WIN2008 R2 Active Directory 之一 部署企業中第一台Windows Server 2008 R2網域控制站_win伺服器

前言

對於活動目錄（AD）來講，從Windows 2000到現在有非常多的文章在對其進行探討，微軟公司每推出一代新的Windows系統，這一重要服務技術不管是從功能上還是從效能上都在不斷進步。在此，以最新Windows Server 2008 R2（以後簡稱WIN08R2）系統為例，從零開始講述關於WIN08R2活動目錄相關技術。希望能一直堅持寫完！

——胖哥

通過多年來AD在企業中的部署，技術人員幾乎都知道與活動目錄相關的一系列概念了，如：域、域樹、域林、OU和網站，還有網域控制站（DC）等。那麼，對於一個AD來講是從哪裡開始實現的呢？

也許有人將是從第一台DC開始的。的確，AD的起點是從安裝第一台DC開始的。但是，可能很少有人會意識到在安裝第一台DC時，實際上是在部署AD的第一個域——根域，第一棵域樹，乃至實現一個單域的域林。只不過這個林中只有一棵域樹，這棵域樹中只有一個域，而且域中就只有這一台電腦——第一個DC。

由此可見，在企業中即使是在部署安裝第一台DC之前，所考慮的並不僅僅是怎樣去安裝一台網域控制站那麼簡單，而是要考慮好整個域林、域樹的規劃，以及相關服務，如：DNS服務等的規劃的部署。並且要考慮清楚，每一個服務實現的位置，每一個步驟實現的做法。只有這樣走下來，所部屬的AD才能更大的滿足現在和以後的需要。在此，由安裝域林中第一台DC的過程，可以瞭解到在部署前需要考慮的一系列基本問題。

一、DC網路屬性的基本配置

對於將要安裝成為DC的伺服器來講，其系統配置以及基本的磁碟規劃在此就不在累述了，但是關鍵的網路連接屬性是必須要注意的。可以通過開啟本地串連的屬性來進行配置其IP屬性。作為伺服器DC的IP地址一定要是靜態IP地址，雖然不一定需要配置預設閘道，但是DNS伺服器指向一定要配置正確，因為AD的工作是緊密依賴於DNS服務的。本執行個體中整個微軟網路環境都是白手起家的，考慮讓這第一台DC同時充當商業網路中的DNS伺服器，故需要將其首選DNS伺服器位址配置為本台電腦的IP地址（如圖1）。

圖1

由於WIN08R2預設防火牆配置是根據串連網路類型來實施過濾的，所以，最好通過“網路和共用中心”將其網路類型有預設識別為的“公用網路”更改為“專用網路”（如圖2）。

圖2

當然，除此之外，當前電腦的NetBIOS名，也就是電腦需要設定好，因為安裝完DC後，再去進行修改操作是不明智的。

二、準備安裝AD服務

WIN08R2對於AD服務的安裝與早期版本略有不同，可以通過“伺服器管理”的角色添加來完成初始化的準備工作（如圖3），開啟“伺服器管理”工具，展開“角色”節點，在右邊視窗中點擊“添加角色”。

圖3

開啟“添加角色嚮導”（如圖4），在該頁中會得到系統的三點提示，其中最重要的是第二點。對於第一、三點來講，可以不按提示配置，也不影響安裝，點擊“下一步”。

圖4

在“伺服器角色”列表中勾選“Active Directory網域服務”（如圖5），此時，系統會自動彈出對話方塊，

圖5

要求安裝“.NET Framework 3.5.1功能”（如圖6），由於AD在WIN08R2上必須該功能的支援，

圖6

所以在此必須點擊“添加必需的功能”按鈕，返回“選擇伺服器角色”對話方塊後點擊“下一步”（如圖7）。

圖7

在“Active Directory網域服務”對話方塊中，嚮導會給出四點注意事項（如圖8），根據這些注意事項可以瞭解到安裝AD前後操作應該執行的任務和AD需要的服務。

圖8

點擊“下一步”進行安裝（如圖9）。

圖9

當出現“安裝結果”對話方塊時，如果沒有錯誤，證明AD的安裝準備已經完成，但是由於該台電腦還不能完全正常運行DC，所以提示需要啟用AD安裝嚮導（dcpromo.exe）來完成安裝（如圖10）。可以直接點擊“關閉該嚮導並啟動Active Directory網域服務安裝嚮導（dcpromo.exe）”進入安裝嚮導，也可以直接點擊“關閉”按鈕之後，手動開啟AD安裝嚮導。

