通過多年來AD在企業中的部署,技術人員幾乎都知道與活動目錄相關的一系列概念了,如:域、域樹、域林、OU和站點,還有域控制器(DC)等。那麼,對於一個AD來講是從哪裏開始實現的呢?
也許有人將是從第一臺DC開始的。的確,AD的起點是從安裝第一臺DC開始的。但是,可能很少有人會意識到在安裝第一臺DC時,實際上是在部署AD的第一個域——根域,第一棵域樹,乃至實現一個單域的域林。只不過這個林中只有一棵域樹,這棵域樹中只有一個域,而且域中就只有這一臺計算機——第一個DC。
由此可見,在企業中即使是在部署安裝第一臺DC之前,所考慮的並不僅僅是怎樣去安裝一臺域控制器那麼簡單,而是要考慮好整個域林、域樹的規劃,以及相關服務,如:DNS服務等的規劃的部署。並且要考慮清楚,每一個服務實現的位置,每一個步驟實現的做法。只有這樣走下來,所部屬的AD才能更大的滿足現在和以後的需要。在此,由安裝域林中第一臺DC的過程,可以瞭解到在部署前需要考慮的一系列基本問題。
一、DC網絡屬性的基本配置
對於將要安裝成爲DC的服務器來講,其系統配置以及基本的磁盤規劃在此就不在累述了,但是關鍵的網絡連接屬性是必須要注意的。可以通過打開本地連接的屬性來進行配置其IP屬性。作爲服務器DC的IP地址一定要是靜態的IP地址,雖然不一定需要配置默認網關,但是DNS服務器指向一定要配置正確,因爲AD的工作是緊密依賴於DNS服務的。本實例中整個微軟網絡環境都是白手起家的,考慮讓這第一臺DC同時充當企業網絡中的DNS服務器,故需要將其首選DNS服務器地址配置爲本臺計算機的IP地址(如圖1)。
圖1
由於WIN08R2默認防火牆配置是根據連接網絡類型來實施過濾的,所以,最好通過“網絡和共享中心”將其網絡類型有默認識別爲的“公用網絡”更改爲“專用網絡”(如圖2)。
圖2
當然,除此之外,當前計算機的NetBIOS名,也就是計算機需要設置好,因爲安裝完DC後,再去進行修改操作是不明智的。
二、準備安裝AD服務
WIN08R2對於AD服務的安裝與早期版本略有不同,可以通過“服務器管理”的角色添加來完成初始化的準備工作(如圖3),打開“服務器管理”工具,展開“角色”節點,在右邊窗口中點擊“添加角色”。
圖3
打開“添加角色嚮導”(如圖4),在該頁中會得到系統的三點提示,其中最重要的是第二點。對於第一、三點來講,可以不按提示配置,也不影響安裝,點擊“下一步”。
圖4
在“服務器角色”列表中勾選“Active Directory域服務”(如圖5),此時,系統會自動彈出對話框,
圖5
要求安裝“.NET Framework 3.5.1功能”(如圖6),由於AD在WIN08R2上必須該功能的支持,
圖6
所以在此必須點擊“添加必需的功能”按鈕,返回“選擇服務器角色”對話框後點擊“下一步”(如圖7)。
圖7
在“Active Directory域服務”對話框中,嚮導會給出四點注意事項(如圖8),根據這些注意事項可以瞭解到安裝AD前後操作應該執行的任務和AD需要的服務。
圖8
點擊“下一步”進行安裝(如圖9)。
圖9
當出現“安裝結果”對話框時,如果沒有錯誤,證明AD的安裝準備已經完成,但是由於該臺計算機還不能完全正常運行DC,所以提示需要啓用AD安裝嚮導(dcpromo.exe)來完成安裝(如圖10)。可以直接點擊“關閉該向導並啓動Active Directory域服務安裝嚮導(dcpromo.exe)”進入安裝嚮導,也可以直接點擊“關閉”按鈕之後,手動打開AD安裝嚮導。
圖10
三、完成AD服務器的安裝
1、需要運行AD域服務器安裝嚮導才能完成該服務器的部署,所以在“運行”對話框中輸入“dcpromo”點擊“確定”啓動向導(如圖11)。
圖11
2、經過系統自動檢測後,將出現AD安裝嚮導的歡迎界面(如圖12)。在該對話框中可以選擇使用標準或高級模式來進行安裝。對於高級模式是提供給有經驗的用戶對安裝過程有更多的控制,
圖12
