域控制器(20200924025048)

1、WIN08R2 Active Directory 】之一 部署企業(yè)中第一臺(tái) WindowsServer 2008 R2 域控制器、八前言 對(duì)于活動(dòng)目錄（AD）來講，從 Windows 2000到現(xiàn)在有非常多的文章在對(duì)其進(jìn)行探討，微軟 公司每推出一代新的 Win dows系統(tǒng)，這一重要服務(wù)技術(shù)不管是從功能上還是從性能上都在不斷進(jìn)步。在此，以最新Windows Server 2008 R2（以后簡(jiǎn)稱 WIN08R2系統(tǒng)為例，從零 開始講述關(guān)于 WIN08R2活動(dòng)目錄相關(guān)技術(shù)。希望能一直堅(jiān)持寫完!胖哥如：通過多年來AD在企業(yè)中的部署，技術(shù)人員幾乎都知道與活動(dòng)目錄相關(guān)的一系列概念了, 域、域樹、域林、

2、OU和站點(diǎn)，還有域控制器（DC等。那么，對(duì)于一個(gè) AD來講是從哪里開/、始實(shí)現(xiàn)的呢？ 也許有人將是從第一臺(tái) DC開始的。的確，AD的起點(diǎn)是從安裝第一臺(tái) DC開始的。但是，可能很少有人會(huì)意識(shí)到在安裝第一臺(tái)DC時(shí)，實(shí)際上是在部署 AD的第一個(gè)域一一根域，第一棵 域樹，乃至實(shí)現(xiàn)一個(gè)單域的域林。只不過這個(gè)林中只有一棵域樹，這棵域樹中只有一個(gè)域，而且域中就只有這一臺(tái)計(jì)算機(jī)第一個(gè)DC。由此可見，在企業(yè)中即使是在部署安裝第一臺(tái)DC之前，所考慮的并不僅僅是怎樣去安裝一DNS服務(wù)臺(tái)域控制器那么簡(jiǎn)單，而是要考慮好整個(gè)域林、域樹的規(guī)劃，以及相關(guān)服務(wù)，如： 等的規(guī)劃的部署。并且要考慮清楚， 每一個(gè)服務(wù)實(shí)現(xiàn)的位置， 每

3、一個(gè)步驟實(shí)現(xiàn)的做法。 只有 這樣走下來，所部屬的 AD才能更大的滿足現(xiàn)在和以后的需要。在此，由安裝域林中第一臺(tái)DC的過程，可以了解到在部署前需要考慮的一系列基本問題。、DC網(wǎng)絡(luò)屬性的基本配置對(duì)于將要安裝成為 DC的服務(wù)器來講，其系統(tǒng)配置以及基本的磁盤規(guī)劃在此就不在累述了,但是關(guān)鍵的網(wǎng)絡(luò)連接屬性是必須要注意的?？梢酝ㄟ^打開本地連接的屬性來進(jìn)行配置其IP屬性。作為服務(wù)器 DC的IP地址一定要是靜態(tài)的IP地址，雖然不一定需要配置默認(rèn)網(wǎng)關(guān),但是DNS服務(wù)器指向一定要配置正確，因?yàn)锳D的工作是緊密依賴于 DNS服務(wù)的。本實(shí)例中整個(gè)微軟網(wǎng)絡(luò)環(huán)境都是白手起家的，考慮讓這第一臺(tái)DC同時(shí)充當(dāng)企業(yè)網(wǎng)絡(luò)中的 DNS

4、服務(wù)器,故需要將其首選 DNS服務(wù)器地址配置為本臺(tái)計(jì)算機(jī)的IP地址（如圖1）。2£JH5連接特定的衛(wèi)陽JB端插aHnteJ.il) FEO/ltlOO FIT Ifetw<rfc Com物理地址QO-oc-£3-eve9-3E已啟用EHCFg1M地扯192.166.80. 10IF子網(wǎng)植碼25G £5S £55 0IFv4默認(rèn)網(wǎng)關(guān)192.1&e.0 1TF訶EffS關(guān)勞器1 應(yīng)，15040 10IFv4 WIfiS船勢(shì)醫(yī)S啟用 ITsmOS ovfi.-是連接$她IF地址fsSO; ;dl56; fi515:blS:在 1型需 12IFv6

5、默認(rèn)網(wǎng)關(guān)IPv EHS月籍器J1 ±1亍出峻艸由于WIN08R2默認(rèn)防火墻配置是根據(jù)連接網(wǎng)絡(luò)類型來實(shí)施過濾的,所以，最好通過“網(wǎng)絡(luò)和共享中心”將其網(wǎng)絡(luò)類型有默認(rèn)識(shí)別為的“公用網(wǎng)絡(luò)”更改為“專用網(wǎng)絡(luò)”（如圖2)。連檢或斷幵連磁詢可賓2無法觀I劉Inurmt連播： W蠱地遵餐謖丘 新的連 極雖阿£常fi無族、曳需飛號(hào)邯3S v?H隹辟S硯邸由g酚刪臥無如如 撥號(hào)或 仍 験a接。讒Bf#絃覺彌綣何5皋 拓錦te陣¥粽倍息弄呂壬打二 邑M帥y 叵心廐:舊1!.匯町1當(dāng)然，除此之外，當(dāng)前計(jì)算機(jī)的NetBIOS名，也就是計(jì)算機(jī)需要設(shè)置好，因?yàn)榘惭b完DC后, 再去進(jìn)行修改操作是

