搭建AD域

建立AD DS域

实验场景：张三、李四等人创建了一家公司，经过发展达到了500余人的规模。公司有不同的部门，部门(或分公司)之间有不同的密码要求，进行活动目录设计。

实验目的：搭建AD域环境。

建立AD DS域前，需要选择适当的DNS域名，准备好一台用来支持AD DS的DNS服务器，选择AD DS数据库的存储位置。

在AD DS域中，域控制器会将自己所扮演的角色登记到DNS服务器内，以便让其他计算机通过DNS服务器来找到这台域控制器，因此需要一台DNS服务器，且该DNS服务器需要支持SRV记录，同时最好支持动态更新、Incremental Zone Transfer与Fast Zone Transfer等功能。

域控制器需要利用磁盘空间来存储：AD DS数据库（用来存储AD DS对象）；日志文件（用来存储AD DS数据库的变更记录）；SYSVOL文件夹（用来存储域共享文件)。

在域架构中，最核心的就是DC(Domain Control，域控制器)。域控制器可分为三种：域控制器、额外域控制器和只读域控制器(RODC)。创建域环境首先要创建DC，DC创建完成后，把所有需要加入域的客户端加入到DC，这样就形成了域环境。网络中创建的第一台域控制器，默认为林根域控制器，也是全局编录服务器，FSMO操作主机角色也默认安装到第一台域控制器。 一个域环境中可以有多台域控制器，也可以只有一台域控制器。当有多台域控制器的时候，每一台域控制器的地位几乎是平等的，他们各自存储着一份相同的活动目录数据库。当你在任何一台域控制器内添加一个用户账号或其他信息后，此信息默认会同步到其他域控制器的活动目录数据库中。多个域控制器的好处在于当有域控制器出现故障了时，仍然能够由其他域控制器来提供服务。

目录

一、 配置DNS

二、 安装AD DS功能

三、 提升域控制器

四、 计算机加入域

五、 脱离域

六、 建立子域

七、 添加域树

八、 删除子域

九、 新建额外域控制器

• 配置DNS

1.配置静态IP地址

安装DNS功能前需要先将网络配置为静态IP。因为DNS具有将域名解析为IP地址的作用，如果不配置静态的IP地址，那么IP地址的变换，就会导致服务器不能访问上。

操作步骤	相关截图
开始-控制面板-单击“网络与Internet”。
单击“网络和共享中心”。
单击“连接”。
单击“属性”-单击“Internet协议版本4(TCP/IPv4)”-单击“属性”-单击“使用下面的IP地址”，将本机IP地址、网关和子网掩码填入-单击“使用下面的DNS服务器地址”，为其设置一个正确的DNS。
确认网络已连接，静态网络配置完毕。

2.在Windows Server2012 R2中添加DNS功能

操作步骤	相关截图
在Windows Server2012 R2中添加DNS功能，单击“添加角色和功能”。
默认，单击“下一步”。
选中“基于角色或基于功能的安装”，单击“下一步”。
选中“从服务器池中选择服务器”，单击“下一步”。
勾选“DNS服务器”-单击“下一步”按钮。
默认选择，单击“下一步”按钮。
默认选择，单击“下一步”按钮。
默认选择，单击“安装”按钮，安装完成。

3.配置DNS正向解析

操作步骤	相关截图
单击服务器管理器右上角的“管理”-单击“DNS”。
在DNS服务器上创建出一个区域，区域的名称和域名相同，域内计算机的 DNS记录都创建在这个区域中，右键“正向查找区域”，单击“新建区域”。
单击“下一步”按钮。
选择“主要区域”后单击“下一步”按钮。
输入创建的域名，单击“下一步”按钮。
默认，单击“下一步”按钮。
选择“允许非安全和安全动态更新”，单击“下一步”按钮。
单击“完成”按钮。

1. 更改NS记录和SOA记录

NS是解析服务器记录。用来表明由哪台服务器对该域名进行解析。例如用户希望由192.168.232.215这台服务器解析ws2012r2.xn.com，则需要设置ws2012r2.xn.com的NS记录。

SOA叫做起始授权机构记录，NS用于标识多台域名解析服务器，SOA记录用于在众多NS记录中哪一台是主服务器。

操作步骤	相关截图
右键NS记录，单击“属性”。
删除原来的NS记录。
如图所示。
右键SOA记录，单击“属性”。
确定主服务器，单击“确定”按钮。
右键“刷新”。
检查主机记录。

• 安装AD DS功能

操作步骤	相关截图
在Windows Server2012 R2中添加Active Directory域服务，单击“添加角色和功能”。
默认，单击“下一步”。
选中“基于角色或基于功能的安装”，单击“下一步”。
选中“从服务器池中选择服务器”，单击“下一步”。
选中“Active Directory域服务“，单击“下一步”。
默认选择，单击“下一步”。
默认选择，单击“下一步”。
默认选择，单击“安装”。
安装完成后，单击“关闭”按钮。

• 提升域控制器

在建立第一台域控制器test1.adtest.com时，它就会同时建立此域控制器所隶属的域adtest.com、建立域adtest.com所隶属的域树，而域adtest.com也是此域树的根域。由于是第一个域树，因此它同时会建立一个新林，林名称就是第一个域树根域的域名adtest.com。域adtest.com就是整个林的林根域。

