3557人阅读
Windows Server（7）
Active Directory概念
AD(活动目录)：是一种组织资源信息的方法，目录的意义在于我们可以通过标题或者说搜索条件来简单而有效率的在大量数据中查找匹配的信息。支撑这种信息检索的技术就是LDAP协议。
AD域：为了避免账户数据量过大造成的管理不便，我们会将所有的账户数据按照域的概念来划分，再分别对每一个域进行管理。一般AD域或与DNS域挂钩。
AD DS(Active Directory Domain Server)：活动目录域服务，是一种Win08R2服务器所提供的服务，由AD域控制器来实现。应用了AD的信息检索思维，能够高效快速的处理庞大的账户数据。实现了统一集中管理企业员工账号信息，做到单点登录，多处访问。值得注意的是，因为AD DS要管理大量的账户信息，所以就决定了AD DS需要一个数据库来支撑整个服务，而这个扮演数据库的角色就是存在于AD域控制器中的AD数据库。
AD域控制器：AD域控制器包含了AD数据库，用于存储AD域内的账号数据，提供了对数据的增删查改功能。而且AD域控制器也提供了AD DS服务，所以安装一个AD域控制器，等效于创建了AD DS域服务。
NOTE：AD服务器最主要的好处在于：
1. 集中管理账号，应用程序等计算机资源。
2. 域账号能够实现单点的远程登陆。
AD与DNS的关系：域控制器需要将自己注册到DNS服务器中，以便其他的计算机可以通过DNS解析服务来找到这台域控制器从而实现登录信息验证，而且此DNS服务器最好支持动态更新功能。所以AD服务需要有DNS服务的支撑，否则也可以通过修改Hosts来实现上述的功能。
创建第一个AD域控制器
准备工作：
1.选择一个DNS域名
2.准备一台用来支撑AD DS的DNS服务器
支持动态更新
支持区域传送
关闭快速传送，因为有一些DNS服务区并不支持此功能
搭建DNS服务器
当我们部署成为AD DS服务角色时，系统会自动在该服务器中安装DNS服务角色，并且系统还会自动在DNS服务器中创建一个支持AD DS的区域。该区域也会自动开启安全动态更新。
具体的DNS安装和使用，
因为这是服务器上的第一台域控制器，所以本次升级会同时完成下列操作：
新建一个林
新建一个域树
新建域树中的一个域
新建此域中的第一台域控制器
域树：域树包含了多个AD域，在域树内的所有AD域共享一个AD数据库，但是在这个AD数据库中，每一个域内只存储了属于该域的数据。
林：林由若干个域树组成，在创建林时，不同的域之间会发生信任的双向传递。林中域内的任意用户只要拥有一定的权限就可以访问整个林内的资源，也就是说可以到林中任何一台计算机登录。
信任：两个不同的AD域之间必须创建信任关系，才可以访问对方域内的资源。当一个新域加入到域树后，它会自动的双向传递信任域树内的所有域。只要给予新域一些适当的权限，这个新域内的用户就可以访问其他域内的资源。
使用Windows窗口程序创建AD域控制器
Step1在服务器管理器中添加AD域服务角色，安装必要的软件环境
Step2：点击运行AD域服务安装向导，开始安装AD DS
Step3：选择使用高级设置，点击下一步
Step4：选择在新林中创建域
Step5：输入新建域的域名，一般填入DNS已有域的域名。我这里填写DNS服务器中已有的二级域。这个二级域也会作为林中的根域。
Step6：安装向导会自动的要求设置一个NetBIOS格式的域名，为了一些旧版本的服务器能够通过NetBIOS来访问此资源。名字不区分大小写。
Step7：选择 Windows Server 2008 R2的林功能级别
Step8：如果已经在服务器上安装过DNS的话，直接下一步。否则，需要安装DNS服务器。而且第一台域控制器会具有全局编录的功能。
