快速搭建ad鉴权服务器
Ⅰ ad域控服务器的硬件配置要求
域控服务器主要做的是登陆验证授权,即使3000台机器都不会造成很大负载,或者说压根不存在负载。
300台左右,一台双核处理器+4G内存的普通PC都行。
这种要啥配置,任意双核2.0以上处理器(4核心更好)+4G/8G内存。OK。
Ⅱ 跪求高手答疑,我公司要做AD域详细规划书,我公司网络环境,建立AD域要求如下:
2. 一定要注册的,不注册的话在互联网上是不合法的。
a,你说的那个什么东西指向他,那个东西便是DNS,无论是什么服务,只要你需要和互联网通信,就必须依靠DNS,然后将公网IP映射到你的域名。
b,并不是内网才安全,如果不是内网的话,你得买很多的公网才能完成那么多的服务,而成本问题,所以用内网来NAT,DNS就是解析本地的,外面的地址就靠路由器了。
3.这个 网上很多图文教程
4.用户策略的话,运行GPEDIT.MSC,在用户配置的管理模式里根据需求改。
5.这个的话,需要在你的防火墙上面设置规则的,默认防火墙是不允许外网访问内网。
6,需要啊,只要是加入了域控的主机必须对他们设置允许权限。
7,不好给你出方案的,因为不知道你是几台服务器。
Ⅲ 搭建AD域对服务器的硬件要求和软件要求,求高手指教,急急急急急急急急、、、
域控对硬件没什么太大的要求,算是对硬件要求最低的了。
只需要装服务器版软件就行了,比如2000 2003 2008,然后设为域控就行了。
100台机器左右的话普通奔4 512M内存 就行,
Ⅳ samba如何加入ad域搭建文件共享
1、安装所需软件:
# yum -y install samba samba-client samba-common samba-winbind samba-winbind-clients krb5-workstation ntpdate
2、设置服务自启动并启动服务:
# chkconfig smb on
# chkconfig winbind on
# service smb start
# service winbind start
3、修改 /etc/hosts 文件,添加主机对应记录:
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost localhost.localdomain localhost6 localhost6.localdomain
192.168.2.150 lemon20.contoso.com
4、设置 DNS 地址并与 AD 服务器同步时间:
# echo "192.168.44.108" >> /etc/resolv.conf
# ntpdate ad.contoso.com
5、设置 Kerberos 票据(可选):
销毁已经存在的所有票据:
# kdestroy
查看当前是否还存在票据:
# klist klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
生成新的票据,注意域名大写。
#kinit [email protected] #检查krb5能否正确请求kerbroes票据
6、以命令方式设置 samba 与 Kerberos,并加入 AD 域:
#authconfig --enablewinbind --enablewins --enablewinbindauth --smbsecurity domain --smbworkgroup=CONTOSO --smbrealm CONTOSO.COM --smbservers=ad.contoso.com --enablekrb5 --krb5realm=CONTOSO.COM --krb5kdc=ad.contoso.com --krb5adminserver=ad.contoso.com --enablekrb5kdcdns --enablekrb5realmdns --enablewinbindoffline --winbindtemplateshell=/bin/bash --winbindjoin=administrator --update --enablelocauthorize --enablemkhomedir --enablewinbinsedefaultdomain
注意命令中的大小写,此步骤也可以使用 authconfig-tui 完成,加入后会提示No DNS domain configured for pmsamba. Unable to perform DNS Update.
DNS update failed: NT_STATUS_INVALID_PARAMETER ,此警告可以忽略!
7、增加 sudo 权限(可选):
# visudo
加入下列设置:
%MYDOMAIN//domain/ admins ALL=(ALL) NOPASSWD: ALL
8、确认是否正确加入 AD 域:
查看 AD 的相关信息
# net ads info
# wbinfo -u
#wbinfo -t
#wbinfo -g
#getent passwd
#getent group
#testparm #测试smb.conf是否正确
问题排错:
Cannot find KDC for requested realm while getting initial credentials dns未正确指向
KDC reply did not match expectations while getting initial credentials 域名不对或者时间不同步
一般检测会提示:
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
系统认为己设置了“security = ADS”就不必设置“password server =”因为samba会自己认到,可以忽略此警告!
