win server 2012域控与活动目录的设置

windows server 2012 部署活动目录服务今天我们来学习如何在Windows Server 2012中创建域.安装前提条件：1.安装者必须具有本地管理员权限2.操作系统版本必须满足条件（Windows Server 2008 除Web版外都满足）3.本地磁盘至少有一个分区是NTFS文件系统4.有TCP/IP设置（IP位置、子网掩码等）5.有相应的DNS服务器支持6.静态的IP位置，并把DNS指向自己的IP位置7.有足够的可用空间注意：Dcpromo.exe 已弃用。

在 Windows Server 2012 中，如果你从命令提示符运行dcpromo.exe（无任何参数），你将收到引导你到服务器管理器的信息，在该服务器管理器中，你可使用“添加角色”向导安装 Active Directory 域服务。

如果你从命令提示符运行 dcpromo /unattend，你仍可执行使用 Dcpromo.exe 的无人参与安装。

这可让组织继续使用基于 dcpromo.exe 的自动化 Active Directory 域服务 (AD DS) 安装例程，直到它们可以使用 Windows PowerShell 重写那些例程。

实验环境使用1台虚拟机，DC的IP是192.168.6.1,DNS位置指向自己.1.首先检查操作系统的版本2.检查网络的IP位置和DNS位置指向3.打开“服务器管理器”，点击“添加角色和功能”4.选择“基于角色或基于功能的安装”5.选择安装角色的服务器6.选择安装“AD域服务”7.完成AD域服务的安装8.开始进行“AD域服务配置向导”9.选择新建林，域名为10.选择林功能级别和域功能级别，指定是否为DNS服务器和全局编目GC11.制定DNS委派12.设置NETBIOS名13.指定AD DS数据库，日志文件和SYSVOL存放位置14.检查安装参数选项15.首先验证后进行AD的安装16.安装AD成功后进行重新启动，打开“服务器管理器”查看17.打开"AD用户和计算机"工具进行查看18.打开"DNS服务器"工具进行查看19.打开"组策略管理"工具进行查看20.打开"AD管理中心"工具进行查看本文出自“微软技术专题”博客，请务必保留此出处bbb://nickzp.blog.51ctoaaa/12728/1064693。

windows 2012 域控基本知识Windows Server 2012是微软推出的一款服务器操作系统，它具备许多功能和特点，而其中一个重要的功能就是域控制器（Domain Controller）。

一、什么是域控制器域控制器是Windows Server中的一个角色，用于集中管理和控制域中的用户、计算机和资源。

它允许管理员在整个网络中设置和管理全局策略，同时提供用户认证和授权的功能。

域控制器通常作为中心节点，在企业网络中起到关键的作用。

二、域的概念和作用1. 域的定义：在Windows Server中，域是由一组计算机和资源组成的逻辑网络，这些计算机和资源由一个公共的身份认证和安全机制管理。

域允许用户通过单一登录认证访问所有的网络资源。

2. 域的作用：域的建立使得网络管理更加简便和安全。

通过域控制器，管理员可以集中管理用户和计算机账户，实现统一的身份认证和授权机制。

域还提供了分层授权和管理权限的能力，可以根据不同的组织结构和安全需求对用户和计算机进行灵活的管理。

三、Windows Server 2012中的域控制器安装和配置1. 安装域控制器：要安装域控制器，首先需要将Windows Server 2012服务器添加到现有的域或创建一个新的域。

