活动目录/域控制器安装及客户机加入域

easy

服务器系统为 Windows Server 2008 R2 。

首先，将服务器配置为静态 IP，因为这台服务器同时也会是 DNS 服务器，因此配置为静态 IP 是必须的 ：



在“运行”里输入 dcpromo 命令打开活动目录安装向导：


点击“下一步”，看到“操作系统兼容性”说明：


点“下一步”，在出现的“选择某一部署配置”界面中，选择“在新林中新建域”，然后点下一步：


在出现的“命名林根域”界面中，输入目录林根域的完全限定域名(FQDN)，这里输入 edu.groad.net ，然后单击下一步：


需要注意的是，输入的域名是 FQDN ，而不能简单的只写成 groad 这样的名字。

接下来，在“设置林功能级别” 界面中，选择 “Windows Server 2008 R2”，然后下一步：


在接下来的“其他域控制器选项”界面中，选中“DNS 服务器” 复选框，然后下一步：


接下来会看到下面这个提示框：


这是一个提示，而不是一个错误。关于 DNS 子域及委派的相关知识在以后的帖子中会讨论，这里点“是”继续，这时会看到：


在这里指定”数据库、日志文件和 SYSVOL 的位置“。数据库存储有关用户、计算机和网络中其他对象的信息。日志文件记录与 AD DS 有关的活动，例如有关当前更新对象的信息。SYSVOL 存储组策略对象和脚本。默认情况下，SYSVOL 是位于 %windir% 目录中的操作系统文件的一部分。对于更加复杂的安装，可能需要配置你的硬盘存储以优化 AD DS 的性能。由于数据库和日志文件以不同方式利用磁盘存储空间，因此可以通过将每种内容分配到不同的硬盘主轴来提高 AD DS 的性能。

这里，直接点击”下一步“：


在”目录服务还原模式的 Administrator 密码“ 界面中输入活动目录恢复时用到的管理员密码。该密码在活动目录恢复时会用到，必须牢记，否则不能还原活动目录。然后点击”下一步“：


这是对之前配置的一个摘要，点下一步，这时系统会进行自动配置，完后域服务安装向导就完成了：


点击”完成“后，会提示重新启动，点”是“启动计算机。

注意，上面安装活动目录使用的是 dcpromo 命令，实际上卸载命令也是它。安装上活动目录后，本地用户和组将不可用。在重启后，可以看到登录界面上 administrator 的前面已经有一个 EDU 的域标识了：



接下来，我们要更改域控制器本地连接的 DNS 设置。默认安装活动目录后，首先的 DNS 会被指定成 127.0.0.1，所以启动后的第一件事就是将首选的 DNS 指向自己的 IP ：


因此，我们将 127.0.0.1 也改成 192.168.1.111 。

接着，打开服务器管理器，检查 DNS 上的 SRV 记录：


注意红色框部分，上面是 4 项，下面是 6 项。这些 SRV 记录是域控制器注册的。通过这些记录，客户机能够找到 edu.groad.net 这个域的域控制器。如果安装完活动目录后，发现 SRV 记录不全，客户机就无法找到域控制器。

检查活动目录的默认结构。在服务器管理器中，展开”角色“ --> ”Active Directory 域服务“ --> "Active Directory 用户和计算机" --> ”edu.groad.net“ 节点：


上面，

Builtin : 存放的是内置的组。

Computers : 默认计算机加入域后，计算机帐户存放的位置就是 Computers 。

Domain Controllers : 存放该域中的域控制器，不要轻易将域控制器移动到其他位置。

ForeingSecurityPrincipals : 存放信任的外部域中的安全主体。

Users : 默认用户的存放位置。

我们还可以选中”edu.groad.net" ，然后再选择“查看” --> “高级功能" ，这样可以看到活动目录中更多的容器：



下面将一台装有 XP 的计算机加入域。

由于客户机使用 DNS 定位域控制器，因此必须使用内网的 DNS 服务器，而不能使用 Internet 上的 DNS 服务器。如果是笔记本，有可能在家或出差时使用，备用的 DNS 可以使用 internet 上的DNS 服务器。所以，我们先在网络设置里，将主 DNS 服务器的 IP 地址改为上面的 192.168.1.111 ：



接着，右击我的电脑，在”系统属性“ --> "计算机名"---"更改" 里修改计算机名和加入域：


点击”确定“，然后输入域控制器的管理员账号密码，以加入域：





重启计算机，在登录时可以看到：


这时可以用域账号和密码进行登录，账号和密码由与管理员建立与分配。

将计算机加入域后，将自动在活动目录的 computers 目录下创建计算机帐户。另外，还可以在活动目录中创建计算机帐户，再将计算机加入域，这样实体计算机和计算机账号将自动关联。若将计算机脱离域，只需要将计算机加入工作组即可从域中退出。在加入域后，我们也可以发现计算机名称后自动添加了域后缀：