Windows Server 2012 Virtualization: Dominio

  
        

En los sistemas Windows Server, algunos servicios deben estar integrados en un entorno de dominio, no solo para la autenticación unificada y el uso compartido de recursos, sino también para la seguridad de la red. Para construir una prueba de virtualización, primero debemos crear un entorno de dominio. Echemos un vistazo al dominio antes.

Cuando se trabaja con un grupo de trabajo, la computadora es relativamente independiente. El grupo de trabajo es solo una forma de clasificar las computadoras en la red. Cuando no está en un grupo de trabajo, el acceso a los recursos de la red tiene poco efecto. El grupo de trabajo es como un estacionamiento gratuito que permite la entrada y salida gratuitas. Es como unirse a un grupo de trabajo, por lo que puede estacionarse en la Zona A o detenerse en la Zona B. Si se detiene en la Zona A, formará una combinación con otros autos en la Zona A.

Al usar un dominio de Windows (Dominio), el dominio está estrictamente organizado, la computadora se une al dominio y usa una cuenta de dominio para iniciar sesión y acceder a ciertos recursos compartidos. Al menos un controlador de dominio (DC) en el dominio es responsable de la verificación de la computadora y del usuario. El dominio es como un estacionamiento pagado, que requiere la verificación de la tarjeta para entrar y salir (puede tener más de un control de acceso, DC), pero después de pasar la verificación, puede usar las instalaciones compartidas en el interior, incluso otros autos. Por ejemplo, si su computadora inicia sesión con éxito usando una cuenta de dominio con privilegios de administrador, puede usar esta cuenta de dominio para iniciar sesión en Sql Server en otras computadoras en el mismo dominio, entonces ya no podrá usar la cuenta sa. Por supuesto, una computadora unida al dominio no significa que solo puede permanecer en el dominio. Si simplemente inicia sesión con una cuenta local en lugar de una cuenta de dominio, la computadora no es diferente del grupo de trabajo. En general, su automóvil puede estacionarse en un estacionamiento pago o estacionarse en un estacionamiento gratuito a menos que haya restricciones especiales en el automóvil (el uso de la Política de grupo puede restringir que la computadora inicie sesión solo con una cuenta de dominio). Su computadora solo usa una cuenta local para iniciar sesión. Para acceder a Sql Server en otras computadoras, no puede usar la autenticación de Windows, pero aún puede usar la autenticación de SQL Server para iniciar sesión con la cuenta sa.

Primero, la red de prueba del dominio

A continuación, implementamos el dominio en Windows Server 2012, para futuras necesidades, nos referiremos a la red del dominio de conexión como la red de administración y configuraremos la red con los siguientes parámetros . En la figura, dos controladores de dominio están configurados como copias de seguridad entre sí. Aunque Windows Server 2003 no distingue entre el control de dominio principal y el control de dominio de copia de seguridad, la función de los controladores de dominio es algo diferente debido a la existencia objetiva de las funciones de host. Decir



En segundo lugar, configure el controlador de dominio

Instalar el controlador de dominio (DC) en Windows Server es una cuestión simple. Pero antes de la instalación, necesita confirmar algunas cosas: si la cuenta de inicio de sesión tiene derechos de administrador local, si el sistema operativo lo admite, si TCP /IP está configurado correctamente, si el disco tiene partición NTFS y espacio suficiente para almacenar la base de datos de Active Directory (AD), el servidor DNS. Ya sea para apoyar y así sucesivamente. Además, es mejor modificar el nombre de la computadora por adelantado y reiniciarlo para evitar el problema de modificar el nombre del controlador de dominio después de la instalación.

Windows Server 2008 y versiones posteriores pueden instalar los Servicios de dominio de Active Directory (AD DS) como una función y promocionarlo a un controlador de dominio. En Windows Server 2008, también puede usar el comando dcpromo para ejecutar y actualizar los servicios de dominio de AD a los controladores de dominio. Sin embargo, el comando dcpromo en Server 2012 no es compatible. Por lo tanto, después de instalar el servicio de dominio de AD en el modo de rol, puede encontrar el enlace para promover el controlador de dominio en el indicador de eventos en la interfaz de administración del servidor.

Los pasos para instalar un controlador de dominio no se describen aquí. Hay muchas páginas web en la red que se han descrito en detalle, pero la configuración del dominio necesita saber más sobre lo siguiente:

1. Dominio de bosque, árbol, dominio y secundario

Estos nombres han explicado muy vívidamente la relación entre ellos, pero se debe tener en cuenta que: El primer dominio que establecimos es el dominio raíz, que también establece el primer árbol de dominio y el primer bosque. Por lo tanto, este dominio raíz es tanto el dominio raíz del bosque como el dominio raíz, por lo que se establece en la red. Cuando se crea un dominio nuevo, en realidad es un nuevo bosque. No elija el equivocado al configurar el control de dominio. El dominio raíz también es un dominio, pero el estado es especial. Solo hay un dominio de raíz de bosque en un bosque, pero puede haber varios dominios de raíz de árbol. La raíz y los subdominios con un espacio de nombres común forman el árbol del dominio, y los árboles de dominio con diferentes espacios de nombres forman el bosque. El nombre del árbol de dominio es el mismo que el primer dominio, y el nombre del bosque es el mismo que el primer árbol de dominio, y el mismo que el primer dominio. Por lo tanto, la elección del nombre de dominio es muy importante. Es posible modificar el nombre de dominio después de configurar el dominio, pero existe un gran riesgo después de todo.

