第1章 部署域控制器

網絡硬件（網絡布線、網絡交換機、服務器、客戶端計算機）設備全部就緒后，管理員最重要的任務是部署域控制器。在部署Windows Server 2008操作系統的網絡中，最基礎、最重要、最核心的功能就是部署AD DS域服務，AD DS域服務是管理Windows網絡中用戶、計算機、文件資源、打印資源、安全管理以及拓展應用的基礎。本章將詳細介紹部署基于Windows Server 2008的域控制器及額外域控制器的方法。

1.1 基礎知識

在部署AD DS域服務前，管理員需要了解關于AD DS域服務的基礎知識。如果是全新的網絡，管理員可以直接部署Windows Server 2008 AD DS域服務。在部署的過程中，如果部署Active Directory集成區域DNS服務器，設置服務器參數時，需要將“首選DNS服務器”設置為本機的IP地址。域控制器必須使用靜態IP地址。

1.1.1 服務器類型

在網絡中，服務器是最基本的硬件平臺，操作系統將運行在服務器之上。在部署AD DS域服務的網絡中，有多種服務器類型，下面分別介紹相關的服務器概念。

1. 獨立服務器

安裝完成Windows Server 2008操作系統后，運行該操作系統的計算機就成為一臺獨立服務器。該服務器可以獨立部署應用程序。最明顯的特征是該服務器沒有加入到“域”中。

2. 成員服務器

獨立服務器添加到“域”中之后，就成為成員服務器。該服務器接受AD DS域服務的統一管理，接受并應用Active Directory發布的組策略，該計算機被添加到Active Directory的“Computers”組織單位中。

3. 域控制器

域控制器是網絡中的第一臺運行AD DS域服務的服務器，管理員可以使用“Dcpromo.exe”命令行工具或者添加“AD DS域服務”角色向導直接將獨立服務器提升為域控制器，在所有的域控制器（域控制器、額外域控制器、只讀域控制器）中，只有域控制器可以將獨立服務器直接提升為域控制器。該計算機被添加到“Domain Controllers”組織單位中。在部署的過程中，注意功能級別的設置。所有操作主機角色默認安裝在第一臺域控制器中。

4. 額外域控制器

成員服務器使用“Dcpromo.exe”命令行工具或者添加“AD DS域服務”角色向導后，將被提升為額外域控制器，該計算機被添加到“Domain Controllers”組織單位中。該服務器上運行“AD DS域服務”，提供管理任務，存儲Active Directory數據庫。操作主機角色默認沒有安裝在額外域控制器中。

1.1.2 Active Directory集成區域DNS

Active Directory集成區域DNS服務器，是在域控制器上運行的DNS服務。Active Directory集成區域DNS服務器僅當在域控制器上部署DNS服務器時有效，此時，區域數據存放在活動目錄中并且隨著活動目錄數據的復制而復制。在默認情況下，每一個運行在域控制器上的DNS服務器都將成為主要DNS服務器，并且可以修改DNS區域中的數據（多點更新），這樣避免了標準主要區域出現的單點故障。活動目錄集成主要區域支持安全的動態更新。

在Active Directory集成區域中，沒有主DNS服務器和輔助DNS服務器的區別，即所有的DNS服務器都是主DNS服務器。通過防止不希望的外界對象注冊動態DNS記錄實現了對動態DNS的安全保護，只有屬于Active Directory域成員的機器能夠動態地在Active Directory中注冊記錄。

以Active Directory能力為基礎的多主機更新和增強的安全性。在標準區域存儲模式中，以單主機更新模式為基礎進行DNS更新。在該模式中，區域的單個授權DNS服務器被指派為該區域的主要來源。該服務器在本地文件中保留了區域的主控副本。通過該模式，區域的主服務器代表單個固定的故障點。如果該服務器不可用，則來自DNS客戶端的更新請求不對該區域進行處理。Active Directory集成區域只存在于主要區域，DNS服務器不能在目錄中存儲輔助區域。當所有區域都存儲在Active Directory中時，Active Directory的多主機復制模型將不再需要輔助區域。

