实训二：windows server 2008 额外域控制器配置.

实训二配置额外域控制器一、知识点：额外域控制器：假如域中只有一台域控制器，一旦出现物理故障，我们时可以备份还原AD 。

部署额外域控制器，指的是在域中部署第二个甚至更多的域控制器，每个域控制器都拥有一个Active Directory 数据库。

只读域控制器： RODC只好单向的从其余可读写域控制器央求信息，而不会把任何更正传递给其余可写域控制器，这样做不单可以降低主域服务器的工作负载及监控负载的工作量，还可以提升分支机构网络的安全性，同时便于管理。

二、着手实验：实验目的：利用 windows server 2008 搭建辅助域环境，认识辅助域控制器的作用，不单学会安装辅助域控制器，并且还应学会如何配置辅助域，并实现辅助域在域环境中的作用。

实验内容：1、配置域环境中额外域控制器2、配置域环境中的只读域控制器（RODC ）3、测试辅助控制器能否搭建成功实验要求：1、完成实训内容，并做成实验报告。

实验步骤：第一步配置域环境中额外域控制器（1）部署环境设置网络环境（ 2）与主域的IP 地址要互Ping 的通（3）依据拓扑图要求，将额外控制器的名称改为“BDC1 ”输入域点击确立（ 4）安装额外域控制器开始 ------ 运转 --- 输入dcpromo输入dcpromo 点击确立以后会弹出以下导游对话框，点击下一步在弹出“部署配置”对话框勾选“现有林 ---向现有于增添域控制器”下一步，输入主域名“”点击“设置”输入“用户名和密码”点击“确立”点击“下一步”选择域“”点击下一步，选择默认站点Default-First-Site-Name 点击下一步，选择需要的“选项”点击下一步，设置组或用户（无必需可跳过）。

点击下一步，设置数据库，日记文件和SYSVOL 的地点（默认 C 盘）。

下一步，设置还原模式的密码设置完密码，点击“下一步”会弹出以下对话框，记得勾选“完成后重新启动”对话框，耐心等候导游完成。

最后完成，会重启计算机，这样就完成额外域的安装。

Windows Server 2008 搭建域控制器域英文叫DOMAIN——域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即Trust Relation)。

信任关系是连接在域与域之间的桥梁。

当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。

域既是Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在Windows 网络操作系统中，域是安全边界。

域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域;每个域都有自己的安全策略，以及它与其他域的安全信任关系。

如果企业网络中计算机和用户数量较多时，要实现高效管理，就需要windows域。

安装条件1安装者必须具有本地管理员的权限。

2操作系统版本必须满足条件（Windows serv er2003除web以外的所有都满足）。

3本地磁盘必须有一个NTFS文件系统4有TCP/IP设置5有相应的DNS服务器支持6有足够的可用空间一. 安装DC1.安装DNS我的做法是将DNS 集成在预控当中，但是也可以做一台独立的DNS 。

按照我的方法做的话就是将DNS 指向自己就可以了。

点开“开始”—“运行”，输入oobe 按enter 键，调出初始任务对话框，选择添服务器角色点击下一步，选择DNS 服务器，点击“下一步”—“安装”2.配置DC 的IP 地址和DNS （IP 地址可以随便定义，DNS 在上一步的时候已经说过了，要只自己本机的IP 地址）3.安装DC（1）打开ad开始--运行输入dcpromo（2）是否创建新域。

dc有两种新域的域控和现有域的额外域控制器。

如果现在安装的是第一台DC 的话就选择第一项，如果是在现有域中添加一台DC 就要选择第二项了。

（3）.新域的DNS全名。

2008_域环境搭建目录第一章虚拟场景 (2)1、公司简介 (2)2、公司现有IT状况 (2)第二章实验设计 (3)1、域规划 (3)2、计算机规划 (3)第三章具体实施 (4)1、建立根域 (4)1.1准备 (4)1.2 安装 (4)2、建立子域 (13)3、额外域控制器建立 (18)4、站点的建立与连接 (25)4.1 创建站点 (25)4.2 定义站点子网 (26)4.3 定位服务器 (27)4.4 配置站点连接器 (28)5角色迁移 (28)第四章实验中的问题 (33)第一章虚拟场景1、公司简介某公司通过合理的运营和管理，发展迅速，员工人数已有200人左右，现在该公司总部设在长春，两个子公司分部在大连和沈阳，为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业网络。

公司决定部署一个由200台计算机组成的局域网。

用于完成企业数据通信和资源共享。

公司内部有：人力资源部、行政部、财务部、工程部、销售部、总经理办公室2、公司现有IT状况公司已有一个局域网，运行200台计算机，服务器操作系统是windows server 2008，客户机的操作系统是windows xp，工作在工作组模式下，员工一人一机办公。

