追蹤
Fingers的混搭空間
關於部落格
記錄我花了時間, 腦力, 心力, 體力做過玩過, 正在做正在玩的各種經歷.
  • 66379

    累積人氣

  • 13

    今日人氣

    0

    追蹤人氣

就是要玩Windows 2008 R2 Server Core (II): AD DS, RODC, DNS, DHCP Part II

在SC-DC上查詢與管理AD DS, DNS

- 查詢AD DS - DSQUERY
⊙指令:DSQUERY 可查詢AD裡的種種物件. 這個指令在Windows 2003的環境就能應用了
有時候, 我甚至覺得dsquery用的熟練後, 能做的事比打開dsa.msc 還要多
下面就列出一些常用的dsquery 範例

C:UsersAdministrator>dsquery group -limit  數字<<查詢AD裡的群組>>

"CN=Administrators,CN=Builtin,DC=tpelab,DC=ad"
"CN=Users,CN=Builtin,DC=tpelab,DC=ad"
"CN=Guests,CN=Builtin,DC=tpelab,DC=ad"
"CN=Print Operators,CN=Builtin,DC=tpelab,DC=ad"
"CN=Backup Operators,CN=Builtin,DC=tpelab,DC=ad"
"CN=Replicator,CN=Builtin,DC=tpelab,DC=ad"
"CN=Remote Desktop Users,CN=Builtin,DC=tpelab,DC=ad"
"CN=Network Configuration Operators,CN=Builtin,DC=tpelab,DC=ad"
"CN=Performance Monitor Users,CN=Builtin,DC=tpelab,DC=ad"
.
....
** -limit 可用在指定列出幾筆結果來, 如果想全部一一列出, 那就用 -limit 0
 
C:UsersAdministrator>dsquery site <<查詢站台>>

"CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpelab,DC=ad"
 
C:Windowssystem32>dsquery site -name Taipei* <<查詢站名稱有Taipei的站台>>

"CN=Taipei,CN=Sites,CN=Configuration,DC=tpelab,DC=ad"
 
C:UsersAdministrator>dsquery server <<查詢網域中的DC>>

"CN=SC-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpe
lab,DC=ad"
"CN=SITEB-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=
tpelab,DC=ad"
"CN=SITEC-RODC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,D
C=tpelab,DC=ad"
 
 
C:UsersAdministrator>dsquery ou -limit 20<<查詢AD裡的OU>> 

"OU=Domain Controllers,DC=tpelab,DC=ad"
"OU=User Accounts,DC=tpelab,DC=ad"
"OU=Employees,OU=User Accounts,DC=tpelab,DC=ad"
"OU=6425B,DC=tpelab,DC=ad"
 
C:Windowssystem32>dsquery computer
"OU=Win7,OU=Computers,DC=tpelab,DC=ad"
 <<查詢在這個OU裡面的電腦>>
 
"CN=User1-W7,OU=Computers,DC=tpelab,DC=ad" 
"CN=User2-W7,OU=Computers,DC=tpelab,DC=ad" 
"CN=User3-LP,OU=Computers,DC=tpelab,DC=ad" 
 
 
 
C:Windowssystem32>dsquery computer
"OU=Win7,OU=Computers,DC=tpelab,DC=ad" -inactive 3
<<查詢三個星期當中, 在這個OU內沒登入AD的電腦>>

 
"CN=WIN7-PC1,OU=Win7,OU=Computers,DC=tpelab,DC=ad"
"CN=UserF-WIN7LP,OU=Win7,OU=Computers,DC=tpelab,DC=ad"
"CN=UserX-W7,OU=Win7,OU=Computers,DC=tpelab,DC=ad"
 
 
 
C:Windowssystem32>dsquery user OU名 <<查詢OU裡的user>>

"CN=user1,OU=Lab_Accounts,OU=Users,DC=Tpelab,DC=ad"
"CN=user2,OU=Lab_Accounts,OU=Users,DC=Tpelab,DC=ad"
"CN=user10,OU=Lab_Accounts,OU=Users,DC=Tpelab,DC=ad"
 
C:Windowssystem32>dsquery user -name Mary* <<查詢名字裡有Mary的帳號>>
 
"CN=MaryLin(mlin),OU=Users,DC=tpelab,DC=ad"
"CN=MaryLee(mlee),OU=Users,DC=tpelab,DC=ad"
 
C:Windowssystem32>dsquery user -samid ml* <<查詢登入帳號有ml字元的帳號>>
 
"CN=MaryLin(mlin),OU=Users,DC=tpelab,DC=ad"
"CN=MaryLee(mlee),OU=Users,DC=tpelab,DC=ad"
 

這指定真的好用!!!
請參考 http://hi.baidu.com/shinemm/blog/item/53d6613239c61aff1b4cff26.html 

- 管理DNS: DNSCMD
DNS與AD整合後, 基本不需要做什麼設定. DNSCMD則是管理 DNS Server 的命令列工具.
dnscmd也可用來管理windows 2003 DNS Server, 以下範例是從Windows 7 用dnscmd 來管理遠端DNS Server


C:Windowssystem32>dnscmd sc-dc.tpelab.ad /info <<查詢有關這個DNS伺服器的資訊>>

查詢結果:
 
