《Windows Server 2012活动目录管理实践》——2.2　部署网络第一台域控制器

本节书摘来自异步社区《Windows Server 2012活动目录管理实践》一书中的第2章，第2.2节,作者： 王淑江 更多章节内容可以访问云栖社区“异步社区”公众号查看。

2.2　部署网络第一台域控制器

本节创建名称为“book.com”的域。Windows Server 2012操作系统安装完成后，需要重命名计算机、更改网络参数，然后才可以安装AD DS域服务。安装AD DS域服务分两个阶段：安装角色和提升域服务。下面详细介绍通过GUI模式部署AD DS域服务过程。

2.2.1 重命名计算机
第1步，以默认管理员“Administrator”登录需要安装AD DS域服务的计算机，切换到Metro界面。右击“计算机”，窗口底部显示常用功能列表，如图2-2所示。

第2步，命令执行后，打开“系统”对话框。Windows Server 2012安装完成后，默认为计算机随机定义了一个名称，例如“WIN-EM3LL”，在网络应用中，应该为安装Windows Server 2012的计算机定义简捷并且有实用价值的计算机名称，提高管理效率以及可用性，如图2-3所示。

第3步，单击“更改设置”按钮，打开“系统属性”对话框。显示“计算机全名”以及所在的“工作组”，默认计算机位于“WORKGROUP”组中，如图2-4所示。

https://yqfile.alicdn.com/35991e2b3ea53d8783b1e4c768972fd98ae2b2d8.png" >

第4步，单击“更改”按钮，打开“计算机名/域更改”对话框。“计算机名”文本框中设置该计算机有效名称，如图2-5所示。

第5步，单击“确定”按钮，打开“计算机名/域更改”对话框。提示需要重新启动计算机。单击“确定”按钮，重新启动服务器，完成计算机名称的更改，如图2-6所示。

2.2.2 更改网络参数
Windows Server 2012安装完成后，默认同时启用“IPv和“IPv两种协议。安装AD DS域服务时，不建议同时启用两种协议，根据实际情况选择需要的协议。本例中选择“IPv协议关闭“IPv协议。

安装过程中如果将域控制器同时设置为“Active Directory集成区域DNS服务器”，需要将“首选DNS服务器”IP地址指向当前服务器IP地址。如果网络中存在其他DNS服务器，则将“首选DNS服务器”IP地址指向其他DNS服务器。

第一台域控制器安装一块网卡，并激活（连接到已经加电的网络交换机），网络参数设置如下。

• IP地址：192.168.0.1。
• 子网掩码：255.255.255.0。
• 默认网关：空。
• 首选DNS服务器：192.168.0.1。

第1步，以本地管理员身份登录计算机。Metro界面中单击“控制面板”选项，命令运行后打开“所有控制面板项”窗口，如图2-7所示。

https://yqfile.alicdn.com/294b97c419518a8443c105b9c2bc110deafcbd9e.png" >

第2步，选择“网络和共享中心”选项，打开“网络和共享中心”窗口，如图2-8所示。

第3步，单击“以太网”按钮，打开“以太网状态”对话框。显示当前计算机网卡的连接状态以及网卡速度，如图2-9所示。

第4步，单击“属性”按钮，打开“以太网属性”对话框。默认计算机同时启用“TCP/IPv和“TCP/IPv协议。本例中使用“TCP/IPv协议，取消“Internet协议版本6（TCP/IPv6）”左侧的复选框。设置完成的参数如图2-10所示。

https://yqfile.alicdn.com/59fd8465cc48f79e0fee0674c0699f0f23d6f821.png" >

第5步，选择“Internet协议版本4（TCP/IPv4）”选项，单击“属性”按钮，打开“Internet协议版本4（TCP/IPv4）属性”对话框，设置域控制器的IP地址、网关以及DNS地址参数。设置完成的参数如图2-11所示。

第6步，单击“确定”按钮，关闭“Internet协议版本4（TCP/IPv4）属性”对话框，返回到“以内网属性”对话框，如图2-12所示。

第7步，单击“关闭”按钮，关闭“以内网属性”对话框，返回到“以太网状态”对话框，如图2-13所示。单击“关闭”按钮，完成计算机IP地址设置。

2.2.3 部署网络中第一台域控制器
自Windows Server 2003之后，网络中所有域控制器都是平行关系，但是第一台域控制器和其他域控制器之间存在区别，因此第一台域控制器部署十分重要。第一台域控制器默认作为林的根域服务器，同时安装五种操作主机角色。

