第2章 部署第一臺(tái)域控制器如果企業(yè)部署全新的Windows 網(wǎng)絡(luò)，管理員可以直接部署Windows Server 2012 AD DS域服務(wù)。部署過(guò)程中注意DNS 服務(wù)器設(shè)置，管理員可以創(chuàng)建獨(dú)立的D

第2章 部署第一臺(tái)域控制器

如果企業(yè)部署全新的Windows 網(wǎng)絡(luò)，管理員可以直接部署Windows Server 2012 AD DS域服務(wù)。部署過(guò)程中注意DNS 服務(wù)器設(shè)置，管理員可以創(chuàng)建獨(dú)立的DNS 服務(wù)器，也可以創(chuàng)建Active Directory “集成區(qū)域DNS 服務(wù)”。如果部署Active Directory 集成區(qū)域DNS 服務(wù)器，設(shè)置服務(wù)器參數(shù)時(shí)，需要將“首選DNS 服務(wù)器”設(shè)置為本機(jī)的IP 地址。本章詳細(xì)介紹網(wǎng)絡(luò)中第一臺(tái)域控制器的部署方法。

2.1 案例任務(wù)

2.1.1 案例任務(wù)

內(nèi)部網(wǎng)絡(luò)中部署第一臺(tái)域控制器，同時(shí)部署Active Directory “集成區(qū)域DNS 服務(wù)”，即該域控制器兼任DNS 服務(wù)器。

2.2.2 案例環(huán)境

本案例中只有一臺(tái)服務(wù)器，部署AD DS域服務(wù)的先決條件包括以下方面。

? 服務(wù)器使用“NTFS 文件系統(tǒng)”且有足夠的磁盤(pán)空間。

? 本地管理員賬號(hào)與密碼。

? Windows Server 2012服務(wù)器操作系統(tǒng)。

? 已經(jīng)激活的網(wǎng)卡。

? IP 地址配置。

? DNS 配置。

? 域名結(jié)構(gòu)。

1．服務(wù)器使用“NTFS 文件系統(tǒng)”且有足夠的磁盤(pán)空間

Active Directory 需要至少NTFS 文件系統(tǒng)支持，主要用于存儲(chǔ)“SYSVOL ”文件夾內(nèi)容。如果磁盤(pán)不是NTFS 分區(qū)（Fat32），可以使用“convert c:/fs:ntfs”命令轉(zhuǎn)換。磁盤(pán)分區(qū)至少需要250MB 空閑磁盤(pán)空間，建議越大越好。注意，Windows Server 2012中使用最新的文件系統(tǒng)“Resilient File System（ReFS ）”。

2．本地管理員賬號(hào)和密碼

部署AD DS域服務(wù)時(shí)，針對(duì)不同域控制器需要使用不用管理員權(quán)限，包括：

第2章 部署第一臺(tái)域控制器 11

? 安裝第一個(gè)域中的第一臺(tái)域控制器需要本地管理員權(quán)限，從而創(chuàng)建新的目錄林。 ? 如果在現(xiàn)有域中安裝額外域控制器，需要具有該域的域管理員權(quán)限。

? 如果創(chuàng)建子域，則需要企業(yè)級(jí)管理員權(quán)限。

3．操作系統(tǒng)版本

要部署Active Directory服務(wù)，必須部署在服務(wù)器操作系統(tǒng)中，包括：

? Windows 2000 Server。

? Windows Server 2003/R2。

? Windows Server 2008 /2008 R2。

? Windows Server 2012。

本書(shū)中活動(dòng)目錄部署在Windows Server 2012操作系統(tǒng)中。

4．IP 地址配置

安裝活動(dòng)目錄的計(jì)算機(jī)需要專用靜態(tài)IP 地址。

? 如果計(jì)算機(jī)具有多塊網(wǎng)卡，建議在內(nèi)部網(wǎng)絡(luò)使用的網(wǎng)卡中配置專用靜態(tài)IP 地址。 ? 如果第一臺(tái)域控制器兼任DNS 服務(wù)器，“首選DNS 配置”應(yīng)該指向自己的IP 地址。 本例中，第一臺(tái)域控制器的IP 地址設(shè)置為192.168.0.1/24?！笆走xDNS 配置”的IP 地址為192.168.0.1。設(shè)置完成的參數(shù)如圖2-1所示。

