liulike 的BLOG
用户名：liulike
文章数：96
评论数：250
访问量：920283
注册日期：
阅读量：5863
阅读量：12276
阅读量：322128
阅读量：1032645
51CTO推荐博文
对于活动目录（AD）来讲，从Windows 2000到现在有非常多的文章在对其进行探讨，微软公司每推出一代新的Windows系统，这一重要服务技术不管是从功能上还是从性能上都在不断进步。在此，以最新Windows Server 2008 R2（以后简称WIN08R2）系统为例，从零开始讲述关于WIN08R2活动目录相关技术。希望能一直坚持写完！
通过多年来AD在企业中的部署，技术人员几乎都知道与活动目录相关的一系列概念了，如：域、域树、域林、OU和站点，还有域控制器（DC）等。那么，对于一个AD来讲是从哪里开始实现的呢？
也许有人将是从第一台DC开始的。的确，AD的起点是从安装第一台DC开始的。但是，可能很少有人会意识到在安装第一台DC时，实际上是在部署AD的第一个域――根域，第一棵域树，乃至实现一个单域的域林。只不过这个林中只有一棵域树，这棵域树中只有一个域，而且域中就只有这一台计算机――第一个DC。
由此可见，在企业中即使是在部署安装第一台DC之前，所考虑的并不仅仅是怎样去安装一台域控制器那么简单，而是要考虑好整个域林、域树的规划，以及相关服务，如：DNS服务等的规划的部署。并且要考虑清楚，每一个服务实现的位置，每一个步骤实现的做法。只有这样走下来，所部属的AD才能更大的满足现在和以后的需要。在此，由安装域林中第一台DC的过程，可以了解到在部署前需要考虑的一系列基本问题。
一、DC网络属性的基本配置
对于将要安装成为DC的服务器来讲，其系统配置以及基本的磁盘规划在此就不在累述了，但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址，虽然不一定需要配置默认网关，但是DNS服务器指向一定要配置正确，因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环境都是白手起家的，考虑让这第一台DC同时充当企业网络中的DNS服务器，故需要将其首选DNS服务器地址配置为本台计算机的IP地址（如图1）。
由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的，所以，最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”（如图2）。
当然，除此之外，当前计算机的NetBIOS名，也就是计算机需要设置好，因为安装完DC后，再去进行修改操作是不明智的。
二、准备安装AD服务
WIN08R2对于AD服务的安装与早期版本略有不同，可以通过“服务器管理”的角色添加来完成初始化的准备工作（如图3），打开“服务器管理”工具，展开“角色”节点，在右边窗口中点击“添加角色”。
打开“添加角色向导”（如图4），在该页中会得到系统的三点提示，其中最重要的是第二点。对于第一、三点来讲，可以不按提示配置，也不影响安装，点击“下一步”。
在“服务器角色”列表中勾选“Active Directory域服务”（如图5），此时，系统会自动弹出对话框，
要求安装“.NET Framework 3.5.1功能”（如图6），由于AD在WIN08R2上必须该功能的支持，
所以在此必须点击“添加必需的功能”按钮，返回“选择服务器角色”对话框后点击“下一步”（如图7）。
在“Active Directory域服务”对话框中，向导会给出四点注意事项（如图8），根据这些注意事项可以了解到安装AD前后操作应该执行的任务和AD需要的服务。
点击“下一步”进行安装（如图9）。
当出现“安装结果”对话框时，如果没有错误，证明AD的安装准备已经完成，但是由于该台计算机还不能完全正常运行DC，所以提示需要启用AD安装向导（dcpromo.exe）来完成安装（如图10）。可以直接点击“关闭该向导并启动Active Directory域服务安装向导（dcpromo.exe）”进入安装向导，也可以直接点击“关闭”按钮之后，手动打开AD安装向导。
