第2章部署第一台域控制器.docx
《第2章部署第一台域控制器.docx》由会员分享,可在线阅读,更多相关《第2章部署第一台域控制器.docx(54页珍藏版)》请在冰点文库上搜索。
第2章部署第一台域控制器
第2章部署第一台域控制器
如果企业部署全新的Windows网络,管理员可以直接部署WindowsServer2012ADDS域服务。
部署过程中注意DNS服务器设置,管理员可以创建独立的DNS服务器,也可以创建ActiveDirectory“集成区域DNS服务”。
如果部署ActiveDirectory集成区域DNS服务器,设置服务器参数时,需要将“首选DNS服务器”设置为本机的IP地址。
本章详细介绍网络中第一台域控制器的部署方法。
2.1案例任务
2.1.1案例任务
内部网络中部署第一台域控制器,同时部署ActiveDirectory“集成区域DNS服务”,即该域控制器兼任DNS服务器。
2.2.2案例环境
本案例中只有一台服务器,部署ADDS域服务的先决条件包括以下方面。
∙服务器使用“NTFS文件系统”且有足够的磁盘空间。
∙本地管理员账号与密码。
∙WindowsServer2012服务器操作系统。
∙已经激活的网卡。
∙IP地址配置。
∙DNS配置。
∙域名结构。
1.服务器使用“NTFS文件系统”且有足够的磁盘空间
ActiveDirectory需要至少NTFS文件系统支持,主要用于存储“SYSVOL”文件夹内容。
如果磁盘不是NTFS分区(Fat32),可以使用“convertc:
/fs:
ntfs”命令转换。
磁盘分区至少需要250MB空闲磁盘空间,建议越大越好。
注意,WindowsServer2012中使用最新的文件系统“ResilientFileSystem(ReFS)”。
2.本地管理员账号和密码
部署ADDS域服务时,针对不同域控制器需要使用不用管理员权限,包括:
∙安装第一个域中的第一台域控制器需要本地管理员权限,从而创建新的目录林。
∙如果在现有域中安装额外域控制器,需要具有该域的域管理员权限。
∙如果创建子域,则需要企业级管理员权限。
3.操作系统版本
要部署ActiveDirectory服务,必须部署在服务器操作系统中,包括:
∙Windows2000Server。
∙WindowsServer2003/R2。
∙WindowsServer2008/2008R2。
∙WindowsServer2012。
本书中活动目录部署在WindowsServer2012操作系统中。
4.IP地址配置
安装活动目录的计算机需要专用静态IP地址。
∙如果计算机具有多块网卡,建议在内部网络使用的网卡中配置专用静态IP地址。
∙如果第一台域控制器兼任DNS服务器,“首选DNS配置”应该指向自己的IP地址。
本例中,第一台域控制器的IP地址设置为192.168.0.1/24。
“首选DNS配置”的IP地址为192.168.0.1。
设置完成的参数如图2-1所示。
图2-1IP地址设置
5.激活的网卡
激活的网卡指的是连接到已经加电网络交换机的可用端口。
如果网络连接处于断开状态,部署ADDS域服务将会出现错误。
6.DNS配置
Windows网络中部署ADDS域服务,建议在网络中部署“集成区域DNS服务”,即域控制器同时兼任DNS服务器。
优点是DNS信息存储在活动目录数据库中。
网络中部署多台域控制器后,DNS数据通过所有域控制器之间的活动目录数据库复制自动完成数据同步。
7.域名结构
活动目录名字使用DNS全限定域名格式(FQDN),例如。
禁止使用“NetBios”名称格式作为域名,例如book。
2.2部署网络第一台域控制器
本节创建名称为“”的域。
WindowsServer2012操作系统安装完成后,需要重命名计算机、更改网络参数,然后才可以安装ADDS域服务。
安装ADDS域服务分两个阶段:
安装角色和提升域服务。
下面详细介绍通过GUI模式部署ADDS域服务过程。
2.2.1重命名计算机
第1步,以默认管理员“Administrator”登录需要安装ADDS域服务的计算机,切换到Metro界面。
右击“计算机”,窗口底部显示常用功能列表,如图2-2所示。
图2-2更改计算机名之一
第2步,命令执行后,打开“系统”对话框。