通過與目錄集成的存儲區，對DNS的動態更新在多主機更新模式的基礎上進行。在該模式下，任何權威DNS服務器（例如，運行DNS服務器的域控制器）都被指定為區域的主要來源。因為區域的主控副本保留在完全復制到所有域控制器的Active Directory數據庫中，所以該區域可由在該域的任何域控制器上運行的DNS服務器更新。通過Active Directory的多主機更新模式，只要域控制器在網絡上可用而且可以訪問，與目錄集成的區域的任何主要服務器就可以處理來自DNS客戶端的更新區域請求。同時，在使用目錄集成的區域時，可以編輯訪問控制列表（ACL）以保證目錄樹中DnsZone對象容器的安全性。該功能提供了至區域或區域中指定資源記錄的分散訪問。

1.1.3 功能級別

功能級別確定在域或林中啟用的AD DS域服務的功能，該功能將限制哪些Windows Server操作系統可以在域或林中的域控制器上運行。功能級別不會影響連接到域或林中的工作站和成員服務器的運行。創建新域或新林時，管理員可以選擇使用的功能級別，建議盡量設置為高級別的功能級別，以盡可能充分利用AD DS域服務功能。

1. 林功能級別

林功能啟用了林中所有域功能。有以下三個功能級別：Windows 2000本機模式、Windows Server 2003以及Windows Server 2008。默認設置部署完成Active Directory域服務后，在Windows 2000林功能級別下工作?？梢詫indows 2000林功能級別提升為Windows Server 2003以及Windows Server 2008。

2. 域功能級別

域功能級別啟用整個域和該域的功能。在Windows Server 2008的Active Directory域服務中，支持三種域功能級別：Windows 2000本機模式、Windows Server 2003以及Windows Server 2008。默認情況下，部署完成Active Directory域服務后，在Windows 2000域功能級別下工作?？梢詫indows 2000域功能級別提升為Windows Server 2003以及Windows Server 2008。

3. 林和域功能提升

從較低功能級別到較高功能級別的改變稱之為提升（Raise），這種提升過程是不可逆的，即只能從低版本向高版本提升，但無法降低到低版本。該過程適用于林功能級別和域功能級別。提升功能級別后，無法將不支持的Windows操作系統添加到當前功能級別的林中，例如如果當前的林功能級別為Windows Server 2008，則不能將運行Windows Server 2003和Windows 2000 Server的域控制器添加到Windows Server 2008的林中。

4. 功能級別類型

Windows Server 2008 R2的功能級別分為Windows 2000、Windows Server 2003、Windows Server 2008和Windows Server 2008 R2。

● Windows 2000。該域功能級別的應用范圍包括運行Windows 2000、Windows Server 2003、Windows Server 2008和Windows Server 2008 R2操作系統的域控制器，如果企業網絡環境中包含上述三種域控制器，建議使用該功能級別。簡單地說適用于多版本操作系統并存的網絡環境。

● Windows Server 2003。該域功能級別的應用范圍包括運行Windows Server 2003、Windows Server 2008和Windows Server 2008 R2操作系統的域控制器，該域功能級別支持許多新的功能，例如域重命名等。如果企業網絡環境中包含上述兩種域控制器，建議使用該功能級別。提升該功能級別后，將不支持Windows 2000域控制器。

● Windows Server 2008。該域功能級別的應用范圍包括運行Windows Server 2008和Windows Server 2008 R2操作系統的域控制器，該域功能級別支持許多只有Windows Server 2008才具備的功能，例如精確的密碼控制策略，可重新啟動的Active Directory服務等。如果企業部署新的網絡環境，建議使用該功能級別。提升該功能級別后，將不支持Windows 2000、Windows Server 2003域控制器。

● Windows Server 2008 R2。Windows Server 2008 R2功能級別提供Windows Server 2008中可用的所有功能，包括回收站和完整還原刪除的對象的功能。默認情況下，在該林中創建的任何新域將在Windows Server 2008 R2域功能級別下操作。

