Windows Server 2012 R2 建立AD域

 

 

前言

咱們按照下圖來建立第一個林中的第一個域。建立方法爲先安裝一臺Windows服務器，而後將其升級爲域控制器。而後建立第二臺域控制器，一臺成員服務器與一臺加入域的Win8計算機。

環境

網絡192.168.100.1 子網掩碼 255.255.255.0 網關192.168.100.2

域名 contoso.com

DC1 192.168.100.11/24

DC2 192.168.100.12/24

Server 192.168.100.13/24

PC1 192.168.100.14/24

建立域的必備條件

• DNS域名：先要想好一個符合dns格式的域名，如 contoso.com
• DNS服務器：域中須要將本身註冊到DNS服務器內，瓤其餘計算機經過DNS服務器來找到這臺機器，所以須要一臺可支持AD的DNS服務器，而且支持動態更新（若是如今沒有DNS服務器，則能夠在建立域的過程當中，選擇這臺域控上安裝DNS服務器）

注：AD須要一個SYSVOL文件夾來存儲域共享文件（例如域組策略有關的文件），該文件夾必須位於NTFS磁盤，系統默認建立在系統盤，爲了性能建議按照到其餘分區。

 

建立網絡中的第一臺域控制器

修改機器名和ip

先修改ip地址，而且將dns指向本身，而且修改計算機名爲DC1，升級成域控後，機器名稱會自動變成dc1.contoso.com

安裝域功能

選擇服務器

選擇域服務

提高爲域控制器

添加新林

此林根域名不要與對外服務器的DNS名稱相同，如對外服務的DNS URL爲http://www.contoso.com，則內部的林根域名就不能是contoso.com，不然將來可能會有兼容問題。

• 選擇林功能級別，域功能級別。、

  此處咱們選擇的爲win 2012 ，此時域功能級別只能是win 2012，若是選擇其餘林功能級別，還能夠選擇其餘域功能級別

• 默認會直接在此服務器上安裝DNS服務器
• 第一臺域控制器必須是全局編錄服務器的角色
• 第一臺域控制器不能夠是隻讀域控制器（RODC）這個角色是win 2008時新出來的功能
• 設置目錄還原密碼。

  目錄還原模式是一個安全模式，能夠開機進入安全模式時修復AD數據庫，可是必須使用此密碼

   

  出現此警告無需理會

  系統會自動建立一個netbios名稱，能夠更改。

  不支持DNS域名的舊系統，如win98 winnt須要經過netbios名來進行通訊

• 數據庫文件夾：用了存儲AD數據庫
• 日誌文件文件夾：用了存儲AD的更改記錄，此記錄能夠用來修復AD數據庫
• SYSVOL文件夾：用了存儲域共享文件（例如組策略）

  若是計算機內有多個硬盤，建議將數據庫與日誌文件夾分別設置到不一樣的硬盤內，分兩個硬盤能夠提供運行效率，並且分開存儲能夠避免兩份數據同時出現問題，以提升修復AD的能力。（不過我認爲如今都是RAID模式了不必分開，和操做系統分區分開就能夠了）

  順利經過檢查，直接安裝

  安裝完成重啓

檢查DNS服務器內的記錄是否完備

域控會將本身扮演的角色註冊到DNS服務器內，以便讓其餘計算機可以經過DNS服務器來找到域控。所以先檢查DNS服務器內是否已經存在這些記錄。須要用域管理員帳戶來登錄contoso\administrator.

檢查主機記錄

選擇管理工具-dns

默認會有一個contoso.com的區域，主機記錄表示域控dc.contoso.com已經正確的將其主機名與IP地址註冊到DNS服務器內。

若是域控制器已經正確的將家裏註冊到dns服務器，應該還會有_tcp _udp等文件夾。單擊_tcp文件夾後能夠看到數據類型爲服務位置(SRV)的_ldap記錄，表示dc1.contoso.com已經正確的註冊爲域控制器。還能看到_gc記錄全局編錄也是由dc1.contoso.com所扮演。

排除註冊失敗的問題

若是域成員自己的設置或者網絡問題，會形成沒法將數據註冊到DNS服務器。

若是有成員計算機的主機與ip美圓正確註冊到DNS服務器，能夠到此機器上運行ipconfig /registerdns來手動註冊。完成後，到DNS服務器檢查是否已有正確記錄，例如server1.contoso.com，ip地址192.168.100.13則堅持區域contoso.com是否有對應的a記錄和ip。

若是發現域控制器沒有將其扮演的角色註冊到dns服務器，也就是沒有_tcp文件夾與記錄，到服務器中重啓netlogon服務

建立更多的域控制器

若是一個域內有多個域控制器，能夠有以下好處.

