AD站点管理与信任关系配置指南

table {
border-collapse: collapse;
width: 100%;
margin-bottom: 1rem;
}
th, td {
border: 1px solid #ddd;
padding: 8px;
text-align: left;
}
th {
background-color: #f2f2f2;
}
tr:nth-child(even) {
background-color: #f9f9f9;
}
pre {
background-color: #f8f8f8;
padding: 15px;
border-radius: 4px;
overflow-x: auto;
}

1、思考你所在组织的主要位置。它们是否在Active Directory中被定义为站点？这些站点的子网是否被正确定义？

需根据实际组织情况判断主要位置是否在Active Directory中被定义为站点，以及这些站点的子网是否正确定义。

2、打开“AD站点和服务”并浏览你的AD站点。使用PowerShell cmdlet Get – ADReplicationSite来比较可用信息。请描述操作步骤及两者信息对比的作用。

操作步骤

首先通过图形界面打开“AD站点和服务”，在其中浏览AD站点信息。

然后打开PowerShell，使用

Get-ADReplicationSite
命令获取相关AD站点信息。

信息对比的作用

通过图形界面和PowerShell命令两种方式查看AD站点信息并进行对比，可以从不同角度获取和验证AD站点的配置和状态，有助于发现可能存在的信息不一致问题，保证AD站点信息的准确性和完整性。

3、使用管理工具创建两个 AD 站点，数据如下：站点 1：名称：ADMLsite1，描述：ADML 测试站点 1，位置：多伦多，防止意外删除：已启用；站点 2：名称：ADMLsite2，描述：ADML 测试站点 2，位置：达拉斯，防止意外删除：已启用。使用图形用户界面（GUI）创建一个站点，使用 PowerShell 创建另一个站点。使用 GUI 时，选择任何合适的站点链接。


## 使用 GUI 创建站点

1. 打开 **AD 站点和服务**。
2. 右键点击“站点”，选择“新建站点”。
3. 在弹出窗口中：
   - 输入站点名称：`ADMLsite1`
   - 选择合适的站点链接
   - 点击“确定”
4. 在后续窗口中：
   - 输入描述：`ADML 测试站点 1`
   - 输入位置：`多伦多`
   - 勾选“防止意外删除”
   - 点击“确定”