1.1.4 AD DS域服務部署模式

在Windows Server 2008中部署AD DS域服務有兩種模式，分別為命令行（Dcpromo.exe）模式和向導模式。

1. 命令行（Dcpromo. exe）模式

該模式是繼承Windows Server 2000/2003傳統，將獨立服務器或者成員服務器提升為域控制器，在使用命令行（Dcpromo.exe）模式前，管理員無需安裝“Active Directory域服務”角色，如果“Dcpromo.exe”檢測到計算機中沒有安裝“Active Directory域服務”角色，將自動在后臺安裝需要的角色。

2. 向導模式

向導模式部署AD DS域服務，分為兩部分：添加AD DS域服務角色和Active Directory域服務安裝向導。添加AD DS域服務角色將完成角色的安裝。Active Directory域服務安裝向導將服務器提升為域控制器。

1.2 部署AD DS域服務

Windows Server 2008默認安裝完成后，管理員如果要將服務器提升為域控制器，需要完成以下任務：重命名計算機、更改計算機的IP地址以及設置網絡類型，然后才可以安裝AD DS域服務。安裝AD DS域服務分兩個階段：安裝角色和提升域服務。

1.2.1 設置參數

Windows Server 2008安裝完成后，網絡參數需要管理員手動設置。默認安裝的Windows Server 2008同時啟用IPv4和IPv6兩種協議，在安裝AD DS域服務時，不建議同時啟用兩種協議，選擇一種即可。如果安裝過程中需要同時安裝Active Directory集成區域DNS服務器，將“首選DNS服務器”IP地址指向當前服務器IP地址。

1. 重命名計算機

Windows Server 2008 R2安裝完成后，默認為安裝的計算機隨機生成一個名稱，例如“WIN-CT5F543TTOE”，在網絡應用中，應該為安裝Windows Server 2008的計算機定義簡捷并且有實用價值的計算機名稱，提高管理效率以及可用性。

第1步，Windows Server 2008啟動后，自動運行“初始配置任務”程序，如果管理員關閉了此程序，可以在命令行模式下，鍵入“oobe”啟動“初始配置任務”程序，顯示如圖1-1所示的“初始配置任務”窗口。

第2步，單擊“提供計算機名和域”超鏈接，打開“系統屬性”對話框。單擊“更改”按鈕，顯示如圖1-2所示的“計算機名/域更改”對話框。

第3步，在“計算機名”文本框中，鍵入該計算機的有效名稱，如圖1-3所示。

第4步，單擊“確定”按鈕，顯示如圖1-4所示“計算機名/域更改”對話框，提示需要重新啟動計算機。連續單擊“確定”按鈕，重新啟動服務器，完成計算機名稱的更改。

2. 設置靜態IP地址

Windows Server 2008安裝完成后，同時啟用IPv4協議和IPv6協議，在本例中使用IPv4協議，關閉IPv6協議。作為運行AD DS域服務的域控制器，必須使用靜態IP地址。本例中將部署Active Directory集成區域DNS服務器，需要將“首選DNS服務器”的IP地址指向本機的IP地址。如果在網絡中存在其他DNS服務器，則將“首選DNS服務器”的IP地址指向其他DNS服務器。

第1步，選擇“開始”→“控制面板”→“網絡和共享中心”選項，顯示如圖1-5所示的“網絡和共享中心”窗口。

第2步，選擇“未識別的網絡（公用網絡）”區域的“連接”→“本地連接”→“查看狀態”超鏈接，顯示如圖1-6所示的“本地連接 狀態”對話框。

第3步，單擊“屬性”按鈕，顯示如圖1-7所示的“本地連接 屬性”對話框。Windows Server 2008操作系統支持TCP/IPv6和TCP/IPv4協議，在本例中只使用“TCP/IPv4”協議，取消“Internet協議版本6（TCP/IPv6）”選項。

第4步，選擇“Internet協議版本4（TCP/IPv4）”選項，單擊“屬性”按鈕，顯示如圖1-8所示的“Internet協議版本4（TCP/IPv4）屬性”對話框，設置域控制器的IP地址、網關以及DNS地址參數。

