對(duì)于活動(dòng)目錄（AD）來(lái)講，從Windows 2000到現(xiàn)在有非常多的文章在對(duì)其進(jìn)行探討，微軟公司每推出一代新的Windows系統(tǒng)，這一重要服務(wù)技術(shù)不管是從功能上還是從性能上都在不斷進(jìn)步。在此，以最新Windows Server 2008 R2（以后簡(jiǎn)稱(chēng)WIN08R2）系統(tǒng)為例，從零開(kāi)始講述關(guān)于WIN08R2活動(dòng)目錄相關(guān)技術(shù)。希望能一直堅(jiān)持寫(xiě)完！

——胖哥

通過(guò)多年來(lái)AD在企業(yè)中的部署，技術(shù)人員幾乎都知道與活動(dòng)目錄相關(guān)的一系列概念了，如：域、域樹(shù)、域林、OU和站點(diǎn)，還有域控制器（DC）等。那么，對(duì)于一個(gè)AD來(lái)講是從哪里開(kāi)始實(shí)現(xiàn)的呢？

也許有人將是從第一臺(tái)DC開(kāi)始的。的確，AD的起點(diǎn)是從安裝第一臺(tái)DC開(kāi)始的。但是，可能很少有人會(huì)意識(shí)到在安裝第一臺(tái)DC時(shí)，實(shí)際上是在部署AD的第一個(gè)域——根域，第一棵域樹(shù)，乃至實(shí)現(xiàn)一個(gè)單域的域林。只不過(guò)這個(gè)林中只有一棵域樹(shù)，這棵域樹(shù)中只有一個(gè)域，而且域中就只有這一臺(tái)計(jì)算機(jī)——第一個(gè)DC。

由此可見(jiàn)，在企業(yè)中即使是在部署安裝第一臺(tái)DC之前，所考慮的并不僅僅是怎樣去安裝一臺(tái)域控制器那么簡(jiǎn)單，而是要考慮好整個(gè)域林、域樹(shù)的規(guī)劃，以及相關(guān)服務(wù)，如：DNS服務(wù)等的規(guī)劃的部署。并且要考慮清楚，每一個(gè)服務(wù)實(shí)現(xiàn)的位置，每一個(gè)步驟實(shí)現(xiàn)的做法。只有這樣走下來(lái)，所部屬的AD才能更大的滿(mǎn)足現(xiàn)在和以后的需要。在此，由安裝域林中第一臺(tái)DC的過(guò)程，可以了解到在部署前需要考慮的一系列基本問(wèn)題。

一、DC網(wǎng)絡(luò)屬性的基本配置

對(duì)于將要安裝成為DC的服務(wù)器來(lái)講，其系統(tǒng)配置以及基本的磁盤(pán)規(guī)劃在此就不在累述了，但是關(guān)鍵的網(wǎng)絡(luò)連接屬性是必須要注意的?？梢酝ㄟ^(guò)打開(kāi)本地連接的屬性來(lái)進(jìn)行配置其IP屬性。作為服務(wù)器DC的IP地址一定要是靜態(tài)的IP地址，雖然不一定需要配置默認(rèn)網(wǎng)關(guān)，但是DNS服務(wù)器指向一定要配置正確，因?yàn)锳D的工作是緊密依賴(lài)于DNS服務(wù)的。本實(shí)例中整個(gè)微軟網(wǎng)絡(luò)環(huán)境都是白手起家的，考慮讓這第一臺(tái)DC同時(shí)充當(dāng)企業(yè)網(wǎng)絡(luò)中的DNS服務(wù)器，故需要將其首選DNS服務(wù)器地址配置為本臺(tái)計(jì)算機(jī)的IP地址（如圖1）。

圖2

當(dāng)然，除此之外，當(dāng)前計(jì)算機(jī)的NetBIOS名，也就是計(jì)算機(jī)需要設(shè)置好，因?yàn)榘惭b完DC后，再去進(jìn)行修改操作是不明智的。

二、準(zhǔn)備安裝AD服務(wù)

WIN08R2對(duì)于AD服務(wù)的安裝與早期版本略有不同，可以通過(guò)“服務(wù)器管理”的角色添加來(lái)完成初始化的準(zhǔn)備工作（如圖3），打開(kāi)“服務(wù)器管理”工具，展開(kāi)“角色”節(jié)點(diǎn)，在右邊窗口中點(diǎn)擊“添加角色”。

圖4

在“服務(wù)器角色”列表中勾選“Active Directory域服務(wù)”（如圖5），此時(shí)，系統(tǒng)會(huì)自動(dòng)彈出對(duì)話(huà)框，