但是在此建議使用高級模式來進行操作。高級模式較之標準模式的功能增強可以參考表1所示。此外,還可直接在命令提示符下運行帶有/adv開關的dcpromo命令(dcpromo /adv)來啓動高級嚮導。
表1
3、點擊“下一步”,對部屬配置進行選擇(如圖13),由於目的是部屬企業中的第一個DC,所以在此應選擇“在新林中新建域”。因爲,創建新林需要管理員權限,所以必須是正在其上安裝AD的服務器本地管理員組的成員。
圖13
4、點擊“下一步”,對域林的根域進行命名(如圖14)。需要在之前對DNS基礎結構有一個完整的計劃。必須瞭解該林的完整DNS名稱。可以在安裝AD之前先安裝DNS服務器服務,或者如本實例一樣選擇讓AD安裝嚮導安裝DNS服務器服務。
圖14
讓AD嚮導來安裝DNS服務器服務,將使用此處的DNS名稱爲林中的第一個域自動生成NetBIOS名稱。點擊“下一步”,嚮導會驗證DNS名稱和NetBIOS名稱在網絡中的唯一性。由於使用的是高級模式,所以NetBIOS無論是否發生衝突,都會出現“域NetBIOS名稱”步驟(如圖15)。當然,在標準模式下,只有檢查到自動生成的NetBIOS名稱與現有網絡中名稱衝突時,纔會出現該步驟。
圖15
5、點擊“下一步”,“設置林功能級別”(如圖16),功能級別確定了在域或林中啓用AD的功能,還將限制可以在域或域林中DC上運行的Windows服務器版本。但是,功能級別不會影響在連接到域或域林的工作站和成員服務器上運行的操作系統。
圖16
創建新域或新林時,建議將域和林功能級別設置爲當前環境可以支持的最高值,這樣可以儘可能的充分發揮AD的功能。如果肯定不會將運行Windows Server 2008(以後簡稱WIN08)或任何更早版本的操作系統的域控制器添加到域或林,可以選擇WIN08R2功能級別。另外,如果可能會保留或添加運行WIN08或早版本的域控制器,則在安裝期間應選擇 Windows Server 2008 功能級別。若確定不會添加這類域控制器或這類域控制器不再使用,則安裝後可以提升功能級別。需要注意的是不能將域功能級別設置爲低於林功能級別的值。例如將林功能級別設置爲WIN08,則只能將域功能級別設置爲WIN08或WIN08R2。Windows 2000(以後簡稱WIN2K)和Windows Server 2003(以後簡稱WIN03)域功能級別值在“設置域功能級別”嚮導頁中將不可選擇。因此,若選擇林功能級別爲WIN08R2,那麼,嚮導將不會出現“設置域功能級別”步驟,默認情況下向林添加的所有域都將爲WIN08R2域功能級別。
特別需要注意:
將域功能級別設置爲某個特定值後,將無法回滾或降低域功能級別,但以下情況例外:將域功能級別提升至WIN08R2,並且林功能級別爲WIN08或更低時,可以將域功能級別回滾到WIN08,且只能將其從WIN08R2降到WIN08,而不能將其回直接滾到WIN03。
將林功能級別設置爲某個值之後,就不能回滾或降低林功能級別,但有一種情況例外:當您將林功能級別提升到WIN08R2且沒有啓用AD回收站時,則可以選擇將林功能級別回滾到WIN08。且只能將其從WIN08R2降到WIN08,而不能將其回直接滾到WIN03。
以下表2列出了每種域功能級別啓用的功能和支持的域控制器操作系統
表2
以下表3列出了每種林功能級別啓用的功能和支持的域控制器操作系統
表3
6、點擊“下一步”,配置“其它域控制器選項”(如圖17)。在AD安裝期間,可以爲DC選擇安裝DNS服務、或將其設置成爲全局編錄服務器(GC)或只讀域控制器(RODC)。
圖17
DNS服務器選項
正如“DC網絡屬性的基本配置”一節中談到的在DC上同時安裝DNS服務,此處就需要勾選“DNS服務器”選項。該選項的默認設置取決於此前選擇的部署配置和當前網絡中的DNS環境等因素。表4中列出了不同AD部署配置的默認DNS服務安裝配置。
表4
需要注意的是:
如果啓動AD安裝嚮導之前已經安裝了DNS服務,但AD沒有 DNS 基礎結構,則 DNS 服務將繼續爲它承載的任何基於文件的區域解析名稱,但不會承載它作爲域控制器所在的域的任何AD集成的DNS區域。
