WindowsServer2008建立域环境

1、Windows server 2008域环境搭建第一章虚拟场景2.第1 页，共 36 页第# 页，共 36 页1、公司简介22、公司现有IT状况2第二章实验设计2.第# 页，共 36 页第# 页，共 36 页1、 域规划22、 计算机规划3第三章具体实施3.第# 页，共 36 页第# 页，共 36 页1、建立根域31.1准备31.2安装42、建立子域123、额外域控制器建立 174、站点的建立与连接 244.1创建站点244.2 定义站点子网 254.3定位服务器264.4配置站点连接器275角色迁移28第四章实验中的问题32第一章虚拟场景1、公司简介某公司通过合理的运营和管理，发展迅速，员工

2、人数已有 200人左右，现在该公司总部设在长 春，两个子公司分部在大连和沈阳，为了满足公司未来的发展和企业运营的需求，公司决定重新部署 企业网络。公司决定部署一个由 200台计算机组成的局域网。用于完成企业数据通信和资源共享。公司内部有：人力资源部、行政部、财务部、工程部、销售部、总经理办公室2、公司现有IT状况公司已有一个局域网，运行200台计算机，服务器操作系统是 windows server 2008 ，客户机 的操作系统是windows xp，工作在工作组模式下，员工一人一机办公。公司从 ISP申请2M专线用 于与各个子公司相连，实现各公司间资源交换与共享。由于计算机比较多，管理上缺乏

3、层次，公司希 望能够利用windows域环境管理所有网络资源，提高办公效率，加强内部网络安全，规范计算机使 用。第二章实验设计1、域规划一改以往的工作组模式，组建域，使管理更方便，工作的环境更安全，用户可以在任意一台域内 的计算机登录，共享网络资源。在总公司长春建立根域 内部子网/24大连分部建立子域 内部子网/24沈阳分部建立子域 内部子网/24cc-usa2MDChlbwinOl1I*:192.14SI4.1W2域;h：n my.c(nVJP;10.10.10,0/24、导如gz DQ：凭翊 /IP：l92.IMrBDJW“

4、用皱；tb.inyxom* 丸曲;192.16 斤血(V242、计算机规划DC情况如下表：地区DC计算机名IP子网掩码DNS长Mywi ngc11春Mywi nsu161大Hanwin 01连Hanwin 0161沈Tbw in 01731阳Shi

5、wi n02151第三章具体实施1、建立根域1.1准备对于安装 WINDOWS 2008 SERVER的服务器，对硬件有如下要求:处理器最低 1.0GHz x86 或 1.4GHz x64推存2.0GHz或更咼；安腾版则需要Itanium 2内存最低512MB,推荐2GB或更多内存最大支持32位标准版4GB、企业版和数据中心版 64GB64位标准版32GB，其他版本2TB硬盘最少10GB，推荐40GB或更多内存大于16GB的系统需要更多空间用于页面、休眠和转存储文件备注光驱要求DVD-ROM ;显示器要求至少 SVGA 8

6、00 X 600分辨率，或更咼；在安装根域服务器前，首先要确定你的计算机IP地址（IPV4 ）为静态，DNS指向本机的IP地址（DNS安装会在下面操作中说明）IPV6 禁用1.2安装在安装windows 2008 之后（安装过程不详细介绍），选择“开始”“管理工具” 一“服务 器管理器”选项，然后选择添加角色E行状况，以斥添加或删除角色和功能。Ld角色摘要帮助垂添加甬色匕刪除笛倒在服务器角色中选择AD域服务（DNS不可与AD 一起勾选）第5 页，共 36 页然后单击下一步，进入一个对 AD的简介界面,单击下一步进入安装界面确认安装选择第6 页，共 36 页第# 页，共 36 页刑白之前脈骨器角

