身份验证:对象&对象信息,数据库,网络协议
本地身份验证:SAM文件-本地数据库
对象:用户名-SID
![clip_image001[4]](http://i2.51cto.com/images/blog/201804/20/cc303aeb3ee1b0c88a55483b89a4c279.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image001[4]")
网络身份验证(AD(数据库)DS(身份验证服务))
![clip_image002[4]](http://i2.51cto.com/images/blog/201804/20/6a2add62fd94e9faed34d40dbf34bb4d.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image002[4]")
授权:对象(用户和组),资源,ACL列表
对象:确认用户和组的关系-集中管理
资源:被访问的对象-将该对象的信息(标识)保存到网络的数据库中,进行集中管理
ACL列表:在每个资源上必须配置-在网络中的数据库中,集中管理对象和资源的访问列表
逻辑组件(AD数据库)
分区(Partition):在AD数据库中的不同类型的数据,进行集中分类保存,不同类型的数据所在数据库的区域,AD数据库分区
![clip_image003[4]](http://i2.51cto.com/images/blog/201804/20/8e1040a145f7f7189cba9c4e8579ea57.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image003[4]")
分区定义
架构(Schema)分区:对象的属性定义和分类
配置(Configuration)分区:AD的配置和其他和AD有关的配置信息
域(domain)分区:AD数据库的对象(用户,组,共享文件夹,计算机)
应用程序(application):保存其他应用的信息(DNS)
域(Domain)AD DS:
AD数据库:集中管理指定区域的对象和资源
数据库管理的范围-逻辑区域
安全边界-每个数据库都有唯一的最大权限的管理员-数据库管理员不能够跨数据库管理
为其他应用提供身份验证服务
树(Tree):一个以上域关系,使用相同的DNS名称后缀的域关系
多域环境:
业务角度:组织中的其他可以独立管理权限(独立采购)
技术角度:当前AD数据库的文件过大
业务类型相同:
域名称:
客户端通过DNS服务查询到AD域服务,AD的数据库和服务器的命名必须按照DNS的命名规范
![clip_image004[4]](http://i2.51cto.com/images/blog/201804/20/a1589eafabe38c5862e511941d15d973.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image004[4]")
森林(Forest):一个域或者多个域代表一个组织
森林中域的名称根据相互组织内部的业务范围
域的名称可以相同的DNS后缀(域树),也可以使用不同的名称
![clip_image005[4]](http://i2.51cto.com/images/blog/201804/20/2354dbb982df81c0a157c6b573b1a6cf.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image005[4]")
定义组织中的域是否属于同一个森林
组织中属于同一个森林的域的AD数据库中,架构和配置分区相同
架构和配置分区相同:当应用或者配置对架构和配置分区进行修改时,会产生全林复制
组织中同一个森林的域在创建时,会自动创建信任关系
信任关系:森林内部任意一个域的用户可以登陆任意域的计算机
组织单位(OU):
在AD数据库的域分区中,根据企业内部的组织结构很分类,对域中的对象进行分类管理,重新定义AD数据库中的对象在AD数据库的位置
在部署组策略时,OU为组策略部署的最基本的单位
定义委派:指定一个普通的AD用户具备指定的AD权限
容器(Container):
AD中的容器,是指AD对象默认或者手动定义的位置,通过默认或者手动创建的容器区分(文件夹)
属性:cn=zhangsan,ou=it,dc=contoso,dc=com
物理组件
数据存储(data store):AD数据库文件,和其他文件夹
NTDS.dit--使用NTDSutil工具进行维护
![clip_image006[4]](http://i2.51cto.com/images/blog/201804/20/c02614db2c5748907e99e6b8ab59ee59.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image006[4]")
共享文件夹(137,138,139,445)
![clip_image007[4]](http://i2.51cto.com/images/blog/201804/20/f3c86cb8de47169c0f9ac0846cfe7282.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image007[4]")
域控制器(Domain Controller)(DC):承载和维护AD数据库,为其他的对象提供身份验证服务,和其他的域控制器实现AD数据库的副本同步(复制)
一个AD域环境(数据库):至少两个DC进行部署,实现双机热备
全局编录服务器(Global Catalog server)(GC):由DC升级而来,GC的AD数据库中,域分区中的对象为整个森林中的所有对象和部分属性,为指定的应用(Exchange)提供快速查询功能
只读域控制器(Read-Only Domain Controller,RODC):RODC的AD数据库只能接收其他指定DC的AD数据库中的内容,当只读域控制器中的数据库发生变化时,也不会同步到其他的可写的DC中
只收不向其他DC同步数据库
角色分离:可以指定普通用户登陆RODC进行服务器维护,无法修改和配置AD数据库的内容