全局编录：在域树内的所有AD域都共享同一个AD数据库，但是在AD数据库中的数据却是分散到各个域内的，每一个域只存储其自身的数据。这样会造成不便于查找别域的资源，而全局编录就是为了避免这个问题。在全局编录中存储了林内所有AD域中的账号的部分属性，而这部分属性通常是便于搜索此对象的。例如：账号名称、UPN、电话号码等唯一的标识。有了全局编录不管用户存在那一个域中，都可以很快捷的查找其他域内的资源。
Step9：选择存放AD数据库的路径
Step10：设置一个AD DS的还原密码(强密码)，使用该密码可以进入安全模式，在该模式下可以对AD进行修复。
Step11：下一步直到手动重启服务。至此ADDS域控制器安装完成。在完成域控制器的安装后，会自动的将该服务器的用户账号转移到AD数据库中。
注意：如果在安装AD DS域控制器之前已经安装了DNS服务的话，需要将DNS域与AD DS集成
这样才能够将AD DS域控制器和DNS域关联
AD与LDAP的关系
LDAP是一种用来访问AD数据库的目录服务协议，ADDS会通过LDAP名称路径来表示对象在AD数据库中的位置，以便用它来访问AD数据库内的对象。LDAP的名称路径包括有DN、RDN。
1. DN是AD数据库内的完整路径，下面是一个例子：
林小洋是一用户账号，其DN为：CN=林小洋、OU=业务一组、OU=业务部、DC=sayms、DC=com 。其中DC表示DNS域名中的组件，OU表示组织单位，CN表示普通名称。
整个DN表示：用户林小洋的账号存储在\业务部\业务一组的路径下。
2. RDN它是在DN完整路径中的部分路径，例如上面的DN中，CN=林小洋就是RDN
使用Powershell来创建ADDS域控制器
编辑Powershell代码文件installADDSControl.ps1
dcpromo /unattend /InstallDns:yes /newDomain:forest /replicaOrNewDomain:domain / /DomainNetbiosName:JMILK /forestLevel:4 /domainLevel:4 /createNDSDelegation:no /databasePath:"%SystemRoot%\NTDS" /logPath:"%SystemRoot%\NTDS" /sysvolpath:"%SystemRoot%\SYSVOL" / /rebootOnCompletion:yes
注意：Windows Server出于安全考虑会禁止执行Powershell Script，需要手动打开。
在Powershell执行下面的指令：
Set-ExecutionPolicy Unrestricted
检查ADDC域控制器是否安装成功
Step1：检查DNS服务器内的日志是否完整
查看DNS域是否存在ADDS域控制器所在的HOST的资源记录。
Step2：检查SRV日志，如果域控制器成功注册到DNS服务的话，会在域中看见_tcp、_udp的文件夹。
_tcp文件夹右方的数据类型为服务位置(SRV)的_ldap记录。表示已经成功注册为域控制器。_gc记录表示为全局编录服务器。
注意：当DNS区域内存在这些记录后，所有加入此域的计算机，就可以通过区域解析功能，来找到ADDC域控制器为 。
使用nslookup来检查SRV日志：
如果使用nslookup指令能够成功解析_ldap._tcp.dc._
C:\Users\Administrator&nslookup
DNS request timed out.
timeout was 2 seconds.
