1.3　實踐項目實施

1.3.1　任務1創建第一個域（目錄林根級域）

由于域控制器所使用的活動目錄和DNS有著非常密切的關系，因此網絡中要求有DNS服務器存在，并且DNS服務器要支持動態更新。如果沒有DNS服務器存在，可以在創建域時一起把DNS安裝上。這里假設圖1-3中的DC1服務器未安裝DNS，并且是該域林中的第1臺域控制器。

創建第一個域

1.安裝Active Directory域服務

活動目錄在整個網絡中的重要性不言而喻。經過Windows Server 2003和Windows Server 2008的不斷完善，Windows Server 2012中的活動目錄服務功能更加強大，管理更加方便。在Windows Server 2012系統中安裝活動目錄時，需要先安裝Active Directory域服務，然后“將此服務器提升為域控制器”安裝向導完成活動目錄的安裝。

Active Directory域服務的主要作用是存儲目錄數據并管理域之間的通信，包括用戶登錄處理、身份驗證和目錄搜索等。

STEP 1　請先在圖1-3中左上角的服務器dc1.long.com上安裝Windows Server 2012 R2，將其計算機名稱設置為dc1，IPv4地址等按圖1-3所示進行配置（圖中采用TCP/IPv4）。注意將計算機名稱設置為dc1即可，等升級為域控制器后，它會自動被改為dc1.long.com。

STEP 2　以管理員用戶身份登錄到dc1上，依次打開【開始】→【管理工具】→【服務器管理器】→【儀表板】。單擊【添加角色和功能】按鈕，打開圖1-4所示的“添加角色和功能向導”界面。

圖1-4　“添加角色和功能向導”界面

提示：請讀者注意圖1-4所示的【啟動“刪除角色和功能”向導】按鈕。如果安裝完AD服務后，需要刪除該服務角色，請在此單擊【啟動“刪除角色和功能”向導】按鈕，完成Active Directory域服務的刪除。

STEP 3　直到顯示圖1-5所示的“選擇服務器角色”對話框時，勾選【Active Directory域服務】復選框，單擊【添加功能】按鈕。

STEP 4　持續單擊【下一步】按鈕，直到顯示圖1-6所示的“確認安裝所選內容”窗口。

STEP 5　單擊【安裝】按鈕即可開始安裝。安裝完成后會顯示圖1-7所示的“安裝結果”對話框，提示“Active Directory域服務”已經成功安裝，請單擊【將此服務器提升為域控制器】按鈕。

圖1-5　選擇服務器角色

圖1-6　“確認安裝所選內容”窗口

圖1-7　Active Directory域服務安裝成功

提示：如果在圖1-7所示的窗口中直接單擊【關閉】按鈕，則之后要將其提升為域控制器，請單擊圖1-8所示的服務器管理器右上方的旗幟符號，再單擊【將此服務器提升為域控制器】按鈕。

圖1-8　將此服務器提升為域服務器

2.安裝活動目錄

STEP 1　在圖1-7或圖1-8所示的窗口中單擊【將此服務器提升為域控制器】按鈕，會彈出圖1-9所示的“部署配置”對話框，選擇【添加新林】單選按鈕，設置林根域名（本例為long.com），創建一臺全新的域控制器。如果網絡中已經存在其他域控制器或林，則可以選擇【現有林】單選按鈕在現有林中安裝。

部署配置的3個選項的具體含義如下。

①“將域控制器添加到現有域”：可以向現有域添加第2臺或更多域控制器。

②“將新域添加到現有林”：在現有林中創建現有域的子域。

③“添加新林”：新建全新的域。

圖1-9　部署配置

提示：網絡既可以配置一臺域控制器，也可以配置多臺域控制器，以分擔用戶的登錄和訪問。多個域控制器可以一起工作，并會自動備份用戶賬戶和活動目錄數據；即使部分域控制器癱瘓，網絡訪問仍然不受影響，從而提高了網絡安全性和穩定性。

