博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
6436B Lab13 设计和实现域的重构
阅读量:5861 次
发布时间:2019-06-19

本文共 6007 字,大约阅读时间需要 20 分钟。

共2个练习

练习1:设计一个域重构。

练习2:实现一个域重构。

实验场景:

  Contoso.com的DC为HQDC1,操作系统为Windows Server 2008 R2,IP地址为192.168.1.1,DNS指向自身。

  Adatum.com的DC为AD-DC1,操作系统为Windows Server 2003,IP地址为192.168.1.201,DNS指向自身。

  实验的目标是将Adatum.com迁移到指定的子域 EU.contoso.com 。已经为该子域准备了一台名为HQDC2的服务器作为子域的DC,操作系统为Windows Server 2008 R2,IP地址为192.168.1.2,DNS指向自身。

 

练习1:设计一个域重构

任务1:设计一个域重构

问:在EU.contoso.com与Adatum.com之间,你将执行哪种类型的重构?

答:由于两个域位于独立的林,因此需要执行林间重构(interforest restructure)。

 

任务2:创建一个域重构计划

问:哪些对象应被从Adatum.com中移动?为什么?

答:(1)Adatum.com域中的所有的用户和组对象都应被移动到EU.contoso.com,除了位于Users容器的内置的(built-in)用户和组。内置的组只针对于Adatum.com域,没有必要转移到新域。

(2)Adatum.com域中的计算机对象应被移到到EU.contoso.com。但是DC,例如AD-DC1不能被移动,因为它当前是运行在Windows Server 2003操作系统,但EU.contoso.com的域功能级别为Windows Server 2008 R2,这个域功能级别不允许Windows Server 2003计算机作为DC。

问:你将在新域中怎样放置这些对象?

答:由于设计为OU对OU的映射,两个域之间的OU结构不直接匹配。最佳的管理方法是将Adatum.com的所有用户和组对象都移动到EU.contoso.com的某一个OU中,在迁移完成之后再考虑在新域中吸收旧域的OU结构。旧域的计算机对象应位于新域中的Computers容器,而旧域的DC则将退役。

 

练习2:实现一个域重构

任务1:准备域环境

1、 在目的域中配置DNS转发

  转到HQDC2服务器,打开“管理工具”中的“DNS”,配置DNS转发。

  

 

2、在源域中配置DNS转发 

  转到AD-DC1服务器,打开“管理工具”中的“DNS”,配置DNS转发。

 

 

3、验证源域的域功能级别

  转到AD-DC1,打开“管理工具”中的“Active Directry域和信任关系”,验证域功能级别为Windows Server 2003。 

 

4、配置双向信任

  转到HQDC2,打开“管理工具”中的“Active Directory域和信任关系,为两个域之间添加双向信任。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5、为执行迁移的帐户配置管理权限 

  转到HQDC2服务器,打开“管理工具”中的“Active Directory用户和计算机”,修改内置的Administrators组的属性。 

 

 

 

 

 

 

  再转到AD-DC1服务器,参照上面的步骤,为Adatum\Administrators组添加成员。

 

  再转到需要迁移的计算机,例如Adatum\AdatumPC1,为本地管理员组添加成员。 

说明:当这个计算机对象的帐户迁入新域后,这台计算机将通过代理程序自动加入域并重启。

6、为密码SID历史迁移启用审核

  分别在HQDC2和AD-DC1服务器上修改Default Domain Policy。

 

 

 

  修改了默认的域的组策略之后,在命令提示符下面运行:gpupdate /force

7、创建一个本地组用于支持审核

  说明:本步骤以及下一步骤的官方解释请见

  转到AD-DC1服务器,打开“管理工具”中的“Active Directory用户和计算机”,在Users容器中创建一个名为“Adatum$$$”的本地域组。其中 Adatum 为源域的 NetBIOS 名称。

  注意:请不要向此组添加成员;如果添加成员,则 SID 历史迁移将失败。

8、启用TCP/IP客户端支持

  转到AD-DC1服务器(此操作要求在源域中担任 PDC 仿真FSMO的DC上进行操作),在命令提示符下面运行:regedit

  编辑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LAS,新建一个数据类型为REG_DWORD 的注册表项 TcpipClientSupport,将其值设置为 1

