Windows 2008活动目录的安装和卸载

Windows 2008 活动目录的安装和卸载 相对于 Windows Server 2003 Windows Server 2008 活动目录域服务 AD DS 进行很大的改进 主要表现在新增了只读域控制器 RODC 的域控制器类型 更新的活动目录域服务安装向导 可重 启的活动目录域服务 快照查看以及增强的 Ntdsutil 命令等 由于这些改进 现在我们可以通过新 的安装向导简化了部署过程并节省了部署时间 可以在物理安全无法得到保证的分支机构部署 RODC 们还可以使用 AD DS 的可重启功能来停止 AD DS 因此可以执行诸如脱机的活动目录对像整 理之类的脱机操作 减少了在 Windows Server 2008 下需要重启至活动目录还原模式的次数 通过 快照查看我们还可以在线查看储存在快照中的活动目录数据 尽管我们不能使用此特性来还原已删 除的对像和容器 但是我们可以在不重启域控制器的情况下 使用它来比较不同时间点的快照来确 定用哪份数据进行恢复 一 活动目录的安装 为了便于介绍活动目录的安装过程 假设一台计算机已成功安装了 Windows 2008 计算机名为 DC1 网卡地址为 192 168 0 1 24 DNS 服务器指示本地网卡地址 我们要在这台计算机完成活动目录的布 署 安装新林 域名为 域的 Netbios 名为 hbycrsj 并在这台计算机上安装 DNS 服 务器 手动安装 1 运行 DCPROMO 系统会自动检测是否安装活动目录域服务二进制文件 如果系统没有安装 将自 动安装 出现活动目录安装向导 选择使用高级模式安装 在高级模式下 会有更多的安装选项如 域 NETBIOS 名的更改 从媒体提升安装 安装 RODC 指定密码复制策略进行安装选择 2 选择在 新林中建新域 由于这是森林中的第一台 DC 所以我们选择这个选项 点击下一步 3 在命名林根域窗口 输入目录林根级域的 FQDN 名 HBYCRSJ GOV CN 4 计算机检测域的 NETBIOS 名称 并生成一个默认的名称 不修改接受向导产生的名称 5 在设置林功能级别 2008 支持三个林功能级别 Windows 2000 Windows 2003 Windows 2008 林 功能级别的选择跟森林中所安装的服务器操作系统有关 同时不同的林功能级别所提供的功能也不 相同 同时要注意当选择一种高级别的林功能级别以后 它不能再降为低级别的林功能级别 即林 功能级的提升是单向的 例如 我们选择 2008 的林功能级别 它就不能再降为 2003 或是 2000 的林 功能级别 接受 2000 的功能级别 点击下一步 如果提升其它林功能 等 DC 安装结束以后 我们 再来完成提升操作 6 在设置域功能级别窗口 接受 Windows 2000 的纯模式的域功能级别 点击下一步 7 系统会检测是否有已安装好的 DNS 由于我们没有安装其它的 DNS 服务器 系统会在其他域控制 器选项中自动钩选 DNS 服务器 同时由于林中的第一台域控制器必服务必须是全局编录服务器 GC 且不能是只读域控制器 RODC 所以全局编录和只读域控制器 RODC 为不可选择状态 点击下一步 8 出现 无法创建该 DNS 服务器委派 是否继续 提示框 选择是继续安装 9 设置活动目录数据库 日志文件 SYSVOL 的位置 如果在计算机上安装有 RAID 或几块磁盘控制 器 为了获得更好的性能和可恢复性 最好将数据库 日志文件文件夹指向不同的卷 或磁盘 上 点击下一步 10 目录还原模式 DSRM 的管理员密码 注意 目录还原模式的管理员密码保存在本台域控制器 的本地 SAM 文件中 而活动目录管理员的密码存放在活动目录数据库中 在 2008 中目录还原模式的 管理员密码必须符合复杂性要求 即不能少于 7 个字符 由数字 字母 符号组成 11 在摘要对话框会出现之前所作的选择 选择导出设置 将这些设置导出一个无人职守自动安装 的文件 点击下一步开始安装 最后完成安装重启计算机 自动安装 自动安装是使用 DCPROMO 命令的 unattend 参数 例如 dcpromo exe unattend C unattend txt unattend txt 为无人职守安装有脚本文件 当进行自动安装时 命 令提示符会依次显示安装过程 可以按 Ctrl C 终止安装 以下一个建立新林的应答文件 DCInstall ReplicaOrNewDomain Domain 当值为 Replica 表示安装 DC 为现在域的辅助域控制器 ReadOnlyReplica 表示安装 DC 为现在域的只读域控制器 Domain 表示安装 