6、不明智的。二、準(zhǔn)備安裝AD服務(wù)WIN08R2對(duì)于AD服務(wù)的安裝與早期版本略有不同，可以通過“服務(wù)器管理”的角色添加來完成初始化的準(zhǔn)備工作（如圖3），打開“服務(wù)器管理”工具，展開“角色”節(jié)點(diǎn)，在右邊 窗口中點(diǎn)擊“添加角色”。*色-laj Jtfel二雖妁2VS3 "低”二 M* ®嫌” P”上：胡5* rtrrtt$賢罰a住廉轟衿上n環(huán)詞t販，段反彌科新a色和和眈*-已克» e ex 11 -l-JQ上農(nóng)Kssfita仝圜岸星K&«e釦EJU龍!MHf ；芹哥 反才:窒呵麗面【頁麗打開“添加角色向?qū)А保ㄈ鐖D 4），在該頁中會(huì)得到系統(tǒng)的三點(diǎn)提示，其中

7、最重要的是第二 點(diǎn)。對(duì)于第一、三點(diǎn)來講，可以不按提示配置，也不影響安裝，點(diǎn)擊“下一步”。因開之前嫂暑翌鞭屠甲肴S上直»曲&9輻皿重加辭曙血杠討倩圭習(xí)走豪賓*捕售像哄 aujftfttW'蒔鶴a以K藝頁:事許加SJB夢(mèng)虹F*薛黒時(shí)W鈾爾ffejSTii0垠5銅韓耒上吒的Ji問粉«程清田祎，搭劃和' «后網(wǎng)住喬怖若園集竝I. a*a-T-綢"*fjjjjjaiiDjjj萍備扌m車宜nLIG 9冋C口廠”!mE. L3r;圖4在“服務(wù)器角色”列表中勾選“ Active Directory 域服務(wù)”（如圖5）,此時(shí)，系統(tǒng)會(huì)自動(dòng)彈出對(duì)話框,

8、那擇務(wù)盤角色liT* Dir«d(<Ar7luthjH ml Si二 uut ti"打訂f也竺竺竺望J理旦活K誓 UWt+Ti 出wy證黃冊(cè)i脊OCT »3t_ 粉pb¥U hb 羅島 SSQin!_.' tindn* S'lTTBf 師爺】富J lir.J*«i 觀IW勇 廠ffHIB升SL臚J初交二乘MS耐闊Bt暮1龍1»肴=_曲用理vffi昜a.觀JlftK科1±棄鬲耳炯i上柵MjSLtt出 于W戶11#弼»砂#« as樓用HI*型濟(jì)囲團(tuán)戸時(shí) 討一卜Sih躺詢耐上If傅街aJi

9、軒壬:茁才:宣忙W冋也Qi盯舊M上ueSWJUjyjjjJ蘇1莓家?guī)熞蟀惭b“ .NET Framework 3.5.1 功能”（如圖 6），由于 AD在WIN08R2上必須該功能的 支持,是否濟(jì)加 Active Directory 域嚴(yán)莠rc?無滋慕A. live I）ir»t»rrF集車已S裝舐霽的血功龍E垢if： HH FrwtvarlE 3 5 1 功帳叫ffO.lg"兩 iL警啊FITK 鼻宜 Im Fr.tTork 3 5 1將HH卩即4忍f 0 APT的歐I監(jiān)與用于就亙以下內(nèi)imffi甬睚厚的列核貳 律&在一舞熒共眼引人罰用戶界面-11 護(hù)S

10、戶的個(gè)人翔°信息，支tt無厲癒全 通tt，列it醫(yī)謊SHE空檯供了可所以在此必須點(diǎn)擊“添加必需的功能”按鈕，返回“選擇服務(wù)器角色”對(duì)話框后點(diǎn)擊“下一 步”（如圖7 ）。ZJArliT* Glr«d（i>i7 Ki（）lx lui峙* ml S«rvh<ii I）ir«rurT遼用撕J,1_型二冷* 常Nl"»DKT JSSM 泌 JKASIi_ M«TfJ hbLJ lindni. £fcrrtrSrv喀".I n'4*i： ffnitnsL tJEEH（理秀7.躍1耐詞洛L 交

11、71;fi_. ei用覆vffi尋a印inu丄1）川f器哥:反了匸宣Hli?；釳心聞心止C/邠;8），根據(jù)這些在"Active Directory域服務(wù)”對(duì)話框中，向?qū)?huì)給出四點(diǎn)注意事項(xiàng)（如圖 注意事項(xiàng)可以了解到安裝 AD前后操作應(yīng)該執(zhí)行的任務(wù)和 AD需要的服務(wù)。XJ幵箱盍葫 豊勞a鬲色亍二七Jh#l!tH 連竝 創(chuàng)戎斗耳H舟好任.flWtt94tA fH建A事*I冒嶷g醉 口即W琥r童問薩1矗上"他林妄鞍we，離和亓期環(huán)®飾3爭(zhēng)W1 關(guān)f 盟 丞 輕 3仆 皿Mr mo爵棗射爛IJwri 碳網(wǎng)昱徐:起全flrtfcMS I壽葉M ts呢&g左補(bǔ)巧

12、71;取偉賀魅*1>M«tt»曲.K五卅柿朮曲t樂廢尋fdEjU刖i萍丟三才童 j川I它9勺門訂;苦血二H門點(diǎn)擊“下一步”進(jìn)行安裝（如圖9）。2ue9 Si fe7 r.i V 0懸>i鷲 網(wǎng)述購<>y圖9當(dāng)出現(xiàn)“安裝結(jié)果”對(duì)話框時(shí)，如果沒有錯(cuò)誤，證明AD的安裝準(zhǔn)備已經(jīng)完成，但是由于該臺(tái)計(jì)算機(jī)還不能完全正常運(yùn)行 DC所以提示需要啟用AD安裝向?qū)?dcpromo.exe )來完成安裝(如圖10)?？梢灾苯狱c(diǎn)擊“關(guān)閉該向?qū)Р?dòng)Active Directory域服務(wù)安裝向?qū)D安裝向(depromo.exe )”進(jìn)入安裝向?qū)?，也可以直接點(diǎn)擊“關(guān)閉”按鈕之