然后，通过“服务器管理器”或命令行工具执行“添加角色和功能”向导，选择“域控制器”角色，并按照提示完成安装过程。

2. 配置域控制器：安装完成后，需要进行一些配置来使域控制器正常工作。

首先，需要指定域的名称和安全设置。

然后，设置域控制器的网络连接、IP地址和DNS等网络设置。

还可以配置域的全局策略、用户和计算机对象的属性，以及安全和审计设置。

3. 备份和恢复：域控制器存储着大量的关键数据，因此备份和恢复操作非常重要。

Windows Server 2012提供了一套完整的备份和恢复工具，可以对域控制器的系统状态、活动目录数据库和配置信息进行定期备份，并在需要时进行恢复。

安装配置Windows server 2012 Active Directory域服务1、检查服务器名，查看IP地址是否填写2、安装Windows server 2012 AD1) 打开“服务器管理器>>选择>>添加角色和功能”2）默认“下一步”3）选择“基于角色或基于功能的安装”>>下一步4）默认“选择服务器”>>下一步5) 下一步选择“Active Directory域服务”（系统会自动关联所依赖的环境及相应管理工具）6）勾选完“Active Directory域服务”>>下一步7）默认>>“下一步”8）默认>>“下一步”9）选择“安装”10）正在安装11）安装完成2、配置Active Directory域服务1）打开“服务器管理器2）“安装成功之后服务器管理器下方会多一个AD DS”>>“点击通知栏下方的将此服务器提升为域控制器”3）弹出域服务配置向导, 选择“添加新林“，输入域名如下图：4)下一步输入目录还原密码>>下一步5）默认>>“下一步”6）默认>>“下一步”7）默认>>“下一步”8）默认>>“下一步”9）选择“安装10）正在安装11）安装成功之后系统自动重启12）重启完成12）登录到域13）现在可以看到已安装了AD和DNS14）服务器管理器界面二、安装配置证书颁发机构1、安装证书颁发机构1）打开“服务器管理器>>选择>>添加角色和功能”2）默认>>“下一步”3）选择“基于角色或基于功能的安装”>>下一步4）默认>>“下一步”5）勾选“Active Directory证书服务”6）添加功能7）添加完“Active Directory证书服务>>下一步”8）默认>>“下一步”9）默认>>“下一步”10）勾选“证书颁发机构Web注册”11）添加功能（系统会自动关联所依赖的环境及相应管理工具）12）默认>>“下一步”13）默认>>“下一步”14）选择“安装”15）安装完成2、配置证书服务1）打开“服务器管理器>>点击通知栏下方>>配置目标服务器上的Active Directory 证书服务”2）默认>>“下一步”3）勾选“证书颁发机构>>证书颁发机构Web注册>>下一步”4）勾选“企业CA(E) >>下一步”5)勾选“创建新的私钥（R）>>下一步”6）默认>>“下一步”7）指定CA名称（默认也可以的）>>“下一步”8）修改CA公用名>>“下一步”9）默认>>“下一步”(可以指定有效期)10）默认>>“下一步”11）选择“配置”12）正在配置13）配置完成14）刷新一下仪表板，证书服务器已经配置完成15）打开证书颁发机构可以看到安装成功。

AD域：（Windows server 2012版本）创建网络中第一台域控制器（此版本已安装Active Directory域服务）Step1：选择AD DS 点击下图红色框中的“更多”进入所有服务器任何详细信息Step：2 点击下图中“将此服务器提升为域控制器”Step3：在Active Directory域服务器配置向导中，选择“添加新域”并输入根域名，点击“下一步”Step4：选择林功能级别和域功能级别，此处默认为Windows server 2012即可，然后选中“域名系统（DNS）服务器”和“全局编录”（这个为默认选项），键入目录服务还原模式（DSRM）密码，这里密码要求满足强密码要求，点击“下一步”Step5：出现关于DNS的警告，因为目前还没有安装DNS，所以不用理会，直接选择“下一步”，如图。

Step6：在NetBIOS域名界面，保持默认，选择”下一步”Step7：指定数据库、日志、sysvol的存放位置，因为是评估环境，我直接保持默认C盘Step8：在摘要界面，如果没有问题，我们可以选择下一步，如果有问题，则可以返回修改Step9：遇到错误，这里是先决条件验证失败，因为之前修改了计算机名但是没有重启，这里重启一次计算机然后继续安装。

