第1章 部署域控制器

网络硬件（网络布线、网络交换机、服务器、客户端计算机）设备全部就绪后，管理员最重要的任务是部署域控制器。在部署Windows Server 2008操作系统的网络中，最基础、最重要、最核心的功能就是部署AD DS域服务，AD DS域服务是管理Windows网络中用户、计算机、文件资源、打印资源、安全管理以及拓展应用的基础。本章将详细介绍部署基于Windows Server 2008的域控制器及额外域控制器的方法。

1.1 基础知识

在部署AD DS域服务前，管理员需要了解关于AD DS域服务的基础知识。如果是全新的网络，管理员可以直接部署Windows Server 2008 AD DS域服务。在部署的过程中，如果部署Active Directory集成区域DNS服务器，设置服务器参数时，需要将“首选DNS服务器”设置为本机的IP地址。域控制器必须使用静态IP地址。

1.1.1 服务器类型

在网络中，服务器是最基本的硬件平台，操作系统将运行在服务器之上。在部署AD DS域服务的网络中，有多种服务器类型，下面分别介绍相关的服务器概念。

1. 独立服务器

安装完成Windows Server 2008操作系统后，运行该操作系统的计算机就成为一台独立服务器。该服务器可以独立部署应用程序。最明显的特征是该服务器没有加入到“域”中。

2. 成员服务器

独立服务器添加到“域”中之后，就成为成员服务器。该服务器接受AD DS域服务的统一管理，接受并应用Active Directory发布的组策略，该计算机被添加到Active Directory的“Computers”组织单位中。

3. 域控制器

域控制器是网络中的第一台运行AD DS域服务的服务器，管理员可以使用“Dcpromo.exe”命令行工具或者添加“AD DS域服务”角色向导直接将独立服务器提升为域控制器，在所有的域控制器（域控制器、额外域控制器、只读域控制器）中，只有域控制器可以将独立服务器直接提升为域控制器。该计算机被添加到“Domain Controllers”组织单位中。在部署的过程中，注意功能级别的设置。所有操作主机角色默认安装在第一台域控制器中。

4. 额外域控制器

成员服务器使用“Dcpromo.exe”命令行工具或者添加“AD DS域服务”角色向导后，将被提升为额外域控制器，该计算机被添加到“Domain Controllers”组织单位中。该服务器上运行“AD DS域服务”，提供管理任务，存储Active Directory数据库。操作主机角色默认没有安装在额外域控制器中。

1.1.2 Active Directory集成区域DNS

Active Directory集成区域DNS服务器，是在域控制器上运行的DNS服务。Active Directory集成区域DNS服务器仅当在域控制器上部署DNS服务器时有效，此时，区域数据存放在活动目录中并且随着活动目录数据的复制而复制。在默认情况下，每一个运行在域控制器上的DNS服务器都将成为主要DNS服务器，并且可以修改DNS区域中的数据（多点更新），这样避免了标准主要区域出现的单点故障。活动目录集成主要区域支持安全的动态更新。

在Active Directory集成区域中，没有主DNS服务器和辅助DNS服务器的区别，即所有的DNS服务器都是主DNS服务器。通过防止不希望的外界对象注册动态DNS记录实现了对动态DNS的安全保护，只有属于Active Directory域成员的机器能够动态地在Active Directory中注册记录。

以Active Directory能力为基础的多主机更新和增强的安全性。在标准区域存储模式中，以单主机更新模式为基础进行DNS更新。在该模式中，区域的单个授权DNS服务器被指派为该区域的主要来源。该服务器在本地文件中保留了区域的主控副本。通过该模式，区域的主服务器代表单个固定的故障点。如果该服务器不可用，则来自DNS客户端的更新请求不对该区域进行处理。Active Directory集成区域只存在于主要区域，DNS服务器不能在目录中存储辅助区域。当所有区域都存储在Active Directory中时，Active Directory的多主机复制模型将不再需要辅助区域。