Windows Server 2012操作系统是运行“AD DS域服务”的系统平台，“AD DS域服务”运行在操作系统之上。“AD DS域服务”与普通的服务一样可以单独启动或者关闭。Windows Server 2012 AD DS域服务默认通过向导方式部署，已经取消“dcpromo.exe”命令方式部署。管理员也可以通过PowerShell命令行方式部署。

第1步，以本地管理员身份登录Windows Server 2012。默认打开“服务器管理器”窗口。如果“服务器管理器”没有正常运行，单击窗口左下角的“图片 26”图标启动“服务器管理器”，选择“仪表板”→“快速启动”选项，如图2-14所示。

第2步，单击“添加角色和功能”超链接，启动“添加角色和功能向导”，显示如图2-15所示的“开始之前”对话框。

第3步，单击“下一步”按钮，打开“选择安装类型”对话框。AD DS域服务以“服务”方式部署，因此选择“基于角色或基于功能的安装”选项。注意对话框右上角显示当前计算机名称为“DC”，如图2-16所示。

第4步，单击“下一步”按钮，打开“选择目标服务器”对话框。选择“从服务器池中选择服务器”选项，如果“服务器管理器”可以管理多台运行Windows Server 2012的服务器，可用服务器全部显示在服务器池中。本例中池中只有一台服务器，选择该服务器即可，如图2-17所示。

第5步，单击“下一步”按钮，打开“选择服务器角色”对话框。“角色”列表中显示所有可用的服务器角色，如图2-18所示。

选择“Active Directory域服务”选项，打开“添加Active Directory域服务所需的功能”对话框。当前服务器将安装“角色管理工具”和“组策略管理”。选择“包括管理工具（如果适用）”选项。单击“添加功能”按钮，返回到“选择服务器角色”对话框，如图2-19所示。

https://yqfile.alicdn.com/36a5ba4a313da4ce4253a58f5a32cdd4353e2a3f.png" >

第6步，单击“下一步”按钮，打开“选择功能”对话框。从“功能”列表中选择需要安装的功能，根据需要选择即可，如图2-20所示。

第7步，单击“下一步”按钮，打开“Active Directory域服务”对话框。提示部署AD DS域服务注意事项，如图2-21所示。

https://yqfile.alicdn.com/70a43647dacc0b24fed664af1e8d80f356976eeb.png" >

https://yqfile.alicdn.com/41d574111795214f9dfad64bd52a0c91784bb372.png" >

第8步，单击“下一步”按钮，打开“确认安装所选内容”对话框，显示向导需要安装的内容，如图2-22所示。

选择“如果需要，自动重新启动目标服务器”选项，显示如图2-23所示的对话框。提示管理员安装过程将自动重新启动服务器，不会再出现计算机重新启动提示而是直接启动服务器。单击“是”按钮，返回到“确认安装所选内容”对话框。

第9步，“确认安装所选内容”对话框中，单击“安装”按钮，向导自动将安装“AD DS域服务”所需要的文件复制到目标位置。文件复制完成后如图2-24所示。

第10步，“安装进度”对话框中，单击“将此服务器提升为域控制器”超链接，启动“Active Directory域服务配置向导”，打开“部署配置”对话框。

安装向导提供三种Active Directory安装模式。

将域控制器添加到现有域。完成的功能为网络部署多台域控制器。

将新域添加到现有林。完成的功能为现有林中添加新域，创建另一棵全新的域树。

添加新林。完成的功能为创建新林、新域。

本例中将部署一个新林，“选择部署操作”选项中选择“添加新林”选项，“根域名”文本框中键入新域名称。设置完成的参数如图2-25所示。

https://yqfile.alicdn.com/56481cad13df80d4e46d91091679398acc037d7f.png" >

第11步，单击“下一步”按钮，打开“域控制器选项”对话框。设置新林的“林功能级别”和“域功能级别”。其中：

本例中第一台域控制器同时部署“Active Directory集成区域DNS服务”，选择“域名系统（DNS）服务器”选项。

网络中的第一台域控制器默认为“全局编录服务器（GC）”，因此部署第一台域控制器时，自动选择“全局编录”选项。

设置“目录还原模式”密码，注意该密码和域管理员密码不同。“目录还原模式”主要用来还原Active Directory数据库。该密码必须符合Windows Server 2012的强密码策略，该密码不需要和域管理员密码相同。