默认服务器:
& set type=srv
& _ldap._tcp.dc._msdcs.jmilk.com
_ldap._tcp.dc._msdcs.jmilk.com
SRV service location:
svr hostname
= dns1.jmilk.com
dns1.jmilk.com
internet address = 192.168.1.100
检查AD数据库存储文件：
1. 运行：Run –& %systemroot%\ntds
图中的ntds.dit文件就是AD数据库文件，.log文件就是日志文件(扩展名默认会隐藏)。
2. 运行：Run –& %systemroot%\SYSVOL
查看存储域的SYSVOL文件夹中是否有sysvol文件夹，并且sysvol文件夹和其子文件夹script都必须是共享文件夹。使用net share指令可以查看共享文件夹列表。
C:\Users\Administrator&net share
----------------------------------------------------------------------
C:\Windows
C:\Windows\SYSVOL\sysvol\jmilk.com\SCRIPTS
Logon server share
C:\Windows\SYSVOL\sysvol
Logn server share
我们可以点击 开始 –& 管理工具来查看与AD DS相关的管理工具
这些管理工具能够为管理ADDS域带来极大的便利。
例如：我们可以通过事件查看器工具来查看事件日志文件，以便检查任何跟ADDS有关的问题。
创建额外域控制器
额外域控制器一般安装在另一台物理服务器(HOST2)中，作为AD DS的域控制器(HOST1)的备份而存在。这两个域控制器都存在于同一个AD根域中，额外域控制器有下面几点好处：
改善用户的登录效率(LB)
提供容错功能(HA)
在安装额外域控制器时，我们需要将AD数据库由现有的域控制器复制到额外域控制器中。Win08R2提供了两种复制AD数据库的方式。
通过网络直接复制，但是当AD数据库非常庞大的话需要很长的时间。
通过安装媒体，即通过U盘、DVD等方式来复制AD数据库。
使用Windows窗口界面来安装额外域控制器
Step1：在HOST2能够Ping通HOST1的情况下参照上述的安装方法在HOST2中安装AD域服务。注意安装域控制器和额外域控制器也存在着个别不同的地方。具体如下：
1). 选择现有的林
2). 输入与HOST1域控制器相同的根域名(实际上可以输入林中任意一个域名，安装向导只是通过该域名来找到林中所有的域) –& 点击设置，再输入账户凭证
3). 选择要添加的域控制器的域后点击下一步
4). 选择额外域控制器的AD DS站点
站点：是由一个或数个IP子网所组成的。一般站点都是LAN(局域网)内的计算机。
5). 直接点击下一步，如果HOST2没有DNS服务，则需要同时安装以恶DNS服务器。若已经安装了DNS服务，则此选项为默认。
6). 选择通过网络的AD数据库复制方式
7). 完成额外域控制器的安装后重启电脑
使用Powershell脚本来安装额外域控制器
创建Powershell脚本文件InstallReplicaADDSControl.ps1
dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName: /siteName:Default-First-site-Name /InstallDns:yes /confirmGC:yes /createNDSDelegation:no /userDomain: /userName:\administrator /password: /databasePath:"%SystemRoot%\NTDS" /logPath:"%SystemRoot%\NTDS" /sysvolpath:"%SystemRoot%\SYSVOL" /safeModeAdminPassword: /rebootOnCompletion:yes
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：257150次
积分：4127
积分：4127
排名：第5149名
原创：151篇
评论：24条
文章：11篇
阅读：69076
阅读：10715
(10)(24)(22)(8)(3)(4)(15)(5)(24)(29)(10)(6)(2)如何安装windows 2008R2 AD域控_百度知道
如何安装windows 2008R2 AD域控
我有更好的答案
ws2003，我们选择“是”
10 保持默认，这里我输入测试域命“test,选择下一步
7 选择林功能级别，
5 这里我们选择在新林中新建域（因为是全新安装），输入，选择下一步
8 按图选择下一步
9 弹出对话框，这里我选择2008R2，
4 按图选择下一步方法，以后会有用），因为域里不存在ws2000，选择下一步
