WIN2008_R2_域控服務(wù)器安裝過程.doc

WINDOWS SERVER 2008 R2 域控制器安裝過程 有人將是從第一臺(tái)DC開始的。的確，AD的起點(diǎn)是從安裝第一臺(tái)DC開始的。但是，可能很少有人會(huì)意識(shí)到在安裝第一臺(tái)DC時(shí)，實(shí)際上是在部署AD的第一個(gè)域根域，第一棵域樹，乃至實(shí)現(xiàn)一個(gè)單域的域林。只不過這個(gè)林中只有一棵域樹，這棵域樹中只有一個(gè)域，而且域中就只有這一臺(tái)計(jì)算機(jī)第一個(gè)DC。由此可見，在企業(yè)中即使是在部署安裝第一臺(tái)DC之前，所考慮的并不僅僅是怎樣去安裝一臺(tái)域控制器那么簡(jiǎn)單，而是要考慮好整個(gè)域林、域樹的規(guī)劃，以及相關(guān)服務(wù)，如：DNS服務(wù)等的規(guī)劃的部署。并且要考慮清楚，每一個(gè)服務(wù)實(shí)現(xiàn)的位置，每一個(gè)步驟實(shí)現(xiàn)的做法。只有這樣走下來，所部屬的AD才能更大的滿足現(xiàn)在和以后的需要。在此，由安裝域林中第一臺(tái)DC的過程，可以了解到在部署前需要考慮的一系列基本問題。一、DC網(wǎng)絡(luò)屬性的基本配置對(duì)于將要安裝成為DC的服務(wù)器來講，其系統(tǒng)配置以及基本的磁盤規(guī)劃在此就不在累述了，但是關(guān)鍵的網(wǎng)絡(luò)連接屬性是必須要注意的?？梢酝ㄟ^打開本地連接的屬性來進(jìn)行配置其IP屬性。作為服務(wù)器DC的IP地址一定要是靜態(tài)的IP地址，雖然不一定需要配置默認(rèn)網(wǎng)關(guān)，但是DNS服務(wù)器指向一定要配置正確，因?yàn)锳D的工作是緊密依賴于DNS服務(wù)的。本實(shí)例中整個(gè)微軟網(wǎng)絡(luò)環(huán)境都是白手起家的，考慮讓這第一臺(tái)DC同時(shí)充當(dāng)企業(yè)網(wǎng)絡(luò)中的DNS服務(wù)器，故需要將其首選DNS服務(wù)器地址配置為本臺(tái)計(jì)算機(jī)的IP地址（如圖1）。圖1由于WIN08R2默認(rèn)防火墻配置是根據(jù)連接網(wǎng)絡(luò)類型來實(shí)施過濾的，所以，最好通過“網(wǎng)絡(luò)和共享中心”將其網(wǎng)絡(luò)類型有默認(rèn)識(shí)別為的“公用網(wǎng)絡(luò)”更改為“專用網(wǎng)絡(luò)”（如圖2）。圖2當(dāng)然，除此之外，當(dāng)前計(jì)算機(jī)的NetBIOS名，也就是計(jì)算機(jī)需要設(shè)置好，因?yàn)榘惭b完DC后，再去進(jìn)行修改操作是不明智的。二、準(zhǔn)備安裝AD服務(wù)WIN08R2對(duì)于AD服務(wù)的安裝與早期版本略有不同，可以通過“服務(wù)器管理”的角色添加來完成初始化的準(zhǔn)備工作（如圖3），打開“服務(wù)器管理”工具，展開“角色”節(jié)點(diǎn)，在右邊窗口中點(diǎn)擊“添加角色”。圖3打開“添加角色向?qū)А保ㄈ鐖D4），在該頁中會(huì)得到系統(tǒng)的三點(diǎn)提示，其中最重要的是第二點(diǎn)。對(duì)于第一、三點(diǎn)來講，可以不按提示配置，也不影響安裝，點(diǎn)擊“下一步”。圖4在“服務(wù)器角色”列表中勾選“Active Directory域服務(wù)”（如圖5），此時(shí)，系統(tǒng)會(huì)自動(dòng)彈出對(duì)話框，圖5要求安裝“.NET Framework 3.5.1功能”（如圖6），由于AD在WIN08R2上必須該功能的支持，圖6所以在此必須點(diǎn)擊“添加必需的功能”按鈕，返回“選擇服務(wù)器角色”對(duì)話框后點(diǎn)擊“下一步”（如圖7）。圖7在“Active Directory域服務(wù)”對(duì)話框中，向?qū)?huì)給出四點(diǎn)注意事項(xiàng)（如圖8），根據(jù)這些注意事項(xiàng)可以了解到安裝AD前后操作應(yīng)該執(zhí)行的任務(wù)和AD需要的服務(wù)。