第5步，單擊“確定”按鈕，關閉“Internet協議版本4（TCP/IPv4）屬性”對話框，返回到“本地連接屬性”對話框。單擊“關閉”按鈕，完成IP地址的設置。

3. 設置網絡類型

Windows Server 2008操作系統安裝完成后，默認網絡類型為“公用網絡”，在部署Active Directory的網絡中建議使用“專用”網絡。

第1步，選擇“開始”→“控制面板”→“網絡和共享中心”選項，顯示如圖1-9所示的“網絡和共享中心”窗口。

第2步，在“查看活動網絡”區域中，單擊“網絡（公用網絡）”鏈接，顯示如圖1-10所示的“設置網絡位置”窗口。

第3步，單擊“工作網絡”按鈕，設置為“專用”網絡模式，如圖1-11所示。

第4步，單擊“關閉”按鈕，完成網絡運行模式的設置，返回到“網絡和共享中心”窗口，網絡類型更新為“專用網絡”，如圖1-12所示。

1.2.2 使用向導模式部署AD DS域服務

前提條件準備完成后，即可開始部署AD DS域服務。本例中使用向導模式部署AD DS域服務。

1. 部署AD DS域服務

第1步，選擇“開始”→“管理工具”→“服務器管理器”選項，顯示如圖1-13所示的“服務器管理器”窗口。

第2步，選擇“服務器管理器”→“角色”選項，顯示如圖1-14所示的“角色”窗口。

第3步，單擊“添加角色”超鏈接，顯示如圖1-15所示的“開始之前”對話框，提示管理員安裝角色注意事項。

第4步，單擊“下一步”按鈕，顯示如圖1-16所示的“選擇服務器角色”對話框。在“角色”列表中，選中“Active Directory域服務”選項。

第5步，單擊“下一步”按鈕，顯示如圖1-17所示的“Active Directory域服務”對話框，簡要介紹Active Directory域服務的作用以及功能。

第6步，單擊“下一步”按鈕，顯示如圖1-18所示的“確認安裝選擇”對話框。

第7步，單擊“安裝”按鈕，開始安裝Active Directory域服務，顯示如圖1-19所示的“安裝進度”對話框，顯示了當前的安裝進度。

第8步，安裝完成，顯示如圖1-20所示的“安裝結果”對話框。

第9步，單擊“關閉該向導并啟動Active Directory域服務安裝向導（dcpormo.exe）”超級鏈接，關閉“添加角色向導”，并啟動“Active Directory域服務安裝向導”，顯示如圖1-21所示的“歡迎使用Active Directory域服務安裝向導”對話框。

第10步，單擊“下一步”按鈕，顯示如圖1-22所示的“操作系統兼容性”對話框，顯示操作系統兼容性信息。

第11步，單擊“下一步”按鈕，顯示如圖1-23所示的“選擇某一部署配置”對話框。“現有林”選項用來在現有的Active Directory中添加域控制器，“在新林中新建域”選項用來創建全新的Active Directory。本例中，安裝全新的Active Directory，選擇“在新林中新建域”選項。

第12步，單擊“下一步”按鈕，顯示如圖1-24所示的“命名林根域”對話框。設置新林的根域。

第13步，單擊“下一步”按鈕，顯示如圖1-25所示的“設置林功能級別”對話框。安裝向導提供三種模式，分別為Windows 2000、Windows Server 2003、Windows Server 2008和Windows Server 2008 R2模式。默認林功能級別為“Windows Server 2003”。

● 如果林功能級別為“Windows Server 2003”模式，單擊“下一步”按鈕，顯示如圖1-26所示的“設置林功能級別”對話框。在“林功能級別”列表中，可以選擇“Windows Server 2003”、“Windows Server 2008”和“Windows Server 2008 R2”模式。

● 如果域功能級別為“Windows Server 2003”模式，單擊“下一步”按鈕，顯示如圖1-27所示的“設置域功能級別”對話框。在“域功能級別”列表中，可以選擇 “Windows Server 2008”和“Windows Server 2008 R2”模式。

第14步，單擊“下一步”按鈕，顯示如圖1-28所示的“其他域控制器選項”對話框。本例中將設置域控制器為Active Directory集成區域DNS服務器，選擇“DNS服務器”選項。由于該服務器是域中第一個域控制器，因此安裝時將自動設置為全局編錄服務器。

第15步，單擊“下一步”按鈕，顯示如圖1-29所示的“Active Directory域服務安裝向導”對話框。提示管理員無法實現委派功能，該DNS服務器是網絡中的第一臺DNS服務器。