Como se muestra a continuación, creamos dos bosques de acuerdo con las reglas del artículo Asignación del nombre de dominio de la raíz del bosque. Si su organización tiene dos nombres de dominio genéricos, uno para Internet externo, como la página de inicio del sitio web de la organización, el otro puede usarse para organizar la red interna como el nombre del bosque (el nombre del primer dominio), por lo que El bosque será similar al bosque x.com en el lado izquierdo de la imagen de abajo. Si solo tiene un nombre de dominio común, por el bien de interno y externo, puede crear un nombre de dominio de segundo nivel para la red interna como el nombre del bosque. El bosque así creado será similar al bosque cloud.z.com en el lado derecho de la figura siguiente. El nombre de dominio genérico se usa para facilitar el establecimiento de confianza entre el bosque y el bosque, pero si se puede usar en la prueba cualquier nombre que se ajuste a la regla del nombre de dominio, nuestro entorno experimental usará cloud.z.com como nombre del bosque.


2, servidor DNS, servidor de catálogo global (GC) y controlador de dominio de solo lectura (RODC)

Durante el proceso de control del dominio de configuración, encontrará estas opciones. Opciones: Servicio DNS, Servidor de catálogo global (GC) y Controlador de dominio de solo lectura (RODC)

  • El servidor DNS es el servidor de nombres de dominio. La resolución de nombres como computadoras y clusters en el dominio requiere el soporte de servicios DNS. El dominio de establecimiento debe proporcionar servicios DNS en el dominio. Si se selecciona el servidor DNS durante el proceso de configuración del dominio, la máquina se configurará como un servidor DNS (el programa de configuración detectará la infraestructura DNS actual para determinar si el servicio DNS está verificado de forma predeterminada).
  • El Catálogo global (GC) puede entenderse como un caché global de solo lectura en el bosque, que almacena todos los atributos de todos los objetos del dominio en el bosque y algunos atributos de todos los objetos en otros dominios. " La catalogación global permite a los usuarios buscar información de directorio en todos los dominios del bosque, independientemente de dónde se almacenen los datos. La búsqueda se realizará en el bosque con la velocidad máxima y el tráfico de red mínimo. " Si verifica el servidor de catálogo global en la configuración, este controlador de dominio se convertirá en un servidor de catálogo global al mismo tiempo.
  • controlador de dominio de solo lectura (RODC). " Controlador de dominio de solo lectura (RODC) es un nuevo tipo de controlador de dominio en el sistema operativo Windows Server 2008. Con RODC, las organizaciones pueden implementar fácilmente controladores de dominio en ubicaciones donde la seguridad física no está garantizada. El RODC aloja una partición de solo lectura de la base de datos de Servicios de dominio de Active Directory (AD DS). " " La seguridad física insuficiente es la razón más común para considerar la implementación de RODC. RODC proporciona una manera de implementar controladores de dominio de forma más segura en ubicaciones que requieren servicios de autenticación rápidos y confiables, pero que no garantizan la seguridad física de los controladores de dominio de escritura. "

    3, base de datos AD, archivos de registro y carpeta SYSVOL

    Active Directory usa una base de datos basada en archivos, el motor de la base de datos se basa en el motor de almacenamiento extensible (ESE) desarrollado por JET, también Llamado azul JET. Se planea que JET Blue actualice el motor de base de datos JET Rojo de Access, pero se usa en otros productos de Microsoft como AD, WINS, Exchange Server, etc. ESE tiene la capacidad de escalar hasta 16 TB de capacidad y acomodar 1 billón de objetos. Todos los archivos relacionados en la base de datos están en la carpeta% systemroot% \\ ntds \\ de manera predeterminada, incluyendo:

  • ntds.dit archivo de base de datos. Interesado en revisar el archivo de base de datos de Active Directory NTDS.DIT ​​para más detalles.


  • edb.chk checkpoint file. Las adiciones y eliminaciones a la base de datos, el archivo de punto de control registra la finalización de la transacción antes de confirmar la actualización a la base de datos, y envía la actualización del archivo de registro a la base de datos si la transacción se completa.
  • edb.log y edbxxxxx.log son archivos de registro. Cada archivo de registro es de 10 MB. Después de que se llene el archivo edb.log, se cambiará su nombre a edbxxxxx.log, y el número del nombre del archivo aumentará. Las adiciones, eliminaciones y cambios en la base de datos se escriben en el archivo de registro para el procesamiento de transacciones.
  • edbresxxxxx.jrs mantiene los archivos para el registro. Tome espacio en el disco para los archivos de registro, solo si el archivo del disco no tiene espacio en el disco.
  • edbtmp.log Archivo de registro temporal. Cuando se llena el edb.log actual, edbtmp.log se crea para continuar el registro, mientras que el edb.log actual se cambia a edbxxxxx.log, y edbtmp.log se cambia a edb.log.
  • Copyright © Conocimiento de Windows All Rights Reserved