Server 2016部署AD活动目录安装搭建使用灾备恢复

Posted 2022-03-08 最爱大苹果

本文章最大程度还原企业的AD域控制器的部署，使用，搭建灾备等过程。适合中小型企业使用AD域控制器进行企业信息化管理。看完及实验约1小时左右，可以使你对AD活动目录有初步的了解。（吐槽下，高清截图放在博客里面，打开浏览就没有那么清晰）

老规矩，介绍走一波。

AD活动目录：

活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。(Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。)Active Directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。Microsoft Active Directory 服务是Windows 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

使用原因：

AD域控制器很多公司都在使用，建立环境了解下。

微软针对计算机及用户账号的管理俩种模式， 一种为工作组称为分散式管理（工作组模式，每台计算机只负责管理本机的账号。）；另一种像AD一样的叫集中式管理。（域环境，所有的账号信息存放于域控制器）。

环境准备：

虚拟机环境：（网络隔离）

1、服务器版本：windows server 2016（标准版）

2、网络地址：192.168.10.10（主域控制器）192.168.10.20（副域控制器）

3、域名：eve.com

4、DNS服务（已安装）

安装步骤记录如下：

​打开Hyper-V管理器​

准备两台服务器

adserver-1

设置静态IP地址（静态地址设置完毕，最好重启服务器）

192.168.10.10

adserver-2

设置静态IP地址（静态地址设置完毕，最好重启服务器）

192.168.10.20

AD搭建步骤记录如下：

​开始菜单​

​服务器管理器​

主域控制器安装（AD1）

添加角色功能

添加角色和功能

下一步

下一步

基于角色或基于功能的安装

下一步

从服务器池中选择服务器

下一步

选择Active Directory域服务

DNS服务器

下一步

下一步

微软有建议至少搭建两个AD域控制器

下一步

安装

如果需要，自动重新启动目标服务器

等待安装

等待安装

完成AD安装

关闭

红旗标志

黄色感叹号

域配置

将此服务器提升为域控制器

添加新林

添加新林

输入根域名

下一步

输入还原密码

下一步

下一步

输入NetBios域名

自动检测

下一步

下一步

新域名：eve.com

鼠标下滑

域管理员信息

域管理员信息与本机管理员信息相同

下一步

安装

安装

自动重启

重启画面

域控制器安装成功

登陆到EVE

说明域控制器已经安装成功

副域控制器安装（AD2）

下面进行安装副域控制器（由于安装步骤与主域控制器步骤一样，如图所示）

开始菜单

服务器管理

添加角色功能（AD2）

添加角色和功能

下一步

下一步

基于角色或基于功能的安装（AD2）

基于角色或基于功能的安装

下一步

下一步

下一步

下一步

下一步

如果需要，自动重新启动目标服务器

等待安装（AD2）

等待安装

关闭

红旗（黄色感叹号）

将此服务器提升为域控制器

将域控制器添加到现有域

域：eve.com

提供此操作所需的凭据

域控管理员的账号信息

确定

下一步

设置还原密码（AD2）

下一步

下一步

任何域控制器

下一步

下一步

下一步

查看摘要信息

下一步

下一步

安装

正在检查域升级状态

等待安装

添加失败

原因是我克隆了一个windows server 2016

SID相同

报错信息（微软建议该服务器运行sysprep，重新生成新SID信息）

重新来

安装完毕之后，自动重启电脑

实验验证：

AD域控可以进行创建用户，设置分组，设置组策略等等操作

1、在ad1上创建ou

2、在ad2上查看ou

查看ou

右键

新建

新建用户

用户

下一步

输入密码

完成

AD域控常用功能

右键

属性

常用的有三个选项卡

常规

账户

可以设定账号的过期时间

隶属于

设置权限

在创建了用户之后，普通域用户尝试并不能进行登陆，提示请添加远程登陆权限。

开始菜单

windows管理工具

本地安全策略

本地安全策略

本地策略

用户权限分配

允许通过远程桌面服务登陆

添加用户或组

domain users

新建

组

确定

右键

属性

成员

检查名称

确定

应用

确定

工具

组策略管理

林

域

default domain policy（右键）

编辑

计算机配置

策略

windows设置

安全设置

账户策略

密码策略

使用步骤记录如下：

主域控制器DNS配置

DNS

右键服务器

DNS管理器

正向查找区域

新建区域

下一步

主要区域

在active directory 中存储区域（只有DNS服务器是可写域控制器时才可用）

下一步

下一步

下一步

下一步

完成

转发器

右键

属性

编辑

输入dns地址

确定

应用

确定

cmd

gpupdate /force

以上是关于Server 2016部署AD活动目录安装搭建使用灾备恢复的主要内容，如果未能解决你的问题，请参考以下文章

PowerShell部署Server2016AD服务

PowerShell部署Server2016AD服务

Windows server 2016 部署AD（Windows 域）

AD活动目录安装

Windows server 2016 搭建域控

windows server 2016 搭建DNCP服务