《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

本节书摘来自异步社区《Windows Server 2012活动目录管理实践》一书中的第2章,第2.3节,作者: 王淑江 更多章节内容可以访问云栖社区“异步社区”公众号查看。

2.3 验证第一台域控制器是否成功部署

第一台AD DS域控制器完成后,需要对域控制器进行验证,确认AD DS域服务是否安装成功。

2.3.1 验证“AD DS域服务”
自Windows Server 2008版本发布之后,AD DS域服务成为一个普通的服务,通过“服务”控制台可以查看AD DS域服务运行状态,可以同普通服务一样启动、停止、暂停、重新启动服务,不需要和Windows Server 2008之前的版本一样,只有在重新启动域控制器并进入到“目录还原模式”后,才能维护活动目录服务。

AD DS域服务部署完成后,默认部署2个和AD DS域服务直接相关的服务:Active Directory Domain Services(ADDS)服务和Active Directory Web Services(ADWS)服务,这2个服务默认处于“正在运行”状态。打开“服务”控制台,首先验证AD DS域服务的状态是否正常运行,如图2-36所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

打开其中任何一个服务(例如Active Directory Domain Services)后,服务“启动类型”为“自动”,通过“启动”、“停止”、“暂停”、“恢复”等按钮控制服务的运行,如图2-37所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署https://yqfile.alicdn.com/73ef1a5439a5c1ef4c52a7d6bd8d938aed2bf4b2.png" >

2.3.2 验证“默认容器”
第一台域控制器部署完成后,安装成功的域控制器将创建部分默认容器,例如“Domain Controllers”、“Computers”、“Users”和“ForeignSecurityPrincipals”,如图2-38所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

如果打开“查看”→“高级功能”选项,将显示更多容器,如图2-39所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署https://yqfile.alicdn.com/7bcc8ff12bf5ecfd68c1608c3a19cd837b0356cf.png" >

2.3.3 验证“Domain Controllers”
默认的域控制器管理单元为“Domain Controllers”,包含第一个域控制器(DC),另外还是新域控制器(额外域控制器、只读域控制器)的默认容器。其他域控制器安装后,将自动归并到该组织单位中。

打开“Active Directory 用户和计算机”,显示第一台域控制器已经加入到该组织单位中,同时该计算机作为全局编录服务器(GC),如图2-40所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

打开第一台域控制器属性对话框后,显示当前计算机的详细信息,例如DNS信息、DC类型、所在的站点等,如图2-41所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署https://yqfile.alicdn.com/1586bd502d188a50f884deed57e00efd42a4ff6a.png" >

2.3.4 验证“Default-First-Site-Name”
将服务器提升为域控制器过程中,安装向导自动确定该域控制器属于哪个站点的成员。如果新建域控制器是新林中的第一个域控制器,将创建名称为“Default-First-Site-Name”的默认站点,第一台域控制器成为该站点的第一个成员。

打开“Active Directory站点和服务”控制台,选择“Sites”→“Default-First-Site-Name”→“Servers”选项,显示第一台域控制器已经加入到默认站点中,如图2-42所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

2.3.5 验证“Active Directory 数据库”和“日志文件”
服务器提升为域控制器过程中,“路径”对话框设置Active Directory数据库和日志文件的存储位置,默认位于“%Systemroot%Ntds”文件夹中,其中:

Active Directory 数据库文件“Ntds.dit”,存储域控制器中所有活动目录对象。扩展名“dit”,全称为“Directory Information Tree”,中文直译为“目录信息树”。

事务日志文件“edb.log”。

该文件保存Active Directory操作信息,默认事务日志名为edb.log,每个事务日志文件大小为10MB。

当edb.log写满时被重命名为edbxxxx.log,重新建立一个新日志文件,同时旧日志文件被自动删除。其中xxxx是文件编号,从0001开始逐渐递增。

Active Directory将事务日志写入到内存的同时,将事务日志写到日志文件edb.log。如果系统不正常关机,导致内存尚未写入Active Directory数据库的数据丢失,当开机后系统根据检查点文件edb.chk得知要从事务日志文件edb.log内的哪个数据开始,利用事务日志文件edb.log内的日志记录,将关机前尚未写入Active Directory数据库日志继续写入Active Directory数据库。

检查点文件“edb.chk”,跟踪尚未写入活动目录数据库文件的日志。记录Active Directory数据库文件和内存中Active Directory数据之间的差异,一般此文件用于Active Directory的初始化或还原。

暂存日志文件为“edbtmp.log”。该日志是当前日志文件(Edb.log)填满时的暂时日志。

保留日志文件“edbres00001.jrs”和“edbres00002.jrs”。这2个文件是日志保留文件,仅当含有日志文件的磁盘空间不足时使用。如果当前日志文件填满且由于磁盘剩余空间不足而导致服务器不能创建新的日志文件,服务器将当前内存中的活动目录处理日志写入到两个保留日志文件中然后关闭活动目录。每一个日志文件也是10MB大小。

临时文件“Temp.edb”。该文件在数据库维护时使用,存储维护过程中处理的数据。

打开“文件资源管理器”,查看“%Systemroot%Ntds”文件夹中是否存在名称为“ntds.dit”、“edb.log”、“edbres00001.jrs”、“edbres00002.jrs”等的文件,如图2-43所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

2.3.6 验证“计算机角色”
由于部署网络中第一台有域控制器,也就是根域服务器,所以第一台域控制器的“计算机角色”应该为“PRIMARY”。如果是额外域控制器,“计算机角色”应该为“BACKUP”。