第16步，單擊“是”按鈕，顯示如圖1-30所示的“數據庫、日志文件和SYSVOL的位置”對話框。建議將數據庫、日志文件和SYSVOL文件夾分開存儲在不同的物理磁盤中，或者部署在運行RAID5的磁盤陣列或者其他存儲設備中。

第17步，單擊“下一步”按鈕，顯示如圖1-31所示的“目錄服務還原模式的管理員密碼”對話框。

第18步，單擊“下一步”按鈕，顯示如圖1-32所示的“摘要”對話框，顯示Active Directory設置信息。

第19步，單擊“下一步”按鈕，開始安裝AD DS域服務，如圖1-33所示。

第20步，安裝完成后，顯示如圖1-34所示的“完成Active Directory域服務安裝向導”對話框。

第21步，單擊“完成”按鈕，關閉“Active Directory域服務安裝向導”，顯示如圖1-35所示的“Active Directory域服務安裝向導”對話框，提示需要重新啟動計算機。

第22步，單擊“立即重新啟動”按鈕，重新啟動計算機，成功安裝AD DS域服務。

2. Active Directory域服務驗證

AD DS域服務安裝完成后，在“服務”管理控制臺中添加了名稱為“Active Directory域服務”的新服務，在“服務器管理器”的角色列表中，添加了“Active Directory域服務”。

（1）服務器管理器驗證

第1步，選擇“開始”→“管理工具”→“服務器管理器”選項，顯示如圖1-36所示的“服務器管理器”窗口。右側的“服務器摘要”→“計算機信息”顯示域為book.com。

第2步，選擇“服務器管理器”→“角色”選項，顯示如圖1-37所示的“服務器管理器”窗口。窗口右側的“角色摘要”→“角色”顯示已經安裝了“Active Directory域服務”和“DNS服務器”。

（2）服務驗證

選擇“開始”→“管理工具”→“服務”選項，顯示如圖1-38所示的“服務”窗口。在右側的窗口中，“Active Directory Domain Services”服務啟動類型為“自動”，狀態為“已啟動”，這是Windows Server 2008 AD DS域服務和其他版本（Windows 2000 Server和Windows Server 2003）的Active Directory域控制器不同的地方，Windows Server 2008的Active Directory以“服務”方式運行，管理員可以停止Active Directory服務的運行，其他版本的Active Directory域控制器以應用程序的方式運行，管理員不能單獨停止Active Directory的運行。

1.2.3 Active Directory管理中心

在Windows Server 2003和Windows Server 2008中，管理員可以使用“Active Directory用戶和計算機”控制臺來管理域中的賬戶等資源。而在Windows Server 2008 R2 AD DS域服務中，增加了一個“Active Directory管理中心”控制臺功能，可以用來控制計算機、域控制器、用戶，以及其他在AD DS范圍內的功能操作等。

1. Active Directory管理中心的功能

在Windows Server 2008 R2中，除了“Active Directory用戶和計算機”管理單元外，管理員還可以使用新Active Directory管理中心管理其目錄服務對象。Active Directory管理中心構建在Windows PowerShell命令行界面技術之上，但提供了增強的Active Directory數據管理體驗和豐富的圖形用戶界面（GUI），并且管理員還能根據特定的目錄服務管理要求來自定義，從而提高工作效率。

Active Directory管理中心可以執行的管理任務有：

● 新建用戶賬戶或管理現有用戶賬戶

● 新建組或管理現有組

● 新建計算機賬戶或管理現有計算機賬戶

● 新建組織單位（OU）和容器或管理現有OU

● 連接到同一Active Directory管理中心實例中的一個或多個域或域控制器，并查看或管理這些域或域控制器的目錄信息

● 使用查詢生成搜索篩選Active Directory數據

2. 運行Active Directory管理中心

依次單擊“開始”→“管理工具”→“Active Directory管理中心”，打開“Active Directory管理中心”控制臺，如圖1-39所示。默認顯示“管理中心概述”窗口。在“重置密碼”區域中，可以直接為域中的用戶賬戶更改密碼。在“全局搜索”區域中，可以查找域中的特定賬戶。

