目录
实验一:安装服务
配置服务器的IP地址
将服务器设置为静态IP地址,确保它不会因为DHCP服务器的变更而改变。
安装Active Directory域服务角色
打开“服务器管理器”。
点击“管理”菜单,然后选择“添加角色和功能”。
在“添加角色和功能向导”中,选择“角色”或“功能”安装,然后点击“下一步”。
选择“Active Directory域服务”,然后在系统提示安装额外功能时点击“添加功能”。
配置Active Directory
安装角色后,返回服务器管理器,您将看到一个提示来“提升此服务器为域控制器”。
点击此通知,启动配置向导。
选择“新增林”并输入您的根域名(例如:yourcompany.com)。
设置域和林功能级别,通常选择最新的功能级别以访问最新的AD功能。
设置一个强大的目录服务还原模式(DSRM)密码。
完成AD DS安装
完成向导并重启服务器,这样您的服务器就会成为域控制器。
在重启后,您可以通过“Active Directory用户和计算机”管理工具来管理您的域。
配置DNS服务
确保DNS正确配置,因为AD DS依赖于DNS服务来定位域控制器和管理域内的通信。
添加用户和计算机到域
在“Active Directory用户和计算机”中创建用户帐户和计算机帐户。
将客户端计算机加入到域中,以便开始管理。
实验二:配置额外域控制器
先决条件
确保你要配置的额外域控制器的服务器已经安装好Windows Server 2019,并且加入了现有域。
确保额外域控制器使用的是静态IP地址,而不是动态分配的IP地址。并且和主域控可以互相访问。
加入现有域
打开“服务器管理器”。
点击“本地服务器”,找到“工作组”并点击旁边的链接。
在“系统属性”窗口中,点击“更改”按钮。
选择“域”,输入现有域的名称(如hanhan.com)。
点击“确定”,系统将提示您输入有权限加入域的用户凭据。
成功加入域后,系统会提示重启计算机,点击“重启”。
安装AD DS角色
重启后,重新打开“服务器管理器”。
在“服务器管理器”中,点击右上角的“管理”菜单,选择“添加角色和功能”。
在“添加角色和功能向导”中,点击“下一步”,直到到达“选择安装类型”页面。
选择“基于角色或基于功能的安装”,然后点击“下一步”。
在“选择目标服务器”页面中,选择当前服务器并点击“下一步”。
在“选择服务器角色”页面,勾选“Active Directory域服务”,系统会提示添加相关的管理工具,点击“添加功能”。
点击“下一步”,直到到达“确认安装选择”页面,点击“安装”。
配置额外域控制器
安装完成后,服务器管理器会显示一个标志,提示“进行AD DS配置”,点击“任务详细信息”旁边的“更多”链接,或者点击顶部通知栏的“推广此服务器为域控制器”链接。
在“部署配置向导”中,选择“将域控制器添加到现有域”。
输入域名(通常会自动填充),然后点击“选择”以选择现有域的凭据(具有域管理员权限)。
点击“下一步”继续。
域控制器选项
在“域控制器选项”页面:
DNS:默认情况下,DNS服务器选项会被选中。如果您希望该服务器也作为DNS服务器,可以保持默认。
全局编录(GC):全局编录选项也是默认选中的,这对于额外的域控制器是有利的。
只读域控制器(RODC):通常您不需要选中此选项,除非您希望该域控制器是只读的。
输入目录服务还原模式(DSRM)的密码,必须记住这个密码,因为它在目录恢复模式中使用。
确认复制
选择“从”选项,将新的域控制器与现有的哪个域控制器同步。通常可以选择自动选择最近的域控制器。
点击“下一步”。
配置AD DS数据库、日志和SYSVOL位置
默认情况下,AD DS数据库、日志文件和SYSVOL文件夹的位置设置为C:\Windows\NTDS和C:\Windows\SYSVOL。如果有需要,可以更改它们的位置。
点击“下一步”。
检查和安装
系统会自动检查安装的需求,如果一切正常,您将会看到“所有先决条件检查已成功完成”的消息。
点击“安装”以开始安装和配置额外的域控制器。
完成安装并重启
安装和配置完成后,服务器会自动重启。
重启后,新的域控制器会加入现有的域,您可以通过Active Directory用户和计算机(ADUC)或Active Directory站点和服务来验证新域控制器的配置。
验证配置
打开“Active Directory用户和计算机”工具,确认新的域控制器已显示在域控制器的列表中。
通过“Active Directory站点和服务”工具检查新域控制器的站点配置和复制设置。
确认DNS配置(如适用)已正确设置,并且新的域控制器能够解析DNS查询。
实验三:降级删除卸载
林(Forest)
这是Active Directory的最高级别,林包含一个或多个域,并共享一个全局目录。林内的所有域共享相同的架构(Schema)和配置(Configuration)。
降级的影响:如果降级的是林根域(Forest Root Domain)的最后一个域控,整个林将会被摧毁,这是一种不可逆的操作。
域(Domain)
域是林中的一个逻辑分区,每个域都有自己的用户、组和计算机对象,并且由域控制器管理。一个林中可以有多个域,域之间可以通过信任关系互相认证。
降级的影响:如果降级的是域的最后一个域控制器,该域将会被删除。在多域环境中,这一过程不会影响其他域。
域控制器角色(FSMO角色)
在每个域中,有五个灵活单主操作(FSMO)角色,这些角色由域控制器执行。
架构主机(Schema Master)
域命名主机(Domain Naming Master)
基础结构主机(Infrastructure Master)
相对标识符主机(RID Master)
PDC仿真器(PDC Emulator)
降级的影响:在降级域控制器之前,这些角色需要被转移到其他活跃的域控。如果不正确地处理,可能导致服务中断或数据不一致。
站点(Site)
这是物理网络的一个逻辑表示。站点通常用于优化网络流量和登录服务,因为它将用户和资源分布在不同的物理位置中。
降级的影响:降级一个域控不会直接影响站点,但如果站点中没有其他域控,则该站点将失去域控服务,可能影响登录和服务的提供。
域控制器(Domain Controller)
这是执行认证和授权的服务器,管理域中对象(如用户和计算机)的安全策略,并将更改复制到其他域控制器。
降级的影响:将域控制器降级为普通服务器,意味着该服务器将不再参与AD的复制和认证活动。如果是域中的最后一个域控,整个域将被删除。
全局编录(Global Catalog)
全局编录是一种特殊的域控制器,存储整个林中的对象信息,以便在林中的所有域之间实现快速查询。
降级的影响:降级一个全局编录域控可能会导致跨域查询变慢,因此在多域环境中需要确保至少有一个全局编录服务器。
以上步骤涵盖了从安装到配置再到降级的全过程,通过这些步骤可以确保Active Directory环境的稳定性和正确性。
扫一扫
958
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