STEP 2　單擊【下一步】按鈕，顯示圖1-10所示的“域控制器選項”對話框。

①設置林功能和域功能級別。不同的林功能級別可以向下兼容不同平臺的Active Directory服務功能。選擇“Windows 2008”則可以提供Windows 2008平臺以上的所有Active Directory功能；選擇“Windows Server 2012”則可提供Windows Server 2012平臺以上的所有Active Directory功能。用戶可以根據自己實際的網絡環境選擇合適的功能級別。設置不同的域功能級別主要是為兼容不同平臺下的網絡用戶和子域控制器，在此只能設置“Windows Server 2012 R2”版本的域控制器。

②設置目錄還原模式密碼。由于有時需要備份和還原活動目錄，且還原時（啟動系統時按<F8>鍵）必須進入“目錄服務還原模式”下，所以此處要求輸入“目錄服務還原模式”時使用的密碼。由于該密碼和管理員密碼可能不同，所以一定要牢記該密碼。

③指定域控制器功能。默認在此服務器上直接安裝DNS服務器。如果這樣做，該向導將自動創建DNS區域委派。無論DNS服務器服務是否與AD DS集成，都必須將其安裝在部署的AD DS目錄林根級域的第一個域控制器上。

④第一臺域控制器需要扮演全局編錄服務器的角色。

⑤第一臺域控制器不可以是只讀域控制器（RODC）。

圖1-10　設置林功能和域功能級別

提示：安裝后若要設置“林功能級別”，可登錄域控制器，打開“Active Directory域和信任關系”窗口，單擊【Active Directory域和信任關系】，在彈出的快捷菜單中單擊【提升林功能級別】，選擇相應的林功能級別即可。

STEP 3　單擊【下一步】按鈕，顯示圖1-11所示的“DNS選項”的警告對話框，目前不會有影響，因此不必理會它，直接單擊【下一步】按鈕。

STEP 4　在圖1-12所示窗口中會自動為此域設置一個NetBIOS名稱，你也可以更改些名稱。如果此名稱已被占用，安裝程序會自動指定一個建議名稱。完成后單擊【下一步】按鈕。

圖1-11　“DNS選項”對話框

圖1-12　“其他選項”對話框

STEP 5　顯示圖1-13所示的“路徑”對話框，可以單擊【瀏覽】按鈕更改為其他路徑。其中，數據庫文件夾用來存儲互動目錄數據庫；日志文件文件夾用來存儲活動目錄數據庫的變更日志，以便于日常管理和維護。需要注意的是，SYSVOL文件夾必須保存在NTFS格式的分區中。

STEP 6　出現“查看選項”對話框，單擊【下一步】按鈕。

STEP 7　在圖1-14所示的“先決條件檢查”對話框中，如果順利通過檢查，就直接單擊【安裝】按鈕，否則要按提示先排除問題。安裝完成后會自動重新啟動計算機。

圖1-13　數據庫、日志文件和SYSVOL的位置

圖1-14　“先決條件檢查”對話框

STEP 8　重新啟動計算機，升級為Active Directory域控制器之后，必須使用域用戶賬戶登錄，格式為“域名\用戶賬戶”，如圖1-15（a）所示。按左側箭頭可以更換登錄用戶，比如選擇其他用戶，如圖1-15（b）所示。

圖　1-15

·用戶名SamAccountName登錄：用戶也可以利用此名稱（contoso\wang）來登錄。其中wang是NetBIOS名。同一個域中此登錄名必須是唯一的。Windows NTWindows 98等舊版系統不支持UPN，因此在這些計算機上登錄時，只能使用此登錄名。圖1-15（a）所示即為此種登錄。

·用戶UPN登錄：用戶可以利用這個域電子郵箱格式相同的名稱（administrator@long.com）來登錄域，此名稱被稱為User Principal Name（UPN）。此名在林中是唯一的。圖1-15（b）所示即為此種登錄。

3.驗證Active Directory域服務的安裝

活動目錄安裝完成后，在dc1上可以從各方面進行驗證。

（1）查看計算機名

選擇【開始】→【控制面板】→【系統和安全】→【系統】→【高級系統設置】→【計算機】選項卡，可以看到計算機已經由工作組成員變成了域成員，而且是域控制器。

（2）查看管理工具

活動目錄安裝完成后，會添加一系列的活動目錄管理工具，包括“Active Directory用戶和計算機”“Active Directory站點和服務”“Active Directory域和信任關系”等。單擊【開始】→【管理工具】，可以在“管理工具”中找到這些管理工具的快捷方式。