11 输入域还原密码（自己一定要记得.ws2008等系统.com”： 1 这是一台全新的windows2008 R2系统主机 已设置好IP地址
2 打开命令行，选择下一步
12 选择下一步
13 这里我们等待服务安装完成
14 点成完成：“dcpromo”
3 直接按图选择下一步，选择下一步
6 输入域名
其他类似问题
为您推荐：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁lovelace521 的BLOG
用户名：lovelace521
文章数：117
评论数：211
访问量：571201
注册日期：
阅读量：5863
阅读量：12276
阅读量：319002
阅读量：1030572
51CTO推荐博文
一、建立主控
二、建立辅助域控
三、建立DFS FILE 01
四、建立DFS FILE 02
五、对DFS概念的理解
六、基于FSRM的磁盘配额与文件筛选
七、客户端win7加入系统 测试
八、文件服务器迁移
实验环境:如下图所示:
四台服务器：windows
Enterprise Edtion 英文版
客户端：windows 7 中文 旗舰版
网段配置：
Dc01：192.168.10.10/24 DNS 192.168.10.10
Dc02：192.168.10.11/24 DNS 192.168.10.11
Dfs01: 192.168.10.12/24 DNS :192.168.10.10 192.168.10.11
Dfs02:192.168.10.13/24 DNS:192.168.10.10 192.168.10.11
Win 7 client : 192.168.10.14 DNS : 192.168.10.10 192.168.10.11
一、创建第一台域控制器
打开服务器管理器,点击role----点击Add roles-----选择Active Driectory Domain services,
会弹出提示说需要安装.net3.5组件，这里我们选择同意安装，
Active Directory Domain services安装完成，点击start-----点击run 在弹出的页面对话框中输入dcpromo 开始域控的安装，进入向导安装模式，我们选择advanced高级模式
这里我们选择创建新林中的新域
域命名，可以根据公司需求要设置
这种林级别和域级别，这里我们按默认设置，不作更改
这一步提示我们是否需要安装DNS，我们选择是
这里是设置AD数据库，日志文件和SYSVOL数据的存放路径，按系统默认即可
设置还原密码，要分清这个和域管理员密码是两回事，然后进入漫长的安装过程
安装完成，重启进入系统，由于是第一次使用域管理员账户，这里系统提示我们要更改域管理员密码，
进入系统，查看各项角色的情况，由于本服务器是森林中第一台域控制器，所欲此域控制器上有两个特殊的账号，Enterprise admins 和scheam admins这是域根的标示
点击DNS，我们需要新建反向查询记录
DNS反向查询记录设置后之后我们需要更改下本机网卡DNS设置，由于本机是DNS服务器，DNS安装好之后，DNS自动指向系统本身 127.0.0.1 我们要把DNS改成机器本身的IP地址，要不客户端检索不到DNS，会造成这样那样的麻烦
本文出自 “” 博客，谢绝转载！
了这篇文章
类别：┆阅读(0)┆评论(0)查看:885|回复：16
域控名必须是xxx.xxxx这样的格式吗，不可以是xxx这样的？我搭建windows server2003域控名可以是单个的没有&.&分割的单词.
引用:原帖由 傻大木 于
21:00 发表
域控名必须是xxx.xxxx这样的格式吗，不可以是xxx这样的？我搭建windows server2003域控名可以是单个的没有&.&分割的单词. 您是说域控计算机名称还是域名呢？以自己单位申请域名为准！
Exchange 2013 MCSE | Microsoft MVP,Office Servers and Services
社区官方Exchange技术群:
问题解决与否,欢迎大家反馈一下,也是对回答者认可&肯定，谢谢！
助理工程师
引用:原帖由 傻大木 于
21:00 发表
域控名必须是xxx.xxxx这样的格式吗，不可以是xxx这样的？我搭建windows server2003域控名可以是单个的没有&.&分割的单词. 在升级为域控制器之前：电脑名为XXX
在升级为域控制器之后：电脑名自动改为XXX.SSS.SSS (其中SSS.SSS为域名)
楼主是不是混淆了域控制器名称（即电脑名称）和域名？
本帖最后由 eswc8769 于
22:09 编辑
是域名，但是如果单位的网站服务器不在单位内部，而是租的公网ip服务器。
比如单位申请的域名是
那访问这个网站不是和内网的域控名重合吗，不会造成解析冲突？？
引用:原帖由 惊艳了青春 于
21:42 发表
您是说域控计算机名称还是域名呢？以自己单位申请域名为准！ 是域名，不是域控计算机名。
引用:原帖由 惊艳了青春 于
21:42 发表
您是说域控计算机名称还是域名呢？以自己单位申请域名为准！ 如下图
