《Windows Server 2012活动目录管理实践》——2.2 部署网络第一台域控制器

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
.cn 域名,1个 12个月
云解析 DNS,旗舰版 1个月
简介:

本节书摘来自异步社区《Windows Server 2012活动目录管理实践》一书中的第2章,第2.2节,作者: 王淑江 更多章节内容可以访问云栖社区“异步社区”公众号查看。

2.2 部署网络第一台域控制器

本节创建名称为“book.com”的域。Windows Server 2012操作系统安装完成后,需要重命名计算机、更改网络参数,然后才可以安装AD DS域服务。安装AD DS域服务分两个阶段:安装角色和提升域服务。下面详细介绍通过GUI模式部署AD DS域服务过程。

2.2.1 重命名计算机
第1步,以默认管理员“Administrator”登录需要安装AD DS域服务的计算机,切换到Metro界面。右击“计算机”,窗口底部显示常用功能列表,如图2-2所示。


37bc2783f012e3250713bb7319c9664b26d662ef

第2步,命令执行后,打开“系统”对话框。Windows Server 2012安装完成后,默认为计算机随机定义了一个名称,例如“WIN-EM3LL”,在网络应用中,应该为安装Windows Server 2012的计算机定义简捷并且有实用价值的计算机名称,提高管理效率以及可用性,如图2-3所示。

第3步,单击“更改设置”按钮,打开“系统属性”对话框。显示“计算机全名”以及所在的“工作组”,默认计算机位于“WORKGROUP”组中,如图2-4所示。


<a href=https://yqfile.alicdn.com/35991e2b3ea53d8783b1e4c768972fd98ae2b2d8.png" >


78de7a56a36dae9646f631dfc2e34fbda79e2f40

第4步,单击“更改”按钮,打开“计算机名/域更改”对话框。“计算机名”文本框中设置该计算机有效名称,如图2-5所示。

第5步,单击“确定”按钮,打开“计算机名/域更改”对话框。提示需要重新启动计算机。单击“确定”按钮,重新启动服务器,完成计算机名称的更改,如图2-6所示。

2.2.2 更改网络参数
Windows Server 2012安装完成后,默认同时启用“IPv和“IPv两种协议。安装AD DS域服务时,不建议同时启用两种协议,根据实际情况选择需要的协议。本例中选择“IPv协议关闭“IPv协议。


3290a61d5e7b24814344466a7f6903fd2033fb5e

安装过程中如果将域控制器同时设置为“Active Directory集成区域DNS服务器”,需要将“首选DNS服务器”IP地址指向当前服务器IP地址。如果网络中存在其他DNS服务器,则将“首选DNS服务器”IP地址指向其他DNS服务器。

第一台域控制器安装一块网卡,并激活(连接到已经加电的网络交换机),网络参数设置如下。

  • IP地址:192.168.0.1。
  • 子网掩码:255.255.255.0。
  • 默认网关:空。
  • 首选DNS服务器:192.168.0.1。

第1步,以本地管理员身份登录计算机。Metro界面中单击“控制面板”选项,命令运行后打开“所有控制面板项”窗口,如图2-7所示。


<a href=https://yqfile.alicdn.com/294b97c419518a8443c105b9c2bc110deafcbd9e.png" >

第2步,选择“网络和共享中心”选项,打开“网络和共享中心”窗口,如图2-8所示。


2a8763c6ee24ce31b34155c457f0d0144e752102

第3步,单击“以太网”按钮,打开“以太网状态”对话框。显示当前计算机网卡的连接状态以及网卡速度,如图2-9所示。

第4步,单击“属性”按钮,打开“以太网属性”对话框。默认计算机同时启用“TCP/IPv和“TCP/IPv协议。本例中使用“TCP/IPv协议,取消“Internet协议版本6(TCP/IPv6)”左侧的复选框。设置完成的参数如图2-10所示。


ed4a100534424b008608e40859857a0c850d934c


<a href=https://yqfile.alicdn.com/59fd8465cc48f79e0fee0674c0699f0f23d6f821.png" >

第5步,选择“Internet协议版本4(TCP/IPv4)”选项,单击“属性”按钮,打开“Internet协议版本4(TCP/IPv4)属性”对话框,设置域控制器的IP地址、网关以及DNS地址参数。设置完成的参数如图2-11所示。