13、后，手動(dòng)打開導(dǎo)。,去郎I “"0跚（#力1祈13幼B評(píng)鼻嶄聖事昭酗狀謂尼囲-iStJBtfc*申 的I Til47K up lfe1.4<i* A匚 4-it-vtry Hit'llki'i鶴HE加EM佈*鼻昭“etn-B rtiflhT»aH£rj蕓童正諉行a電*亠.ICT Trnrt 3伍1中餐®立簫APAVtl rr«Bn«k 31$賈聾圖ihjJujy.iiDjjj翳哥找木宣1叩忙化呎也加W亦;上卿T|Tr圖10 三、完成AD服務(wù)器的安裝所以在“運(yùn)行”對(duì)話框中輸入1、需要運(yùn)行AD域服務(wù)器安裝向?qū)Р拍芡瓿稍?/p>

14、服務(wù)器的部署,"depromo”點(diǎn)擊“確定”啟動(dòng)向?qū)?如圖 11 )。h Windom將根揚(yáng)錚斤堀入熬名稱r為您打開榕應(yīng)的屋序. 立件賣rIn-temet塹源，打幵 QX I ck pro mo顯音邑權(quán)限創(chuàng)崖此任雰。J川 iL £F幣空丫哪丄：弟1圖112、經(jīng)過系統(tǒng)自動(dòng)檢測(cè)后，將出現(xiàn)AD安裝向?qū)У臍g迎界面（如圖12）。在該對(duì)話框中可以 選擇使用標(biāo)準(zhǔn)或高級(jí)模式來進(jìn)行安裝。對(duì)于高級(jí)模式是提供給有經(jīng)驗(yàn)的用戶對(duì)安裝過程有更 多的控制,Dir芒cWTy域廉務(wù)安裝問導(dǎo)製騁2" Direcgy城服務(wù)-7二-i-= z"-j_ ，三 IT-Active Director

15、yDii6Ct*r7 域控制17便用高級(jí)機(jī)式安裝仇）看曹有關(guān)誣曲童中可用的基他選項(xiàng)的詳細(xì)育關(guān)Active PiFECleirv扌垂服聲的詳鈿僖島一 一I叫空屮£群哥范才MIi屯勺陌応血細(xì).吋丄右 h曲I下尹電星駕:tj身甞也畫圖12但是在此建議使用高級(jí)模式來進(jìn)行操作。高級(jí)模式較之標(biāo)準(zhǔn)模式的功能增強(qiáng)可以參考表所示。此外，還可直接在命令提示符下運(yùn)行帶有/adv開關(guān)的dcpromo命令（dcpromo /adv）來啟動(dòng)高級(jí)向?qū)А８呒?jí)模式安裝向耳頁新林域NetBIOS 名稱現(xiàn)有林中的新域在"選g某一部署配團(tuán)'頁上，用于創(chuàng)建新域樹的a項(xiàng)僅出現(xiàn)在高;城NetBIOS名稱I源城控

16、制器:現(xiàn)有域中的苴他W空制器從介債安裝'源域控制器指定密昭復(fù)制策略（僅限于RODC安裝）為只讀期罰器（RODC）安裝創(chuàng)a賬戶指定密瑪復(fù)制策略將服霽器連接到用于ROOC安裝的賬戶從介質(zhì)安裝源域控制器I' !表13、點(diǎn)擊“下一步”，對(duì)部屬配置進(jìn)行選擇 （如圖13），由于目的是部屬企業(yè)中的第一個(gè)DC, 所以在此應(yīng)選擇“在新林中新建域”。因?yàn)?，?chuàng)建新林需要管理員權(quán)限，所以必須是正在其 上安裝AD的服務(wù)器本地管理員組的成員。|了1肚"¥隹PimWry域臘務(wù)安裝商導(dǎo)F禺迭擇杲一郡署霞蓋您可為現(xiàn)育林或新林創(chuàng)矍疑控制器0 r規(guī)有林（E）r向現(xiàn)有坯逵協(xié)咼控制scAjr在現(xiàn)有5

17、（中新型魏）M睛器將戰(zhàn)為鄒掰的第-卄控制器0廠鞋逮域W銀而孑:W子域住）有美醞曲避as的詳細(xì)信息竊找術(shù)宜h甕2創(chuàng)F心tr冋叮:切二圖134、點(diǎn)擊“下一步”，對(duì)域林的根域進(jìn)行命名（如圖14）。需要在之前對(duì) DNS基礎(chǔ)結(jié)構(gòu)有一個(gè)完整的計(jì)劃。必須了解該林的完整 DNS名稱?？梢栽诎惭bAD之前先安裝DNS服務(wù)器服務(wù), 或者如本實(shí)例一樣選擇讓 AD安裝向?qū)О惭bDNS服務(wù)器服務(wù)。匚也n罰M址Wfe Dir芒域BE務(wù)妄裝向?qū)细鶚Ａ种械牡谝粋€(gè)域是林視城0E容稱也是該林的宕稱.犍入新目錄林桐級(jí)的完全服宗的城名aQiHJ。目錄誹根媒誡的FQDHCJLpunwaoT. crt匚諺r哥垃才:童liuli庇利為陽