通过与目录集成的存储区，对DNS的动态更新在多主机更新模式的基础上进行。在该模式下，任何权威DNS服务器（例如，运行DNS服务器的域控制器）都被指定为区域的主要来源。因为区域的主控副本保留在完全复制到所有域控制器的Active Directory数据库中，所以该区域可由在该域的任何域控制器上运行的DNS服务器更新。通过Active Directory的多主机更新模式，只要域控制器在网络上可用而且可以访问，与目录集成的区域的任何主要服务器就可以处理来自DNS客户端的更新区域请求。同时，在使用目录集成的区域时，可以编辑访问控制列表（ACL）以保证目录树中DnsZone对象容器的安全性。该功能提供了至区域或区域中指定资源记录的分散访问。

1.1.3 功能级别

功能级别确定在域或林中启用的AD DS域服务的功能，该功能将限制哪些Windows Server操作系统可以在域或林中的域控制器上运行。功能级别不会影响连接到域或林中的工作站和成员服务器的运行。创建新域或新林时，管理员可以选择使用的功能级别，建议尽量设置为高级别的功能级别，以尽可能充分利用AD DS域服务功能。

1. 林功能级别

林功能启用了林中所有域功能。有以下三个功能级别：Windows 2000本机模式、Windows Server 2003以及Windows Server 2008。默认设置部署完成Active Directory域服务后，在Windows 2000林功能级别下工作。可以将Windows 2000林功能级别提升为Windows Server 2003以及Windows Server 2008。

2. 域功能级别

域功能级别启用整个域和该域的功能。在Windows Server 2008的Active Directory域服务中，支持三种域功能级别：Windows 2000本机模式、Windows Server 2003以及Windows Server 2008。默认情况下，部署完成Active Directory域服务后，在Windows 2000域功能级别下工作。可以将Windows 2000域功能级别提升为Windows Server 2003以及Windows Server 2008。

3. 林和域功能提升

从较低功能级别到较高功能级别的改变称之为提升（Raise），这种提升过程是不可逆的，即只能从低版本向高版本提升，但无法降低到低版本。该过程适用于林功能级别和域功能级别。提升功能级别后，无法将不支持的Windows操作系统添加到当前功能级别的林中，例如如果当前的林功能级别为Windows Server 2008，则不能将运行Windows Server 2003和Windows 2000 Server的域控制器添加到Windows Server 2008的林中。

4. 功能级别类型

Windows Server 2008 R2的功能级别分为Windows 2000、Windows Server 2003、Windows Server 2008和Windows Server 2008 R2。

● Windows 2000。该域功能级别的应用范围包括运行Windows 2000、Windows Server 2003、Windows Server 2008和Windows Server 2008 R2操作系统的域控制器，如果企业网络环境中包含上述三种域控制器，建议使用该功能级别。简单地说适用于多版本操作系统并存的网络环境。

● Windows Server 2003。该域功能级别的应用范围包括运行Windows Server 2003、Windows Server 2008和Windows Server 2008 R2操作系统的域控制器，该域功能级别支持许多新的功能，例如域重命名等。如果企业网络环境中包含上述两种域控制器，建议使用该功能级别。提升该功能级别后，将不支持Windows 2000域控制器。

● Windows Server 2008。该域功能级别的应用范围包括运行Windows Server 2008和Windows Server 2008 R2操作系统的域控制器，该域功能级别支持许多只有Windows Server 2008才具备的功能，例如精确的密码控制策略，可重新启动的Active Directory服务等。如果企业部署新的网络环境，建议使用该功能级别。提升该功能级别后，将不支持Windows 2000、Windows Server 2003域控制器。

● Windows Server 2008 R2。Windows Server 2008 R2功能级别提供Windows Server 2008中可用的所有功能，包括回收站和完整还原删除的对象的功能。默认情况下，在该林中创建的任何新域将在Windows Server 2008 R2域功能级别下操作。