7、邑Act.1 V4 Blit-ftctory !或月绘务遴度若姜安装OSS角色腮劳或功龍，済单击“安装*2棗信凰卿息显示如下安藝芫成注，可龍需要重新康臓服希阶4 Active Directoryi雷莓挞蟲屋旨便用Active Directory装问导即讪“询假脈另-器全打EF、俣存咸诵讨由+曲件笈送F信兒V上一老）|下一爭：| 安装| 取消_|点击安装。装完成后会出现如下界面提示用户进行AD域服务安装向导的进行，点击该连接进入域服务安装向导单击“下一步”会弹出微软的一个提示信息,Active Birectory城匿努安装向导提诈系统荼育性Windows Server 2008中改逬的安全设畫影

8、响旧版Windows与Windows NT 4.0兼容的加 $ 11匕设畫陆止MicrosoftWiikdows Server 2008I非Microsoft SMB “客户端姬IVindotts Server 200S 域控制器为 翹算法秤的.Windows 和life4GM妣具 書山工 的加卅移 7 改務or 畧箭Ct bKFZe 止孑也r 受和lDiE套It的SS3 户 客JB-有关此设雪的更多信息，请参阅知识库文章94254(http: /go. micrflsoft ccm/flink/?LirJcId= 104751) 上一步|迟三步口| 取消 |这里，我们选“下一步”进行下一步的

9、安装第9 页，共 36 页第# 页，共 36 页第# 页，共 36 页在这里我们选择“在新林中新建域”来创建第一台域控制器，然后进行“下一步在这里输入根域的域名“ ”然后下一步些时系统会自动生成一个 NetBIOS名，单击“下一步”第11 页，共 36 页选择“ wi ndows server 2008” 进行下一步安装第12 页，共 36 页在弹出的窗口中，系统会自动把DNS勾选，因为是域中的第一台域控制器，所以默认为全局录服务器。单击Ql Active Directory KI展奔安装向导何 法或构确行SDfarLr 鷲域以 5迅 E m 宇n帝 nxi C 冃聘fr齐威ffi的 钱果Is

10、加ar)第13 页，共 36 页第# 页，共 36 页这里我们选择“是”进行下一步安装q! Active Directory域般务安装向导数振库、曰志文件和STSVOL的位羞指定将包含Active Directory域控制器敎拆库、曰志文件和SYSVDL的为荻僖更好的性能和可饭复性，请将数据库和日志文件存储在不同的卷上。数据库文件夹0)：Window5VNTDS戶志文件文件夹【)_： |C?WindowsNTDS STSTOL文件夹G): fc:Wiiido*ESYSVDL有关袖苦 Actw已IlzuImy t並服话交件的详细信息上一步CB) |下一步00 ” 取消选择数据库文件存放的位置，单

11、击“下一步”第# 页，共 36 页这里要求软入还原模式密码，与 2003不同，在2003中此步骤可跳过，不输入任务密码，但是 在2008中这样是不可以的。这时系统会生成一个配置信息，我们可以选择导出，以用于在CORE模式的2008中部署DC单机下一步，进行安装，安装完成后，会提示计算机进行重新启动。Directory域朋务安装向寻趙籍锻踹软域服却此过程可能需要几分钟到几小孙等待E肥安装完成第15 页，共 36 页第# 页，共 36 页元嘉后垂新启动注）2、建立子域关于子域，这里我们用TB.MY.COM子域的建立为例进行说明建立子域的过程中需要通过 DNS服务器找到目标域，所以第一步先把DNS设

12、置改成域内DNS 的IP地址第# 页，共 36 页第# 页，共 36 页接下来在命令行下输入DCPROMO.EXE，进入下图所示向导:第16 页，共 36 页按下一步后如下图所示，选择现有林内添加域:输入父域的域名和有加入该域权限的登录凭据:第17 页，共 36 页第18 页，共 36 页输入父域完整域名和子域 DNS目录名称:Q|1 JLctive Dirlectoury HE腥势专装向异命名新域潮览迅)|旦定撼名M0H),戒单击“浏览”选中它乜然后镇入新子挾的|my. con制如:corp. contcsQ. cqid子域的单标签UKS皂称程）：Pi巫例二 h idqnart sri新子域