WindowsServer2012安装完成后,默认为计算机随机定义了一个名称,例如“WIN-EM3LL8L883L”,在网络应用中,应该为安装WindowsServer2012的计算机定义简捷并且有实用价值的计算机名称,提高管理效率以及可用性,如图2-3所示。
第3步,单击“更改设置”按钮,打开“系统属性”对话框。
显示“计算机全名”以及所在的“工作组”,默认计算机位于“WORKGROUP”组中,如图2-4所示。
图2-3更改计算机名之二
图2-4更改计算机名之三
第4步,单击“更改”按钮,打开“计算机名/域更改”对话框。
“计算机名”文本框中设置该计算机有效名称,如图2-5所示。
第5步,单击“确定”按钮,打开“计算机名/域更改”对话框。
提示需要重新启动计算机。
单击“确定”按钮,重新启动服务器,完成计算机名称的更改,如图2-6所示。
2.2.2更改网络参数
WindowsServer2012安装完成后,默认同时启用“IPv4”和“IPv6”两种协议。
安装ADDS域服务时,不建议同时启用两种协议,根据实际情况选择需要的协议。
本例中选择“IPv4”协议关闭“IPv6”协议。
图2-5更改计算机名之四图2-6更改计算机名之五
安装过程中如果将域控制器同时设置为“ActiveDirectory集成区域DNS服务器”,需要将“首选DNS服务器”IP地址指向当前服务器IP地址。
如果网络中存在其他DNS服务器,则将“首选DNS服务器”IP地址指向其他DNS服务器。
第一台域控制器安装一块网卡,并激活(连接到已经加电的网络交换机),网络参数设置如下。
∙IP地址:
192.168.0.1。
∙子网掩码:
255.255.255.0。
∙默认网关:
空。
∙首选DNS服务器:
192.168.0.1。
第1步,以本地管理员身份登录计算机。
Metro界面中单击“控制面板”选项,命令运行后打开“所有控制面板项”窗口,如图2-7所示。
图2-7设置IP地址之一
第2步,选择“网络和共享中心”选项,打开“网络和共享中心”窗口,如图2-8所示。
图2-8设置IP地址之二
第3步,单击“以太网”按钮,打开“以太网状态”对话框。
显示当前计算机网卡的连接状态以及网卡速度,如图2-9所示。
第4步,单击“属性”按钮,打开“以太网属性”对话框。
默认计算机同时启用“TCP/IPv6”和“TCP/IPv4”协议。
本例中使用“TCP/IPv4”协议,取消“Internet协议版本6(TCP/IPv6)”左侧的复选框。
设置完成的参数如图2-10所示。
图2-9设置IP地址之三图2-10设置IP地址之四
第5步,选择“Internet协议版本4(TCP/IPv4)”选项,单击“属性”按钮,打开“Internet协议版本4(TCP/IPv4)属性”对话框,设置域控制器的IP地址、网关以及DNS地址参数。
设置完成的参数如图2-11所示。
第6步,单击“确定”按钮,关闭“Internet协议版本4(TCP/IPv4)属性”对话框,返回到“以内网属性”对话框,如图2-12所示。
图2-11设置IP地址之五图2-12设置IP地址之六
第7步,单击“关闭”按钮,关闭“以内网属性”对话框,返回到“以太网状态”对话框,如图2-13所示。
单击“关闭”按钮,完成计算机IP地址设置。
图2-13设置IP地址之七
2.2.3部署网络中第一台域控制器
自WindowsServer2003之后,网络中所有域控制器都是平行关系,但是第一台域控制器和其他域控制器之间存在区别,因此第一台域控制器部署十分重要。
第一台域控制器默认作为林的根域服务器,同时安装五种操作主机角色。
WindowsServer2012操作系统是运行“ADDS域服务”的系统平台,“ADDS域服务”运行在操作系统之上。
“ADDS域服务”与普通的服务一样可以单独启动或者关闭。
WindowsServer2012ADDS域服务默认通过向导方式部署,已经取消“dcpromo.exe”命令方式部署。
管理员也可以通过PowerShell命令行方式部署。
第1步,以本地管理员身份登录WindowsServer2012。
默认打开“服务器管理器”窗口。
如果“服务器管理器”没有正常运行,单击窗口左下角的“
”图标启动“服务器管理器”,选择“仪表板”→“快速启动”选项,如图2-14所示。
