2008额外域控制器设置重点

Windows Server 2008中Active Directory域的配置管理摘要：随着计算机技术的发展，利用域管理网内计算机的新技术得到广泛应用，本文图例介绍了windows平台的active directory 域及配置管理方法关键词：windows server active directory域配置管理中图分类号：tp316 文献标识码：a 文章编号：1007-9416(2012)02-0155-02活动目录（active directory）是windows server 2008操作系统提供的一种新的目录服务。

所谓目录服务其实就是提供了一种按层次结构组织的信息，然后按名称关联检索信息的服务方式。

这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企业的管理负担。

另外，它还为用户和应用程序提供了对其所包含信息的安全访问。

活动目录作为用户、计算机和网络服务相关信息的中心，支持现有的行业标准ldap（lightweight directory access protocal，轻量目录访问协议）第8版，使任何兼容ldap 的客户端都能与之相互协作，可访问存储在活动目录中的信息，如linux、novell系统等。

创建域之前需验证windows server 2008系统具备以下条件：(1)在安装windows server 2008的计算机上至少有一个ntfs分区，至少有250m的空间。

(2)计算机上必须配置好ip地址和dns服务器地址。

(3)具须具备管理员权限。

dns服务可以在安装活动目录前安装，也可以在活动目录集成安装，即在安装活动目录过程中安装。

1、安装active directory域一般情况下，在新安装系统时，系统会提示是否选择安装【活动目录】选项，通常不安装活动目录，以便用户有时间来规划与活动目录有关的协议和系统结构。

活动目录服务一般需要在安装windows server 2008后进行安装，可以使用“dcpromo”命令，“dcpromo”是一个图形化的向导程序，它将引导用户一步一步地建立域控制器。

实训二配置额外域控制器一、知识点：额外域控制器：假如域中只有一台域控制器，一旦出现物理故障，我们时可以备份还原AD 。

部署额外域控制器，指的是在域中部署第二个甚至更多的域控制器，每个域控制器都拥有一个Active Directory 数据库。

只读域控制器： RODC只好单向的从其余可读写域控制器央求信息，而不会把任何更正传递给其余可写域控制器，这样做不单可以降低主域服务器的工作负载及监控负载的工作量，还可以提升分支机构网络的安全性，同时便于管理。

二、着手实验：实验目的：利用 windows server 2008 搭建辅助域环境，认识辅助域控制器的作用，不单学会安装辅助域控制器，并且还应学会如何配置辅助域，并实现辅助域在域环境中的作用。

实验内容：1、配置域环境中额外域控制器2、配置域环境中的只读域控制器（RODC ）3、测试辅助控制器能否搭建成功实验要求：1、完成实训内容，并做成实验报告。

实验步骤：第一步配置域环境中额外域控制器（1）部署环境设置网络环境（ 2）与主域的IP 地址要互Ping 的通（3）依据拓扑图要求，将额外控制器的名称改为“BDC1 ”输入域点击确立（ 4）安装额外域控制器开始 ------ 运转 --- 输入dcpromo输入dcpromo 点击确立以后会弹出以下导游对话框，点击下一步在弹出“部署配置”对话框勾选“现有林 ---向现有于增添域控制器”下一步，输入主域名“”点击“设置”输入“用户名和密码”点击“确立”点击“下一步”选择域“”点击下一步，选择默认站点Default-First-Site-Name 点击下一步，选择需要的“选项”点击下一步，设置组或用户（无必需可跳过）。

