Windows Server 2008 R2系列之创建AD林根域

什么是AD DS(Active Directory Domain Services,AD DS)?

Active Directory域内的Directory是用来存储用户账户、计算机账户、打印机与共享文件夹等对象，我们把这些对象的存储位置成为目录服务器(Directory Database)。Active Directory域内负责提供目录服务的组件就是Active Directory域服务(Active Directory Domain Services,AD DS),它负责目录数据库的存储、添加、删除、修改、与查询等工作。

 

创建AD DS域前的准备工作

创建AD DS域的方法是先安装一台服务器，然后再将其升级(Promote)为域控制器。在创建AD DS域前，请先确定以下的准备工作是否已经完成：

• 选择适当的DNS域名  /*由于AD DS域名是采用DNS的架构与命名方式，因此必须先为AD DS域选取一个符合DNS格式的域名，例如sayms.com，虽然域名可以在域创建完成之后更改，但是步骤繁琐，因此命名需谨慎*/

 

• 准备好一台用来支持AD DS的DNS服务器 /*由于在AD DS域中，域控制器会将自己所扮演的角色注册到DNS服务器内(域控制器需要将其所扮演的角色注册到DNS服务器的SRV日志内，因此DNS服务器必须支持SRV日志)，以便让其他计算机通过DNS服务器来找到这台域控制器，因此必须要一台DNS服务器，而且必须支持Service Location     Resource Record（SRV RR）,同时最好支持动态更新(Dynamic Update)、Incremental Zone Transfer与Fast Zone Transfer等功能。*/

 

• 选择Active Directory数据库的存储位置/*域控制器需要使用磁盘空间存储三个与AD有关的数据，分别是Active Directory数据库(用来存储AD对象)，日志文件(用来存储AD数据库的变动日志)，SYSVOL文件夹(用来存储域共享文件夹[例如与组策略有关的文件])。SYSVOL必须存储到NTFS磁盘，其他建议也存储到NTFS磁盘。转换命令：convert D: /FS:NTFS. */

• 当然，必须设置静态IP地址(不过，一般来说，服务器都是用静态IP地址来着)

 

 

操作步骤：

1.设置静态IP地址、DNS服务器IP地址

2.安装DNS服务器

3.在DNS服务器上面创建"正向查询区域"，设置属性为"动态更新"。

4.更改计算机的计算机名和后缀名为本域的域名。

5.运行dcpromo.

 

DNS服务器在域环境中的作用

1.域名解析：DNS服务器通过其A记录将域名解析为IP地址。

2.定位活动目录服务：客户机通过DNS服务器上SRV记录定位目录服务。

 

注意:域控制器的主机名是无法更改的,除非降级

 

Ⅰ.现在开始在Windows Server 2008 R2上安装林根域

 

No.1 运行AD域服务安装向导，dcpromo

 

No.2 高级模式可选，这里选择默认，下一步

 

No.3 下一步(若此服务器未指定首选DNS服务器的话，则接下来会先显示一个让你可以选择安装DNS服务器的界面，这里我的DNS服务器已经安装了。)

 

 

No.4这里新建林根域，所以选择第二项，然后下一步

 

No.5输入域名后单击下一步，安装向导会检查此域名是否已在网络中被占用，若是的话，安装程序会要求你重新设置一个新的域名。

 

No.6选择林功能级别，Windows Server 2008 R2级别为最高的4级，此时域功能级别将自动被设置为Windows Server 2008 R2，故不会出现要求你选择域功能级别的界面。

 

No.7这里表明我已经安装了DNS服务器，不然是可选项，第一台域控制器必须扮演全局编录服务器的角色，不能是只读域控制器(RODC)。如果要使用其他计算机上的DNS服务器的话，要先在其内创建支持此域的区域，并启用动态更新。

 

No.8这里表示安装向导找不到父域，因而无法通过父域来委派，不过由于这里创建的域为根域，并不需要通过父域来委派，所以可以直接单击"是"

 

No.9数据库文件夹用来存储AD数据库

        日志文件文件夹用来存储AD数据库的改动记录，此日志文件可用来恢复AD数据库

         SYSVOL文件夹用来存储域共享文件(例如与组策略有关的文件)，注意它必须位于NTFS磁盘内。

因为我在做实验，实际情况下，最好不要放C盘，而且建议分开存放。这里单击下一步

 