第6步,单击“确定”按钮,关闭“Internet协议版本4(TCP/IPv4)属性”对话框,返回到“以内网属性”对话框,如图2-12所示。


3de5db63c3b3f06d3d77e89614710b18a72369f7


82e948eb402ab6119bc853afa68ecbabc7a27d60

第7步,单击“关闭”按钮,关闭“以内网属性”对话框,返回到“以太网状态”对话框,如图2-13所示。单击“关闭”按钮,完成计算机IP地址设置。


491748af86f61653b233e63e4a3795fd594e61ea

2.2.3 部署网络中第一台域控制器
自Windows Server 2003之后,网络中所有域控制器都是平行关系,但是第一台域控制器和其他域控制器之间存在区别,因此第一台域控制器部署十分重要。第一台域控制器默认作为林的根域服务器,同时安装五种操作主机角色。

Windows Server 2012操作系统是运行“AD DS域服务”的系统平台,“AD DS域服务”运行在操作系统之上。“AD DS域服务”与普通的服务一样可以单独启动或者关闭。Windows Server 2012 AD DS域服务默认通过向导方式部署,已经取消“dcpromo.exe”命令方式部署。管理员也可以通过PowerShell命令行方式部署。

第1步,以本地管理员身份登录Windows Server 2012。默认打开“服务器管理器”窗口。如果“服务器管理器”没有正常运行,单击窗口左下角的“图片 26”图标启动“服务器管理器”,选择“仪表板”→“快速启动”选项,如图2-14所示。


5ab8b9d75f903e01caad5269db6b89229793bdc2

第2步,单击“添加角色和功能”超链接,启动“添加角色和功能向导”,显示如图2-15所示的“开始之前”对话框。


ce305e7870cda13d66b288f6de4ca0c4d244c50a

第3步,单击“下一步”按钮,打开“选择安装类型”对话框。AD DS域服务以“服务”方式部署,因此选择“基于角色或基于功能的安装”选项。注意对话框右上角显示当前计算机名称为“DC”,如图2-16所示。


a90306ec6cf7e7acacac14493e7fb30e7d2ff24d

第4步,单击“下一步”按钮,打开“选择目标服务器”对话框。选择“从服务器池中选择服务器”选项,如果“服务器管理器”可以管理多台运行Windows Server 2012的服务器,可用服务器全部显示在服务器池中。本例中池中只有一台服务器,选择该服务器即可,如图2-17所示。


40f983d4245d642f45d85a953d6a161d30a4992d

第5步,单击“下一步”按钮,打开“选择服务器角色”对话框。“角色”列表中显示所有可用的服务器角色,如图2-18所示。


fcd3904c4a97cb2fdcdf5a09ebe55c51a2fb8175

选择“Active Directory域服务”选项,打开“添加Active Directory域服务所需的功能”对话框。当前服务器将安装“角色管理工具”和“组策略管理”。选择“包括管理工具(如果适用)”选项。单击“添加功能”按钮,返回到“选择服务器角色”对话框,如图2-19所示。


<a href=https://yqfile.alicdn.com/36a5ba4a313da4ce4253a58f5a32cdd4353e2a3f.png" >

第6步,单击“下一步”按钮,打开“选择功能”对话框。从“功能”列表中选择需要安装的功能,根据需要选择即可,如图2-20所示。

第7步,单击“下一步”按钮,打开“Active Directory域服务”对话框。提示部署AD DS域服务注意事项,如图2-21所示。


<a href=https://yqfile.alicdn.com/70a43647dacc0b24fed664af1e8d80f356976eeb.png" >


<a href=https://yqfile.alicdn.com/41d574111795214f9dfad64bd52a0c91784bb372.png" >

第8步,单击“下一步”按钮,打开“确认安装所选内容”对话框,显示向导需要安装的内容,如图2-22所示。

选择“如果需要,自动重新启动目标服务器”选项,显示如图2-23所示的对话框。提示管理员安装过程将自动重新启动服务器,不会再出现计算机重新启动提示而是直接启动服务器。单击“是”按钮,返回到“确认安装所选内容”对话框。