（3）查看活動目錄對象

打開“Active Directory用戶和計算機”管理工具，可以看到企業的域名long.com。單擊該域，窗口右側的詳細信息窗格中會顯示域中的各個容器。其中包括一些內置容器，主要有以下幾種。

·built-in：存放活動目錄域中的內置組賬戶。

·computers：存放活動目錄域中的計算機賬戶。

·users：存放活動目錄域中的一部分用戶和組賬戶。

·Domain Controllers：存放域控制器的計算機賬戶。

（4）查看Active Directory數據庫

Active Directory數據庫文件保存在%SystemRoot%\Ntds（本例為C：\windows\ntds）文件夾中，主要的文件如下。

·Ntds.dit：數據庫文件。

·Edb.chk：檢查點文件。

·Temp.edb：臨時文件。

（5）查看DNS記錄

為了讓活動目錄正常工作，需要DNS服務器的支持?；顒幽夸洶惭b完成后，重新啟動dc1時會向指定的DNS服務器上注冊SRV記錄。

依次打開【開始】→【管理工具】→【DNS】，或者在服務器管理器窗口中單擊右上方的【工具】菜單，選擇【DNS】，打開“DNS管理器”。一個注冊了SRV記錄的DNS服務器如圖1-16所示。

如果因為域成員本身的設置有誤或者網絡問題，造成它們無法將數據注冊到DNS服務，則可以在問題解決后，重新啟動這些計算機或利用以下方法來手動注冊。

·如果某域成員計算機的主機名與IP地址沒有正確注冊到DNS服務器，可到此計算機上運行ipconfig/registerdns來手動注冊完成后，到DNS服務器檢查是否已有正確記錄，例如域成員主機名為dc1.long.com，IP地址為192.168.10.1，則請檢查域long.com內是否有dc1的主機記錄、其IP地址是否為192.168.10.1。

圖1-16　注冊SRV記錄

·如果發現域控制器并沒有將其扮演的角色注冊到DNS服務器內，也就是并沒有類似圖1-16所示的_tcp等文件夾與相關記錄，請到此臺域控制器上利用【開始】→【系統管理工具】→【服務】，打開圖1-17所示的“服務”窗口，選中Netlogon服務并單擊鼠標右鍵→【重新啟動】來注冊。具體操作也可以使用命令：

圖1-17　重新啟動Netlogon服務

試一試：SRV記錄手動添加無效。將注冊成功的DNS服務器中long.com域下面的SRV記錄刪除一些，試著在域控制器上使用上面的命令恢復DNS服務器被刪除的內容（使用命令后單擊鼠標右鍵→【刷新】即可）。操作成功了嗎？

1.3.2　任務2加入long.com域

下面再將ms1獨立服務器加入long.com域，將ms1提升為long.com的成員服務器。其步驟如下。

將ms1加入到域long.com

STEP 1　首先在ms1服務器上，確認“本地連接”屬性中的TCP/IP首選DNS指向了long.com域的DNS服務器，即192.168.10.1。

STEP 2　單擊【開始】→【控制面板】→【系統和安全】→【系統】→【高級系統設置】，彈出“系統屬性”對話框，選擇【計算機名】選項卡，單擊【更改】按鈕，彈出“計算機名/域更改”對話框，在【隸屬于】選項區域中，選擇【域】單選按鈕，并輸入要加入的域的名字long.com，單擊【確認】按鈕，如圖1-18所示。