單擊“book（本地）”，即可顯示出域控制器上所有的容器，如圖1-40所示。雙擊容器名稱，即可將其打開并顯示出所包含的對象。同時，在右側的任務框中，可執行更改域控制器、提升功能級別等操作。

在左側列表框中，切換為樹視圖，即可以樹型目錄方式顯示域中所有的容器，如圖1-41所示。單擊容器名稱如Users，即可顯示出所包含的對象，并可進行管理。

3. 添加導航節點

“Active Directory管理中心”可以自定義圖形界面，例如，將常用的容器添加到視圖框中，以后就可以直接打開，而不需再去展開層層列表。

第1步，在“Active Directory管理中心”控制臺中，單擊“添加導航節點”按鈕，顯示如圖1-42所示“添加導航節點”對話框，列出了當前所有的容器。

第2步，選擇欲添加的節點，單擊“>>”按鈕，添加到“將下列容器添加到導航窗格”框中，如圖1-43所示。

第3步，單擊“確定”按鈕，返回“Active Directory管理中心”控制臺，所選擇的節點已被添加到視圖列表中，如圖1-44所示。

1.3 額外域控制器

額外域控制器是和域控制器并行的服務器，同樣是安裝了AD DS域服務的服務器。和域控制器的區別是，在額外域控制器上僅運行AD DS域服務，并沒有特殊的服務器操作主機角色。如果在域控制器出現故障的情況下，可以將額外域控制器提升為域控制器。額外域控制器部署請參考以下流程：

● 在服務器中安裝Windows Server 2008操作系統，此時該服務器稱為獨立服務器。

● 設置獨立服務器的網絡參數。

● 將獨立服務器提升為額外域控制器。

1.3.1 網絡參數設置

額外域控制器的網絡參數設置同【部署AD DS域服務】，同樣需要靜態IP地址。不過，額外域控制器的“首選DNS服務器”的IP地址應指向運行Active Directory集成區域的DNS服務器，即運行AD DS域服務的域控制器。

1.3.2 成員服務器提升為額外域控制器

以管理員身份登錄到成員服務器中，將成員服務器提升為額外域控制器。在部署的過程中，注意是否選擇“DNS服務器”和“全局編錄服務器”。該過程使用命令行模式完成。

第1步，單擊“開始”菜單，在“搜索程序和文件”文本框中鍵入“Dcpromo.exe”命令，按Enter鍵運行，啟動“Active Directory域服務安裝向導”。向導會檢測并自動安裝AD DS域服務需要的文件。

第2步，AD DS域服務需要的文件安裝完成后，顯示如圖1-45所示的“歡迎使用Active Directory域服務安裝向導”對話框。

第3步，單擊“下一步”按鈕，顯示如圖1-46所示的“操作系統兼容性”對話框，提示管理員關于系統兼容方面的信息。

第4步，單擊“下一步”按鈕，顯示如圖1-47所示的“選擇某一部署配置”對話框。本例將安裝Book.com域的額外域控制器，選擇“現有林”中的“向現有域添加域控制器”選項。

第5步，單擊“下一步”按鈕，顯示如圖1-48所示的“網絡憑據”對話框，設置具備將用戶添加到Active Directory中的賬戶名稱，使用默認值即可。

第6步，單擊“下一步”按鈕，顯示如圖1-49所示的“選擇一個域”對話框。向導自動檢索設置的Active Directory中可用的域，選擇目標域。

第7步，單擊“下一步”按鈕，顯示如圖1-50所示的“Active Directory域服務安裝向導”對話框，提示無法安裝只讀域控制器。

第8步，單擊“下一步”按鈕，顯示如圖1-51所示的“請選擇一個站點”對話框。為額外域控制器選擇一個站點，在本例中使用默認站點且只有一個站點，選擇默認站點即可。

第9步，單擊“下一步”按鈕，顯示如圖1-52所示的“其他域控制器選項”對話框。根據需要選擇“DNS服務器”和“全局編錄”選項。

第10步，單擊“下一步”按鈕，根據向導提示完成額外域控制器的部署。部署完成需要重新啟動額外域控制器，并以域管理員身份登錄。