18、iE "K：圖14 讓AD向?qū)戆惭bDNS服務(wù)器服務(wù)，將使用此處的 DNS名稱為林中的第一個(gè)域自動(dòng)生成NetBIOS名稱。點(diǎn)擊“下一步”，向?qū)?huì)驗(yàn)證DNS名稱和NetBIOS名稱在網(wǎng)絡(luò)中的唯一性。由于使用的是高級(jí)模式，所以NetBIOS無論是否發(fā)生沖突，都會(huì)出現(xiàn)“域 NetBIOS名稱”步NetBIOS名稱與現(xiàn)有網(wǎng)絡(luò)中驟（如圖15）。當(dāng)然，在標(biāo)準(zhǔn)模式下，只有檢查到自動(dòng)生成的 名稱沖突時(shí)，才會(huì)出現(xiàn)該步驟。fl Active Directory域臘務(wù)安裝向?qū)?dHetBTOS 名稱這是陽Tide匹早期版本的用戶用于標(biāo)訐新加的宕稱。關(guān)跚確蹈鍋?zhàn)嬕褜?dǎo)接頁向?qū)е鞒傻拿?，或書龍入?#174;

19、稱，然后單擊-下一步t或 NfitBIOS 容稱 aj；< 上一步（E）8；圖155、點(diǎn)擊“下一步”，“設(shè)置林功能級(jí)別”（如圖 16），功能級(jí)別確定了在域或林中啟用AD的功能，還將限制可以在域或域林中DC上運(yùn)行的 Windows服務(wù)器版本。但是，功能級(jí)別不 會(huì)影響在連接到域或域林的工作站和成員服務(wù)器上運(yùn)行的操作系統(tǒng)。謖S聊叨魂級(jí)別選樣肺功能級(jí)別。林功能級(jí)別”Windows £ETv®r EClOS R2詳細(xì)僖恿03）-J2有，曇3 用凰一¥ 旨 i 禺-s 別 筆呂裁咖E Server 200e 林功能 肛±5 Directory 域朋勞時(shí)Serv

20、er 勿帕牌搦李酋晶啓事黨播添加迭行畑咖S Server £000 ££或吏喜15有黃13竝功超別的詳細(xì)信息匸型旳劉川匸胖哥玆才童1汕畑加M翊一上出）尸目靂也弓葺澤遍圖16創(chuàng)建新域或新林時(shí)，建議將域和林功能級(jí)別設(shè)置為當(dāng)前環(huán)境可以支持的最高值,這樣可以盡可能的充分發(fā)揮 AD的功能。如果肯定不會(huì)將運(yùn)行Windows Server 2008 （以后簡(jiǎn)稱 WIN08）或任何更早版本的操作系統(tǒng)的域控制器添加到域或林，可以選擇WIN08R2功能級(jí)別。另外,如果可能會(huì)保留或添加運(yùn)行WIN08或早版本的域控制器，則在安裝期間應(yīng)選擇Win dowsServer 2008功能級(jí)別。若

21、確定不會(huì)添加這類域控制器或這類域控制器不再使用，則安裝后可以提升功能級(jí)別。需要注意的是不能將域功能級(jí)別設(shè)置為低于林功能級(jí)別的值。例如將林功能級(jí)別設(shè)置為 WIN08則只能將域功能級(jí)別設(shè)置為WIN08或WIN08R2 Windows 2000 （以后簡(jiǎn)稱 WIN2K和 Windows Server 2003 （以后簡(jiǎn)稱 WIN03域功能級(jí)別值在“設(shè)置域功能級(jí)別”向?qū)ы撝袑⒉豢蛇x擇。因此，若選擇林功能級(jí)別為WIN08R2那么，向?qū)⒉粫?huì)出現(xiàn)“設(shè)置域功能級(jí)別”步驟，默認(rèn)情況下向林添加的所有域都將為WIN08R2域功能級(jí)另1。I特別需要注意： 將域功能級(jí)別設(shè)置為某個(gè)特定值后，將無法回滾或降低域功能級(jí)別，

22、但以下情 況例外：將域功能級(jí)別提升至 WIN08R2并且林功能級(jí)別為 WIN08或更低時(shí)，可以將域功能級(jí)別回滾到 WIN08且只能將其從 WIN08R2筆到WIN08而不能將其回直接滾到 WIN03。將林功能級(jí)別設(shè)置為某個(gè)值之后，就不能回滾或降低林功能級(jí)別，但有一種情 況例外：當(dāng)您將林功能級(jí)別提升到 WIN08R2且沒有啟用AD回收站時(shí)，則可以選擇將林功能級(jí)別回滾到 WIN08且只能將其從 WIN08R2筆到WIN08而不能將其回直接滾到 WIN03。以下表 2 列出了每種域功能級(jí)別啟用的功能和支持的域控制器操作系統(tǒng)Windows 2000柯魅所有酗的Active Directory躺及以下嘛

23、;與分岌組全俎打應(yīng)的通用組鄒換,瞬全旳糊之際諛殳全標(biāo)賄（S【D）JB史記錄Windows 2000:Windows Server 2003IWindows Server 2008IWindows Server 2008 R2Windows Server 2003 所有戳認(rèn)的 Active Directory C能、所育夭g Windows 2000 本機(jī)模式域力 Windows Server 2003 翻酗汕愛燈功能：Ldows server 2008.幡虹具Netdon.exe耳用于為堀制鑒韻礙需畑Se.er 2008 R2登軀間額亂將解用，我計(jì)箕機(jī)的上次耀時(shí)間厳新 lastLogwiTim