1.1.4 AD DS域服务部署模式

在Windows Server 2008中部署AD DS域服务有两种模式，分别为命令行（Dcpromo.exe）模式和向导模式。

1. 命令行（Dcpromo. exe）模式

该模式是继承Windows Server 2000/2003传统，将独立服务器或者成员服务器提升为域控制器，在使用命令行（Dcpromo.exe）模式前，管理员无需安装“Active Directory域服务”角色，如果“Dcpromo.exe”检测到计算机中没有安装“Active Directory域服务”角色，将自动在后台安装需要的角色。

2. 向导模式

向导模式部署AD DS域服务，分为两部分：添加AD DS域服务角色和Active Directory域服务安装向导。添加AD DS域服务角色将完成角色的安装。Active Directory域服务安装向导将服务器提升为域控制器。

1.2 部署AD DS域服务

Windows Server 2008默认安装完成后，管理员如果要将服务器提升为域控制器，需要完成以下任务：重命名计算机、更改计算机的IP地址以及设置网络类型，然后才可以安装AD DS域服务。安装AD DS域服务分两个阶段：安装角色和提升域服务。

1.2.1 设置参数

Windows Server 2008安装完成后，网络参数需要管理员手动设置。默认安装的Windows Server 2008同时启用IPv4和IPv6两种协议，在安装AD DS域服务时，不建议同时启用两种协议，选择一种即可。如果安装过程中需要同时安装Active Directory集成区域DNS服务器，将“首选DNS服务器”IP地址指向当前服务器IP地址。

1. 重命名计算机

Windows Server 2008 R2安装完成后，默认为安装的计算机随机生成一个名称，例如“WIN-CT5F543TTOE”，在网络应用中，应该为安装Windows Server 2008的计算机定义简捷并且有实用价值的计算机名称，提高管理效率以及可用性。

第1步，Windows Server 2008启动后，自动运行“初始配置任务”程序，如果管理员关闭了此程序，可以在命令行模式下，键入“oobe”启动“初始配置任务”程序，显示如图1-1所示的“初始配置任务”窗口。

第2步，单击“提供计算机名和域”超链接，打开“系统属性”对话框。单击“更改”按钮，显示如图1-2所示的“计算机名/域更改”对话框。

第3步，在“计算机名”文本框中，键入该计算机的有效名称，如图1-3所示。

第4步，单击“确定”按钮，显示如图1-4所示“计算机名/域更改”对话框，提示需要重新启动计算机。连续单击“确定”按钮，重新启动服务器，完成计算机名称的更改。

2. 设置静态IP地址

Windows Server 2008安装完成后，同时启用IPv4协议和IPv6协议，在本例中使用IPv4协议，关闭IPv6协议。作为运行AD DS域服务的域控制器，必须使用静态IP地址。本例中将部署Active Directory集成区域DNS服务器，需要将“首选DNS服务器”的IP地址指向本机的IP地址。如果在网络中存在其他DNS服务器，则将“首选DNS服务器”的IP地址指向其他DNS服务器。

第1步，选择“开始”→“控制面板”→“网络和共享中心”选项，显示如图1-5所示的“网络和共享中心”窗口。

第2步，选择“未识别的网络（公用网络）”区域的“连接”→“本地连接”→“查看状态”超链接，显示如图1-6所示的“本地连接 状态”对话框。

第3步，单击“属性”按钮，显示如图1-7所示的“本地连接 属性”对话框。Windows Server 2008操作系统支持TCP/IPv6和TCP/IPv4协议，在本例中只使用“TCP/IPv4”协议，取消“Internet协议版本6（TCP/IPv6）”选项。

第4步，选择“Internet协议版本4（TCP/IPv4）”选项，单击“属性”按钮，显示如图1-8所示的“Internet协议版本4（TCP/IPv4）属性”对话框，设置域控制器的IP地址、网关以及DNS地址参数。

