第二台AD

一旦决定用域管理客户端之后，那么AD域的备份就相当重置，如果采用微软自带的备份措施去备份系统，还原系统，虽然如此可以还原域的状态，但是此效率极底，同时在还原过程中，还会停止用户的使用。所以一般考虑在一个域环境中，至少安装二台以及二台以上域控制器。
在安装第二台域控制器需要考虑三个问题：
1.部署配置
2.DNS（第二台服务器是否应该安装DNS服务器，回复肯定的，如此能够冗余）
3.全局编录（第二台服务器是否应该成为全局编录，回复也是肯定的，能够冗余）
那么下面来讲解如何安装第二台域控制器：
命令模式
1.前期准备，设置IP、DNS、计算机名等，具体命令见上一章，在此不在述说
注：DNS设置成第一台AD的地址
2.安装AD服务，具体命令见上一章
3.配置AD
Import-Module ADDSDeployment #####引入ADDS模块
Install-ADDSForest ` #####安装新林
-NoGlobalCatalog:$false ` #####是否不设置成全局编录
-CreateDnsDelegation:$false ` #####是否创建DNS委派
-Credential (Get-Credential) ` #####输入域管理员账号与密码
-CriticalReplicationOnly:$false ` #####是否设置成只读域，即RODC
-DatabasePath "C:\windows\NTDS" ` #####存放AD数据库路径
-DomainName "test.com" ` #####域名称，即加入第一台创建的域名
-DomainNetbiosName "TEST" ` #####一般图形向导中这个默认为域名称前缀
-ForestMode "Win2012R2" ` ####林级别
-InstallDns:$true ` ####是否安装DNS服务器
-LogPath "C:\windows\NTDS" ` ####日志文件保存路径
-NoRebootOnCompletion:$false ` ####完成安装后是否重启计算机
-SiteNmae "Default-First-Site-Name" ` ####站点名称，一般默认此名即可
-SysvolPath "C:\windoes\SYSVOL" ` ####Sysvol存放路径
-SafeModeAdministratorPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force) ` ####DSRM密码
-Force:$true
 

图形模式
1.前期准备，设置IP、DNS、计算机名等，在此不在述说
注：DNS设置成第一台AD的地址，不需要提前加入域，安装AD后会自行加入域
2.安装AD服务，见前一章
3.配置AD
打开服务器管理器，在右上方有个小旗的位置，有个感叹号，点击–将此服务器提升为域控制器,弹出如下界面，点击选择按钮，会提示输入用户名与密码，此处应为域管理员，假如此服务器没有加入域，用户名的格式应该为：test\用户名，假如加入域直接输入域管理员用户
————————————————
 

注意是否选择，域名系统（DNS）服务器以及全局编录(GC）的复选框，输入DSRM密码，后续一直点下一步，直到安装完成

到此第二台AD安装完成

AD域之DNS

服务记录（Service Record,SRV)：一些位于DNS名称空间的记录，用来将服务解析到主机名，这是支持Active Diretory的DNS的基本组成部分。
动态DDS（DDNS）更新：一个允许DNS客户端在指定名称空间注册它们主机名的过程。该过程减少了在名称服务器数据库中手动输入记录的管理需求。是支持Active Diretory的DNS的基本组成部分。
在AD环境中最好禁用NetBIOS(新生活额外的繁琐和过程），禁用LHOSTS（因为默认情况下是空的，过去曾有恶意病毒输入这个文件）
————————————————

_gc或全局编录：在全局编录中查找数据的LDAP服务
_kerberos:身份验证过程
_kpassword：另一部分身份验证过程
_ldap：在域中查找数据的LDAP服务
以上为一些基本概念性简介，最主要的在于，如何用对应的工具去检测DNS的健康问题。
首先用Nslookup检查一些基本解析是否正常可靠
————————————————

再次用DcDiag检测DDNS与SRV记录（DnsDynamicUpdate和DnsrecordRegistration检查域控制器的SRV注册，无须在域控制器本地运行）
1）检测域控是否可以执行DDNS，从而注册SRV记录
其中第一个参数 test：测试DDNS，第二个参数dnsdomain：测试域 ，第三个参数f：输入结果路径
————————————————

