当前位置：首页 > 范文大全 > 实用文>配置Active Directory域基础结构网络服务器

配置Active Directory域基础结构网络服务器

2023-03-30 08:11:45 收藏本文下载本文

“不耐烦”通过精心收集，向本站投稿了5篇配置Active Directory域基础结构网络服务器，今天小编在这给大家整理后的配置Active Directory域基础结构网络服务器，我们一起来看看吧！

篇1：配置Active Directory域基础结构网络服务器

帐户锁定策略帐户锁定策略是一项 Active Directory 安全功能，它在一个指定时间段内多次登录尝试失败后锁定用户帐户，允许的尝试次数和时间段基于为安全策略锁定设置配置的值。用户不能登录到锁定的帐户。域控制器跟踪登录尝试，而且服务器软件可以配置

帐户锁定策略

帐户锁定策略是一项 Active Directory 安全功能，它在一个指定时间段内多次登录尝试失败后锁定用户帐户。允许的尝试次数和时间段基于为安全策略锁定设置配置的值。用户不能登录到锁定的帐户。域控制器跟踪登录尝试，而且服务器软件可以配置为通过在预设时间段禁用帐户来响应此类潜在攻击。

在 Active Directory 域中配置帐户锁定策略时，管理员可以为尝试和时间段变量设置任何值。但是，如果“复位帐户锁定计数器”设置的值大于“帐户锁定时间”设置的值，则域控制器自动将“帐户锁定时间”设置的值调整为与“复位帐户锁定计数器”设置相同的值。

另外，如果“帐户锁定时间”设置的值比为“复位帐户锁定计数器”设置配置的值低，则域控制器自动将“复位帐户锁定计数器”的值调整为与“帐户锁定时间”设置相同的值。因此，如果定义了“帐户锁定时间”设置的值，则“复位帐户锁定计数器”设置的值必须小于或等于为“帐户锁定时间”设置所配置的值。

域控制器执行此操作，以避免与安全策略中的设置值冲突。如果管理员将“复位帐户锁定计数器”设置的值配置为比“帐户锁定时间”设置的值大，则为“帐户锁定时间”设置配置的值的实施将首先过期，因此用户可以登录回网络上。但是，“复位帐户锁定计数器”设置将继续计数。因此“帐户锁定阈值”设置将保留最大值（ 3 次无效登录），用户将无法登录。

为了避免此情况，域控制器将“复位帐户锁定计数器”设置的值自动重置为与“帐户锁定时间”设置的值相等。

这些安全策略设置有助于防止攻击者猜测用户密码，并且会降低对网络环境的攻击成功的可能性。可以在组策略对象编辑器中以下位置的域组策略中配置下表中的值：

计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略

下表包含对本指南中定义的两种安全环境的帐户锁定策略建议。

帐户锁定时间

表 2.8：设置 “帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度。此设置通过指定锁定帐户保持不可用的分钟数来执行此操作。如果“帐户锁定时间”设置的值配置为 0，则锁定的帐户将保持锁定，直到管理员将它们解锁。此设置的 Windows XP 默认值为“没有定义”。

为了减少帮助台支持呼叫的次数，同时提供安全的基础结构，对于本指南中定义的两种环境，将“帐户锁定时间”设置的值配置为“30 分钟”。

将此设置的值配置为永不自动解锁似乎是一个好主意，但这样做会增加组织中的帮助台为了解锁不小心锁定的帐户而收到的呼叫的次数。对于每个锁定级别，将此设置的值配置为 30 分钟可以减少“拒绝服务 (DoS)”攻击的机会。此设置值还使用户在帐户锁定时有机会在 30 分钟内再次登录，这是在无需求助于帮助台的情况下他们最可能接受的时间段。

帐户锁定阈值

表 2.9：设置 “帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。

授权用户将自己锁定在帐户外的原因可能有：输错密码或记错密码，或者在计算机上更改了密码而又登录到其他计算机。带有错误密码的计算机连续尝试对用户进行身份验证，由于它用于身份验证的密码不正确，导致用户帐户最终锁定。对于只使用运行 Windows Server 或更早版本的域控制器的组织，不存在此问题。为了避免锁定授权用户，请将帐户锁定阈值设置为较高的数字。此设置的默认值为“0 次无效登录”。

对于本指南中定义的两种环境，将“帐户锁定阈值”的值配置为“50 次无效登录”。

由于无论是否配置此设置的值都会存在漏洞，所以，为这些可能性中的每种可能性定义了独特措施。您的组织应该根据识别的威胁和正在尝试降低的风险来在两者之间做出平衡。有两个选项可用于此设置。

将“帐户锁定阈值”的值配置为“0”可以确保帐户不会锁定。此设置值将避免旨在锁定组织中的帐户的 DoS 攻击。它还可以减少帮助台呼叫次数，因为用户不会将自己意外地锁定在帐户外。由于此设置不能避免强力攻击，所以，只有当明确符合下列两个条件时才将它配置为比 0 大的值