第5步，单击“确定”按钮，关闭“Internet协议版本4（TCP/IPv4）属性”对话框，返回到“本地连接属性”对话框。单击“关闭”按钮，完成IP地址的设置。

3. 设置网络类型

Windows Server 2008操作系统安装完成后，默认网络类型为“公用网络”，在部署Active Directory的网络中建议使用“专用”网络。

第1步，选择“开始”→“控制面板”→“网络和共享中心”选项，显示如图1-9所示的“网络和共享中心”窗口。

第2步，在“查看活动网络”区域中，单击“网络（公用网络）”链接，显示如图1-10所示的“设置网络位置”窗口。

第3步，单击“工作网络”按钮，设置为“专用”网络模式，如图1-11所示。

第4步，单击“关闭”按钮，完成网络运行模式的设置，返回到“网络和共享中心”窗口，网络类型更新为“专用网络”，如图1-12所示。

1.2.2 使用向导模式部署AD DS域服务

前提条件准备完成后，即可开始部署AD DS域服务。本例中使用向导模式部署AD DS域服务。

1. 部署AD DS域服务

第1步，选择“开始”→“管理工具”→“服务器管理器”选项，显示如图1-13所示的“服务器管理器”窗口。

第2步，选择“服务器管理器”→“角色”选项，显示如图1-14所示的“角色”窗口。

第3步，单击“添加角色”超链接，显示如图1-15所示的“开始之前”对话框，提示管理员安装角色注意事项。

第4步，单击“下一步”按钮，显示如图1-16所示的“选择服务器角色”对话框。在“角色”列表中，选中“Active Directory域服务”选项。

第5步，单击“下一步”按钮，显示如图1-17所示的“Active Directory域服务”对话框，简要介绍Active Directory域服务的作用以及功能。

第6步，单击“下一步”按钮，显示如图1-18所示的“确认安装选择”对话框。

第7步，单击“安装”按钮，开始安装Active Directory域服务，显示如图1-19所示的“安装进度”对话框，显示了当前的安装进度。

第8步，安装完成，显示如图1-20所示的“安装结果”对话框。

第9步，单击“关闭该向导并启动Active Directory域服务安装向导（dcpormo.exe）”超级链接，关闭“添加角色向导”，并启动“Active Directory域服务安装向导”，显示如图1-21所示的“欢迎使用Active Directory域服务安装向导”对话框。

第10步，单击“下一步”按钮，显示如图1-22所示的“操作系统兼容性”对话框，显示操作系统兼容性信息。

第11步，单击“下一步”按钮，显示如图1-23所示的“选择某一部署配置”对话框。“现有林”选项用来在现有的Active Directory中添加域控制器，“在新林中新建域”选项用来创建全新的Active Directory。本例中，安装全新的Active Directory，选择“在新林中新建域”选项。

第12步，单击“下一步”按钮，显示如图1-24所示的“命名林根域”对话框。设置新林的根域。

第13步，单击“下一步”按钮，显示如图1-25所示的“设置林功能级别”对话框。安装向导提供三种模式，分别为Windows 2000、Windows Server 2003、Windows Server 2008和Windows Server 2008 R2模式。默认林功能级别为“Windows Server 2003”。

● 如果林功能级别为“Windows Server 2003”模式，单击“下一步”按钮，显示如图1-26所示的“设置林功能级别”对话框。在“林功能级别”列表中，可以选择“Windows Server 2003”、“Windows Server 2008”和“Windows Server 2008 R2”模式。

● 如果域功能级别为“Windows Server 2003”模式，单击“下一步”按钮，显示如图1-27所示的“设置域功能级别”对话框。在“域功能级别”列表中，可以选择 “Windows Server 2008”和“Windows Server 2008 R2”模式。

第14步，单击“下一步”按钮，显示如图1-28所示的“其他域控制器选项”对话框。本例中将设置域控制器为Active Directory集成区域DNS服务器，选择“DNS服务器”选项。由于该服务器是域中第一个域控制器，因此安装时将自动设置为全局编录服务器。

