部署企业中第一台Windows_Server_2008_R2域控制器_转

1、制器2010-04-18 21:57:01标签：晒文章技术范围Windows Server推送到技术圈版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和本声明。否则将追究法律责任。刖言 对于活动目录（AD ）来讲，从 Windows2000到现在有非常多的文章在对其进行探讨，微软公司每推出一代新的Win dows系统，这一重要服务技术不管是从功能上还是从性能上都在不断进步。在此，以最新 WindowsServer 2008 R2 （以后简称 WIN08R2）系统为例，从零开始讲述关于 WIN08R2活动目录相关技术。希望能一直坚持写完！胖哥 通过多年来AD在企

2、业中的部署，技术人员几乎都知道与活动目录相关的一系列概念了，如：域、域 树、域林、0U和站点，还有域控制器（DC）等。那么，对于一个AD来讲是从哪里开始实现的呢？ 也许有人将是从第一台 DC开始的。的确，AD的起点是从安装第一台 DC开始的。但是，可能很少 有人会意识到在安装第一台 DC时，实际上是在部署AD的第一个域一一根域，第一棵域树，乃至实 现一个单域的域林。只不过这个林中只有一棵域树， 这棵域树中只有一个域， 而且域中就只有这一台 计算机一一第一个DC。由此可见，在企业中即使是在部署安装第一台DC之前，所考虑的并不仅仅是怎样去安装一台域控制器那么简单，而是要考虑好整个域林、域树的规划，

3、以及相关服务，如：DNS服务等的规划的部署。并且要考虑清楚，每一个服务实现的位置，每一个步骤实现的做法。只有这样走下来，所部属的AD才能更大的满足现在和以后的需要。在此，由安装域林中第一台DC的过程，可以了解到在部署前需要考虑的一系列基本问题。一、DC网络属性的基本配置对于将要安装成为DC的服务器来讲，其系统配置以及基本的磁盘规划在此就不在累述了，但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址，虽然不一定需要配置默认网关，但是DNS服务器指向一定要配置正确，因为AD的工作是紧密依赖于 DNS服务的。本实例中整

4、个微软网络环境都是白手起家 的，考虑让这第一台 DC同时充当企业网络中的 DNS服务器，故需要将其首选 DNS服务器地址配置为本台计算机的IP地址（如图1）图1由于WIN08R2 默认防火墙配置是根据连接网络类型来实施过滤的，所以，最好通过网络和共享中心”将其网络类型有默认识别为的公用网络”更改为 专用网络”（如图2）。賣看丢动网络连襪或断开连接备.网络访问类型 无法達横到春用陶连糯：曹楚改确设宣丸.设蛊新的连撓或网络 设蛊无线、宽帶播誥、惨扌或 册 痙賁j 点接到或重棘逹菇封无线、M*抜号或¥UJUJU-eoujfe 不 r；耳 BlogJ 诊脈弄惓夏网络间题，我萩谓故陣腑倍息图2

5、当然，除此之外，当前计算机的 NetBIOS名，也就是计算机需要设置好，因为安装完DC后，再去进行修改操作是不明智的。二、准备安装AD服务WIN08R2对于AD服务的安装与早期版本略有不同， 可以通过 服务器管理”的角色添加来完成初始 化的准备工作（如图3），打开 服务器管理”工具，展开 角色”节点，在右边窗口中点击 添加角色图3打开 添加角色向导”（如图4），在该页中会得到系统的三点提示，其中最重要的是第二点。对于第一、三点来讲，可以不按提示配置，也不影响安装，点击下一步”。图4在 服务器角色”列表中勾选“Active Directory域服务”（如图5），此时，系统会自动弹出对话框，唔毎鼻

6、寿慕衽1»爵寻"孔沖询色亠 用色血；氐柑升 Di rett lh甘ilA II«Ji &<44 4>i>（ C»rvL <«ir« irKiwy貞直島曲捡阪嚅再 fccliw ThrtcltTj?轻2?目辛翳詈iKtjrtLTTirectory 证希AS奇tKT Jfi畀署 归翎 HjnpwrVC Mb IB柠3卫釘Ik ii4*-flri ?*r r«j 叶J=«J >a ? «r vi <-« | *»b4«（祥*軽巒愉曹常再杼