圖2-1 IP 地址設(shè)置

5．激活的網(wǎng)卡

激活的網(wǎng)卡指的是連接到已經(jīng)加電網(wǎng)絡(luò)交換機(jī)的可用端口。如果網(wǎng)絡(luò)連接處于斷開(kāi)狀態(tài)，部署AD DS域服務(wù)將會(huì)出現(xiàn)錯(cuò)誤。

6．DNS 配置

Windows 網(wǎng)絡(luò)中部署AD DS域服務(wù)，建議在網(wǎng)絡(luò)中部署“集成區(qū)域DNS 服務(wù)”，即域控制器同時(shí)兼任DNS 服務(wù)器。優(yōu)點(diǎn)是DNS 信息存儲(chǔ)在活動(dòng)目錄數(shù)據(jù)庫(kù)中。網(wǎng)絡(luò)中部署多臺(tái)域控制器后，DNS 數(shù)據(jù)通過(guò)所有域控制器之間的活動(dòng)目錄數(shù)據(jù)庫(kù)復(fù)制自動(dòng)完成數(shù)據(jù)同步。

12 Windows Server 2012活動(dòng)目錄管理實(shí)踐

7．域名結(jié)構(gòu)

活動(dòng)目錄名字使用DNS 全限定域名格式（FQDN ），例如book.com 。禁止使用“NetBios ”名稱格式作為域名，例如book 。

2.2 部署網(wǎng)絡(luò)第一臺(tái)域控制器

本節(jié)創(chuàng)建名稱為“book.com ”的域。Windows Server 2012操作系統(tǒng)安裝完成后，需要重命名計(jì)算機(jī)、更改網(wǎng)絡(luò)參數(shù)，然后才可以安裝AD DS域服務(wù)。安裝AD DS域服務(wù)分兩個(gè)階段：安裝角色和提升域服務(wù)。下面詳細(xì)介紹通過(guò)GUI 模式部署AD DS域服務(wù)過(guò)程。

2.2.1 重命名計(jì)算機(jī)

第1步，以默認(rèn)管理員“Administrator ”登錄需要安裝AD DS域服務(wù)的計(jì)算機(jī)，切換到Metro 界面。右擊“計(jì)算機(jī)”，窗口底部顯示常用功能列表，如圖2-2所示。

圖2-2 更改計(jì)算機(jī)名之一

第2步，命令執(zhí)行后，打開(kāi)“系統(tǒng)”對(duì)話框。Windows Server 2012安裝完成后，默認(rèn)為計(jì)算機(jī)隨機(jī)定義了一個(gè)名稱，例如“WIN-EM3LL8L883L ”，在網(wǎng)絡(luò)應(yīng)用中，應(yīng)該為安裝Windows Server 2012的計(jì)算機(jī)定義簡(jiǎn)捷并且有實(shí)用價(jià)值的計(jì)算機(jī)名稱，提高管理效率以及可用性，如圖2-3所示。

第3步，單擊“更改設(shè)置”按鈕，打開(kāi)“系統(tǒng)屬性”對(duì)話框。顯示“計(jì)算機(jī)全名”以及所在的“工作組”，默認(rèn)計(jì)算機(jī)位于“WORKGROUP ”組中，如圖2-4所示。

第2章 部署第一臺(tái)域控制器 13

圖2-3 更改計(jì)算機(jī)名之二

圖2-4 更改計(jì)算機(jī)名之三

第4步，單擊“更改”按鈕，打開(kāi)“計(jì)算機(jī)名/域更改”對(duì)話框?！坝?jì)算機(jī)名”文本框中設(shè)置該計(jì)算機(jī)有效名稱，如圖2-5所示。

第5步，單擊“確定”按鈕，打開(kāi)“計(jì)算機(jī)名/域更改”對(duì)話框。提示需要重新啟動(dòng)計(jì)算機(jī)。單擊“確定”按鈕，重新啟動(dòng)服務(wù)器，完成計(jì)算機(jī)名稱的更改，如圖2-6所示。

2.2.2 更改網(wǎng)絡(luò)參數(shù)

