單元一：Windows Server 2008域與活動(dòng)目錄任務(wù)一：安裝Windows Server 2008域控制器任務(wù)描述：企業(yè)網(wǎng)絡(luò)采用域的組織結(jié)構(gòu)，可以使得局域網(wǎng)的管理工作變得更集中、更容易、更方

單元一：Windows Server 2008域與活動(dòng)目錄

任務(wù)一：安裝Windows Server 2008域控制器

任務(wù)描述：

企業(yè)網(wǎng)絡(luò)采用域的組織結(jié)構(gòu)，可以使得局域網(wǎng)的管理工作變得更集中、更容易、更方便。雖然活動(dòng)目錄具有強(qiáng)大的功能，但是安裝Windows Server 2008操作系統(tǒng)時(shí)并未自動(dòng)生成活動(dòng)目錄。因此，管理員必須通過(guò)安裝活動(dòng)目錄來(lái)建立域控制器，并通過(guò)活動(dòng)目錄的管理來(lái)實(shí)現(xiàn)針對(duì)各種對(duì)象的動(dòng)態(tài)管理與服務(wù)。同時(shí)客戶機(jī)登錄域的操作也是組建域網(wǎng)絡(luò)必不可少的部分，也是網(wǎng)絡(luò)管理員應(yīng)該熟練掌握的基本技能之一。

任務(wù)目標(biāo)：

作為網(wǎng)絡(luò)管理員，只有明確安裝域控制器的條件和準(zhǔn)備工作，掌握域網(wǎng)絡(luò)的組建流程和操作技術(shù)，才能在服務(wù)器上安裝好Windows Server 2008操作系統(tǒng)。為此，可以啟用活動(dòng)目錄安裝向?qū)В晒Π惭b活動(dòng)目錄后，將使得一個(gè)獨(dú)立服務(wù)器升級(jí)為域控制器。同時(shí)通過(guò)任務(wù)，還應(yīng)能夠區(qū)分登錄窗口，例如是登錄域不是登錄本機(jī)的登錄框。

任務(wù)實(shí)施：

一、建立第一臺(tái)域控制器：

活動(dòng)目錄是Windows Server 2008非常關(guān)鍵的服務(wù)，它不是孤立的，與許多協(xié)議和服務(wù)有著非常緊密的關(guān)系，并涉及整個(gè)操作系統(tǒng)的結(jié)構(gòu)和安全。因此，活動(dòng)目錄的安裝并非一般Windows 組件那樣簡(jiǎn)單，必須在安裝前完成一系列的準(zhǔn)備，注意事項(xiàng)如下：

（1）文件系統(tǒng)和網(wǎng)絡(luò)協(xié)議：Windows Server 2008所在的分區(qū)必須是NTFS 文件系統(tǒng)，同樣活動(dòng)目錄必須安裝在NTFS 分區(qū)，同時(shí)計(jì)算機(jī)上要正確安裝了網(wǎng)卡驅(qū)動(dòng)程序，并啟用了TCP/IP協(xié)議。

（2）域結(jié)構(gòu)規(guī)劃：活動(dòng)目錄可包含多個(gè)域，只有合理地規(guī)劃目錄結(jié)構(gòu)，才能充分發(fā)揮活動(dòng)目錄的優(yōu)越性。在組建一個(gè)全新的Windows Server 2008網(wǎng)絡(luò)時(shí)，所安裝的第一臺(tái)域控制器將生成第一個(gè)域，這個(gè)域也被稱為根域，選擇根域最為關(guān)鍵。根域名字的選擇可以有以下幾種方案：

使用一個(gè)已經(jīng)注冊(cè)的DNS 域名作為活動(dòng)目的根域名，使得企業(yè)的公共網(wǎng)絡(luò)

和私有網(wǎng)絡(luò)使用同樣的DNS 名字。

使用一個(gè)已經(jīng)注冊(cè)的DNS 域名的子域名作為活動(dòng)目錄的根域名。

活動(dòng)目錄使用與已經(jīng)注冊(cè)的DNS 域名完全不同的域名，使企業(yè)網(wǎng)絡(luò)在內(nèi)部和互聯(lián)網(wǎng)上呈現(xiàn)出兩種完全不同的命名結(jié)構(gòu)。

（3）域名策劃：目錄域名通常是該域的完整DNS 名稱，如“abc.net ”。同時(shí)，為了確保向下兼容，每個(gè)域還應(yīng)當(dāng)有一個(gè)與Windows 2000 Server 以前版本相兼容的名稱，如“abc ”。

以圖1-1中的拓?fù)錇闃颖?，在該網(wǎng)絡(luò)的域林中有兩個(gè)域樹：nos.com 和nos.net ，其中nos.com 域樹下有win.nos.com 子域，在nos.com 域中有兩個(gè)域控制器，a.nos.com 和b.nos.com ；win.nos.com 子域中除了有一個(gè)域控制器（b.win.nos.com ）外，還有一個(gè)成員服務(wù)器（a.win.nos.com ）。我們先創(chuàng)建nos.com 域樹，然后再創(chuàng)建nos.net 域樹，將其加入到林中。

用戶要將自己的服務(wù)器配置成域控制器，應(yīng)該首先安裝活動(dòng)目錄，以發(fā)揮活動(dòng)目錄的作用。系統(tǒng)提供的活動(dòng)目錄安裝向?qū)В梢詭椭脩襞渲米约旱姆?wù)器，如果網(wǎng)絡(luò)沒有其它域控制器，可將服務(wù)器配置為域控制器，并新建子域、新建域目錄樹。如果網(wǎng)絡(luò)中有其它域控制器，可以服務(wù)器設(shè)置為附加域控制器，