## 使用 PowerShell 创建站点

在 PowerShell 中运行以下命令：

```powershell
New-ADReplicationSite -Name ADMLsite2 -Description "ADML 测试站点 2" -ProtectedFromAccidentalDeletion $true -OtherAttributes @{Location = "Dallas"}

4、使用管理工具创建两个具有以下数据的AD子网：子网1：名称：10.10.55/24，站点：ADMLsite1，描述：ADML站点1子网，位置：多伦多，启用防止意外删除；子网2：名称：10.10.56/24，站点：ADMLsite2，描述：ADML站点2子网，位置：达拉斯，启用防止意外删除。使用图形用户界面（GUI）创建一个子网，使用PowerShell创建另一个子网。

使用GUI创建子网步骤（以子网1为例）：

打开AD Sites and Services。

右键单击Subnets。

选择New Subnet。

在Prefix框中输入子网名称

10.10.55/24
。

名称会在下方框中显示。

选择关联的AD站点

ADMLsite1
。

点击OK。

配置其他属性：

– 打开AD Sites and Services。

– 选择Subnets。

– 右键单击所需子网。

– 选择Properties。

– 在General选项卡上输入描述“ADML site 1 subnet”。

– 在Location选项卡上添加位置“多伦多”。

– 在Object选项卡上勾选复选框以启用防止意外删除。

– 点击OK保存更改并关闭Properties对话框。

使用PowerShell创建子网步骤（以子网2为例）：

使用

New-ADReplicationSubnet
cmdlet创建子网：


New-ADReplicationSubnet -Name '10.10.56.0/24' -Location 'Dallas' -Description 'ADML site 2 subnet' -Site ADMLsite2

由于该cmdlet在创建过程中不允许启用防止意外删除，可使用以下PowerShell语法：


Get-ADReplicationSubnet -Identity '10.10.56.0/24' | Set-ADObject -ProtectedFromAccidentalDeletion $true

5、使用ADMLsite1和ADMLsite2创建一个新的站点链接。该站点链接应命名为Toronto – Dallas。将成本设置为100，复制间隔设置为180分钟。将成本修改为330，复制间隔修改为30分钟。修改复制计划，使该链接仅在非工作时间使用。将计划属性设置为周六和周日全天，周一至周五晚上8点至早上5点。

创建和管理站点链接

创建新站点链接

使用GUI创建步骤

打开ADSS。

选择

Inter-Site Transports

。

右键单击

IP

。

选择

New Site Link…

。

在弹出的对话框中输入链接名称：

Toronto - Dallas
。

从右侧列表中选择

ADMLsite1

和

ADMLsite2

，并添加到链接中。

点击

OK

。

使用PowerShell创建命令


PS> New-ADReplicationSiteLink -InterSiteTransportProtocol IP -Name 'Toronto - Dallas' -SitesIncluded ADMLsite1, ADMLsite2 -Cost 100 -ReplicationFrequencyInMinutes 180 -Description "Primary site link between ADMLsite1 and ADMLsite2" -PassThru

修改成本和复制间隔

PowerShell命令


Set-ADReplicationSiteLink -Identity 'Toronto - Dallas' -Cost 330


Set-ADReplicationSiteLink -Identity 'Toronto - Dallas' -ReplicationFrequencyInMinutes 30

修改复制计划

PowerShell操作步骤

创建调度对象：

powershell $schedule = New-Object -TypeName System.DirectoryServices.ActiveDirectory.ActiveDirectorySchedule

重置调度计划：

powershell $schedule.ResetSchedule()

设置调度时间：

– 设置周六和周日全天：

– 设置周一至周五

晚上8点到早上5点

（需分时段设置）：

powershell $schedule.SetDailySchedule("20","0","23","45")

应用调度计划：

powershell Set-ADReplicationSiteLink -Identity 'Toronto - Dallas' -ReplicationSchedule $schedule