9、在已有的域信任上禁用SID过滤 

  转到HQDC2,在命令提示符下面运行: 

C:\Users\Administrator>Netdom trust EU.contoso.com /domain:Adatum.com /quarantine:No /userD:Administrator /passwordD:*

键入与域用户相关联的密码:

已为此信任启用 SID 筛选功能。身份验证期间返回的授权数据

将只接受来自受信域的 SID。
其他域的 SID 将被删除。

命令成功完成。

10、为导入的用户和组对象创建OU 

  转到HQDC2服务器,打开“管理工具”中的“Active Directory用户和计算机”,新建一个名为“Adatum”的OU。

 

任务2:安装和配置ADMT

  转到HQDC2服务器,安装SQL Server 。

  ADMT需要使用Microsoft SQL Server数据库。建议使用Microsoft SQL Server 2005 Express sp3。如果使用SQL Server 2008 R2数据库时,可能出现以下的错误。

   安装方法请参考《安装SQL Server Express版本》

  Active Directory 迁移工具(ADMT)提供集成的工具集以便在 Active Directory 域服务基础结构中执行迁移和重构任务。Windows Server 2008 R2操作系统的计算机上要求安装v3.2版本。官网下载地址

  安装了SQL Server之后,安装ADMT v3.2 

  

  

  

  

  

  

 

任务3:迁移用户和组对象

  转到HQDC2服务器,打开“管理工具”中的“Active Directory迁移向导”。 

  

  

  

  

  

  

  

  

  

  

  

  说明:选择生成复杂密码选项,将在指定的位置生成密码文件。例如:

  

  

  

  

  

  

  

 

任务4:验证旧域中过渡的访问权限

  转到HQDC2,打开“管理工具”中的“Active Directory用户和计算机”,展开EU.contoso.com\Adatum这个OU,为用户AdatumUser1重设密码。

 

  然后仍以Adatum\AdatumUser1帐户以及新密码登录到AdatumPC1计算机。

 

任务5:迁移服务器和ACL

  转到HQDC2服务器,打开“管理工具”中的“Active Directory迁移向导”。 

  

  

  

  

  

  

  

  

  

  

  

  

  

  

  

  完成迁移之后,可以启动代理并运行操作。

 

  转到客户端计算机AdatumPC1,登录后将出现如下提示。 

 

  关闭代理。 

 

任务6:验证迁移后的计算机的访问权限

  以EU\AdatumUser1登录到客户端计算机AdatumPC1,检查权限设定。 

 

(附加)任务7:检查对象的详细信息

1、使用LDP检查EU\AdatumUser1的信息

Expanding base 'CN=AdatumUser1,OU=Adatum,DC=EU,DC=contoso,DC=com'...
Getting 1 entries:
Dn: CN=AdatumUser1,OU=Adatum,DC=EU,DC=contoso,DC=com
accountExpires: 0 (never);
badPasswordTime: 2012/12/20 16:40:57 中国标准时间;
badPwdCount: 0;
cn: AdatumUser1;
codePage: 0;
countryCode: 0;
displayName: AdatumUser1;
distinguishedName: CN=AdatumUser1,OU=Adatum,DC=EU,DC=contoso,DC=com;
dSCorePropagationData: 0x0 = (  );
instanceType: 0x4 = ( WRITE );
lastLogoff: 0 (never);
lastLogon: 2012/12/20 16:41:00 中国标准时间;
lastLogonTimestamp: 2012/12/20 16:41:00 中国标准时间;
logonCount: 1;
logonHours:                      ;
name: AdatumUser1;
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=contoso,DC=com;
objectClass (4): top; person; organizationalPerson; user;
objectGUID: b9209829-d220-42f1-95d4-fc0e02654225;
objectSid: S-1-5-21-2048830343-1918485759-2035796411-1109;
primaryGroupID: 513 = ( GROUP_RID_USERS );
pwdLastSet: 2012/12/20 16:19:24 中国标准时间;
sAMAccountName: AdatumUser1;
sAMAccountType: 805306368 = ( NORMAL_USER_ACCOUNT );
sIDHistory: S-1-5-21-1865030272-1710735330-795842870-1107;
sn: AdatumUser1;
userAccountControl: 0x200 = ( NORMAL_ACCOUNT );
userPrincipalName: AdatumUser1@contoso.com;
uSNChanged: 13295;
uSNCreated: 13216;
whenChanged: 2012/12/20 16:41:00 中国标准时间;
whenCreated: 2012/12/20 16:16:06 中国标准时间;