开始测试: RegisterInDNS

开始测试: RegisterInDNS

2）验证DDNS否在区域上运行。以下命令将注册一台主机，并从服务器的DNS区域中删除这台主机。

3）验证域控制器的SRV记录

重建AD域控制器的DNS服务器

域控制器上重建AD集成dns区域
1. 控制面板->管理工具，打开dns管理器，展开正向搜索区域，右键单击domain.com区域，选择删除，在提示对话框中选择“是”；如果存在 _msdcs.domain.com区域，右键单击_msdcs.domain.com区域，选择删除，在提示对话框中选择“是”。
2. 在dns管理器中右键单击服务器，单击“清除缓存”。
3. 打开AD用户和计算机，单击查看菜单->高级功能，展开左边system\MicrosoftDNS，如果存在domain.com或_msdcs.domain.com，删除它们。
4. 打开控制面板->服务，停止netlogon服务。
5. 打开资源管理器，删除%windir%\system32\config下netlogon.dnb, netlogon.dns。
删除%windir%\system32\dns下domain.com.dns和_msdcs.domain.com.dns(如果存在)。
6. 进入“本地连接“属性，进入TCP/IP属性，把首选dns server设为自己的ip,清除辅助dns server.
7. 打开dns管理器，右键单击正向搜索区域->新建区域，单击主要区域，选择“在Active
Directory中存储区域”，名称为domain.com，其余默认，完成。
8. 打开控制面板->服务，启动netlogon服务。
9. 进入命令行，输入ipconfig /flushdns， 再输入ipconfig /registerdns即可.
————————————————
 

阿里云配置AD/LDAP/DNS
背景信息活动目录（AD）与轻量级目录访问协议（LDAP）是标准的应用协议，用于在互联网协议（IP）网络中，访问与更改目录服务的数据。选择您想要加入的AD服务或LDAP服务进行配置。
从1.0.36版本开始，阿里云云存储网关控制台新增AD/LDAP/DNS配置功能。
完成DNS服务器配置后，才能加入AD。
AD和LDAP不能同时加入。
当前AD域用户/LDAP用户/本地用户同时只能生效一种。在加入/离开AD域或者连接/断开LDAP服务器时，会自动删除CIFS共享中已配置的用户权限。
AD功能支持的服务器版本：64位Windows Server 2016数据中心版、Windows Server 2012 R2数据中心版。
LDAP功能支持的服务器版本：基于64位CentOS 7.4的openldap server 2.4.44。
配置AD登录云存储网关控制台。
在网关列表页面，找到并单击目标文件网关，进入操作页面。
选择AD/LDAP/DNS页签，单击加入AD。
在加入Windows活动目录（AD）对话框中，完成如下配置并单击确认。服务器IP：输入AD服务器的IP地址。
用户名：输入管理员用户名。
密码：输入管理员密码。
连接成功后，Windows活动目录（AD）区域中的已连接显示为是。
说明 加入Windows活动目录（AD）后，当前SMB共享里配置的本地用户权限将被移除。
配置LDAP登录云存储网关控制台。
在网关列表页面，找到并单击目标文件网关，进入操作页面。
选择AD/LDAP/DNS页签，单击建立连接。
在连接LDAP服务器对话框中，完成如下配置并单击确认。服务器IP：输入LDAP服务器的IP地址（目录系统代理）。
TLS支持：指定系统与LDAP服务器通信的方式。
Base DN：指定LDAP域，例如：dc=iftdomain,dc=ift.local。
Root DN：指定LDAP根，例如：cn=admin, dc=iftdomain,dc=ift.local。
密码：输入根目录密码。
连接成功后，轻量目录访问协议（LDAP)区域中的已连接显示为是。
说明 加入轻量目录访问协议后，当前SMB共享里配置的本地用户权限将被移除。
相关操作在AD/LDAP/DNS页面，您可以进行如下操作。