24、estamp恥。賜在或塡制麟性?？涎?，如果只讀塢仝 制錐（R0DC）mF®T身卅航L則瞬環(huán)會(huì)更新該層也可以將userPassword涇性設(shè)S為inetOrgPerson只據(jù)和用刊掾上的有服重定鐐戶和W機(jī)容彘刑措況卜«兩人S喀諏甜牌機(jī) 和用戶涯戦孔 cn=CompLite0<dorn3inO3t>|C cn=LJsers,<doiTiain oot人僧助此功館可以為這劉卡戶&（新的已叱昱扌觀管理銅以將崩皴策略存齡AD DS札哎限制踰J霜iSffi弱可IS加bEW哎刪爼幟充翎用用戶憑 摒艇委派。夠第類疲逼為僅允許粧淚標(biāo)略。/選緲掏膛證支矗這服礎(chǔ)任林曉餅

25、對(duì)鼬林中飭眾務(wù)站身技術(shù)陣事日啊將技木宣詐，Windows Server 200e S有St認(rèn)的 Active Directory 功it 有圭自訓(xùn)Indo陽 2000 純B式?DWlndovs Server 2008Windows Sen/er頂3域功翹別的切館以我以下牙徽,Windows Server 2003 R2(DFS)辭支持，可腳 SYSVOL ftgSn 解詳知腹瓠您可能iS覘行其他擁歆使用SYSVOL的OFS復(fù)銀有 關(guān)詳細(xì)信魁渤肝文M即兀 二牙，田TV0廷；譏二心仇1=廠 ,U4陽m尤止,i可無戶互;:屠5*r Kerberos ttKS柴級(jí)MS股務(wù)(AES 12S 和 256)

26、茹上仗老躍黯息將顯彌戶上炯I膠事誌耐此耒自什如柞 站以賄上逵錄利牆養(yǎng)敝価，嚴(yán)裕廖鄴爲(wèi)S職為則的護(hù)T局進(jìn)a扌旨盛晡尸就誇Windoim Server 200S所有默認(rèn)的Active Directory功鏈、有耒自訓(xùn)In曲陽2000藐慎式、 R2Windows Sender 2003 和 Windows Server 200S 曠SES別的曲能j 以及以Ttt能：r身醴證機(jī)制煤證,瘵用二對(duì)用電行*悄驗(yàn)證創(chuàng)®錄方注(:著就血甲口 咅飾類塑韻鈕毎牛用口的加bE汽憚軋如黠已咅曙聯(lián)合身 悅理基矚掄(» Active DrectoryEi合射脇證眾務(wù)(AD FS)麗駆 駢啟硼腿雌用戶嘗攤

27、眶曙為根酹豊珈融是希 的蘆噴膠艇序也舲魄取令辦能臥window Ssier 3iD0S R2三丘二蠱”16 LT'ih.nqi 7ii'以下表3列出了每種林功能級(jí)別啟用的功能和支持的域控制器操作系統(tǒng)啟用即幡軸陰器黠蒜Windows 2COOActive Directory 功能Windows 2000Windows Server 2003 ,Windows Server 2003WindoM5 Server 2003 R2WindO'Ws Server 2003 肺有5加的 Active Directory 曲能及以下加能；-應(yīng)制-雕埴翱（組競(jìng)酬申的矽內(nèi)合個(gè)頓灘并歸壷酥

28、竝為 旦個(gè)施瓏個(gè)態(tài)就）。伽SM更請(qǐng)娜來溯咖 器般程且環(huán)同域空熾申屈摒刖或礪不同禎跆協(xié) 訣更新?lián)砟芤?#39;澤RODC蹣能-瞇楓識(shí)-翌性署（KCC）贈(zèng)注相可解怪甑扌咗佛 （I5TG）使用MPB云可縮並滾ft賄遠(yuǎn)遠(yuǎn)大于在Wind嘟2000 籾融詢LW軸崩攢量fiW.*任域目錄分區(qū)中創(chuàng)斟綁浪 備為dynambjKt）的魏的臨 理in曲護(hù)實(shí)例喩為用戶糠期Wt能，甌冋滋功 能鋰建卿常泌潮基本卿輕型目就冋瞅（LDAP） IM）英 酣卿瀕肆于艙的躺齣耐能*任軸中停用進(jìn)新畝屬性縊別卿 I J " Windems Server 2 D03WiindoV5 Server 2iD0SWind。朋 Ser

29、ver 2003 R2印引！J冊(cè)川14三巨二星-制"珂卩】nj"-VZindows Server 2Q08 iWindJs Server 2003林加能靄上耳月舒斤有功皚fi不包恬任何竄也功 Window Server 2003嵌佢瞅駅凡罪勒至廨怖有甌痔柱Windows server 2003昨貓鑿帶浪糊n伽石汕包"皿2Wi+'lflJSSHS個(gè)林中運(yùn)行 Windows Sera 2008 或 WindowsServer 2003肥刪麴盒則為軒旌亍誕可以選擇翊功殺亂WindO'Ws server 2008 Windows Server 2003林加

30、能湖上可冃腫所有功能B以下功能：R2.在AD DS蜀耐融歸牛已K討象勸鄒耿淙磋認(rèn)喑蝦隨eSJtaattS'fir有辺都朋.剛nd伽S S日舵20隧 R2則縱艇行 ftS卄劃収魚括鋰八就中運(yùn)行Windows ScR'er 2003 R2的W擁 番，冊(cè)軒制灣頤地ta啦斂弘msM,您紐遠(yuǎn)不 門一，-脅在杠創(chuàng)建殖個(gè)嗽刑如能級(jí)孔攔言詁-皇. 刎.僅!3門.'刁一'川Windows Server 2003 R26、點(diǎn)擊“下一步”，配置“其它域控制器選項(xiàng)”（如圖17）。在AD安裝期間，可以為 DC選擇安裝DNS服務(wù)、或?qū)⑵湓O(shè)置成為全局編錄服務(wù)器（GC或只讀域控制器（RODC。