圖10

三、完成AD伺服器的安裝

1、需要運行AD網域服務器安裝嚮導才能完成該伺服器的部署，所以在“運行”對話方塊中輸入“dcpromo”點擊“確定”啟動嚮導（如圖11）。

圖11

2、經過系統自動檢測後，將出現AD安裝嚮導的歡迎介面（如圖12）。在該對話方塊中可以選擇使用標準或進階模式來進行安裝。對於進階模式是提供給有經驗的使用者對安裝過程有更多的控制，

圖12

但是在此建議使用進階模式來進行操作。進階模式較之標準模式的功能增強可以參考表1所示。此外，還可直接在命令提示字元下運行帶有/adv開關的dcpromo命令（dcpromo /adv）來啟動進階嚮導。

表1

3、點擊“下一步”，對部屬配置進行選擇（如圖13），由於目的是部屬企業中的第一個DC，所以在此應選擇“在新林中建立域”。因為，建立新林需要管理員權限，所以必須是正在其上安裝AD的伺服器本機系統管理員群組的成員。

圖13

4、點擊“下一步”，對域林的根域進行命名（如圖14）。需要在之前對DNS基礎結構有一個完整的計劃。必須瞭解該林的完整DNS名稱。可以在安裝AD之前先安裝DNS伺服器服務，或者如本執行個體一樣選擇讓AD安裝嚮導安裝DNS伺服器服務。

圖14

讓AD嚮導來安裝DNS伺服器服務，將使用此處的DNS名稱為林中的第一個域自動產生NetBIOS名稱。點擊“下一步”，嚮導會驗證DNS名稱和NetBIOS名稱在網路中的唯一性。由於使用的是進階模式，所以NetBIOS無論是否發生衝突，都會出現“域NetBIOS名稱”步驟（如圖15）。當然，在標準模式下，只有檢查到自動產生的NetBIOS名稱與現有網路中名稱衝突時，才會出現該步驟。

圖15

5、點擊“下一步”，“設定林功能層級”（如圖16），功能層級確定了在域或林中啟用AD的功能，還將限制可以在域或域林中DC上啟動並執行Windows伺服器版本。但是，功能層級不會影響在串連到域或域林的工作站和成員伺服器上啟動並執行作業系統。

圖16

建立新域或新林時，建議將域和林功能層級設定為當前環境可以支援的最高值，這樣可以儘可能的充分發揮AD的功能。如果肯定不會將運行Windows Server 2008（以後簡稱WIN08）或任何更早版本的作業系統的網域控制站添加到域或林，可以選擇WIN08R2功能層級。另外，如果可能會保留或添加運行WIN08或早版本的網域控制站，則在安裝期間應選擇 Windows Server 2008 功能層級。若確定不會添加這類網域控制站或這類網域控制站不再使用，則安裝後可以提升功能層級。需要注意的是不能將域功能層級設定為低於林功能層級的值。例如將林功能層級設定為WIN08，則只能將域功能層級設定為WIN08或WIN08R2。Windows 2000（以後簡稱WIN2K）和Windows Server 2003（以後簡稱WIN03）域功能層級值在“設定域功能層級”嚮導頁中將不可選擇。因此，若選擇林功能層級為WIN08R2，那麼，嚮導將不會出現“設定域功能層級”步驟，預設情況下向林添加的所有域都將為WIN08R2域功能層級。

特別需要注意：

將域功能層級設定為某個特定值後，將無法復原或降低域功能層級，但以下情況例外：將域功能層級提升至WIN08R2，並且林功能層級為WIN08或更低時，可以將域功能層級復原到WIN08，且只能將其從WIN08R2降到WIN08，而不能將其回直接滾到WIN03。

將林功能層級設定為某個值之後，就不能復原或降低林功能層級，但有一種情況例外：當您將林功能層級提升到WIN08R2且沒有啟用AD資源回收筒時，則可以選擇將林功能層級復原到WIN08。且只能將其從WIN08R2降到WIN08，而不能將其回直接滾到WIN03。

以下表2列出了每種域功能層級啟用的功能和支援的網域控制站作業系統

表2

以下表3列出了每種林功能層級啟用的功能和支援的網域控制站作業系統

表3

6、點擊“下一步”，配置“其它網域控制站選項”（如圖17）。在AD安裝期間，可以為DC選擇安裝DNS服務、或將其設定成為通用類別目錄伺服器（GC）或唯讀網域控制站（RODC）。

圖17

DNS伺服器選項

正如“DC網路屬性的基本配置”一節中談到的在DC上同時安裝DNS服務，此處就需要勾選“DNS伺服器”選項。該選項的預設設定取決於此前選擇的部署配置和當前網路中的DNS環境等因素。表4中列出了不同AD部署配置的預設DNS服務安裝配置。