三、完成AD服务器的安装
1、需要运行AD域服务器安装向导才能完成该服务器的部署，所以在“运行”对话框中输入“dcpromo”点击“确定”启动向导（如图11）。
2、经过系统自动检测后，将出现AD安装向导的欢迎界面（如图12）。在该对话框中可以选择使用标准或高级模式来进行安装。对于高级模式是提供给有经验的用户对安装过程有更多的控制，
但是在此建议使用高级模式来进行操作。高级模式较之标准模式的功能增强可以参考表1所示。此外，还可直接在命令提示符下运行带有/adv开关的dcpromo命令（dcpromo /adv）来启动高级向导。
3、点击“下一步”，对部属配置进行选择（如图13），由于目的是部属企业中的第一个DC，所以在此应选择“在新林中新建域”。因为，创建新林需要管理员权限，所以必须是正在其上安装AD的服务器本地管理员组的成员。
4、点击“下一步”，对域林的根域进行命名（如图14）。需要在之前对DNS基础结构有一个完整的计划。必须了解该林的完整DNS名称。可以在安装AD之前先安装DNS服务器服务，或者如本实例一样选择让AD安装向导安装DNS服务器服务。
让AD向导来安装DNS服务器服务，将使用此处的DNS名称为林中的第一个域自动生成NetBIOS名称。点击“下一步”，向导会验证DNS名称和NetBIOS名称在网络中的唯一性。由于使用的是高级模式，所以NetBIOS无论是否发生冲突，都会出现“域NetBIOS名称”步骤（如图15）。当然，在标准模式下，只有检查到自动生成的NetBIOS名称与现有网络中名称冲突时，才会出现该步骤。
5、点击“下一步”，“设置林功能级别”（如图16），功能级别确定了在域或林中启用AD的功能，还将限制可以在域或域林中DC上运行的Windows服务器版本。但是，功能级别不会影响在连接到域或域林的工作站和成员服务器上运行的操作系统。
创建新域或新林时，建议将域和林功能级别设置为当前环境可以支持的最高值，这样可以尽可能的充分发挥AD的功能。如果肯定不会将运行Windows Server 2008（以后简称WIN08）或任何更早版本的操作系统的域控制器添加到域或林，可以选择WIN08R2功能级别。另外，如果可能会保留或添加运行WIN08或早版本的域控制器，则在安装期间应选择 Windows Server 2008 功能级别。若确定不会添加这类域控制器或这类域控制器不再使用，则安装后可以提升功能级别。需要注意的是不能将域功能级别设置为低于林功能级别的值。例如将林功能级别设置为WIN08，则只能将域功能级别设置为WIN08或WIN08R2。Windows 2000（以后简称WIN2K）和Windows Server 2003（以后简称WIN03）域功能级别值在“设置域功能级别”向导页中将不可选择。因此，若选择林功能级别为WIN08R2，那么，向导将不会出现“设置域功能级别”步骤，默认情况下向林添加的所有域都将为WIN08R2域功能级别。
特别需要注意：
将域功能级别设置为某个特定值后，将无法回滚或降低域功能级别，但以下情况例外：将域功能级别提升至WIN08R2，并且林功能级别为WIN08或更低时，可以将域功能级别回滚到WIN08，且只能将其从WIN08R2降到WIN08，而不能将其回直接滚到WIN03。
将林功能级别设置为某个值之后，就不能回滚或降低林功能级别，但有一种情况例外：当您将林功能级别提升到WIN08R2且没有启用AD回收站时，则可以选择将林功能级别回滚到WIN08。且只能将其从WIN08R2降到WIN08，而不能将其回直接滚到WIN03。
以下表2列出了每种域功能级别启用的功能和支持的域控制器操作系统
以下表3列出了每种林功能级别启用的功能和支持的域控制器操作系统
6、点击“下一步”，配置“其它域控制器选项”（如图17）。在AD安装期间，可以为DC选择安装DNS服务、或将其设置成为全局编录服务器（GC）或只读域控制器（RODC）。