Ⅳ 如何在win server2012搭建域服务器
首先,打开“服务器管理器”,点击“添加功能和角色”。
2
进入“添加角色和功能向导”,检查到静态IP地址(为192.168.100.100)已配置完成,管理员帐户使用的是强密码和最新的安全更新在实验中可以忽略,点击“下一步”。
3
我们在本地运行的物理计算机上安装,故安装类型选择第一项“基于角色或基于功能的安装”。
4
服务器选择服务器池中的本地服务器“dc”。
5
服务器角色中确保已安装了“DNS服务器”,如果没有安装将“DNS服务器”勾选上。然后勾选上“Active Directory域服务”,同时也在该服务器上安装域服务管理工具。
6
在Windows Server 2012 R2上Active Directory域服务的安装不需要添加额外的功能,直接点击“下一步”。
确认选择无误,点击“安装”按钮开始安装。
“Active Directory域服务”安装完成之后,点击“将此服务器提升为域控制器”。如果不慎点了“结束”按钮关闭了向导,也可以在“服务器管理器”中找到,如图所示。
进入“Active Directory域服务配置向导”,部署操作选择“添加新林”并输入根域名,必须使用允许的 DNS 域命名约定。
创建新林,“域控制器选项”页将显示以下选项。
默认情况下,林和域功能级别设置为 Windows Server 2012。
在 Windows Server 2012 域功能级别提供了一个新的功能:“支持动态访问控制和 Kerberos 保护”的 KDC 管理模板策略具有两个需要 Windows Server 2012 域功能级别的设置(“始终提供声明”和“未保护身份验证请求失败”)。
Windows Server 2012 林功能级别不提供任何新功能,但可确保在林中创建的任何新域都自动在 Windows Server 2012 域功能级别运行。除了支持动态访问控制和 Kerberos 保护之外,Windows Server 2012 域功能级别不提供任何其他新功能,但可确保域中的任何域控制器都能运行 Windows Server 2012。
超过功能级别时,运行 Windows Server 2012 的域控制器将提供运行早期版本的 Windows Server 的域控制器不提供的附加功能。例如,运行 Windows Server 2012 的域控制器可用于虚拟域控制器克隆,而运行早期版本的 Windows Server 的域控制器则不能。
创建新林时,默认情况下选择 DNS 服务器。林中的第一个域控制器必须是全局目录 (GC) 服务器,且不能是只读域控制器 (RODC)。
需要目录服务还原模式 (DSRM) 密码才能登录未运行 AD DS 的域控制器。指定的密码必须遵循应用于服务器的密码策略,且默认情况下无需强密码;仅需非空密码。总是选择复杂强密码或首选密码。
安装 DNS 服务器时,应该在父域名系统 (DNS) 区域中创建指向 DNS 服务器且具有区域权限的委派记录。委派记录将传输名称解析机构和提供对授权管理新区域的新服务器对其他 DNS 服务器和客户端的正确引用。由于本机父域指向的是自己,无法进行DNS服务器的委派,不用创建 DNS 委派。
确保为域分配了NetBIOS名称。
“路径”页可以用于覆盖 AD DS 数据库、数据库事务日志和 SYSVOL 共享的默认文件夹位置。默认位置始终位于 %systemroot% 中,保持默认即可。
“审查” 选项页可以用于验证设置并确保在开始安装前满足要求。这不是停止使用服务器管理器安装的最后一次机会。此页只是让你先查看和确认设置,然后再继续配置。
此页面上显示的一些警告包括:
运行 Windows Server 2008 或更高版本的域控制器具有一个用于“允许执行兼容 Windows NT 4 加密算法”的默认设置,在建立安全通道会话时它可以防止加密算法减弱。
无法创建或更新 DNS 委派。
点击“安装”按钮开始安装。
安装完毕之后系统会自动重启,重启之后将以域管理员的身份登录,到此,域控制器配置完毕。
Ⅵ AD服务器与DNS服务器
现在你想更换一台AD,
正常的步骤是这样:
1、添加一台机器。安装好windows server系统,打好补丁。
2、加入到现有域,dcpormo提升为域控。
3、将原先的DC上的功能全部转移到这台DC上,主要的有:FSMO角色,GC功能。DNS设置成AD集成,DHCP功能。
4、完成后将原因DC,dcpromo降级,成主成员服务器。新的域控服务器DNS服务器设置成本机IP,DHCP上将首先DNS服务器设置成新的。或者将这台DCIP改成将要替换的。原先的关机。
5、这个正常的步骤。
————————————————————————————
如果按照你的做法。除非人的环境,只有5台客户机,一般没那么做的。完全建立一个域,所以客户机需要重新加入域,重新设定。
通常我们的域有2台以上的DC才为合理。
参考:
http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/addomcon.mspx?pf=true
http://www.winsvr.org/bbs/index.php?showtopic=4292
Ⅶ 用vm虚拟机做ad域试验
你说的详细配置是指的什么?IP?
第一:先要规划好网络;
第二;再搭建好域控服务器;
第三:客户端和服务器通讯正常:虚拟机VM1,VM2,VM3位于同一个物理虚拟网段;
下面是逻辑网络:
VM1是域控服务器:
IP:172.16.248.253,
子网掩码:255.255.255.0,
网关:172.16.248.254
DNS:172.16.248.253
VM2:
IP:172.16.248.1
子网:255.255.255.0
网关:172.16.248.253
DNS:172.16.248.253
VM3:
IP:172.16.248.2
子网:255.255.255.0
网关:172.16.248.253
DNS:172.16.248.253
俩台电脑用交叉线连接,一台windows2003server
做ad域服务器,xp做客户端,怎么配置
-----同种设备相排斥,所以是交叉线才能相互通讯。同一个网段即可。如果有用交换机就不用交叉线了;