加

入舊域、舊目錄樹。

在配置各個(gè)服務(wù)器前要先更改機(jī)器的名字！

在Windows Server 2008中安裝活動(dòng)目錄可以參照下述步驟進(jìn)行操作：

（1）首先確認(rèn)“本地連接”屬性TCP/IP首選DNS 是否指向了本機(jī)，然后選擇“開始”→“服務(wù)器管理器”命令打開服務(wù)器管理器，在左側(cè)選擇“角色”一項(xiàng)之后，單擊右部區(qū)域的“添加角色”鏈接，并且在如圖所示的對(duì)話框中選擇“Active Directory 域服務(wù)”復(fù)選框。

（2）單擊“下一步”按鈕繼續(xù)操作，在如圖所示的對(duì)話框中，針對(duì)域服務(wù)進(jìn)行相關(guān)的介紹。

（3）單擊“下一步”按鈕繼續(xù)操作，在如圖所示的對(duì)話框中顯示了安裝域服務(wù)的相關(guān)信息，確認(rèn)安裝可以單擊“安裝”按鈕。

（4）域服務(wù)安裝完成之后，可以在如圖所示的對(duì)話框中查看到當(dāng)前計(jì)算機(jī)已經(jīng)安裝了Active Directory域控制器，單擊“關(guān)閉”按鈕退出添加角色向?qū)?duì)話框。

（5）返回服務(wù)器管理器窗口，在如圖所示的窗口中可以查看到Active Directory 域服務(wù)已經(jīng)安裝，但是還沒有將當(dāng)前服務(wù)器作為域控制器運(yùn)行，因此需要單擊右部窗格中藍(lán)色的“運(yùn)行Active Directory 域服務(wù)安裝向?qū)В╠cpromo.exe ）”鏈接來(lái)繼續(xù)安裝域服務(wù)。也可以單擊“開始”菜單 ，在搜索欄中輸入dcpromo.exe 命令打開域服務(wù)安裝向?qū)А?/p>

（6）域服務(wù)安裝向?qū)У臍g迎界面中可以選擇“使用高級(jí)模式安裝”

復(fù)選框，

這樣可以針對(duì)域服務(wù)器更多的高級(jí)選項(xiàng)部分進(jìn)行設(shè)置，如圖所示，單擊“下一步”按鈕繼續(xù)操作。

（7）在如圖所示的“操作系統(tǒng)兼容性”窗口中，簡(jiǎn)介介紹了Windowws Server 2008域控制器和以前版本的Windows 之間有可能存在兼容性問題，可以了解下相關(guān)知識(shí)，單擊“下一步”按鈕。

（8）在如圖所示的“選擇某一部署配置”窗口中，如果以前曾在該服務(wù)器上安裝過(guò)Active Directory

，可以選擇“現(xiàn)有林”下的“向現(xiàn)有域添加域控制

器”或“在現(xiàn)有林中新建域”選項(xiàng)；如果是第一次安裝，則建議選擇“在新林中新建域”選項(xiàng)，然后再單擊“下一步”按鈕繼續(xù)操作。

（9）在如圖所示的“命令林根域”窗口中，輸入目錄林根級(jí)域的FQDN ，在此輸入“nos.com ”，單擊“下一步”按鈕繼續(xù)操作

（10）在如圖所示的“域NetBIOS ”窗口中，系統(tǒng)會(huì)自動(dòng)出現(xiàn)默認(rèn)的NetBIOS 名稱，此時(shí)可以直接單擊“下一步”按鈕。NetBIOS

名稱的意義在于，讓其它早

期Windows 版本的用戶可以識(shí)別新域。

（11）在如圖所示的“設(shè)置林功能級(jí)別”窗口中，可以選擇多個(gè)不同的林功能級(jí)別“Windows 2000”、“Windows Server 2003”、“Windows Server 2008”，考慮到網(wǎng)絡(luò)中有低版本的Windows 系統(tǒng)計(jì)算機(jī)，此時(shí)建議選擇“Windows 2000”一項(xiàng)，然后單擊“下一步”按鈕。

提示：林和域的功能級(jí)越高，兼容性越小，但是能使用更多域的功能。要注意的是，功能級(jí)的提升是單向的，例如選擇Windows Server 2008的林功能級(jí)別，就不能再降為Windows Server 2003或是Windows 2000。

（12）在如圖所示的“設(shè)置域功能級(jí)別”窗口中，可以選擇多個(gè)不同的域功能級(jí)別“Windows 2000純模式”、“Windows Server 2003”、“Windows Server 2008”，考慮到網(wǎng)絡(luò)中有低版本的Windows 系統(tǒng)計(jì)算機(jī)，此時(shí)建議選擇“Windows 2000純模式” 一項(xiàng)。

（13）單擊“按鈕，在如圖所示的“其他域控制器選項(xiàng)”窗口中，可以對(duì)域控制器的其他方面進(jìn)行設(shè)置。系統(tǒng)會(huì)檢測(cè)是否有已安裝好的DNS ，由于沒有安裝其他的DNS 服務(wù)器，系統(tǒng)會(huì)自動(dòng)選擇“DNS 服務(wù)器”復(fù)選框來(lái)一并安裝DNS 服務(wù)，使得該域控制器同時(shí)也作為一臺(tái)DNS 服務(wù)器，該域的DNS 區(qū)域及該區(qū)域的授權(quán)會(huì)被自動(dòng)創(chuàng)建。由于林中的第一臺(tái)域控制器必須是全局編錄服務(wù)器，且不能是只讀域控制器（RODC ），所以這兩項(xiàng)為不可選狀態(tài)。