快速搭建ad鑒權伺服器
Ⅰ ad域控伺服器的硬體配置要求
域控伺服器主要做的是登陸驗證授權,即使3000台機器都不會造成很大負載,或者說壓根不存在負載。
300台左右,一台雙核處理器+4G內存的普通PC都行。
這種要啥配置,任意雙核2.0以上處理器(4核心更好)+4G/8G內存。OK。
Ⅱ 跪求高手答疑,我公司要做AD域詳細規劃書,我公司網路環境,建立AD域要求如下:
2. 一定要注冊的,不注冊的話在互聯網上是不合法的。
a,你說的那個什麼東西指向他,那個東西便是DNS,無論是什麼服務,只要你需要和互聯網通信,就必須依靠DNS,然後將公網IP映射到你的域名。
b,並不是內網才安全,如果不是內網的話,你得買很多的公網才能完成那麼多的服務,而成本問題,所以用內網來NAT,DNS就是解析本地的,外面的地址就靠路由器了。
3.這個 網上很多圖文教程
4.用戶策略的話,運行GPEDIT.MSC,在用戶配置的管理模式里根據需求改。
5.這個的話,需要在你的防火牆上面設置規則的,默認防火牆是不允許外網訪問內網。
6,需要啊,只要是加入了域控的主機必須對他們設置允許許可權。
7,不好給你出方案的,因為不知道你是幾台伺服器。
Ⅲ 搭建AD域對伺服器的硬體要求和軟體要求,求高手指教,急急急急急急急急、、、
域控對硬體沒什麼太大的要求,算是對硬體要求最低的了。
只需要裝伺服器版軟體就行了,比如2000 2003 2008,然後設為域控就行了。
100台機器左右的話普通奔4 512M內存 就行,
Ⅳ samba如何加入ad域搭建文件共享
1、安裝所需軟體:
# yum -y install samba samba-client samba-common samba-winbind samba-winbind-clients krb5-workstation ntpdate
2、設置服務自啟動並啟動服務:
# chkconfig smb on
# chkconfig winbind on
# service smb start
# service winbind start
3、修改 /etc/hosts 文件,添加主機對應記錄:
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost localhost.localdomain localhost6 localhost6.localdomain
192.168.2.150 lemon20.contoso.com
4、設置 DNS 地址並與 AD 伺服器同步時間:
# echo "192.168.44.108" >> /etc/resolv.conf
# ntpdate ad.contoso.com
5、設置 Kerberos 票據(可選):
銷毀已經存在的所有票據:
# kdestroy
查看當前是否還存在票據:
# klist klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
生成新的票據,注意域名大寫。
#kinit [email protected] #檢查krb5能否正確請求kerbroes票據
6、以命令方式設置 samba 與 Kerberos,並加入 AD 域:
#authconfig --enablewinbind --enablewins --enablewinbindauth --smbsecurity domain --smbworkgroup=CONTOSO --smbrealm CONTOSO.COM --smbservers=ad.contoso.com --enablekrb5 --krb5realm=CONTOSO.COM --krb5kdc=ad.contoso.com --krb5adminserver=ad.contoso.com --enablekrb5kdcdns --enablekrb5realmdns --enablewinbindoffline --winbindtemplateshell=/bin/bash --winbindjoin=administrator --update --enablelocauthorize --enablemkhomedir --enablewinbinsedefaultdomain
注意命令中的大小寫,此步驟也可以使用 authconfig-tui 完成,加入後會提示No DNS domain configured for pmsamba. Unable to perform DNS Update.
DNS update failed: NT_STATUS_INVALID_PARAMETER ,此警告可以忽略!
7、增加 sudo 許可權(可選):
# visudo
加入下列設置:
%MYDOMAIN//domain/ admins ALL=(ALL) NOPASSWD: ALL
8、確認是否正確加入 AD 域:
查看 AD 的相關信息
# net ads info
# wbinfo -u
#wbinfo -t
#wbinfo -g
#getent passwd
#getent group
#testparm #測試smb.conf是否正確
問題排錯:
Cannot find KDC for requested realm while getting initial credentials dns未正確指向
KDC reply did not match expectations while getting initial credentials 域名不對或者時間不同步
一般檢測會提示:
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
系統認為己設置了「security = ADS」就不必設置「password server =」因為samba會自己認到,可以忽略此警告!