圖8點(diǎn)擊“下一步”進(jìn)行安裝（如圖9）。圖9當(dāng)出現(xiàn)“安裝結(jié)果”對(duì)話框時(shí)，如果沒有錯(cuò)誤，證明AD的安裝準(zhǔn)備已經(jīng)完成，但是由于該臺(tái)計(jì)算機(jī)還不能完全正常運(yùn)行DC，所以提示需要啟用AD安裝向?qū)В╠cpromo.exe）來完成安裝（如圖10）?？梢灾苯狱c(diǎn)擊“關(guān)閉該向?qū)Р?dòng)Active Directory域服務(wù)安裝向?qū)В╠cpromo.exe）”進(jìn)入安裝向?qū)?，也可以直接點(diǎn)擊“關(guān)閉”按鈕之后，手動(dòng)打開AD安裝向?qū)АD10三、完成AD服務(wù)器的安裝1、需要運(yùn)行AD域服務(wù)器安裝向?qū)Р拍芡瓿稍摲?wù)器的部署，所以在“運(yùn)行”對(duì)話框中輸入“dcpromo”點(diǎn)擊“確定”啟動(dòng)向?qū)Вㄈ鐖D11）。圖112、經(jīng)過系統(tǒng)自動(dòng)檢測(cè)后，將出現(xiàn)AD安裝向?qū)У臍g迎界面（如圖12）。在該對(duì)話框中可以選擇使用標(biāo)準(zhǔn)或高級(jí)模式來進(jìn)行安裝。對(duì)于高級(jí)模式是提供給有經(jīng)驗(yàn)的用戶對(duì)安裝過程有更多的控制，圖12但是在此建議使用高級(jí)模式來進(jìn)行操作。高級(jí)模式較之標(biāo)準(zhǔn)模式的功能增強(qiáng)可以參考表1所示。此外，還可直接在命令提示符下運(yùn)行帶有/adv開關(guān)的dcpromo命令（dcpromo /adv）來啟動(dòng)高級(jí)向?qū)?。?3、點(diǎn)擊“下一步”，對(duì)部屬配置進(jìn)行選擇（如圖13），由于目的是部屬企業(yè)中的第一個(gè)DC，所以在此應(yīng)選擇“在新林中新建域”。因?yàn)椋瑒?chuàng)建新林需要管理員權(quán)限，所以必須是正在其上安裝AD的服務(wù)器本地管理員組的成員。圖134、點(diǎn)擊“下一步”，對(duì)域林的根域進(jìn)行命名（如圖14）。需要在之前對(duì)DNS基礎(chǔ)結(jié)構(gòu)有一個(gè)完整的計(jì)劃。必須了解該林的完整DNS名稱。可以在安裝AD之前先安裝DNS服務(wù)器服務(wù)，或者如本實(shí)例一樣選擇讓AD安裝向?qū)О惭bDNS服務(wù)器服務(wù)。圖14讓AD向?qū)戆惭bDNS服務(wù)器服務(wù)，將使用此處的DNS名稱為林中的第一個(gè)域自動(dòng)生成NetBIOS名稱。點(diǎn)擊“下一步”，向?qū)?huì)驗(yàn)證DNS名稱和NetBIOS名稱在網(wǎng)絡(luò)中的唯一性。由于使用的是高級(jí)模式，所以NetBIOS無論是否發(fā)生沖突，都會(huì)出現(xiàn)“域NetBIOS名稱”步驟（如圖15）。當(dāng)然，在標(biāo)準(zhǔn)模式下，只有檢查到自動(dòng)生成的NetBIOS名稱與現(xiàn)有網(wǎng)絡(luò)中名稱沖突時(shí)，才會(huì)出現(xiàn)該步驟。圖155、點(diǎn)擊“下一步”，“設(shè)置林功能級(jí)別”（如圖16），功能級(jí)別確定了在域或林中啟用AD的功能，還將限制可以在域或域林中DC上運(yùn)行的Windows服務(wù)器版本。但是，功能級(jí)別不會(huì)影響在連接到域或域林的工作站和成員服務(wù)器上運(yùn)行的操作系統(tǒng)。圖16創(chuàng)建新域或新林時(shí)，建議將域和林功能級(jí)別設(shè)置為當(dāng)前環(huán)境可以支持的最高值，這樣可以盡可能的充分發(fā)揮AD的功能。如果肯定不會(huì)將運(yùn)行Windows Server 2008（以后簡(jiǎn)稱WIN08）或任何更早版本的操作系統(tǒng)的域控制器添加到域或林，可以選擇WIN08R2功能級(jí)別。