Windows Server 2012安裝完成后，默認(rèn)同時(shí)啟用“IPv4”和“IPv6”兩種協(xié)議。安裝AD DS域服務(wù)時(shí)，不建議同時(shí)啟用兩種協(xié)議，根據(jù)實(shí)際情況選擇需要的協(xié)議。本例中選擇“IPv4”協(xié)議關(guān)閉“IPv6”協(xié)議。

14 Windows Server 2012活動(dòng)目錄管理實(shí)踐

圖2-5 更改計(jì)算機(jī)名之四 圖2-6 更改計(jì)算機(jī)名之五

安裝過(guò)程中如果將域控制器同時(shí)設(shè)置為“Active Directory 集成區(qū)域DNS 服務(wù)器”，需要將“首選DNS 服務(wù)器”IP 地址指向當(dāng)前服務(wù)器IP 地址。如果網(wǎng)絡(luò)中存在其他DNS 服務(wù)器，則將“首選DNS 服務(wù)器”IP 地址指向其他DNS 服務(wù)器。

第一臺(tái)域控制器安裝一塊網(wǎng)卡，并激活（連接到已經(jīng)加電的網(wǎng)絡(luò)交換機(jī)），網(wǎng)絡(luò)參數(shù)設(shè)置如下。

? IP 地址：192.168.0.1。

? 子網(wǎng)掩碼：255.255.255.0。

? 默認(rèn)網(wǎng)關(guān)：空。

? 首選DNS 服務(wù)器：192.168.0.1。

第1步，以本地管理員身份登錄計(jì)算機(jī)。Metro 界面中單擊“控制面板”選項(xiàng)，命令運(yùn)行后打開(kāi)“所有控制面板項(xiàng)”窗口，如圖2-7所示。

圖2-7 設(shè)置IP 地址之一

第2章 部署第一臺(tái)域控制器 15

第2步，選擇“網(wǎng)絡(luò)和共享中心”選項(xiàng)，打開(kāi)“網(wǎng)絡(luò)和共享中心”窗口，如圖2-8所示。

圖2-8 設(shè)置IP 地址之二

第3步，單擊“以太網(wǎng)”按鈕，打開(kāi)“以太網(wǎng)狀態(tài)”對(duì)話框。顯示當(dāng)前計(jì)算機(jī)網(wǎng)卡的連接狀態(tài)以及網(wǎng)卡速度，如圖2-9所示。

第4步，單擊“屬性”按鈕，打開(kāi)“以太網(wǎng)屬性”對(duì)話框。默認(rèn)計(jì)算機(jī)同時(shí)啟用“TCP/IPv6”和“TCP/IPv4”協(xié)議。本例中使用“TCP/IPv4”協(xié)議，取消“Internet 協(xié)議版本6（TCP/IPv6）”左側(cè)的復(fù)選框。設(shè)置完成的參數(shù)如圖2-10所示。

圖2-9 設(shè)置IP 地址之三 圖2-10 設(shè)置IP 地址之四

第5步，選擇“Internet 協(xié)議版本4（TCP/IPv4）”選項(xiàng)，單擊“屬性”按鈕，打開(kāi)“Internet 協(xié)議版本4（TCP/IPv4）屬性”對(duì)話框，設(shè)置域控制器的IP 地址、網(wǎng)關(guān)以及DNS 地址參數(shù)。設(shè)置完成的參數(shù)如圖2-11所示。

16 Windows Server 2012活動(dòng)目錄管理實(shí)踐

第6步，單擊“確定”按鈕，關(guān)閉“Internet 協(xié)議版本4（TCP/IPv4）屬性”對(duì)話框，返回到“以內(nèi)網(wǎng)屬性”對(duì)話框，如圖2-12所示。

圖2-11 設(shè)置IP 地址之五 圖2-12 設(shè)置IP 地址之六

第7步，單擊“關(guān)閉”按鈕，關(guān)閉“以內(nèi)網(wǎng)屬性”對(duì)話框，返回到“以太網(wǎng)狀態(tài)”對(duì)話框，如圖2-13所示。單擊“關(guān)閉”按鈕，完成計(jì)算機(jī)IP 地址設(shè)置。

