https://blog.csdn.net/qq_61519169/article/details/140887369
学习记录文章目录学习记录一、AD域创建1、AD主域控制器的安装1.1、准备1.2、安装活动目录域服务 Active Directory Domain Services1.2.1、添加角色和功能1.2.2、安装类型1.2.3、服务器选择1.2.4、服务器角色1.2.5、功能1.2.6、AD DS1.2.7、确认1.2.8、安装1.3、将此服务器提升为域控制器1.3.1、部署配置1.3.2、域控制器选项1.3.3、DNS选项1.3.4、其他选项1.3.5、路径1.3.6、查看选项1.3.7、先决条件检查1.3.8、安装2、AD辅助域控制器的安装2.1、准备2.2、加域2.3、安装活动目录域服务 Active Directory Domain Services2.4、将此服务器提升为域控制器3、AD只读域控制器RODC的安装3.1、准备3.2、加域3.3、安装活动目录域服务 Active Directory Domain Services3.4、将此服务器提升为域控制器4、AD子域控制器的安装5、重建域控(1)原来的域控降级:(2)原来的域控退域:(3)原来的域控关机:(4)配置新的域控服务器:(4)新的域控服务器加域:(5)新的域控服务器部署AD域服务,提升为分厂域控服务器:(6)配置DHCP:二、组织单位OU1、创建OU(1)图形化界面:Active Directory 用户和计算机 中创建OU(2)命令行中创建OU:2、查看OU(1)图形化界面:Active Directory 用户和计算机 中查看OU(2)命令行查询当前架构下OU信息:3、重命名OU4、删除OU5、移动OU(1)图形化移动OU:(2)命令行移动OU:三、用户、用户组1、创建用户2、创建用户组3、用户添加进用户组四、策略设置1、管理 "计算机配置的管理模板策略"1)策略:关闭事件跟踪程序(用户在关机时不会再要求用户提供关机的理由)(1)gpmc.msc 命令 打开域组策略管理(2)gpupdate /force 命令:让配置的组策略强制生效2)策略:显示用户以前交互登录的信息(1)gpmc.msc 打开域组策略管理(2)gpupdate /force 命令:让配置的组策略强制生效2、管理 "用户配置的管理模板策略"1)策略:阻止更改代理设置(1)2)策略:管理模板的其他设置(1)3、配置 "账户策略"4、配置 "用户权限分配策略"5、配置 "安全选项策略"6、登录注销、启动关机脚本7、文件重定向8、使用组策略限制访问可移动存储设备9、使用组策略的首选项管理用户环境三、利用组策略部署软件与限制软件的运行1、计算机分配软件部署2、用户分配软件部署3、用户发布软件部署4、对软件进行升级和重定向5、对特定软件启动软件限制策略四、管理组策略1、组策略的备份、还原、查看组策略2、使用WMI筛选器3、管理组策略的委派4、设置和使用 Starter GPO五、文件权限与共享文件夹1、设置资源共享(创建共享)1.1、普通共享(1)DC1域控上创建用户:kuaiji(2)在【计算机管理】中设置共享资源1.2、特殊共享2、访问网络共享资源2.1、利用网络发现,访问网络共享资源(1)用已经创建好的kuaiji账户登录到win11加域的成员服务器客户端计算机。(2)网络发现和文件共享已关闭。看不到网络计算机和设备。启用网络发现和文件共享。2.2、使用UNC路径,访问网络共享资源五、灾难恢复1、AD域控角色转移(适合在主域控制器还能够使用时,需要升级AD控制器升级系统时的操作),Transfer传送1.1、查看控制器和FSMO角色(一)Windows Server打开相关操作界面的命令总结1、控制面板:(如何打开)2、Windows设置:(如何打开)3、服务:(如何打开)4、证书:(如何打开)5、网络连接:(如何打开)6、任务管理器:(如何打开)7、系统属性→计算机名、硬件、高级-环境变量、远程:(如何打开)8、修改计算机名称:(如何打开)9、开启远程桌面:(如何打开)10、计算机管理:(如何打开)11、磁盘管理:(如何打开)12、事件查看器:(如何打开)13、telnet测试某个端口是否可以访问:14、netstat –ano查看进程和端口:15、查看PID进程号对应的进程名称、查看进程名称对应的PID:17、刷新DNS解析缓存:16、本地组策略(组策略编辑器):(如何打开)17、域组策略:(如何打开)18、强制更新组策略命令:(如何打开)19、查看策略的结果集并导出:(如何打开)(1)win+r运行输入rsop.msc(查看本机所加载的GPO组策略对象)(2)导出用户或计算机的组策略设置和策略的结果集:19、Active Directory用户和计算机:dsa.msc:(如何打开)22、AD域中远程重启某台计算机命令22、从源域控制器DC开始对目标域控制器DC进行复制。(1)使用 AD 站点和服务进行复制:(2)运行使用Repadmin命令:22、查询域中部署的站点22、查询某个站点内的域控(二)Windows Server 事件ID什么是 Windows 事件日志位置1、Windows日志-Application应用程序(1)事件ID:11707(软件安装成功)(2)事件ID:11724(软件安装失败、删除、卸载)(4)事件ID:2142(拓扑发现失败)2、Windows日志-Security安全(1)事件ID:4769(某个账户登录,已请求 Kerberos 服务票证。