Jirairya

域环境


域控的搭建及加入客户机

搭建域

域的知识点可参见:https://blog.netwrix.com/2017/04/20/tutorial-learn-the-basics-of-active-directory/

DNS的安装

作为域控服务器,IP地址必须是静态手工配置,绝对不能DHCP自动获取。DHCP自动获取的IP地址是不固定的,经常变化,这样会对其余的客户机器有很大的影响,导致客户无法正常工作。不一定要配置网关,但DNS一定要配置正确,活动目录(Active Directiory)的工作紧密依赖于DNS服务。DNS服务器可以是域控机器,也可以是另一台服务器。

更改网络类型

由于Win2k8 R2默认防火墙配置是根据网络连接类型实施过滤,所以最好通过网络和共享中心将其网络类型更改为专用网络

Alt text

设置静态IP

根据配置静态 IP 地址设置静态IP:

  1. 开始->单击控制面板
  2. 单击网络和Internet,打开网络和互联网
  3. 打开网络和共享中心,单击网络查看状态
  4. 单击属性,进入Internet 协议版本 4 (TCP/IPv4)
  5. 设置ip地址为192.168.200.10,将DNS服务器也设置成该IP
  6. 打开cmd,ipconfig查看ip和网关是否设置成功

Alt text

修改计算机名

提前修改计算机名称,不然在安装完成域之后,出现很多奇怪问题。

Alt text

然后根据提示,进行重启,修改生效。

安装DNS服务

进入服务器管理器,在角色栏添加角色:

Alt text

Alt text

然后一路下一步,进行安装。

Alt text

DNS服务安装成功

域控的安装配置

安装.NET Framework

单击功能,添加.NET Framework

Alt text

安装域服务

单击角色,添加AD域服务

Alt text

安装成功之后,如果没有错误,证明AD的安装准备已经完成,但是由于该台计算机还不能完全正常运行DC,所以提示需要启用AD安装向导(dcpromo.exe)来完成安装。可以直接点击“关闭该向导并启动Active Directory域服务安装向导(dcpromo.exe)”进入安装向导,也可以直接点击“关闭”按钮之后,手动打开运行,然后输入dcpromo.exe进行安装。

Alt text

Alt text

经过系统检测之后,进入下一步,一直下一步到

由于目的是部属企业中的第一个DC,所以在此应选择“在新林中新建域”。因为,创建新林需要管理员权限,所以必须是正在其上安装AD的服务器本地管理组成员。

Alt text

对域林的根域进行命名,需要在之前对DNS基础结构有一个完整的计划。必须了解该林的完整DNS名称。可以在安装AD之前先安装DNS服务器服务,或者如本实例一样选择让AD安装向导安装DNS服务器服务 让AD向导来安装DNS服务器服务,将使用此处的DNS名称为林中的第一个域自动生成NetBIOS名称。点击“下一步”,向导会验证DNS名称和NetBIOS名称在网络中的唯一性。

设置域名b404.com

Alt text

设置林功能级别,功能级别确定了在域或林中启用AD的功能,还将限制可以在域或域林中DC上运行的Windows服务器版本。但是,功能级别不会影响在连接到域或域林的工作站和成员服务器上运行的操作系统。

Alt text

将域功能级别设置为某个特定值后,将无法回滚或降低域功能级别,但以下情况例外:将域功能级别提升至WIN08R2,并且林功能级别为WIN08或更低时,可以将域功能级别回滚到WIN08,且只能将其从WIN08R2降到WIN08,而不能将其回直接滚到WIN03。 将林功能级别设置为某个值之后,就不能回滚或降低林功能级别,但有一种情况例外:当您将林功能级别提升到WIN08R2且没有启用AD回收站时,则可以选择将林功能级别回滚到WIN08。且只能将其从WIN08R2降到WIN08,而不能将其回直接滚到WIN03。

Alt text

如果启动AD安装向导之前已经安装了DNS服务,但AD没有 DNS 基础结构,则 DNS 服务将继续为它承载的任何基于文件的区域解析名称,但不会承载它作为域控制器所在的域的任何AD集成的DNS区域。

Alt text

这个对话框的出现是由于配置其它服务器时,选择了“DNS服务器”选项,而当前计算机又未找到指定域的权威父域Windows DNS服务器,从而无法确定是否对指定域进行了委派导致的

Alt text

确定AD数据库、日志文件和SYSVOL放置的位置(如上图。对于数据库来讲主要存储有关用户、计算机和网络中其它对象的信息;日志文件记录与AD有关的活动;SYSVOL存储组策略对象和脚本,其默认是位于%windir%目录中的操作系统文件的一部分。

Alt text

向导要求输入“目录还原模式的Administrator密码”(如上图)。在 AD未运行时,目录服务还原模式(DSRM)密码是登录域控制器所必需的。(DSRM密码与域管理员账户的密码不同,密码为Fuck1234

Alt text

Alt text

Alt text

重启之后,win2k8已变成域用户:

Alt text

测试网络情况:

Alt text

Alt text

加入域

  • 加入域的先决条件是要能够连结到该域的DC,而要连到DC就必须先设定正确的DNS服务器地址。
  • 先前建立DC癿时候,其实已将该域的DNS服务器和DC安装在一起了。
  • 换言之,域里的DC和DNS服务器实为同一部电脑,所以应该将独立服务器上癿首先DNS服务器,设为DC的IP地址。

独立服务器

windows服务器加入域

修改服务器设定

  • 首先以该独立服务器的本机系统管理员登陆机器
  • 定义好本机名称,重启
  • 设置好固定的同一网段的IP地址
  • 确定DNS地址

将WEB服务器的IP改成域控同一网段IP,并设置DNS服务器的IP(本文DNS服务器的地址就是域控的IP):

Alt text

更改计算机名,添加到域:

Alt text

看到欢迎加入b404.com域差不多就可以了:

Alt text

重启之后:

Alt text

在WEB服务器上,测试和域控的网络连通性:

Alt text

在域控检查DNS记录:

Alt text

参考


Similar Posts

下一篇 开启RDP

Comments