DNS服务器选项
正如“DC网络属性的基本配置”一节中谈到的在DC上同时安装DNS服务，此处就需要勾选“DNS服务器”选项。该选项的默认设置取决于此前选择的部署配置和当前网络中的DNS环境等因素。表4中列出了不同AD部署配置的默认DNS服务安装配置。
需要注意的是：
如果启动AD安装向导之前已经安装了DNS服务，但AD没有 DNS 基础结构，则 DNS 服务将继续为它承载的任何基于文件的区域解析名称，但不会承载它作为域控制器所在的域的任何AD集成的DNS区域。
全局编录选项
由于林中的第一台DC必须是GC，因此在创建域林时“全局编录”复选框处于会被自动选中，而且变灰不能被取消。在现有域中安装其他DC时，默认也会选中该复选框。但是，可以手动取消选择。
在创建新的子域或域树时，默认情况下不会选中“全局编录”复选框，因为新域中的第一个域控制器承载着所有域范围的操作主机角色（FSMO角色），包括基础结构操作主机角色。在多域林中，除非域中的所有DC都是GC，否则在GC上承载基础结构主机角色可能会出现问题。因此，在新子域或域树的第一个DC上安装全局编录，则需要在将其他DC安装到域中之后转移基础结构主机角色，或是确保安装到域中的所有其他DC也都是GC。而且，在安装其他可写域控制器时，AD安装向导会验证基础结构主机是否承载于合适的DC上，并且会验证它是否可以修复使用所选安装选项引发的问题。
以下条件下不允许安装 RODC：
新林中安装第一个域控制器
新域中安装第一个域控制器
林功能级别不是WIN03、WIN08或WIN08R2
要安装RODC的域中没有WIN08 或WIN08R2的可写域控制器
选项间的关系
如果选中“只读域控制器（RODC）”复选框，除非无法选中“DNS 服务器”复选框，否则向导会自动选中此选项。如果在向导选中“DNS 服务器”复选框之后将其清除，则向导会发出警告：“如果不同时安装 DNS 服务器，分支机构中的客户端可能无法找到RODC”。默认情况下，“全局编录”复选框可能也处于选中状态，具体取决于选择的其他安装选项。默认情况下，如果选中“只读域控制器”复选框，向导就会自动选中“全局编录”复选框。
验证检查选项
在“其他域控制器选项”页上选择选项，然后点击“下一步”之后，向导会执行以下验证检查，之后才会继续进行操作。
静态 IP 地址验证――如果选中“DNS 服务器”复选框，AD安装向导会验证服务器的所有物理网络适配器是否都具有一个静态地址，包括静态的IPv4和IPv6地址。尽管不使用静态IP地址便可以完成AD安装，但不建议这样做，因为如果DC的 IP地址发生变化，客户端可能无法联系DC。
基础结构主机检查――如果选择在域中安装其他域控制器的选项，AD安装向导默认会选中“全局编录”复选框。如果正在安装可写域控制器（“只读域控制器”复选框处于清除状态），而且清除了“全局编录”复选框，向导会检查域中的全局编录服务器上当前是否承载了基础结构主机角色。如果检查结果为是，向导会提示将该角色转移到正在安装的DC上。可以点击“是”将基础结构主机角色转移到此DC上，或点击“否”稍后更改配置。
Adprep /rodcprep检查――如果安装 RODC，向导会验证adprep /rodcprep命令是否成功完成，以及该命令导致的更改是否复制到整个林中。如果adprep /rodcprep命令没有成功完成，或是更改尚未复制到整个林中，会收到一条错误消息，指出在继续进行安装之前必须运行该命令。如果收到此消息，可以在林中的任何计算机上再次运行adprep /rodcprep，或是等待更改复制到整个林中。
7、点击“下一步”，系统会弹出DNS服务委派警告对话框（如图18）。在此，点击“是”继续完成向导。这个对话框的出现是由于配置其它服务器时，选择了“DNS服务器”选项，而当前计算机又未找到指定域的权威父域Windows DNS服务器，从而无法确定是否对指定域进行了委派导致的。