密码策略强制所有用户使用由 8 个或更多字符组成的复杂密码。

强健的审核机制已经就位，以便当组织环境中发生一系列帐户锁定时提醒管理员。例如，审核解决方案应该监视安全事件 539（此事件为登录失败），

此事件意味着当尝试登录时锁定帐户。

如果不符合上述条件，则第二个选项为：

将“帐户锁定阈值”设置配置为足够高的值，以便让用户可以意外输错密码若干次而不会将自己锁定在帐户外，同时确保强力密码攻击仍会锁定帐户。在这种情况下，将此设置的值配置为一定次数（例如 3 到 5 次）的无效登录可以确保适当的安全性和可接受的可用性。此设置值将避免意外的帐户锁定和减少帮助台呼叫次数，但不能如上所述避免 DoS 攻击。

复位帐户锁定计数器

表 2.10：设置 “复位帐户锁定计数器”设置确定“帐户锁定阈值”重置为零之前的时间长度。此设置的默认值为“没有定义”。如果定义了“帐户锁定阈值”，则此重置时间必须小于或等于“帐户锁定时间”设置的值。

对于本指南中定义的两种环境，将“复位帐户锁定计数器”设置配置为“30 分钟之后”。

将此设置保留为其默认值，或者以很长的间隔配置此值，都会使环境面临 DoS 攻击的威胁。攻击者对组织中的所有用户恶意地进行大量失败登录，如上所述锁定他们的帐户。如果没有确定策略来重置帐户锁定，则管理员必须手动解锁所有帐户。反过来，如果为此设置配置了合理的时间值，在所有帐户自动解锁之前用户只锁定一段已设置的时间。因此，建议的设置值 30 分钟定义了用户在无需求助于帮助台的情况下最可能接受的时间段。

用户权限分配

模块 3“Windows XP 客户端安全设置”中详细介绍了用户权限分配。但是，应该对所有域控制器设置“域中添加工作站”用户权限，本模块中讨论了其原因。“Windows 2003 Server Security Guide”（英文）的模块 3 和 4 中介绍了有关成员服务器和域控制器设置的其他信息。

域中添加工作站

表 2.11：设置 “域中添加工作站”用户权限允许用户向特定域中添加计算机。为了使此权限生效，必须将它作为域的默认域控制器策略的一部分分配给用户。授予了此权限的用户可以向域中最多添加 10 个工作站。授予了 Active Directory 中 OU 或计算机容器的“创建计算机对象”权限的用户还可以将计算机加入域。授予了此权限的用户可以向域中添加不限数量的计算机，无论他们是否已被分配“域中添加工作站”用户权限。

默认情况下，“Authenticated Users”组中的所有用户能够向 Active Directory 域中最多添加 10 个计算机帐户。这些新计算机帐户是在计算机容器中创建的。

在 Active Directory 域中，每个计算机帐户是一个完整的安全主体，它能够对域资源进行身份验证和访问。某些组织想要限制 Active Directory 环境中的计算机数量，以便他们可以始终跟踪、生成和管理它们。

允许用户向域中添加工作站会妨碍此努力。它还为用户提供了执行更难跟踪的活动的途径，因为他们可以创建其他未授权的域计算机。

出于这些原因，在本指南中定义的两种环境中，“域中添加工作站”用户权限只授予给“Administrators”组。

安全设置

帐户策略必须在默认域策略中定义，且必须由组成域的域控制器强制执行。域控制器始终从默认域策略 GPO 获取帐户策略，即使存在对包含域控制器的 OU 应用的其他帐户策略。

在安全选项中有两个策略，它们也像域级别要考虑的帐户策略那样发挥作用。可以在组策略对象编辑器中的以下位置配置下表中的域组策略值：

计算机配置\Windows 设置\安全设置\本地策略\安全选项

Microsoft网络服务器：当登录时间用完时自动注销用户

表 2.12：设置 “Microsoft 网络服务器：当登录时间用完时自动注销用户”设置确定在超过用户帐户的有效登录时间后，是否断开连接到本地计算机的用户。此设置影响服务器消息块 (SMB) 组件。启用此策略后，它使客户端与 SMB 服务的会话在超过客户端登录时间后强制断开。如果禁用此策略，则允许已建立的客户端会话在超过客户端登录时间后继续进行。启用此设置可以确保也启用了“网络安全：在超过登录时间后强制注销”设置。

如果组织已经为用户配置了登录时间，则很有必要启用此策略。否则，已假设无法在超出登录时间后访问网络资源的用户，实际上可以通过在允许的时间中建立的会话继续使用这些资源。