每次请求访问资源(例如计算机或 Windows 服务)时生成此事件。服务名称表示请求访问的资源。)(2)事件ID:4624(已成功登录帐户。创建登录会话时,将在被访问的计算机上生成此事件)(3)事件ID:4634(已注销账户。在登录会话被破坏时生成此事件。)(4)事件ID:4625(帐户登录失败。登录请求失败时在尝试访问的计算机上生成此事件。)3、Windows日志-Setup(1)事件ID:(2)事件ID:(3)事件ID:(4)事件ID:4、Windows日志-System系统(1)事件ID:12(操作系统启动)(2)事件ID:13(操作系统关闭)(3)事件ID:41(操作系统已在未先正常关机的情况下重新启动)(4)事件ID:6008(操作系统意外关闭)(5)事件ID:1074(哪个用户启动哪台计算机,重启: 其他(计划外)方式是什么,关机类型: 重启)(6)事件ID:5807(在过去的 4.23 小时中有 37 连接从 IP 地址 没有映射到企业中任何站点的客户端计算机,到这个域控制器)(1)事件ID:(2)事件ID:(3)事件ID:(4)事件ID:(三)Exchange Server 2019搭建1、Exchange Server 必备组件(1)安装.NET Framework 4.8(2)Visual Studio 2012 的 Visual C++(3)Visual Studio 2013 的 Visual C++(4)Microsoft Unified Communications Managed API 4.0 Core Runtime(64 位)2、(1)(2)(3)(4)3、(1)4、(1)一、AD域创建1、AD主域控制器的安装1.1、准备(1)windows server 2016域控DC01,修改 ip:192.168.10.1、子网掩码、默认网关、DNS:192.168.10.1。
(2)关闭防火墙,关闭IE增强的安全配置,开启远程桌面。
(3)装完系统,首先修改计算机名称,为DC01,重启。
1.2、安装活动目录域服务 Active Directory Domain Services1.2.1、添加角色和功能服务器管理器→添加角色和功能→开始之前→下一步
1.2.2、安装类型安装类型→基于角色或基于功能的安装→下一步
1.2.3、服务器选择
1.2.4、服务器角色服务器角色→Active Directory域服务
1.2.5、功能功能→下一步
1.2.6、AD DS
1.2.7、确认
1.2.8、安装
1.3、将此服务器提升为域控制器
将此服务器提升为域控制器→Active Directory域服务配置向导
1.3.1、部署配置部署配置→因为是第一台主域控服务器→添加新林→(测试环境的)根域名:contoso.com→下一步
1.3.2、域控制器选项域控制器选项→域名系统DNS服务器→全局编录GC→目录服务还原模式密码→下一步。第一台域控制器不可以是RODC。
1.3.3、DNS选项
1.3.4、其他选项
1.3.5、路径路径→默认指定AD DS数据库、日志文件和SYSVOL的位置→下一步
1.3.6、查看选项
1.3.7、先决条件检查所有先决条件检查都成功通过→安装
1.3.8、安装安装完等待自动重启,成为域控制器。
2、AD辅助域控制器的安装2.1、准备(1)windows server 2016域控DC02,修改 ip:192.168.10.2、子网掩码、默认网关、DNS:192.168.10.1。(2)关闭防火墙,关闭IE增强的安全配置,开启远程桌面。(3)装完系统,首先修改计算机名称,为DC02,重启。
2.2、加域服务器管理器→本地服务器→sysdm.cpl系统属性→计算机名→更改→隶属于→域:contoso→输入有权限加入该域的账户的名称和密码(administrator账户密码)→重启
2.3、安装活动目录域服务 Active Directory Domain Services活动目录域服务跟主域控制器安装方式一样。
2.4、将此服务器提升为域控制器
有变化:部署配置→将域控制器添加到现有域→选择:contoso.com→更改:administrator@contoso.com ******
3、AD只读域控制器RODC的安装3.1、准备(1)windows server 2016域控DC02,修改 ip:192.168.10.3、子网掩码、默认网关、DNS:192.168.10.1。(2)关闭防火墙,关闭IE增强的安全配置,开启远程桌面。(3)装完系统,首先修改计算机名称,为DC03,重启。
3.2、加域服务器管理器→本地服务器→sysdm.cpl系统属性→计算机名→更改→隶属于→域:contoso→输入有权限加入该域的账户的名称和密码(administrator账户密码)→重启
3.3、安装活动目录域服务 Active Directory Domain Services活动目录域服务跟主域控制器安装方式一样。
3.4、将此服务器提升为域控制器域控制器选项,有变化:勾选只读域控制器RODC。其他步骤一样。