另外，如果可能會(huì)保留或添加運(yùn)行WIN08或早版本的域控制器，則在安裝期間應(yīng)選擇 Windows Server 2008 功能級(jí)別。若確定不會(huì)添加這類域控制器或這類域控制器不再使用，則安裝后可以提升功能級(jí)別。需要注意的是不能將域功能級(jí)別設(shè)置為低于林功能級(jí)別的值。例如將林功能級(jí)別設(shè)置為WIN08，則只能將域功能級(jí)別設(shè)置為WIN08或WIN08R2。Windows 2000（以后簡(jiǎn)稱WIN2K）和Windows Server 2003（以后簡(jiǎn)稱WIN03）域功能級(jí)別值在“設(shè)置域功能級(jí)別”向?qū)ы撝袑⒉豢蛇x擇。因此，若選擇林功能級(jí)別為WIN08R2，那么，向?qū)⒉粫?huì)出現(xiàn)“設(shè)置域功能級(jí)別”步驟，默認(rèn)情況下向林添加的所有域都將為WIN08R2域功能級(jí)別。特別需要注意：將域功能級(jí)別設(shè)置為某個(gè)特定值后，將無法回滾或降低域功能級(jí)別，但以下情況例外：將域功能級(jí)別提升至WIN08R2，并且林功能級(jí)別為WIN08或更低時(shí)，可以將域功能級(jí)別回滾到WIN08，且只能將其從WIN08R2降到WIN08，而不能將其回直接滾到WIN03。將林功能級(jí)別設(shè)置為某個(gè)值之后，就不能回滾或降低林功能級(jí)別，但有一種情況例外：當(dāng)您將林功能級(jí)別提升到WIN08R2且沒有啟用AD回收站時(shí)，則可以選擇將林功能級(jí)別回滾到WIN08。且只能將其從WIN08R2降到WIN08，而不能將其回直接滾到WIN03。以下表2列出了每種域功能級(jí)別啟用的功能和支持的域控制器操作系統(tǒng)表2以下表3列出了每種林功能級(jí)別啟用的功能和支持的域控制器操作系統(tǒng)表36、點(diǎn)擊“下一步”，配置“其它域控制器選項(xiàng)”（如圖17）。在AD安裝期間，可以為DC選擇安裝DNS服務(wù)、或?qū)⑵湓O(shè)置成為全局編錄服務(wù)器（GC）或只讀域控制器（RODC）。圖17DNS服務(wù)器選項(xiàng)正如“DC網(wǎng)絡(luò)屬性的基本配置”一節(jié)中談到的在DC上同時(shí)安裝DNS服務(wù)，此處就需要勾選“DNS服務(wù)器”選項(xiàng)。該選項(xiàng)的默認(rèn)設(shè)置取決于此前選擇的部署配置和當(dāng)前網(wǎng)絡(luò)中的DNS環(huán)境等因素。表4中列出了不同AD部署配置的默認(rèn)DNS服務(wù)安裝配置。表4需要注意的是：如果啟動(dòng)AD安裝向?qū)е耙呀?jīng)安裝了DNS服務(wù)，但AD沒有 DNS 基礎(chǔ)結(jié)構(gòu)，則 DNS 服務(wù)將繼續(xù)為它承載的任何基于文件的區(qū)域解析名稱，但不會(huì)承載它作為域控制器所在的域的任何AD集成的DNS區(qū)域。全局編錄選項(xiàng)由于林中的第一臺(tái)DC必須是GC，因此在創(chuàng)建域林時(shí)“全局編錄”復(fù)選框處于會(huì)被自動(dòng)選中，而且變灰不能被取消。在現(xiàn)有域中安裝其他DC時(shí)，默認(rèn)也會(huì)選中該復(fù)選框。但是，可以手動(dòng)取消選擇。在創(chuàng)建新的子域或域樹時(shí)，默認(rèn)情況下不會(huì)選中“全局編錄”復(fù)選框，因?yàn)樾掠蛑械牡谝粋€(gè)域控制器承載著所有域范圍的操作主機(jī)角色（FSMO角色），包括基礎(chǔ)結(jié)構(gòu)操作主機(jī)角色。在多域林中，除非域中的所有DC都是GC，否則在GC上承載基礎(chǔ)結(jié)構(gòu)主機(jī)角色可能會(huì)出現(xiàn)問題。因此，在新子域或域樹的第一個(gè)DC上安裝全局編錄，則需要在將其他DC安裝到域中之后轉(zhuǎn)移基礎(chǔ)結(jié)構(gòu)主機(jī)角色，或是確保安裝到域中的所有其他DC也都是GC。