STEP 3　輸入有權限加入該域賬戶名稱和密碼，確定后重新啟動計算機即可。比如該域控制器的管理員賬戶，如圖1-18所示。

STEP 4　加入域后，其完整計算機名的后綴就會附上域名，如圖1-19所示的dc4.long.com。單擊【關閉】按鈕，按照界面提示重新啟動計算機。

圖1-18　將ms1加入long.com域

圖1-19　加入long.com域后的系統屬性

提示：①Windows 10的計算機加入域中的步驟和Windows Server 2012 R2加入域中的步驟是一樣的。

②這些被加入域的計算機，其計算機賬戶會被創建在Computers窗口內。

1.3.3　任務3利用已加入域的計算機登錄

我們也可以在已經加入域的計算機上，利用本地域用戶賬戶進行登錄。

1.利用本地賬戶登錄

在登錄界面中按<Ctrl+Alt+Del>鍵后，將出現圖1-20所示的界面，圖中默認的是以本地系統管理員Administrator的身份登錄，因此只要輸入Administrator的密碼就可以登錄。

此時，系統會利用本地安全性數據庫來檢查賬戶與密碼是否正確，如果正確，就可以成功登錄，也可以訪問計算機內的資源（若有權限），不過無法訪問域內其他計算機的資源，除非在連接其他計算機時再輸入有權限的用戶名與密碼。

2.利用域用戶賬戶登錄

如果要更改利用域系統管理員Administrator的身份登錄，請單擊圖1-20所示的人像左方的箭頭圖標，然后單擊【其他用戶】鏈接，打開圖1-21所示的“其他用戶”登錄對話框，輸入域系統管理員的賬戶（long\administrator）與密碼，單擊登錄按鈕進行登錄。

圖1-20　本地用戶登錄

圖1-21　域用戶登錄

注意：賬戶名前面要附加域名，例如long.com\Administrator或long\Administrator，此時賬戶與密碼會被發送給域控制器，并利用Active Directory數據庫來檢查賬戶與密碼是否正確，如果正確，就可以登錄成功，并且可以直接連接域內任何一臺計算機并訪問其中的資源（如果被賦予權限），不需要手動輸入用戶名與密碼。當然，也可以用UPN登錄，形如：administrator@long.com。

試一試：在圖1-20中，如何利用本地用戶登錄？用戶名輸入“ms1\administrator”及相應密碼可以嗎？

1.3.4　任務4安裝額外的域控制器與RODC

一個域內若有多臺域控制器的話，便可以擁有下面優勢。

·提高用戶登錄的效率：若同時有多臺域控制器來對客戶端提供服務，可以分擔用戶身份驗證（賬戶與密碼）的負擔，提高用戶登錄的效率。

·容錯功能：若有域控制器故障，此時仍然可以由其他正常的域控制器來繼續提供服務，因此對用戶的服務并不會停止。

在安裝額外域控制器（additional domain controller）時，需要將AD DS數據庫由現有的域控制器復制到這臺新的域控制器。系統提供了兩種復制AD DS數據庫的方式。

·通過網絡直接復制：若AD DS數據庫龐大，這種復制操作勢必會增加網絡負擔、影響網絡效率。

·通過安裝介質：您需要事先到一臺域控制器內制作安裝介質（installation media），其中包含AD DS數據庫；接著將安裝介質復制到U盤、CD、DVD等媒體或共享文件夾內；然后在安裝額外域控制器時，要求安裝向導到這個媒體內讀取安裝介質內的AD DS數據庫，這種方式可以大幅降低對網絡所造成的負擔。若在安裝介質制作完成之后，現有域控制器的AD DS數據庫內有新變動數據的話，這些少量數據會在完成額外域控制器的安裝后，再通過網絡自動復制過來。

下面同時說明如何將圖1-22中右上角的dc2.long.com升級為常規額外域控制器（可寫域控制器）、將右下角的dc3.long.com升級為只讀域控制器（RODC）。

1.利用網絡直接復制安裝額外控制器

STEP 1　先在圖1-22中的服務器dc2.long.com與dc3.long.com上安裝Windows Server 2012 R2，將計算機名稱分別設定為dc2與dc3，IPv4地址等按照圖1-22所示來設置（圖中采用TCP/IPv4）。

