Windows Server2016 域架构技术分享

在企业的生产环境中创建域考虑的事情还是比较多的。但是我们必须抓住核心思想就是统一管理客户端。

需要注意以下两点：

创建域必须要创建DC，且是Windows Server才能做DC。

公司内部的客户端严格执行标准化。

这里的标准化具体指的是：

1>如果是多样化的客户端系统（掺杂有mac等别的系统），需要统一使用Win7以上（考虑到组策略使用范围。）

如图所示：我看到的有些策略最低的支持平台都是win8

大部分都是支持win7的，支持XP的只有一些低配的功能，尤其是对使用组策略限制访问可移动存储设备的时候，XP系统不能支持，只有vista以上的系统才能支持。

在公司系统多样化的环境中，往往会有设计人员使用mac系统的电脑，实际上这样的系统是可以加入域的。

因为mac系统是支持LADP（轻量目录访问协议）他是一种用来查询与更新AD DS的目录服务通信协议。但是不受组策略管理影响！原因在于mac系统的注册表根本和Windows不是一个概念。

2.那些使用非标准介质安装的系统，严格执行统一使用标准介质的系统安装。

这样会造成域的迁移时出现问题，涉及到一个域的服务：workstaion，迁移的时候一定是要用到的。

在很企业中，有很多管理员采用的是各种Ghost的镜像来安装客户端系统（类似番茄花园，雨林木风）为了节省系统空间，这种服务就会被修改删除掉。

在外企中是非常注重IT专业化，例如在安装系统的时候会固定的列表（即使不涉及版权也不让你安装。）

3.加入域后，客户端的配置文件如何迁移？

为了不影响工作人员的工作习惯，我们要注意这个方面，后续实验会讲解。

4.客户端登录以什么权限来登录，评估生产环境的应用。

企业部署任何一个应用之时，不是一朝一夕能完成的，很多业务平台的工作软件（除了微软的产品）使域的普通用户不一定能用呢；建议有单台测试业务客户端的真实盛传环境的评估过程。

因此在微软官方中定义：

创建域的前提：

1.在域架构中，最核心的就是DC（域控制器），创建域首先必须要创建DC,DC创建完成后，把所有的客户端加入到DC中，这样就形成了域环境。

2.域控制器是由工作组的计算机升级而成，通过DCPPROM命令就可以完成升级。

3.只有Windows server(Web版本除外）才可以提升为域控制器。

4.在升级DC前不需要安装DNS服务。（系统会自动安装配置）

5.文件系统必须要是NTFS。（活动目录数据库是单一的文件，对于特别大的环境域架构，随着对象的增多，活动目录数据库有可能超过4GB。）

创建域架构

在微软域的逻辑拓扑中，用一个三角形来表示域,在搁置一台DC，放一些客户端进去。

创建域之前，在企业中我们对这个域名有什么标准？

通常来讲，域名是参考官网域名的。

这次实验采用windows server2016服务标准版系统，必须是server级的系统。将虚拟机网络调整成私有网络，我这里选择vm3的网络，如果是创建第一台DC时，将DNS地址指向自己。