• 提升用戶登陸的效率：若是同時有多臺域控制器對客戶提供服務，能夠分擔審覈用戶登陸身份（帳戶與密碼）的負擔，讓用戶登陸效率更佳。
• 排錯功能：若是有域控制器發生故障，此時依然能有其餘正常的域控制器繼續提供域服務器。

咱們將dc2.contoso.com升級爲域控制器

首先更名，改ip

後面都和前面同樣安裝功能

這裏不一樣，將域控添加到現有域，輸入域名contoso.com，而且輸入現有權限添加域控的帳戶contoso\administrator的密碼。

只有Enterprise Admins和Domain Admins內的用戶有權限建立其餘域控制器。

選擇從其餘域控複製

安裝完成後機器會重啓，而後在檢查DNS記錄。

修改dns指向

修改dc1和dc2的dns互相將各自的首選dns指向對方域控

將windows計算機加入或脫離域

Windows加入域後，就能夠訪問ad數據庫和其餘域資源。能夠被加域的計算機：

Windows server 2012(R2)

Windows server 2008(R2)

Windows server 2003(R2)

Windows 8

Windows 7

Windows vista

Windows xp

將windows計算機加入域

咱們要將server.contoso.com機器加入域。

先將機器更名改ip。

輸入域名和域帳戶密碼

若是報錯，請檢查dns是否指向域控。

完成後咱們可使用域帳戶登陸此臺服務器

計算機名後已自動加上域名

脫離域

只要輸入工做組並點擊肯定

成員計算機內的ad管理工具

咱們有時管理員管理不過來是能夠將開帳戶的權限委派改其餘各個部門的行政，委派給他們後，他們固然是不能登錄域控的，這時就要在他們的計算機上安裝ad管理工具

Windows server 2012

添加功能中，添加遠程服務器管理工具

Windows8 和Windows7

都去官網下載Remote Server Administration Tools for Windows8/7

建立組織單位與域用戶帳戶

能夠將用戶帳戶建立到任何一個容器或組織單位（OU）內。先建立業務部的OU.而後再建立用戶。

建立組織單位

點擊 Active Directory管理中心

輸入名稱

建立用戶

業務部-新建用戶

• 用戶UPN登陸：用戶能夠利用這個域電子郵箱格式相同的名稱（wang@contoso.com）來登陸域，此名稱被稱爲User Principal Name（UPN）。此名在林中是惟一的。
• 用戶名SamAccountName登陸：用戶也能夠利用此名稱（contoso\wang）來登陸。其中wang是NetBios名。同一個域中此名稱必須是惟一的。Windows NT Windows 98等舊版系統不支持UPN，所以在這些計算機上登陸時，只能使用此登陸名。

使用新帳戶登陸域

咱們使用2種方法來登陸域

利用新用戶帳戶登陸域控

除了域Administrators等少數組內的成員外，其餘通常域帳戶默認沒法登錄到域控上，除非另外開放。

賦予用戶在域控登陸權限

通常用戶必須在域控上擁有容許本地登陸的權限，才能在域控上登陸。此權限能夠用過組策略來開放。

系統管理工具-組策略管理

計算機配置-策略-windows設置-安全設置-本地策略-用戶權限分配-容許本地登陸，而後將用戶或組加入到列表內

組策略配置完成須要應用到域控纔有效，應用方法有三種：

• 將域控制器重啓
• 等域控制器自動應用此策略，可能須要等待5分鐘或更久
• 手動應用：到域控制器上運行gpupdate或gpupdate\force

多臺域控制器的狀況

若是域內有多臺域控制器，則設置的安全設置值，先被存儲到PDC操做主機角色的域控制器內，默認由第一臺域控制器扮演。

Active Directory用戶和計算機-選擇contoso.com右鍵操做主機

須要等待設置值從PDC操做主機複製到其餘域控制器後，他們纔會應用這些設置值。何時應用分兩種狀況：

• 自動複製：PDC操做主機默認15秒後悔自動將其複製出去，所以其餘域控制器可能須要等15秒或更久才能接受到此設置值。
• 手動複製：到任何一臺域控制器上選擇Active Directory站點和服務-Sites-Default-First-Name Servers單擊要接收設置的域控制器-NTDS Settings-當即複製。以下圖DC1是操做主機，DC2是須要接收的域控

若是是組策略設置，則他先輩存儲在PDC操做主機內，但若是Active Directory用戶帳戶或其餘對象有改動，則這些改動會先被存儲在所鏈接的域控制器，同時系統默認會在15秒後自動將此改動數據複製到其餘域控制器。