注意：將計算機名稱分別設置為dc2與dc3即可，等升級為域控制器后，它們會自動被改為dc2.long.com與dc3.long.com。

利用網絡直接復制安裝額外域控制器

圖1-22　long.com域的網絡拓撲

STEP 2　安裝Active Directory域服務。操作方法與安裝第1臺域控制器的方法完全相同。

STEP 3　啟動Active Directory安裝向導，當顯示“部署配置”窗口時，選擇【將域控制器添加到現有域】單選按鈕，單擊【更改】，彈出“Windows安全”對話框，需要指定可以通過相應主域控制器驗證的用戶賬戶憑據，該用戶賬戶必須是Domain Admins組，擁有域管理員權限。比如，根域控制器的管理員賬戶：long\Administrator，如圖1-23所示。

圖1-23　部署配置

注意：只有Enterprise Admins或Domain Admins內的用戶有權限建立其他域控制器。若您現在所登錄的賬戶不隸屬于這兩個組（例如我們現在所登錄的賬戶為本機Administrator），則需如圖1-23所示另外指定有權限的用戶賬戶。

STEP 4　單擊【下一步】按鈕，顯示圖1-24所示的“域控制器選項”對話框。

①選擇是否在此服務器上安裝DNS服務器（默認會）。

②選擇是否將其設定為全局編錄服務器（默認會）。

③選擇是否將其設置為只讀域控制器（默認不會）。

④設置目錄服務還原模式的密碼。

圖1-24　“域控制器選項”對話框

STEP 5　若在圖1-24中未勾選只讀域控制器（RODC），可直接單擊【下一步】按鈕。若勾選【RODC】的話，則會出現圖1-25所示的對話框，在完成圖中的設定后單擊【下一步】按鈕，然后跳到STEP 7。

圖1-25　“RODC選項”對話框

·委派的管理員賬戶：可通過【選擇】按鈕來選取被委派的用戶或組，他們在這臺RODC將擁有本地系統管理員的權限，且若采用階段式安裝RODC的話，則他們也可將此RODC服務器附加到AD DS數據庫內的計算機賬戶。默認僅Domain Admins或Enterprise Admins組內的用戶有權管理此RODC與執行附加操作。

·允許將密碼復制到RODC的賬戶：默認僅允許Allowed RODC Password Replication Group組內的用戶密碼可被復制到RODC（此組默認并無任何成員），可通過【添加】按鈕來添加用戶或組賬戶。

·拒絕將密碼復制到RODC的賬戶：此處的用戶賬戶，其密碼會被拒絕復制到RODC。此處的設置較允許將密碼復制到RODC的賬戶的設置優先級高。部分內建的組賬戶（例如Administrators、Server Operators等）默認已被列于此列表內。您可通過【添加】按鈕來添加用戶或組賬戶。

注意：在安裝域中的第1臺RODC時，系統會自動建立與RODC有關的組賬戶；這些賬戶會自動被復制給其他域控制器，不過可能需要花費一段時間，尤其是復制給位于不同站點的域控制器時。之后您在其他站點安裝RODC時，若安裝向導無法從這些域控制器得到這些域信息，它會顯示警告信息，此時請等待這些組信息完成復制后，再繼續安裝這臺RODC。

STEP 6　若不是安裝RODC，會出現圖1-26所示的界面，請直接單擊【下一步】按鈕。

圖1-26　“DNS選項”對話框

STEP 7　在圖1-27中單擊【下一步】按鈕，它會直接從其他任何一臺域控制器來復制AD DS數據庫。

圖1-27　“其他選項”對話框

STEP 8　在圖1-28所示的“路徑”對話框中可直接單擊【下一步】按鈕。出現“查看選項”對話框，單擊【下一步】按鈕。

圖1-28　“路徑”對話框

STEP 9　在“查看選項”對話框中單擊【下一步】按鈕。

STEP 10　在圖1-29中，若順利通過檢查，就直接單擊【安裝】按鈕，否則請根據界面提示先排除問題。

圖1-29　“先決條件檢查”對話框

STEP 11　安裝完成后會自動重新啟動，請重新登錄。

STEP 12　分別打開dc1、dc2、dc3的DNS服務器管理器，檢查DNS服務器內是否有域控制器dc2.long.com與dc3.long.com的相關記錄，如圖1-30所示（dc2、dc3上的DNS服務器類似）。