配置好后，养成良好的检查习惯，ipconfig进行检查：

我们在2016系统中服务详细列表中有2个服务，并没有正常启动，原因在于此服务器没有真正链接Internet：无需去理会。

组件安装：

活动目录和域服务

其中与Azure Active在线应用这就是windows server2016的亮点之一。

直接静待AD安装完毕。

将此服务器提升为域控制器：

如果是在公司创建第一台域控制，选择添加新林，域名的建立和公网域名保持相同。

关于域和林的功能级别：是限制DC的操作系统版本，而林功能级别限制整个林中所有DC的操作版本，而域功能级别限制整个域中所有DC的操作版本。

在微软官方中定义：域功能级别设置只会影响到该域，不会影响到其他域。

林功能级别设置只会影响到该林内的所有域。

如图所示：我这里演示的是window server2016技术预览版本，如果同行在做实验的时候可以下载正式版。

目录服务还原模式指的：在特殊模式（目录服务还原模式----开机按住F8选择进入）下进行还原。

如何保证域的高可用，域的重要性不言而喻，身份验证是它的主要任务，因此要保证域服务的高可用必须注意以下几点：

安装多台DC，实现容错。

定期的备份。

NetBIOS：域的简单名称，例如域名：www.FengXin.cn 简单名称就是Fengxin（不区分大小写）。

这就是在登录时，我们可以这样成功登录的原因：利用域名\用户名，登录域。

文件夹的路径了解一下：其中susvol文件夹，我之前分享域的概念--组策略的时候就说过这个文件夹，它就是存放组策略的。

校验完成后就开始安装域：建议DC是采取至少一台是物理机。

域安装完毕，如果严格的去检查可以用域的专门检查工具，还有就是需要查看日志和加入域看看有没有问题。

如图所示：

我们也可以从域的管理工具中这几条去分别查看。

①、打开AD用户和计算机：

查看、修改，创建和删除活动目录中的对象（用户、计算机、OU、打印机）

快捷命令如下：

例如：

新建一些单位部门，专业术语叫容器。

在这些部门之中创建一些用户：可以根据自己的需求来定义用户的属性。

在微软新的输入法中：你点击这个表情会很有惊喜，微软的输入法很进步

②活动目录域和信任关系 ADDT

用来管理、查看，创建修改和删除活动目录的信任关系

快捷命令：

③活动目录站点和服务 ADSS

用来查看，创建修改和删除活动目录的站点信息。

快捷命令：

④组策略管理控制对象 GPMC

用来查看，创建修改和删除活动目录的组策略对象。

快捷命令：

⑤活动目录管理中心 ADAC

涉及一些特殊的配合和管理：RODC，活动目录回收站。

⑥ADSI编辑器

快捷命令：adsiedti.msc

查看修改和删除活动目录数据库的分区信息，涉及底层技术。

客户端加入域（可采用win7或者win10）

win10版本众多，建议选择这个版本，同行都说这个版本比较稳定，自我测试没毛病。

按照拓扑：设定好IP地址，（也可以在服务器中开启DHCP服务）客户端的地址一定要和DC能够通信：并且防火墙关闭，DNS指向域控制器。

C:\Users\win7-1>netsh firewall set opmode disable（DC和客户端的都需要关掉。）

测试的时候，IP地址和域名都进进行Ping的测试。

客户端加入域很简单：

这里我用的是域管理员来登录，那么除了域管理员外有什么样的权限域账号可以把客户端加入域的呢？

只要属于Domain user组里的用户都可以把客户端加入到域中来，在缺省情况下，域中所有用户都可以把计算机加入域中，加入次数只能加10次。

在ADSI编辑中，我可以证明普通域用户只能加入域10次。

进入到默认的域分区（默认命令上下文）

在域的属性中：我们可以看到Account这个参数里面的值是10。

说明普通域用户只能加入域10次。

加入完成后，输入域用户名和密码（之前已经创建好的）

在企业的实际生产环境中，有些企业对加入域的权限要求非常高，要求只能域管理员才能把计算机加入域，其他普通用户是不可以的。

你要了解的是：

DC安装好后，系统会自动的创建两个默认的组策略对象：

初学者在上位彻底了解组策略之前，建议不要随意更改这两个GPO的设置值，以免影响系统运行。

微软官方定义：

Default Domain Policy：此GPO默认已经被链接到域，因此期设置会被应用到整个域内的所有用户与计算机。

Default Domain Controllers Policy：此GPO默认已经被链接到组织单位Domain controllers，因此期设置会被应用到Domain Controllers内的所有用户与计算机。（Domain controllers内默认的只有域控制器的计算机账户）

按照上面的需求，如何操作配置呢？

我们要更改的组策略，是修改Default Domain Controllers Policy。

原因在于：客户端加入域的本质就是把当前客户端的信息写入到DC的活动目录数据库。

如图所示：本质还是在用户和计算机中的Computers的写入权限。

如图所示：详细标注具体策略配置。

找到将工作站添加到域。

将Domain admins加入到此权限中，不要忘记强制刷新组策略

理论测试：新增一台win10系统客户端，使用域的普通用户加入域操作

如图所示：报错为拒绝访问。

验证了选择修改了组策略后造成的理论。

修改目录还原模式密码

域管理员用户进入到系统之中，利用CMD控制台输入以下命令：

C:\Users\Administrator>ntdsutil

用？号提示找到充值DSRM的书写格式：

再次利用？号来查看修改密码的命令书写格式：这样目录还原模式密码就别修改了。

重置 DSRM 管理员密码: reset password on server 计算机名

域的远程管理

在企业的生产环境中，DC都会存放于冰冷而安全的机房中，当我们需要创建对象或配置DC的时候，则不需要进入机房，直接远程管理。

在大多数初学者看来，都会想到了远程桌面服务和Teamview，这些不做解释！不做解释的原因在于用远程桌面管理AD最主要的还是链接数（默认两个链接数），域管理中有很多部门，需要委派很多人去管理这个账号的创建操作。，所以这里在大型生产环境中不推荐。

推荐方式：使用活动目录的远程管理工具。

实验环境：将win10-1系统加入到域中来，模拟运维人员用笔记本在工位远程管理DC。

必备工具---远程域的管理工具是需要下载和安装的。

下载地址：

https://www.microsoft.com/zh-cn/download/details.aspx?id=7887（这里不做演示，因为既然学习的是win2016的服务器系统，我们搭配的客户端一定是win10.这里我做win10客户端的实验演示）

win10的系统平台下的服务器远程管理工具。

下载到本地开始安装：以管理员的方式进行安装安装速度会有些慢，我们等待一段时间就好了。注意：安装的时候要保证和DC网络通信一定要正常。

重启计算机后，我在Win10系统中打开开始菜单后：发现了安装了很多的活动目录功能。

进入到用户计算机，我就可以进行管理很删除了（前提是你要给这个用户足够的权限。）：是不是很方便呢且不受用户数量限制！

虽然网上有教程可以修改win2016注册表，改变远程用户链接数，我没操作过，涉及版权我觉得这个方法也不是很靠谱的。

我们发现写入的用户也是写到DC中去。

那么你在公网中去远程这台DC（不含VPN），是如何处理呢？还有很多域的知识点下回分享!