全局編錄選項
由於林中的第一臺DC必須是GC,因此在創建域林時“全局編錄”複選框處於會被自動選中,而且變灰不能被取消。在現有域中安裝其他DC時,默認也會選中該複選框。但是,可以手動取消選擇。
在創建新的子域或域樹時,默認情況下不會選中“全局編錄”複選框,因爲新域中的第一個域控制器承載着所有域範圍的操作主機角色(FSMO角色),包括基礎結構操作主機角色。在多域林中,除非域中的所有DC都是GC,否則在GC上承載基礎結構主機角色可能會出現問題。因此,在新子域或域樹的第一個DC上安裝全局編錄,則需要在將其他DC安裝到域中之後轉移基礎結構主機角色,或是確保安裝到域中的所有其他DC也都是GC。而且,在安裝其他可寫域控制器時,AD安裝嚮導會驗證基礎結構主機是否承載於合適的DC上,並且會驗證它是否可以修復使用所選安裝選項引發的問題。
RODC選項
以下條件下不允許安裝 RODC:
- 新林中安裝第一個域控制器
- 新域中安裝第一個域控制器
- 林功能級別不是WIN03、WIN08或WIN08R2
- 要安裝RODC的域中沒有WIN08 或WIN08R2的可寫域控制器
選項間的關係
如果選中“只讀域控制器(RODC)”複選框,除非無法選中“DNS 服務器”複選框,否則嚮導會自動選中此選項。如果在嚮導選中“DNS 服務器”複選框之後將其清除,則嚮導會發出警告:“如果不同時安裝 DNS 服務器,分支機構中的客戶端可能無法找到RODC”。默認情況下,“全局編錄”複選框可能也處於選中狀態,具體取決於選擇的其他安裝選項。默認情況下,如果選中“只讀域控制器”複選框,嚮導就會自動選中“全局編錄”複選框。
驗證檢查選項
在“其他域控制器選項”頁上選擇選項,然後點擊“下一步”之後,嚮導會執行以下驗證檢查,之後纔會繼續進行操作。
靜態 IP 地址驗證——如果選中“DNS 服務器”複選框,AD安裝嚮導會驗證服務器的所有物理網絡適配器是否都具有一個靜態地址,包括靜態的IPv4和IPv6地址。儘管不使用靜態IP地址便可以完成AD安裝,但不建議這樣做,因爲如果DC的 IP地址發生變化,客戶端可能無法聯繫DC。
基礎結構主機檢查——如果選擇在域中安裝其他域控制器的選項,AD安裝嚮導默認會選中“全局編錄”複選框。如果正在安裝可寫域控制器(“只讀域控制器”複選框處於清除狀態),而且清除了“全局編錄”複選框,嚮導會檢查域中的全局編錄服務器上當前是否承載了基礎結構主機角色。如果檢查結果爲是,嚮導會提示將該角色轉移到正在安裝的DC上。可以點擊“是”將基礎結構主機角色轉移到此DC上,或點擊“否”稍後更改配置。
Adprep /rodcprep檢查——如果安裝 RODC,嚮導會驗證adprep /rodcprep命令是否成功完成,以及該命令導致的更改是否複製到整個林中。如果adprep /rodcprep命令沒有成功完成,或是更改尚未複製到整個林中,會收到一條錯誤消息,指出在繼續進行安裝之前必須運行該命令。如果收到此消息,可以在林中的任何計算機上再次運行adprep /rodcprep,或是等待更改複製到整個林中。
7、點擊“下一步”,系統會彈出DNS服務委派警告對話框(如圖18)。在此,點擊“是”繼續完成嚮導。這個對話框的出現是由於配置其它服務器時,選擇了“DNS服務器”選項,而當前計算機又未找到指定域的權威父域Windows DNS服務器,從而無法確定是否對指定域進行了委派導致的。
圖18
8、確定AD數據庫、日誌文件和SYSVOL放置的位置(如圖19)。對於數據庫來講主要存儲有關用戶、計算機和網絡中其它對象的信息;日誌文件記錄與AD有關的活動;SYSVOL存儲組策略對象和腳本,其默認是位於%windir%目錄中的操作系統文件的一部分。
圖19
在決定AD文件的存儲位置時,可以從以下兩個因素來考慮——
備份和恢復