密码缓存:RODC默认不保存任何AD用户的密码凭据,可以定义指定的用户组缓存到指定的RODC中,方便用户快捷登陆
站点(site):
当企业的规模在多个地理位置时,为了在IT中区分和定义不同的地理位置,通过IP子网进行定义
AD站点:
由于组织在不同地理位置中需要AD域服务器,所以在不同的地理位置,定义IP子网和域控制器为站点的基本组成-域控制器(DC)+IP子网-绑定
帮助AD的客户端通过站点定义不同的地理位置-优化登陆
帮助DC当AD数据库发生变化时优化复制
AD站点配置保存到AD数据库的配置分区,同步到和AD数据库集成的DNS区域数据库中,当客户端通过DNS查询时,可以查到不同站点的信息
AD管理工具
AD管理中心
基于新的图形界面的管理工具,具备常用的管理功能,自动将所有操作已Powershell命令作为历史记录,供使用者学习Powershell
![clip_image001[10]](http://i2.51cto.com/images/blog/201804/20/fe4244987b41df406da3748ccacf9e94.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image001[10]")
AD用户和计算机:常用的AD对象管理工具
![clip_image009[4]](http://i2.51cto.com/images/blog/201804/20/db5631284adce80a1ee8d36000bf9828.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image009[4]")
AD站点和服务(配置分区)
AD站点的配置和管理
![clip_image010[4]](http://i2.51cto.com/images/blog/201804/20/1794c26c9c14532769db180c66d1bd2c.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image010[4]")
AD域和信任关系
查看和更改当前AD森林结构
![clip_image011[4]](http://i2.51cto.com/images/blog/201804/20/a4fe32307a55b4e9f34ca201e13200ae.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image011[4]")
查看和更改当前AD森林&域-功能级别
当前森林&域环境中,AD域控制器(DC)的操作系统的最低版本-只能升级,无法降级
当定义高的功能级别后
支持AD的一些新功能
当前DC的操作系统低于当前AD的功能级别时,该DC停止工作
![clip_image012[4]](http://i2.51cto.com/images/blog/201804/20/349221c21495656ca33926e8afe9a9a1.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image012[4]")
![clip_image013[4]](http://i2.51cto.com/images/blog/201804/20/7d6c37dcfaedae296ae3769ce0807453.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image013[4]")
定义低功能级别时
可以兼容低版本操作系统的域控制器
功能级别的范围:
如果定义森林功能级别过高,导致整个森林中的所有域的域控制器的操作系统的版本,必须升级
UPN后缀
![clip_image014[4]](http://i2.51cto.com/images/blog/201804/20/83e5d0e307e0e808310f791faaf2bbe8.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image014[4]")
![clip_image015[4]](http://i2.51cto.com/images/blog/201804/20/784723c2cc583ba7adc183563e9fd132.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image015[4]")
![clip_image016[4]](http://i2.51cto.com/images/blog/201804/20/1004e704286b45e455a41a987dbc62da.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image016[4]")
当用户使用了UPN后缀后,仅可以使用UPN类型的用户名登陆加入域的计算机对象
ADSI编辑器
用于AD数据库的功能:架构,配置和域分区进行编辑
AD架构管理工具
![clip_image017[4]](http://i2.51cto.com/images/blog/201804/20/480cc3c4c58c4df25d67f87865899c5e.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image017[4]")
MMC管理控制台
![clip_image018[4]](http://i2.51cto.com/images/blog/201804/20/0072afff7ad27f4eb2c03e10c5068a55.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image018[4]")
![clip_image019[4]](http://i2.51cto.com/images/blog/201804/20/15fe42fc214d5d4d55311ce3b9651a60.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image019[4]")
创建属性,定义哪些对象属性复制到全局编录(GC)服务器
