Windows Server 2008 R2之活动目录服务部署.doc

WindowsServer2008R2之活动目录服务部署测试环境：服务器：计算机名Win2008R2CNDC,已安装Windows Server 2008 R2。IPV4:3,,网关地址管理员：Bill.XU实验要求：安装第一个企业根据域控制器域名为H。部署过程：以下操作都是以管理员Bill.XU登录完成方法一：手动部署1、使用事件查看器(EventVWR.MSC），查看日志情况。并要所查看情况，进行系统诊断，确保安装前系统的状态正常2、打开网络连接，设置网卡的IP4地址为一静态地址，同时将DNS服务器地址设置为3、运行DCPROMO,出现设置向导。设置过程如下图检测系统是否安装AD域服务二进制文件，如果没有，系统会自动安装(也可以在运行命令之前，通过服务器管理器，添加活动目录域服务角色来安装）出现活动目录域服务安装向导，选择高级模式（如果不选择此项，安装过程中将无法对有些设置进行更改，如域Netbios名的更改等）由于这是森林中的第一台服务器，所以选择在新林中新建域。功能级别，所提供的功能不同。如要使用R2新增的活动目录回收站功能，必须将功能级别提升到2008 R2功能级别。要使用棵粒化密码策略，须将功能级别提升到2008。R2新增了一种功能级别即2008 R2级别。注意功能级别的操作是单向，即当提升到一个高功能级别后，它不能再降为低功能级别。除非得新安装AD域服务具体见：Appendix of Functional Level Features此实验中，DC也是一台DNS服务器，所以要勾选DNS服务器。同时，这是森林中的第一台DC，所以全局编录（GC），只读域控制器（RODC）不可操作。森林中必须至少有一台GC，同时要安装RODC，域中必须首先有一台可写的DC。指定活动目录数据库的存放位置。在一个大型的网络中，为了提高活动活动工作效率，可以将数据在放在其它的磁盘控制器或RAID上。同时，随着活动目录数据增大，可以以后通过操作移动活动目录的位置。当然活动目录数据还有其它操作（如压缩）。我将在以后的实验中进行操作。目录服务还原模式（DSRM）密码，必须符合密码复杂性。默认情况下，密码复杂性是指长度至少为7个字符，密码必须含有数字，符号，大小字这三项中的两项。同时，密码存放历史不能在24个之内。可能启动系统时，按F8，选择进入DSRM，进行活动目录的相关操作，如还原对象等。导出设置，将设置导出一个文本文件。我们可以利用这个文件进行活动目录的无人职守安装以下无人职守文件的内容。具体参数含义见无人参与安装参数附录; DCPROMO unattend file (automatically generated by dcpromo); Usage:; dcpromo.exe /unattend:C:UsersAdministratorDesktopShareUNATTEND.TXT;DCInstall; New forest promotionReplicaOrNewDomain=DomainNewDomain=ForestNewDomainDNSName=HBYCRSJ.COMForestLevel=2DomainNetbiosName=HBYCRSJDomainLevel=2InstallDNS=YesConfirmGc=YesCreateDNSDelegation=NoDatabasePath=C:WindowsNTDSLogPath=C:WindowsNTDSSYSVOLPath=C:WindowsSYSVOL; Set SafeModeAdminPassword to the correct value prior to using the unattend fileSafeModeAdminPassword=; Run-time flags (optional); RebootOnCompletion=Yes4、重新启动计算机。将网卡地址的DNS服务器地址设置为它自身的IP地址。即35、验证DC是否安装成功打开DNS管理器（DNSmgmt.msc），在服务器节点可以看到打开管理工具，可以看到新增了如下有关活动目录的管理工具使用事件查看器，查看安装情况。方法二：通过命令行进部署通过dcpromo命令的命令参数进行安装dcpromo /unattend /InstallDns:yes /dnsOnNetwork:yes /replicaOrNewDomain:domain /newDomain:forest /newDomainDnsName: /DomainNetbiosName:hbycrsj /databasePath:c:Windowsntds /logPath:c:Windowsntdslogs /sysvolpath:c:Windowssysvol /safeModeAdminPassword:a1a2a3B1! /forestLevel:2 /domainLevel:2 /rebootOnCompletion:yes命令行参数包括:/unattend:filename 用于指定无人参与操作模式或提供无人参与安装脚本文件。/adv 启用高级用户选项。/uninstallBinaries 用于卸载 Active Directory 域服务二进制文件。/?:Promotion | CreateDcAccount | UseExistingAccount | Demotion /?:Promotion、/?:CreateDCAccount、/?:UseExistingAccount 和 /?:Demotion将显示适用于指定任务的无人参与参数。/CreateDCAccount 和 /UseExistingAccount:Attach 互斥。/CreateDCAccount 创建 RODC 帐户。/UseExistingAccount:Attach 将服务器与 RODC 帐户连接。/forceRemoval 强制卸载此域控制器上的 Active Directory 域服务。不会在目录中 删除用于域控制器的帐户，但自此域控制器上次使用伙伴复制后发生 的更改将丢失。/? 显示此帮助。无人参与参数还可以在命令行上进行指定。例如: dcpromo.exe /ReplicaOrNewDomain:Replica方法三：通过无人应答文件行进部署产生如上面所述的无人应答文件，输入如下命令进行安装dcpro