点击下一步，设置数据库，日记文件和SYSVOL 的地点（默认 C 盘）。

下一步，设置还原模式的密码设置完密码，点击“下一步”会弹出以下对话框，记得勾选“完成后重新启动”对话框，耐心等候导游完成。

最后完成，会重启计算机，这样就完成额外域的安装。

Windowsserver2008服务器配置知识点总结1. 系统内部使⽤安全标识符来识别⽤户的⾝份。

（SID）2. 系统内置账户Administartor 管理⽤户和来宾⽤户（Guest）3. 账户类型分为本地⽤户，域⽤户，组账户。

根据服务器⼯作模式分为⼯作组和域。

4. ⼯作组模式下，本地⽤户的账户信息存储在SAM中。

域模式下，⽤户账户存储在DC中。

5. 活动⽬录中，组按照能够接受的范围分为本地域组，全局组和通⽤组。

6. ⼯作组（计算机之间是平等的，⼯作组可以跨⼯作组访问）和域环境（必须有DC）本地⽤户和域⽤户。

7. Win2008的三种⾓⾊域控制器，成员服务器，独⽴服务器。

安装win2008内存不低于512MB，硬盘可⽤空间不低于10GB，只⽀持64位版本。

8. AD是活动⽬录，域（逻辑单位）就是共享同⼀份AD数据库（DC（域控制器）⾥边）的计算机所组成的集合。

AD数据库⽂件保存在%systemRoot%中。

9. AD数据库中包含⽤户账户，⽤户密码，计算机账户，权限设定。

10. 每⼀个window域都需要⼀个唯⼀的域名与之对应。

（DNS域名和LDAP域名两种格式）DNS服务器是⽤来解析DNS域名。

域名空间连续的称为⼀个域树，两个域树形成域森林。

信任关系：双向可传递的。

11. 站点代表⽹络的物理结构或拓扑，是⼀组有效连接的⼦⽹，站点和域不同，站点代表⽹络的物理结构，⽽域代表组织的逻辑结构。

12. Ou组织单位也是⼀个容器，⽐喻⼩⼀个规模的容器。

⼀个⽤户账号只能属于⼀个Ou⽽⽤户账号可以加⼊多个组中，所以OU是管理模型，⽽组是权限和权⼒的划分。

13. OU是活动⽬录的⼀种对象，可以将安全策略应⽤域OU，ou是AD的容器，在其中存放⽤户,组，计算机和其他OU14. 特殊规则：读，写，取得所有权。

15. 拒绝优先，组规则⽆冲突时，执⾏累加规则。

16. ⽂件移动复制规则继承：同⼀磁盘移动将会保留⽂件原有权限，其它都是随着⽬标地址的规则⽽改变。

实训一安装域控制器，配置主DNS一、知识点：1、域的功能作用及安装条件2、DNS的作用二、动手实验实验目的：利用windows server 2008搭建域环境，熟悉域控制器的安装，并学会如何配置DNS，搭建域环境，并体会域控制器在整个服务器群中的作用。

实验内容：1、部署环境2、安装域控制器，配置网络的主DNS。

3、将成员机加入域中。

实验要求：1、根据拓扑结构图，完成实训内容，并做成实验报告。

实验步骤：1、部署环境设置IP和DNS服务器地址根据拓扑图要求，将主域控制器的名称改为“PDC”2、安装域控制器，配置网络的主DNS。

在“PDC”主机上安装域控制器，域名：开始—运行---输入” dcpromo”确定，突出如下框，等待进度的完成。

接着会弹出“AD域服务安装向导”下一步，勾选“在新林中新建域”下一步，去年要求命名林根域“”。

下一步，按要求设置林功能级别：windows server 2008下一步，按要求勾选其他域控制器选项：“DNS服务器“下一步，设置“数据库，日志文件和SYSVOL的位置”（默认C盘）。

下一步，设置还原模式的密码。

下一步，等待DNS安装完成，并重启。

2、将其他主机加入到域中这里以BDC加入域为例：配置网络，修改IP：192.168.100.3；默认网关：192.168.100.1；首选DNS服务器：192.168.100.2。

网络配置完，ping下主机，查看网络是否可用。

按要求更改计算机名：BDC，并输入域：确定，已完成加入域。

在弹出欢迎对话框时，就说明完成加入域的操作。

接着按如上步骤依次把如下成员机加入主域：计算机名为：FD IP：192.168.100.4计算机名为：WF IP：192.168.100.5计算机名为：EXD IP：192.168.100.6总结通过这次实验，使我明白了在域控制器上，每一个成员计算机都有一个计算机账号，每一个域用户有一个域用户账号。