4、AD子域控制器的安装5、重建域控在新的虚拟化平台准备服务器虚拟机资源,重新做域控部署:
(1)原来的域控降级:域控服务器删除时,必须先降级计算机名为 QQDC03(IP:10.200.11.11)的域控服务器降级为普通成员服务器。
(2)原来的域控退域:把普通成员服务器退域变成独立服务器,QQDC03点击计算机名称,由加入到域:contoso.com改成工作组COMP(win默认工作组WORKGROUP)运行cmd:ipconfig /all,ip页面截全图保存。
(3)原来的域控关机:(IP:10.200.11.11)
(4)配置新的域控服务器:新的域控安装操作系统,新给的服务器地址(IP:10.200.11.22)远程登录上后,(1)修改计算机名称为QQDC01(跟原来域控不重名)。(2)配置原来域控的IP地址,更改适配器设置修改IPv4地址为10.200.11.11、子网掩码、网关、DNS:192.168.10.1、192.168.10.2(看截图),不勾选IPv6。修改后运行cmd:输入ipconfig /all、输入nslookup后输入contoso.com,显示很多一串ip地址说明正常,修改后重新远程登录。(3)关闭防火墙。(全都关了)(4)关闭IE增强的安全配置
(4)新的域控服务器加域:(IP:10.200.11.11)QQDC01点击计算机名称:由工作组改成加入到域contoso.com。
(5)新的域控服务器部署AD域服务,提升为分厂域控服务器:安装AD活动目录域服务。提升为域控,同步AD域数据库信息,时间较长等待数据同步成功。
5、重建域控TBWWDC01后,高权限账号远程登录不了这台域控???一开始新建的域控TBWWDCO1加入域时会有一条域策略让TBWWPC01进入tempcomputer,tempcomputer会限制高权限用日进猫远程登录访问用户的隐私,如果想用高权限用户远程登录,必须查到TBWWDC01后拖入到Domain Controllers的青啤支机构域目录下,然后TBWWDC01执行强制更新组策略命令:gpupdate /force,高权限账号才能远程登录到这台TBWWDC01计算机。
(6)配置DHCP:(可以先配置好,不要先授权)(1)添加角色和功能向导:添加DHCP服务器(2)打开DHCO服务器,IPv4右键新建作用域,找分厂管理员要相关配置,完成作用域、地址池配置。(3)IPv4红色,不要授权。(4)必须等域控数据同步完成之后,DHCP的IPv4授权绿色。
二、组织单位OU1、创建OU(1)图形化界面:Active Directory 用户和计算机 中创建OUActive Directory 用户和计算机→contoso.com→选择xx集团→右键→新建→组织单位
Active Directory 用户和计算机→contoso.com→选择xx集团→点击新建对象-组织单位→在xx集团下创建组织单位OU为test02。
(2)命令行中创建OU:1、dsadd ou命令创建为test01的组织单位OU:
dsadd ou ou=test01,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com1
点击刷新后,已成功创建test01。
2、powershell命令创建为test02的组织单位OU:
new-adorganizationalunit -name test02 -path "ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"1
点击刷新后,已成功创建test02。
2、查看OU(1)图形化界面:Active Directory 用户和计算机 中查看OU
(2)命令行查询当前架构下OU信息:1、dsquery命令查询当前OU信息:
dsquery ou1
2、Powershell命令查询当前OU信息:
get-adorganizationalunit -filter * |select distinguishedname1
3、模糊查询OU信息:
get-adorganizationalunit -filter 'Name -like "test*"' |ft distinguishedname1
4、精确查询OU相关信息:
get-adorganizationalunit -filter 'Name -like "test01"' |fl1
3、重命名OUrename-adobject重命名OU信息:将龙芯集团股份有限公司/test/test02重命名为test03:
rename-adobject "ou=test02,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com" -newname test031
点击刷新后,已成功将test02重命名为test03。
4、删除OU1、remove-adorganizationalunit删除OU:A、删除test03:
remove-adorganizationalunit -identity "ou=test03,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com" -recursiv1根据提示回车Y确认删除,报错信息提示:拒绝访问,即使通过强制删除也无法完成删除操作,因为新建OU时勾选了"防止容器被意外删除":
B、选择test组织单位→查看→高级功能
C、此时会看到比之前的结构多一些信息(NTDS Quotas、TPM Devices):
D、选择要删除test03,鼠标右键选择属性→对象→不勾选"防止容器被意外删除"→点击应用→确定。
E、再执行删除命令:
remove-adorganizationalunit -identity "ou=test03,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com" -recursiv -confirm:$false1删除成功,再次查看当前OU信息,已无法找到test03相关OU信息。
get-adorganizationalunit -filter 'Name -like "test*"' |ft distinguishedname1
F、通过命令行取消勾选"防止容器被意外删除",命令如下:命令行取消勾选:“防止容器被意外删除”(将龙芯集团股份有限公司/test组织单位目录,取消防止容器被意外删除)
Set-adobject -identity "ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com" -ProtectedFromAccidentalDeletion:$false1
该目录及该目录下的都已取消勾选。
5、移动OU(1)图形化移动OU:右键要移动的OU信息,选择"移动"。
Windows无法移动对象test,因为:拒绝访问。
因为OU对象test属性中勾选"防止对象被意外删除"选项,取消勾选并确定。
成功移动OU组织单位:
(2)命令行移动OU:1、Powershell命令行移动OU:(Desk test/test/test01移动到Desk test目录下)
move-adobject -identity "ou=test01,ou=test,ou=Desk test,ou=龙芯集团股份有限公司,dc=contoso,dc=com" -targetpath "ou=Desk test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"1
2、dsmove命令移动OU:
dsmove ou=xxx,ou=Syncall,dc=azureyun,dc=local –newparent ou=HelpDesk,dc=azureyun,dc=local
三、用户、用户组1、创建用户2、创建用户组3、用户添加进用户组四、策略设置windows修改配置修改windows底层代码 ×修改windows注册表regedit √修改windows组策略 √修改windows设置 win+i 图形界面 √场景:某公司用组策略管理用户桌面、计算机安全性,已经实施了一种OU设置,顶级OU代表不同的地点,每个地点ou的子ou代表不同的部门,用户账户与其工作站计算机账户在同一个容器中。服务器计算机账户在各个ou中。
环境:windows server 2019域控DC01:ip192.168.0.71windows10客户端DCclient1:ip192.168.0.77windows10客户端DCclient2:ip192.168.0.78
1、管理 “计算机配置的管理模板策略”1)策略:关闭事件跟踪程序(用户在关机时不会再要求用户提供关机的理由)(1)gpmc.msc 命令 打开域组策略管理检查域的结构:AD用户和计算机
win+r运行输入 gpmc.msc 域组策略管理→林→域→contoso.com→Domain Controllers→Default Domain Controllers Policy→在DC01上对域控制器的组策略进行编辑→打开 组策略管理管理编辑器
在 组策略管理管理编辑器→计算机配置→策略→管理模板→点击 系统→右侧:显示“关闭事件跟踪器”→双击打开→选择 已禁用→应用→确定
(2)gpupdate /force 命令:让配置的组策略强制生效
关闭事件跟踪程序,执行此条策略之后,所有的域控制器上,用户在关机的时候系统不会再提醒提供关机的理由。
2)策略:显示用户以前交互登录的信息(1)gpmc.msc 打开域组策略管理win+r运行输入 gpmc.msc 域组策略管理→林→域→contoso.com→Domain Controllers→Default Domain Controllers Policy→在DC01上对域控制器的组策略进行编辑→打开 组策略管理管理编辑器→计算机配置→策略→管理模板→点击 Windows组件→右侧:Windows登录选项→双击打开→选择 在用户登录期间显示有关以前登录的信息→选择 已启用→应用→确定
(2)gpupdate /force 命令:让配置的组策略强制生效
显示用户以前交互登录的信息,执行此条策略之后,所有的域控制器上,重启域控之后显示以前登录的信息。