域控制器是由工作组计算机升级而成，只有Windows Server（WEB版本除外）系统才可以提升为域控制器。服务器想要升级为域控制器，需要满足以下条件：

1）具有NTFS文件系统，因为SYSVOL文件夹需要NTFS文件系统。

2）静态ip地址，因为域控制器需要静态的ip。

如果是安装第一个域的域控，需要该服务器本地管理员权限。如果是安装现有域的额外域控制器，需要该域的域管理员权限。如果是安装子域的域控，需要企业管理员权限。

操作步骤	相关截图
单击服务器管理器上方的旗帜符号，单击“将此服务器提升为域控制器”。
选择“添加新林”-填入“根域名”adtest.com -单击“下一步”按钮。
选择林功能级别、域功能级别-设置密码并确认密码-单击“下一步”按钮。
默认，单击“下一步”按钮。
输入NetBIOS名称-单击“下一步”按钮。
默认选择，单击“下一步”按钮。
默认选择，单击“下一步”按钮。
单击“安装”按钮。

完成域控制器的安装后，原本这台计算机的本地用户账户会被移动到AD DS数据库。另外由于它本身也是DNS服务器，因此会自动将首选DNS服务器的IP地址改为代表自己的127.0.0.1。

• 计算机加入域

操作步骤	相关截图
在Perth成员机中进入“服务器管理器”界面-单击“本地服务器”-单击工作组“WORKGR OUP”。
在系统属性的计算机名选项卡中单击“更改”按钮-隶属于选择域，填写域名“adtest.com”-单击“确定”按钮。
输入域管理员账号密码。
出现右图提示则表明已经成功加入域，单击“确定”按钮。
需要重新启动计算机，单击“确定”按钮。
重启后使用管理员登录显示perth已经成功加入域了。
加入域后,其完整计算机名称的后缀就会附上域名。
在域控Windows Server2012 R2上单击服务器管理器“工具”-单击“ActiveDirect ory用户和计算机”。
WindowsServer2012 R2的ActiveDirect ory用户和计算机中Computers里可以看见Perth已经加入域了。

• 脱离域

脱离域的方法与加入域的方法大同小异，不过必须是Enterprise Admins、Domain Admins的成员或本机系统管理员才有权将此计算机脱离域。

在WindowsServer20 12 R2的ActiveDirect ory用户和计算机中Computers确认P2已经加入域了。
利用域管理员账号登录。
打开服务器管理器-单击左侧的本地服务器-单击右侧域处的“adtest.co m”。
单击“更改”按钮-选中工作组并输入适当的工作组名称（例如WORKGROUP)。
单击“确定”按钮。
输入域管理员账号密码。
单击“确定”按钮。
出现欢迎加入工作组界面时单击“确定”按钮重新启动计算机。
在WindowsServer201 2 R2的ActiveDirectory管理中心-单击“adtest(本地)”-单击“Computers”，可以看见P2已被禁用。

• 建立子域

对于公司域来说，例如现在需要为每一个事业集团配备一台DNS服务器，分别管理各事业集团自己的信息，但一个域是不可分割的，这该怎么办呢？没关系，我们可以在域的下面创建下级域（又称为子域），然后再将它们分别分配给各个事业集团。

比如，假设公司的域为http://test1.adtest.com，我们可以在这个域的下面创建子域，即http://bj.test1.adtest.com，然后就可以将下级域分配给不同的事业集团来使用。如果公司下级的组织不是事业部而是子公司，对于域来说也是没有区别的。在这个基础上，我们通过http://test1.adtest.com就可以得到不同主机的IP结果。

操作步骤	相关截图
在Windows Server2012 R2中添加Active Directory域服务，单击“添加角色和功能”。
默认，单击“下一步”。
选中“基于角色或基于功能的安装”，单击“下一步”。
选中“从服务器池中选择服务器”，单击“下一步”。
选中“Active Directory域服务“，单击“下一步”。
默认选择，单击“下一步”
默认选择，单击“下一步”
默认选择，单击“安装”
安装完成后，单击“关闭”按钮
单击服务器管理器上方的旗帜符号，单击“将此服务器提升为域控制器”
选中“将新域添加到现有林”，选择类型为“子域”，输入父域名”adtest.com”、新域名”bj”后单击“更改”按钮
输入有权添加子域的用户账号与密码后单击“确定”按钮。返回一个界面后单击“下一步”按钮。
选择域功能级别:此处假设选择Windows Server 2012R2；默认会直接在此服务器上安装DNS服务器；默认会扮演全局编录服务器的角色；新域的第一台域控制器不可以是只读域控制器（RODC)；选择新域控制器所在的AD DS 站点，目前只有一个默认的站点Default-First-Site-          Name可供选择；设置目录服务还原模式的系统管理员密码。 完成以上设置后单击下一步按钮。
默认“下一步”操作
填写NetBIOS域名“BJ”，单击“下一步”操作
默认选项，单击“下一步”操作
默认选项，单击“下一步”操作
若顺利通过检查，就直接单击“安装”按钮
安装过程中
安装完成后会自动重新开机。可在此域控制器上利用子域系统管理员或林根域系统管理员身份登录。
bj.adtest.com用来提供此区域的查询服务。
在adtest.com的DNS服务器test1.adtest.co m内也会自动在区域adtest.com下建立委派域bj与名称服务器记录NS。