打开“MSDOS命令行”窗口,键入以下命令查看第一台域控制器的计算机角色。

net accounts

命令执行后,显示当前域控制器的计算机角色为“PRIMARY”,如图2-44所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署https://yqfile.alicdn.com/9e919e9ad40edfae450718327ca3c0c88482eba2.png" >

2.3.7 验证系统共享卷“SYSVOL”和“NetLogon”服务
服务器提升为域控制器过程中,“路径”对话框设置Active Directory数据库、日志文件以及系统共享卷的存储位置,系统共享卷默认位于“%Systemroot%SYSVOL”文件夹中。

1.验证活动目录的sysvol文件夹结构
AD DS域服务安装完成后,“%Systemroot%sysvol”目录下将创建名称为“domain”、 “staging”、“stagin areas”、“sysvol”的目录。成功创建的文件结构如图2-45所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署https://yqfile.alicdn.com/844e0c7eb2bb6adbf2d93c8b81d8ba73361572a2.png" >

2.验证系统共享卷“SYSVOL”和“NetLogon”
打开“MSDOS命令行”窗口,键入以下命令查看“SYSVOL”和“NetLogon”是否创建成功。

net share
命令执行后,显示该域控制器中发布的共享,如图2-46所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

登录域控制器或者网络中任何一台客户端计算机,通过“dc”和“dc.book.com”访问发布的系统共享卷“SYSVOL”和“NetLogon”,如图2-47和图2-48所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署https://yqfile.alicdn.com/ab62db7bbabffd1b89ff3b484e9369d04b24f45c.png" >

3.默认域策略和默认域控制器策略
安装过程中,Active Directory 将创建两个标准域策略:“默认域”策略和“默认域控制器”策略(位于%Systemroot%Sysvol‘Domain’Policies 文件夹中)。这些策略显示为以下全局唯一标识符(GUID)。

{31B340-016D-11D204FB9}:表示“默认域”策略

{-11D204fB9}:表示“默认域控制器”策略

通过文件资源管理器打开“%Systemroot%Sysvol‘Domain’Policies 文件夹”文件夹,查看默认策略是否创建成功,如图2-49所示。注意,本例中域名为“book.com”,因此默认域策略的存储位置为“%Systemroot%SYSVOLsysvolbook.comPolicies”。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

4.验证目录服务器
打开“MSDOS命令行”窗口,键入以下命令查看sysvol共享权限。

dcdiag /test:netlogons

命令执行后,显示测试结果。如果正常安装域控制器,将显示测试成功信息,如图2-50所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

2.3.8 验证“SRV记录”
本例中部署的第一台域控制器同时是“集成区域DNS服务器”,即域控制器同时也是DNS服务器,并且安装DNS管理控制台。本例中域名为book.com。

1.验证SRV记录
以管理员身份登录DNS控制台。

第1步,验证“_msdcs.book.com/dc/_sites/Default-First-Site-Name/_tcp”中是否存在域控制器(DC)的SRV资源记录,如图2-51所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署https://yqfile.alicdn.com/8e5c2e4656d8fc82b5692cba9218c5ed72756fa5.png" >

第2步,验证“_msdcs.book.com /dc/_tcp”中是否存在域控制器的SRV资源记录,如图2-52所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

2.查看域控制器的FQDN
打开DNS控制台,选择“_msdcs.book.com”选项,右侧列表中显示域控制器(DC)的别名记录,如图2-53所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

打开别名记录属性对话框,查看域控制器的FQDN名称。本例中,域控制器DC的FQDN名称为“7ec58605-b201-4b-ae-a35933b88ba4._msdcs.book.com”,如图2-54所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署https://yqfile.alicdn.com/3e501627c0ec8db3a3f7ea810936a2ca4783437c.png" >

3.测试域控制器FQDN名称的连通性
打开“MSDOS命令行”窗口,键入以下命令测试使用域控制器的别名记录能否正常连通域控制器。
Ping 7ec58605-b201-4b-ae-a35933b88ba4._msdcs.book.com

命令执行后,显示与域控制器连接结果。成功安装的域控制器将会正常连通,如图2-55所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署https://yqfile.alicdn.com/a8ef247e4d75bb804767176a499d5d39865da95c.png" >

2.3.9 验证FSMO操作主机角色
服务器提升为域控制器过程中,第一台域控制器中将创建五种操作主机角色。

打开“MSDOS命令行”窗口,键入以下命令查询是否成功创建五种操作主机角色。

Netdom query fsmo

命令执行后,显示五种操作主机角色所在的域控制器,如图2-56所示。注意,“Netdom”已经内置,不需要安装其他工具包。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

2.3.10 事件查看器
打开“事件查看器”查看“Active Directory Domain Services(NTDS)”服务和“Active Directory Web Services(ADWS)”服务产生的相关事件,如图2-57和图2-58所示。通过事件验证2个服务是否正常启动。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署https://yqfile.alicdn.com/7f364fb9f6fd300dd7ec5f3f3ce6559dc45bf74b.png" >

2.3.11 安装日志
服务器提升为域控制器过程中的每一个操作,都会记录到日志文件中。日志文件位于“%systemroot%debug”文件夹中,如图2-59所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署

安装过程日志为“DCPROMO.LOG”,打开LOG文件可以查看详细的安装过程,如图2-60所示。


《Windows Server 2012活动目录管理实践》——2.3 验证第一台域控制器是否成功部署https://yqfile.alicdn.com/b43ea09b3e65c879a5cc5fad95bea374ce19ddb1.png" >
上一篇:PAP认证(单向、双向)


下一篇:spring boot 打包war