1、 - 1 -Active Directory 快速恢复动手实验实 验 手 册1. 实验目的通过动手操作,深入了解 Active Directory 的结构与原理,了解 Active Directory 常见故障现象,掌握 Active Directory 故障排除的工具与方法。2. 实验场景为比较全面地掌握 Active Directory 故障的各种场景,本实验涉及两个域五个服务器,结构如图一所示:图一:Active Directory 故障排除动手实验 实验场景在以上场景中,将分别练习域控制器正常时的功能、各故障现象、故障恢复工具与方法等。- 2 -3. 实验环境配置实验涉及两个域五个服务
2、器。域及服务器具体配置如下: 根域:Nwtraders.msft该域中包括三台服务器,分别为: DC1.Nwtraders.msft IP:10.10.10.1根域中的第一台域控制器。同时具备五个操作主机角色、全局编目 GC功能、以及 DNS 服务功能。 DC2.Nwtraders.msft IP:10.10.10.2根域中的第二台域控制器。同时具有 DNS 服务功能。 Svr3.Nwtraders.msft IP:10.10.10.3根域中的一台普通服务器。 子域:Sales.Nwtraders.msft该域为 Nwtraders.msft 的子域。该域中包括一台服务器 DC4,被配置为该域
3、的域控制器,配置如下: DC4.Sales.Nwtraders.msft IP:10.10.10.4 独立服务器 Svr5Svr5 为一台独立的服务器,不属于任何域。IP:10.10.10.5 其他配置: 管理员 Adminisrator 口令: Pssw0rd 所有服务器的 IP 配置如图二:- 3 -图二:各服务器 IP 配置IP 配置说明:. IP 地址子网 ID 为 10.10.10,主机 ID 与每台服务器主机名的最后一位一致。. 所有服务器的 DNS 同时指向 DC1 和 DC2。 虚拟机配置:该实验在 Microsoft Vitrual PC 2004 虚拟机环境中运行。为保证性
4、能,主机要求 1G 内存,10G 空闲硬盘空间。该实验用到以下虚拟硬盘文件: Win03Base.vhd 所有虚拟机的 Base 文件。 DC1 Hard Disk.vhd DC1 硬盘镜像文件。 DC1.vmc DC1 虚拟机配置文件。 DC2 Hard Disk.vhd DC2 硬盘镜像文件。 DC2.vmc DC2 虚拟机配置文件。 Svr3 Hard Disk.vhd Svr3 硬盘镜像文件。 Svr3.vmc Svr3 虚拟机配置文件。 DC4 Hard Disk.vhd DC4 硬盘镜像文件。 DC4.vmc DC4 虚拟机配置文件。 Svr5 Hard Disk.vhd Svr5
5、 硬盘镜像文件。 Svr5.vmc Svr5 虚拟机配置文件。- 4 -将光盘中的以上文件复制到本地硬盘。双击相应的.vmc 文件,或在Virtual PC Console 控制台中选中相关虚拟机,点击 Start,即可打开虚拟机。打开虚拟机前请确认所有虚拟机已启动 Undo 功能。本实验过程中并不要求同时打开所有 5 个虚拟机。为了保证性能,建议在实验过程中根据实验要求只打开相应的虚拟机。 说明: 本课程以动手实验为主,讲稿仅用于给学员提供实验内容的基本概念和纲要。 本课程共计 6 小时。其中讲解 1 小时,学员操作 5 小时。 关于本课程的任何问题、意见、建议,请与课程设计者联系:Fran
6、kLF- 5 -4. 动手实验实验一:了解 Active Directory 实验目的:了解 Active Directory 正常运行的情况下的功能与现象。实验要求:本实验使用 DC1.nwtraders.msft、DC4.sales.nwtraders.msft、Svr5 三台虚拟机。实验内容:Lab 1.1 浏览域控制器正常安装完成后的状态内 容 操 作 步 骤0. 实验准备 (1) 启动以下三台虚拟机:DC1.nwtraders.msft、DC4.sales.nwtraders.msft、Svr51. 一台 Windows Server 2003 服务器提升为域控制器以后,会自动安装相
