创建 Active Directory 域

傻傻的心动

已于 2022-10-23 16:42:41 修改

阅读量3.1k

点赞数 5

于 2022-10-23 13:27:08 首次发布

Panta rhei

本文链接：https://blog.csdn.net/m0_63624418/article/details/127473640

版权

Windows Server 2019 同时被 3 个专栏收录

5 篇文章 4 订阅

订阅专栏

Windows Server

4 篇文章 1 订阅

订阅专栏

Active Directory 域

3 篇文章 0 订阅

订阅专栏

1.创建域的必要条件
    Windows Server 2019初始默认安装是没有安装活动目录的，而只有安装了活动目录，
    用户才能搭建域环境。在安装活动目录服务之前，应当明确一些必备的安装条件。
1)一个NTFS硬盘分区
   域控制器需要一个能够提供安全设置的硬盘分区来存储 SYSVOL文件夹，而只有NTFS硬盘分区才具备安全设置的功能。SYSVOL 文件夹主要用于存储组策略对象和脚本，默认情况下，该文件夹位于%windir%目录中。
2)合适的域控制器计算机名称
   如果计划安装 Active Directory 域服务(AD DS）的服务器名称不符合域名系统(DNS)规范，则 Active Directory 域服务安装向导将进行警告，要求重命名服务器，或者使用 Microsoft DNS服务器。
3)配置TCP/IP和DNS客户端设置
   Active Directory 域服务依赖于正确配置TCP/IP协议参数和域名（DNS）客户端，而这些配置都是通过修改域控制器的所有物理网络适配器的IP属性完成的。Active Directory 域服务安装向导将检测是否有任何 TCP/IP 或DNS客户端的设置不正确，检测无误后，该向导才会继续进行安装。

对于TCP/IP协议参数，意味着必须为域控制器的每个物理网络适配器分配一个有效的IP 地址。如果动态主机配置协议(DHCP)服务器或DHCP服务不可用，或者DHCP服务器为域控制器指定不同的IP地址，则每个网络适配器应使用静态的IP地址，以使客户端可以继续查找域控制器。
4)有一台具有允许动态更新DC定位器记录的DNS服务器
为了使域成员和其他域控制器能发现和使用正要安装的域控制器，必须在DNS服务器中添加允许动态更新的DC定位器记录。DNS服务器管理员可以手动添加DC定位器记录，但对于初学者来说，最方便的方法是在安装第一台域控制器时同时安装DNS服务器，安装程序会自动配置DNS服务器，并在DNS服务器中添加DC定位器记录。

2.创建网络中的第一台域控制器
用户可通过系统提供的活动目录安装向导来安装、配置服务器。如果网络中没有域控制器，可新建域树或者新建子域，并将服务器配置为域控制器。
1)安装 Active Directory 域服务

（1）打开【服务器管理器】窗口，选择【管理】菜单中的【添加角色和功能】命令，如图所示，启动【添加角色和功能向导】。

（2）在【开始之前】向导页中，会提示此向导可以完成的工作，以及操作之前应注意的相关事项，单击【下一步】按钮，如图所示。

（3）在【选择安装类型】向导页中，选择【基于角色或基于功能的安装】，单击【下一步】按钮。

（4）在【选择目标服务器】向导页中，选择【从服务器池中选择服务器】，单击【下-步】按钮。若系统未启用Windows 自动更新，会提醒用户设置Windows 自动更新。

（5）在【选择服务器角色】向导页中，显示所有可以安装的服务器角色，如果角色前面的复选框没有被选中，表示该网络服务尚未安装，如果已选中，说明该服务已经安装。这里选中【Active Directory 域服务】复选框，单击【下一步】按钮，如图所示。勾选【Active Directory域服务】时会弹出【Active Directory 域服务所需的功能？】对话框，单击【添加功能】关闭对话框。