7、冊C賃訐瞬帝淬蜀找7-一宣二！化币；心斟日1七口仏"-心L铮制算护畑j要求安装“.NET Framework 3.5.1 功能”（如图6 ），由于AD在 WIN08R2 上必须该功能的支持，所以在此必须点击 添加必需的功能”按钮，返回 选择服务器角色”对话框后点击 下一步”（如图7）图7在“Active Dire ctory域服务”对话框中，向导会给出四点注意事项（如图 8），根据这些注意事项可以了解到安装AD前后操作应该执行的任务和 AD需要的服务图8点击下一步”进行安装(如图9)图9当出现 安装结果”对话框时，如果没有错误，证明AD的安装准备已经完成，但是由于该台计算机还 不能完

8、全正常运行 DC，所以提示需要启用 AD安装向导(dcpromo.exe )来完成安装(如图10) 可以直接点击关闭该向导并启动Active Directory 域服务安装向导(dcpromo.exe ) ”进入安装 向导，也可以直接点击 关闭”按钮之后，手动打开 AD安装向导。图10三、完成AD服务器的安装dcpromo”点击确定”启动向导（如图11）1、需要运行AD域服务器安装向导才能完成该服务器的部署，所以在运行”对话框中输入图112、经过系统自动检测后，将出现 AD安装向导的欢迎界面（如图 12 ）。在该对话框中可以选择使用标准或高级模式来进行安装。对于高级模式是提供给有经验的用户对安

9、装过程有更多的控制，图12但是在此建议使用高级模式来进行操作。高级模式较之标准模式的功能增强可以参考表1所示。此外，还可直接在命令提示符下运行带有 /adv开关的dcpromo 命令(dcpromo /adv )来启动高级 向导。部署配凰高级模式安装向导页1新林域NetBIOS 名称现有林中的新域I在选择某一部署配置"页上，用于创建新域树的选项仅出现在高级模式安装中|域NetBIOS名称源域控制器现有域中的其他域控制器从介质安装源域控制器指定密码复制策略(仅限于RODC安装)为只读域控制器(RODC)$装创建账户 指定密玛复制策略将服务器连接到用于RODC安装的账户（目壬方4 尸芒T

10、 j III衍门faf|1 1 1 1 1. -i J J1 1 1 X - 2-申 I J E J I E r d I源域扭制器-AL iitt找tCHlE</rjvi； J,表1DC，所以在AD的服务3、点击 下一步”对部属配置进行选择(如图 13 )，由于目的是部属企业中的第一个 此应选择在新林中新建域”。因为，创建新林需要管理员权限，所以必须是正在其上安装 器本地管理员组的成员。图134、点击下一步”对域林的根域进行命名（如图 14 ）。需要在之前对DNS基础结构有一个完整的 计划。必须了解该林的完整 DNS名称。可以在安装 AD之前先安装DNS服务器服务，或者如本实 例一样选择

11、让AD安装向导安装DNS服务器服务。图14让AD向导来安装DNS服务器服务，将使用此处的 DNS名称为林中的第一个域自动生成 NetBIO S名称。点击 下一步”向导会验证DNS名称和NetBIOS名称在网络中的唯一性。由于使用的是 高级模式，所以NetBIOS无论是否发生冲突，都会出现域NetBIOS名称”步骤（如图15 ）。当然，在标准模式下，只有检查到自动生成的NetBIOS名称与现有网络中名称冲突时，才会出现该步骤。图155、点击 下一步” 设置林功能级别”（如图16 ），功能级别确定了在域或林中启用 AD的功能，还 将限制可以在域或域林中 DC上运行的Windows服务器版本。但是，

12、功能级别不会影响在连接到域 或域林的工作站和成员服务器上运行的操作系统。图16创建新域或新林时，建议将域和林功能级别设置为当前环境可以支持的最高值，这样可以尽可能的充分发挥AD的功能。如果肯定不会将运行 Windows Server 2008 （以后简称 WIN08 ）或任何更 早版本的操作系统的域控制器添加到域或林，可以选择WIN08R2功能级别。另外，如果可能会保留或添加运行 WIN08或早版本的域控制器，则在安装期间应选择Windows Server 2008功能级别。若确定不会添加这类域控制器或这类域控制器不再使用，则安装后可以提升功能级别。需要注意的是不能将域功能级别设置为低于林功能

13、级别的值。例如将林功能级别设置为WIN08，则只能将域功能级别设置为 WIN08或WIN08R2。Windows 2000 （以后简称WIN2K ）和Windows Server 2003 （以后简称 WIN03 ）域功能级别值在 设置域功能级别”向导页中将不可选择。因此，若 选择林功能级别为 WIN08R2 ，那么，向导将不会出现 设置域功能级别”步骤，默认情况下向林添加 的所有域都将为WIN08R2域功能级别。特别需要注意：将域功能级别设置为某个特定值后，将无法回滚或降低域功能级别，但以下情况例外：将域功能级别提升至 WIN08R2，并且林功能级别为 WIN08或更低时，可以将域功能级别回