Ⅳ 如何在win server2012搭建域伺服器
首先,打開「伺服器管理器」,點擊「添加功能和角色」。
2
進入「添加角色和功能向導」,檢查到靜態IP地址(為192.168.100.100)已配置完成,管理員帳戶使用的是強密碼和最新的安全更新在實驗中可以忽略,點擊「下一步」。
3
我們在本地運行的物理計算機上安裝,故安裝類型選擇第一項「基於角色或基於功能的安裝」。
4
伺服器選擇伺服器池中的本地伺服器「dc」。
5
伺服器角色中確保已安裝了「DNS伺服器」,如果沒有安裝將「DNS伺服器」勾選上。然後勾選上「Active Directory域服務」,同時也在該伺服器上安裝域服務管理工具。
6
在Windows Server 2012 R2上Active Directory域服務的安裝不需要添加額外的功能,直接點擊「下一步」。
確認選擇無誤,點擊「安裝」按鈕開始安裝。
「Active Directory域服務」安裝完成之後,點擊「將此伺服器提升為域控制器」。如果不慎點了「結束」按鈕關閉了向導,也可以在「伺服器管理器」中找到,如圖所示。
進入「Active Directory域服務配置向導」,部署操作選擇「添加新林」並輸入根域名,必須使用允許的 DNS 域命名約定。
創建新林,「域控制器選項」頁將顯示以下選項。
默認情況下,林和域功能級別設置為 Windows Server 2012。
在 Windows Server 2012 域功能級別提供了一個新的功能:「支持動態訪問控制和 Kerberos 保護」的 KDC 管理模板策略具有兩個需要 Windows Server 2012 域功能級別的設置(「始終提供聲明」和「未保護身份驗證請求失敗」)。
Windows Server 2012 林功能級別不提供任何新功能,但可確保在林中創建的任何新域都自動在 Windows Server 2012 域功能級別運行。除了支持動態訪問控制和 Kerberos 保護之外,Windows Server 2012 域功能級別不提供任何其他新功能,但可確保域中的任何域控制器都能運行 Windows Server 2012。
超過功能級別時,運行 Windows Server 2012 的域控制器將提供運行早期版本的 Windows Server 的域控制器不提供的附加功能。例如,運行 Windows Server 2012 的域控制器可用於虛擬域控制器克隆,而運行早期版本的 Windows Server 的域控制器則不能。
創建新林時,默認情況下選擇 DNS 伺服器。林中的第一個域控制器必須是全局目錄 (GC) 伺服器,且不能是只讀域控制器 (RODC)。
需要目錄服務還原模式 (DSRM) 密碼才能登錄未運行 AD DS 的域控制器。指定的密碼必須遵循應用於伺服器的密碼策略,且默認情況下無需強密碼;僅需非空密碼。總是選擇復雜強密碼或首選密碼。
安裝 DNS 伺服器時,應該在父域名系統 (DNS) 區域中創建指向 DNS 伺服器且具有區域許可權的委派記錄。委派記錄將傳輸名稱解析機構和提供對授權管理新區域的新伺服器對其他 DNS 伺服器和客戶端的正確引用。由於本機父域指向的是自己,無法進行DNS伺服器的委派,不用創建 DNS 委派。
確保為域分配了NetBIOS名稱。
「路徑」頁可以用於覆蓋 AD DS 資料庫、資料庫事務日誌和 SYSVOL 共享的默認文件夾位置。默認位置始終位於 %systemroot% 中,保持默認即可。
「審查」 選項頁可以用於驗證設置並確保在開始安裝前滿足要求。這不是停止使用伺服器管理器安裝的最後一次機會。此頁只是讓你先查看和確認設置,然後再繼續配置。
此頁面上顯示的一些警告包括:
運行 Windows Server 2008 或更高版本的域控制器具有一個用於「允許執行兼容 Windows NT 4 加密演算法」的默認設置,在建立安全通道會話時它可以防止加密演算法減弱。
無法創建或更新 DNS 委派。
點擊「安裝」按鈕開始安裝。
安裝完畢之後系統會自動重啟,重啟之後將以域管理員的身份登錄,到此,域控制器配置完畢。
Ⅵ AD伺服器與DNS伺服器
現在你想更換一台AD,
正常的步驟是這樣:
1、添加一台機器。安裝好windows server系統,打好補丁。
2、加入到現有域,dcpormo提升為域控。
3、將原先的DC上的功能全部轉移到這台DC上,主要的有:FSMO角色,GC功能。DNS設置成AD集成,DHCP功能。
4、完成後將原因DC,dcpromo降級,成主成員伺服器。新的域控伺服器DNS伺服器設置成本機IP,DHCP上將首先DNS伺服器設置成新的。或者將這台DCIP改成將要替換的。原先的關機。
5、這個正常的步驟。
————————————————————————————
如果按照你的做法。除非人的環境,只有5台客戶機,一般沒那麼做的。完全建立一個域,所以客戶機需要重新加入域,重新設定。
通常我們的域有2台以上的DC才為合理。
參考:
http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/addomcon.mspx?pf=true
http://www.winsvr.org/bbs/index.php?showtopic=4292
Ⅶ 用vm虛擬機做ad域試驗
你說的詳細配置是指的什麼?IP?
第一:先要規劃好網路;
第二;再搭建好域控伺服器;
第三:客戶端和伺服器通訊正常:虛擬機VM1,VM2,VM3位於同一個物理虛擬網段;
下面是邏輯網路:
VM1是域控伺服器:
IP:172.16.248.253,
子網掩碼:255.255.255.0,
網關:172.16.248.254
DNS:172.16.248.253
VM2:
IP:172.16.248.1
子網:255.255.255.0
網關:172.16.248.253
DNS:172.16.248.253
VM3:
IP:172.16.248.2
子網:255.255.255.0
網關:172.16.248.253
DNS:172.16.248.253
倆台電腦用交叉線連接,一台windows2003server
做ad域伺服器,xp做客戶端,怎麼配置
-----同種設備相排斥,所以是交叉線才能相互通訊。同一個網段即可。如果有用交換機就不用交叉線了;