測試環境:
服務器:計算機名Win2008R2CNDC,已安裝Windows Server 2008 R2。IPV4:192.168.1.13,255.255.255.0,網關地址192.168.1.1
管理員:Bill.XU
實驗要求:安裝第一個企業根據域控制器域名爲Hbycrsj.com。
部署過程:
以下操作都是以管理員Bill.XU登錄完成
方法一:手動部署
1、使用事件查看器(EventVWR.MSC),查看日誌情況。並要所查看情況,進行系統診斷,確保安裝前系統的狀態正常
2、打開網絡連接,設置網卡的IP4地址爲一靜態地址,同時將DNS服務器地址設置爲127.0.0.1
3、運行DCPROMO,出現設置嚮導。設置過程如下圖
檢測系統是否安裝AD域服務二進制文件,如果沒有,系統會自動安裝(也可以在運行命令之前,通過服務器管理器,添加活動目錄域服務角色來安裝)
出現活動目錄域服務安裝嚮導,選擇高級模式(如果不選擇此項,安裝過程中將無法對有些設置進行更改,如域Netbios名的更改等)
由於這是森林中的第一臺服務器,所以選擇在新林中新建域。
功能級別,所提供的功能不同。如要使用R2新增的活動目錄回收站功能,必須將功能級別提升到2008 R2功能級別。要使用棵粒化密碼策略,須將功能級別提升到2008。R2新增了一種功能級別即2008 R2級別。注意功能級別的操作是單向,即當提升到一個高功能級別後,它不能再降爲低功能級別。除非得新安裝AD域服務
具體見:
Appendix of Functional Level Features
此實驗中,DC也是一臺DNS服務器,所以要勾選DNS服務器。同時,這是森林中的第一臺DC,所以全局編錄(GC),只讀域控制器(RODC)不可操作。森林中必須至少有一臺GC,同時要安裝RODC,域中必須首先有一臺可寫的DC。
指定活動目錄數據庫的存放位置。在一個大型的網絡中,爲了提高活動活動工作效率,可以將數據在放在其它的磁盤控制器或RAID上。同時,隨着活動目錄數據增大,可以以後通過操作移動活動目錄的位置。當然活動目錄數據還有其它操作(如壓縮)。我將在以後的實驗中進行操作。
目錄服務還原模式(DSRM)密碼,必須符合密碼複雜性。默認情況下,密碼複雜性是指長度至少爲7個字符,密碼必須含有數字,符號,大小字這三項中的兩項。同時,密碼存放歷史不能在24個之內。
可能啓動系統時,按F8,選擇進入DSRM,進行活動目錄的相關操作,如還原對象等。
導出設置,將設置導出一個文本文件。我們可以利用這個文件進行活動目錄的無人職守安裝
以下無人職守文件的內容。具體參數含義見
; DCPROMO unattend file (automatically generated by dcpromo)
; Usage:
; dcpromo.exe /unattend:C:\Users\Administrator\Desktop\Share\UNATTEND.TXT
;
[DCInstall]
; New forest promotion
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=HBYCRSJ.COM
ForestLevel=2
DomainNetbiosName=HBYCRSJ
DomainLevel=2
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
; Set SafeModeAdminPassword to the correct value prior to using the unattend file
SafeModeAdminPassword=
; Run-time flags (optional)
; RebootOnCompletion=Yes
4、重新啓動計算機。將網卡地址的DNS服務器地址設置爲它自身的IP地址。即192.168.1.13
5、驗證DC是否安裝成功
打開DNS管理器(DNSmgmt.msc),在服務器節點可以看到
打開管理工具,可以看到新增瞭如下有關活動目錄的管理工具
使用事件查看器,查看安裝情況。
方法二:通過命令行進部署
通過dcpromo命令的命令參數進行安裝
dcpromo /unattend /InstallDns:yes /dnsOnNetwork:yes /replicaOrNewDomain:domain /newDomain:forest /newDomainDnsName:hbycrsj.com /DomainNetbiosName:hbycrsj /databasePath:"c:\Windows\ntds" /logPath:"c:\Windows\ntdslogs" /sysvolpath:"c:\Windows\sysvol" /safeModeAdminPassword:a1a2a3B1! /forestLevel:2 /domainLevel:2 /rebootOnCompletion:yes
命令行參數包括:
/unattend[:filename]
用於指定無人蔘與操作模式或提供無人蔘與安裝腳本文件。
/adv
啓用高級用戶選項。
/uninstallBinaries
用於卸載 Active Directory 域服務二進制文件。
/?[:{Promotion | CreateDcAccount | UseExistingAccount | Demotion}]
/?:Promotion、/?:CreateDCAccount、/?:UseExistingAccount 和 /?:Demotion
將顯示適用於指定任務的無人蔘與參數。
/CreateDCAccount 和 /UseExistingAccount:Attach 互斥。
/CreateDCAccount
創建 RODC 帳戶。
/UseExistingAccount:Attach
將服務器與 RODC 帳戶連接。
/forceRemoval
強制卸載此域控制器上的 Active Directory 域服務。不會在目錄中
刪除用於域控制器的帳戶,但自此域控制器上次使用夥伴複製後發生
的更改將丟失。
/?
顯示此幫助。
無人蔘與參數還可以在命令行上進行指定。例如:
dcpromo.exe /ReplicaOrNewDomain:Replica
方法三:通過無人應答文件行進部署
產生如上面所述的無人應答文件,輸入如下命令進行安裝
dcpromo.exe /unattend:UNATTEND.TXT
方法四:通過媒體進行安裝
可以使用 Ntdsutil.exe 爲在域中創建的其他域控制器創建安裝介質。通過從介質安裝,可以最大程度地減少網絡上目錄數據的複製。這樣可有得於在遠程站點中更高效地安裝其他域控制器。
這個方法我將在以後進行介紹。