2、管理 “用户配置的管理模板策略”1)策略:阻止更改代理设置(1)2)策略:管理模板的其他设置(1)3、配置 “账户策略”4、配置 “用户权限分配策略”5、配置 “安全选项策略”6、登录注销、启动关机脚本7、文件重定向8、使用组策略限制访问可移动存储设备9、使用组策略的首选项管理用户环境三、利用组策略部署软件与限制软件的运行1、计算机分配软件部署2、用户分配软件部署3、用户发布软件部署4、对软件进行升级和重定向5、对特定软件启动软件限制策略四、管理组策略1、组策略的备份、还原、查看组策略2、使用WMI筛选器3、管理组策略的委派4、设置和使用 Starter GPO五、文件权限与共享文件夹网络中最重要的是安全,安全中最重要的是权限,在网络中,网络管理员首先面对的是权限,日常解决的问题也是权限问题,最终出现漏洞还是由于权限设置出了问题。公用文件夹:磁盘内的文件经过适当权限设置后,每位用户都只能访问自己有权限的文件。共享文件夹:共享文件夹可以将文件共享给网络上的其他用户。共享权限:网络中的用户须拥有适当的共享权限才可以访问共享文件夹。读取、更改、完全控制同时需要注意与NTFS权限结合。
1、设置资源共享(创建共享)1.1、普通共享(1)DC1域控上创建用户:kuaiji在DC1域控上组织单位:财务部下创建会计,创建会计用户:kuaiji,用会计用户来测试共享。
(2)在【计算机管理】中设置共享资源1、创建文件服务器FileServer并加入域contoso.com,文件服务器FileServer的C盘下创建share文件夹,C:\share。
2、win+r运行输入compmgmt.msc打开计算机管理,计算机管理(本地)→系统工具→共享文件夹→共享→右键→新建共享→创建共享文件夹向导→下一步→文件夹路径:C:\DCshare→下一步→名称描述默认→共享文件夹的权限:选择管理员有完全访问权限,其他用户有只读权限R→完成→完成。
这样就创建了一个共享。
1.2、特殊共享C$、IPC$,这些系统自动创建的共享资源就是 “特殊共享”。
2、访问网络共享资源2.1、利用网络发现,访问网络共享资源域控DC1上创建了一个共享文件夹C:\DCshare,如何去访问???
(1)用已经创建好的kuaiji账户登录到win11加域的成员服务器客户端计算机。
(2)网络发现和文件共享已关闭。看不到网络计算机和设备。启用网络发现和文件共享。资源管理器→网络→网络发现和文件共享已关闭。看不到网络计算机和设备→右键→启用网络发现和文件共享。
输入管理员账户密码
2.2、使用UNC路径,访问网络共享资源五、灾难恢复1、AD域控角色转移(适合在主域控制器还能够使用时,需要升级AD控制器升级系统时的操作),Transfer传送1.1、查看控制器和FSMO角色(一)Windows Server打开相关操作界面的命令总结Windows Server 打开相应的程序、服务、文件夹、文档或Internet资源的相关命令。(写的比较小白,比较厉害的大佬就不要看了)
Windows Server 版本的比较,微软官方链接:https://learn.microsoft.com/zh-cn/windows-server/get-started/editions-comparison?pivots=windows-server-20251、控制面板:(如何打开)(1)win+r运行输入control panel、control(2)开始-右键-控制面板
2、Windows设置:(如何打开)(1)win+i(2)开始-设置
3、服务:(如何打开)(1)win+r运行输入services.msc(2)右键-任务管理器-服务(3)开始-windows管理工具-服务
4、证书:(如何打开)(1)当前用户证书管理工具win+r运行输入certmgr.msc(2)本地计算机证书win+r运行输入certlm.msc
5、网络连接:(如何打开)win+r运行输入ncpa.cpl
6、任务管理器:(如何打开)(1)win+r运行输入taskmgr(2)ctrl+alt+delete(3)Win+X
7、系统属性→计算机名、硬件、高级-环境变量、远程:(如何打开)运行 输入sysdm.cpl,此命令打开系统属性的4个相关管理界面:(1)计算机名称(2)硬件(3)高级-环境变量(4)远程
8、修改计算机名称:(如何打开)(1)运行 输入sysdm.cpl,更改,计算机名称,重启之后生效。(2)以管理员运行powershell,执行hostname查看一下当前的计算机名称,执行Rename-Computer -NewName DC001,重启,重启之后计算机名称修改为DC001。
9、开启远程桌面:(如何打开)(1)Windows server、windows11安装后开启远程桌面,选择一个文件夹打开-此电脑-右键-属性-高级系统设置-系统属性-远程-允许远程连接到此计算机(2)win+r运行 输入sysdm.cpl→系统属性→远程→允许远程连接到此计算机
10、计算机管理:(如何打开)win+r运行输入compmgmt.msc
计算机管理(本地)
+系统工具任务计划程序事件查看器共享文件夹性能设备管理器存储Windows Server 备份磁盘管理服务和应用程序Internet Information Services (llS)管理器路由和远程访问服务WMI 控件
11、磁盘管理:(如何打开)win+r行 输入diskmgmt.msc
