02_部署全新ADDS域服务.doc

部署全新AD DS域服务AD DS域服务是Windows Server 2008的核心服务，主要提供用户身份验证、检索、组织结构规划、部署企业策略等基础服务。与Windows Server 2003中不同，Windows Server 2008中的AD DS域服务以服务的方式运行，可以在不停机的状态下停止AD DS域服务。一、 基本概念介绍1、 独立服务器：指安装有Windows Server操作系统，但不是域成员，具有独立操作功能的服务器。2、 域控制器：指安装了活动目录（Active Directory）的服务器，主要负责管理用户对网络的各种各种权限。3、 成员服务器：独立服务器添加为域成员后就变成了成员服务器，主要用来充当应用服务器、web服务器、数据库服务器等。4、 服务器角色：在Windows Server 2008中，根据主要功能、用途的区别划分了16个角色，AD DS便是其中一个。5、 DNS：全名叫Domain Name Server（域名服务器），提供了一种将名称和IP地址相关联的方法，这样用户就可以通过较易记忆的域名来代替难以记忆的IP地址进行操作。6、 域：活动目录中的逻辑组织单元7、 域树：域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间。树中的域通过信任关系连接起来，活动目录包含一个或多个域树。域树中的域 层次越深级别越低，一个“.”代表一个层次，如域child.M 就比 M这个域级别低，因为它有两个层次关系，而M只有一个层次。而域 Grandchild.Child.M双比 Child.M级别低，道理一样。 他们都属于同一个域树。Child.M就属于M的子域。域“child.M” 就比“M”这个域级别低，因为前者有两个层次关系，而后者只有一个层次。域树中的域是通过双向可传递信任关系连接在一起的，因此 在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。这些信任关系允许单一的登录过程，在域树或树林中的所有域上对用户进行身份验 证，但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限，所以必须在每个域的基础上为用户指派相应的权利和权限。8、 域森林：域林是指由一个或多个没有形成连续名字空间的域树组成，它与域树最明显的区别就在于域林之间没有形成连续的名字空间，而域树则是由一些具有连续名字 空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。域林都有根域，域林的根域是域林中创建的第一个 域，域林中所有域树的根域与域林的根域建立可传递的信任关系.比如,则可以创建同属与一个林的,他们就在同一个域林里.二、 AD DS域服务对象介绍1、 计算机（Computer）：指网络上的计算机资源。2、 用户（User）：是活动目录中的安全主体，可被授予访问权限。3、 组（Group）：用于存放用户、计算机等对象的容器。4、 联系人（Contactor）：非安全主体的一个账户，不能被授予权限，一般情况下用于E-mail联系。5、 组织单元（Organizational Unit，简称OU）:用于组织其他活动目录的容器和对象。6、 默认容器对象：6.1、Builtin容器：是AD DS域服务创建的第一个容器，主要用于保存域中本地域组对象，比如Domain admins。6.2、Computer容器：用于存放成员计算机的计算机帐户。6.3、Domain Controller容器：用于存放当前域的所有域控制器。6.4、ForeignSecurityPrincipals容器：主要存放受信任的外域中的安全主体。6.5、Users容器：主要用于存放用户组和当前域中的所有用户账户。三、 部署AD DS域服务的前期准备1、 设置网络运行模式Windows Server 2008默认安装后是“公用网络”的网络类型，建议部署Active Directory时使用“专用网络”类型。补充：专用网络指被配置为工作组成员的计算机所连接的网络，或者没有直接连接到Internet的网络，默认情况下，在专用网络上会启用发现功能，这样可以降低对专用网络上的计算机发现其他网络计算机和设备的限制。公用网络指处于公共场所的非内部网络，默认情况下，在公用网络会禁用发现功能，这样可以通过防止公用网络上的计算机发现其他网络计算机或设备而增强安全性。发现功能主要意味着（1）本计算机可以发现网络上的其他计算机和设备；（2）网络上的其他计算机可以发现本机1.1、依次选择“Start”“Control panel” “Network and Sharing Center”，点击如下图所示的“Customize”链接；1.2、在Location type中选择“Private”，之后点击“Next” “Close”完成设置。2、 设置网络参数默认状态下，Windows Server 2008会同时启用IPv4和IPv6，但在安装AD DS时不允许两种协议同时存在，必须去除一项。这里我们选择使用IPv4。2.1、依次选择“Start”“Control panel” “Network and Sharing Center”，点击如下图所示的“View status”链接；2.2、在“Local Area Connection Status”窗口中点击“Properties”；2.3、在“Local Area Connection Properties”窗口中取消“Internet Protocol Version 6（TCP/IPv6）”前的复选框，点击“OK”完成。3、 修改服务器IP地址3.1、仍然是在“Local Area Connection Properties”窗口中，选择“Internet Protocol Version 4（TCP/IPv4）”，然后点击“Properties”按钮；3.2、选择“use the following IP address”，此时下方的“use the following DNSServer address”也会自动选中，设置好域控制器的IP地址、子网掩码、默认网关和DNS（我们准备在本机安装DNS服务，所以设置DNS为本机）；3.3、点击“OK” “Close”完成设置。4、 修改服务器计算机名4.1、依次选择“Start” “Computer” “Properties”；4.2、出现System窗口，点击“Change settings”链接；4.3、在“System Properties”窗口中点击“Change”按钮；4.4、输入新的计算机名，点击“OK”;4.5、提示需要重启计算机，点击“OK”4.6、点击“Restart Now”重启服务器，设置便完成。四、 部署全新的AD DS域服务部署全新的AD DS域服务主要分为两个步骤：1）安装AD DS域服务角色；2）使用dcpromo.exe命令安装域服务。1、依次选择“Start” 右键点击“Computer” “Manage”打开“Server Manager”窗口；2、在左边树形菜单中选择“Roles”，在右边窗口中点击“Add Roles”；3、出现“Before You Begin”窗口，单击“Next”按钮；4、在如下“Select Server Roles”窗口的“Roles”列表中选择“Active Directory Domain Services”，单击“Next”按钮；5、出现“Active Directory Domain Services”窗口，该窗口中有AD DS的相关介绍和注意事项，单击“Next”按钮；6、显示“Confirm Installation Selections”对话框，单击“Install”；7、开始安装进程；8、完成后，单击“Close the wizard and launch the Active Directory Domain Services Installation Wizard(dcpromo.exe)”超链接；9、显示“Welcome to the Active Directory Domain Services Installation Wizard”对话框，直接单击“Next”按钮；（其中的“advanced mode installation”超链接可以进行更详细的控制安装过程，但只建议有经验的用户使用）10、直接单击“Operating System Compatibility”中的“Next”按钮；11、选择“Create a new domain in a new forest”，单击“Next”；12、设置林根域的FQDN,单击“Next”；13、选择林功能级别（这里我们选择的是Windows Server 2008），单击“Next”；14、由于AD DS需要DNS的支持，如果网络环境中没有DNS服务器，我们可以使用林根域服务器同时担当DNS服务器，选择“DNS Server”，单击“Next”；15、弹出如下警告窗口，提示为找到权威父区域或为运行DNS，这里直接单击“Yes”；16、设置数据库、日志和SYSVOL的位置，在生产环境中，出于性能和可恢复性的要求，建议分别放在不同的磁盘或存储设备中，之后单击“Next”；17、设置目录服务欢迎模式下的administrator密码（该密码用户进行AD DS恢复时使用