圖1-30　檢查DNS服務器

這兩臺域控制器的AD DS數據庫內容是從其他域控制器復制過來的，而原本這兩臺計算機內的本地用戶賬戶會被刪除。

注意：服務器dc1（第一臺域控制器）上原本位于本地安全性數據庫內的本地賬戶，會在dc1升級為域控制器后被轉移到Active Directory數據庫內，而且是被放置到Users容器內。并且這臺域控制器的計算機賬戶會被放置到Domain Controllers組織單位內，其他加入域的計算機賬戶默認會被放置到Computers容器內。

只有在創建域內的第一臺域控制器時，該服務器原來的本地賬戶才會被轉移到Active Directory數據庫，其他域控制器（例如本范例中的dc2、dc3）原來的本地賬戶并不會被轉移到Active Directory數據庫，而是被刪除。

利用介質安裝額外域控制器

2.利用安裝介質來安裝額外域控制器

先到一臺域控制器上制作安裝介質（installation media），也就是將AD DS數據庫存儲到安裝介質內，并將安裝介質復制到U盤、CD、DVD等媒體或共享文件夾內。然后在安裝額外域控制器時，要求安裝向導從安裝介質來讀取AD DS數據庫，這種方式可以大幅降低對網絡所造成的負擔。

（1）制作安裝介質

請到現有的域控制器上執行ntdsutil命令來制作安裝介質。

·若此安裝介質是要給可寫域控制器來使用的話，則需到現有的可寫域控制器上執行ntdsutil指令。

·若此安裝介質是要給RODC（只讀域控制器）來使用的話，則您可以到現有的可寫域控制器或RODC上執行ntdsutil指令。

STEP 1　請到域控制器上利用域系統管理員的身份登錄。

STEP 2　選中左下角的【開始】菜單并選中“命令提示符”單擊鼠標右鍵（或單擊左下方任務欄中的Windows PowerShell圖標）。

STEP 3　輸入以下命令后按Enter鍵（部分操作界面如圖1-31所示）：

STEP 4　在ntdsutil提示符下，執行以下命令：

它會將域控制器的AD DS數據庫設置為使用中。STEP 5　在ntdsutil提示符下，執行以下命令：

STEP 6　在ifm提示符下，執行以下命令：

注意：此命令假設要將安裝介質的內容存儲到C：\lnstallationMedia文件夾內。其中的sysvol表示要制作包含ntds.dit與SYSVOL的安裝介質；full表示要制作供可寫域控制器使用的安裝介質；若是要制作供RODC使用的安裝介質，請將full改為rodc。

STEP 7　連續執行兩次quit命令來結束ntdsutil。

安裝RODC額外控制器

STEP 8　將整個C：\lnstallationMedia文件夾內的所有數據復制到U盤、CD、DVD等媒體或共享文件夾內。

（2）安裝額外域控制器

將包含安裝介質的U盤、CD或DVD拿到即將扮演額外域控制器角色的計算機上，或將其放到可以訪問到的共享文件夾內。

圖1-31　制作安裝介質

由于利用安裝介質來安裝額外域控制器的方法與前面的介紹大致相同，下面僅列出不同之處。下面假設安裝介質被復制到即將升級為額外域控制器的服務器的C：\InstallationMedia文件夾內：在圖1-32中改為選定【從介質安裝（I）】復選框，并在路徑處指定存儲安裝介質的文件夾C：\lnstallationMedia。

圖1-32　選擇“從介質安裝”復選框

安裝過程中會從安裝介質所在的文件夾C：\lnstallationMedia中復制AD DS數據庫。若在安裝介質制作完成之后，現有域控制器的AD DS數據庫更新數據的話，這些少量數據會在完成額外域控制器安裝后，再通過網絡自動復制過來。

3.修改RODC的委派設置與密碼復制策略設置

若您要修改密碼復制策略設置或RODC系統管理工作的委派設置，請在開啟【Active Directory用戶和計算機】后，如圖1-33所示，單擊容器【Domain Controllers】右方扮演RODC角色的域控制器→單擊上方的【屬性】圖標→通過圖1-34中的【密碼復制策略】與【管理者】選項卡來設置。