若是要查詢目前鏈接的域控制器，能夠以下圖在Active Directory管理中心控制檯中將鼠標指針對着圖中的contoso，他就會顯示所鏈接的域控制器。若是要更改鏈接其餘控制器，單擊更改域控制器。

域用戶我的數據的設置

每一個域用戶帳戶內部都有一些相關的屬性數據，例如地址 電話等，域用戶能夠經過這些屬性來查找Active Directory內的用戶，所以這些數據越完整越好。

限制登陸時間與登陸計算機

咱們能夠限制用戶的登陸時間已經能用使用某些計算機來登陸域。

以下圖只能容許用戶在正常上班時間內登陸電腦

默認用戶能夠登陸全部非域控制器的成員計算機，不過能夠限制他們只能利用某些特定計算機來登陸域。以下圖限制只能登陸server計算機。

Active Directory輕型目錄服務

爲了讓支持目錄訪問的應用程序，能夠在沒有域的環境內享有目錄服務的好處，Windows Server 2012內提供了Active Directory輕型目錄服務 AD LDS,它可讓你在計算機內建立多個目錄服務器的環境，每一個環節被稱爲一個AD LDS實例，每一個實例擁有獨立的目錄設置，架構，數據庫。

Active Directory回收站

在舊版的操做系統中，若是系統管理員誤將ad對象刪除，就須要進入目錄服務還原模式。還原麻煩，而且在還原好重啓時，域沒法提供服務。

雖然windows server 2008 R2新增了ad回收站，讓系統管理員不須要進入目錄服務還原模式，就能夠救回被刪除的對象，可是卻不是很好用，例如須要經過複雜的命令與步驟。

Windows server 2012 的ad回收站又有了進一步的改良，他提供容易使用的圖像界面管理工具。

要啓用ad回收站，林與域功能級別必須是Windows Server 2008 R2（含）以上的級別。注意，一旦啓用回收站，就沒法在禁用，所以域與林功能基本也沒法在被降級。

啓用Active Directory回收站

打開Active Directory管理中心，單擊左側的域名contoso，單擊右側的啓用回收站

報錯了

由於域內有多個域控制器，須要等設置值被複制到全部的域控制器後，ad回收站功能纔會徹底正常。（我作實驗，節約性能還有一臺輔助域控沒有打開）

開啓輔助域控並複製設置值後再次開啓回收站。

刪除組織單位

試着將業務部刪除，可是先將防止刪除的選項刪除

取消勾選防止意外刪除。

接着刪除業務部

還原組織單位

接下來，要經過回收站來救回組織單位，雙擊deleted objects。

選擇要救回的組織單位，單擊還原

刪除域控制器與域

能夠經過降級的方式來刪除域控制器，也就是將Actice Directory從域控制器刪除。在降級前先注意如下事項：

若是域內還有其餘域控制器存在，則它會被降級爲該域的成員服務器。

若是這臺域控制器是此域內的最後一臺域控制器，域內也沒有其餘的域控制器存在了，所以域將被刪除，而域控制器也將會被降級爲獨立的服務器。

注：建議先將成員服務器server.contoso.com脫離域，由於在域刪除後，這臺服務器的帳戶就沒法登錄域了（域刪除後，也能夠再將成員服務器脫離域）。

必須是Enterprise Admins組的成員，纔能有權限刪除域內的最後一臺域控制器。若是此域之下還有子域，請先刪除子域。

• 若是此域控制器是全局編錄服務器，請檢查其所在站點內是否還有其餘全局編錄服務器，若是沒有，請先指定另外一臺域控制器來扮演全局編錄服務器，不然將影響用戶登陸。Active Directory站點和服務-Site- Defalut-First-Site-Name – Server-NTDS Setting並單擊鼠標右鍵-屬性-勾選全局編錄

• 若是刪除的域控制器是林內最後一臺域控制器，則林輝被一塊兒刪除。Enterprise Admins組的成員纔有權限刪除這臺域控制器與林。

刪除域控制器步驟：

取消勾選

先降級

選擇擁有權限的帳戶

如由於故障沒法刪除此域控制器(如，在刪除時，須要可以鏈接企圖域控制器，可是一直沒法鏈接)此時能夠勾選強制刪除此域控制器。

屬於降級後的本地administrator密碼

降級後服務器會重啓，並從新登錄

雖然這臺服務器已經再也不是域控了，不過此時域服務組件依然存在仍是要繼續去刪除。

刪除最後一臺域控

當域中已經沒有其餘域控制器時，最後一臺刪除時會多此選項。

刪除dns區域和應用程序分區

完成後將管理工具刪除