图2-14安装ADDS域服务之一
第2步,单击“添加角色和功能”超链接,启动“添加角色和功能向导”,显示如图2-15所示的“开始之前”对话框。
图2-15安装ADDS域服务之二
第3步,单击“下一步”按钮,打开“选择安装类型”对话框。
ADDS域服务以“服务”方式部署,因此选择“基于角色或基于功能的安装”选项。
注意对话框右上角显示当前计算机名称为“DC”,如图2-16所示。
图2-16安装ADDS域服务之三
第4步,单击“下一步”按钮,打开“选择目标服务器”对话框。
选择“从服务器池中选择服务器”选项,如果“服务器管理器”可以管理多台运行WindowsServer2012的服务器,可用服务器全部显示在服务器池中。
本例中池中只有一台服务器,选择该服务器即可,如图2-17所示。
图2-17安装ADDS域服务之四
第5步,单击“下一步”按钮,打开“选择服务器角色”对话框。
“角色”列表中显示所有可用的服务器角色,如图2-18所示。
图2-18安装ADDS域服务之五
选择“ActiveDirectory域服务”选项,打开“添加ActiveDirectory域服务所需的功能”对话框。
当前服务器将安装“角色管理工具”和“组策略管理”。
选择“包括管理工具(如果适用)”选项。
单击“添加功能”按钮,返回到“选择服务器角色”对话框,如图2-19所示。
图2-19安装ADDS域服务之六
第6步,单击“下一步”按钮,打开“选择功能”对话框。
从“功能”列表中选择需要安装的功能,根据需要选择即可,如图2-20所示。
第7步,单击“下一步”按钮,打开“ActiveDirectory域服务”对话框。
提示部署ADDS域服务注意事项,如图2-21所示。
图2-20安装ADDS域服务之七
图2-21安装ADDS域服务之八
第8步,单击“下一步”按钮,打开“确认安装所选内容”对话框,显示向导需要安装的内容,如图2-22所示。
选择“如果需要,自动重新启动目标服务器”选项,显示如图2-23所示的对话框。
提示管理员安装过程将自动重新启动服务器,不会再出现计算机重新启动提示而是直接启动服务器。
单击“是”按钮,返回到“确认安装所选内容”对话框。
第9步,“确认安装所选内容”对话框中,单击“安装”按钮,向导自动将安装“ADDS域服务”所需要的文件复制到目标位置。
文件复制完成后如图2-24所示。
图2-22安装ADDS域服务之九
图2-23安装ADDS域服务之十
图2-24安装ADDS域服务之十一
第10步,“安装进度”对话框中,单击“将此服务器提升为域控制器”超链接,启动“ActiveDirectory域服务配置向导”,打开“部署配置”对话框。
安装向导提供三种ActiveDirectory安装模式。
∙将域控制器添加到现有域。
完成的功能为网络部署多台域控制器。
∙将新域添加到现有林。
完成的功能为现有林中添加新域,创建另一棵全新的域树。
∙添加新林。
完成的功能为创建新林、新域。
本例中将部署一个新林,“选择部署操作”选项中选择“添加新林”选项,“根域名”文本框中键入新域名称。
设置完成的参数如图2-25所示。
图2-25安装ADDS域服务之十二
第11步,单击“下一步”按钮,打开“域控制器选项”对话框。
设置新林的“林功能级别”和“域功能级别”。
其中:
∙本例中第一台域控制器同时部署“ActiveDirectory集成区域DNS服务”,选择“域名系统(DNS)服务器”选项。
∙网络中的第一台域控制器默认为“全局编录服务器(GC)”,因此部署第一台域控制器时,自动选择“全局编录”选项。
∙设置“目录还原模式”密码,注意该密码和域管理员密码不同。
“目录还原模式”主要用来还原ActiveDirectory数据库。
该密码必须符合WindowsServer2012的强密码策略,该密码不需要和域管理员密码相同。
提示
强密码策略
WindowsServer2012系统中,默认“密码策略”启用“密码必须符合复杂性要求(强密码)”设置,对用户密码设置有如下要求。
∙不包含全部或部分的用户账户名。
∙长度至少为7个字符。
包含以下4种类型字符中的3种字符:
英文大写字母(从A到Z)、英文小写字母(从a到z)、10个基本数字(从0到9)以及非字母字符(例如!