圖1-33　Active Directory用戶和計算機

圖1-34　“密碼復制策略”和“管理者”

您也可以通過【Active Directory管理中心】來修改上述設置：請開啟Active Directory管理中心后，如圖1-35所示，單擊容器【Domain Controllers】界面中扮演RODC角色的域控制器→單擊右方的【屬性】→通過圖1-36中的【管理者】選項與【擴展】選項中的【密碼復制策略】選項卡來設定。

圖1-35　Active Directory管理中心-Domain Controllers

圖1-36　“管理者”和“密碼復制策略”

4.驗證額外域控制器運行正常

DC1是第一臺域控制器，DC2服務器已經提升為額外域控制器，現在可以將成員服務器ms1的首選DNS指向【DC1】域控制器，備用DNS指向【DC2】額外域控制器，當【DC1】域控制器發生故障時，【DC2】額外域控制器可以負責域名解析和身份驗證等工作，從而實現不間斷服務。

驗證額外域控制器運行正常

STEP 1　在【ms1】上配置【首選DNS】為“192.168.10.1”，【備用DNS】為“192.168.10.2”。

STEP 2　利用DC1域控制器的【Active Directory用戶和計算機】建立供測試用的域用戶domainuser1。刷新DC2、DC3的【Active Directory用戶和計算機】中的users容器，發現domainuser1幾乎同時同步到了這兩臺域控制器上。

STEP 3　將【DC1域控制器】暫時關閉，在VMWare Workstation中也可以將【DC1域控制器】暫時掛起。

STEP 4　在【ms1】上使用“domainuser1”登錄域，觀察是否能夠登錄，結果是可以登錄成功，這樣就可以提供AD的不間斷服務了，此操作同時驗證了額外域控制器安裝的成功。

STEP 5　在【服務器管理器】主窗口下，單擊【工具】打開【Active Directory站點和服務】，依次展開【Sites】→【Default-First-Site-Name】→【Servers】→【DC2】→【NTDS Settings】，單擊鼠標右鍵，在彈出的快捷菜單中選擇【屬性】，如圖1-37所示。

STEP 6　在彈出的對話框中將【全局編錄】復選框取消勾選，如圖1-38所示。

STEP 7　在【服務器管理器】主窗口下，單擊【工具】打開【Active Direct：ory用戶和計算機】，展開【Domain Controllers】，可以看到【DC2】的【DC類型】由之前的【GC】變為現在的【DC】，如圖1-39所示。

圖1-37　【Active Directory站點和服務】

圖1-38　取消【全局編錄】

圖1-39　查看【DC類型】

1.3.5　任務5轉換服務器角色

Windows Server 2012服務器在域中可以有3種角色：域控制器、成員服務器和獨立服務器。當一臺Windows Server 2012成員服務器安裝了活動目錄后，服務器就成為域控制器，域控制器可以對用戶的登錄等進行驗證。Windows Server 2012成員服務器也可以僅僅加入域中，而不安裝活動目錄，這時服務器的主要目的是為了提供網絡資源，這樣的服務器稱為成員服務器。嚴格說來，獨立服務器和域沒有什么關系，如果服務器不加入域中，也不安裝活動目錄，服務器就稱為獨立服務器。服務器的這3個角色的改變如圖1-40所示。

圖1-40　服務器的3種角色改變

1.域控制器降級為成員服務器

用戶在域控制器上把活動目錄刪除，服務器就降級為成員服務器了。下面以圖1-3中的dc2降級為例，介紹具體步驟。

（1）刪除活動目錄的注意要點

降級時要注意以下3點。

降級域控制器

①如果該域內還有其他域控制器，則該域會被降級為該域的成員服務器。

②如果該域控制器是該域的最后一個域控制器，則被降級后，該域內將不存在任何域控制器。因此，該域控制器被刪除，而該計算機被降級為獨立服務器。

③如果這臺域控制器是“全局編錄”域控制器，則將其降級后，它將不再擔當“全局編錄”的角色，因此要先確定網絡上是否還有其他“全局編錄”域控制器。如果沒有，則要先指派一臺域控制器來擔當“全局編錄”的角色，否則將影響用戶的登錄操作。

