Windows Server 2012 R2 建立AD域

时间 2019-11-24

标签 windows server r2 建立栏目 Windows 繁體版

原文原文链接

前言

咱们按照下图来建立第一个林中的第一个域。建立方法为先安装一台Windows服务器，而后将其升级为域控制器。而后建立第二台域控制器，一台成员服务器与一台加入域的Win8计算机。 ios

环境

网络192.168.100.1 子网掩码 255.255.255.0 网关192.168.100.2 数据库

域名 contoso.com windows

DC1 192.168.100.11/24 数组

DC2 192.168.100.12/24 安全

Server 192.168.100.13/24 服务器

PC1 192.168.100.14/24 网络

建立域的必备条件

DNS域名：先要想好一个符合dns格式的域名，如 contoso.com
DNS服务器：域中须要将本身注册到DNS服务器内，瓤其余计算机经过DNS服务器来找到这台机器，所以须要一台可支持AD的DNS服务器，而且支持动态更新（若是如今没有DNS服务器，则能够在建立域的过程当中，选择这台域控上安装DNS服务器）

注：AD须要一个SYSVOL文件夹来存储域共享文件（例如域组策略有关的文件），该文件夹必须位于NTFS磁盘，系统默认建立在系统盘，为了性能建议按照到其余分区。架构

建立网络中的第一台域控制器

修改机器名和ip

先修改ip地址，而且将dns指向本身，而且修改计算机名为DC1，升级成域控后，机器名称会自动变成dc1.contoso.com tcp

安装域功能

选择服务器工具

选择域服务

提高为域控制器

添加新林

此林根域名不要与对外服务器的DNS名称相同，如对外服务的DNS URL为http://www.contoso.com，则内部的林根域名就不能是contoso.com，不然将来可能会有兼容问题。

选择林功能级别，域功能级别。、
此处咱们选择的为win 2012 ，此时域功能级别只能是win 2012，若是选择其余林功能级别，还能够选择其余域功能级别
默认会直接在此服务器上安装DNS服务器
第一台域控制器必须是全局编录服务器的角色
第一台域控制器不能够是只读域控制器（RODC）这个角色是win 2008时新出来的功能
设置目录还原密码。
目录还原模式是一个安全模式，能够开机进入安全模式时修复AD数据库，可是必须使用此密码

出现此警告无需理会

系统会自动建立一个netbios名称，能够更改。
不支持DNS域名的旧系统，如win98 winnt须要经过netbios名来进行通讯
数据库文件夹：用了存储AD数据库
日志文件文件夹：用了存储AD的更改记录，此记录能够用来修复AD数据库
SYSVOL文件夹：用了存储域共享文件（例如组策略）

若是计算机内有多个硬盘，建议将数据库与日志文件夹分别设置到不一样的硬盘内，分两个硬盘能够提供运行效率，并且分开存储能够避免两份数据同时出现问题，以提升修复AD的能力。（不过我认为如今都是RAID模式了不必分开，和操做系统分区分开就能够了）
顺利经过检查，直接安装

安装完成重启

检查DNS服务器内的记录是否完备

域控会将本身扮演的角色注册到DNS服务器内，以便让其余计算机可以经过DNS服务器来找到域控。所以先检查DNS服务器内是否已经存在这些记录。须要用域管理员帐户来登录contoso\administrator.

检查主机记录

选择管理工具-dns

默认会有一个contoso.com的区域，主机记录表示域控dc.contoso.com已经正确的将其主机名与IP地址注册到DNS服务器内。

若是域控制器已经正确的将家里注册到dns服务器，应该还会有_tcp _udp等文件夹。单击_tcp文件夹后能够看到数据类型为服务位置(SRV)的_ldap记录，表示dc1.contoso.com已经正确的注册为域控制器。还能看到_gc记录全局编录也是由dc1.contoso.com所扮演。

排除注册失败的问题

若是域成员自己的设置或者网络问题，会形成没法将数据注册到DNS服务器。

若是有成员计算机的主机与ip美圆正确注册到DNS服务器，能够到此机器上运行ipconfig /registerdns来手动注册。完成后，到DNS服务器检查是否已有正确记录，例如server1.contoso.com，ip地址192.168.100.13则坚持区域contoso.com是否有对应的a记录和ip。

若是发现域控制器没有将其扮演的角色注册到dns服务器，也就是没有_tcp文件夹与记录，到服务器中重启netlogon服务

建立更多的域控制器

若是一个域内有多个域控制器，能够有以下好处.