8、确定AD数据库、日志文件和SYSVOL放置的位置（如图19）。对于数据库来讲主要存储有关用户、计算机和网络中其它对象的信息；日志文件记录与AD有关的活动；SYSVOL存储组策略对象和脚本，其默认是位于%windir%目录中的操作系统文件的一部分。
在决定AD文件的存储位置时，可以从以下两个因素来考虑――
备份和恢复
对于只有一个硬盘的服务器来将，只需接受AD安装向导的默认安装设置即可。但是，必须至少在该硬盘上创建两个卷。其中一个卷用于存储关键卷数据，另一个卷用于存储备份。 在使用Windows Server Backup或Wbadmin.exe命令行工具备份DC时，至少必须备份系统状态数据，以便使用备份恢复服务器。用于存储备份的卷不能与承载系统状态数据的卷相同。构成系统状态数据的系统组件由安装在计算机上的服务器角色来决定。系统状态数据至少包括下列数据（根据所安装的服务器角色，还可能包括其他数据）：
COM+ 类注册数据库
Active Directory 证书服务 (AD CS) 数据库
承载 Active Directory 数据库 (Ntds.dit) 的卷
承载 Active Directory 数据库日志文件的卷
SYSVOL 目录
群集服务信息
Microsoft Internet Information Services (IIS) 元目录
Windows 资源保护下的系统文件
对于更加复杂的安装，可能需要配置硬盘存储以优化 AD的性能。由于数据库和日志文件以不同方式利用磁盘存储空间，因此可以通过将每种内容分配到不同的硬盘主轴来提高 AD的性能。
例如，一台服务器具有四个可用的硬盘驱动器，它们的驱动器卷标分别为：
驱动器 C，包含操作系统文件
驱动器 D，未使用
驱动器 E，未使用
驱动器 F，用于备份
在此服务器上，可以通过将数据库和日志文件分别安装到专用的驱动器（如D和E）中而最大限度提高AD的性能。这有助于提高数据库的搜索性能，因为有一个驱动器主轴可以专用于搜索活动。在同时进行大量更改的情况下，这种配置也会降低承载日志文件的磁盘出现瓶颈问题的几率。可以将 SYSVOL 与操作系统文件一起存储在驱动器 C 中。
9、点击“下一步”，向导要求输入“目录还原模式的Administrator密码”（如图20）。在 AD未运行时，目录服务还原模式（DSRM）密码是登录域控制器所必需的。
DSRM密码与域管理员帐户的密码不同。
当创建林中第一台DC时，AD安装向导会将本地服务器上生效的密码策略强制作用于此。对于所有的其他DC的安装，AD安装向导将现有DC上生效的密码策略强制作用于此。这意味着，指定的DSRM密码必须符合包含现有DC所在域的最小密码长度、历史记录和复杂性要求。默认情况下，必须包含大写和小写字母组合、数字和符号的强密码。
10、点击“下一步”，显示安装摘要（如图21），并且可以单击“导出设置”将在此向导中指定的设置保存到一个应答文件。然后，可以使用应答文件自动执行AD的后续安装。
应答文件是包含 [DCInstall] 标题的纯文本文件，应答文件提供了对AD安装向导所需配置的设置值。使用该应答文件时，管理员无需与该向导进行交互。向导会向该应答文件中添加文本，说明如何使用该文件，例如，说明如何使用dcpromo命令来调用该文件以及必须更新哪些设置才能使用该文件。
若要使用应答文件来安装AD，在命令提示符下输入：
dcpromo /answer[:filename]
其中 filename 为应答文件的名称。
11、点击“下一步”，安装向导执行安装操作（如图22）。如果没有勾选“完成后重新启动”复选框，
则执行完毕后，AD安装向导将出现完成安装页（如图23）。点击“完成”，
系统会提示需要重新启动计算机配置才能生效（如图24）。点击“立即重新启动”完成DC安装操作。
四、完成后简单验证安装情况
重启服务器后，可以通过以下几点的验证来确定DC的基本安装成功。
1、AD数据文件是否产生（如图25）。
2、DNS服务是否工作正常，与域相关的资源记录，特别是SRV记录是否正确写入（如图26）。
3、SYSVOL文件夹是否存在，能正常访问。