域管理员可以在域控制器上实现对域用户账号和计算机账号以及其他资源的管理。

选择Active Directory 域服务部署配置安装Active Directory 域服务(AD DS) 时，可以选择以下可能的部署配置之一：向域中添加新的域控制器向林中添加新的子域，或作为一个选项添加新的域树注意只有在选中位于Active Directory 域服务安装向导的“欢迎使用Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时，用于安装新域树的选项才会出现。

创建新的林下列各部分将详细介绍上述的每个部署配置。

向域中添加新的域控制器如果域中已有一个域控制器，则可以向该域添加其他域控制器，以提高网络服务的可用性和可靠性。

通过添加其他域控制器，有助于提供容错，平衡现有域控制器的负载，以及向站点提供其他基础结构支持。

当域中有多个域控制器时，如果某个域控制器出现故障或必须断开连接，该域可继续正常工作。

此外，多个域控制器使客户端在登录网络时可以更方便地连接到域控制器，从而还可以提高性能。

准备现有域向现有的Active Directory 域添加运行Windows Server 2008 R2 的域控制器之前，必须通过运行Adprep.exe 来准备林和域。

请务必运行Windows Server 2008 R2 安装介质随附的Adprep 版本。

此版本的Adprep 可以添加运行Windows Server 2008 R2 的域控制器所需的架构对象和属性，并且可以修改对新对象和现有对象的权限。

根据需要为环境运行以下adprep 参数：添加运行Windows Server 2008 R2 的域控制器之前，请在承载架构操作主机角色（架构主机）的林中的域控制器上运行一次adprep /forestprep。

若要运行此命令，您必须是包括架构主机的域的Enterprise Admins 组、Schema Admins 组和Domain Admins 组的成员。

此外，请在每个计划将运行Windows Server 2008 R2 的域控制器添加到其中的域中，在承载基础结构操作主机角色（基础结构主机）的域控制器上运行一次adprep /domainprep /gpprep。

（3）单击"下一步"按钮，显示"文件服务简介"对话框，单击"下一步"按钮，在"选择角色（6）单击"安装"按钮开始安装。

安装完成后，显示"安装结果"对话框，单击"关闭"（2）从"DFS管理"窗口中，用鼠标右键单击"命名空间"，从弹出的快捷菜单中选择"3.7.1 创建命名空间（2）（4）单击"下一步"按钮，打开"命名空间名称和设置"对话框。

在"名称"文本框中输入命名空间的名称，通常选择一个比较简短、易记的名称，本例中为"dfs-root" ，如图3-88所示。

（5）单击"编辑设置"按钮，打开"编辑设置"对话框，在"共享文件夹的本地路径"文本框中使用默认路径，选择"Administrator具有完全访问权限；其他用户具有只读权限"单选按钮，如图3-89所示。

（6）单击"确定"按钮，返回到"命名空间名称和设置"对话框后，单击"下一步"按钮，打开（8）单击"创建"按钮，显示"确认"对话框，如图3-92所示。

单击"关闭"按钮，返回到"DFS（2）单击"添加"按钮，显示"添加文件夹目标"对话框中，如图3-95所示。

（3）单击"浏览"按钮，打开"浏览共享文件夹"对话框，单击"浏览"按钮，打开"选择计算机"对话框，输入计算机名称，本例为"WIN2008SER"。

活动目录及域控制器的安装与配置一、安装DC（域控制器）的必备条件1、本地管理权限（系统管理员权限）2、操作系统版本必须满足条件Windows Server 2005windows Derver 20082、有TCP/IP4、有足够的可用磁盘空间5、NTFS 分区（至少要有一个NTFS分区）6、需DNS的支持。

