部署第一個域在上篇博文中我們介紹了部署域的意義，今天我們來部署第一個域。一般情況下，域中有三種計算機(jī)，一種是域控制器，域控制器上存儲著ActiveDirectory ；一種是成員服務(wù)器，負(fù)責(zé)提供郵件，

部署第一個域

在上篇博文中我們介紹了部署域的意義，今天我們來部署第一個域。一般情況下，域中有三種計算機(jī)，一種是域控制器，域控制器上存儲著Active

Directory ；一種是成員服務(wù)器，負(fù)責(zé)提供郵件，數(shù)據(jù)庫，DHCP 等服務(wù)；還有一種是工作站，是用戶使用的客戶機(jī)。我們準(zhǔn)備搭建一個基本的域環(huán)境，拓?fù)淙缦聢D所示，F(xiàn)lorence 是域控制器，Berlin 是成員服務(wù)器，Perth 是工作站。

部署一個域大致要做下列工作：

1 DNS前期準(zhǔn)備

2 創(chuàng)建域控制器

3 創(chuàng)建計算機(jī)賬號

4 創(chuàng)建用戶賬號

一 DNS前期準(zhǔn)備

DNS 服務(wù)器對域來說是不可或缺的，一方面，域中的計算機(jī)使用DNS 域名，DNS 需要為域中的計算機(jī)提供域名解析服務(wù)；另外一個重要的原因是域中的計算

機(jī)需要利用DNS 提供的SRV 記錄來定位域控制器，因此我們在創(chuàng)建域之前需要先做好DNS 的準(zhǔn)備工作。那么究竟由哪臺計算機(jī)來負(fù)責(zé)做DNS 服務(wù)器呢？一般工程師有兩種選擇，要么使用域控制器來做DNS 服務(wù)器，要么使用一臺單獨(dú)的DNS 服務(wù)器。我一般使用一臺獨(dú)立的計算機(jī)來充當(dāng)DNS 服務(wù)器，這臺DNS 服務(wù)器不但為域提供解析服務(wù)，也為公司其他的業(yè)務(wù)提供DNS 解析支持，大家可以根據(jù)具體的網(wǎng)絡(luò)環(huán)境來選擇DNS 服務(wù)器。

在創(chuàng)建域之前，DNS 服務(wù)器需要做好哪些準(zhǔn)備工作呢？

1 創(chuàng)建區(qū)域并允許動態(tài)更新

首先我們要在DNS 服務(wù)器上創(chuàng)建出一個區(qū)域，區(qū)域的名稱和域名相同，域內(nèi)計算機(jī)的DNS 記錄都創(chuàng)建在這個區(qū)域中。我們在DNS 服務(wù)器上打開DNS 管理器，如下圖所示，右鍵單擊正向查找區(qū)域，選擇新建一個區(qū)域。出現(xiàn)新建區(qū)域向?qū)Ш?，點(diǎn)擊下一步繼續(xù)。

區(qū)域類型選擇“主要區(qū)域”。

區(qū)域名稱和域名相同，是adtest.com 。

區(qū)域一定要允許動態(tài)更新，因為在創(chuàng)建域的過程中需要向DNS 區(qū)域中寫入A 記錄，SRV 記錄和Cname 記錄。

區(qū)域創(chuàng)建完畢，點(diǎn)擊完成結(jié)束創(chuàng)建。

2 檢查NS 和SOA 記錄

區(qū)域創(chuàng)建完成后，一定要檢查一下區(qū)域的NS 記錄和SOA 記錄。在前面的DNS 課程中，我們已經(jīng)介紹了NS 記錄和SOA 記錄的意義，NS 記錄描述了有多少個DNS 服務(wù)器可以解析這個區(qū)域，SOA 記錄描述了哪個DNS 服務(wù)器是區(qū)域的主服務(wù)器。如果NS 記錄和SOA 記錄出錯，域的創(chuàng)建過程中就無法向DNS 區(qū)域中寫入應(yīng)有的記錄。在DNS 服務(wù)器上打開DNS 管理器，在adtest.com 區(qū)域中檢查ns 記錄，如

下圖所示，我們發(fā)現(xiàn)ns 記錄不是一個有效的完全合格域名，我們需要對它進(jìn)行修改。

如下圖所示，我們把ns 記錄改為 ns.adtest.com.，解析出的IP 地址和DNS 服務(wù)器的IP 是吻合的，這樣我們就完成了ns 記錄的修改。

如下圖所示，我們把區(qū)域的SOA 記錄也同樣進(jìn)行修改，現(xiàn)在區(qū)域的主服務(wù)器是ns.adtest.com. ，這樣SOA 記錄也修改完畢了。

至此，DNS 準(zhǔn)備工作完成，我們接下來可以部署域了。

二 創(chuàng)建域控制器

有了DNS 的支持，我們現(xiàn)在可以開始創(chuàng)建域控制器了，域控制器是域中的第一臺服務(wù)器，域控制器上存儲著Active Directory，可以說，域控制器就是域的靈魂。我們準(zhǔn)備在Florence 上創(chuàng)建域控制器，首先檢查Florence 網(wǎng)卡的TCP/IP屬性，注意，F(xiàn)lorence 應(yīng)該使用192.168.11.1作為自己的DNS 服務(wù)器。因為我們剛剛在192.168.11.1上創(chuàng)建了adtest.com 區(qū)域。

如下圖所示，在Florence 上運(yùn)行Dcpromo ，開始域控制器的創(chuàng)建。

如下圖所示，出現(xiàn)Active Directory安裝向?qū)?，?chuàng)建域控制器其實就是在Florence 上安裝一個Active Directory數(shù)據(jù)庫，點(diǎn)擊下一步繼續(xù)。

Adtest.com 是一個新創(chuàng)建的域，因為我們選擇創(chuàng)建“新域的域控制器”。

如下圖所示，我們選擇創(chuàng)建一個“在新林中的域”，這個選項是什么意思呢？我們雖然只是簡單地創(chuàng)建了一個域，但其實從邏輯上講是創(chuàng)建了一個域林。因為域一定要隸屬于域樹，域樹一定要隸屬于域林。因為我們實際上是創(chuàng)建了一個域林，雖然這個域林內(nèi)只有一棵域樹，域樹內(nèi)只有一個樹根。

輸入域的DNS 名稱，adtest.com 。

域的NETBIOS 名稱是ADTEST ，由于. 在NETBIOS 名稱中是非法字符，因為基本上域的NETBIOS 名稱就是域名中. 之前的部分。

Active Directory數(shù)據(jù)庫的路徑我們使用了默認(rèn)值，如果在生產(chǎn)環(huán)境，可以考慮把數(shù)據(jù)庫和日志部分分開存儲。

Sysvol 文件夾的路徑我們也使用默認(rèn)值，至于Sysvol 文件夾是干嘛的，我們后續(xù)會有介紹。