13、Bj玛朋： | Lb. my. com例如：heidq-u.arteirz. corp, coxitos. com上一步2|下一审)| 取消 1选择所要加入的站点:|cp Active Directory请迭择一个站点为新城控新囂迭握一忖占点。r使用与此计算机的if地址対应的站点取消 |选择其他DC选项:站点：确定数据库、日志文件和 SYSVOL的位置:设置还原 ADMINISTRATOR 密码:第21 页，共 36 页确认DC信息:3、额外域控制器建立在提升为额外域控的时候，先要把计算机加入到域中，以加入 为例。加入到域后,添加域服务，并运行域服务安装向导。这个向导并不陌生，当我们新建域是选

14、择的是“在新林中新建域”，这次要做的是在第23 页，共 36 页中填加个额外域控制器，所以选择的是“向现有林中添加域控制器”，然后点击“下一步”把域名 输入，点击“设置”输入有仅限加入 的用户名和密码，点击“下第25 页，共 36 页在“为该额外域控制器选择域”中选择“ ”，点击“下一步”为新域控制器选择一个站点第26 页，共 36 页关于其他域控制器选项，我只安装了“ DNS服务器”，把“全局编录”去掉，点击“下一步”Active Direct ory域朋秀安妾向导爵密楓窯飜黒磁牆覲：輙葩中和-棉有是否将奴麼威上的委派更暫対包含诊厠mis朋霁器?愕是，自动尝试在此安装过程中更新賂姿派(V)可

15、能舎提示您提浜其他凭拯更新LH5委派。厂否，不更新IMS委瀝A育黄呃五的详细信息上一步|下一步厕” 酬 |选择是否更新DNS委派，选择“是，自动尝试在此安装过程中更新 DNS服务器”，点击“下一点击后，要求输入DNS区域服务器的管理凭据，输入正确后点击“确定”，然后“下一步” 第20 页，共 36 页2dS I 霍。 哭耶制 1 1A 为EWT 导胡 -_个數 座1 可旻I 的且 用开 使,选择“通过网络从现有域控制器复制数据”点击“下一步”qT Active Directory 域JK务安装向导兼域腔制潯为安装伙伴选择源域控制器：a让向导选择一个合适的域控制器I)r使用此持定的域控制器on：

16、域控制器名称站点名称.：tbwixiDl tb. my. comxunsu_gc有关迭崔安装合隹進住的详细信息| 取消 I在选择源域控制器时，选择“让向导选择一个合适的域控制器”，这个源控制器的作用就是新建立的域控制器从源域控制器复制某些数据，并且将某些数据写入源控制器。源控制器也就是他的复制第29 页，共 36 页伙伴。点击“下一步”这里选择的是数据库、日志文件和 SYSVOL的存储位置，选择完成后点击“下一步”输入目录服务还原模式的admi ni strator密码，点击“下一步”第31 页，共 36 页这里显示的是整个安装过程的摘要信息，点击“下一步”等待安装，安装完成后重新启动计算机第

17、32 页，共 36 页4、站点的建立与连接4.1创建站点在开始中依次选择“管理工具” 一“AD站点和服务”在“site ”处右键,选择新建站点SffActir* Directory 祐点和滕务名祁I类壘I撤L冒MIMS Eite.一站点设置一S+rv*ri朋労逐容器文件 操作 査看 帮助用时Active Directory站i!点和服务 日 _ SitesSubnaEl _3 InterSite TranspartEMYWIHGC MYWIWHM02 MTWIMSU SKCWIBCe TBWIHO1I+I+I田(+ 田TP在弹出的窗口中输入站点名，选择默认连接然后确定朗醺 Active Dir

18、ectory日；_ Sites新建对象-站点SubnattH _ _ Inter-Site TransporIFE 黒 xu-日Z3(1田S+1田SMTPSU-gC创崖于xbgdLover. c orri/ C onf i gw at i on/S i t m eHWINDI MYWIBGC MYWIHHM02 MYWIHSU SHIWIItt? TBWIH01名称(fc):|dc-dlDBTAULTIPSITEUHKIF豔馨龜幹年匚無对象。站斂剧象可以在站点/詁点创建后会弹出如下窗口Ilc 11 ve Direc lory 域BE务1,福、站点DC-DL己创建。若要完成EC-DL的a：U确保