14、滚到WIN08，且只能将其从 WIN08R2降到 WIN08，而不能将其回直接滚到WIN03。将林功能级别设置为某个值之后，就不能回滚或降低林功能级别，但有一种情况例外：当您将林功能级别提升到 WIN08R2且没有启用AD回收站时，则可以选择将林功能级别回滚到WIN08。且只能将其从 WIN08R2降到 WIN08，而不能将其回直接滚到WIN03。以下表2列出了每种域功能级别启用的功能和支持的域控制器操作系统城功能级别启用的功能Windows 2000Windows Server 2003Windows 2000本机模式所有默认的Active Dtrectory功能及以下功能：Windows

15、Server 2008与分发组和安全组对应的通用组Windows Server 2008 R2，组嵌套组转换，可在安全组与分发组之间进行转换安全标识符QID）历史记录Windows Server 2003Windows Server 2003 所有默认的Active Directory功能、所有来自 Windows 2000本机模式域功Windows Server 2008能级别的功能，以及以T功能：Windows Server 2008 R2*域管理工具Netdom,exe可用于为域控制器重命名作准备。登录时间戳更新中将使用用户或计算机的上次登录时间来更新 lastLogonTimestam

16、p属性。可以在域内复制该属性。请注意，如果只读域控 制器（RODC）对帐户进行亀分验证，则可能不会更新该属性。可以将userPassword属性设墨为inetOrgPerson对象和弼户对象上的有敢密玛可以重定问用户和计算机容器。默认情况下，提供两个已知容器以容纳计算机 和用户/组帐户：cn=Computersy<domain root> Ju cn=Users,<domaln root>.借助此功能，可以为这些帐户定义新的已知位置。授权管理器可以将其擡权策略存储在AD DS中"受限制的委派，使得应用程序可通过Kerberos身份验证协仪充分利用用户凭据的安全

17、委派。可1次将委滤配羞为仅允许特定的目标服务。*选择性身份验证支持，这可以从受信任林指定允i午对信任林中资源服务迸行身弦朮傅呂yi°»谢赖证阿用户和组。Windows Server 2008所育默认的Active Directory功籤 所有来自Windows 2000纯樓武和 Windows Server 2003域功能舉别的功能以及以下功能：-SYSVOL的分布式文件系统（DFS）复制支持，可提供SYS VOL内容的更稳 健更详细的复跟您可能霧蓼抉行其他步骏来便用SYSVOL的D巧复亂有 关详细信息，请垦阅扛文件服务期茁一;心gm匚厲虑©血射和?Lirikld

18、二貂店?）（可能为英文网页°* Kerberos协议的高绳加密服努AES 128和256）支持匕 1；欠交互式登录信息，将显示用户上次成功交互式登录的时间、来自什么工作 站，以及自上次置录失败的登录尝试次数。严格的密码策略，这可臥为域中的屈户和全局安全组指定密码和帐户前定策Windows Server 2008Windows Server 2008 R2Windows Server 2008 R2所有默认的Active Directory功能、所有来自Windows 2000纯模式、 Windows Server 200J 和 Windows Server 2006 功能级别的昉能；

19、以及以 下功能：-身悄验证机制保证，将用于对域用户进行身怡唸证的登录方法（智能喂或用户 名曆码）类型信息封装在每个用户的Kerberos -$牌孔如果在已部署联合身 情管理基础结构（如Active DTectory 合身份验证服务（AD FS）的网络环 境中启用此功能,则毎当用户尝试访问已制署为根1S用户登录方法确定是否拽权 的声明感轴应用程序时，部会提取令牌中的信息。ir j； f I fi rr'P'iu11 jT-z f.Windows Server 2008 R2以下表3列出了每种林功能级别启用的功能和支持的域控制器操作系统克持的域控制器操作系统林功能舉别启牺的功能Wi

20、ndows 2000所有默认的Active Directory功能Windows 2000Windows Server 2003Windows Server 2008Windows Server 2008 R2Windows Server 2003所有软认的Actix Directory功能夏以下功能:Windows Server 2003林信任*域重命名进接值复制（组成员身份中的更改为旨个成员存储并复制11而不是作为 单个单位复制整个成员身份八在复制期间此更改会导致较低的忌各芾宽 禾啦理器使用率、且在不同域控制器中同时添加或刪陥不同成员时会消除 丢失更新的可能性。*部署RODC的功能改进的知