二、安装DC1,、打开方法：开始-运行-输入“dcpromo”，就会出现图1-1所示的AD域服务器安装向导。

一般默认安装就行，钩不勾选高级差别不大。

图1-1图1-22、选择在新林中新建域数据库和日志文件夹默认保存位置C:\windows\NTDS Sysvol文件夹的位置必须为NTFS分区图1-3在这里输入你要新建的域名，域名一般是按照或形式建立图1-4在这里选择要安装的域控制器的操作系统版本，一般先选择最低级别的windows 2000 server,这里的好处是以后可以根据需要升级到高版本的如server 2003,2008等，如果直接选择最高版本的以后低版本的某些功能可能不会实现。

图1-5图1-6因为我的电脑之前已经安装了一个与服务器了所以这里会出现这个提示。

图1-7这里可能会出现如下图所示的对话框，问你是否配置静态IP，最好先到IPv4的协议中配置好ip和dns，网关根据需要来，也可以先不用配置。

图1-84、输入目录服务还原模式的Administrator密码。

一定不要忘记此密码，此密码可用于卸载你已经安装的好的域控制器图1-9图1-10图1-11图1-12这里我们可以看到，我的管理员前面出现了一个TARENA的域名，说明已经成功了，如果你重启后也看到你自己添加的域名证明你成功了图1-13让我们登陆看一下吧，登录Administrator用户，打开开始菜单——管理工具——就能看到活动目录了，图1-14，很好继续。

图1-14下图是打开活动目录后，看到自己新建的域——，你的不一定是这个哦，看你自己输入的域名是什么它就显示什么。

目录一、搭建域控制器步骤 (2)二、搭建额外域控制器步骤（可搭建多个额外域控制器） (1)三、创建计算机账号和用户账号 (16)四、将员工电脑加入域 (22)五、将员工电脑退出域 (24)六、组策略--设置员工登录域后加入本地管理员组（这样员工自己可以安装卸载软件） (28)七、组策略—员工电脑禁用可移动磁盘 (31)八、组策略—密码复杂性 (32)九、组策略—域控制器不可用时客户机仍可以继续登录 (32)十、域共享文件夹和备份到额外域控制器 (33)一、 搭建域控制器步骤FERT 公司拓扑如下所示：1. DNS 前期准备DNS 服务器对域来说是不可或缺的，一方面，域中的计算机使用DNS 域名，DNS 需要为域中的计算机提供域名解析服务；另外一个重要的原因是域中的计算机需要利用DNS 提供的SRV 记录来定位域控制器，因此我们在创建域之前需要先做好DNS 的准备工作。

那么究竟由哪台计算机来负责做DNS 服务器呢？一般工程师有两种选择，要么使用域控制器来做DNS 服务器，要么使用一台单独的DNS 服务器。

这里直接使用域控制器来做DNS 服务器。

2.设置域控制器的TCP/IP 属性IP 地址设为静态，首选DNS 设为127.0.0.13.Win 键+R 输入dcpromo ，开始域控制器的创建主域控制器（也是DNS 服务器） 额外域控制器（也用DNS 服务器）员工电脑员工电脑 员工电脑 员工电脑交换机阅读操作兼容性说明，单击下一步按钮；在“选择某一部署配置”页面中，选择“在新林中新建域”；在“命名林根域”页面输入目录林根域的FQDN名，这里命名为;在“选择林功能级别”页面中选择林功能级别；注，以下是各种级别的支持度。

在“其他域控制器选项”页面中选择“DNS服务器”；设置数据库、日志文件和SYSVOL的存储位置；这里选择默认；在“目录还原模式的Administrator密码“页中，输入密码；在“摘要“页，检查所有的选择，单击下一步；开始安装和配置活动目录服务；安装完成后单击“完成”，如下图所示，服务器需要重启；二、搭建额外域控制器步骤（可搭建多个额外域控制器）设置TCP/IP属性为静态IP地址，DNS设为第一台域控制器的IP地址。

Windows Server 2008域服务器配置全部的选择：将该服务器配置为新林中的第一个 Active Directory 域控制器。

新域名为 newhome.tianye。

这也是新林的名称。

域的 NetBIOS 名称为 NEWHOME林功能级别: Windows Server 2008域功能级别: Windows Server 2008站点: Default-First-Site-Name其他选项:只读域控制器: 否全局编录: 是DNS 服务器: 是创建 DNS 委派: 否数据库文件夹: F:\Windows\NTDS日志文件文件夹: F:\Windows\NTDSSYSVOL 文件夹: F:\Windows\SYSVOL将在此计算机上安装 DNS 服务器服务。