DC 为新域的第一台域控 制器 NewDomain Forest 指明要创建的域的类型 新林 现有林中的新域树或现有域的子域 当值为 Forest 表示创建新林 Tree 表示创建现有林中的新域树 Child 表示创建现有域的子域 NewDomainDNSName HBYCRSJ GOV CN 域的 FQDN 名 ForestLevel 0 设置林功能级别 0 为 Windows 2000 2 为 Windows 2003 3 为 Windows 2008 DomainNetbiosName HBYCRSJ 域的 Netbios 名 DomainLevel 0 设置域功能级别 InstallDNS Yes 指定是否为该域安装域名系统 DNS ConfirmGc Yes 指定是否让域控制器成为全局编录服务器 CreateDNSDelegation No 是否创建 DNS 委派 DatabasePath C Windows NTDS 设置活动目录数据库文件夹的位置 LogPath C Windows NTDS 设置活动目录日志文件文件夹的位置 SYSVOLPath C Windows SYSVOL 设置 SYSVOL 的位置 SafeModeAdminPassword a1a2a3a4 目录恢复模式管理员密码 为了提高系统的安全性 当从包含 密码的应答文件中运行 Dcpromo 时 它将修改这个文件并移除密码 RebootOnCompletion Yes 指定无论是否安装成功 安装结束后是否自动重启计算机 当域控制器重启以后 可以通过以下过程来确认域控制器是否安装成功 通过查看 systemroot debug dcpromo log 活动目录安装日志 通过 dcdiag V 命令测试域控制 器是否存在错误 通过事件查看器查看是否有有关活动目录服务日志 通过活动目录站点和服务中 是否已出现服务器对象 验证域控制是否出现在正确的站点下 验证是否向 DNS 服务器注册了所有 SVR 记录 检查是否存在 SYSVOL 共享等 二 活动目录的删除 在删除活动目录之前 为了防止操作失败操作系统故障 须对系统进行备份 同时 我们还必须确 定待删除的域控制器是否有操作主控 是否为全局编录服务器 是否能和 DNS 服务器通信 是否能 和域中的其它域控制器进行通信等 否则都会造成操作失败 手动删除 1 运行 DCPROMO 提示计算机已经是域控制器 点击下一步 如果这台 DC 也是 GC 会出现信息提 示框 由于 GC 存储着活动目录中用户的信息 它可能用来处理用户的登录请求 所以在删除一台 GC 时 首先要保证用户能登录到其它的 GC 选择确定 2 在删除域对话框中选择这是否域中的最后一个域控器 当域中的最后一台 DC 被卸载活动目录域 服务后 域将不存在 同时域中的所有用户和计算机帐号都将删除 所有加密密钥都会被删除 所 以在进行所操作之前 最好进行相应的备份操作 导出密钥或解密所有加密文件 由于整个活动目 录中只有一台 DC 所以钩选此项 点击下一步 3 出现应用程序目录分区 点击下一步 4 选择删除该活动目录域控制器所有应用程序目录分区 点击下一步 5 输入新的管理员密码 点击下一步 6 导出设置 点击开始操作 完成操作之后重启计算机 自动删除 运行 dcpromo exe unattend C Runattend txt 以下是一个自动删除域森林中最后一个域控制器的应答文件 DCInstall RetainDcMetadata No 指定删除 AD DS 之后在域中是否保留域控制器元数据 AdministratorPassword 指定降级域控制器时的本地管理员帐户密码 通过 DCPROMO 命令强制删除 DCPROMO ForceRemoval 完成 通过修改注册表键表强制删除 用注册表编辑器 regedt32 exe 或是 regedit exe 找到 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control ProductOptions 项 修改其下的 ProductType 将 LanmanNT 改为 ServerNT 注意大小写 前者表是这台计算机是一台 DC 后者表示是成员服务器 保存结果并重新启动计算机 对于后两都方法 为了彻底将降级的域控制器从活动目录数据库中删除 还必须删除本地数据库文 件 日志文件以及 SYSVOL 文件夹下的文件 同时还应该在其它域控制器上删除相应的记录 在 DNS 服务器上删除相应的 SVR 记录 三 说明 1 以上介绍的是在一个单域 单域控制器的环境下对活动目录进行操作 活动目录的操作还可以对 现有域添加子域 在当