提示：指派“全局編錄”的角色時，可以依次打開【開始】→【管理工具】→【Active Directory站點和服務】→【Sites】→【Default-First-Site-Name】→【Servers】，展開要擔當“全局編錄”角色的服務器名稱，右鍵單擊【NTDS Settings屬性】選項，在彈出的快捷菜單中選擇【屬性】選項，在顯示的“NTDS Settings屬性”對話框中選中【全局編錄】復選框。

（2）刪除活動目錄

STEP 1　以管理員身份登錄dc2，單擊左下角的服務器管理器圖標，在圖1-41所示的窗口中單擊右上方的【管理】菜單下的【刪除角色和功能】。

圖1-41　刪除角色和功能

STEP 2　在圖1-42所示的對話框中取消勾選【Active Directory域服務】復選框、單擊【刪除功能】按鈕。

STEP 3　出現圖1-43所示的界面時，單擊【確定】即將此域控制器降級。

STEP 4　如果在圖1-44所示界面中當前的用戶有權刪除此域控制器，請單擊【下一步】按鈕，否則單擊【更改】按鈕來輸入新的賬戶與密碼。

圖1-42　刪除服務器角色和功能

圖1-43　驗證結果

圖1-44　“憑據”窗口

提示：如果因故無法刪除此域控制器（例如，在刪除域控制器時，需要能夠先連接到其他域控制器，但是卻一直無法連接），或者是最后一個域控制器，此時勾選圖中的【強制刪除此域控制器】復選框。

STEP 5　在圖1-45所示界面中勾選【繼續刪除】復選框后，單擊【下一步】按鈕。

圖1-45　“警告”窗口

STEP 6　在圖1-46中為這臺即將被降級為獨立或成員服務器的計算機設置本地Administrator的新密碼后，單擊【下一步】按鈕。

STEP 7　在查看選項界面中單擊【降級】按鈕。

STEP 8　完成后會自動重新啟動計算機，請重新登錄。（以域管理員登錄，圖1-46所示設置的是計算機的本地管理員密碼?。?/p>

圖1-46　新管理員密碼

注意：雖然這臺服務器已經不再是域控制器了，但此時其Active Directory域服務組件仍然存在，并沒有被刪除。因此，如果現在要再將其升級為域控制器，可以參考前面的說明。

STEP 9　在服務器管理器中單擊【管理】菜單下的【刪除角色和功能】。

STEP 10　出現“開始之前”界面，單擊【下一步】按鈕。

STEP 11　在“選擇目標服務器”界面的服務器確認無誤后單擊【下一步】按鈕。

STEP 12　在圖1-47所示界面中取消勾選【Active Directory域服務】復選框，單擊【刪除功能】按鈕。

圖1-47　刪除服務器角色和功能

STEP 13　回到“刪除服務器角色”界面時，確認【Active Directory域服務】已經被取消勾選（也可以一起取消勾選【DNS服務器】）后單擊【下一步】按鈕。

STEP 14　出現“刪除功能”界面時，單擊【下一步】按鈕。

STEP 15　在確認刪除選擇界面中單擊【刪除】按鈕。

STEP 16　完成后，重新啟動計算機。

2.成員服務器降級為獨立服務器

dc2刪除Active Directory域服務后，降級為域long.com的成員服務器。現在將該成員服務器繼續降級為獨立服務器。

首先在dc2上以域管理員（long\administrator）或本地管理員（dc2\administrator）身份登錄。登錄成功后，單擊【開始】→【控制面板】→【系統和安全】→【系統】→【高級系統設置】，彈出“系統屬性”對話框，選擇【計算機名】選項卡，單擊【更改】按鈕；彈出“計算機名/域更改”窗口；在“隸屬于”選項區域中，選擇【工作組】單選按鈕，并輸入從域中脫離后要加入的工作組的名字（本例為WORKGROUP），單擊【確定】按鈕；輸入有權限脫離該域的賬戶的名稱和密碼，確定后重新啟動計算機即可。