表4

需要注意的是：

如果啟動AD安裝嚮導之前已經安裝了DNS服務，但AD沒有 DNS 基礎結構，則 DNS 服務將繼續為它承載的任何基於檔案的地區解析名稱，但不會承載它作為網域控制站所在的域的任何AD整合的DNS地區。

全域編錄選項

由於林中的第一台DC必須是GC，因此在建立域林時“全域編錄”複選框處於會被自動選中，而且變灰不能被取消。在現有域中安裝其他DC時，預設也會選中該複選框。但是，可以手動取消選擇。

在建立新的子域或域樹時，預設情況下不會選中“全域編錄”複選框，因為新域中的第一個網域控制站承載著所有域範圍的操作主機角色（FSMO角色），包括基礎結構操作主機角色。在多域林中，除非域中的所有DC都是GC，否則在GC上承載基礎結構主機角色可能會出現問題。因此，在新子域或域樹的第一個DC上安裝全域編錄，則需要在將其他DC安裝到域中之後轉移基礎結構主機角色，或是確保安裝到域中的所有其他DC也都是GC。而且，在安裝其他可寫網域控制站時，AD安裝嚮導會驗證基礎結構主機是否承載於合適的DC上，並且會驗證它是否可以修複使用所選安裝選項引發的問題。

RODC選項

以下條件下不允許安裝 RODC：

新林中安裝第一個網域控制站 新域中安裝第一個網域控制站 林功能層級不是WIN03、WIN08或WIN08R2 要安裝RODC的域中沒有WIN08 或WIN08R2的可寫網域控制站

選項間的關係

如果選中“唯讀網域控制站（RODC）”複選框，除非無法選中“DNS 伺服器”複選框，否則嚮導會自動選中此選項。如果在嚮導選中“DNS 伺服器”複選框之後將其清除，則嚮導會發出警告：“如果不同時安裝 DNS 伺服器，分公司中的用戶端可能無法找到RODC”。預設情況下，“全域編錄”複選框可能也處於選中狀態，具體取決於選擇的其他安裝選項。預設情況下，如果選中“唯讀網域控制站”複選框，嚮導就會自動選中“全域編錄”複選框。

驗證檢查選項

在“其他網域控制站選項”頁上選擇選項，然後點擊“下一步”之後，嚮導會執行以下驗證檢查，之後才會繼續進行操作。

靜態 IP 位址驗證——如果選中“DNS 伺服器”複選框，AD安裝嚮導會驗證伺服器的所有實體網路介面卡是否都具有一個靜態地址，包括靜態IPv4和IPv6地址。儘管不使用靜態IP地址便可以完成AD安裝，但不建議這樣做，因為如果DC的 IP地址發生變化，用戶端可能無法連絡DC。

基礎結構主機檢查——如果選擇在域中安裝其他網域控制站的選項，AD安裝嚮導預設會選中“全域編錄”複選框。如果正在安裝可寫網域控制站（“唯讀網域控制站”複選框處於清除狀態），而且清除了“全域編錄”複選框，嚮導會檢查域中的通用類別目錄伺服器上當前是否承載了基礎結構主機角色。如果檢查結果為是，嚮導會提示將該角色轉移到正在安裝的DC上。可以點擊“是”將基礎結構主機角色轉移到此DC上，或點擊“否”稍後更改配置。

Adprep /rodcprep檢查——如果安裝 RODC，嚮導會驗證adprep /rodcprep命令是否成功完成，以及該命令導致的更改是否複製到整個林中。如果adprep /rodcprep命令沒有成功完成，或是更改尚未複製到整個林中，會收到一條錯誤訊息，指出在繼續進行安裝之前必須運行該命令。如果收到此訊息，可以在林中的任何電腦上再次運行adprep /rodcprep，或是等待更改複製到整個林中。

7、點擊“下一步”，系統會彈出DNS服務委派警告對話方塊（如圖18）。在此，點擊“是”繼續完成嚮導。這個對話方塊的出現是由於配置其它伺服器時，選擇了“DNS伺服器”選項，而當前電腦又未找到指定域的權威父域Windows DNS伺服器，從而無法確定是否對指定域進行了委派導致的。

圖18

8、確定AD資料庫、記錄檔和SYSVOL放置的位置（如圖19）。對於資料庫來講主要儲存有關使用者、電腦和網路中其它對象的資訊；記錄檔記錄與AD有關的活動；SYSVOL儲存群組策略對象和指令碼，其預設是位於%windir%目錄中的作業系統檔案的一部分。

