域与活动目录的管理

单元一：Windows Server 2008域与活动目录

任务一：安装Windows Server 2008域控制器

任务描述：

企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。虽然活动目录具有强大的功能，但是安装Windows Server 2008操作系统时并未自动生成活动目录。因此，管理员必须通过安装活动目录来建立域控制器，并通过活动目录的管理来实现针对各种对象的动态管理与服务。同时客户机登录域的操作也是组建域网络必不可少的部分，也是网络管理员应该熟练掌握的基本技能之一。

任务目标：

作为网络管理员，只有明确安装域控制器的条件和准备工作，掌握域网络的组建流程和操作技术，才能在服务器上安装好Windows Server 2008操作系统。为此，可以启用活动目录安装向导，成功安装活动目录后，将使得一个独立服务器升级为域控制器。同时通过任务，还应能够区分登录窗口，例如是登录域不是登录本机的登录框。

任务实施：

一、建立第一台域控制器：

活动目录是Windows Server 2008非常关键的服务，它不是孤立的，与许多协议和服务有着非常紧密的关系，并涉及整个操作系统的结构和安全。因此，活动目录的安装并非一般Windows组件那样简单，必须在安装前完成一系列的准备，注意事项如下：

（1）文件系统和网络协议：Windows Server 2008所在的分区必须是NTFS文件系统，同样活动目录必须安装在NTFS分区，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP协议。

（2）域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。在组建一个全新的Windows Server 2008网络时，所安装的第一台域控制器将生成第一个域，这个域也被称为根域，选择根域最为关键。根域名字的选择可以有以下几种方案：

使用一个已经注册的DNS域名作为活动目的根域名，使得企业的公共网络

和私有网络使用同样的DNS名字。

使用一个已经注册的DNS域名的子域名作为活动目录的根域名。

活动目录使用与已经注册的DNS域名完全不同的域名，使企业网络在内部

和互联网上呈现出两种完全不同的命名结构。

（3）域名策划：目录域名通常是该域的完整DNS名称，如“”。同时，为了确保向下兼容，每个域还应当有一个与Windows 2000 Server以前版本相兼容的名称，如“abc”。

以图1-1中的拓扑为样本，在该网络的域林中有两个域树：和，其中域树下有子域，在域中有两个域控制器，和 ；子域中除了有一个域控制器（）外，还有一个成员服务器（）。我们先创建域树，然后再创建域树，将其加入到林中。

用户要将自己的服务器配置成域控制器，应该首先安装活动目录，以发挥活动目录的作用。系统提供的活动目录安装向导，可以帮助用户配置自己的服务器，如果网络没有其它域控制器，可将服务器配置为域控制器，并新建子域、新建域目录树。如果网络中有其它域控制器，可以服务器设置为附加域控制器，加

入旧域、旧目录树。

在配置各个服务器前要先更改机器的名字！

在Windows Server 2008中安装活动目录可以参照下述步骤进行操作：

（1）首先确认“本地连接”属性TCP/IP首选DNS是否指向了本机，然后选择“开始”→“服务器管理器”命令打开服务器管理器，在左侧选择“角色”一项之后，单击右部区域的“添加角色”链接，并且在如图所示的对话框中选择“Active Directory 域服务”复选框。

（2）单击“下一步”按钮继续操作，在如图所示的对话框中，针对域服务进行相关的介绍。

（3）单击“下一步”按钮继续操作，在如图所示的对话框中显示了安装域服务的相关信息，确认安装可以单击“安装”按钮。

（4）域服务安装完成之后，可以在如图所示的对话框中查看到当前计算机已经安装了Active Directory域控制器，单击“关闭”按钮退出添加角色向导对话框。

（5）返回服务器管理器窗口，在如图所示的窗口中可以查看到Active Directory域服务已经安装，但是还没有将当前服务器作为域控制器运行，因此需要单击右部窗格中蓝色的“运行Active Directory域服务安装向导（dcpromo.exe）”链接来继续安装域服务。也可以单击“开始”菜单，在搜索栏中输入dcpromo.exe命令打开域服务安装向导。

（6）域服务安装向导的欢迎界面中可以选择“使用高级模式安装”复选框，

这样可以针对域服务器更多的高级选项部分进行设置，如图所示，单击“下一步”按钮继续操作。

（7）在如图所示的“操作系统兼容性”窗口中，简介介绍了Windowws Server 2008域控制器和以前版本的Windows之间有可能存在兼容性问题，可以了解下相关知识，单击“下一步”按钮。

（8）在如图所示的“选择某一部署配置”窗口中，如果以前曾在该服务器上安装过Active Directory，可以选择“现有林”下的“向现有域添加域控制

器”或“在现有林中新建域”选项；如果是第一次安装，则建议选择“在新林中新建域”选项，然后再单击“下一步”按钮继续操作。

（9）在如图所示的“命令林根域”窗口中，输入目录林根级域的FQDN，在此输入“”，单击“下一步”按钮继续操作

（10）在如图所示的“域NetBIOS”窗口中，系统会自动出现默认的NetBIOS 名称，此时可以直接单击“下一步”按钮。NetBIOS名称的意义在于，让其它早

期Windows版本的用户可以识别新域。

（11）在如图所示的“设置林功能级别”窗口中，可以选择多个不同的林功能级别“Windows 2000”、“Windows Server 2003”、“Windows Server 2008”，考虑到网络中有低版本的Windows系统计算机，此时建议选择“Windows 2000”一项，然后单击“下一步”按钮。