2003域名可以是ART
(11.84 KB)
2008的域名只能是这样？
(66.05 KB)
如果是这样的话
DNS解析不是解析到域控计算机的IP了？
如果公司有网站，网站本身并不在公司，而是租赁的IDC机房的某个固定IP的服务器，
公司内部的计算机访问网站的时候不是有冲突吗
如果是这样& &默认情况是访问不了
的&&要怎么设置不知道了 我们公司改了.net了& & 我以前公司用的2003的域控&&可以用.com 不知道怎么弄
引用:原帖由 y_love 于
10:24 发表
如果是这样& &默认情况是访问不了
的&&要怎么设置不知道了 我们公司改了.net了& & 我以前公司用的2003的域控&&可以用.com 不知道怎么弄 是吧，2003可以一个单词这样，就没有啥冲突问题，2008必须得有点分割，另外如果从2003迁移过来的呢。2003原来是没有点的
引用:原帖由 傻大木 于
10:18 发表
2003域名可以是ART
2008的域名只能是这样？
如果是这样的话
DNS解析不是解析到域控计算机的IP了？
如果公司有网站，网站本身并不在公司，而是租赁的IDC机房的某个固定IP的服务 ... 还是不清楚你说的意思，你把公司申请域名 绑定到租赁网站服务器服务器就可以了。没有什么冲突的
Exchange 2013 MCSE | Microsoft MVP,Office Servers and Services
社区官方Exchange技术群:
问题解决与否,欢迎大家反馈一下,也是对回答者认可&肯定，谢谢！
03没有研究过，不过建立是按标准的
如果你们公司有一些外部的服务器也是，你只需要在DNS里面加几条A记录就可以了，这个不冲突
引用:原帖由 duwei025 于
11:18 发表
03没有研究过，不过建立是按标准的
如果你们公司有一些外部的服务器也是，你只需要在DNS里面加几条A记录就可以了，这个不冲突 那么2008r2域名确认不可以命名为没有点标签的名字了？
本帖最后由 傻大木 于
13:48 编辑
引用:原帖由 惊艳了青春 于
11:03 发表
还是不清楚你说的意思，你把公司申请域名 绑定到租赁网站服务器服务器就可以了。没有什么冲突的 比如网站所在的IP地址为8.8.8.8这是公网地址，网站的域名为，那你公司搭建了一个域控，域控名为,&&那公司内部的PC加入域控后，解析是解析到域控服务器主机的IP地址比如是192.168.1.1，而不是8.8.8.8对吗？
我的初始问题是，操作系统是2003创建域控的时候域控名可以为abc,而不是。到了操作系统为2008R2，就不可以了。要求命名必须为
了解的大侠可以说一下吗？？
引用:原帖由 傻大木 于
13:53 发表
比如网站所在的IP地址为8.8.8.8这是公网地址，网站的域名为，那你公司搭建了一个域控，域控名为,&&那公司内部的PC加入域控后，解析是解析到域控服务器主机的IP地址比如是192.168.1.1，而不是8.8.8.8对吗 ... 1、公司内部搭建域控，内部用户解析是内网地址，如果内部用户连接的是外网，那解析的地址公网地址。
2、企业域控一般都命名为公司顶级域名，如果你是测试随便自己设置
Exchange 2013 MCSE | Microsoft MVP,Office Servers and Services
社区官方Exchange技术群:
问题解决与否,欢迎大家反馈一下,也是对回答者认可&肯定，谢谢！
引用:原帖由 惊艳了青春 于
22:01 发表
1、公司内部搭建域控，内部用户解析是内网地址，如果内部用户连接的是外网，那解析的地址公网地址。
2、企业域控一般都命名为公司顶级域名，如果你是测试随便自己设置 ... 不是很明白域控名和Netbios名称区别联系，网上的文章看的不太清楚
比如2008创建域的时候窗口
(204.01 KB)
是创建不了的，2003可以。
另外创建域控时，提示如下图
(201.38 KB)
这个art0在这里和域控名有啥区别。我这个局域网是没有名字为art0的计算机的。
(367.78 KB)
登陆域内计算机的时候art0\这里这个ART0又是什么意思？
本帖最后由 傻大木 于
11:44 编辑
引用:原帖由 傻大木 于
11:37 发表
不是很明白域控名和Netbios名称区别联系，网上的文章看的不太清楚
比如2008创建域的时候窗口318795
是创建不了的，2003可以。
另外创建域控时，提示如下图
这个art0在这里和域控名有啥区别。我这个局 ... 你能否确认一下ART0是不是你的计算机名。如果你想登陆域可以输入art\administrator&&登录
Exchange 2013 MCSE | Microsoft MVP,Office Servers and Services
社区官方Exchange技术群:
问题解决与否,欢迎大家反馈一下,也是对回答者认可&肯定，谢谢！
引用:原帖由 惊艳了青春 于
14:23 发表
你能否确认一下ART0是不是你的计算机名。如果你想登陆域可以输入art\administrator&&登录 确认不是计算机名。现在有点明白netbios域名了