伺服器資訊
        伺服器名稱              = SC-DC.TPELAB.AD
        版本                  = 0ECE0205 (5.2 組建 3790)
        DS 容器               = cn=MicrosoftDNS,cn=System,DC=bbnet,DC=ad
        樹系名稱              = tpelab.ad
        網域名稱              = tpelab.ad
        內建樹系分割          = ForestDnsZones.bbnet.ad
        內建網域分割          = DomainDnsZones.bbnet.ad
        唯讀 DC               = 0
        上次清理循環      = 並非自重新啟動後 (0)
  設定:
        dwLogLevel               = 00000000
        dwDebugLevel             = 00000000
        dwRpcProtocol            = FFFFFFFF
        dwNameCheckFlag          = 00000002
        cAddressAnswerLimit      = 0
        dwRecursionRetry         = 3
        dwRecursionTimeout       = 15
        dwDsPollingInterval      = 180
 
 
C:Windowssystem32>dnscmd sc-dc /enumzones
 
列舉的區域清單:
        區域計數 = 105
 
 區域名稱                      類型       存放裝置         內容
 
 .                              Cache      AD-Domain
 0.20.10.in-addr.arpa           Secondary  File            Rev
 0.240.10.in-addr.arpa          Secondary  File            Rev
 1.16.172.in-addr.arpa          Primary    AD-Legacy       Secure Rev Aging
 1.168.192.in-addr.arpa         Secondary  File            Rev
 1.240.10.in-addr.arpa          Secondary  File            Rev
 1.241.10.in-addr.arpa          Secondary  File            Rev
 10.19.172.in-addr.arpa         Primary    AD-Legacy       Secure Rev Aging
 10.22.172.in-addr.arpa         Primary    AD-Legacy       Secure Rev Aging
 10.240.10.in-addr.arpa         Secondary  File            Rev
..


DNSCMD常用指令:
 
▲ 清除 DNS Server 的快取:
dnscmd ServerNameOrIP  /clearcache
 
▲ 列出 DNS Server info:
dnscmd ServerNameOrIP  /info
 
▲ 列出所管控的 Zone: 
dnscmd ServerNameOrIP /enumzones
 
▲ 建立名為 Test.com 的 Primary Zone:
dnscmd /zoneadd demo.local /primary
 
 ▲ 列出 Test.com 這個 Zone 的 info:
dnscmd /zoneinfo test.com
 
 ▲ 在 Test.com 中新增一筆名為 Computer1 的 A 型式的紀錄.且其資料值為 x.z.a.b
dnscmd /recordadd test.com Comuter1 A x.z.a.b
(同理,若要建立名為 www 的 CNANE 紀錄,則為 dnscmd /recordadd  test.com www CNAME         computer1.test.com)

 ▲  列出 Test.com 中所有的紀錄
dnscmd /ZonePrint Test.com
 
 ▲  在 Test.com 中刪除名為 computer1的 A 型式紀錄
dnscmd /recorddelete Test.com computer1 A /f
 
 
 ▲  刪除 Test.com 這個 Zone
dnscmd /zonedelete Test.com /f
 
 ▲  將  Test.com 這個 zone 的所有 record 匯出至 c:windowssystem32dns 中的 testzone.txt
dnscmd /ZoneExport  Test.com testzone.txt
 
 
 ▲  要求 DNS Server 將 AD 中的資料更新到 tpelab.ad 這個 AD 整合型式的 Zone
dnscmd /ZoneUpdateFromDs tpelab.ad
 
 ▲  查看有哪些 Application Directory Partition 可以給此 DC 的 DNS Server 用
dnscmd /EnumDirectoryPartitions
 
 在SITEC-RODC上安裝RODC
 
RODC: 唯讀的domain controller, 只能接受來自Writeable DC的複寫, 本身無法執行寫入的功能
在Server Core上安裝RODC是相當好的做法

⊙指令:
dcpromo  /unattend  /ReplicaOrNewDomain:ReadonlyReplica  /ReplicaDomainDNSName:tpelab.ad /SiteName:Default-First-Site-Name  /InstallDNS:Yes  /ConfirmGC:Yes  /Userdomain:tpelab /username:administrator  /password:xxxxxx  /Safemodeadminpassword:xxxxxx

移除Domain Controller的指令:
dcpromo /unattend /username:<domain admin> /userdomain:<domain> /password:<DA password> /administratorpassword:<local admin password>

以我TPELAB.AD的網域來說, 我架設的三個Server都分屬不同網段
192.168.1.0; 10.0.0.0; 172.16.1.0
這些都是在Hyper-V環境裡的虛擬機器, 為了要讓其中的兩台Server 能成為TPELAB.AD裡的第二與第三個網域控制站, 我得先解決如何讓這些不同網段互通的問題, 解決的方法就是在Hyper-V的主機上啟動IP forwarding的功能 http://support.microsoft.com/kb/323339
  1. 啟動 「 登錄編輯程式 」 (Regedit.exe)。
  2. 找出並按一下下列登錄機碼:

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
  3. 設定下列登錄值:

    值名稱: IPEnableRouter
    實值型別: REG_DWORD
    數值資料: 1

    注意: 開啟 (啟用) TCP/IP 轉寄的所有網路連線安裝,這台電腦所使用的值為 1。
  4. 結束 「 登錄編輯程式 」。
啟動IP forwarding之後, 三個網段互ping 完全沒問題, 但奇怪的是, 當dcpromo 第二台server成為DC時, 卻一直有無法找到網域的問題

我在腦汁用盡之際, 只好在欲升級為DC的server上, 再加入另一個與第一個DC的網段相同的虛擬網卡, 再啟動IP FORWARDING, 如此才順利達陣. 等順利升級後, 我再卸下那個虛擬網卡, 此後就沒遇到其他問題. 

 
相簿設定
標籤設定
相簿狀態