31、Iin Active Directory域臘務(wù)壽裝向?qū)渌蚩刂破鞯暈榇顺强刂破鬟xS其他選【尿EHS服騎器）廠口讀威掙制囂血叱川其他信息仇）：林中的走一個(gè)域控制器必須是全局嵋錄服務(wù)器且不能是BODC 0 崖復(fù)您將B駆脂斧器腮奔安裝第一個(gè)域控制器上有黃厘城控制趣郵詳翎信息匸型打tl歲U川圖17DNS服務(wù)器選項(xiàng)正如“ DC網(wǎng)絡(luò)屬性的基本配置”一節(jié)中談到的在DC上同時(shí)安裝DNS服務(wù)，此處就需要勾選DNS環(huán)“DNS服務(wù)器”選項(xiàng)。該選項(xiàng)的默認(rèn)設(shè)置取決于此前選擇的部署配置和當(dāng)前網(wǎng)絡(luò)中的 境等因素。表4中列出了不同 AD部署配置的默認(rèn) DNS服務(wù)安裝配置。新林F認(rèn)會(huì)安裝DM服務(wù)器。如果向?qū)г谝擞蛑袡z測(cè)至|

32、 D陌基礎(chǔ)結(jié)構(gòu)，則默認(rèn)會(huì)安裝服務(wù)黏II如果向?qū)]有檢測(cè)到DNSS礎(chǔ)結(jié)構(gòu)，則默認(rèn)不會(huì)安裝DNS服芬器。i新域樹其他1酣空制器如果向?qū)г诹指蛑袡z測(cè)到DNS基礎(chǔ)結(jié)枸，則默認(rèn)禽安裝DNS服勞器。如果向辱沒有檢測(cè)到DNS基礎(chǔ)結(jié)構(gòu)，則默認(rèn)不會(huì)安裝DNS服務(wù)ih如果冋導(dǎo)在域中檢測(cè)到DMS基礎(chǔ)結(jié)構(gòu)，則戳認(rèn)會(huì)安裝DNS服勢(shì)Ih牙怡需盟盞單能觴m到dm基礎(chǔ)結(jié)亂則DNS服務(wù)器安裝選項(xiàng)不耳涼話一陰需要注意的是:如果啟動(dòng)AD安裝向?qū)е耙呀?jīng)安裝了 DNS!艮務(wù)，但AD沒有DNS基礎(chǔ)結(jié)構(gòu)，則DNS服務(wù)將繼續(xù)為它承載的任何基于文件的區(qū)域解析名稱，但不會(huì)承載它作為域控制器所在的域的任何AD集成的DNS區(qū)域。全局編錄選項(xiàng)由于

33、林中的第一臺(tái) DC必須是GC因此在創(chuàng)建域林時(shí)“全局編錄”復(fù)選框處于會(huì)被自動(dòng)選中,而且變灰不能被取消。在現(xiàn)有域中安裝其他DC時(shí)，默認(rèn)也會(huì)選中該復(fù)選框。但是，可以手動(dòng)取消選擇。在創(chuàng)建新的子域或域樹時(shí)，默認(rèn)情況下不會(huì)選中“全局編錄”復(fù)選框，因?yàn)樾掠蛑械牡谝粋€(gè)域控制器承載著所有域范圍的操作主機(jī)角色（FSMC角色），包括基礎(chǔ)結(jié)構(gòu)操作主機(jī)角色。在多域林中，除非域中的所有DC都是GC否則在GC上承載基礎(chǔ)結(jié)構(gòu)主機(jī)角色可能會(huì)出現(xiàn) 問題。因此，在新子域或域樹的第一個(gè) DC上安裝全局編錄，則需要在將其他DC安裝到域中DC也都是GC而且，在安裝之后轉(zhuǎn)移基礎(chǔ)結(jié)構(gòu)主機(jī)角色，或是確保安裝到域中的所有其他DC上，并且會(huì)驗(yàn)其他

34、可寫域控制器時(shí)，AD安裝向?qū)?huì)驗(yàn)證基礎(chǔ)結(jié)構(gòu)主機(jī)是否承載于合適的 證它是否可以修復(fù)使用所選安裝選項(xiàng)引發(fā)的問題。ROD（選項(xiàng)以下條件下不允許安裝 RODC：? 新林中安裝第一個(gè)域控制器? 新域中安裝第一個(gè)域控制器? 林功能級(jí)別不是 WIN03、WIN08 或 WIN08R2要安裝RODC勺域中沒有 WIN08或WIN08R2的可寫域控制器選項(xiàng)間的關(guān)系如果選中“只讀域控制器（ ROD）C ”復(fù)選框，除非無法選中“ DNS 服務(wù)器”復(fù)選框，否則向?qū)?huì)自動(dòng)選中此選項(xiàng)。如果在向?qū)нx中“ DNS 服務(wù)器”復(fù)選框之后將其清除，則向?qū)?huì)發(fā)出警告：“如果不同時(shí)安裝 DNS 服務(wù)器，分支機(jī)構(gòu)中的客戶端可能無法找到R