将在此计算机上配置 DNS 服务器服务。

此计算机将会配置为使用此 DNS 服务器作为其首选 DNS 服务器。

新域 Administrator 的密码将与此计算机的本地 Administrator 的密码相同。

安装的事件摘要：级别事件ID 日期和时间来源信息2014 2009/10/6 18:26:25 Microsoft-Windows-ActiveDirectory_DomainService "Active Directory 域服务成功地完成重新建立下列数量的索引。

索引: 5"信息2013 2009/10/6 18:26:24 Microsoft-Windows-ActiveDirectory_DomainService "Active Directory 域服务正在重新建立下列数量的索引，这是初始化的一部分。

索引: 5"警告1463 2009/10/6 18:26:23 Microsoft-Windows-ActiveDirectory_DomainService "作为初始化的一部分，Active Directory 域服务已检测到并删除了某些可能已损坏的索引。

文档信息：目录1背景描述 (3)2功能描述 (3)3配置环境 (3)4配置前的准备 (3)5配置流程 (4)6配置步骤 (4)安装环境准备 (4)安装操作系统 (4)安装Active Directory域服务 (4)安装第一台域服务器 (9)安装第二台域服务器 (16)1 背景描述在很多大洋公司的典型业务应用中，域控制器作为基础网络的基本功能与配置，扮演着重要的角色，因此，做好域控制器的部署工作尤为重要，本文基于Windows 2008 R2 X64操作系统，介绍了该系统下安装部署域控制器的主要方法。

2 功能描述域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。

不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

3 配置环境4 配置前的准备a) 硬件准备：服务器上架并上电，连线，部署网络环境。

b) 软件准备：Windows Server2008 R2 X64 Enterprise5 配置流程6 配置步骤6.1安装环境准备部署服务器、交换机等设备，部署网络环境并检查物理连接，确保无误。

6.2安装操作系统此步骤本文不再赘述，请参考大洋技术研究院系统整合实验室相关文档和手册。

注意：请严格按照密码复杂度要求设置administrator账户的密码！6.3安装Active Directory域服务开始菜单，点击“服务器管理器”，进入Windows Sever 2008 R2 X64服务器管理器界面左侧栏点击角色，进入角色管理界面。

点击添加角色，进入添加角色向导。

加必要的功能”，再点击下一步点击下一步点击安装，安装AD域服务和Framework功能待AD域服务安装成功后，点击关闭。

这里以两台server 2008以例，为了清楚两块以上网卡与一块网卡搭建域控的区别，将DC1一、根域的建立DC1配置以管理员登录系统查看网卡信息及主机名选择“开始”→“管理工具”→打开“服务器管理器”，单击“角色”→单击“添加角色”，在服务器角色中勾选“Active Directory域服务”，勾选时在弹出的对话框中单击“添加必需的功能”（注：DNS不可与AD一起勾选）单击下一步，进入一个对AD的简介界界单击下一步进入安装界面安装完成后会出现如下画面单击“关闭该向导并启动Active Directory域服务安装向导(dcpromo.exe)”，进入域服务安装向导勾选“使用高级模式安装”选择“在新林中新建域”输入域名（FQDN），此处以以例单击下一步时会自动检查输入的FQDN是否有重复或错误等默认即可选择林功能级别，此处模拟环境使用的系统全为Server 2008 R2单击下一步将检查DNS，此环境之前无安装，这里将会安装DNS此时是由于第二张网卡没有配置固定IP而弹出的提示，单击“是（Y），该计算机将使用DHCP 服务器自动分配的IP地址（不推荐）”此时单击按钮“是（Y）”默认即可设置“目录服务还原模式”的密码，必须输入密码，密码要求强密码显示摘要勾选“完成后重新启动”重启后即完成域控的安装二、额外域控制器建立（即辅域控）查看网卡信息及主机名（DNS需指向根域）与根域一样选择“开始”→“管理工具”→打开“服务器管理器”，单击“角色”→单击“添加角色”，在服务器角色中勾选“Active Directory域服务”，勾选时在弹出的对话框中单击“添加必需的功能”（注：DNS不可与AD一起勾选）添加“AD域服务”后，运行域服务安装向导此时选择“现有林(E)”下的“向现有域添加域控制器”由于是要向域（）中添加辅域，所以在此处输入域名：；单击设置，输入域中有权限的用户密码下一步单击按钮“是(Y)”默认即可输入“目录服务还原模式”密码重启后完成三、域的基本操作登录域控，单击“开始”→“管理工具”→打开“AD用户和计算机”1、建立OU右击域（）→“新建”→单击“组织单位”输入名称，勾选“防止容器意外删除”，此处以abc为例建立成功2、新建用户在刚新建的OU里新建用户test右击OU“abc”→“新建”→单击“用户”，注：此时右侧无任何用户按下图输入test用户信息输入密码完成建立成功3、。

