1、WINDOWS SERVER 2008 R2 域控制器安装过程有人将是从第一台 DC 开始的。的确,AD 的起点是从安装第一台 DC 开始的。但是,可能很少有人会意识到在安装第一台DC 时,实际上是在部署 AD 的第一个域根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机第一个 DC。由此可见,在企业中即使是在部署安装第一台 DC 之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS 服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只
2、有这样走下来,所部属的 AD 才能更大的满足现在和以后的需要。在此,由安装域林中第一台 DC 的过程,可以了解到在部署前需要考虑的一系列基本问题。一、DC 网络属性的基本配置对于将要安装成为 DC 的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其 IP 属性。作为服务器 DC 的 IP 地址一定要是静态的 IP 地址,虽然不一定需要配置默认网关,但是 DNS 服务器指向一定要配置正确,因为 AD 的工作是紧密依赖于 DNS 服务的。本实例中整个微软网络环境都是白手起家的,考虑让这第一台 DC 同时充当企业网
3、络中的 DNS 服务器,故需要将其首选 DNS 服务器地址配置为本台计算机的 IP 地址(如图 1)。图 1由于 WIN08R2 默认防火墙配置是根据连接网络类型来实施过滤的,所以,最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”(如图 2)。图 2当然,除此之外,当前计算机的 NetBIOS 名,也就是计算机需要设置好,因为安装完 DC 后,再去进行修改操作是不明智的。二、准备安装 AD 服务WIN08R2 对于 AD 服务的安装与早期版本略有不同,可以通过“服务器管理”的角色添加来完成初始化的准备工作(如图 3),打开“服务器管理”工具,展开“角色”节点,
4、在右边窗口中点击“添加角色”。图 3打开“添加角色向导”(如图 4),在该页中会得到系统的三点提示,其中最重要的是第二点。对于第一、三点来讲,可以不按提示配置,也不影响安装,点击“下一步”。图 4在“服务器角色”列表中勾选“Active Directory 域服务”(如图 5),此时,系统会自动弹出对话框,图 5要求安装“.NET Framework 3.5.1 功能”(如图 6),由于 AD在 WIN08R2 上必须该功能的支持,图 6所以在此必须点击“添加必需的功能”按钮,返回“选择服务器角色”对话框后点击“下一步”(如图 7)。图 7在“Active Directory 域服务”对话框中
5、,向导会给出四点注意事项(如图 8),根据这些注意事项可以了解到安装 AD 前后操作应该执行的任务和 AD 需要的服务。图 8点击“下一步”进行安装(如图 9)。图 9当出现“安装结果”对话框时,如果没有错误,证明 AD 的安装准备已经完成,但是由于该台计算机还不能完全正常运行 DC,所以提示需要启用 AD 安装向导(dcpromo.exe)来完成安装(如图 10)。可以直接点击“关闭该向导并启动 Active Directory 域服务安装向导(dcpromo.exe)”进入安装向导,也可以直接点击“关闭”按钮之后,手动打开 AD 安装向导。图 10三、完成 AD 服务器的安装1、需要运行
6、AD 域服务器安装向导才能完成该服务器的部署,所以在“运行”对话框中输入“dcpromo”点击“确定”启动向导(如图 11)。图 112、经过系统自动检测后,将出现 AD 安装向导的欢迎界面(如图 12)。在该对话框中可以选择使用标准或高级模式来进行安装。对于高级模式是提供给有经验的用户对安装过程有更多的控制,图 12但是在此建议使用高级模式来进行操作。高级模式较之标准模式的功能增强可以参考表 1 所示。此外,还可直接在命令提示符下运行带有/adv 开关的 dcpromo 命令(dcpromo /adv)来启动高级向导。表 13、点击“下一步”,对部属配置进行选择(如图 13),由于目的是部属
7、企业中的第一个 DC,所以在此应选择“在新林中新建域”。因为,创建新林需要管理员权限,所以必须是正在其上安装 AD 的服务器本地管理员组的成员。图 134、点击“下一步”,对域林的根域进行命名(如图 14)。需要在之前对 DNS 基础结构有一个完整的计划。必须了解该林的完整 DNS 名称。可以在安装 AD 之前先安装 DNS 服务器服务,或者如本实例一样选择让 AD 安装向导安装 DNS 服务器服务。图 14让 AD 向导来安装 DNS 服务器服务,将使用此处的 DNS 名称为林中的第一个域自动生成 NetBIOS 名称。点击“下一步”,向导会验证 DNS 名称和 NetBIOS 名称在网络中