No.10这里设置的是目录服务还原模式的系统管理员密码。完成后单击下一步

          目录服务还原模式是一个安全模式(Safe Mode),进入此模式可以修复AD数据库，你可以在系统启动时按F8来选择安全模式，不过必须输入此处设置的密码。这里我设的是123.com,哈哈

 

No.11这一步显示的是摘要信息，不过这里可以导出应答文件(Answer File)，它可供dcpromo.exe来安装域控制器时使用，不过安装向导并不会将目录服务还原模式的系统管理员密码存储到此文件。当然，这玩意儿我也没用过，有需要我可以弄弄。下一步

 

No.12这里就安装完成了，点击完成，完成之后，需要重启计算机。此计算机升级为域控制器之后，它会自动在windows防火墙中开放与AD DS相关的端口，以便其他计算机可以与此域控制器通信。

 

No.13完成域控制器的安装后，原本这台计算机的本机SAM中的用户账户会被转移到AD数据库，另外由于它本身是DNS服务器，因此会自动将首选DNS的IP地址改成127.0.0.1.

 

 

到此，一台林根域域控制器安装完成。

现在来确认一下所安装的AD DS域是否正常

这里主要检查DNS服务器内的SRV日志、主机日志，还有域控制器内的SYSVOL文件夹、AD数据库文件等是否都已经创建完成。

 

1.检查主机日志，这里能看到域控制器WIN-EOLEQNQPC3B.jhd.com已经正确的将其主机名与IP地址注册到DNS服务器内。看到这里有点蛋疼啊，之前主机名没改，现在如果想要修改主机名得要删掉域控才行，不过做实验就懒得改了。

 

2.检查SRV日志-使用DNS控制台，如果域控制器已经正确地将其所扮演的角色注册到DNS服务器的话，则应该有图中的_tcp、_udp等文件夹(域控制器创建完成并重新开机后，可能要等一会儿才会有这些文件夹出现，图中_tcp文件夹右方数据类型为服务位置[SRV]的_ldap日志，表示win-eoleqnqpc3b.jhd.com已经成功的注册为域控制器，由图中的_gc日志还可以看出全局编录服务器的角色也是由win-eoleqnqpc3b.jhd.com所扮演。)

图中的名为_msdcs.jhd.com的区域是专供windows server域控制器来注册的

 

在创建完成第一个域后，系统会自动创建1个名称为Default-First-Site-Name的站点(site)，而我创建的域控制器默认也是位于此站点内，因此在DNS服务器内也会有这些日志。

 

3.排除注册失败的问题

如果域控制器或域成员的主机名与ip地址没有正确注册到DNS服务器的话，可以使用ipconfig/registerdns命令手动注册，然后再在DNS控制台里面检查。

如果发现域控制器并没有将其所扮演的角色注册到DNS服务器内的话，也就是没有前面图中的_tcp等文件夹与相关SRV日志时，则在service.msc中重启Netlogon服务。

域控制器默认每隔24小时会向DNS服务器注册1次。

 

Ⅱ.将Windows计算机加入域和脱离域

 

加入域的客户端计算机，其计算机账户默认会自动被创建在容器Computers内，如果要将此计算机账户放置到其他容器或组织单位中，可以事先在该容器或组织单位内创建此计算机账户，然后再将计算机加入到域中。加入域之前记得先改好计算机名。加入域默认需要域管理员登录。额，这里有一点，更改计算机名称和加入域不能同时做，同时做的话会报错，然后加入域后依然用的旧计算机名(PS:我刚刚这么干，结果报错了)。

加入域之后，本地SAM数据库中的帐号无法登录域，登录的时候需要选择登录域还是本地计算机。

 

脱离域操作类似，不过必须是Enterprise Admins、Domain Admins或者是本地管理员帐号才能脱离域，这里就不赘述了。

 

域控制器的删除依然是运行dcpromo一步步删除，但是删除域控制器之前要先确定子域是否删除，不然你一上来就干掉父域，那玩个P啊。

 

唉，写的好累。还有用命令行做这一些列操作，我自己也没有完全掌握，就不在这里写了，这篇博客花了我好几个小时啊，坑死了，不过也算开了个头，下一篇可能就是域用户与组账户管理了，慢慢写慢慢写，喝口水先。

转载于:https://blog.51cto.com/stealdream/1425031