![clip_image020[4]](http://i2.51cto.com/images/blog/201804/20/94cf0f8fdcfccf5de2eff72b47c3c8b9.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image020[4]")
命令行管理工具
基于CMD的AD管理命令
![clip_image021[4]](http://i2.51cto.com/images/blog/201804/20/c1f5400246dff0fc5491d79faf6598b0.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image021[4]")
基于Powershell的AD管理命令
![clip_image022[4]](http://i2.51cto.com/images/blog/201804/20/62b22ce88f0e42f8862d2f9bb2aa7dd9.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image022[4]")
![clip_image023[4]](http://i2.51cto.com/images/blog/201804/20/dadb6253a50fa0e16bde288c9e43bba7.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image023[4]")
AD客户端登陆
DNS解析
定义当前AD客户端的站点
查询和当前AD客户端相同站点的SRV记录-身份验证KDC验证
返回给客户端支持AD身份验证服务的主机
AD客户端连接
本地客户端必须启用netlogon服务
![clip_image024[4]](http://i2.51cto.com/images/blog/201804/20/41c6d45588ce20f0e394777fdabcbd2e.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image024[4]")
本地客户端必须能够通过共享访问域控制器的netlogon的共享文件夹
![clip_image025[4]](http://i2.51cto.com/images/blog/201804/20/cb5d8861dca64a6dd87f6a737a7ab160.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image025[4]")
创建KDC连接,传递凭据,实现登陆
操作主机(FSMO、OM、MO)
默认环境中,所有的域控制器为可写域控,域控制器之间定义为“多主复制”
有些特殊的AD配置,需要指定角色的域控制器变更,该域控变更后,会同步到其他域控制器“单主复制”-定义决策需要唯一的角色来定义
操作主机角色-可以定义在当前AD森林中任意的标准的可写域控制器(DC)
角色-在指定的范围中,具备唯一性
林范围:组织唯一
域范围:当前域唯一
主机角色-
架构主机(schema master)-林范围唯一
架构扩展(添加AD属性)-
可以在任意域控制器中扩展架构
扮演架构主机角色的域控制器必须在线
登陆域控制器的用必须为架构管理员组(Schema admins)成员
域命名主机(Domain Name master)-林范围唯一
当森林中创建新的AD域时,由扮演该角色的域控制器定义该AD域的名称是否通过
PDC仿真主机-域范围唯一
同步当前域中的AD数据库的对象的密码和当前域的事件
基础结构主机-域范围唯一
当前AD域的基础架构(域控制器的数量,配置)
扮演基础结构主机的域控制器不能定义为全局编录服务器(GC)-如果定义-GC的功能会停止
RID主机-域范围唯一
为AD对象分配唯一的标识GUID+SID
新建AD用户、计算机加入域等待都需要扮演RID主机角色的域控制器分配相关的标识符
管理和配置操作主机角色
查询当前操作主机角色
Netdom query fsmo
管理和配置:
当扮演指定角色的主机故障&离线时,需要抢夺
当域控制器的操作系统升级时(部署新版本操作系统的域控制器),需要迁移
AD域升级:原有AD域的域控制器,按照新的版本的服务器操作系统(windows Server 2016)
扩展当前AD域的属性(扩展架构)
提升按照新版本系统的服务器为额外域控制器
迁移操作主机角色到新的域控制器中
定义共存周期(一周)(旧版本的域控制器进行完整备份)
将旧版本系统的DC卸载AD域服务器,和退域操作
操作数据的传输和抢夺
NTDSutil工具
![clip_image026[4]](http://i2.51cto.com/images/blog/201804/20/5b4c165ff0883e5e9dbdfd74ed8a682c.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image026[4]")
部署域控制器
基本部署域控制器
本地部署
通过图形界面,安装额外的域控制器
服务器准备:域控制器的名称定义(计算机命名规范)
公司简称+业务(可选)+地理位置+编号
网络:必须配置静态的IP地址,定义DNS
已经为域成员服务器(加域状态)&工作组状态
部署过程:
安装AD域服务角色
提升当前服务器为域控制器
远程部署(Server Core)
初始化Server Core系统密码
![clip_image027[4]](http://i2.51cto.com/images/blog/201804/20/cb488bca87224e460e2537016e3bac70.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image027[4]")
使用命令行工具,进行初始化配置(计算机名称,网络地址信息,域环境)
![clip_image028[4]](http://i2.51cto.com/images/blog/201804/20/7fce1b6a0e36e0f7cc1e5378e14da519.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image028[4]")