而且，在安裝其他可寫域控制器時(shí)，AD安裝向?qū)?huì)驗(yàn)證基礎(chǔ)結(jié)構(gòu)主機(jī)是否承載于合適的DC上，并且會(huì)驗(yàn)證它是否可以修復(fù)使用所選安裝選項(xiàng)引發(fā)的問題。RODC選項(xiàng)以下條件下不允許安裝 RODC： 新林中安裝第一個(gè)域控制器 新域中安裝第一個(gè)域控制器 林功能級(jí)別不是WIN03、WIN08或WIN08R2 要安裝RODC的域中沒有WIN08 或WIN08R2的可寫域控制器選項(xiàng)間的關(guān)系如果選中“只讀域控制器（RODC）”復(fù)選框，除非無法選中“DNS 服務(wù)器”復(fù)選框，否則向?qū)?huì)自動(dòng)選中此選項(xiàng)。如果在向?qū)нx中“DNS 服務(wù)器”復(fù)選框之后將其清除，則向?qū)?huì)發(fā)出警告：“如果不同時(shí)安裝 DNS 服務(wù)器，分支機(jī)構(gòu)中的客戶端可能無法找到RODC”。默認(rèn)情況下，“全局編錄”復(fù)選框可能也處于選中狀態(tài)，具體取決于選擇的其他安裝選項(xiàng)。默認(rèn)情況下，如果選中“只讀域控制器”復(fù)選框，向?qū)Ь蜁?huì)自動(dòng)選中“全局編錄”復(fù)選框。驗(yàn)證檢查選項(xiàng)在“其他域控制器選項(xiàng)”頁上選擇選項(xiàng)，然后點(diǎn)擊“下一步”之后，向?qū)?huì)執(zhí)行以下驗(yàn)證檢查，之后才會(huì)繼續(xù)進(jìn)行操作。靜態(tài) IP 地址驗(yàn)證如果選中“DNS 服務(wù)器”復(fù)選框，AD安裝向?qū)?huì)驗(yàn)證服務(wù)器的所有物理網(wǎng)絡(luò)適配器是否都具有一個(gè)靜態(tài)地址，包括靜態(tài)的IPv4和IPv6地址。盡管不使用靜態(tài)IP地址便可以完成AD安裝，但不建議這樣做，因?yàn)槿绻鸇C的 IP地址發(fā)生變化，客戶端可能無法聯(lián)系DC?；A(chǔ)結(jié)構(gòu)主機(jī)檢查如果選擇在域中安裝其他域控制器的選項(xiàng)，AD安裝向?qū)J(rèn)會(huì)選中“全局編錄”復(fù)選框。如果正在安裝可寫域控制器（“只讀域控制器”復(fù)選框處于清除狀態(tài)），而且清除了“全局編錄”復(fù)選框，向?qū)?huì)檢查域中的全局編錄服務(wù)器上當(dāng)前是否承載了基礎(chǔ)結(jié)構(gòu)主機(jī)角色。如果檢查結(jié)果為是，向?qū)?huì)提示將該角色轉(zhuǎn)移到正在安裝的DC上?？梢渣c(diǎn)擊“是”將基礎(chǔ)結(jié)構(gòu)主機(jī)角色轉(zhuǎn)移到此DC上，或點(diǎn)擊“否”稍后更改配置。Adprep /rodcprep檢查如果安裝 RODC，向?qū)?huì)驗(yàn)證adprep /rodcprep命令是否成功完成，以及該命令導(dǎo)致的更改是否復(fù)制到整個(gè)林中。如果adprep /rodcprep命令沒有成功完成，或是更改尚未復(fù)制到整個(gè)林中，會(huì)收到一條錯(cuò)誤消息，指出在繼續(xù)進(jìn)行安裝之前必須運(yùn)行該命令。如果收到此消息，可以在林中的任何計(jì)算機(jī)上再次運(yùn)行adprep /rodcprep，或是等待更改復(fù)制到整個(gè)林中。7、點(diǎn)擊“下一步”，系統(tǒng)會(huì)彈出DNS服務(wù)委派警告對(duì)話框（如圖18）。在此，點(diǎn)擊“是”繼續(xù)完成向?qū)?。這個(gè)對(duì)話框的出現(xiàn)是由于配置其它服務(wù)器時(shí)，選擇了“DNS服務(wù)器”選項(xiàng)，而當(dāng)前計(jì)算機(jī)又未找到指定域的權(quán)威父域Windows DNS服務(wù)器，從而無法確定是否對(duì)指定域進(jìn)行了委派導(dǎo)致的。圖188、確定AD數(shù)據(jù)庫、日志文件和SYSVOL放置的位置（如圖19）。