部署第一個域：Active Directory系列之二

部署第一個域

在上篇博文中我們介紹了部署域的意義，今天我們來部署第一個域。一般情況下，域中有三種計算機，一種是域控制器，域控制器上存儲着Active Directory；一種是成員服務器，負責提供郵件，數據庫，DHCP等服務；還有一種是工作站，是用戶使用的客戶機。我們準備搭建一個基本的域環境，拓撲如下圖所示，Florence是域控制器，Berlin是成員服務器，Perth是工作站。

部署一個域大致要做下列工作：

1 DNS前期準備

2 創建域控制器

3 創建計算機賬號

4 創建用戶賬號

一 DNS前期準備

DNS服務器對域來說是不可或缺的，一方面，域中的計算機使用DNS域名，DNS需要爲域中的計算機提供域名解析服務；另外一個重要的原因是域中的計算機需要利用DNS提供的SRV記錄來定位域控制器，因此我們在創建域之前需要先做好DNS的準備工作。那麼究竟由哪臺計算機來負責做DNS服務器呢？一般工程師有兩種選擇，要麼使用域控制器來做DNS服務器，要麼使用一臺單獨的DNS服務器。我一般使用一臺獨立的計算機來充當DNS服務器，這臺DNS服務器不但爲域提供解析服務，也爲公司其他的業務提供DNS解析支持，大家可以根據具體的網絡環境來選擇DNS服務器。

在創建域之前，DNS服務器需要做好哪些準備工作呢？

1 創建區域並允許動態更新

首先我們要在DNS服務器上創建出一個區域，區域的名稱和域名相同，域內計算機的DNS記錄都創建在這個區域中。我們在DNS服務器上打開DNS管理器，如下圖所示，右鍵單擊正向查找區域，選擇新建一個區域。出現新建區域嚮導後，點擊下一步繼續。

區域類型選擇“主要區域”。

區域名稱和域名相同，是adtest.com。

區域一定要允許動態更新，因爲在創建域的過程中需要向DNS區域中寫入A記錄，SRV記錄和Cname記錄。

區域創建完畢，點擊完成結束創建。

2 檢查NS和SOA記錄

區域創建完成後，一定要檢查一下區域的NS記錄和SOA記錄。在前面的DNS課程中，我們已經介紹了NS記錄和SOA記錄的意義，NS記錄描述了有多少個DNS服務器可以解析這個區域，SOA記錄描述了哪個DNS服務器是區域的主服務器。如果NS記錄和SOA記錄出錯，域的創建過程中就無法向DNS區域中寫入應有的記錄。在DNS服務器上打開DNS管理器，在adtest.com區域中檢查ns記錄，如下圖所示，我們發現ns記錄不是一個有效的完全合格域名，我們需要對它進行修改。

如下圖所示，我們把ns記錄改爲 ns.adtest.com.，解析出的IP地址和DNS服務器的IP是吻合的，這樣我們就完成了ns記錄的修改。

如下圖所示，我們把區域的SOA記錄也同樣進行修改，現在區域的主服務器是ns.adtest.com.，這樣SOA記錄也修改完畢了。

至此，DNS準備工作完成，我們接下來可以部署域了。

二 創建域控制器

有了DNS的支持，我們現在可以開始創建域控制器了，域控制器是域中的第一臺服務器，域控制器上存儲着Active Directory，可以說，域控制器就是域的靈魂。我們準備在Florence上創建域控制器，首先檢查Florence網卡的TCP/IP屬性，注意，Florence應該使用192.168.11.1作爲自己的DNS服務器。因爲我們剛剛在192.168.11.1上創建了adtest.com區域。

如下圖所示，在Florence上運行Dcpromo，開始域控制器的創建。

如下圖所示，出現Active Directory安裝嚮導，創建域控制器其實就是在Florence上安裝一個Active Directory數據庫，點擊下一步繼續。

Adtest.com是一個新創建的域，因爲我們選擇創建“新域的域控制器”。

如下圖所示，我們選擇創建一個“在新林中的域”，這個選項是什麼意思呢？我們雖然只是簡單地創建了一個域，但其實從邏輯上講是創建了一個域林。因爲域一定要隸屬於域樹，域樹一定要隸屬於域林。因爲我們實際上是創建了一個域林，雖然這個域林內只有一棵域樹，域樹內只有一個樹根。

輸入域的DNS名稱，adtest.com。

域的NETBIOS名稱是ADTEST，由於.在NETBIOS名稱中是非法字符，因爲基本上域的NETBIOS名稱就是域名中.之前的部分。

Active Directory數據庫的路徑我們使用了默認值，如果在生產環境，可以考慮把數據庫和日誌部分分開存儲。

Sysvol文件夾的路徑我們也使用默認值，至於Sysvol文件夾是幹嘛的，我們後續會有介紹。

接下來Active Directory的安裝嚮導會對DNS服務器進行檢測，檢查是否在DNS服務器上已經創建了和域名相同的區域，而且區域是否允許動態更新。如下圖所示，DNS檢測通過。注意，如果DNS檢測有問題，我們應該及時排除故障，而不應該繼續向下進行。

接下來要選擇用戶和組的默認權限，我們選擇了不允許匿名用戶查詢域中的信息。

設置一下還原模式的管理員口令，我們從備份中恢復Active Directory時需要用到。

好，如下圖所示仔細檢查一下創建域的各項設置是否正確，如果沒有問題我們就開工了！

如下圖所示，Active Directory安裝嚮導開始在Florence上安裝Active Directory。

如下圖所示，重啓計算機後即可完成Active Directory的安裝。

重啓Florence後我們發現已經可以用域管理員的身份登錄了，adtest.com域已經被成功創建了。

檢查DNS服務器，我們發現DNS區域中已經自動創建了很多記錄，這些記錄的作用以後我們再來分析，現在大家只要注意檢查一下創建域時有沒有把這些記錄創建出來，如果沒有那就有問題了。

至此，我們完成了域控制器的創建，adtest.com域誕生了！

三 創建計算機賬號

創建計算機賬號就是把成員服務器和用戶使用的客戶機加入域，這些計算機加入域時會在Active Directory中創建計算機賬號。創建計算機賬號從操作上看非常簡單，但其實背後涉及的東西很多，例如域控制器和加入域的計算機要共享一個密鑰等等，這些內容我們在後期會爲大家介紹。

以Berlin爲例爲大家介紹如何把計算機加入域，首先要確保Berlin已經使用了192.168.11.1作爲自己的DNS服務器，否則Berlin無法利用DNS定位域控制器。

如下圖所示，在Berlin的計算機屬性中切換到“計算機名”標籤，點擊“更改”。

我們選擇讓Berlin隸屬於域，域名是adtest.com。

這時系統需要我們輸入一個有權限在Active Directory中創建計算機賬號的用戶名和口令，我們輸入了域管理員的用戶名和密碼。

系統彈出一個窗口歡迎Berlin加入域，這時在Florence上打開Active Directory用戶和計算機，如下圖所示，我們發現Berlin的計算機賬號已經被創建出來了。

四 創建用戶賬號

創建完計算機賬號後，我們需要爲企業內的員工在Active Directory中創建關聯的用戶賬號。首先我們應該在Active Directory中利用組織單位展示出企業的管理架構，如下圖所示，我們爲大家演示一下如何創建一個組織單位。打開Active Directory用戶和計算機，選擇新建組織單位。