第9步,“确认安装所选内容”对话框中,单击“安装”按钮,向导自动将安装“AD DS域服务”所需要的文件复制到目标位置。文件复制完成后如图2-24所示。


87fbca6693bfc00fbe281d1fa2f79920b3afe9ee


46ec8d5f2a6fc566dca32628e88145f90e75ec5f

第10步,“安装进度”对话框中,单击“将此服务器提升为域控制器”超链接,启动“Active Directory域服务配置向导”,打开“部署配置”对话框。

安装向导提供三种Active Directory安装模式。

将域控制器添加到现有域。完成的功能为网络部署多台域控制器。

将新域添加到现有林。完成的功能为现有林中添加新域,创建另一棵全新的域树。

添加新林。完成的功能为创建新林、新域。

本例中将部署一个新林,“选择部署操作”选项中选择“添加新林”选项,“根域名”文本框中键入新域名称。设置完成的参数如图2-25所示。


<a href=https://yqfile.alicdn.com/56481cad13df80d4e46d91091679398acc037d7f.png" >

第11步,单击“下一步”按钮,打开“域控制器选项”对话框。设置新林的“林功能级别”和“域功能级别”。其中:

本例中第一台域控制器同时部署“Active Directory集成区域DNS服务”,选择“域名系统(DNS)服务器”选项。

网络中的第一台域控制器默认为“全局编录服务器(GC)”,因此部署第一台域控制器时,自动选择“全局编录”选项。

设置“目录还原模式”密码,注意该密码和域管理员密码不同。“目录还原模式”主要用来还原Active Directory数据库。该密码必须符合Windows Server 2012的强密码策略,该密码不需要和域管理员密码相同。

提示

强密码策略

Windows Server 2012系统中,默认“密码策略”启用“密码必须符合复杂性要求(强密码)”设置,对用户密码设置有如下要求。

  • 不包含全部或部分的用户账户名。
  • 长度至少为7个字符。
  • 包含以下4种类型字符中的3种字符:英文大写字母(从A到Z)、英文小写字母(从a到z)、10个基本数字(从0到9)以及非字母字符(例如!、$、#、%)。
    设置完成的参数如图2-26所示。


739a49e9657834ee0d2c62c7ceb3bd0a72cbc613

向导提供四种林模式,分别为Windows Server 2003、Windows Server 2008、Windows Server 2008 R2以及Windows Server 2012模式。不同模式对应不同的域功能级别。功能级别对应不同的操作系统,例如“林功能级别”设置为Windows Server 2012,则“域功能级别”只能设置为Windows Server 2012,所有域中的域控制器需要全部运行Windows Server 2012操作系统,不能运行其他版本的操作系统。“林功能级别”选项列表如图2-27所示。

本例中“林功能级别”和“域功能级别”全部设置为Windows Server 2012。即域中所有服务器全部运行Windows Server 2012。


f80e5e853e26c08999ca71914a3d23d4e645633c

第12步,单击“下一步”按钮,打开“DNS选项”对话框。设置DNS委派信息。本例中DNS部署方式为“Active Directory集成区域DNS服务”,没有部署独立的DNS服务器,因此不需要配置DNS委派相关内容。设置完成的参数如图2-28所示。


<a href=https://yqfile.alicdn.com/531bd2ff7ccb5440e088593146c5f88ec750c044.png" >

第13步,单击“下一步”按钮,打开“其他选项”对话框,该对话框设置NetBIOS名称。建议“NetBIOS域名”与部署的Active Directory域名一致,向导自动识别“Active Directory域名”,将第一个“.”前的字符作为默认NetBIOS名称。“NetBIOS域名”与部署的Active Directory域名也可以不一致。设置完成的参数如图2-29所示。


<a href=https://yqfile.alicdn.com/8611ee9d01a0d69dc605a277b8ad74df060234ba.png" >

第14步,单击“下一步”按钮,打开“路径”对话框。设置Active Directory数据库文件夹、Active Directory日志文件文件夹以及SYSVOL文件夹的位置,建议将数据库文件夹、日志文件文件夹和SYSVOL文件夹分别存储在:

  • 不同的物理磁盘中。
  • 运行Raid 5的磁盘阵列。
  • 其他专业存储设备中。

设置完成的参数如图2-30所示。


206672bf6700ee0884335f932192cd4fb170f5c9

第15步,单击“下一步”按钮,打开“查看选项”对话框,显示域控制器设置信息,如图2-31所示。


b31f27df69d9d8d8fd226a8e57a60550affb9b72

第16步,单击“下一步”按钮,打开“先决条件检查”对话框。检查当前计算机是否满足安装“AD DS域服务”条件,符合安装条件即可安装“AD DS域服务”。检测结果如图2-32所示。


b1105017e0f31d76c7d041546d5662e034dfd0e4

第17步,单击“安装”按钮,开始安装“AD DS域服务”,安装过程需要重新启动计算机。

2.2.4 安装过程中遇到的问题:“NetBIOS名称”和域名不一致
提升服务器为域控制器过程中,默认“NetBIOS名称”和域名一致,例如,网络中AD DS域服务的域名为“book.com”,默认NetBIOS名称自动设置为“book”。如果不一致,例如将NetBIOS名称设置为“BOOKYT”,设置参数如图2-33所示。


daf95779ce840c8157afef48d8ceeba7c871008e

登录域时,用户选择“域”为提升域控制器过程中设置的NetBIOS名称,而非网络域名,如图2-34所示。该图显示以管理员身份登录Windows Server 2012域控制器时的状态。


<a href=https://yqfile.alicdn.com/50dcfc6e69d76dfc3be371198fe6a33ccae12351.png" >

成功登录域控制器后,打开“Active Directory用户和计算机”控制台,域名是“book.com”,如图2-35所示。


<a href=https://yqfile.alicdn.com/71b3a2c7418f42d2a78c083c4a238e70713d9359.png" >
相关文章
|
2天前
|
安全 关系型数据库 MySQL
Windows Server 安装 MySQL 8.0 详细指南
安装 MySQL 需要谨慎,特别注意安全配置和权限管理。根据实际业务需求调整配置,确保数据库的性能和安全。
30 9
|
5天前
|
Ubuntu 网络协议 Linux
快速部署WSL(Windows Subsystem for Linux)
WSL提供了一种轻量级的方法,使开发者能够在Windows上无缝运行Linux环境。通过本文介绍的步骤,可以快速安装、配置和使用WSL,以满足开发和测试的需求。
38 8
|
1月前
|
安全 Windows
【Azure Cloud Service】在Windows系统中抓取网络包 ( 不需要另外安全抓包工具)
通常,在生产环境中,为了保证系统环境的安全和纯粹,是不建议安装其它软件或排查工具(如果可以安装,也是需要走审批流程)。 本文将介绍一种,不用安装Wireshark / tcpdump 等工具,使用Windows系统自带的 netsh trace 命令来获取网络包的步骤
72 32
|
1月前
|
网络安全 Windows
Windows server 2012R2系统安装远程桌面服务后无法多用户同时登录是什么原因?
【11月更文挑战第15天】本文介绍了在Windows Server 2012 R2中遇到的多用户无法同时登录远程桌面的问题及其解决方法,包括许可模式限制、组策略配置问题、远程桌面服务配置错误以及网络和防火墙问题四个方面的原因分析及对应的解决方案。
|
1月前
|
监控 安全 网络安全
使用EventLog Analyzer日志分析工具监测 Windows Server 安全威胁
Windows服务器面临多重威胁,包括勒索软件、DoS攻击、内部威胁、恶意软件感染、网络钓鱼、暴力破解、漏洞利用、Web应用攻击及配置错误等。这些威胁严重威胁服务器安全与业务连续性。EventLog Analyzer通过日志管理和威胁分析,有效检测并应对上述威胁,提升服务器安全性,确保服务稳定运行。
|
1月前
|
监控 安全 网络安全
Windows Server管理:配置与管理技巧
Windows Server管理:配置与管理技巧
90 3
|
1月前
|
存储 安全 网络安全
Windows Server 本地安全策略
由于广泛使用及历史上存在的漏洞,Windows服务器成为黑客和恶意行为者的主要攻击目标。这些系统通常存储敏感数据并支持关键服务,因此组织需优先缓解风险,保障业务的完整性和连续性。常见的威胁包括勒索软件、拒绝服务攻击、内部威胁、恶意软件感染等。本地安全策略是Windows操作系统中用于管理计算机本地安全性设置的工具,主要包括用户账户策略、安全选项、安全设置等。实施强大的安全措施,如定期补丁更新、网络分段、入侵检测系统、数据加密等,对于加固Windows服务器至关重要。
|
2月前
|
安全 定位技术 数据安全/隐私保护
|
2月前
|
边缘计算 安全 网络安全
|
1月前
|
供应链 监控 安全
网络安全中的零信任架构:从概念到部署
网络安全中的零信任架构:从概念到部署

热门文章

最新文章