8、的唯一性。由于使用的是高级模式,所以 NetBIOS 无论是否发生冲突,都会出现“域 NetBIOS 名称”步骤(如图 15)。当然,在标准模式下,只有检查到自动生成的 NetBIOS 名称与现有网络中名称冲突时,才会出现该步骤。图 155、点击“下一步”,“设置林功能级别”(如图 16),功能级别确定了在域或林中启用 AD 的功能,还将限制可以在域或域林中 DC 上运行的 Windows 服务器版本。但是,功能级别不会影响在连接到域或域林的工作站和成员服务器上运行的操作系统。图 16创建新域或新林时,建议将域和林功能级别设置为当前环境可以支持的最高值,这样可以尽可能的充分发挥 AD 的功能。
9、如果肯定不会将运行 Windows Server 2008(以后简称 WIN08)或任何更早版本的操作系统的域控制器添加到域或林,可以选择WIN08R2 功能级别。另外,如果可能会保留或添加运行 WIN08 或早版本的域控制器,则在安装期间应选择 Windows Server 2008 功能级别。若确定不会添加这类域控制器或这类域控制器不再使用,则安装后可以提升功能级别。需要注意的是不能将域功能级别设置为低于林功能级别的值。例如将林功能级别设置为 WIN08,则只能将域功能级别设置为 WIN08 或WIN08R2。Windows 2000(以后简称 WIN2K)和 Windows Server
10、 2003(以后简称 WIN03)域功能级别值在“设置域功能级别”向导页中将不可选择。因此,若选择林功能级别为 WIN08R2,那么,向导将不会出现“设置域功能级别”步骤,默认情况下向林添加的所有域都将为 WIN08R2 域功能级别。特别需要注意:将域功能级别设置为某个特定值后,将无法回滚或降低域功能级别,但以下情况例外:将域功能级别提升至 WIN08R2,并且林功能级别为 WIN08 或更低时,可以将域功能级别回滚到 WIN08,且只能将其从 WIN08R2 降到 WIN08,而不能将其回直接滚到WIN03。将林功能级别设置为某个值之后,就不能回滚或降低林功能级别,但有一种情况例外:当您将林
11、功能级别提升到 WIN08R2 且没有启用 AD 回收站时,则可以选择将林功能级别回滚到WIN08。且只能将其从 WIN08R2 降到 WIN08,而不能将其回直接滚到 WIN03。以下表 2 列出了每种域功能级别启用的功能和支持的域控制器操作系统表 2以下表 3 列出了每种林功能级别启用的功能和支持的域控制器操作系统表 36、点击“下一步”,配置“其它域控制器选项”(如图 17)。在 AD 安装期间,可以为 DC 选择安装 DNS 服务、或将其设置成为全局编录服务器(GC)或只读域控制器(RODC)。图 17DNS 服务器选项正如“DC 网络属性的基本配置”一节中谈到的在 DC 上同时安装D
12、NS 服务,此处就需要勾选“DNS 服务器”选项。该选项的默认设置取决于此前选择的部署配置和当前网络中的 DNS 环境等因素。表 4 中列出了不同 AD 部署配置的默认 DNS 服务安装配置。表 4需要注意的是:如果启动 AD 安装向导之前已经安装了 DNS 服务,但 AD 没有 DNS 基础结构,则 DNS 服务将继续为它承载的任何基于文件的区域解析名称,但不会承载它作为域控制器所在的域的任何 AD集成的 DNS 区域。全局编录选项由于林中的第一台 DC 必须是 GC,因此在创建域林时“全局编录”复选框处于会被自动选中,而且变灰不能被取消。在现有域中安装其他 DC 时,默认也会选中该复选框。
13、但是,可以手动取消选择。在创建新的子域或域树时,默认情况下不会选中“全局编录”复选框,因为新域中的第一个域控制器承载着所有域范围的操作主机角色(FSMO 角色),包括基础结构操作主机角色。在多域林中,除非域中的所有 DC 都是 GC,否则在 GC 上承载基础结构主机角色可能会出现问题。因此,在新子域或域树的第一个DC 上安装全局编录,则需要在将其他 DC 安装到域中之后转移基础结构主机角色,或是确保安装到域中的所有其他 DC 也都是GC。而且,在安装其他可写域控制器时,AD 安装向导会验证基础结构主机是否承载于合适的 DC 上,并且会验证它是否可以修复使用所选安装选项引发的问题。RODC 选项
14、以下条件下不允许安装 RODC: 新林中安装第一个域控制器 新域中安装第一个域控制器 林功能级别不是 WIN03、WIN08 或 WIN08R2 要安装 RODC 的域中没有 WIN08 或 WIN08R2 的可写域控制器选项间的关系如果选中“只读域控制器(RODC)”复选框,除非无法选中“DNS 服务器”复选框,否则向导会自动选中此选项。如果在向导选中“DNS 服务器”复选框之后将其清除,则向导会发出警告:“如果不同时安装 DNS 服务器,分支机构中的客户端可能无法找到 RODC”。默认情况下,“全局编录”复选框可能也处于选中状态,具体取决于选择的其他安装选项。默认情况下,如果选中“只读域控
15、制器”复选框,向导就会自动选中“全局编录”复选框。验证检查选项在“其他域控制器选项”页上选择选项,然后点击“下一步”之后,向导会执行以下验证检查,之后才会继续进行操作。静态 IP 地址验证如果选中“DNS 服务器”复选框,AD 安装向导会验证服务器的所有物理网络适配器是否都具有一个静态地址,包括静态的 IPv4 和 IPv6 地址。尽管不使用静态 IP 地址便可以完成 AD 安装,但不建议这样做,因为如果 DC 的 IP 地址发生变化,客户端可能无法联系 DC。基础结构主机检查如果选择在域中安装其他域控制器的选项,AD 安装向导默认会选中“全局编录”复选框。如果正在安装可写域控制器(“只读域控
