Windows: 在Windows Server 2008 R2上创建一台域控制器
一、准备阶段
1.基本设置
- 足够的密码强度:至少7位并属于{数字, 大写字母, 小写字母, 符号}中至少3个集合
- 本地管理员Administrator密码不能为空,并须满足上面的密码复杂度
- 修改计算机名,如dc1
- 将IP地址设置为静态
- 如果是第一台域控,将DNS设置为支持AD DS的DNS服务器IP地址,如果没有则设为127.0.0.1
- 如果是第二台域控,将DNS设置为支持AD DS的DNS服务器IP地址,如果没有则设为第一台域控的IP地址
2.了解林与域的关系(层次结构)
- 域:例如创建一个叫做lesca.tld的域,则lesca.tld是根域,www.lesca.tld是lesca.tld的子域
- 域树:由根域、子域组成的树型结构
- 域树内所有域共享一个AD数据库,数据分散存储在各个域内
- 林:由一个或者多个域树组成的树型结构,可以有多个不同的根域
- 林根域:如果是在新林中创建的第一个域,则它不仅是一个根域,还是一个林根域
- 林根域的名称与该林中的第一个根域相同,例如如果lesca.tld是它所在林中的第一个根域,则林根域的也叫做lesca.tld
3.了解功能级别
- 功能级别决定了AD域服务(AD DS)在林或者域中的功能
- 功能级别限制了能够加入林或者域的域控的操作系统版本,但不限制其他成员计算机的操作系统版本
- 微软建议将林或者域的功能级别设置为当前网络中域控的最低操作系统版本
- 林和域有着各自的功能级别设置
- 域功能级别不能低于林功能能级别
- 功能级别可以在今后提升,但是一般而言不能降低
4.增加域控角色
方法一:命令方式【推荐】
在“运行”中输入如下命令:
dcpromo
该命令会依次完成以下方法中的所有步骤。
方法二:服务器管理器界面
- 打开任务栏上的“服务器管理器”
- 依次单击“角色”-“添加角色”-“下一步”-“Active Directory域服务”-“添加必须的功能”-“下一步”-“下一步”-“安装”
- 安装完成后,在“角色”中找到刚才添加的“Active Directory域服务”,点击“运行Active Directory域服务安装向导”
5.注意事项
- 创建第一台域控时,该计算机上的本地账户会被移到AD数据库
- 当第二台域控加入域时,第二台计算机上的本地账户会被删除
- 只有隶属于域Administrators组的成员才能登陆域控
二、安装第一台AD域控
方法一:安装向导
- 在“欢迎界面”中直接“下一步”
- 进入“操作系统兼容性”界面,直接“下一步”
- 进入“选择部署配置”界面,选择“在新林中新建域”,点击“下一步”
- 进入“命名林根域”界面,输入根域的FQDN(Fully Qualified Domain Name),如lesca.tld,点“下一步”
- 进入“林功能级别”界面,选择“Windows Server 2008 R2”,点击“下一步”
- 进入“其他域控制器选项”,选中“DNS服务器”,点击“下一步”
- 如果出现“DNS委派错误”,点击“是”
- 进入“数据库、日志和SYSVOL的位置”设置界面,如果有多块硬盘,建议将数据库与日志文件分别放到不同的硬盘上,设置好后点击“下一步”
- 进入“目录服务还原模式的管理员密码”设置界面,系统启动时,按“F8”可以选择进入“目录服务还原模式”,进入该模式可以修复AD数据库
- 在“摘要”对话框中点击“下一步”继续
- 等待AD域服务配置完成,重启计算机
/!\注意:如果Administrator密码为空,则不能继续
{!}Info:TLD是Top level domain的意思。
/!\注意:
林中的第一个域控制器必须是全局编录服务器,并且不能是只读域控制器(RODC)
另外,如果未设置静态IP,此时会提示设置
{!}Info:可以点击“导出”按钮,导出当前配置,以进行无人看守安装。
方法二:使用应答文件自动安装
安装方法:
dcpromo.exe /unattend:answer.txt
以下是一个典型的应答文件:
[DCInstall] ; ReplicaOrNewDomain属性值: ; Domain 新域中的第一台域控制器 ; ReadOnlyReplica 现有域中的RODC ; Replica 现有域中的其他域控 ReplicaOrNewDomain=Domain ; NewDomain属性值: Foreset-林根域 Tree-树根域 Child-子域 NewDomain=Forest ; 功能级别(Level) ; 4 - Windows Server 2008 R2 ; 3 - Windows Server 2008 ; 2 - Windows Server 2003 ; 1 - Windows Server 2000 NewDomainDNSName=lesca.tld ForestLevel=4 DomainNetbiosName=LESCA DomainLevel=4 ; 是否安装DNS InstallDNS=Yes ; 是否是全局编录GC ConfirmGc=Yes ; 是否创建DNS委派 CreateDNSDelegation=No DatabasePath="C:\Windows\NTDS" LogPath="C:\Windows\NTDS" SYSVOLPath="C:\Windows\SYSVOL" ; Set SafeModeAdminPassword to the correct value prior to using the unattend file SafeModeAdminPassword=abc@DEF ; Run-time flags (optional) RebootOnCompletion=Yes