12、事件查看器:(如何打开)(1) win+r运行输入eventvwr.msc(2)开始-右键-控制面板-系统和安全-查看事件日志
13、telnet测试某个端口是否可以访问:telnet测试某个端口是否可以访问:win+r运行输入cmd以管理员身份运行。telnet语法格式:(1)telnet IP 端口号 :telnet 192.168.10.1 53(2)telnet 域名 端口号 :telnet contoso.com.cn 53
进入后退出telnet:按CTRL+]键,输入quitMicrosoft Telnet> quit
14、netstat –ano查看进程和端口:(1)查看进程和端口:netstat –ano 列出系统中所有网络连接和进程信息
(2)查看系统中占用80端口的PID进程信息(该端口被哪个pid进程所占用)netstat –ano |findstr 端口号netstat –ano |findstr 80
格式:| 协议 | 本地地址 | 外部地址 | 状态 | PID || TCP | 0.0.0.0:80 | 0.0.0.0:0 | Listening | 4 |
15、查看PID进程号对应的进程名称、查看进程名称对应的PID:(1)查看PID对应的进程名称:tasklist | findstr PID进程号tasklist | findstr 3364
(2)查看进程名称对应的PID:tasklist | findstr name进程名称tasklist | findstr MicrosoftEdgeUpdate.exe
17、刷新DNS解析缓存:ipconfig /flushdns
16、本地组策略(组策略编辑器):(如何打开)本地组策略(组策略编辑器):win+r运行输入 gpedit.msc
17、域组策略:(如何打开)域组策略:win+r运行输入 gpmc.msc
18、强制更新组策略命令:(如何打开)强制更新组策略命令(刷新本地和基于Active Directory的组策略设置):以管理员身份运行Powershell输入 gpupdate /force
19、查看策略的结果集并导出:(如何打开)(1)win+r运行输入rsop.msc(查看本机所加载的GPO组策略对象)
(2)导出用户或计算机的组策略设置和策略的结果集:导出用户或计算机的组策略设置和策略的结果集命令:gpresult /H C:\Users\tempadmin\Desktop\1\1.html
19、Active Directory用户和计算机:dsa.msc:(如何打开)
22、AD域中远程重启某台计算机命令22、从源域控制器DC开始对目标域控制器DC进行复制。(1)使用 AD 站点和服务进行复制:从 <源 DC01> 复制到 <目标 DC03>
(2)运行使用Repadmin命令:从 <源 DC01> 复制到 <目标 DC03>Repadmin /replicate DC03.contoso.com DC01.contoso.com “DC=contoso,DC=com”
22、查询域中部署的站点查询域中部署的站点:Dsquery site查询域中部署的站点导出到1.txt文件:Dsquery site >C:\Users\tempadmin\Desktop\1\1.txt
22、查询某个站点内的域控查询QQJN站点内的域控:Dsquery server -site QQJN
(二)Windows Server 事件ID什么是 Windows 事件日志Windows 事件日志是记录系统事件的文件,涵盖了应用程序错误、系统错误和安全事件等。通过这些日志,我们可以追溯问题发生的原因,了解计算机的健康状况,以及排除故障。
事件日志通常包括以下这些信息:日志名称:事件所属的类型。来源:产生事件的应用或组件。事件 ID:用于识别具体事件的编号。级别:事件的严重程度,比如「信息」、「警告」和「错误」等。用户:事件发生时的用户账户。操作代码:也叫 OpCode,记录触发事件时所执行的操作。记录时间:事件发生的具体时间。任务类别:提供事件更多细节的分类。关键字:用于分类事件的关键词,常见的有「经典」。计算机:记录事件的计算机名称。
位置日志文件位于C:\windows\system32\config\路径下,但不支持使用文本编辑器打开。
1、Windows日志-Application应用程序(1)事件ID:11707(软件安装成功)在 Windows Server 上安装软件应用程序时,相关的事件记录通常会在事件查看器中找到。安装软件时,通常会记录在事件 ID 11707(表示安装成功)和事件 ID 11724(表示安装失败)中。这些事件通常出现在应用程序日志中。
Product: Microsoft Edge – Installation completed successfully.严重性 : information类型 : Application源 : MsiInstaller
(2)事件ID:11724(软件安装失败、删除、卸载)产品: Java SE Development Kit 8 Update 131 (64-bit)-- 成功地完成了删除。严重性 : information类型 : Application源 : MsiInstaller