Step10：先决条件检验成功，单击“安装”即可。

Step11：正在启动安装开始创建活动目录分区：Step12：安装完成后需要重启服务器：重启完成后，我们可以看到在开始菜单中已经有了AD相关的管理工具，如图。

第一台DC部署完成后，我们来看看windows server 2012相关的管理工具能否正常打开。

AD用户和计算机，如图。

AD管理中心，如图。

DNS管理器，如图。

组策略管理，如图。

在服务器管理器中，如果我们右击AD服务器，会发现windows server 2012提供了很多AD 的常用管理命令，如图不管是ADDS服务，还是DNS服务，还是其他的服务，都可以通过服务器管理器进行管理，如图。

目录windows server 2012 AD 活动目录部署系列（一）DNS 配置 (2)windows server 2012 AD 活动目录部署系列（二）创建域控制器 (18)windows server 2012 AD 活动目录部署系列（三）加入域并创建域用户 (24)windows server 2012 AD 活动目录部署系列（四）用户资源的权限分配 (32)windows server 2012 AD 活动目录部署系列（五）备份和还原域控制器 (39)windows server 2012 AD 活动目录部署系列（六）部署额外域控制器 (54)windows server 2012 AD 活动目录部署系列（七）Active Directory 的授权还原 (61)windows server 2012 AD 活动目录部署系列（一）DNS 配置前言本系列将介绍在windows server 2012 下AD的详细部署文档，首先我们需要做以下准备工作：1、导入五台备用的虚拟机，具体教程参考/ronsarah/article/details/92892572、准备好虚拟机后，计算机名分别命名如下：DNS、Florence、Firenze、Berlin、Perth。

一般情况下，域中有三种计算机，一种是域控制器，域控制器上存储着Active Directory；一种是成员服务器，负责提供邮件，数据库，DHCP等服务；还有一种是工作站，是用户使用的客户机。

我们准备搭建一个基本的域环境，拓扑如下图所示，Florence 是域控制器，Berlin 是成员服务器，Perth 是工作站。

部署一个域大致要做下列工作：1 DNS 前期准备2 创建域控制器3 创建计算机账号4 创建用户账号一 DNS前期准备DNS 服务器对域来说是不可或缺的，一方面，域中的计算机使用DNS 域名，DNS 需要为域中的计算机提供域名解析服务；另外一个重要的原因是域中的计算机需要利用DNS提供的SRV 记录来定位域控制器，因此我们在创建域之前需要先做好DNS 的准备工作。

Windows Server 2012配置域控制器windows server 2012在部署DC方面有了一些改变，不但在操作上有一些改变，而且有了新的DC克隆的功能。

本文就先来体验一下如何将一台windows server 2012 RTM服务器提升为域控制器。

首先我已经安装好了一台windows server 2012服务器，而且已经配置好了IP、DNS等信息。

如图。

下面我要把这台服务器提升为DC，在server 2012中，已经不支持dcpromo进行提升了，如果使用dcpromo /adv，会出现下图的提示，并且会转到服务器管理器的界面。

如图。

我们需要使用服务器管理器的添加功能和角色向导来提升域控制器，首先要安装AD相关的服务，安装完成后再进行后续的配置。

首先打开角色和功能的安装向导，如图。

安装类型选择“基于角色或者基于功能的安装”，如图。

目前我们的服务器池中只有当前这一台机器，保持默认，如图。

在选择服务器角色界面，勾选“Active Directory服务”，如图。

选择添加功能，如下图。

在选择功能界面，不需要选择任何功能，直接单击下一步，跳过。

如图。

进入AD域服务的安装向导，如图。

确认已经选择所有需要安装的组建后，单击“安装”，如图。

正在安装。

如图。

我们可以直接点击“关闭”，关闭安装向导，安装并不会中断，只是到了后台运行。

如图。

可以单击服务器管理器界面的小旗子，查看目前正在后台安装的内容。

如图。

安装完成后，我们点击小旗子图标查看提示内容，提示我们如果要完成dc的安装，需要点击“将此服务器提升为域控制器”链接，进行域控制器的提升操作。

如图。

AD域服务安装完成，下面我们进入提升域控制器的向导。

如图。

因为我目前的环境中没有windows2012或者windows2008的DC，所以我这里选择“添加新林”，安装新林中的第一个域，根域名为“”，如图。

域和林功能级别选择windows server 2012模式。

Active Directory概述：使用Active Directory(R) 域服务(AD DS) 服务器角色，可以创建用于用户和资源管理的可伸缩、安全及可管理的基础机构，并可以提供对启用目录的应用程序（如Microsoft(R) Exchange Server）的支持。

