简介

       前面章节介绍了域的相关概念，以及工作组和域的主要区别，想要实现域环境，就必须部署至少一台域控制器。本章就以Windows Server 2016 企业版为例，介绍如何部署域控制器，如何将联机与脱机的客户机加入域中，以及如何添加和卸载额外域控制器。

1. 部署 AD 前的准备

       部署域必须先安装一台DCDC上存储着域中的网络资源信息，如名称、位置和特征描述等信息。通过在一台服务器上安装AD(ActiveDirectory，活动目录)，即可将这台服务器安装成为一台DC.一台计算机要安装成DC，必须具备以下几个条件。

       安装者必须具有本地管理员权限。

       操作系统版本必须满足以下条件。

可以是以下版本:

       Windows Server 2003(除Web版本外都满足)。

       Windows Server2008(除Web版本外都满足)。

       Windows Server2008 R2(除Web版本和itanium版本外都满足)。

       Windows Server 2012 R2.

       Windows Server 2016.

不能是以下版本:

       Windows XP

       Windows Vista.

       Windows 7

       Windows 8.

       Windows 10.

DNS基础结构的支持(也可以在安装ADDS时，同时安装DNS)。

本地磁盘至少有一个分区是NTFS文件系统。

配置静态的IP地址和子网掩码。

有足够的可用磁盘空间。

另外，如果决定将域功能级别和林功能级别都提升至WindowsServer2008以上，那么域中将

不再支持Windows NT Server40的服务器。

2. 部署 Windows 域的过程

2.1 安装域控制器

       当一台Windows Server 2016 服务器满足安装域控制器的所有条件时，就可以进行安装了，可以采用向导模式进行安装，步骤如下:

       (1)使用管理员账户(Administrator)登录后，在服务器管理器窗口中单击“添加角色和功能”。

如图所示。

       (2)在“服务器角色”界面中，勾选“ActiveDirectory域服务”复选框，单击“下一步”按钮，

如图所示。

       (3)在“确认”界面中，单击“安装”按钮，如图所示。

       (4)在“服务器管理器”窗口上方单击黄色叹号图标，然后单击“将此服务器提升为域控制器”。

如图所示。

       (5)在打开的“ActiveDirectory域服务配置向导”窗口中，点选“添加新林”单选按钮，然后

在“根域名”文本框中输入域名，本例为benet.com，单击“下一步”按钮，如图所示，

       (6)在“域控制器选项”界面中选择新林和根域的林功能级别，输入并确认一个符合密码策略

的密码，单击“下一步”按钮，如图所示，请牢记此密码，在还原时需要使用，无须与正常模式下Administrator账户的登录密码一致，

        (7)在“其他选项”界面中确认NetBIOS域名，然后单击“下一步”按钮，如图所示，

       (8)在“路径”界面中，接受默认的位置，单击“下一步”按钮，如图所示，在实际环境中最好将这些文件存放到3个不同的硬盘中，这样可以获得更好的性能，提高备份和还原的效率。

       (9)在“查看选项”界面中，列出部署的相关选择信息，检查后单击“下一步”按钮，如图所示。

                       在图2.9中单击“查看脚本”按钮，可以看到以上设置的PowerShell
                       脚本。导出脚本可以支持自动化部署。

       (10)在“先决条件检查”界面中，检查所有的选择，如果有某一项不正确，可以单击“上一步”

按钮，返回进行修改。如果没有问题，单击“安装”按钮，如图所示，

        (11)开始安装和配置活动目录服务，如图所示，当安装完成后，系统会自动重新启动，

       (12)在“服务器管理器”窗口中，单击“AD DS“查看域状态，如图所示，

2.2 将客户机加入域

       在安装活动目录之后，需要将其他的服务器和客户计算机加入到域中，这样才能进行集中管理。用户必须在客户计算机上拥有管理权限才能将其加入域中。下面介绍两种加入Windows Server2016域的方法。

1.联机加入域

1)客户机加入域的条件

       一台计算机要联机加入域，必须满足以下两个条件。

       确保该计算机和域控制器互相连通。

       配置正确的DNS地址(在本例中，DNS服务器即域控制器，所以DNS服务器的地址为域控制器的IP地址)。

2)将客户机加入域

将联机客户机加入域的步骤如下。

       (1)打开计算机属性，单击“更改设置”按钮，打开“系统属性”对话框，如图所示，

       (2)在“系统属性”对话框中，单击“更改”按钮，打开“计算机名/域更改”对话框，在“隶属于”选项组中点选“域”单选按钮并输入域名“benet.com"，然后单击“确定”按钮，如图所示，

       (3)在打开的“Windows安全”对话框中输入域用户的账户和密码，单击“确定”按钮，如图所示。

       (4)弹出成功加入域的提示框，如图所示，单击“确定”按钮，然后重新启动计算机便可使用域账户登录该域了。(3)在打开的“Windows安全”对话框中输入域用户的账户和密码，单击“确定”按钮，如图所示。

       (4)弹出成功加入域的提示框，如图2.16所示，单击“确定”按钮，然后重新启动计算机便可使用域账户登录该域了。

2.脱机加入域

       在没有网络连接的情况下，也可以将计算机加入域，这种方式灵活高效，同时也减少了部署成本。例如，在数据中心环境中完成大规模计算机部署的时候，此功能有助于节省加入域所需的时间。

1)客户机加入域的条件

       一台计算机要脱机加入域，必须满足以下两个条件。

       只适用于能够运行Djoinexe命令的Windows操作系统，如Windows 7Windows Server 2008

R2、Windows10等。而WindowsXP系统就不适用此方法。

在域控服务器上执行脱机加入域的用户必须拥有将工作站加入域的权限，默认情况下，

Domain Admins组的成员拥有该权限。

2)将客户机加入域

将脱机客户机加入域的步骤如下。

(1)在域控服务器上打开“管理员:命令提示符“窗口输入命令，dioinexe/7 如图

       (2)在生成预配置文件之前，要已知客户端的主机名，然后输入命令:djoin/provision/domain

benet.com /machine win10WY/savefilec:\win10txt，如图2.18所示，按Enter键执行后即在服务

器的C盘目录下生成一个名为win10的TXT文件，

                         以上命令中可以看出/domain 参数后面的benet.com 是域名，
                         /machine 参数后面的winl0WY 是需要脱机离线加入本域的主机名，
                         /savefile参数后面很明显是预配置文件生成的存放路径。

       (3)此时需要将之前生成的预配置文件放置到需要加入域的客户机上，在没有网络连接的情况

下可以使用U盘，光盘等介质传递，本例客户机使用Windows10打开“管理员，命今提示符“窗口，输入命令:djoin.exe/requestodj /loadfile c:\share\win10.txt /windowspath%systemroot%/localos，如图2.19所示，按Enter键后显示操作成功，必须重新启动计算机才会生效。

                       同学们请注意以上命令中/loadfile参数后面的路径一定要写准确，
                       复制到客户机的win10.txt文件放在什么目录下就写什么目录。另
                       外%svstemroot%是系统目录的环境变量写法。最后面的//localos用许/windowspath指定本地运行的操作系统，如果不填写此参数，会有报错提示。

       重新启动计算机后，该计算机就已经成功加入域了，如图所示，但是此时还是需要使用本地用户登录计算机，若要登录域，还需要域控服务器创建分配域账号给客户机，并且等到客户机可以和域控服务器互联的时候，再使用域账号登录域。