提升用户登陆的效率：若是同时有多台域控制器对客户提供服务，能够分担审核用户登陆身份（帐户与密码）的负担，让用户登陆效率更佳。
排错功能：若是有域控制器发生故障，此时依然能有其余正常的域控制器继续提供域服务器。

咱们将dc2.contoso.com升级为域控制器

首先更名，改ip

后面都和前面同样安装功能

这里不一样，将域控添加到现有域，输入域名contoso.com，而且输入现有权限添加域控的帐户contoso\administrator的密码。

只有Enterprise Admins和Domain Admins内的用户有权限建立其余域控制器。

选择从其余域控复制

安装完成后机器会重启，而后在检查DNS记录。

修改dns指向

修改dc1和dc2的dns互相将各自的首选dns指向对方域控

将windows计算机加入或脱离域

Windows加入域后，就能够访问ad数据库和其余域资源。能够被加域的计算机：

Windows server 2012(R2)

Windows server 2008(R2)

Windows server 2003(R2)

Windows 8

Windows 7

Windows vista

Windows xp

将windows计算机加入域

咱们要将server.contoso.com机器加入域。

先将机器更名改ip。

输入域名和域帐户密码

若是报错，请检查dns是否指向域控。

完成后咱们可使用域帐户登陆此台服务器

计算机名后已自动加上域名

脱离域

只要输入工做组并点击肯定

成员计算机内的ad管理工具

咱们有时管理员管理不过来是能够将开帐户的权限委派改其余各个部门的行政，委派给他们后，他们固然是不能登录域控的，这时就要在他们的计算机上安装ad管理工具

Windows server 2012

添加功能中，添加远程服务器管理工具

Windows8 和Windows7

都去官网下载Remote Server Administration Tools for Windows8/7

建立组织单位与域用户帐户

能够将用户帐户建立到任何一个容器或组织单位（OU）内。先建立业务部的OU.而后再建立用户。

建立组织单位

点击 Active Directory管理中心

输入名称

建立用户

业务部-新建用户

用户UPN登陆：用户能够利用这个域电子邮箱格式相同的名称（wang@contoso.com）来登陆域，此名称被称为User Principal Name（UPN）。此名在林中是惟一的。
用户名SamAccountName登陆：用户也能够利用此名称（contoso\wang）来登陆。其中wang是NetBios名。同一个域中此名称必须是惟一的。Windows NT Windows 98等旧版系统不支持UPN，所以在这些计算机上登陆时，只能使用此登陆名。

使用新帐户登陆域

咱们使用2种方法来登陆域

利用新用户帐户登陆域控

除了域Administrators等少数组内的成员外，其余通常域帐户默认没法登录到域控上，除非另外开放。

赋予用户在域控登陆权限

通常用户必须在域控上拥有容许本地登陆的权限，才能在域控上登陆。此权限能够用过组策略来开放。

系统管理工具-组策略管理

计算机配置-策略-windows设置-安全设置-本地策略-用户权限分配-容许本地登陆，而后将用户或组加入到列表内

组策略配置完成须要应用到域控才有效，应用方法有三种：

将域控制器重启
等域控制器自动应用此策略，可能须要等待5分钟或更久
手动应用：到域控制器上运行gpupdate或gpupdate\force

多台域控制器的状况

若是域内有多台域控制器，则设置的安全设置值，先被存储到PDC操做主机角色的域控制器内，默认由第一台域控制器扮演。

Active Directory用户和计算机-选择contoso.com右键操做主机

须要等待设置值从PDC操做主机复制到其余域控制器后，他们才会应用这些设置值。何时应用分两种状况：

自动复制：PDC操做主机默认15秒后悔自动将其复制出去，所以其余域控制器可能须要等15秒或更久才能接受到此设置值。
手动复制：到任何一台域控制器上选择Active Directory站点和服务-Sites-Default-First-Name Servers单击要接收设置的域控制器-NTDS Settings-当即复制。以下图DC1是操做主机，DC2是须要接收的域控

若是是组策略设置，则他先辈存储在PDC操做主机内，但若是Active Directory用户帐户或其余对象有改动，则这些改动会先被存储在所链接的域控制器，同时系统默认会在15秒后自动将此改动数据复制到其余域控制器。