19、DC-DL使用相应的站点甜接已锥搖到苴仙站点。为DC-DL将子网添加到子网容器亠IS EC-DL中安装一个或參个域控制予，或将瑚有DC移入此晉羽卷會窗DieuWF站乏和服奔之前，您不会再第34 页，共 36 页第# 页，共 36 页各个站点可用同上的方法进行建立4.2定义站点子网在“ AD站点和服务”的窗口中右键 Sub nets文件夹，选择“新建子网”会出现如下窗口第# 页，共 36 页第# 页，共 36 页在前缀中输入站点的子网，然后在下面的“为此前缀选择站点对像”中选择站点，然后确定第# 页，共 36 页4.3定位服务器DC的在默认的情况下，所有的DC都加入到默认站点中，在这里我们要根据

20、实际的物理分布对 IP地址来把它们加入不同的站点。首先选择你要移动的DC。右键“移动”会出现如下窗口选择你要把DC移动到哪个站点，然后确定，即可实现。结果如下图胃旳Active Directory站点和服労 E 一.Subnetst e TranspurtsCC-SY ServersIE4BC-DLsIBSHIWTMJ2ServersHAWIEOlHAWTKKA1TO2曰E9eKu- sir- gc a Servers+MYWIHGCMYWIBSU第35 页，共 36 页4.4配置站点连接器右键“ IP”选择新建连接丽Active Directory站点和服务 曰 _ Sites|Subnet

21、sS _ _ Inter_Si te TransportsSCD弹出如下窗口，在左侧窗口中选择两个站点，进行连接建立这后，可以右键该连接，设置复制频率和开销值第36 页，共 36 页5角色迁移在Active Directory 环境中，如果具备操作主机角色的域控制器出现故障，在域控制器可用的 情况下，可以使用转移角色的方式完成操作主机角色的转移，在域控制器不可用的情况下，可以使 用占用角色的方式完成操作主机角色的转移。也可以通过计划的角色迁移进行负载均衡下面我们在根域把额外DC提升为主DC首先我们在MYWINSU计算机上点击“开始”“运行”，然后输入CMD，在提示符下输入: netdom qu

22、ery fsmo，通过该命令查看现在 FSMO五个角色的分布情况现在要把这个五个角色转移到 mywinsu上，使mywinsu成为这五个角色的owner。现在登陆mywinGC （主域控制器），进入命令提示符窗口，在命令提示符下输入： ntdsutil回 车，再输入:roles 回车，再输入 connections 回车，再输入 connect to server（备注：这里的dc-1是指服务器名称），提示绑定成功后，输入q退出，如图：输入？回车可看到以下信息: 如图：Tran sfer domai n naming master回车Tran sfer in frastructure mast

23、er回车Tran sfer PDCTransfer RID masterTran sfer schema master回车回车回车以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES,完成以后，检查一下是否全部转移到mywinsu上了，开始 运行输入netdom query fsmo,如图:全部转移成功.现在五个角色的owner都是mywinsu 了.角色转移成功以后，还要把GC也转移过去，打开活动目录站点和服务，展开 site-DC-CCservers,你会看到两台域控制器都在下面。展开 mywi nsu，右击【NTDS Sett in gs】 点【属性】，勾上全局编录前

24、面的勾，点确定，如图：现在已经可以把原来的主域控制器（mywingc ）删除掉了，在 mywingc）现在的辅助域控制器 上运行dcpromo按照提示一步一步的删除它，然后将它退出域。就完成了整个升级过程。这里还有 一点要注要的：升级完以后，你现在的主域控制器的IP地址是新的，而不是原来的那个IP地址了,第40 页，共 36 页而下面所有的客户端的DNS都是指向原来的主域控制器的，这样就会出现很多问题，所以我最简单 的方法就是把mywinsu （现在的主域控制器）的IP改为mywingc （原来的主域控制器）的IP就好 了。4第四章实验中的问题检蛮炼的谨些厘）：瞥踐呀办器优走为却子城中的圭一抚址论加牲创舊*m NetBIOSKMT12J违新t或是淡riy con的子呦t軸