![clip_image029[4]](http://i2.51cto.com/images/blog/201804/20/d64d90fe2781641d63b3140d2d7c8fa4.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image029[4]")
在其他域控制器使用“服务器管理器”进行远程的配置和管理
![clip_image030[4]](http://i2.51cto.com/images/blog/201804/20/2bdf4aa4ba2dcc2f4752bc4a362358e0.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image030[4]")
![clip_image031[4]](http://i2.51cto.com/images/blog/201804/20/73cff1f5d358a6b797d06a2446263f7b.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image031[4]")
![clip_image032[4]](http://i2.51cto.com/images/blog/201804/20/e1184a688ad477f322cbef46050da756.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image032[4]")
介质安装域控制器
在正常的可写域控制器中,使用NTDSutil工具,创建AD数据库base介质用于安装域控制器
![clip_image033[4]](http://i2.51cto.com/images/blog/201804/20/b5080fb8c4e75f32199025031af196fa.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image033[4]")
除了创建AD数据库的base介质外,默认在创建前自动将AD数据库进行整理
安装条件:不同地理位置间的带宽较低,当前AD数据库(NTDS.dit)体积较大
安装过程中,选择使用介质安装AD域控制器
![clip_image034[4]](http://i2.51cto.com/images/blog/201804/20/2f9aeab25e568db19ce25e7685d58898.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image034[4]")
只读域控制器(RODC)
组织的分支机构必须放置域控制器,不需要给该分支机构过大的权限去管理AD
准备:AD准备:
创建“预安装的RODC的计算机账户”
创建一个未来需要配置为RODC的计算机账户,为只读域控制器
![clip_image035[4]](http://i2.51cto.com/images/blog/201804/20/e5d87ae964a437b03d20812ca20d974c.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image035[4]")
![clip_image036[4]](http://i2.51cto.com/images/blog/201804/20/65777a054c7635d546175c23ec9587f8.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image036[4]")
![clip_image037[4]](http://i2.51cto.com/images/blog/201804/20/7fd59f95737075e67f8f1822e41e60a6.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image037[4]")
![clip_image038[4]](http://i2.51cto.com/images/blog/201804/20/395659bdd500bb49cc9cbd4e2494bc14.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image038[4]")
服务器准备
计算机名称:计算机名称必须和“预安装的RODC的计算机账户同名”,为工作组状态
网络和系统准备:配置网络信息,安装好AD域服务器角色
![clip_image039[4]](http://i2.51cto.com/images/blog/201804/20/4e3b1f17e6b4a407134ff97dea1e8f70.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image039[4]")
![clip_image040[4]](http://i2.51cto.com/images/blog/201804/20/7f36268acbad1a785b9e3d6151e91f02.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image040[4]")
克隆域控制器
配置克隆域控制器权限组
![clip_image041[4]](http://i2.51cto.com/images/blog/201804/20/a030eca0331ef00d795a09f90c7be91d.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image041[4]")
生成克隆域控制器配置文件
![clip_image042[4]](http://i2.51cto.com/images/blog/201804/20/bf114b359c9d57f350a01f41a965bea0.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image042[4]")
封装虚拟机的域控制器
导出该虚拟机
复制虚拟机
生成新的域控制器
配置新的克隆域控制器