6、Create a map of your AD topology. On the map show AD sites, AD site links, Site link costs, Domain controller location, IP subnets if you have space. Create a process to keep this up to date.

创建 AD 拓扑图

收集信息

–

AD 站点

：使用

Get-ADReplicationSite
PowerShell 命令获取所有 AD 站点信息，包括站点名称、描述等。

–

AD 站点链接

：使用 AD 站点和服务 (ADSS) 工具，导航到“Inter-Site Transports”，选择 IP 或 SMTP 查看站点链接。或使用 PowerShell 命令结合适当的查询来获取站点链接信息。

–

站点链接成本

：在 ADSS 中查看站点链接属性，找到成本设置；也可通过 PowerShell 脚本获取。

–

域控制器位置

：在 ADSS 中，每个站点下的“Servers”文件夹列出了该站点的域控制器；还可使用

Get-ADDomainController
命令获取详细信息。

–

IP 子网

：在 ADSS 中查看子网信息，或使用 PowerShell 命令获取。

选择绘图工具

：可使用 Visio、Lucidchart 等绘图工具。

绘制拓扑图

– 在绘图工具中创建节点表示 AD 站点，标注站点名称。

– 用线条连接站点表示站点链接，在线条旁标注链接成本。

– 在站点节点内标注域控制器位置。

– 如果空间允许，添加 IP 子网信息。

保持拓扑图更新的流程

定期检查

– 设定定期检查的时间间隔，如每月或每季度。

– 在检查时，重复收集信息的步骤，对比新信息与拓扑图上的信息。

变更通知

– 建立变更通知机制，当有新的 AD 站点创建、站点链接修改、域控制器添加或移除等变更时，相关人员及时通知负责更新拓扑图的人员。

自动化更新

– 编写 PowerShell 脚本，定期运行以收集最新信息，并将信息导入到绘图工具中（如果绘图工具支持），实现部分自动化更新。

审核与确认

– 在更新拓扑图后，进行审核，确保信息准确无误。

– 由相关团队（如网络团队、系统管理团队）确认更新后的拓扑图。

7、你的组织在另一个城镇开设了一家办公室，你需要创建AD拓扑来适应这个办公室。创建一个新的AD站点，站点名称为圣地亚哥，描述为圣地亚哥新办公室，并启用防止意外删除功能。

创建新的AD站点

可以使用以下两种方式创建新的AD站点：

使用GUI

打开AD站点和服务。

右键单击“站点”。

选择“新建站点…”。

对话框打开，输入新站点的名称“圣地亚哥”，并选择一个现有的链接。

点击“确定”。

会看到一个消息框，提示需要确保新站点与现有站点链接、向站点添加子网、安装域控制器或将其移动到站点中，点击“确定”关闭消息框。

设置额外属性

打开AD站点和服务。

选择“站点”。

右键单击“圣地亚哥”站点。

选择“属性”。

在“常规”选项卡上输入描述“圣地亚哥新办公室”。

可在“位置”选项卡上添加位置。

在“对象”选项卡上使用复选框启用防止意外删除功能。

点击“确定”保存更改并关闭“属性”对话框。

使用PowerShell

可编写相应的PowerShell脚本创建该站点并设置相关属性。

8、如何在域中创建信任关系？

在您的域中创建信任关系可按以下步骤完成：

打开“AD域和信任关系”；

右键单击域名；

选择“属性”；

选择“信任关系”选项卡；

如果您只创建信任关系的一侧，系统会要求您输入密码。提供并确认信任密码。请务必记住这个密码，因为在创建信任关系的另一侧时会用到它。建议设置一个强密码；

如果您要同时创建信任关系的两侧，则需要提供远程域的凭据；

点击“下一步”；

查看设置；

点击“下一步”；

您将看到一条消息，提示信任关系已成功创建；

点击“下一步”以配置信任关系；

系统会要求您确认出站信任关系。只有在信任关系的另一侧已创建的情况下，您才能进行此操作；

点击“下一步”；

系统会要求您确认入站信任关系。只有在信任关系的另一侧已创建的情况下，您才能进行此操作；

点击“下一步”；

点击“完成”关闭向导。

9、如何验证信任关系？

可以使用AD Domains and Trusts（ADDT）验证信任关系：

打开ADDT；

右键单击您的域；

选择“属性”；

选择“信任”选项卡；

选择要测试的信任；

单击“属性”；

单击“验证”；

系统会询问您是否要验证传入信任。如果是，则需要提供远程域的凭据；

如果仅验证传出信任，您会收到消息：“传出信任已验证。它已就位并处于活动状态。”；

如果还验证了传入信任，消息将显示：“信任已验证。它已就位并处于活动状态。”。

在这两种情况下，系统都会询问您是否需要更新名称后缀路由信息。仅当您向林添加了新的子域时才需要此操作，所以回答“否”。

10、如何从两个域中移除信任关系？

打开AD Domains and Trusts (ADDT)。

右键单击你的域。

选择“属性”。

选择“信任”选项卡。

选择要移除的信任。

点击“移除”。