35、OD”C 。默認(rèn)情況下，“全局編錄”復(fù)選框可能也處于選中狀態(tài)，具體取決于選擇的其他安裝選項(xiàng)。默認(rèn)情況下，如果選中“只讀域控制器”復(fù)選框，向?qū)Ь蜁?huì)自動(dòng)選中“全局編錄”復(fù)選框。驗(yàn)證檢查選項(xiàng)在“其他域控制器選項(xiàng)”頁上選擇選項(xiàng)，然后點(diǎn)擊“下一步”之后，向?qū)?huì)執(zhí)行以下驗(yàn)證檢查，之后才會(huì)繼續(xù)進(jìn)行操作。靜態(tài)IP地址驗(yàn)證一一如果選中“ DNS服務(wù)器”復(fù)選框，AD安裝向?qū)?huì)驗(yàn)證服務(wù)器的所有物理網(wǎng)絡(luò)適配器是否都具有一個(gè)靜態(tài)地址，包括靜態(tài)的 IPv4 和 IPv6 地址。 盡管不使用靜態(tài)IP地址便可以完成AD安裝，但不建議這樣做，因?yàn)槿绻鸇C的IP地址發(fā)生變化， 客戶端可能無法聯(lián)系 DC?；A(chǔ)結(jié)構(gòu)主機(jī)檢查如果選擇在

36、域中安裝其他域控制器的選項(xiàng)，AD安裝向?qū)J(rèn)會(huì)選中全局編錄” 復(fù)選框。如果正在安裝可寫域控制器 （“只讀域控制器”復(fù)選框處于清除狀態(tài)）DC上?？梢渣c(diǎn)命令是否成功而且清除了 “全局編錄”復(fù)選框，向?qū)?huì)檢查域中的全局編錄服務(wù)器上當(dāng)前是否承載了基礎(chǔ) 結(jié)構(gòu)主機(jī)角色。如果檢查結(jié)果為是，向?qū)?huì)提示將該角色轉(zhuǎn)移到正在安裝的擊“是”將基礎(chǔ)結(jié)構(gòu)主機(jī)角色轉(zhuǎn)移到此DC上，或點(diǎn)擊“否”稍后更改配置。Adprep /rodeprep 檢查如果安裝 RODC 向?qū)?huì)驗(yàn)證 adprep /rodeprep組策略對(duì)象和腳本，其默認(rèn)是位于%windir%目錄中的操作系統(tǒng)文件的一部分。完成，以及該命令導(dǎo)致的更改是否復(fù)制到整個(gè)林中

37、。如果adprep /rode prep命令沒有成功完成，或是更改尚未復(fù)制到整個(gè)林中，會(huì)收到一條錯(cuò)誤消息，指出在繼續(xù)進(jìn)行安裝之前必須運(yùn)行該命令。如果收到此消息，可以在林中的任何計(jì)算機(jī)上再次運(yùn)行adprep /rode prep或是等待更改復(fù)制到整個(gè)林中。7、點(diǎn)擊“下一步”，系統(tǒng)會(huì)彈出DNS服務(wù)委派警告對(duì)話框（如圖18）。在此，點(diǎn)擊“是”繼續(xù)完成向?qū)?。這個(gè)對(duì)話框的出現(xiàn)是由于配置其它服務(wù)器時(shí)，選擇了DNS服務(wù)器”選項(xiàng),而當(dāng)前計(jì)算機(jī)又未找到指定域的權(quán)威父域Win dows DNS服務(wù)器,從而無法確定是否對(duì)指定域進(jìn)行了委派導(dǎo)致的。gH Active Directury 域J®務(wù)安裝向?qū)r(shí)）

38、 I?鼻尋:宜血卩宅囘"iMm?皿呪財(cái)圖18 8、確定AD數(shù)據(jù)庫、日志文件和 SYSVO放置的位置（如圖19）。對(duì)于數(shù)據(jù)庫來講主要存儲(chǔ)AD有關(guān)的活動(dòng)；SYSVO存儲(chǔ)有關(guān)用戶、計(jì)算機(jī)和網(wǎng)絡(luò)中其它對(duì)象的信息；日志文件記錄與筍M址Wfe Dir芒Iityy域臘務(wù)安裝間導(dǎo)敎揺庫、B志文件和STSTOL 位置舞羹包含gm Birsctory域掙制器數(shù)據(jù)庫、3志文件和寶沁L的為獲得更好的性目紳可恢夏性-需爲(wèi)魏據(jù)摩和日志文件存儲(chǔ)在不同的卷上。數(shù)據(jù)庫文件夾6）： 曰志文件文件夾心；|cTM7dfl?iWTBS 劉SVQL兗件夾e):瀏黃I|c： Window iSTSTOL測(cè)夷I肓并龍鶯Active

39、 DiiTEietdirY恆BB疊交件的譯刪信息 _上蚱）|下涉H瓷苛些首專專-子r卻匸E41亙川八I:耳電比心J口劃UmW：口 I；7 h圖19在決定AD文件的存儲(chǔ)位置時(shí)，可以從以下兩個(gè)因素來考慮備份和恢復(fù)對(duì)于只有一個(gè)硬盤的服務(wù)器來將，只需接受AD安裝向?qū)У哪J(rèn)安裝設(shè)置即可。但是，必須至少在該硬盤上創(chuàng)建兩個(gè)卷。 其中一個(gè)卷用于存儲(chǔ)關(guān)鍵卷數(shù)據(jù)，另一個(gè)卷用于存儲(chǔ)備份。 在使用 Windows Server Backup 或 Wbadmin.exe命令行工具備份 DC時(shí)，至少必須備份系統(tǒng)狀態(tài)數(shù)據(jù)，以便使用備份恢復(fù)服務(wù)器。用于存儲(chǔ)備份的卷不能與承載系統(tǒng)狀態(tài)數(shù)據(jù)的卷相同。構(gòu)成系統(tǒng)狀態(tài)數(shù)據(jù)的系統(tǒng)組件由安