Windows server 2008 r2 NTFS权限实验报告实验背景某公司网络环境为工作组，公司要求所有员工把重要的文件放置到文件服务器上。

文件服务器的要求创建以下结构实验目标1 以管理员身份在计算机上按照如上结构创建相关文件夹。

保证每个部门的员工只能访问到自己文件夹的内容，例如销售部小李可以读取销售部文件夹小李专用内容，但却无法读取财务部文件夹的内容。

每个部门的员工都可以在自己文件夹下创建任何新文件和文件夹，并能重命名为我的日报告可以读取本部门其他用户的文件夹内容，但不能修改，不可以删除已经创建了的文件财务经理专用子文件夹只有财务经理可以访问，并在其中创建文件，其他任何用户帐号不可访问会计小王专用子文件夹只有会计小王可以访问，并在其中创建文件，其他任何用户帐号不可访问实验环境1 一人一组2 准备一台Windows Server 2003虚拟机3 实验网络为192.168.1.0/244 保证有至少一个NTFS分区思考：复制后文件的权限是什么，填如下表我们首先新建两个文件夹“财务部”和“销售部”：然后再新建“销售部”和“财务部”的子文件夹：（财务部）:(销售部)：我们在新建各自不们的用户组：并新建文件夹各自用户组：然后把用户加入到各自的用户组：每个部门的员工只能访问到自己文件夹的内容，例如销售部小李可以读取销售部文件夹小李专用内容，但却无法读取财务部文件夹的内容。

每个部门的员工都可以在自己文件夹下创建任何新文件和文件夹，并能重命名为我的日报告可以读取本部门其他用户的文件夹内容，但不能修改，不可以删除已经创建了的文件好了！准备工作开始了！我们的实验要开始了：点击“小李”→“属性”→“安全”→“高级”号去掉（它会提示是否删除点击“删除”）：然后添加用户小李设置权限为：在添加小赵设置权限为只可读取：验证小李可在自己文件夹内完全控制：小赵不可修改小李的文件和目录只能读取：下面设置小赵的权限：“小赵”→“属性”→“安全”→“高级”号去掉（它会提示是否删除点击“删除”）：添加小赵用户权限为完全控制：添加小李权限为：验证小赵不可修改小李的文件只可读取：小赵可在自己目录完全控制：销售部不可查看财务部的文件信息：点击“销售部”→“属性”→“高级”→把“允许父项的继承权限传播到该对象和所有子对象，包括那些在此明确的项目！”的对号去掉（它会提示是否删除点击“删除”）：添加用户组“销售部”权限为完全控制：添加财务部用户组权限为：点击“财务部”→“属性”→“高级”→去掉（它会提示是否删除点击“删除”）：添加“财务部用户组”完全控制：添加销售部为完全拒绝：验证实验结果（销售部无法访问财务部）：实验财务部无法访问销售部：财务经理专用子文件夹只有财务经理可以访问，并在其中创建文件，其他任何用户帐号不可访问会计小王专用子文件夹只有会计小王可以访问，并在其中创建文件，其他任何用户帐号不可访问实验开始：点击“财务经理”→“属性”→“高级”→把“允许父项的继承权限传播到该对象和所有子对象，包括那些在此明确的项目！”的对号去掉（它会提示是否删除点击“删除”）：添加财务经理文件夹为财务经理完全控制并删除其他任何用户：设置会计小王的权限：点击“财务经理”→“属性”→“高级”→把“允许父项的继承权限传播到该对象和所有子对象，包括那些在此明确的项目！”的对号去掉（它会提示是否删除点击“删除”）：添加会计小王为完全控制其他用户全部删除：验证（财务经理和会计小王各自控制各自的文件夹）一．财务经理只能在本地文件夹内访问和删除不能再其他用户文件夹没做任何操作：二．会计小王只能在本地文件夹内完全控制不能再其他文件夹内做任何操作：实验全部完成！。