若是要查询目前链接的域控制器，能够以下图在Active Directory管理中心控制台中将鼠标指针对着图中的contoso，他就会显示所链接的域控制器。若是要更改链接其余控制器，单击更改域控制器。

域用户我的数据的设置

每一个域用户帐户内部都有一些相关的属性数据，例如地址电话等，域用户能够经过这些属性来查找Active Directory内的用户，所以这些数据越完整越好。

限制登陆时间与登陆计算机

咱们能够限制用户的登陆时间已经能用使用某些计算机来登陆域。

以下图只能容许用户在正常上班时间内登陆电脑

默认用户能够登陆全部非域控制器的成员计算机，不过能够限制他们只能利用某些特定计算机来登陆域。以下图限制只能登陆server计算机。

Active Directory轻型目录服务

为了让支持目录访问的应用程序，能够在没有域的环境内享有目录服务的好处，Windows Server 2012内提供了Active Directory轻型目录服务 AD LDS,它可让你在计算机内建立多个目录服务器的环境，每一个环节被称为一个AD LDS实例，每一个实例拥有独立的目录设置，架构，数据库。

Active Directory回收站

在旧版的操做系统中，若是系统管理员误将ad对象删除，就须要进入目录服务还原模式。还原麻烦，而且在还原好重启时，域没法提供服务。

虽然windows server 2008 R2新增了ad回收站，让系统管理员不须要进入目录服务还原模式，就能够救回被删除的对象，可是却不是很好用，例如须要经过复杂的命令与步骤。

Windows server 2012 的ad回收站又有了进一步的改良，他提供容易使用的图像界面管理工具。

要启用ad回收站，林与域功能级别必须是Windows Server 2008 R2（含）以上的级别。注意，一旦启用回收站，就没法在禁用，所以域与林功能基本也没法在被降级。

启用Active Directory回收站

打开Active Directory管理中心，单击左侧的域名contoso，单击右侧的启用回收站

报错了

由于域内有多个域控制器，须要等设置值被复制到全部的域控制器后，ad回收站功能才会彻底正常。（我作实验，节约性能还有一台辅助域控没有打开）

开启辅助域控并复制设置值后再次开启回收站。

删除组织单位

试着将业务部删除，可是先将防止删除的选项删除

取消勾选防止意外删除。

接着删除业务部

还原组织单位

接下来，要经过回收站来救回组织单位，双击deleted objects。

选择要救回的组织单位，单击还原

删除域控制器与域

能够经过降级的方式来删除域控制器，也就是将Actice Directory从域控制器删除。在降级前先注意如下事项：

若是域内还有其余域控制器存在，则它会被降级为该域的成员服务器。

若是这台域控制器是此域内的最后一台域控制器，域内也没有其余的域控制器存在了，所以域将被删除，而域控制器也将会被降级为独立的服务器。

注：建议先将成员服务器server.contoso.com脱离域，由于在域删除后，这台服务器的帐户就没法登录域了（域删除后，也能够再将成员服务器脱离域）。

必须是Enterprise Admins组的成员，才能有权限删除域内的最后一台域控制器。若是此域之下还有子域，请先删除子域。

若是此域控制器是全局编录服务器，请检查其所在站点内是否还有其余全局编录服务器，若是没有，请先指定另外一台域控制器来扮演全局编录服务器，不然将影响用户登陆。Active Directory站点和服务-Site- Defalut-First-Site-Name – Server-NTDS Setting并单击鼠标右键-属性-勾选全局编录

若是删除的域控制器是林内最后一台域控制器，则林辉被一块儿删除。Enterprise Admins组的成员才有权限删除这台域控制器与林。

删除域控制器步骤：

取消勾选

先降级

选择拥有权限的帐户

如由于故障没法删除此域控制器(如，在删除时，须要可以链接企图域控制器，可是一直没法链接)此时能够勾选强制删除此域控制器。

属于降级后的本地administrator密码

降级后服务器会重启，并从新登录

虽然这台服务器已经再也不是域控了，不过此时域服务组件依然存在仍是要继续去删除。

删除最后一台域控

当域中已经没有其余域控制器时，最后一台删除时会多此选项。

删除dns区域和应用程序分区

完成后将管理工具删除