提示

强密码策略

Windows Server 2012系统中，默认“密码策略”启用“密码必须符合复杂性要求（强密码）”设置，对用户密码设置有如下要求。

• 不包含全部或部分的用户账户名。
• 长度至少为7个字符。
• 包含以下4种类型字符中的3种字符：英文大写字母（从A到Z）、英文小写字母（从a到z）、10个基本数字（从0到9）以及非字母字符（例如!、$、#、%）。
  设置完成的参数如图2-26所示。

向导提供四种林模式，分别为Windows Server 2003、Windows Server 2008、Windows Server 2008 R2以及Windows Server 2012模式。不同模式对应不同的域功能级别。功能级别对应不同的操作系统，例如“林功能级别”设置为Windows Server 2012，则“域功能级别”只能设置为Windows Server 2012，所有域中的域控制器需要全部运行Windows Server 2012操作系统，不能运行其他版本的操作系统。“林功能级别”选项列表如图2-27所示。

本例中“林功能级别”和“域功能级别”全部设置为Windows Server 2012。即域中所有服务器全部运行Windows Server 2012。

第12步，单击“下一步”按钮，打开“DNS选项”对话框。设置DNS委派信息。本例中DNS部署方式为“Active Directory集成区域DNS服务”，没有部署独立的DNS服务器，因此不需要配置DNS委派相关内容。设置完成的参数如图2-28所示。

https://yqfile.alicdn.com/531bd2ff7ccb5440e088593146c5f88ec750c044.png" >

第13步，单击“下一步”按钮，打开“其他选项”对话框，该对话框设置NetBIOS名称。建议“NetBIOS域名”与部署的Active Directory域名一致，向导自动识别“Active Directory域名”，将第一个“.”前的字符作为默认NetBIOS名称。“NetBIOS域名”与部署的Active Directory域名也可以不一致。设置完成的参数如图2-29所示。

https://yqfile.alicdn.com/8611ee9d01a0d69dc605a277b8ad74df060234ba.png" >

第14步，单击“下一步”按钮，打开“路径”对话框。设置Active Directory数据库文件夹、Active Directory日志文件文件夹以及SYSVOL文件夹的位置，建议将数据库文件夹、日志文件文件夹和SYSVOL文件夹分别存储在：

• 不同的物理磁盘中。
• 运行Raid 5的磁盘阵列。
• 其他专业存储设备中。

设置完成的参数如图2-30所示。

第15步，单击“下一步”按钮，打开“查看选项”对话框，显示域控制器设置信息，如图2-31所示。

第16步，单击“下一步”按钮，打开“先决条件检查”对话框。检查当前计算机是否满足安装“AD DS域服务”条件，符合安装条件即可安装“AD DS域服务”。检测结果如图2-32所示。

第17步，单击“安装”按钮，开始安装“AD DS域服务”，安装过程需要重新启动计算机。

2.2.4 安装过程中遇到的问题：“NetBIOS名称”和域名不一致
提升服务器为域控制器过程中，默认“NetBIOS名称”和域名一致，例如，网络中AD DS域服务的域名为“book.com”，默认NetBIOS名称自动设置为“book”。如果不一致，例如将NetBIOS名称设置为“BOOKYT”，设置参数如图2-33所示。

登录域时，用户选择“域”为提升域控制器过程中设置的NetBIOS名称，而非网络域名，如图2-34所示。该图显示以管理员身份登录Windows Server 2012域控制器时的状态。

https://yqfile.alicdn.com/50dcfc6e69d76dfc3be371198fe6a33ccae12351.png" >

成功登录域控制器后，打开“Active Directory用户和计算机”控制台，域名是“book.com”，如图2-35所示。

https://yqfile.alicdn.com/71b3a2c7418f42d2a78c083c4a238e70713d9359.png" >