WindowsServer2008ActiveDirectory配置指南-l...一、Active Directory Domain Services(AD DS)in the Windows Server 2008 network enviroment ,Active Directory Domain Services(AD DS),provide with organizing、managing、controlling network resources.1-1 active directory domain services overviewdirectory :telephone directory;file directory如果这些directory内的数据能够系统的加以整理的话，用户就能够容易且迅速的查找到所需文件。

Active Directory的组成是directory，域内的directory是用来存储用户帐户、计算机帐户、打印机与共享文件夹等对象，我们把这些对象的存储地点称为目录数据库（directory database）。

Active Directory 域内负责提供目录服务的组件就是active directory域服务，active directory domain services它负责目录数据库的存储、添加、删除、修改与查询操作。

1-1-1 active directory domain service scopeactive directory domain service 可以用在一台计算机、LAN或者数个WAN的联合，它包含此范围所有的对象，例如文件、打印机、应用程序、服务器、域控制器与用户帐户等。

1-1-2nameSpacebounded area ,一块界定好的区域，在此区域内，我们可以利用某个名称来找到与这个名称有关的信息。

active directory 域服务内，active directory就是一个名称空间，在active directory内我们可以通过对象名来找到与这个对象相关的所有的信息。

大家都知道 Windows2021 企业版效劳器发布后，又掀起了一阵效劳器更新换代的狂潮。

当然在企业中只要效劳器可以继续工作，大都不会轻易升级或者更换效劳器。

因为那都是钱啊！！哈哈！不废话了，我也只是简单的部署了一下并没有什么技术含量！我们在 windows2003企业版域控制器上部署Windows2021额外域控制器考前须知：1?首先扩展林架构2?在扩展域架构3?部署额外域控制器其实扩展架构是很简单的事，一般都在新型效劳器的安装光盘中。

这次扩展架构的工具就在 08 光盘中：sources\adprep首先我们把adprep文件找到并放在 c 盘中。

翻开“开始〞-“运行〞：到目录下，执行命令：adprep/forestprep完成然后扩展域架构：adprep /domainprep部署 windows2021,域控制器要提升林，域级别windows server 2003下才可以。

这时我们就安心的部署域了，不用担忧它会报错了！dcpromo选择下一步默认 08 是兼容NT4 的。

“现有林〞“向现有域添加域控制器〞输入域名，点击“设置〞输入域控制器的账号密码下一步后08 自动找到林根域选择站点：检测到域控制器上有一个默认站点默认选项：动态分配IP选择“是〞，创立 DNS 委派。

下一步输入复原密码下一步下一步等了一会后，完成Active Directory域效劳安装。

在 Active Directory 用户和计算机中可以看到，我们已经参加了windows server 2021 额外域控制器。

这里最关键的一步是扩展和提升林，域级别！如果这里不注意就会做错，其中不推荐使用动态分配IP ，因为那样会给用户带来很大麻烦。

但这个问题我没有解决，还请老师，师兄们给出建议和指正！。