4、日志中是否有错误事件等。
若均无问题，则表明当前部署的企业中第一台DC工作基本正常。本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)
10:13:43 10:36:51 23:53:35 23:54:25 10:15:08 13:58:59 00:05:19 10:06:15 16:30:45 19:52:37 09:37:52 09:40:25 22:07:37 10:43:40 19:45:13 11:12:26 08:42:58相关软件免费下载：
相关资讯教程阅读:
本类人气榜&总人气榜
本月下载榜&总下载榜
Copyright &
AllRights Reserved冀ICP备构建企业服务之部署Windows Server 2008域控制器
测试环境：
服务器：Windows server 2008
客户机： server 2003
2008IP地址：192.168.19.100
实验要求：部署企业的第一台域控制器；然后通过服务管理器来验证。
部署过程：
1．首先配置IP地址；如图不用过多解释。
2．打开&服务器管理器&选择操作&新建角色&；如图、
3．配置之前点击下一步即可；关于域的搭建需要注意什么以及一些细节就不在这里做讲述了；
4．添加我们需要的角色&active drectory&如图；其他角色也是同理需要什么就安装什么。
5．配置域服务器；（旁边是对域服务的解释、可以加强理解）。
6．确认下是不是我们需要安装的服务、点击OK即可。
7．如图所示：是安装完成的界面。
8．安装完域服务、我们就可以开始部署域了；我们通过&dcpromo&命令或者如下图所示：点击&运行Active Directory域服务安装向导&就可以。如图：
9．如图出现我们期待以及的安装向导界面；
10． 如图弹出安装的警告提示、下一步就可以；
11． 选择要搭建的域的环境，是&现有林&还是&新林中的新建域&；配置如图所示：
12． 输入要新建域的域名；如图所示。
13． 设置林的级别；我们就按照默认的就OK，当然我们也可以根据我们相应的需求来配置。
14． 设置域功能的模式，这里我们设置2000的纯模式就可以。
15． 基本上配置域完成了、然后需要配置DNS服务；如图
16． 然后在下图添加DNS服务的时候。根据我们的需求就可以配置。
17． 如图，我们目前不需要DNS委派的功能，我们选择&是&即可；如果我们需要DNS的委派功能；在DNS的配置我们自己可以添加、关于DNS的部署与排错，后期将推出。
18． 如图是Active Dirctory域服务的配置文件的位置；切记不要删除或者不要发生什么意外什么的。
19． 输入配置目录的密码，在做域离线迁移；等活动的时候需要输入的、切记不要忘记该密码。
20． 如图是我们安装活动目录的一些配置文件的列举，没有问题就可以点击下一步了；当然我们也可以吧我们的配置导出、如图
21． 导出配置文件；到指定的位置；
22． 如图正在安装域控制器；
23． 重启后即可完成看~~~华丽的登录界面：如图
24． 打开服务器管理器来验证我们是不是部署成功。
以上是整个域控制器的部署过程、希望大家多多指教~~~~
本文出自 &睥睨天下& 博客
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'windows server 2008怎么安装域控制器活动目录_百度知道4623人阅读
Windows 2003 And Active Directory（1）
&&&&& Active Directory的安装过程非常简单，实验环境是Windows Server 2003 Enterprise。在安装中可能会用到操作系统的安装光盘，请在开始下面的步骤之前，把光盘放入光驱。
1. 开始--&运行--&dcpromo，确定。
2. Activie Directory安装向导出现，温馨提示而已，下一步。
