创建AD域

创建AD域（skills.cn）：

（1）安装首台域控制器

（2）安装第二台域控制器

（3）将member server加入到skills.cn域

（4）将client加入到skills.cn域

建域的必要条件：

（1）准备好适合的域名

（2）要有一台提供域名解析的服务器。如果没有的话，需要在安装的第一台服务器上安装DNS服务。

（3）要安装成域控制器的计算机需要安装Windows server操作系统。

创建AD域的步骤：

一、准备工作

搭建好如下图的网络拓扑（虚拟网络）

虚拟网络选择

VMent2 、仅主机模式、网段192.168.8.0/24

二、建立第一台域控制器（PDC）

1、将DC server1升级为第一台域控制器dc1.skills.cn

将第一台Windows server命名为DC1

第一台DCIP：192.168.8.11/24

2、添加角色和功能->Active Directory域服务->将此服务器提升为域控制器

安装AD域服务

等待安装

安装完成，点击感叹号进行配置PDC

3、添加新林，设置林根域名：skills.cn

点击将此服务器提升为域服务器

选择添加新林、设置根域名

4、选择林功能级别，域功能级别均为2016

默认安装DNS服务

默认全局编录

第一台域控制器不能是只读域控制器（RODC）

点击下一步

林功能级别：选择版本之后只能支持高版本，不支持低版本，有低版本时选择低版本，没有就默认

指定域控制器功能：域名系统（DNS）服务器

全局编录-进行所有的统一管理

设置还原密码：删除域或还原域时使用的密码

设置完成点击下一步

创建DNS委派，而且还有一个提示，这里因为没有安装DNS服务，所以不用管，直接下一步

5、设置NetBIOS名称（用于不支持DNS的系统）

这里等待刷新出来，自己有域名，所以不用管，直接下一步

6、设置AD配置文件的储存路劲（一般为默认值）

然后选择数据库、日志文件、sysvol文件夹的位置，默认选择即可，下一步

查看选项：之前配置的一些选项，直接下一步

7、完成先决条件检查后，完成安装。

先决条件检查，上面的感叹号不用管。主要看下面的检查是否通过

通过之后就点击安装

等待安装完成即可，安装完成会重启，等待重启设置即可

重启之后计算机登陆界面就会发生变化

域的密码会跟之前设置的管理员密码相同

选择其他用户登陆，使用域账号登陆，首次登陆会提示修改密码

域登陆方式：用户名：administrator@skills.cn

查看域与正常账号登录的区别

（1）查看此电脑属性

计算机名

DC1属于域，不在属于组

（2）自动安装DNS管理器

查看DNS正向查找区

查看skills.cn域存在内容

添加域之后会在Windows管理工具里面安装AD域的一些工具

AD域管理中心：容器，组织单位

8、检查DNS服务器配置记录

（1）DC是否已经在DNS服务器中进行了注册（检查是否有tcp之类的目录）

（2）如果发现域控制器没有在DNS服务器上进行注册，就需要重启netlogon服务，进行重新注册

三、建立多台域控制器

建立多台域控制器（DC）的好处：

（1）改善用户登录效率

（2）容错功能

1、将DC server2 升级为第二台域控制器dc2.skills.cn

如果DC server2 是通过克隆生成的虚拟机，需要执行sysprep.exe重新生成sid（位置C:\Windows\System32\Sysprep\sysrep.exe）

根据提示重新准备系统

2、修改计算机名为dc2，配置ip地址和dns服务器

设置计算机名称需要重启计算机才能生效

配置IP

3、执行与建立第一台域控制器相同的操作，不同的是在选择部署操作时选择“将域控制器添加到现在域。然后按照提示完成操作。”

（1）添加AD域管理器

（2）安装完成之后将此服务器提升为域控制器

（3）将域控制器添加到现有域

--选择将域控制器添加到现有域

--输入域名，点击选择进行部署操作的凭证（操作凭证由创建域的管理员administrator@skills.cn提供凭证）

--点击确定找到域

（4）域名系统（DNS）服务器和全局编录可做可不做、设置还原密码

（5）其他选项，指定域控从什么地方获取，可以是任何域控，也可以选择指定域控，因为只有一个，所以我们选择从DC1.skills.cn获取

（6）选择数据库、日志、sysvol文件的储存路径（默认）

（7）查看选项

（8）先决条件检查，检查通过直接进行安装

（9）等待安装进度完成，安装完成需要重启计算机

进入DC server1查看

打开AD DS管理工具

查看Domain Controllers

双击打开之后就会看到添加了新的计算机DC2

（10）使用域管理员账号登陆，其他账号没有设置

（11）查看属性，现在计算机属于域skills.cn，不在属于组

查看计算机管理发现将计算机添加到域之后，计算机管理组就会消失，管理将在域中进行管理

4、将计算机加入到域或脱离域

在Windows计算机的系统属性中选择“计算机名”，然后更改输入要加入的域，按提示操作即可

加入到域的计算机，既可以进行域登录，也可以进行本地登录

使用域账户登录时可以使用如下格式之一：

（1）域名\用户名

（2）域的netbios名\用户名

（3）用户名@域名

脱离域的操作过程是上述加入域操作过程的反过程

四、将普通计算机添加到域

1、将虚拟机系统 Windows 7添加到域

（1）设置计算机网络

设置计算机的网络适配器为VMent 2

设置ip地址

（2）控制面板>系统和安全>系统

（3）重命名计算机

（4）将计算机名称设置为client

（5）重启计算机、更改名称需要重启

（6）设置计算机隶属于域

点击确定进行认证

认证成功

立即重启

（7）在DC1中查看computers发现client计算机已经添加到域内

添加完成

2、将虚拟机Windows server 2016添加到域

（1）设置虚拟机网络

（2）将虚拟机命名为member

由于虚拟机是自主安装，不是克隆生成，所以不需要重新生成sid

（3）将虚拟机添加到域

（4）添加成功

（5）在DC1中查看

（6）添加成功

（7）在DC中查看添加信息