圖6

所以在此必須點(diǎn)擊“添加必需的功能”按鈕，返回“選擇服務(wù)器角色”對(duì)話(huà)框后點(diǎn)擊“下一步”（如圖7）。

圖8

點(diǎn)擊“下一步”進(jìn)行安裝（如圖9）。

圖10

三、完成AD服務(wù)器的安裝

1、需要運(yùn)行AD域服務(wù)器安裝向?qū)Р拍芡瓿稍摲?wù)器的部署，所以在“運(yùn)行”對(duì)話(huà)框中輸入“dcpromo”點(diǎn)擊“確定”啟動(dòng)向?qū)Вㄈ鐖D11）。

圖12

但是在此建議使用高級(jí)模式來(lái)進(jìn)行操作。高級(jí)模式較之標(biāo)準(zhǔn)模式的功能增強(qiáng)可以參考表1所示。此外，還可直接在命令提示符下運(yùn)行帶有/adv開(kāi)關(guān)的dcpromo命令（dcpromo /adv）來(lái)啟動(dòng)高級(jí)向?qū)А?/P>

圖13

4、點(diǎn)擊“下一步”，對(duì)域林的根域進(jìn)行命名（如圖14）。需要在之前對(duì)DNS基礎(chǔ)結(jié)構(gòu)有一個(gè)完整的計(jì)劃。必須了解該林的完整DNS名稱(chēng)?？梢栽诎惭bAD之前先安裝DNS服務(wù)器服務(wù)，或者如本實(shí)例一樣選擇讓AD安裝向?qū)О惭bDNS服務(wù)器服務(wù)。

圖15

5、點(diǎn)擊“下一步”，“設(shè)置林功能級(jí)別”（如圖16），功能級(jí)別確定了在域或林中啟用AD的功能，還將限制可以在域或域林中DC上運(yùn)行的Windows服務(wù)器版本。但是，功能級(jí)別不會(huì)影響在連接到域或域林的工作站和成員服務(wù)器上運(yùn)行的操作系統(tǒng)。

圖17

DNS服務(wù)器選項(xiàng)

正如“DC網(wǎng)絡(luò)屬性的基本配置”一節(jié)中談到的在DC上同時(shí)安裝DNS服務(wù)，此處就需要勾選“DNS服務(wù)器”選項(xiàng)。該選項(xiàng)的默認(rèn)設(shè)置取決于此前選擇的部署配置和當(dāng)前網(wǎng)絡(luò)中的DNS環(huán)境等因素。表4中列出了不同AD部署配置的默認(rèn)DNS服務(wù)安裝配置。

圖18

8、確定AD數(shù)據(jù)庫(kù)、日志文件和SYSVOL放置的位置（如圖19）。對(duì)于數(shù)據(jù)庫(kù)來(lái)講主要存儲(chǔ)有關(guān)用戶(hù)、計(jì)算機(jī)和網(wǎng)絡(luò)中其它對(duì)象的信息；日志文件記錄與AD有關(guān)的活動(dòng)；SYSVOL存儲(chǔ)組策略對(duì)象和腳本，其默認(rèn)是位于%windir%目錄中的操作系統(tǒng)文件的一部分。

圖20

特別注意

DSRM密碼與域管理員帳戶(hù)的密碼不同。

當(dāng)創(chuàng)建林中第一臺(tái)DC時(shí)，AD安裝向?qū)?huì)將本地服務(wù)器上生效的密碼策略強(qiáng)制作用于此。對(duì)于所有的其他DC的安裝，AD安裝向?qū)F(xiàn)有DC上生效的密碼策略強(qiáng)制作用于此。這意味著，指定的DSRM密碼必須符合包含現(xiàn)有DC所在域的最小密碼長(zhǎng)度、歷史記錄和復(fù)雜性要求。默認(rèn)情況下，必須包含大寫(xiě)和小寫(xiě)字母組合、數(shù)字和符號(hào)的強(qiáng)密碼。

10、點(diǎn)擊“下一步”，顯示安裝摘要（如圖21），并且可以單擊“導(dǎo)出設(shè)置”將在此向?qū)е兄付ǖ脑O(shè)置保存到一個(gè)應(yīng)答文件。然后，可以使用應(yīng)答文件自動(dòng)執(zhí)行AD的后續(xù)安裝。

圖22

則執(zhí)行完畢后，AD安裝向?qū)⒊霈F(xiàn)完成安裝頁(yè)（如圖23）。點(diǎn)擊“完成”，

圖24

四、完成后簡(jiǎn)單驗(yàn)證安裝情況

重啟服務(wù)器后，可以通過(guò)以下幾點(diǎn)的驗(yàn)證來(lái)確定DC的基本安裝成功。

1、AD數(shù)據(jù)文件是否產(chǎn)生（如圖25）。

圖26

3、SYSVOL文件夾是否存在，能正常訪(fǎng)問(wèn)。

4、日志中是否有錯(cuò)誤事件等。

若均無(wú)問(wèn)題，則表明當(dāng)前部署的企業(yè)中第一臺(tái)DC工作基本正常。

本文出自 “胖哥技術(shù)堂” 博客