第15步，单击“下一步”按钮，显示如图1-29所示的“Active Directory域服务安装向导”对话框。提示管理员无法实现委派功能，该DNS服务器是网络中的第一台DNS服务器。

第16步，单击“是”按钮，显示如图1-30所示的“数据库、日志文件和SYSVOL的位置”对话框。建议将数据库、日志文件和SYSVOL文件夹分开存储在不同的物理磁盘中，或者部署在运行RAID5的磁盘阵列或者其他存储设备中。

第17步，单击“下一步”按钮，显示如图1-31所示的“目录服务还原模式的管理员密码”对话框。

第18步，单击“下一步”按钮，显示如图1-32所示的“摘要”对话框，显示Active Directory设置信息。

第19步，单击“下一步”按钮，开始安装AD DS域服务，如图1-33所示。

第20步，安装完成后，显示如图1-34所示的“完成Active Directory域服务安装向导”对话框。

第21步，单击“完成”按钮，关闭“Active Directory域服务安装向导”，显示如图1-35所示的“Active Directory域服务安装向导”对话框，提示需要重新启动计算机。

第22步，单击“立即重新启动”按钮，重新启动计算机，成功安装AD DS域服务。

2. Active Directory域服务验证

AD DS域服务安装完成后，在“服务”管理控制台中添加了名称为“Active Directory域服务”的新服务，在“服务器管理器”的角色列表中，添加了“Active Directory域服务”。

（1）服务器管理器验证

第1步，选择“开始”→“管理工具”→“服务器管理器”选项，显示如图1-36所示的“服务器管理器”窗口。右侧的“服务器摘要”→“计算机信息”显示域为book.com。

第2步，选择“服务器管理器”→“角色”选项，显示如图1-37所示的“服务器管理器”窗口。窗口右侧的“角色摘要”→“角色”显示已经安装了“Active Directory域服务”和“DNS服务器”。

（2）服务验证

选择“开始”→“管理工具”→“服务”选项，显示如图1-38所示的“服务”窗口。在右侧的窗口中，“Active Directory Domain Services”服务启动类型为“自动”，状态为“已启动”，这是Windows Server 2008 AD DS域服务和其他版本（Windows 2000 Server和Windows Server 2003）的Active Directory域控制器不同的地方，Windows Server 2008的Active Directory以“服务”方式运行，管理员可以停止Active Directory服务的运行，其他版本的Active Directory域控制器以应用程序的方式运行，管理员不能单独停止Active Directory的运行。

1.2.3 Active Directory管理中心

在Windows Server 2003和Windows Server 2008中，管理员可以使用“Active Directory用户和计算机”控制台来管理域中的账户等资源。而在Windows Server 2008 R2 AD DS域服务中，增加了一个“Active Directory管理中心”控制台功能，可以用来控制计算机、域控制器、用户，以及其他在AD DS范围内的功能操作等。

1. Active Directory管理中心的功能

在Windows Server 2008 R2中，除了“Active Directory用户和计算机”管理单元外，管理员还可以使用新Active Directory管理中心管理其目录服务对象。Active Directory管理中心构建在Windows PowerShell命令行界面技术之上，但提供了增强的Active Directory数据管理体验和丰富的图形用户界面（GUI），并且管理员还能根据特定的目录服务管理要求来自定义，从而提高工作效率。

Active Directory管理中心可以执行的管理任务有：

● 新建用户账户或管理现有用户账户

● 新建组或管理现有组

● 新建计算机账户或管理现有计算机账户

● 新建组织单位（OU）和容器或管理现有OU

● 连接到同一Active Directory管理中心实例中的一个或多个域或域控制器，并查看或管理这些域或域控制器的目录信息

● 使用查询生成搜索筛选Active Directory数据

2. 运行Active Directory管理中心

依次单击“开始”→“管理工具”→“Active Directory管理中心”，打开“Active Directory管理中心”控制台，如图1-39所示。默认显示“管理中心概述”窗口。在“重置密码”区域中，可以直接为域中的用户账户更改密码。在“全局搜索”区域中，可以查找域中的特定账户。