圖2-13 設(shè)置IP 地址之七

2.2.3 部署網(wǎng)絡(luò)中第一臺(tái)域控制器

自Windows Server 2003之后，網(wǎng)絡(luò)中所有域控制器都是平行關(guān)系，但是第一臺(tái)域控制器和其他域控制器之間存在區(qū)別，因此第一臺(tái)域控制器部署十分重要。第一臺(tái)域控制器默認(rèn)作為林的根域服務(wù)器，同時(shí)安裝五種操作主機(jī)角色。

第2章 部署第一臺(tái)域控制器 17

Windows Server 2012操作系統(tǒng)是運(yùn)行“AD DS域服務(wù)”的系統(tǒng)平臺(tái)，“AD DS域服務(wù)”運(yùn)行在操作系統(tǒng)之上?！癆D DS域服務(wù)”與普通的服務(wù)一樣可以單獨(dú)啟動(dòng)或者關(guān)閉。Windows Server 2012 AD DS域服務(wù)默認(rèn)通過(guò)向?qū)Х绞讲渴?，已?jīng)取消“dcpromo.exe ”命令方式部署。管理員也可以通過(guò)PowerShell 命令行方式部署。

第1步，以本地管理員身份登錄Windows Server 2012。默認(rèn)打開(kāi)“服務(wù)器管理器”窗口。如果“服務(wù)器管理器”沒(méi)有正常運(yùn)行，單擊窗口左下角的“”圖標(biāo)啟動(dòng)“服務(wù)器管理器”，選擇“儀表板”→“快速啟動(dòng)”選項(xiàng)，如圖2-14所示。

圖2-14 安裝AD DS域服務(wù)之一

第2步，單擊“添加角色和功能”超鏈接，啟動(dòng)“添加角色和功能向?qū)А?，顯示如圖2-15所示的“開(kāi)始之前”對(duì)話框。

圖2-15 安裝AD DS域服務(wù)之二

18 Windows Server 2012活動(dòng)目錄管理實(shí)踐

第3步，單擊“下一步”按鈕，打開(kāi)“選擇安裝類型”對(duì)話框。AD DS域服務(wù)以“服務(wù)”方式部署，因此選擇“基于角色或基于功能的安裝”選項(xiàng)。注意對(duì)話框右上角顯示當(dāng)前計(jì)算機(jī)名稱為“DC ”，如圖2-16所示。

圖2-16 安裝AD DS域服務(wù)之三

第4步，單擊“下一步”按鈕，打開(kāi)“選擇目標(biāo)服務(wù)器”對(duì)話框。選擇“從服務(wù)器池中選擇服務(wù)器”選項(xiàng)，如果“服務(wù)器管理器”可以管理多臺(tái)運(yùn)行Windows Server 2012的服務(wù)器，可用服務(wù)器全部顯示在服務(wù)器池中。本例中池中只有一臺(tái)服務(wù)器，選擇該服務(wù)器即可，如圖2-17所示。

圖2-17 安裝AD DS域服務(wù)之四

第2章 部署第一臺(tái)域控制器 19

第5步，單擊“下一步”按鈕，打開(kāi)“選擇服務(wù)器角色”對(duì)話框?！敖巧绷斜碇酗@示所有可用的服務(wù)器角色，如圖2-18所示。

圖2-18 安裝AD DS域服務(wù)之五

選擇“Active Directory域服務(wù)”選項(xiàng)，打開(kāi)“添加Active Directory域服務(wù)所需的功能”對(duì)話框。當(dāng)前服務(wù)器將安裝“角色管理工具”和“組策略管理”。選擇“包括管理工具（如果適用）”選項(xiàng)。單擊“添加功能”按鈕，返回到“選擇服務(wù)器角色”對(duì)話框，如圖2-19所示。

圖2-19 安裝AD DS域服務(wù)之六

第6步，單擊“下一步”按鈕，打開(kāi)“選擇功能”對(duì)話框。從“功能”列表中選擇需要安裝的功能，根據(jù)需要選擇即可，如圖2-20所示。

第7步，單擊“下一步”按鈕，打開(kāi)“Active Directory域服務(wù)”對(duì)話框。提示部署AD DS 域服務(wù)注意事項(xiàng)，如圖2-21所示。