(4)事件ID:2142(拓扑发现失败)Process Microsoft.Exchange.Directory.TopologyService.exe (PID=7224) Forest contoso.com. Topology discovery failed, error details TimedOut.严重性 : error类型 : Application源 : MSExchangeADTopology
Process Microsoft.Exchange.Directory.TopologyService.exe (PID=7200) Forest contoso.com. Topology discovery failed, error details DsGetSiteName 失败,出现错误 0x51F。.严重性 : error类型 : Application源 : MSExchangeADTopology
DsGetSiteName失败,一旦获取站点名称失败,AD域中这台mail01服务器中的exchange相关服务启动失败导服务器宕机。
2、Windows日志-Security安全(1)事件ID:4769(某个账户登录,已请求 Kerberos 服务票证。每次请求访问资源(例如计算机或 Windows 服务)时生成此事件。服务名称表示请求访问的资源。)已请求 Kerberos 服务票证。帐户信息:帐户名: kuaii@CONTOSO.COM帐户域: CONTOSO.COM登录 GUID: {17c59c38b-44b6-4b3a-6102-681434d72cdd}
服务信息:服务名称: DC01$服务 ID: CONTOSO\DC01$
网络信息:客户端地址: ::ffff:192.168.10.100客户端端口: 63687
附加信息:票证选项: 0x40810000票证加密类型: 0x12故障代码: 0x0传递服务: -
每次请求访问资源(例如计算机或 Windows 服务)时生成此事件。服务名称表示请求访问的资源。
可以通过比较每个事件中的“登录 GUID”字段将此事件与 Windows 登录事件相关联。登录事件发生在被访问的计算机上,通常情况下,该计算机不是颁发服务票证的域控制器计算机。
票证选项、加密类型和故障代码是在 RFC 4120 中定义的。
严重性 : failure类型 : Security源 : Microsoft-Windows-Security-Auditing
(2)事件ID:4624(已成功登录帐户。创建登录会话时,将在被访问的计算机上生成此事件)已成功登录帐户。
“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。使用者:安全 ID: NULL-SID帐户名称: -帐户域: -登录 ID: 0x0
“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。登录信息:登录类型: 3受限制的管理员模式: -虚拟帐户: 否提升的令牌: 是
“模拟级别”字段指示登录会话中的进程可以模拟到的程度。模拟级别: 委派
“新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。新登录:安全 ID: CONTOSO\kuaiji帐户名称: kuaiji帐户域: CONTOSO.COM登录 ID: 0x557137链接的登录 ID: 0x0网络帐户名称: -网络帐户域: -登录 GUID: {175bb990a-1254-1677-ab38-10d36657a109}
进程信息:进程 ID: 0x0进程名称: -“网络”字段指示远程登录请求源自哪里。网络信息:工作站名称: -“工作站名称”并非始终可用,并且在某些情况下可能会留空。源网络地址: 192.168.10.100源端口: 63686
详细的身份验证信息:登录进程: Kerberos身份验证数据包: Kerberos传递的服务: -数据包名(仅限 NTLM): -密钥长度: 0
“身份验证信息”字段提供有关此特定登录请求的详细信息。
“登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。-“传递的服务”指示哪些中间服务参与了此登录请求。-“数据包名”指示在 NTLM 协议中使用了哪些子协议。-“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。严重性 : success类型 : Security源 : Microsoft-Windows-Security-Auditing用户名 : kuaiji
(3)事件ID:4634(已注销账户。在登录会话被破坏时生成此事件。)已注销帐户。
使用者:安全 ID: CONTOSO\kuaiji帐户名: kuaiji帐户域: CONTOSO登录 ID: 0x557137登录类型: 3在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。