3. 安装向导第二步，关于兼容性的提示。由于Windows Server2003域控制器的安全措施较为严谨，一些较早版本的操作系统，如Windows95、Windows NT4.0 SP3或更早的版本，将无法通过Windows Server 2003域控制器登录与访问域的资源。当然，如今这些老版本的操作系统已经不多见了，所以一般情况下，不会存在兼容性的问题，直接下一步。
4.选择域控制器的类型，由于实验中是要一个新建的域，因此选择&新域的域控制器&。如果要选择&现有域的额外域控制器&，一定要看清下面的提示，然后谨慎操作，防止数据丢失。下一步。
5. 选择域的类型。一共有三种类型，向导中每项下面都给出了详细的说明。这里需要创建一个全新的域，因此选择&在新林中的域&，下一步。
6. 输入该控制器所隶属域的全名，，也就是DNS的名称。在下面的步骤中，向导会运行DNS诊断，判断是否已经为域控制器配置了DNS地址，后面会有详细的信息。下一步。
7. 指定域的NetBIOS名称。安装向导会指定默认的NetBIOS名称，例如ABC，没有必要修改，保留默认。下一步。
NetBIOS（Network Basic Input Output System）网络基本输入输出系统，由 IBM 公司开发。NetBIOS 定义了一种软件接口以及在应用程序和连接介质之间提供通信接口的标准方法。NetBIOS 是一种会话层协议，应用于各种 LAN（Ethernet、Token Ring 等）和 WAN 环境，诸如 TCP/IP、PPP 和 X.25 网络。在这里指定NetBIOS名称，是为了兼容性考虑。
8. 指定数据库和日志文件文件夹。由于是实验，并没有改变默认路径。根据提示，在实际应用的环境下，最好还是将它们分别保存在不同的硬盘上，以获得最佳性能和便于日后的恢复。下一步。
9. 指定共享的系统卷所在的文件夹。注意，当要自定义文件夹路径时，一定要确保文件夹所在的硬盘为NTFS分区。这里保持不变，下一步。
10. DNS注册诊断。从提示中可以看出，安装之前没有正确配置域控制器的DNS，从而导致诊断失败。作为域内的第一个域控制器，要求使用静态IP地址，并且首选DNS服务器为其本身。可以在安装之前设定，也可以接下来设置。于是选择&在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机的首选DNS服务器(S)。&，下一步。
11. 设定域控制器的权限。这里选择&至于Windows 2000 或 Windows Server 2003 操作系统兼容的权限&，下一步。
12. 输入目录还原模式的管理员密码。注意这个密码并不是域控制器管理员的密码，而是在执行目录还原服务时使用的密码，所以要牢记。输入密码，下一步。
13.& 前面各个步骤的配置信息摘要。在这里可以做检查，没有问题，直接下一步。
14. 安装过程启动。
15. 安装过程中出现需要配置静态IP地址的提示，确定。
16. 配置静态IP地址，注意，首选DNS服务器为其本身IP。输入各个地址，确定。
17. 等待一段时间后，安装完成。完成。
18. 上一步点击完成后，会要求重启计算机。重启后，打开管理工具菜单，会看到新增的与Active Directory相关的几个菜单项。至此，Active Directory安装完成。
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：891070次
积分：10414
积分：10414
排名：第1052名
原创：161篇
译文：34篇
评论：380条
文章：25篇
阅读：25784
(1)(1)(3)(4)(3)(1)(1)(1)(1)(3)(1)(1)(2)(4)(7)(1)(4)(5)(1)(1)(2)(2)(2)(1)(3)(2)(4)(4)(2)(2)(3)(1)(2)(6)(7)(5)(1)(1)(5)(3)(4)(16)(2)(4)(3)(2)(4)(2)(1)(2)(3)(1)(2)(2)(5)(5)(14)(4)(22)