7、关管理工具。(1) 以帐户 Administrator、口令 Pssw0rd 登录域控制器 DC1。(2) 点击“开始”-“程序”-“管理工具 ”,查看成功安装“Active Directory 用户和计算机” , “Active Directory 域和信任关系 ”, “Active Directory站点和服务”, “域安全策略”, “域控制器安全策略”。(3) 作为对比,以帐户 Administrator、口令Pssw0rd 登录独立服务器 Svr5。点击“开始”-“程序 ”-“管理工具 ”,可以发现 “本地安全策略”工具。说明一台服务器提升为域控制器后, “本地安全策略”工具被删除。2
8、. 同时,在文件系统中将会产生相关文件夹和文件来存储 Active Directory 数据。(4) 在虚拟机 DC1 中,打开资源管理器。(5) 浏览“C:WINDOWSNTDS”文件夹。(6) 浏览“C:WINDOWSSYSVOL”文件夹。(7) 作为对比,可以发现独立服务器 Svr5 中没有这些文件夹。Lab 1.2 验证操作主机功能内 容 操 作 步 骤- 6 -1. 在正确配置 Active Directory 后,可以成功完成相关功能,如创建/删除 用户、组、组织单位等。(1) 如果对 Active Directory 不太熟悉,可以通过打开“Active Directory 用户
9、和计算机 ”工具进行创建或删除 用户、组、组织单位等操作。2. 由于默认安装时自动配置了操作主机功能,所以可以成功完成创建新域、删除域、等操作。操作主机的概念将在实验四和实验五种详细讨论。该操作作为实验四和实验五的对比实验。以了解正常情况下的现象。(2) 尝试删除 Sales.Nwtraders.msft 域:a) 以帐户 Administrator、口令Pssw0rd 登录域控制器 DC4。b) 在菜单“开始”-“运行”中输入“Dcpromo.exe”,单击“确定”。c) 在“Active Directory 安装向导”中,单击“下一步” 。d) 选中“这个服务器是域中的最后一个域控制器”,
10、点击“下一步” 。e) 输入用户名“administrator”口令“Pssw0rd”,单击“下一步” 。f) 在新口令中连输两次“Pssw0rd”,单击“下一步”。g) 单击“下一步”。h) 可以看到,域控制器卸载正常进行。(3) 尝试增加新域a) 以帐户 Administrator、口令Pssw0rd 登录域控制器 Svr5。b) 在菜单“开始”-“运行”中输入“Dcpromo.exe”,单击“确定”。c) 在“Active Directory 安装向导”中,单击两次“下一步”。d) 选择“新域的域控制器”,单击“下一步” 。e) 选择“在现有域树中的子域 ”,单击“下一步”。f) 在用户
11、名、口令、域中分别输入“administrator”“Pssw0rd”“nwtraders.msft”,单击“ 下一步”。g) 在“父域” 中,输入“nwtraders.msft”,在“子域” 中,输入“Tech”,单击“下一步” 。h) 连续单击“下一步”,直到开始创建子域。i) 可以看到,子域创建正常进行。(4)Lab 1.3 了解全局编录 GC- 7 -内 容 操 作 步 骤1. 全局编录的概念全局编录是存储林中所有 Active Directory 对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完全副本,以及林中所有其他域中所有对象的部分副本。全局编录中包含的所有域对象
12、的部分副本是用户搜索操作中最常使用的部分。作为其架构定义的一部分,这些属性被标记为包含到全局编录中。在全局编录中存储所有域对象的最常搜索的属性,可以为用户提供高效的搜索,而不会以不必要的域控制器参考影响网络性能。在林中的初始域控制器上,会自动创建全局编录。可以向其他域控制器添加全局编录功能,或者将全局编录的默认位置更改到另一个域控制器上。2. 查看和更改全局编录角色。 (1) 以帐户 Administrator、口令 Pssw0rd 登录域控制器 DC1。(2) 点击“开始”-“程序”-“管理工具 ”-“Active Directory 站点和服务”。(3) 依次展开“Active Direc
13、tory 站点和服务”-“Sites”-“Default-First-Site-Name”-“Servers”-“DC1”。(4) 右键点击“DC1”下的“NTDS Settings”,点击快捷菜单的“属性”,打开“NTDS Settings 属性”对话框。(5) 在对话框的“常规”属性页,可以看到“全局编录” 前的复选框被选中。说明 DC1 具有全局编录角色。(6) 可以通过选中或清空此复选框来启用或禁用一台服务器的全局编录角色。(7) 为保证后续实验的正常进行,关闭 DC1。单击 DC1 虚拟机右上角“关闭”按钮,在“Close” 对话框中选择“Turn off and delete ch