、$、#、%)。
设置完成的参数如图2-26所示。
图2-26安装ADDS域服务之十三
向导提供四种林模式,分别为WindowsServer2003、WindowsServer2008、WindowsServer2008R2以及WindowsServer2012模式。
不同模式对应不同的域功能级别。
功能级别对应不同的操作系统,例如“林功能级别”设置为WindowsServer2012,则“域功能级别”只能设置为WindowsServer2012,所有域中的域控制器需要全部运行WindowsServer2012操作系统,不能运行其他版本的操作系统。
“林功能级别”选项列表如图2-27所示。
本例中“林功能级别”和“域功能级别”全部设置为WindowsServer2012。
即域中所有服务器全部运行WindowsServer2012。
图2-27安装ADDS域服务之十四
第12步,单击“下一步”按钮,打开“DNS选项”对话框。
设置DNS委派信息。
本例中DNS部署方式为“ActiveDirectory集成区域DNS服务”,没有部署独立的DNS服务器,因此不需要配置DNS委派相关内容。
设置完成的参数如图2-28所示。
图2-28安装ADDS域服务之十五
第13步,单击“下一步”按钮,打开“其他选项”对话框,该对话框设置NetBIOS名称。
建议“NetBIOS域名”与部署的ActiveDirectory域名一致,向导自动识别“ActiveDirectory域名”,将第一个“.”前的字符作为默认NetBIOS名称。
“NetBIOS域名”与部署的ActiveDirectory域名也可以不一致。
设置完成的参数如图2-29所示。
图2-29安装ADDS域服务之十六
第14步,单击“下一步”按钮,打开“路径”对话框。
设置ActiveDirectory数据库文件夹、ActiveDirectory日志文件文件夹以及SYSVOL文件夹的位置,建议将数据库文件夹、日志文件文件夹和SYSVOL文件夹分别存储在:
∙不同的物理磁盘中。
∙运行Raid5的磁盘阵列。
∙其他专业存储设备中。
设置完成的参数如图2-30所示。
图2-30安装ADDS域服务之十七
第15步,单击“下一步”按钮,打开“查看选项”对话框,显示域控制器设置信息,如图2-31所示。
图2-31安装ADDS域服务之十八
第16步,单击“下一步”按钮,打开“先决条件检查”对话框。
检查当前计算机是否满足安装“ADDS域服务”条件,符合安装条件即可安装“ADDS域服务”。
检测结果如图2-32所示。
图2-32安装ADDS域服务之十九
第17步,单击“安装”按钮,开始安装“ADDS域服务”,安装过程需要重新启动计算机。
2.2.4安装过程中遇到的问题:
“NetBIOS名称”和域名不一致
提升服务器为域控制器过程中,默认“NetBIOS名称”和域名一致,例如,网络中ADDS域服务的域名为“”,默认NetBIOS名称自动设置为“book”。
如果不一致,例如将NetBIOS名称设置为“BOOKYT”,设置参数如图2-33所示。
图2-33“其他选项”对话框
登录域时,用户选择“域”为提升域控制器过程中设置的NetBIOS名称,而非网络域名,如图2-34所示。
该图显示以管理员身份登录WindowsServer2012域控制器时的状态。
图2-34登录域
成功登录域控制器后,打开“ActiveDirectory用户和计算机”控制台,域名是“”,如图2-35所示。
图2-35“ActiveDirectory用户和计算机”控制台
2.3验证第一台域控制器是否成功部署
第一台ADDS域控制器完成后,需要对域控制器进行验证,确认ADDS域服务是否安装成功。
2.3.1验证“ADDS域服务”
自WindowsServer2008版本发布之后,ADDS域服务成为一个普通的服务,通过“服务”控制台可以查看ADDS域服务运行状态,可以同普通服务一样启动、停止、暂停、重新启动服务,不需要和WindowsServer2008之前的版本一样,只有在重新启动域控制器并进入到“目录还原模式”后,才能维护活动目录服务。
ADDS域服务部署完成后,默认部署2个和ADDS域服务直接相关的服务:
ActiveDirectoryDomainServices(ADDS)服务和ActiveDirectoryWebServices(ADWS)服务,这2个服务默认处于“正在运行”状态。
打开“服务”控制台,首先验证ADDS域服务的状态是否正常运行,如图2-36所示。
图2-36“服务控制台”
打开其中任何一个服务(例如ActiveDirectoryDomainServices)后,服务“启动类型”为“自动”,通过“启动”、“停止”、“暂停”、“恢复”等按钮控制服务的运行,如图2-37所示。
图2-37NTDS服务属性对话框
2.3.2验证“默认容器”