21、识一致性检查器（KCC）的算法和可俾缩性。站点间拓扑生成器 （ISTG）使用改进的算法可缩放次支持具有远远大于在Windows 2000 林功能级别上所支持站点的数量的林。*在域目录分区中创建动态辅助类（称为dynamicObjeut）的实例的功能 将inetOrgPerson对象实例转换为用户对象实例的功能，及反向换功*创運新组（称为应用程序基本组和轻型目录访问协议（LDAP）查询组）类 型的实例以支持基于角色的身份验证的功能在架枸中停用并重新定义属性Windows Server 2008Windows Server 2008 R2gjgffliggjj!Windows Server 200

22、8WmdJws Server 2003林功能级别上可用的所有功能，但不包括任何其他功 能。但在默认情况下，随后滩加到林的所有域，将在Windows Server 2008 域功能级别进行操作。如果计划仅包括在整个林中运行 windows Server 2008或 Windows Server 2008 R2的域控制器则为便于进行管理可以选择此林功能级别。Windows Server 2008Windows Server 2008 R2Windows Server 2008Windows Server 2003林功能级刖上可用的所有功能及次下功能：Windows Server 2008 R.2R

23、2在ADDS运行时提供还原整个已删除对象功能的回收站*在默认情况下随后添加商林的所有域都将次Windows Server 2008 R2域功电險别运行。如果计划仅包括在整个林中运行Window Server 2008 R2的域控制jJBIUlSUJJJ器，则为便于进行管理可以选择此林功能绳别。如果这样做您将永远不 一 必为在林中创建的每个域提升域功謹及别。|【胖哥技堂】liuljk&?r7 J W hsf 常11 兮ItHJ 识小时ErJUIckj6、点击下一步”配置其它域控制器选项”（如图17 ）。在AD安装期间，可以为DC选择安装DNS服务、或将其设置成为全局编录服务器（ GC）或

24、只读域控制器（RODC）图17DNS服务器选项正如“DC网络属性的基本配置”一节中谈到的在DC上同时安装DNS服务，此处就需要勾选 “DNS 服务器”选项。该选项的默认设置取决于此前选择的部署配置和当前网络中的 DNS环境等因素。表4 中列出了不同AD部署配置的默认 DNS服务安装配置。新林默认会安装DNS服务器。新域如果向导在父域中检测到DN5基础结构，则默认会安装DN5服务器。如果问导没有检测到DNS基础结构，则默认不会安装DNS服务器。新域树如果向导在林根域中检测到DNS®础结构，则默认会安装DN5服势器。如果向导没有检测到DNS基础结枸，则執认不会安装DNS服务器。其他域控制

25、器如果向导在域中检测到DNS基础结构，则黜认会安装DMS服务器drj JIJJU pjujjjff厂如果冋导在域屮没有检测基础结构，则服夯器安装选顷不口专拙V同审yiyghul iiCQwnotfriBil .corn* irj d*）表4需要注意的是：如果启动AD安装向导之前已经安装了 DNS服务，但AD没有DNS基础结构，则DNS服务将继续为 它承载的任何基于文件的区域解析名称，但不会承载它作为域控制器所在的域的任何AD集成的DNS区域。全局编录选项由于林中的第一台DC必须是GC，因此在创建域林时 全局编录”复选框处于会被自动选中，而且变 灰不能被取消。在现有域中安装其他 DC时，默认也会

26、选中该复选框。但是，可以手动取消选择。在创建新的子域或域树时， 默认情况下不会选中 “全局编录 ”复选框， 因为新域中的第一个域控制器承 载着所有域范围的操作主机角色（ FSMO 角色），包括基础结构操作主机角色。在多域林中，除非 域中的所有 DC 都是 GC ，否则在 GC 上承载基础结构主机角色可能会出现问题。因此，在新子域或 域树的第一个 DC 上安装全局编录， 则需要在将其他 DC 安装到域中之后转移基础结构主机角色， 或 是确保安装到域中的所有其他 DC 也都是 GC 。而且，在安装其他可写域控制器时， AD 安装向导会 验证基础结构主机是否承载于合适的 DC 上，并且会验证它是否可

27、以修复使用所选安装选项引发的问 题。RODC 选项以下条件下不允许安装 RODC ：新林中安装第一个域控制器新域中安装第一个域控制器林功能级别不是 WIN03 、WIN08 或 WIN08R2要安装 RODC 的域中没有 WIN08 或 WIN08R2 的可写域控制器选项间的关系如果选中 “只读域控制器（ RODC ）”复选框，除非无法选中 “DNS 服务器 ”复选框，否则向导会自动 选中此选项。如果在向导选中 “DNS 服务器 ”复选框之后将其清除，则向导会发出警告： “如果不同 时安装 DNS 服务器，分支机构中的客户端可能无法找到 ROD”C 。默认情况下， “全局编录 ”复选框 可能也