系统会询问你是仅从本地域移除信任还是从两个域都移除。

如果你选择从两个域都移除，需要提供远程域的凭据。

点击“确定”。

系统会要求你确认，点击“是”。

信任将被移除。

11、重复进行创建信任关系的练习，尝试不同的信任类型，并尝试同时创建信任关系的双方。

创建信任关系练习指南

要完成此任务，首先需完成创建信任关系的练习。

先决条件

创建信任前需满足以下条件：

域之间要有网络连接

要有DNS转发

创建森林信任时，双方森林需达到Windows Server 2003森林功能级别或更高

要有管理权限的账户

创建信任的基本流程

创建信任是两阶段过程：

在本域创建信任

在另一个域创建信任

在本域创建信任步骤

打开“AD域和信任”

右键单击域名，选择“属性”

选择“信任”选项卡

选择信任方向，点击“下一步”

选择要创建信任的一方，点击“下一步”

选择信任身份验证级别，点击“下一步”

若仅创建信任的一方：

– 会要求输入密码

– 需提供并确认信任密码

若同时创建信任双方：

– 需提供远程域的凭据

点击“下一步”

查看设置后再次点击“下一步”

看到信任关系创建成功的消息后，点击“下一步”配置信任

确认传出信任和传入信任

点击“完成”关闭向导

在远程域创建信任步骤

在远程域创建信任的过程与在本域类似，需注意以下事项：

对方管理员需使用自己的域或森林名称

发送正确的信息

两边使用相同的密码

验证与移除信任

可使用相关过程验证信任

可使用相关过程移除创建的信任，并确保从两个域都移除

练习建议

完成上述过程后：

重复练习

尝试不同信任类型

再次尝试同时创建信任双方

12、在你的域控制器上找到SYSVOL共享。它是在创建域控制器时设置的。调查你环境中分配给用户的登录脚本。使用ADAC、ADUC和PowerShell来查找脚本名称。在域控制器上打开脚本以查看其内容。

查找SYSVOL共享：

默认位于域控制器的

C:WindowsSYSVOLsysvol
。若有疑问，可使用代码：

powershell Get-WmiObject –Class Win32_Share –ComputerName server02

来枚举共享，获取名称、描述和文件系统路径。

调查分配给用户的登录脚本：

可通过以下方式查找脚本名称：

–

ADUC或ADAC

：通过用户属性的“配置文件”选项卡或部分查看。

–

PowerShell

：使用代码：

powershell Get-ADUser –Identity "jgreen" –Properties scriptpath

脚本名称会显示在

scriptpath
属性中。若返回多个非标准属性或调查用户配置，可使用：

powershell Get-ADUser –Identity "jgreen" –Properties *

来返回所有属性。

打开脚本查看内容：

登录脚本通常存储在 SYSVOL 共享中，在以下路径：

C:WindowsSYSVOLsysvol<域名>scripts

文件夹中。找到脚本后，用记事本打开并检查其内容，尤其要检查网络驱动器和打印机映射是否正确。

13、简述如何利用策略结果集向导确定用户和服务器设置，以及在发现问题时如何排查导致问题的 GPO 及其设置。

组策略问题排查步骤

使用

策略结果集向导

确定一个或多个用户相对于一个或多个服务器的设置。

若发现任何问题，对

组策略对象 (GPO)

应用筛选器，使其不影响用户。

接着逐个处理 GPO：

– 依次移除每个 GPO 的筛选器。

– 直到找出导致问题的 GPO。

最后通过阅读说明检查该 GPO 中的每个设置，直到找到导致问题的设置。

14、选择一个事件日志进行调查，检查是否发现了任何错误以及是否发现了任何表明正常运行的有用信息。用另一个日志重复此操作以练习这些技巧。


可使用 `Get-EventLog` PowerShell cmdlet 调查事件日志，如获取最近三天 Directory Service 日志数据用代码：

```powershell
Get-EventLog –LogName 'Directory Service' –After (Get-Date).AddDays(-3) –ComputerName server02

还可按日期、事件类型、数据源等过滤日志。操作后检查是否有错误信息，以及判断哪些是表示正常运行的信息，然后换一个日志重复操作。



##15、检查你的用户群体，确定是否设置了任何限制。如果你发现有任何限制，这些限制真的有必要吗？提示：使用带 –Filter* 的 Get - ADUser 命令，而不是身份标识。有没有办法只显示设置了限制的用户？
以下是对给定文本内容整理后的 Markdown 格式输出：

---

可使用带 `-Filter*` 的 `Get-ADUser` 命令检查用户群体是否设置限制，并评估限制的必要性。

要只显示设置了限制的用户，可根据具体限制条件在 `Get-ADUser` 命令的 `-Filter` 参数中设置相应的筛选条件。

例如，如果限制条件是用户的某个属性有特定值，可使用类似如下命令：

```powershell
Get-ADUser -Filter '属性名 -eq "特定值"'

通过这种方式筛选出设置了对应限制的用户。