AD DS 提供了一个分布式数据库，该数据库可以存储和管理有关网络资源的信息，以及启用了目录的应用程序中特定于应用程序的数据。

运行AD DS 的服务器称为域控制器。

管理员可以使用AD DS 将网络元素（如用户、计算机和其他设备）整理到层次内嵌结构。

内嵌层次结构包括Active Directory 林、林中的域以及每个域中的组织单位(OU)。

1、使用本地管理员登录。

2、修改计算机名为“DC”3、更改计算机名后，需要重新启动服务器。

4、设置服务器固定IP。

5、通过服务器管理器中添加角色，进行域服务角色安装。

（注windows server 2012中已不能使用dcpromo进入域安装向导）6、默认选择“下一步”。

7、选择“基于角色或基于功能的安装”。

下一步。

8、选择本地服务器“DC”。

下一步。

9、选择“Active Directory域服务。

10、默认选项。

下一步。

11、默认选项。

下一步。

12、选择“如果需要，自动重新启动目标服务器”。

按“安装”。

（备注：指定备用源路径，指向windows server 2012安装盘）13、安装完成。

按“关闭”。

14、选择服务器任务详细信息，选择“部署后配置”按：将此服务器提升为域控制器。

15、选择“添加新林”，填写根域名： 。

16、选择林和域功能级别是windows server 2003,提供域控制器功能，选择“域名系统（DNS）服务器。

默认是选“全局编录”。

并设置活动目录还原密码。

17、默认选择下一步。

18、默认显示NetBIOS是MCITP。

19、默认选择下一步。

20、显示安装信息，下一步。

windowsserver2012ad活动目录部署系列（五）备份和还原域控制器在前篇博文中，我们介绍了用户资源的权限分配，用户只要在登录时输入一次口令，就能访问基于该域所分配给他的所有资源。

但是我们需要考虑一个问题：万一域控制器坏了怎么办？！如果这个域控制器损坏了，那用户登录时可就无法获得令牌了，没有了这个令牌，用户就不能访问域中的资源，那么整个域的资源分配趋于崩溃。

那我们应该如何预防这种灾难性的后果呢？我们可以考虑对活动目录进行备份以及部署额外域控制器，本篇博文我们先看如何利用对Active Directory 的备份来实现域控制器的灾难重建。

如果只有一个域控制器，那么我们可以利用Windows 自带的备份工具对Active directory 进行完全备份，这样万一这个域控制器有个三长两短，备份可以帮助我们从困境中解脱出来。

备份域控制器：1、在Florence上的服务器管理器中添加“WindowsServer Backup”功能此步骤与“添加角色”类似，此外不再重复，如有需要请参考/ronsarah/article/details/94237592、利用Windows Server Backup，进行系统状态的备份打开Windows Server Backup，右键点击“本地备份”，选择“一次性备份”，如下图所示：选择“添加项目”，选择“系统状态”，选择“远程共享文件夹”，备份最好放在别的计算机磁盘上，指定远程文件夹路径，这里放在Berlin 的共享文件夹“ADBackup”上，点击“备份”，开始备份，总容量7G多，大概需要10~20分钟时间，请稍等...备份完成！备份完成后，我们假设域控制器Florence 发生了物理故障，现在我们用另外一台计算机来接替Florence。

我们把这台新计算机也命名为Florence，IP 设置和原域控制器也保持一致，尤其是一定要把DNS 指向为 提供解析支持的那个DNS 服务器，在此例中就是192.168.11.1。