单击“book（本地）”，即可显示出域控制器上所有的容器，如图1-40所示。双击容器名称，即可将其打开并显示出所包含的对象。同时，在右侧的任务框中，可执行更改域控制器、提升功能级别等操作。

在左侧列表框中，切换为树视图，即可以树型目录方式显示域中所有的容器，如图1-41所示。单击容器名称如Users，即可显示出所包含的对象，并可进行管理。

3. 添加导航节点

“Active Directory管理中心”可以自定义图形界面，例如，将常用的容器添加到视图框中，以后就可以直接打开，而不需再去展开层层列表。

第1步，在“Active Directory管理中心”控制台中，单击“添加导航节点”按钮，显示如图1-42所示“添加导航节点”对话框，列出了当前所有的容器。

第2步，选择欲添加的节点，单击“>>”按钮，添加到“将下列容器添加到导航窗格”框中，如图1-43所示。

第3步，单击“确定”按钮，返回“Active Directory管理中心”控制台，所选择的节点已被添加到视图列表中，如图1-44所示。

1.3 额外域控制器

额外域控制器是和域控制器并行的服务器，同样是安装了AD DS域服务的服务器。和域控制器的区别是，在额外域控制器上仅运行AD DS域服务，并没有特殊的服务器操作主机角色。如果在域控制器出现故障的情况下，可以将额外域控制器提升为域控制器。额外域控制器部署请参考以下流程：

● 在服务器中安装Windows Server 2008操作系统，此时该服务器称为独立服务器。

● 设置独立服务器的网络参数。

● 将独立服务器提升为额外域控制器。

1.3.1 网络参数设置

额外域控制器的网络参数设置同【部署AD DS域服务】，同样需要静态IP地址。不过，额外域控制器的“首选DNS服务器”的IP地址应指向运行Active Directory集成区域的DNS服务器，即运行AD DS域服务的域控制器。

1.3.2 成员服务器提升为额外域控制器

以管理员身份登录到成员服务器中，将成员服务器提升为额外域控制器。在部署的过程中，注意是否选择“DNS服务器”和“全局编录服务器”。该过程使用命令行模式完成。

第1步，单击“开始”菜单，在“搜索程序和文件”文本框中键入“Dcpromo.exe”命令，按Enter键运行，启动“Active Directory域服务安装向导”。向导会检测并自动安装AD DS域服务需要的文件。

第2步，AD DS域服务需要的文件安装完成后，显示如图1-45所示的“欢迎使用Active Directory域服务安装向导”对话框。

第3步，单击“下一步”按钮，显示如图1-46所示的“操作系统兼容性”对话框，提示管理员关于系统兼容方面的信息。

第4步，单击“下一步”按钮，显示如图1-47所示的“选择某一部署配置”对话框。本例将安装Book.com域的额外域控制器，选择“现有林”中的“向现有域添加域控制器”选项。

第5步，单击“下一步”按钮，显示如图1-48所示的“网络凭据”对话框，设置具备将用户添加到Active Directory中的账户名称，使用默认值即可。

第6步，单击“下一步”按钮，显示如图1-49所示的“选择一个域”对话框。向导自动检索设置的Active Directory中可用的域，选择目标域。

第7步，单击“下一步”按钮，显示如图1-50所示的“Active Directory域服务安装向导”对话框，提示无法安装只读域控制器。

第8步，单击“下一步”按钮，显示如图1-51所示的“请选择一个站点”对话框。为额外域控制器选择一个站点，在本例中使用默认站点且只有一个站点，选择默认站点即可。

第9步，单击“下一步”按钮，显示如图1-52所示的“其他域控制器选项”对话框。根据需要选择“DNS服务器”和“全局编录”选项。

第10步，单击“下一步”按钮，根据向导提示完成额外域控制器的部署。部署完成需要重新启动额外域控制器，并以域管理员身份登录。