40、裝在計(jì)算機(jī)上的服務(wù)器角色來決定。系統(tǒng)狀態(tài)數(shù)據(jù)至少包括下列數(shù)據(jù)（根據(jù)所安裝的服務(wù)器角色，還可能包括其他數(shù)據(jù)）：? 注冊(cè)表? COM+類注冊(cè)數(shù)據(jù)庫? 引導(dǎo)文件Active Directory 證書服務(wù) (AD CS) 數(shù)據(jù)庫? 承載 Active Directory數(shù)據(jù)庫 (Ntds.dit) 的卷? 承載 Active Directory數(shù)據(jù)庫日志文件的卷? SYSVOL 目錄群集服務(wù)信息Microsoft Internet Information Services (IIS)元目錄? Windows 資源保護(hù)下的系統(tǒng)文件性能對(duì)于更加復(fù)雜的安裝，可能需要配置硬盤存儲(chǔ)以優(yōu)化AD 的性能。由于數(shù)據(jù)庫

41、和日志文件以AD 的不同方式利用磁盤存儲(chǔ)空間， 因此可以通過將每種內(nèi)容分配到不同的硬盤主軸來提高 性能。例如，一臺(tái)服務(wù)器具有四個(gè)可用的硬盤驅(qū)動(dòng)器，它們的驅(qū)動(dòng)器卷標(biāo)分別為：驅(qū)動(dòng)器C，包含操作系統(tǒng)文件? 驅(qū)動(dòng)器D，未使用? 驅(qū)動(dòng)器E，未使用? 驅(qū)動(dòng)器F，用于備份D和E)中而最在此服務(wù)器上，可以通過將數(shù)據(jù)庫和日志文件分別安裝到專用的驅(qū)動(dòng)器(如 大限度提高AD的性能。這有助于提高數(shù)據(jù)庫的搜索性能，因?yàn)橛幸粋€(gè)驅(qū)動(dòng)器主軸可以專用 于搜索活動(dòng)。 在同時(shí)進(jìn)行大量更改的情況下， 這種配置也會(huì)降低承載日志文件的磁盤出現(xiàn)瓶C 中。頸問題的幾率?？梢詫?SYSVOL 與操作系統(tǒng)文件一起存儲(chǔ)在驅(qū)動(dòng)器9、點(diǎn)擊“下一步”，

42、向?qū)б筝斎搿澳夸涍€原模式的Admi nistrator 密碼”（如圖 20）。在AD未運(yùn)行時(shí)，目錄服務(wù)還原模式（ DSRM密碼是登錄域控制器所必需的。Directory域JK務(wù)壽裝向?qū)夸洈邉?wù)迓原複式的AdBinistTstor蔭瑪Ji目錄服務(wù)'JS原模式Administrator就戶不同于域Administrator帳戶*錄朋勞還原模式啟動(dòng)此域控密 Sb）-關(guān)干曰錄冃麗癸悔:障扌豊蘭霸碼的詩州償?shù)?r D； jjujjjI翳哥找片童iuL畑門湎田iL上"砂1下 "咗活石畧也浙圖20特別注意DSRM密碼與域管理員帳戶的密碼不同。當(dāng)創(chuàng)建林中第一臺(tái) DC時(shí)，AD安裝向

43、導(dǎo)會(huì)將本地服務(wù)器上生效的密碼策略強(qiáng)制作用于此。對(duì) 于所有的其他DC的安裝，AD安裝向?qū)F(xiàn)有DC上生效的密碼策略強(qiáng)制作用于此。這意味 著，指定的DSR密碼必須符合包含現(xiàn)有 DC所在域的最小密碼長(zhǎng)度、歷史記錄和復(fù)雜性要求。默認(rèn)情況下，必須包含大寫和小寫字母組合、數(shù)字和符號(hào)的強(qiáng)密碼。10、點(diǎn)擊“下一步”，顯示安裝摘要（如圖 21），并且可以單擊“導(dǎo)出設(shè)置”將在此向?qū)D的后續(xù)安裝。中指定的設(shè)置保存到一個(gè)應(yīng)答文件。然后，可以使用應(yīng)答文件自動(dòng)執(zhí)行5 Attivt Directory域J軽務(wù)安叢宜§境要檢查您的選擇：將該服奔器Bi噩為栽林中的第一個(gè)肚時(shí)缶理tcry域扌進(jìn)J器。 新咼容-punw

44、. cn- o這也是新林的名稱Qt或的 KetJIOS 名稱為 “FUWAE” o棕功能級(jí)別：tfinlows Server 2003竝t或功能級(jí)別：宜£比化1" 2003 S2站點(diǎn)！ D* fiult-First-Si te-HamtfS他送項(xiàng):零更改選項(xiàng)，單擊“上一步"O要*怕操作，單擊，丄下一步"©務(wù)g些設(shè)s導(dǎo)岀到一于應(yīng)歆件中以用于其他無人 早岀設(shè)蓋動(dòng) 細(xì)信息；上一步（E）下一步叫込宀竺肖閉；£.胖哥克.不童liul庇5和由oE*嘰才小i7三:一 J圖21應(yīng)答文件是包含DC In stall標(biāo)題的純文本文件，應(yīng)答文件提供了對(duì)AD安裝向?qū)枧渲玫脑O(shè)置值。使用該應(yīng)答文件時(shí),管理員無需與該向?qū)нM(jìn)行交互。向?qū)?huì)向該應(yīng)答文件中添加文本，說明如何使用該文件,例如，說明如何使用dcpromo命令來調(diào)用該文件以及必須更新哪