ActiveDirectory域控制器安装手册.doc

上海晶澳计算机域实施项目Active Directory域控制器安装指南1.1 Active Directory介绍1.1.1 功能介绍Active Directory提供了一种方式，用于管理组成组织网络的标识和关系。Active Directory与Windows Server 2008 R2的集成，为我们带来了开箱即用的功能，通过这些功能我们可以集中配置和管理系统、用户和应用程序设置。Active Directory域服务（AD DS，Active Directory Domain Services）存储目录数据，管理用户和域之间的通信，包括用户登录过程、身份验证，以及目录搜索。此外还集成其它角色，为我们带来了标识和访问控制特性和技术，这些特性提供了一种集中管理身份信息的方式，以及只允许合法用户访问设备、程序和数据的技术。1.1.2 Active Directory域服务AD DS是配置信息、身份验证请求和森林中所有对象信息的集中存储位置。利用Active Directory，我们可以在一个安全集中的位置中，高效地管理用户、计算机、组、打印机、应用程序以及其它支持目录的对象。*审查。对Active Directory对象的修改可以记录下来，这样我们就可以知道这个对象做了哪些修改，以及被修改属性的历史值和当前值。 *粒度更细的密码。密码策略可以针对域中单独的组进行配置。不需要每个帐户都使用域中相同的密码策略了。 *只读的域控制器。当域控制器的安全无法得到保障时，我们可以部署一台只有只读版本Active Directory数据库的域控制器，例如在分支办公室，这种环境下域控制器的物理安全都是个问题，又如承载了其他角色的域控制器，其他用户也需要登录和管理这台服务器。只读域控制器（RODC，Read-Only Domain Controllers）的使用，可以防止在分支机构对它潜在的意外修改，然后通过复制导致AD森林数据的损坏。有了RODC，我们也不再需要在分支办公室的域控制器上使用中介站点（Staging Site），也不需要向分支机构寄送安装介质或指派域管理员。*可重启的Active Directory域服务。Active Directory域服务可以停止和维护。对于大多数维护任务，我们不再需要重启域控制器及以目录服务修复模式重启了。在目录服务离线时，域控制器上的其他服务还可以继续运作。Database Mounting工具。利用这个工具我们可以对Active Directory数据库进行快照。这样必要时域管理员就可以在快照中查看对象，然后再判断是否要恢复。*Database Mounting工具。利用这个工具我们可以对Active Directory数据库进行快照。这样必要时域管理员就可以在快照中查看对象，然后再判断是否要恢复。*恢复被删除对象。Active Directory中的域现在拥有一个回收站功能，这样就可以恢复被删除的对象。如果Active Directory对象被意外删除，我们可以在回收站中恢复它。这个功能要求升级Windows Server 2008 R2森林的功能级别。*加入域进程的改进。现在计算机可以在部署过程中加入域，而不需要连接到域，这一过程还被称为离线加入域。有了这一功能，我们在部署过程中就可以使加入域的过程完全自动化。域管理员可以创建一个XML文件，作为自动部署过程的一部分。这个文件包含了目标计算机加入域所需的所有信息。*作为服务标识的用户帐户的管理改进。那些用作服务标识的用户帐户，也被称为服务帐户，对它们密码的维护是一项非常耗时的管理任务。当服务帐户的密码被修改后，使用这个标识的服务也需要更新密码。为了解决这个问题，Windows Server 2008 R2引入了一个新特性，它被称为托管服务帐户。在Windows Server 2008 R2中，当服务帐户的密码被修改以后，托管服务帐户功能会自动更新所有使用了这个帐户的服务对应的密码。1.2 安装过程1.2.1 主域安装步骤1. 单击“开始”，然后单击“服务器管理器”。2. 在“角色摘要”中，单击“添加角色”。3.如有必要，检查“开始之前”页上的信息，然后单击“下一步”。4.在“选择服务器角色”页上，选中“Active Directory 域服务”复选框，然后单击“下一步”。5.如有必要，请查看“Active Directory 域服务”页面上的信息，然后单击下一步”。6.在“确认安装选择”页上，单击“安装”。7.在“安装结果”页上，单击“关闭该向导并启动 Active Directory 域服务安装向导(dcpromo.exe)”。8.在“欢迎使用 Active Directory 域服务安装向导”页上，单击“下一步”。9. 在“选择某一部署配置”中，选择“在新林中新建域”。单击“下一步”。10. 在“命名目录林根级域”的“目录林根级域的 FQDN”中，键入您的域的完全限定的域名。例如，如果您的 FQDN 为 ，则键入 。单击“下一步”。11.在“设置林功能级别”中，选择要使用的林功能级别，然后单击“下一步”。12.在“其他域控制器选项”的“为此域控制器选择其他选项”中，验证是否选择了“DNS 服务器”，然后单击“下一步”。此时将打开“Active Directory 域服务安装向导”警告对话框。13.该警告对话框通知您可以在父区域中手动创建到此 DNS 服务器的委派。单击“是”继续 Active Directory 域服务安装。14.在“数据库、日志文件和 SYSVOL 的位置”页上，键入或浏览到数据库文件、目录服务日志文件和系统卷 (SYSVOL) 文件的卷和文件夹位置，然后单击“下一步”。Windows Server Backup 按卷备份目录服务。为了高效地备份和恢复，将这些文件存储到不包含应用程序或其他非目录文件的单独的卷上。15.在“目录服务还原模式的 Administrator 密码”页上，键入并确认还原模式密码，然后单击“下一步”。 对于必须脱机执行的任务，您必须使用该密码以目录服务还原模式启动 AD DS。16.在“摘要”页上，检查您的选择。17.在“完成 Active Directory 域服务安装向导”页上，单击“完成”。18.在系统提示您重新启动服务器时，可以选中“完成后重新启动”复选框让服务器自动重新启动，也可以采用手动方式重新启动服务器以完成 AD DS 安装。1.2.2 备份域安装步骤备份域和主域的安装类似，开始都需要在“服务器管理器”中“添加角色”，在新建域中，选择“现有林”-“向现有域中添加域控制器”，见下图输入加入域的