AD域控服务器的安装步骤

AD域控服务器的安装步骤

原⽂作者：⽂章引录：

⼀、前⾔

1.1 AD 域服务

什么是⽬录（directory）呢？

⽇常⽣活中使⽤的电话薄内记录着亲朋好友的姓名、电话与地址等数据，它就是 telephone directory（电话⽬录）；计算机中的⽂件系统（file system）内记录着⽂件的⽂件名、⼤⼩与⽇期等数据，它就是 file directory（⽂件⽬录）。

如果这些⽬录内的数据能够由系统加以整理，⽤户就能够容易且迅速地查找到所需的数据，⽽ directory service（⽬录服务）提供的服务，就是要达到此⽬的。在现实⽣活中，查号台也是⼀种⽬录；在 Internet 上，百度和⾕歌提供的搜索功能也是⼀种⽬录服务。

Active Directory 域内的 directory database（⽬录数据库）被⽤来存储⽤户账户、计算机账户、打印机和共享⽂件夹等对象，⽽提供⽬录服务的组件就是 Active Directory （活动⽬录）域服务（Active Directory Domain Service，AD DS），它负责⽬录数据库的存储、添加、删除、修改与查询等操作。⼀般适⽤于⼀个局域⽹内。

在 AD 域服务（AD DS）内，AD 就是⼀个命名空间（Namespace）。利⽤ AD，我们可以通过对象名称来找到与这个对象有关的所有信息。

在 TCP/IP ⽹络环境内利⽤ Domain Name System（DNS）来解析主机名与 IP 地址的对应关系，也就是利⽤ DNS 来解析来得到主机的 IP 地址。除此之外，AD 域服务也与 DNS 紧密结合在⼀起，它的域命名空间也是采⽤ DNS 架构，因此域名采⽤ DNS 格式来命名，例如可以将 AD 域的域名命名为 。

1.2 AD域对象与属性

AD 域内的资源以对象（Object）的形式存在，例如⽤户、计算机与打印机等都是对象，⽽对象则通过属性（Attriburte）来描述其特征，也就是说对象本⾝是⼀些属性的集合。例如，创建⼀个账户张三，则必须添加⼀个对象类型（object class）为⽤户的对象（也就是⽤户账户），然后在这个⽤户账户内输⼊张三的姓名、登录账户、电话号码和电⼦邮件等信息，这其中的⽤户账户就是对象，⽽姓名、登录账户等数据就是该对象的属性，张三就是对象类型为⽤户（user）的对象。

1.3 AD 域控制器 DC

AD 域服务（AD DS）的⽬录数据存储在域控制器（Domain Controller，DC）内。⼀个域内可以有多台域控制器，每台域控制器的地位⼏乎是平等的，它们各⾃存储着⼀份⼏乎完全相同的 Active Directory。当在任何⼀台域控制器内添加了⼀个⽤户账户后，此账户默认被创建在此域控制器的 Active Directory，之后会⾃动被复制（replicate）到其他域控制器的 Active Directory，以便让所有域控制器内的 Active Directory 数据都能够同步（synchronize）。

当⽤户在域内某台计算机登录时，会由其中⼀台域控制器根据其 Active Directory 内的账户数据，来审核⽤户输⼊的账户与密码是否正确。如果是正确的，⽤户就可以登录成功；反之，会被拒绝登录。域控制器是由服务器级别的额计算机来扮演的，例如 Windows Server 2012

和 Windows Server 2008 R2 等。

通常，域控制器的 Active Directory 数据库是可以被读写的，除此之外，还有 Active Directory 数据库是只可以读取、不可以被修改的只读域控制器（Read-Only Domain Controller，RODC）。例如，某⼦公司位于远程⽹络，如果安全措施并不像总公司⼀样完备，则可以使⽤RODC。

1.4 LDAP

LDAP（Lightweight Directory Access Protocol），轻量⽬录访问协议，是⼀种⽤来查询与更新 Active Directory 的⽬录服务通信协议。AD 域服务利⽤ LDAP 命名路径（LDAP naming path）来表⽰对象在 AD 内的位置，以便⽤它来访问 AD 内的对象。

LDAP 数据的组织⽅式：

LDAP 名称路径如下：

标识名称（distinguished Name，DN）：它是对象在 Active Directory 内的完整路径，DN 有三个属性，分别是 CN，OU，DC。

DC (Domain Component)：域名组件；

CN (Common Name)：通⽤名称，⼀般为⽤户名或计算机名；

OU (Organizational Unit)：组织单位；

例如，如上⽤户账户，其 DN 为：

CN=张三,OU=Web前端组,OU=软件开发部,DC=moonxy,DC=com

其中 DC（Domain Component）表⽰ DNS 域名中的组件，例如 中的 moonxy 与 com；OU为组织单位（Organization Unit）；CN为通⽤名称（Common Name），⼀般为⽤户名或服务器名。除了DC与OU之外，其他都利⽤CN来表⽰，例如⽤户与计算机对象都属于CN。上述DN表⽰法中的 为域名，软件研发部、Web前端组都是组织单位。此 DN 表⽰账户张三存储

在 \软件研发部\Web前端组路径中。

相对标识名称（Relative Distinguished Name，RDN）：RDN⽤来代表DN完整路径中的部分路径，例如上⾯路径中的 CN=张三与

OU=Web前端组等都是 RDN。

Base DN：LDAP ⽬录树的最顶部就是根，也就是所谓的 "Base DN"，如 "DC=moonxy,DC=com"。

除了 DN 与 RDN 这两个对象名称外，另外还有如下两个名称：

全局唯⼀标识符（Global Unique Identifier，GUID）：GUID 是⼀个128位的数值，系统会⾃动为每个对象指定⼀个唯⼀的GUID。虽然可以改变对象的名称，但是其GUID永远不会改变。

⽤户主体名称（User Principal Name，UPN）：每个⽤户还可以有⼀个⽐DN更短、更容易记忆的 UPN，例如上⾯的张三⾪属于，则其 UPN 可以为 zhangsan@。⽤户登录时所输⼊的账户名最好是 UPN，因为⽆论此⽤户的账户被移动到哪⼀个域，其 UPN 都不会改变，因此⽤户可以⼀直使⽤同⼀个名称来登录。

AD 与 LDAP 的关系：LDAP 是⼀种⽤来访问 AD 数据库的⽬录服务协议，AD DS 会通过 LDAP 名称路径来表⽰对象在 AD 数据库中的位置，以便⽤它来访问 AD 数据库内的对象。LDAP 的名称路径包括有 DN、RDN。

openLDAP（Linux），Active Directory（Microsoft）等是对 LDAP ⽬录访问协议的具体实现，除了实现协议的功能，还对它进⾏了扩展。

1.5 全局编录

虽然在域树内的所有域共享⼀个 Active Directory，但是 Active Directory 数据却分散在各个域内，⽽每个域仅存储该域本⾝的数据。因此，为了让⽤户、应⽤程序能够快速找到位于其他域内的资源，在 AD 域服务器内设计了全局编录（Global Catalog，GC）。

全局编录的数据存储在域控制器内，这台域控制器被称为全局编录服务器，它存储着林内所有域的 AD 内的每个对象。不过只存储对象的部分属性，这些属性都是常⽤来搜索的属性，例如⽤户的电话号码、登录账户名等。全局编录让⽤户即使不知道对象位于哪⼀个域内，仍然可以快速的找到所需的对象。

⽤户登录时，全局编录服务器还负责提供该⽤户所属的通⽤组的信息；⽤户利⽤ UPN 登录时，它会负责提供该⽤户⾪属于哪⼀个域的信