28、处于选中状态， 具体取决于选择的其他安装选项。 默认情况下， 如果选中 “只读域控制器 ”复选 框，向导就会自动选中 “全局编录 ”复选框。验证检查选项在“其他域控制器选项 ”页上选择选项，然后点击 “下一步 ”之后，向导会执行以下验证检查，之后才会 继续进行操作。静态 IP 地址验证 如果选中 “DNS 服务器 ”复选框， AD 安装向导会验证服务器的所有物理网络 适配器是否都具有一个静态地址，包括静态的 IPv4 和 IPv6 地址。尽管不使用静态 IP 地址便可以 完成 AD 安装，但不建议这样做，因为如果 DC 的 IP 地址发生变化，客户端可能无法联系 DC 。 基础结构主机检查 如

29、果选择在域中安装其他域控制器的选项， AD 安装向导默认会选中 “全局编 录 ”复选框。如果正在安装可写域控制器（ “只读域控制器 ”复选框处于清除状态），而且清除了 “全局 编录”复选框，向导会检查域中的全局编录服务器上当前是否承载了基础结构主机角色。如果检查结 果为是， 向导会提示将该角色转移到正在安装的 DC 上。可以点击 “是”将基础结构主机角色转移到此 DC 上，或点击 “否”稍后更改配置。Adprep /rodcprep 检查如果安装 RODC ，向导会验证 adprep /rodcprep 命令是否成功完 成，以及该命令导致的更改是否复制到整个林中。如果 adprep /rodc

30、prep 命令没有成功完成，或 是更改尚未复制到整个林中， 会收到一条错误消息， 指出在继续进行安装之前必须运行该命令。 如果收到此消息，可以在林中的任何计算机上再次运行adprep /rodcprep，或是等待更改复制到整个林中。7、点击 下一步”系统会弹出DNS服务委派警告对话框（如图18 ）。在此，点击 是”继续完成向 导。这个对话框的出现是由于配置其它服务器时，选择了“DNS服务器”选项，而当前计算机又未找到指定域的权威父域 Windows DNS服务器，从而无法确定是否对指定域进行了委派导致的。0是否要维续?f甘心-jn!二.工丄论 I I匚.否on 1jS L "ETT

31、"j图188、确定AD数据库、日志文件和 SYSVOL放置的位置（如图19 ）。对于数据库来讲主要存储有关 用户、计算机和网络中其它对象的信息；日志文件记录与 AD有关的活动；SYSVOL存储组策略对 象和脚本，其默认是位于 win dir% 目录中的操作系统文件的一部分。图19在决定AD文件的存储位置时，可以从以下两个因素来考虑一一备份和恢复对于只有一个硬盘的服务器来将， 只需接受AD安装向导的默认安装设置即可。但是，必须至少在该硬盘上创建两个卷。其中一个卷用于存储关键卷数据，另一个卷用于存储备份。在使用WindowsServer Backup或Wbadmin.exe命令行工具备份

32、 DC时，至少必须备份系统状态数据，以便使用备份恢复服务器。用于存储备份的卷不能与承载系统状态数据的卷相同。构成系统状态数据的系统组件由安装在计算机上的服务器角色来决定。系统状态数据至少包括下列数据 （根据所安装的服务器角色，还可能包括其他数据）注册表COM+ 类注册数据库引导文件Active Directory 证书服务 （AD CS） 数据库承载 Active Directory 数据库 （Ntds.dit） 的卷承载 Active Directory 数据库日志文件的卷SYSVOL 目录群集服务信息Microsoft Internet Information Services （IIS）

33、 元目录Windows 资源保护下的系统文件性能对于更加复杂的安装，可能需要配置硬盘存储以优化 AD 的性能。由于数据库和日志文件以不同方 式利用磁盘存储空间，因此可以通过将每种内容分配到不同的硬盘主轴来提高 AD 的性能。 例如，一台服务器具有四个可用的硬盘驱动器，它们的驱动器卷标分别为：驱动器C,包含操作系统文件驱动器 D ，未使用驱动器E，未使用驱动器F,用于备份在此服务器上，可以通过将数据库和日志文件分别安装到专用的驱动器（如D和E）中而最大限度提高 AD 的性能。 这有助于提高数据库的搜索性能， 因为有一个驱动器主轴可以专用于搜索活动。 在 同时进行大量更改的情况下，这种配置也会降低承载日志文件的