• 添加域树

操作步骤	相关截图
在Windows Server2012 R2中添加Active Directory域服务，单击“添加角色和功能”
单击“下一步”
选中“基于角色或基于功能的安装”，单击“下一步”
选中“从服务器池中选择服务器”，单击“下一步”
选中“Active Directory域服务“，单击“下一步”
默认选择，单击“安装”
安装完成后，单击“关闭”按钮，单击服务器管理器上方的旗帜符号，单击“将此服务器提升为域控制器”
选中“将新域添加到现有林”，选择域类型为“树域”，输入要加入的林名称”adtest.com”，输入新域名adtest3.com后单击“更改”按钮
输入有权添加子域的用户账号与密码后单击“确定”按钮。返回一个界面后单击“下一步”按钮。
选择域功能级别:此处假设选择Windows Server 2012R2；默认会直接在此服务器上安装DNS服务器；默认会扮演全局编录服务器的角色；新域的第一台域控制器不可以是只读域控制器（RODC)；选择新域控制器所在的AD DS 站点，目前只有一个默认的站点Default-First-Site-          Name可供选择；设置目录服务还原模式的系统管理员密码。 完成以上设置后单击下一步按钮。
此adtest3.com为根域，不需要通过父域来委派，单击“下一步”操作
填写NetBIOS域名“ADTEST3”，单击“下一步”操作
默认选项，单击“下一步”操作
默认选项，单击“下一步”操作
若顺利通过检查，就直接单击“安装”按钮
安装过程中
安装完成后会自动重新开机。可在此域控制器上利用域adtest3的系统管理员或林根域系统管理员身份登录。
adtest3.com用来提供此区域的查询服务。
在f3.adtest3.com内设置，允许此区域内的记录可以区域传送给test1.adtest3.com。
在test1.adtest.com这台DNS服务器上添加正向辅助区域adtest3.com，并选择从f3.adtest3.com来执行区域传送操作。在正向查找区域右键选择“新建区域”。
选中“辅助区域”，单击“下一步”。
填写正向辅助区域名称adtest3.com，单击“下一步”。
填写f3主机IP地址，单击“下一步”。
单击“完成”。
完成后的界面，界面右侧的记录是从test1.adtes t.com通过“区域传送”传送过来的。

• 删除子域

操作步骤	相关截图
到域控p2.adtest.com上利用adtest\Administ rator身份登录，单击“删除角色和功能”。
单击“下一步”。
选中“从服务器池中选择服务器”，单击“下一步”
取消勾选“Active Directory域服务”。
单击“删除功能”按钮。
单击“将此域控制器降级”。
勾选“域中的最后一个域控制器”，单击“下一步”按钮。
勾选“继续删除”后单击“下一步”按钮。
全部勾选，单击“下一步”按钮。
设置本地Administrator的新密码后单击“下一步”按钮。
默认“下一步”操作
填写NetBIOS域名“BJ”，单击“下一步”操作
默认选项，单击“下一步”操作
默认选项，单击“下一步”操作
若顺利通过检查，就直接单击“安装”按钮
安装过程中
安装完成后会自动重新开机。可在此域控制器上利用子域系统管理员或林根域系统管理员身份登录。
bj.adtest.com用来提供此区域的查询服务。
在adtest.com的DNS服务器test1.adtest.co m内也会自动在区域adtest.com下建立委派域bj与名称服务器记录NS。

• 新建额外域控制器

操作步骤	相关截图
单击“添加角色和功能”。
默认，单击“下一步”。
选中“基于角色或基于功能的安装”，单击“下一步”。
选中“从服务器池中选择服务器”，单击“下一步”。
选中“Active Directory域服务“，单击“下一步”。
默认选择，单击“下一步”。
默认选择，单击“下一步”。
默认选择，单击“安装”。
安装完成后，单击“关闭”按钮。
单击服务器管理器上方的旗帜符号，单击“将此服务器提升为域控制器”。
选择“将域控制器添加到现有域”-单击“选择”按钮。
输入域管理员账号和密码，单击“确定”按钮。
选择adtest.com域。
勾选“全局编录”-选择站点-输入密码并确认密码-单击“下一步”按钮。
默认，单击“下一步”按钮。
选择复制自“test1.adtest.com”-单击“下一步”。
默认选择，建议不做更改，单击“下一步”按钮。
默认，单击“下一步”按钮。
默认，单击“安装”按钮。
安装过程中。
安装成功，单击“关闭”，重启计算机。
Perth 部署完毕后，打开Perth的ActiveDirector y 用户和计算机。
可以看到Perth已经把 test1 的 ActiveDirectory 内容复制过来了。
检查 DNS 服务器，可以看到 DNS 中已经有了Perth的 SRV 记录。至此，部署Perth作为额外域控制器成功完成。