如果在组织中未使用登录时间，则启用此设置将没有影响。如果使用了登录时间，则当超过现有用户的登录时间后将强制终止现有用户会话。

网络访问：允许匿名 SID/名称转换

表 2.13：设置

原文转自：www.ltesting.net

篇2：CiscoNAT配置网络服务器

Inside network: 3.3.3.4 (static to 2.2.2.24 outside) 3.3.3.5 (static to 2.2.2.25 outside) | | | 3.3.3.1 (ethernet 0) Router - the_lorax 2.2.2.1 (serial 0) | | | Outside network: 2.2.2.2 Router Configuration version 11.3 service timestamps

Inside network:

3.3.3.4

(static to 2.2.2.24 outside)

3.3.3.5

(static to 2.2.2.25 outside)

3.3.3.1 (ethernet 0)

Router - the_lorax

2.2.2.1 (serial 0)

Outside network:

2.2.2.2

Router Configuration

version 11.3

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

hostname the_lorax

enable secret 5 $1$qTEA$EiD5izUJ9cNhgKMjMLAbI/

enable password ww

username john password 0 doe

! The timeout here is idle-timeout

username john autocommand aclearcase/“ target=”_blank“ >ccess-enable host timeout 2

ip nat pool net-208 2.2.2.10 2.2.2.20 netmask 255.255.255.0

ip nat inside source list 1 pool net-208

ip nat inside source static 3.3.3.5 2.2.2.25

ip nat inside source static 3.3.3.4 2.2.2.24

interface Ethernet0

ip address 3.3.3.1 255.255.255.0

ip nat inside

no mop enabled

interface Ethernet1

no ip address

shutdown

interface Serial0

ip address 2.2.2.1 255.255.255.0

ip access-group 102 in

ip nat outside

no ip mroute-cache

no fair-queue

clockrate 125000

interface Serial1

no ip address

shutdown

access-list 1 permit 3.3.3.0 0.0.0.255

access-list 102 permit tcp any host 2.2.2.1 eq telnet log-input

! The timeout here is absolute timeout

access-list 102 dynamic testlist timeout 5 permit ip any host 2.2.2.24 log-input

line con 0

line aux 0

line vty 0 4

password ww

end

原文转自：www.ltesting.net

篇3：Windows加入域网络服务器

如何连接到 Windows 2003域 1、先打开系统对话框，方法：开始(Start)控制面板(controlPanel)系统(System)，如下图所示： 2、打开了系统对话框并选择计算机名称(ComputerName)选项卡，如下图所示： 3、在该选项卡里点击“修改”（Chang）按钮，如下图所示： 4

如何连接到Windows2003域

1、先打开系统对话框，方法：开始(Start)控制面板(control Panel)系统(System)，如下图所示：

2、打开了系统对话框并选择计算机名称(Computer Name)选项卡，如下图所示：

3、在该选项卡里点击“修改”（Chang）按钮，如下图所示：

4、在计算机名称修改的对话框里，核对一下自己机器的名称并记下班，然后在成员的组框中选择“域”单选按钮，如下图所示：

5、在域的文本框中输入域名，例如我们输入一个我们实验域的名称“DOMAIN2003.com”,如下图所示：

6、确定了输入域名之后，点击“确定”（OK），如下图所示：

7、之后网络会提示您输入加入该域的用户名和密码，输入有效的用户名和密码之后，点击“确定”(OK)，如下图所示：

8、网络会检查你输入的用户名和密码，如果正确会有个提示“欢迎加入DOMAIN2003.com域”，然后点击“OK”，如下图所示：

9、你的修改只有重新启动机器方可生效，这时系统也有提示，点击“是”即可，如下图所示：

10、系统重新启动过程：

11、检查是否已经加入了域：

打开资源管理器，方法：开始（Start）资源管理器(Windows Explorer)，如下图所示：

12、在资源管理器里展开网上邻居，如下图所示：

13、接着再展开“整个网络”(Entire Network)，如下图所示：

14、看到了Microsoft Windows Network并展开，然后点击中网络中本来就存的那个域名“Domain2003”（就是我们刚才加入的那个域），如下图所示：

15、红框中标出你的机器的名称“Dell-orj9sfsktb”(即我们刚才实验的那太机器名)

至此我们就成功地将“Dell-orj9sfsktb”机器加入到“Domain2003”域中，

Windows2003加入域网络服务器

，

原文转自：www.ltesting.net

篇4：域名 Win功能特性：ActiveDirectory解析网络服务器

Active Directory提供集中组织、管理和控制对网络资源访问的方法， 1.Active Directory命名规范： l Distinguished Name: DC=com,DC=contoso,CN=Users,CN =James Smith 表示用户对象James Smith在contoso.com域中 l Relative Distinguished Name: 是Disti