 

2、使用LDP检查EU\AdatumPC1的信息

Expanding base 'CN=ADATUMPC1,OU=Adatum,DC=EU,DC=contoso,DC=com'...
Getting 1 entries:
Dn: CN=ADATUMPC1,OU=Adatum,DC=EU,DC=contoso,DC=com
accountExpires: 9223372036854775807 (never);
badPasswordTime: 2012/12/20 16:34:29 中国标准时间;
badPwdCount: 0;
cn: ADATUMPC1;
codePage: 0;
countryCode: 0;
displayName: ADATUMPC1$;
distinguishedName: CN=ADATUMPC1,OU=Adatum,DC=EU,DC=contoso,DC=com;
dNSHostName: ADATUMPC1.EU.contoso.com;
dSCorePropagationData: 0x0 = (  );
instanceType: 0x4 = ( WRITE );
isCriticalSystemObject: FALSE;
lastLogoff: 0 (never);
lastLogon: 2012/12/20 16:40:42 中国标准时间;
lastLogonTimestamp: 2012/12/20 16:34:29 中国标准时间;
localPolicyFlags: 0;
logonCount: 6;
msDS-SupportedEncryptionTypes: 0x1C = ( RC4_HMAC_MD5 | AES128_CTS_HMAC_SHA1_96 | AES256_CTS_HMAC_SHA1_96 );
name: ADATUMPC1;
objectCategory: CN=Computer,CN=Schema,CN=Configuration,DC=contoso,DC=com;
objectClass (5): top; person; organizationalPerson; user; computer;
objectGUID: 9315353c-1a7a-4b2d-a6dd-692e479fe951;
objectSid: S-1-5-21-2048830343-1918485759-2035796411-1114;
operatingSystem: Windows 7 企业版;
operatingSystemVersion: 6.1 (7600);
primaryGroupID: 515 = ( GROUP_RID_COMPUTERS );
pwdLastSet: 2012/12/20 16:34:31 中国标准时间;
sAMAccountName: ADATUMPC1$;
sAMAccountType: 805306369 = ( MACHINE_ACCOUNT );
servicePrincipalName (4): RestrictedKrbHost/ADATUMPC1; RestrictedKrbHost/ADATUMPC1.EU.contoso.com; HOST/ADATUMPC1; HOST/ADATUMPC1.EU.contoso.com;
userAccountControl: 0x1020 = ( PASSWD_NOTREQD | WORKSTATION_TRUST_ACCOUNT );
uSNChanged: 13287;
uSNCreated: 13268;
whenChanged: 2012/12/20 16:34:31 中国标准时间;
whenCreated: 2012/12/20 16:32:55 中国标准时间;

 

转载地址:http://ooejx.baihongyu.com/

你可能感兴趣的文章
URL与ASCII
查看>>
java读取properties配置文件
查看>>
UITableview中cell重用引起的内容重复的问题
查看>>
Windows7操作系统安装教程(图文)
查看>>
IOS Core Animation Advanced Techniques的学习笔记(三)
查看>>
除了模拟手术教学,VR在医疗领域如何应用?
查看>>
盘点5款Ubuntu监控工具解决CPU暴增问题
查看>>
java 测试IP
查看>>
用CSS做导航菜单的4个理由
查看>>
NOIP2015 运输计划 二分答案+Tarjan LCA+树上差分
查看>>
构建之法读后感
查看>>
基本信息项目目标文档
查看>>
移动开发Html 5前端性能优化指南
查看>>
silverlight style和template 使用之tip
查看>>
Eclipse配置python环境
查看>>
第十二周总结
查看>>
Import declarations are not supported by current JavaScript version--JavaScript版本不支持导入声明...
查看>>
js兼容性大全
查看>>
晶振不起振的原因及其解决方法
查看>>
学习目标
查看>>