14、anges”,单击“OK”,关闭 DC1 虚拟机。(8) 用同样的方法关闭所有打开的虚拟机。- 8 - 9 -实验二:DNS 问题实验目的:本实验了解由于 DNS 配置错误导致的故障现象。实验要求:本实验使用 DC1.nwtraders.msft、Svr3.nwtraders.msft 两台虚拟机。实验内容:Lab 2.1 了解 SRV 记录内 容 操 作 步 骤0 实验准备 (1) 确保作完实验 1.2 后已经以 “Turn off and delete changes”选项关闭了 DC1。(2) 启动DC1.nwtraders.msft、Svr3.nwtraders.msft两台虚拟机。1
15、 Active Directory 的正常运行依赖于DNS。DNS 中的 SRV 记录用于将服务解析为主机名。(1) 以帐户 Administrator、口令 Pssw0rd 登录域控制器 DC1。(2) 点击“开始”-“程序”-“管理工具 ”-“DNS”,打开DNS 管理控制台。 (3) 依次展开“正向查找区域”-“Nwtraders.msft”,可以看到除了常规的“SOA”“NS”“A”记录外,有一系列子节点如“_tcp”,展开次节点,可以看到一系列记录类型为“服务位置 (SRV)”的记录。Lab 2.2 了解 DNS 配置错误的现象内 容 操 作 步 骤1 用户登录、安全设置等大量操作依
16、赖 DNS。此处以设置用户权限为例进行演示。(1) 以帐户 Administrator、口令 Pssw0rd 登录虚拟机 Svr3。(2) 打开 Windows 资源管理器。(3) 右键单击 C:盘下文件夹 Test1,在快捷菜单中选择“属性”,打开 Test1 属性对话框,选择“安全” 属性页。(4) 点击“添加”按钮,打开“ 选择用户、计算机或组”对话框。(5) 可以看到“查找位置”为“Nwtraders.msft”。单- 10 -击“位置” 按钮,打开“ 位置”对话框,可以改变查找位置。(6) 点击“高级”-“立即查找”。(7) 选择任意用户,如“Zhang3”,连击两次“ 确定”。(8
17、) 设置“Zhang3” 为“ 完全控制 ”。单击“取消” ,关闭“属性”对话框。2 如果 DNS 配置错误,可能导致各种故障。此处假设 Svr3 的 DNS 解析指向Internet 上的 DNS 服务器,观察故障现象。(9) 在虚拟机 Svr3 中,点击菜单“ 开始”-“ 设置”-“网络连接”,打开网络连接窗口。(10) 右键点击“本地连接”,选择“属性” ,打开“本地连接 属性”对话框。(11) 选择“Internet 协议(TCP/IP)”,点击“属性按钮”(12) 将“首选 DNS 服务器”和“ 备用 DNS 服务器”分别改为 Internet 上的 DNS 服务器地址:61.134
18、.1.4 和 61.134.1.9。(13) 点击两次“确定”,关闭相关对话框。(14) 在菜单“开始”-“运行”中输入命令 “IPCONFIG /FLUSHDNS”,单击 “确定”。(15) 在“开始” 菜单中选择“ 关机” ,在对话框中选择“重新启动”,重启 Svr3。(16) 重启完成后,以帐户 Administrator、口令Pssw0rd 登录虚拟机 Svr3。(17) 打开 Windows 资源管理器。(18) 右键单击 C:盘下文件夹 Test1,在快捷菜单中选择“属性”,打开 Test1 属性对话框,选择“安全” 属性页。(19) 点击“添加”按钮,打开“ 选择用户、计算机或组
19、”对话框。(20) 可以看到, “查找位置”处为“Svr3”,点击“ 位置”按钮,无法将查找位置设置为“Nwtraders.msft”。(21) 由此可见,由于 DNS 配置错误,将无法导航到 Nwtraders.msft 域。3 以上只演示了 DNS 配置错误的一个极端的例子。但这个例子在许多配置了 Active Directory 同时又通过简单防火墙上 Internet 的企业中却有发生。类似的错误配置还包括使用早期的不支持 SRV 记录的 DNS 服务器、将 DNS 区域设置为不允许动态更新等。此不赘述。(22) 为保证后续实验的正常进行,关闭 Svr3。单击 Svr3 虚拟机右上角“ 关闭”按钮,在“Close”对话框中选择“Turn off and delete changes”,单击“OK”,关闭 Svr3 虚拟机。
