对于活动目录(AD)来讲,从Windows 2000到现在有非常多的文章在对其进行探讨,微软公司每推出一代新的Windows系统,这一重要服务技术不管是从功能上还是从性能上都在不断进步。在此,以最新Windows Server 2008 R2(以后简称WIN08R2)系统为例,从零开始讲述关于WIN08R2活动目录相关技术。希望能一直坚持写完!
——胖哥
通过多年来AD在企业中的部署,技术人员几乎都知道与活动目录相关的一系列概念了,如:域、域树、域林、OU和站点,还有域控制器(DC)等。那么,对于一个AD来讲是从哪里开始实现的呢?
也许有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。
由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。
一、DC网络属性的基本配置
对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。
图2
当然,除此之外,当前计算机的NetBIOS名,也就是计算机需要设置好,因为安装完DC后,再去进行修改操作是不明智的。
二、准备安装AD服务
WIN08R2对于AD服务的安装与早期版本略有不同,可以通过“服务器管理”的角色添加来完成初始化的准备工作(如图3),打开“服务器管理”工具,展开“角色”节点,在右边窗口中点击“添加角色”。
图4
在“服务器角色”列表中勾选“Active Directory域服务”(如图5),此时,系统会自动弹出对话框,
图6
所以在此必须点击“添加必需的功能”按钮,返回“选择服务器角色”对话框后点击“下一步”(如图7)。
图8
点击“下一步”进行安装(如图9)。
图10
三、完成AD服务器的安装
1、需要运行AD域服务器安装向导才能完成该服务器的部署,所以在“运行”对话框中输入“dcpromo”点击“确定”启动向导(如图11)。
图12
但是在此建议使用高级模式来进行操作。高级模式较之标准模式的功能增强可以参考表1所示。此外,还可直接在命令提示符下运行带有/adv开关的dcpromo命令(dcpromo /adv)来启动高级向导。
图13
4、点击“下一步”,对域林的根域进行命名(如图14)。需要在之前对DNS基础结构有一个完整的计划。必须了解该林的完整DNS名称。可以在安装AD之前先安装DNS服务器服务,或者如本实例一样选择让AD安装向导安装DNS服务器服务。
图15
5、点击“下一步”,“设置林功能级别”(如图16),功能级别确定了在域或林中启用AD的功能,还将限制可以在域或域林中DC上运行的Windows服务器版本。但是,功能级别不会影响在连接到域或域林的工作站和成员服务器上运行的操作系统。
图17
DNS服务器选项
正如“DC网络属性的基本配置”一节中谈到的在DC上同时安装DNS服务,此处就需要勾选“DNS服务器”选项。该选项的默认设置取决于此前选择的部署配置和当前网络中的DNS环境等因素。表4中列出了不同AD部署配置的默认DNS服务安装配置。
图18
8、确定AD数据库、日志文件和SYSVOL放置的位置(如图19)。对于数据库来讲主要存储有关用户、计算机和网络中其它对象的信息;日志文件记录与AD有关的活动;SYSVOL存储组策略对象和脚本,其默认是位于%windir%目录中的操作系统文件的一部分。
图20
特别注意
DSRM密码与域管理员帐户的密码不同。
当创建林中第一台DC时,AD安装向导会将本地服务器上生效的密码策略强制作用于此。对于所有的其他DC的安装,AD安装向导将现有DC上生效的密码策略强制作用于此。这意味着,指定的DSRM密码必须符合包含现有DC所在域的最小密码长度、历史记录和复杂性要求。默认情况下,必须包含大写和小写字母组合、数字和符号的强密码。
10、点击“下一步”,显示安装摘要(如图21),并且可以单击“导出设置”将在此向导中指定的设置保存到一个应答文件。然后,可以使用应答文件自动执行AD的后续安装。
图22
则执行完毕后,AD安装向导将出现完成安装页(如图23)。点击“完成”,
图24
四、完成后简单验证安装情况
重启服务器后,可以通过以下几点的验证来确定DC的基本安装成功。
1、AD数据文件是否产生(如图25)。
图26
3、SYSVOL文件夹是否存在,能正常访问。
4、日志中是否有错误事件等。
若均无问题,则表明当前部署的企业中第一台DC工作基本正常。
本文出自 “胖哥技术堂” 博客
新闻热点
疑难解答