16、制器”复选框处于清除状态),而且清除了“全局编录”复选框,向导会检查域中的全局编录服务器上当前是否承载了基础结构主机角色。如果检查结果为是,向导会提示将该角色转移到正在安装的 DC 上。可以点击“是”将基础结构主机角色转移到此 DC 上,或点击“否”稍后更改配置。Adprep /rodcprep 检查如果安装 RODC,向导会验证adprep /rodcprep 命令是否成功完成,以及该命令导致的更改是否复制到整个林中。如果 adprep /rodcprep 命令没有成功完成,或是更改尚未复制到整个林中,会收到一条错误消息,指出在继续进行安装之前必须运行该命令。如果收到此消息,可以在林中的任何
17、计算机上再次运行 adprep /rodcprep,或是等待更改复制到整个林中。7、点击“下一步”,系统会弹出 DNS 服务委派警告对话框(如图 18)。在此,点击“是”继续完成向导。这个对话框的出现是由于配置其它服务器时,选择了“DNS 服务器”选项,而当前计算机又未找到指定域的权威父域 Windows DNS 服务器,从而无法确定是否对指定域进行了委派导致的。图 188、确定 AD 数据库、日志文件和 SYSVOL 放置的位置(如图 19)。对于数据库来讲主要存储有关用户、计算机和网络中其它对象的信息;日志文件记录与 AD 有关的活动;SYSVOL 存储组策略对象和脚本,其默认是位于%wi
18、ndir%目录中的操作系统文件的一部分。图 19在决定 AD 文件的存储位置时,可以从以下两个因素来考虑备份和恢复对于只有一个硬盘的服务器来将,只需接受 AD 安装向导的默认安装设置即可。但是,必须至少在该硬盘上创建两个卷。其中一个卷用于存储关键卷数据,另一个卷用于存储备份。 在使用Windows Server Backup 或 Wbadmin.exe 命令行工具备份 DC 时,至少必须备份系统状态数据,以便使用备份恢复服务器。用于存储备份的卷不能与承载系统状态数据的卷相同。构成系统状态数据的系统组件由安装在计算机上的服务器角色来决定。系统状态数据至少包括下列数据(根据所安装的服务器角色,还可
19、能包括其他数据): 注册表 COM+ 类注册数据库 引导文件 Active Directory 证书服务 (AD CS) 数据库 承载 Active Directory 数据库 (Ntds.dit) 的卷 承载 Active Directory 数据库日志文件的卷 SYSVOL 目录 群集服务信息 Microsoft Internet Information Services (IIS) 元目录 Windows 资源保护下的系统文件性能对于更加复杂的安装,可能需要配置硬盘存储以优化 AD 的性能。由于数据库和日志文件以不同方式利用磁盘存储空间,因此可以通过将每种内容分配到不同的硬盘主轴来提高
20、AD 的性能。例如,一台服务器具有四个可用的硬盘驱动器,它们的驱动器卷标分别为: 驱动器 C,包含操作系统文件 驱动器 D,未使用 驱动器 E,未使用 驱动器 F,用于备份在此服务器上,可以通过将数据库和日志文件分别安装到专用的驱动器(如 D 和 E)中而最大限度提高 AD 的性能。这有助于提高数据库的搜索性能,因为有一个驱动器主轴可以专用于搜索活动。在同时进行大量更改的情况下,这种配置也会降低承载日志文件的磁盘出现瓶颈问题的几率。可以将 SYSVOL 与操作系统文件一起存储在驱动器 C 中。9、点击“下一步”,向导要求输入“目录还原模式的Administrator 密码”(如图 20)。在
21、AD 未运行时,目录服务还原模式(DSRM)密码是登录域控制器所必需的。图 20特别注意DSRM 密码与域管理员帐户的密码不同。当创建林中第一台 DC 时,AD 安装向导会将本地服务器上生效的密码策略强制作用于此。对于所有的其他 DC 的安装,AD 安装向导将现有 DC 上生效的密码策略强制作用于此。这意味着,指定的 DSRM 密码必须符合包含现有 DC 所在域的最小密码长度、历史记录和复杂性要求。默认情况下,必须包含大写和小写字母组合、数字和符号的强密码。10、点击“下一步”,显示安装摘要(如图 21),并且可以单击“导出设置”将在此向导中指定的设置保存到一个应答文件。然后,可以使用应答文件自动执行 AD 的后续安装。图 21应答文件是包含 DCInstall 标题的纯文本文件,应答文件提供了对 AD 安装向导所需配置的设置值。使用该应答文件时,管理员无需与该向导进行交互。向导会向该应答文件中添加文本,说明如何使用该文件,例如,说明如何使用 dcpromo 命令来调用该文件以及必须更新哪些设置才能使用该文件。若要使用应答文件来安装 AD,在命令提示符下输入:dcpromo /answer:filename其中 filename 为应答文件的名称。11、点击“下一步”,安装向导执行安装操作(如图 22)。如