（6）在【选择功能】向导页中，选择要安装在服务器上的一个或多个功能，单击【下一步】按钮。

（7）在【Active Directory 域服务】向导页中，简要介绍了Active Directory 域服务的功能，单击【下一步】按钮，如图所示。

（8）在【确认安装所选内容】向导页中，要求确认所要安装的角色服务，如果选择错误，可以单击【上一步】按钮返回，这里单击【安装】按钮，如图所示。

（9）在【安装进度】向导页中，显示安装 Active Directory 域服务的进度，如图所示。

（10）在【安装进度】向导页中，显示Active Directory域服务已经安装完成。单击【关闭】按钮，如图所示。

2）配置域控制器

（1）打开【服务器管理器】窗口，通知图标右下角显示一个感叹号，表示服务器需要配置。单击该图标，在弹出的浮层中选择【将此服务器提升为域控制器】链接。或者运行dcpromo 命令，即可启动 Active Directory域服务配置向导，如图所示。

（2）在【Active Directory 域服务配置向导】的【部署配置】向导页中，选择部署操作。如果网络中已经存储了其他域控制器或林，则选择【将域控制器添加到现有域】单选按钮或者【将新域添加到现有林】单选按钮；若要创建一台全新的域控制器，则选择【添加新林】单选按钮，在【根域名】文本框中输入根域名（必须使用允许的 DNS 域命名约定），单击【下一步】按钮，如图所示。

点评与拓展：如果域中已有一个域控制器，则可以向该域添加其他域控制器，以提高网络服务的可用性和可靠性。通过添加其他域控制器，有助于提供容错，平衡现有域控制器的负载，以及向站点提供其他基础结构支持。当域中有多个域控制器时，如果某个域控制器出现故障或必须断开连接，该域可继续正常工作。此外，多个域控制器使客户端在登录网络时可以更方便地连接到域控制器，从而提高性能。

（3）在【域控制器选项】向导页中，选择林功能级别和域功能级别。安装新的林时，系统会提示设置林功能级别，然后设置域功能级别。功能级别确定了在域或林中启用的Active Directory 域服务的功能，以限制可以在域或林中的域控制器上运行的 Windows Server操作系统。例如，选择 Windows 2000林功能级别，将提供在Windows Server 2000中可用的所有Active Directory域服务功能。如果域控制器运行的是更高版本的 Windows Server,则当该林位于 Windows 2000 功能级别时，某些高级功能在这些域控制器上将不可用。一般情况下，创建新域或新林时，将域和林功能级别设置为环境可以支持的最高值。这样就可以尽可能充分利用更多的 Active Directory 域服务功能。设置后单击【下一步】按钮，如图所示。

需要注意的是，不能将域功能级别设置为低于林功能级别。例如，若将林功能级别设置为 Windows Server 2016,则只能将域功能级别设置为Windows Server 2016,Windows 2000 Server 和Windows Server 2003域功能级别在【设置域功能级别】向导页中不可用。此外，默认情况下向该林添加的所有域都将具备 Windows Server 2016域功能级别。

如果某台服务器是林中的第一个域控制器，则必须是全局编录服务器且不能是只读域控制器(RODC)。同时，建议将 DNS 服务器安装在第一个域控制器上。
在【键入目录服务还原模式(DSRM)密码】选项中，设置为在目录服务还原模式（DSRM)下启动此域控制器的密码。当Active Directory 域服务未运行时，该密码是登录域控制器所必需的密码。管理员务必保管好DSRM密码，默认情况下，必须设置包含大写和小写字母组合、数字和符号的强密码。

（4）在【DNS 选项】向导页中，检查DNS 配置，在【Active Directory 域服务安装向导】警告框中，提示无法创建DNS 服务器的委派。由于本机父域指向的是自己，无法进行DNS服务器的委派，所以不用创建DNS委派，单击【下一步】按钮，如图所示。

（5）在【其他选项】向导页中，确保为域分配了NetBIOS 名称，单击【下一步】按钮，如图所示。

（6）在【路径】向导页，指定数据库文件夹、日志文件文件夹和SYSVOL文件夹在服务器中的存储位置。安装 Active Directory 域服务（ADDS）时，需要数据库存储有关用户、计算机和网络中其他对象的信息。日志文件记录与 Active Directory 域服务有关的活动，例如，有关当前更新对象的信息。SYSVOL存储组策略对象和脚本。默认情况下，SYSVOL 是位于%windir%目录中的操作系统文件的一部分。单击【下一步】按钮，如图所示。