第一台域控制器部署完成后,安装成功的域控制器将创建部分默认容器,例如“DomainControllers”、“Computers”、“Users”和“ForeignSecurityPrincipals”,如图2-38所示。
图2-38默认容器之一
如果打开“查看”→“高级功能”选项,将显示更多容器,如图2-39所示。
图2-39默认容器之二
2.3.3验证“DomainControllers”
默认的域控制器管理单元为“DomainControllers”,包含第一个域控制器(DC),另外还是新域控制器(额外域控制器、只读域控制器)的默认容器。
其他域控制器安装后,将自动归并到该组织单位中。
打开“ActiveDirectory用户和计算机”,显示第一台域控制器已经加入到该组织单位中,同时该计算机作为全局编录服务器(GC),如图2-40所示。
图2-40查看“DomainControllers”容器
打开第一台域控制器属性对话框后,显示当前计算机的详细信息,例如DNS信息、DC类型、所在的站点等,如图2-41所示。
图2-41查看域控制器的属性
2.3.4验证“Default-First-Site-Name”
将服务器提升为域控制器过程中,安装向导自动确定该域控制器属于哪个站点的成员。
如果新建域控制器是新林中的第一个域控制器,将创建名称为“Default-First-Site-Name”的默认站点,第一台域控制器成为该站点的第一个成员。
打开“ActiveDirectory站点和服务”控制台,选择“Sites”→“Default-First-Site-Name”→“Servers”选项,显示第一台域控制器已经加入到默认站点中,如图2-42所示。
图2-42“ActiveDirectory站点和服务”控制台
2.3.5验证“ActiveDirectory数据库”和“日志文件”
服务器提升为域控制器过程中,“路径”对话框设置ActiveDirectory数据库和日志文件的存储位置,默认位于“%Systemroot%\Ntds”文件夹中,其中:
∙ActiveDirectory数据库文件“Ntds.dit”,存储域控制器中所有活动目录对象。
扩展名“dit”,全称为“DirectoryInformationTree”,中文直译为“目录信息树”。
∙事务日志文件“edb.log”。
该文件保存ActiveDirectory操作信息,默认事务日志名为edb.log,每个事务日志文件大小为10MB。
当edb.log写满时被重命名为edbxxxx.log,重新建立一个新日志文件,同时旧日志文件被自动删除。
其中xxxx是文件编号,从0001开始逐渐递增。
ActiveDirectory将事务日志写入到内存的同时,将事务日志写到日志文件edb.log。
如果系统不正常关机,导致内存尚未写入ActiveDirectory数据库的数据丢失,当开机后系统根据检查点文件edb.chk得知要从事务日志文件edb.log内的哪个数据开始,利用事务日志文件edb.log内的日志记录,将关机前尚未写入ActiveDirectory数据库日志继续写入ActiveDirectory数据库。
∙检查点文件“edb.chk”,跟踪尚未写入活动目录数据库文件的日志。
记录ActiveDirectory数据库文件和内存中ActiveDirectory数据之间的差异,一般此文件用于ActiveDirectory的初始化或还原。
∙暂存日志文件为“edbtmp.log”。
该日志是当前日志文件(Edb.log)填满时的暂时日志。
∙保留日志文件“edbres00001.jrs”和“edbres00002.jrs”。
这2个文件是日志保留文件,仅当含有日志文件的磁盘空间不足时使用。
如果当前日志文件填满且由于磁盘剩余空间不足而导致服务器不能创建新的日志文件,服务器将当前内存中的活动目录处理日志写入到两个保留日志文件中然后关闭活动目录。
每一个日志文件也是10MB大小。
∙临时文件“Temp.edb”。
该文件在数据库维护时使用,存储维护过程中处理的数据。
打开“文件资源管理器”,查看“%Systemroot%\Ntds”文件夹中是否存在名称为“ntds.dit”、“edb.log”、“edbres00001.jrs”、“edbres00002.jrs”等的文件,如图2-43所示。
图2-43验证活动目录数据库文件
2.3.6验证“计算机角色”
由于部署网络中第一台有域控制器,也就是根域服务器,所以第一台域控制器的“计算机角色”应该为“PRIMARY”。
如果是额外域控制器,“计算机角色”应该为“BACKUP”。
打开“MSDOS命令行”窗口,键入以下命令查看第一台域控制器的计算机角色。
netaccounts
命令执行后,显示当前域控制器的计算机角色为“PRIMARY”,如图2-44所示。
图2-44查看域控制器的计算机角色
2.3.7验证系统共享卷“SYSV
升级会员 