正文共:1234 字 27 图,预估阅读时间:2 分钟
我们在给Windows Server添加角色和功能时,会发现有一项“远程桌面服务安装”,它的介绍为“为虚拟桌面基础结构(Virtual Desktop Infrastructure,VDI)安装所需的角色服务以创建基于虚拟机或基于会话的桌面部署”,启用这项功能之后,就可以实现VDI功能了。但是,如果我们想在服务器上部署VDI远程桌面服务,就需要将本地服务器加入到AD域中,否则无法部署。
今天,我们就以Windows Server 2019为例,简单介绍一下中创建AD(Active Directory)域控制器。
要创建AD域控制器,首先要确保服务器配置了静态IP地址,这点我们是满足的;同时因为域控服务器一般也充当DNS服务器角色,所以也需要将AD服务器设置为DNS服务器的首选DNS地址(Windows Server 2019配置DNS服务器),这点我们也已经满足了。
开始之前,建议把服务器的名称也改一下。
然后在服务器管理器,点击“添加角色和功能”选项。在向导中,选择“基于角色或基于功能的安装”,点击“下一步”。
确认选择服务器,点击“下一步”。
在“选择服务器角色”页面,选中“Active Directory域服务”,确认要添加的功能,点击“下一步”。
在“选择功能”页面,按需调整,然后点击“下一步”。
确认AD DS(Active Directory Domain Service,AD域服务)相关信息,AD DS存储有关网络上的用户计算机和其他设备的信息,有助于管理员安全地管理该信息,并有助于用户间的资源共享和协作。
确认安装信息,点击“安装”。
安装完成之后,点击结果框中的“将次服务器提升为域控制器”开始配置AD域服务。
林是由一个或多个互相关联的域组成的一个整体结构,它是AD中最高级别的组织单位。首先,选择部署操作为“添加新林”,并指定此域的根域名为DNS服务器中配置的tt.com,然后点击“下一步”。
我的服务器版本为Server 2019,但是默认的林功能级别和域功能级别最高只能选择到Windows Server 2016;域控制器功能默认勾选DNS服务器。因为需要目录服务还原模式(Directory Services Restore Mode,DSRM)密码才能登录未运行AD DS的域控制器,所以需要指定目录服务还原模式(DSRM)密码,建议设置一个强密码,并妥善保管。
因为我们已经配置好了DNS服务器,在“DNS选项”这个页面,更改创建委派的凭据,然后点击“下一步”。
NetBIOS域名配置部分,按需进行调整。
在“路径”页面,可以配置AD DS的数据库、日志文件和SYSVOL的文件夹位置,默认位置始终位于%systemroot%中,我们用默认即可。
在“查看选项”页面,检查所做的选择是否正确。
还可以点击页面中的“查看脚本”按钮,查看用于AD DS部署的Windows PowerShell脚本。
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$true `
-DatabasePath "C:\Windows\NTDS" `
-DnsDelegationCredential (Get-Credential) `
-DomainMode "WinThreshold" `
-DomainName "tt.com" `
-DomainNetbiosName "TT" `
-ForestMode "WinThreshold" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true然后点击“下一步”。
在“先决条件检查”页面,确认所有先决条件检查都成功通过,然后点击“安装”开始安装。
如上图所说,系统会自动重启以应用更改,并在重启后自动完成域控制器的安装和配置,并且自动加入域tt.com。
在远程登录时,提示证书风险,证书名称已经变成了tietou.tt.com。
在Windows系统中,可以看到计算机已经加入域tt.com,计算机全名已经变成了tietou.tt.com。
运行“dnsmgmt.msc”打开DNS管理器,我们可以看到,相比于之前,左侧导航栏中少了一个信任点的文件夹;在区域tt.com中,名称服务器(NS)中的tietou.变成了tietou.tt.com.,并且多了一条解析tietou的A记录,也就是表示将tietou.tt.com解析为192.168.1.59。
运行“dsa.msc”或“control userpasswords”打开Active Directory用户和计算机,可以在此界面查看和管理域tt.com中的用户、组和服务等。
域控制器domain controller的列表中列出了当前计算机,DC类型为GC(Global Catalog,全局编录),GC是存储林中所有AD对象副本的域控制器。
Users列出了当前的用户和组的列表,Administrator已经列出,我们就是使用此账号登陆的。
下面还有另外3个账号,我们测试一下登录情况。
可以看到,貌似账号没有登录权限,若要远程登录,改账号需要具有通过远程桌面服务进行登录的权限。难道是没有带域?我们在用户名前面输入域名tt.com,然后通过\分割账户名,下方提示登录到tt.com域。
在远程桌面用户列表中,可以看到可登录的用户名为TT\tietou2,我们用这个账户试一下。
结果还是不行,一样的情况。
后来发现是组策略(Group Policy Objects, GPOs)的问题,普通用户组已经没有权限了,暂时只能将用户先加入到管理员Administrators组了。
然后问题就解决了,可以顺利登录了。
至此,域控制器勉强算创建完了。
长按二维码
关注我们吧
Windows Server 2019配置多用户远程桌面登录服务器
Windows Server调整策略实现999999个远程用户用时登录
在线文档频繁故障不稳定,其实可以自己搭一个Etherpad在线文档
Windows部署TensorFlow后识别GPU失败,原因是啥?
TensorFlow识别GPU难道就这么难吗?还是我的GPU有问题?
同一个问题,Gemini、ChatGPT、Copilot、通义千问和文心一言会怎么答?
2473
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