Active Directory提供集中组织、管理和控制对网络资源访问的方法。

1.Active Directory命名规范：

l Distinguished Name: DC=com,DC=contoso,CN=Users,CN =James Smith 表示用户对象James Smith在contoso.com域

中

l Relative Distinguished Name: 是Distinguished Name的一部分

l User Principal Name: 由用户登录名和域名组成，如 JamesS@contoso .com

l GUID: Active Directory中的每一个对象都有唯一的GUID

2.Active Directory的逻辑结构：

l Domain：安全边界，每个域有自己的安全策略 Active Directory复制的单元有M ixed Mode和Native Mode（域控

制器都是Win2000）

l Organizational Units：用于存放对象的容器，如用户账号、组、计算机等可容纳对象和其他OU 可按地理或逻辑

需要创建OU

l Tree：共享连续的命名空间,管理员可在树中任何一个域进行管理

l Forest：一组树构成了森林，但不共享连续的命名空间 Trust

l Relationship：支持单向、非传递性的和双向、传递性的信任关系双向信任在Win2000中是缺省的

3.Active Directory的物理结构：

l Site：一个或多个通过高速连接的IP子网构成了Site Site允许配置目录访问和复制的拓扑结构创建Site是为了优化

复制流量和允许用户更好地访问域控制器

l Domain Controller： Active Directory使用多主复制模型,不存在主域控制器，域控制器之间相互复制目录数据

l Global Catalog：包含Active Directory中对象属性的子集，最常访问的属性被存放在Global Catalog中

4.Active Directory复制组件:

l Knowledge Consistency Checker（KCC）： Active Direct ory通过KCC自动配置域控制器之间的复制连接 KCC是域

控制器的内建进程，它创建连接以保持复制拓扑的完整性

l Server Object：当创建域控制器时，会自动创建一个Server Object，它和域控制器的Computer Object不一样，

尽管都指向同一个计算机，

Server Object 主要用于域控制器的复制和站点管理。 Server Object是Site Object的子对

象。Site Object应包含域控制器所在的子网。

l NTDS Setting Object：包含Connection Object对象的容器

l Connection Object：两个Server Object之间复制的一个单向连接可由K CC自动创建或管理员手动创建

5.在一个站点内复制：

当域控制器的对象发生了变化，产生一个Change notification进程，缺省等5分钟后发送消息给复制伙伴。而且复制

流量是未压缩的。复制采用的协议是RPC over IP（remote procedur e call）---提供高速、一致的连接性。

6.在多个站点之间复制：

通过schedule、interval等值来进行配置。例如，schedule决定什么时候开始复制，而 interval决定多长时间间隔

域控制器检查改变是否发生。而且，复制流量是被压缩的，压缩比大约为10%-15 % 。复制采用的协议是RPC over IP或

SMTP，但SMTP只能用于不同域的域控制器之间的复制，大多数情况下，采用RPC over IP。

7.连接多个Sites：

需要额外的对象---Site links和Site link bridges

l Site Links---表示两个Site之间的连接的对象。缺省时创建DefaultIPSiteL ink。可以为Site link指定一些

Value：

u Cost---反映连接的带宽。值从1到32767。值越大表示连接速度越满，缺省时为100。另外，应保证Cost的选择是成

比例的。

u Interval---复制的时间间隔。

u Schedule---定义什么时候可以复制，缺省时，所用时间段均可。

l Site Link Bridges---表示一组采用相同复制协议的Site Links。缺省时，所有采用相同复制协议的Site Links属

于某个Site Link Bridge，而且在完全路由的网络中，不需手工配置。

原文转自：www.ltesting.net

篇5：Windows+IIS+Resin的配置网络服务器

IIS WEB以其管理操作简单和对ASP的支持而受不少人的喜欢，这里介绍怎么用resin使IIS支持jsp和servlet。一、分别安装配置iis和resin1.1使各自都单独能正常运行。iis和resin1.1的安装后路径如下：c:apache 和 c:esin1.1。二、配置IIS 1.拷贝iis_srun.dll 到I

IIS WEB以其管理操作简单和对ASP的支持而受不少人的喜欢。这里介绍怎么用resin使IIS支持jsp和servlet。

一、分别安装配置iis和resin1.1使各自都单独能正常运行。iis和resin1.1的安装后路径如下：c:apache 和 c:esin1.1。

二、配置IIS

1.拷贝iis_srun.dll 到IIS scripts目录”c:.netpubscripts“;

2.在c:inetpubscripts目录下创建配置文件(resin.ini)用于指定resin的配置文件的位置。

resin.ini内容如下：

CauchoConfigFile c:/resin1.1/conf/resin.conf

三、配置resin

四、测试

1、运行IIS,启动resin的jsp引擎（运行c:esin1.1insrun.exe）

2、把一个jsp文件(test.jsp )放入IIS的C:Inetpubwwwroot目录下.

test.jsp如下：