對(duì)于數(shù)據(jù)庫來講主要存儲(chǔ)有關(guān)用戶、計(jì)算機(jī)和網(wǎng)絡(luò)中其它對(duì)象的信息；日志文件記錄與AD有關(guān)的活動(dòng)；SYSVOL存儲(chǔ)組策略對(duì)象和腳本，其默認(rèn)是位于%windir%目錄中的操作系統(tǒng)文件的一部分。圖19在決定AD文件的存儲(chǔ)位置時(shí)，可以從以下兩個(gè)因素來考慮備份和恢復(fù)對(duì)于只有一個(gè)硬盤的服務(wù)器來將，只需接受AD安裝向?qū)У哪J(rèn)安裝設(shè)置即可。但是，必須至少在該硬盤上創(chuàng)建兩個(gè)卷。其中一個(gè)卷用于存儲(chǔ)關(guān)鍵卷數(shù)據(jù)，另一個(gè)卷用于存儲(chǔ)備份。 在使用Windows Server Backup或Wbadmin.exe命令行工具備份DC時(shí)，至少必須備份系統(tǒng)狀態(tài)數(shù)據(jù)，以便使用備份恢復(fù)服務(wù)器。用于存儲(chǔ)備份的卷不能與承載系統(tǒng)狀態(tài)數(shù)據(jù)的卷相同。構(gòu)成系統(tǒng)狀態(tài)數(shù)據(jù)的系統(tǒng)組件由安裝在計(jì)算機(jī)上的服務(wù)器角色來決定。系統(tǒng)狀態(tài)數(shù)據(jù)至少包括下列數(shù)據(jù)（根據(jù)所安裝的服務(wù)器角色，還可能包括其他數(shù)據(jù)）： 注冊(cè)表 COM+ 類注冊(cè)數(shù)據(jù)庫 引導(dǎo)文件 Active Directory 證書服務(wù) (AD CS) 數(shù)據(jù)庫 承載 Active Directory 數(shù)據(jù)庫 (Ntds.dit) 的卷 承載 Active Directory 數(shù)據(jù)庫日志文件的卷 SYSVOL 目錄 群集服務(wù)信息 Microsoft Internet Information Services (IIS) 元目錄 Windows 資源保護(hù)下的系統(tǒng)文件性能對(duì)于更加復(fù)雜的安裝，可能需要配置硬盤存儲(chǔ)以優(yōu)化 AD的性能。由于數(shù)據(jù)庫和日志文件以不同方式利用磁盤存儲(chǔ)空間，因此可以通過將每種內(nèi)容分配到不同的硬盤主軸來提高 AD的性能。例如，一臺(tái)服務(wù)器具有四個(gè)可用的硬盤驅(qū)動(dòng)器，它們的驅(qū)動(dòng)器卷標(biāo)分別為： 驅(qū)動(dòng)器 C，包含操作系統(tǒng)文件 驅(qū)動(dòng)器 D，未使用 驅(qū)動(dòng)器 E，未使用 驅(qū)動(dòng)器 F，用于備份在此服務(wù)器上，可以通過將數(shù)據(jù)庫和日志文件分別安裝到專用的驅(qū)動(dòng)器（如D和E）中而最大限度提高AD的性能。這有助于提高數(shù)據(jù)庫的搜索性能，因?yàn)橛幸粋€(gè)驅(qū)動(dòng)器主軸可以專用于搜索活動(dòng)。在同時(shí)進(jìn)行大量更改的情況下，這種配置也會(huì)降低承載日志文件的磁盤出現(xiàn)瓶頸問題的幾率?？梢詫?SYSVOL 與操作系統(tǒng)文件一起存儲(chǔ)在驅(qū)動(dòng)器 C 中。9、點(diǎn)擊“下一步”，向?qū)б筝斎搿澳夸涍€原模式的Administrator密碼”（如圖20）。在 AD未運(yùn)行時(shí)，目錄服務(wù)還原模式（DSRM）密碼是登錄域控制器所必需的。圖20特別注意DSRM密碼與域管理員帳戶的密碼不同。當(dāng)創(chuàng)建林中第一臺(tái)DC時(shí)，AD安裝向?qū)?huì)將本地服務(wù)器上生效的密碼策略強(qiáng)制作用于此。對(duì)于所有的其他DC的安裝，AD安裝向?qū)F(xiàn)有DC上生效的密碼策略強(qiáng)制作用于此。這意味著，指定的DSRM密碼必須符合包含現(xiàn)有DC所在域的最小密碼長(zhǎng)