對於只有一個硬盤的服務器來將,只需接受AD安裝嚮導的默認安裝設置即可。但是,必須至少在該硬盤上創建兩個卷。其中一個卷用於存儲關鍵卷數據,另一個卷用於存儲備份。 在使用Windows Server Backup或Wbadmin.exe命令行工具備份DC時,至少必須備份系統狀態數據,以便使用備份恢復服務器。用於存儲備份的卷不能與承載系統狀態數據的卷相同。構成系統狀態數據的系統組件由安裝在計算機上的服務器角色來決定。系統狀態數據至少包括下列數據(根據所安裝的服務器角色,還可能包括其他數據):
- 註冊表
- COM+ 類註冊數據庫
- 引導文件
- Active Directory 證書服務 (AD CS) 數據庫
- 承載 Active Directory 數據庫 (Ntds.dit) 的卷
- 承載 Active Directory 數據庫日誌文件的卷
- SYSVOL 目錄
- 羣集服務信息
- Microsoft Internet Information Services (IIS) 元目錄
- Windows 資源保護下的系統文件
性能
對於更加複雜的安裝,可能需要配置硬盤存儲以優化 AD的性能。由於數據庫和日誌文件以不同方式利用磁盤存儲空間,因此可以通過將每種內容分配到不同的硬盤主軸來提高 AD的性能。
例如,一臺服務器具有四個可用的硬盤驅動器,它們的驅動器卷標分別爲:
- 驅動器 C,包含操作系統文件
- 驅動器 D,未使用
- 驅動器 E,未使用
- 驅動器 F,用於備份
在此服務器上,可以通過將數據庫和日誌文件分別安裝到專用的驅動器(如D和E)中而最大限度提高AD的性能。這有助於提高數據庫的搜索性能,因爲有一個驅動器主軸可以專用於搜索活動。在同時進行大量更改的情況下,這種配置也會降低承載日誌文件的磁盤出現瓶頸問題的機率。可以將 SYSVOL 與操作系統文件一起存儲在驅動器 C 中。
9、點擊“下一步”,嚮導要求輸入“目錄還原模式的Administrator密碼”(如圖20)。在 AD未運行時,目錄服務還原模式(DSRM)密碼是登錄域控制器所必需的。
圖20
特別注意
DSRM密碼與域管理員帳戶的密碼不同。
當創建林中第一臺DC時,AD安裝嚮導會將本地服務器上生效的密碼策略強制作用於此。對於所有的其他DC的安裝,AD安裝嚮導將現有DC上生效的密碼策略強制作用於此。這意味着,指定的DSRM密碼必須符合包含現有DC所在域的最小密碼長度、歷史記錄和複雜性要求。默認情況下,必須包含大寫和小寫字母組合、數字和符號的強密碼。
10、點擊“下一步”,顯示安裝摘要(如圖21),並且可以單擊“導出設置”將在此嚮導中指定的設置保存到一個應答文件。然後,可以使用應答文件自動執行AD的後續安裝。
圖21
應答文件是包含 [DCInstall] 標題的純文本文件,應答文件提供了對AD安裝嚮導所需配置的設置值。使用該應答文件時,管理員無需與該向導進行交互。嚮導會向該應答文件中添加文本,說明如何使用該文件,例如,說明如何使用dcpromo命令來調用該文件以及必須更新哪些設置才能使用該文件。
若要使用應答文件來安裝AD,在命令提示符下輸入:
dcpromo /answer[:filename]
其中 filename 爲應答文件的名稱。
11、點擊“下一步”,安裝嚮導執行安裝操作(如圖22)。如果沒有勾選“完成後重新啓動”複選框,
圖22
則執行完畢後,AD安裝嚮導將出現完成安裝頁(如圖23)。點擊“完成”,
圖23
系統會提示需要重新啓動計算機配置才能生效(如圖24)。點擊“立即重新啓動”完成DC安裝操作。
圖24
四、完成後簡單驗證安裝情況
重啓服務器後,可以通過以下幾點的驗證來確定DC的基本安裝成功。
1、AD數據文件是否產生(如圖25)。
圖25
2、DNS服務是否工作正常,與域相關的資源記錄,特別是SRV記錄是否正確寫入(如圖26)。
圖26
3、SYSVOL文件夾是否存在,能正常訪問。
4、日誌中是否有錯誤事件等。
若均無問題,則表明當前部署的企業中第一臺DC工作基本正常。