严重性 : success类型 : Security源 : Microsoft-Windows-Security-Auditing用户名 : kuaiji
(4)事件ID:4625(帐户登录失败。登录请求失败时在尝试访问的计算机上生成此事件。)
3、Windows日志-Setup(1)事件ID:(2)事件ID:(3)事件ID:(4)事件ID:4、Windows日志-System系统(1)事件ID:12(操作系统启动)操作系统已在系统时间2024 - 1108T03:10:37.500000000Z启动。严重性 : information类型 : System源 : Microsoft-Windows-Kernel-General
(2)事件ID:13(操作系统关闭)操作系统将在系统时间2024 -11 -05T09:10:38.466731300Z关闭严重性 : information类型 : System源 : Microsoft-Windows-Kernel-General
(3)事件ID:41(操作系统已在未先正常关机的情况下重新启动)系统已在未先正常关机的情况下重新启动。如果系统停止响应、发生崩或意外断电,则可能会导致此错误。严重性 : information类型 : System源 : Microsoft-Windows-Kernel-Power
(4)事件ID:6008(操作系统意外关闭)上一次系统的 14:56:04在2024/ 11/ 7 上的关闭是意外的。严重性 : error类型 : System源 : EventLog
(5)事件ID:1074(哪个用户启动哪台计算机,重启: 其他(计划外)方式是什么,关机类型: 重启)进程 C:\Windows\system32\SystemSettingsAdminFlows,exe (DC01) 由于以下原因已代表用户 CONTOSO\temp 启动计算机 DC01 的 重启: 其他(计划外)原因代码: 0x5000000关机类型: 重启类型 : System源 : User32用户名 : NT AUTHORITY\SYSTEM
(6)事件ID:5807(在过去的 4.23 小时中有 37 连接从 IP 地址 没有映射到企业中任何站点的客户端计算机,到这个域控制器)在过去的 12.90 小时中有 27 连接从P 地址 没有映射到企业中任何站点的客户端计算机,到这个域控制器。。。。。。严重性 : warning类型 : System源 : NETLOGON
原因:子网里面没配置。把划分的子网归到辅助域控下面这个事件id就不会报错。
(1)事件ID:(2)事件ID:(3)事件ID:(4)事件ID:(三)Exchange Server 2019搭建1、Exchange Server 必备组件微软官方链接:https://learn.microsoft.com/zh-cn/exchange/plan-and-deploy/prerequisites?view=exchserver-2019也就是安装Exchange Server 2019之前,必须先提前安装这些软件才行。
计算机需要以下软件:(1)NET Framework 4.8下载链接地址:https://download.visualstudio.microsoft.com/download/pr/014120d7-d689-4305-befd-3cb711108212/0fd66638cde16859462a6243a4629a50/ndp48-x86-x64-allos-enu.exe(2)适用于 Visual Studio 2012 的 Visual C++ 可再发行组件包下载链接地址:https://www.microsoft.com/zh-cn/download/details.aspx?id=30679(3)Visual Studio 2013 的 Visual C++ 可再发行程序包下载链接地址:https://support.microsoft.com/zh-cn/topic/update-for-visual-c-2013-redistributable-package-d8ccd6a5-4e26-c290-517b-8da6cfdf4f10(4)Microsoft Unified Communications Managed API 4.0 Core Runtime(64 位)统一通信托管 API (UCMA) 4.0 是一个托管代码平台下载链接地址:https://www.microsoft.com/en-us/download/details.aspx?id=34992(1)安装.NET Framework 4.8
(2)Visual Studio 2012 的 Visual C++
(3)Visual Studio 2013 的 Visual C++
(4)Microsoft Unified Communications Managed API 4.0 Core Runtime(64 位)
2、(1)(2)(3)(4)3、(1)4、(1)————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.csdn.net/qq_61519169/article/details/140887369