圖19

在決定AD檔案的儲存位置時，可以從以下兩個因素來考慮——

備份和恢複

對於只有一個硬碟的伺服器來將，只需接受AD安裝嚮導的預設安裝設定即可。但是，必須至少在該硬碟上建立兩個卷。其中一個卷用於儲存重要磁碟區資料，另一個卷用於儲存備份。 在使用Windows Server Backup或Wbadmin.exe命令列工具備份DC時，至少必須備份系統狀態資料，以便使用備份恢複伺服器。用於儲存備份的卷不能與承載系統狀態資料的卷相同。構成系統狀態資料的系統組件由安裝在電腦上的伺服器角色來決定。系統狀態資料至少包括下列資料（根據所安裝的伺服器角色，還可能包括其他資料）：

註冊表 COM+ 類註冊資料庫 引導檔案 Active Directory 認證服務 (AD CS) 資料庫 承載 Active Directory 資料庫 (Ntds.dit) 的卷 承載 Active Directory 資料庫記錄檔的卷 SYSVOL 目錄 叢集服務資訊 Microsoft Internet Information Services (IIS) 元目錄 Windows 資源保護下的系統檔案

效能

對於更加複雜的安裝，可能需要配置硬碟儲存以最佳化 AD的效能。由於資料庫和記錄檔以不同方式利用磁碟儲存空間，因此可以通過將每種內容分配到不同的硬碟主軸來提高 AD的效能。

例如，一台伺服器具有四個可用的硬碟，它們的磁碟機卷標分別為：

磁碟機 C，包含作業系統檔案 磁碟機 D，未使用 磁碟機 E，未使用 磁碟機 F，用於備份

在此伺服器上，可以通過將資料庫和記錄檔分別安裝到專用的磁碟機（如D和E）中而最大限度提高AD的效能。這有助於提高資料庫的搜尋效能，因為有一個磁碟機主軸可以專用於搜尋活動。在同時進行大量更改的情況下，這種配置也會降低承載記錄檔的磁碟出現瓶頸問題的幾率。可以將 SYSVOL 與作業系統檔案一起儲存在磁碟機 C 中。

9、點擊“下一步”，嚮導要求輸入“目錄還原模式的Administrator密碼”（如圖20）。在 AD未運行時，目錄服務還原模式（DSRM）密碼是登入網域控制器所必需的。

圖20

特別注意

DSRM密碼與網域系統管理員帳戶的密碼不同。

當建立林中第一台DC時，AD安裝嚮導會將本機伺服器上生效的密碼原則強製作用於此。對於所有的其他DC的安裝，AD安裝嚮導將現有DC上生效的密碼原則強製作用於此。這意味著，指定的DSRM密碼必須符合包含現有DC所在域的最小密碼長度、記錄和複雜性要求。預設情況下，必須包含大寫和小寫字母組合、數字和符號的強密碼。

10、點擊“下一步”，顯示安裝摘要（如圖21），並且可以單擊“匯出設定”將在此嚮導中指定的設定儲存到一個應答檔案。然後，可以使用應答檔案自動執行AD的後續安裝。

圖21

應答檔案是包含 [DCInstall] 標題的純文字檔案，應答檔案提供了對AD安裝嚮導所需配置的設定值。使用該應答檔案時，管理員無需與該嚮導進行互動。嚮導會向該應答檔案中添加文本，說明如何使用該檔案，例如，說明如何使用dcpromo命令來調用該檔案以及必須更新哪些設定才能使用該檔案。

若要使用應答檔案來安裝AD，在命令提示字元下輸入：

dcpromo /answer[:filename]

其中 filename 為應答檔案的名稱。

11、點擊“下一步”，安裝嚮導執行安裝操作（如圖22）。如果沒有勾選“完成後重新啟動”複選框，

圖22

則執行完畢後，AD安裝嚮導將出現完成安裝頁（如圖23）。點擊“完成”，

圖23

系統會提示需要重新啟動電腦配置才會生效（如圖24）。點擊“立即重新啟動”完成DC安裝操作。

圖24

四、完成後簡單驗證安裝情況

重啟伺服器後，可以通過以下幾點的驗證來確定DC的基本安裝成功。

1、AD資料檔案是否產生（如圖25）。

圖25

2、DNS服務是否工作正常，與域相關的資源記錄，特別是SRV記錄是否正確寫入（如圖26）。

圖26

3、SYSVOL檔案夾是否存在，能正常訪問。

4、日誌中是否有錯誤事件等。

若均無問題，則表明當前部署的企業中第一台DC工作基本正常。

本文出自 “胖哥技術堂” 部落格