三、添加额外的AD域控
在新建了第一台域控之后,还可以添加第二台域控,以免因成员计算机过多导致不堪重负。本节将说明利用向导添加额外的域控时向导产生的自动应答文件。理解这些配置文件可以方便管理员今后快速部署域控。
1.添加全局编录DC
[DCInstall] ; Replica DC promotion ReplicaOrNewDomain=Replica ReplicaDomainDNSName=lesca.tld SiteName=Default-First-Site-Name ; 是否安装DNS InstallDNS=Yes ; 是否是全局编录GC ConfirmGc=Yes ; 是否创建DNS委派 CreateDNSDelegation=No ; 以下三行用于认证,密码为星号(*)时,你将会被提示输入密码 UserDomain=lesca.tld UserName=lesca.tld\lesca admin Password=* DatabasePath="C:\Windows\NTDS" LogPath="C:\Windows\NTDS" SYSVOLPath="C:\Windows\SYSVOL" ; Set SafeModeAdminPassword to the correct value prior to using the unattend file SafeModeAdminPassword=abc@DEF ; Run-time flags (optional) ; CriticalReplicationOnly=Yes ; RebootOnCompletion=Yes
2.添加RODC
[DCInstall] ; Read-Only Replica DC ReplicaOrNewDomain=ReadOnlyReplica ReplicaDomainDNSName=lesca.tld DelegatedAdmin="LESCA\lesca" SiteName=Default-First-Site-Name ; 是否安装DNS InstallDNS=Yes ; 是否是全局编录GC ConfirmGc=No ; 是否创建DNS委派 CreateDNSDelegation=No ; 以下三行用于认证,密码为星号(*)时,你将会被提示输入密码 UserDomain=lesca.tld UserName=lesca.tld\lesca admin Password=* DatabasePath="C:\Windows\NTDS" LogPath="C:\Windows\NTDS" SYSVOLPath="C:\Windows\SYSVOL" ; Set SafeModeAdminPassword to the correct value prior to using the unattend file SafeModeAdminPassword=abc@DEF ; Run-time flags (optional) ; CriticalReplicationOnly=Yes RebootOnCompletion=Yes
四、从介质安装
若以图形界面(向导方式)添加额外的域控,则会在第6步(“其他域控制器选项”)之后询问用户是否从“介质安装”。从介质安装,就是通过U盘等移动存储设备进行安装,其主要目的是为了节约网络资源。因为如果域的规模很大,那么在安装新域控时会在网络上传输庞大的域信息,因此通过介质安装域控,就成为了优选项。
1.制作安装媒体
请以管理员权限运行命令行(cmd),依次输入以下命令(粗体):
C:\Users\lesca>ntdsutil ntdsutil: activate instance ntds Active instance set to "ntds". ntdsutil: ifm ifm: create full c:\DCM Creating snapshot...
该命令将会把当前AD数据库的内容保存到C盘DCM目录下(Domain Controller Media)。
/!\注意:
- 如果待安装的目标域控是可写域控,那么
ntdsutil命令必须在可写域控上运行 - 如果待安装的目标域控是RODC,那么需要将
ifm中的full改成rodc
2.利用介质安装域控
向导会询问你是否从介质安装,那么如何在应答文件中配置介质安装呢?我们只需要在自动应答文件中添加下面一行:
ReplicationSourcePath="C:\DCM"
版权声明
本文出自 Lesca 技术宅,转载时请注明出处及相应链接。
本文永久链接: https://www.lesca.cn/archives/create-a-new-domain-controller-on-windows-server-2008-r2.html