公司从ISP申请2M专线用于与各个子公司相连，实现各公司间资源交换与共享。

由于计算机比较多，管理上缺乏层次，公司希望能够利用windows域环境管理所有网络资源，提高办公效率，加强内部网络安全，规范计算机使用。

第二章实验设计1、域规划一改以往的工作组模式，组建域，使管理更方便，工作的环境更安全，用户可以在任意一台域内的计算机登录，共享网络资源。

在总公司长春建立根域内部子网172.16.18.0/24大连分部建立子域内部子网10.10.10.0/24沈阳分部建立子域内部子网192.168.80.0/242、计算机规划DC情况如下表:地区DC计算机名IP 子网掩码DNS长春Mywingc 172.16.18.51 255.255.255.0 172.16.18.51 Mywinsu 172.16.18.216 255.255.255.0 172.16.18.51大连Hanwin01 10.10.10.1 255.255.255.0 172.16.18.51 Hanwin02 10.10..10.216 255.255.255.0 172.16.18.512M沈阳Tbwin01 192.168.80.173 255.255.255.0 172.16.18.51 Shiwin02 192.168.80.215 255.255.255.0 172.16.18.51第三章具体实施1、建立根域1.1准备对于安装WINDOWS 2008 SERVER 的服务器，对硬件有如下要求：处理器最低1.0GHz x86或1.4GHz x64推荐2.0GHz或更高；安腾版则需要Itanium 2内存最低512MB 推荐2GB或更多内存最大支持32位标准版4GB、企业版和数据中心版64GB 64位标准版32GB，其他版本2TB硬盘最少10GB，推荐40GB或更多内存大于16GB的系统需要更多空间用于页面、休眠和转存储文件备注光驱要求DVD-ROM；显示器要求至少SVGA 800×600分辨率，或更高；在安装根域服务器前，首先要确定你的计算机IP地址（IPV4）为静态，DNS指向本机的IP地址（DNS安装会在下面操作中说明） IPV6 禁用1.2 安装在安装windows 2008 之后（安装过程不详细介绍），选择“开始”－“管理工具”—“服务器管理器”选项，然后选择添加角色在服务器角色中选择AD域服务（DNS不可与AD一起勾选）然后单击下一步，进入一个对AD的简介界面，单击下一步进入安装界面点击安装。

选择Active Directory 域服务部署配置安装Active Directory 域服务(AD DS) 时，可以选择以下可能的部署配置之一：向域中添加新的域控制器向林中添加新的子域，或作为一个选项添加新的域树注意只有在选中位于Active Directory 域服务安装向导的“欢迎使用Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时，用于安装新域树的选项才会出现。

创建新的林下列各部分将详细介绍上述的每个部署配置。

向域中添加新的域控制器如果域中已有一个域控制器，则可以向该域添加其他域控制器，以提高网络服务的可用性和可靠性。

通过添加其他域控制器，有助于提供容错，平衡现有域控制器的负载，以及向站点提供其他基础结构支持。

当域中有多个域控制器时，如果某个域控制器出现故障或必须断开连接，该域可继续正常工作。

此外，多个域控制器使客户端在登录网络时可以更方便地连接到域控制器，从而还可以提高性能。

准备现有域向现有的Active Directory 域添加运行Windows Server 2008 R2 的域控制器之前，必须通过运行Adprep.exe 来准备林和域。

请务必运行Windows Server 2008 R2 安装介质随附的Adprep 版本。

此版本的Adprep 可以添加运行Windows Server 2008 R2 的域控制器所需的架构对象和属性，并且可以修改对新对象和现有对象的权限。

根据需要为环境运行以下adprep 参数：添加运行Windows Server 2008 R2 的域控制器之前，请在承载架构操作主机角色（架构主机）的林中的域控制器上运行一次adprep /forestprep。

若要运行此命令，您必须是包括架构主机的域的Enterprise Admins 组、Schema Admins 组和Domain Admins 组的成员。

此外，请在每个计划将运行Windows Server 2008 R2 的域控制器添加到其中的域中，在承载基础结构操作主机角色（基础结构主机）的域控制器上运行一次adprep /domainprep /gpprep。

Windows Server 2008 利用组策略来管理用户的工作环境策略设置实战演练：一、策略设置1：计算机配置由于系统默认是只有某些组（例如administrators）内的用户，才有权限在扮演域控制器角色的计算机上登录，因此一般用户在域控制器上登录时，屏幕上会出现“无法登录”的警告信息，除非他们被赋予允许在本地登录的权限。

以下假设要开放域XUBO，使Domain Users组内的用户可以在域控制器上登录，我们将通过默认的Default Domain Controllers Policy GPO来设置，也就是要让这些用户在域控制器上拥有允许在本地登录的权限。

1、到域控制器上利用系统管理员身份登录。

2、选择“开始”—“管理工具”—“组策略管理”。

3、如图1-1所示，展开到组织单位Domain Controllers，右击右边的Default DomainControllers Policy，选择“编辑”选项。

图1-14、如图1-2所示，展开“计算机配置”—“策略”—“Windows设置”—“安全设置”—“本地策略”—“用户权限分配”，双击右侧的“允许在本地登录”选项。

图1-25、如图1-3所示，单击“添加用户或组”按钮，输入或选择或xubo内的Domain Users组，单击两次“确定”。

图1-3完成后，必须等这个策略应用到组织单位Domain Controllers内的域控制器后才有效。

应用完后，就可以利用任何一个域用户到域控制器上登录，以便测试允许在本地登录功能是否正常。

二、策略设置2：用户配置以下假设域内有一个组织单位业务部，而我们要针对其内的所有用户来设置，而且限定他们必须通过企业内部的代理服务器上网。

假设代理服务器的网址为端口为8080，同时要将其浏览器Internet Explorer的“连接”t选项卡内更改Proxy设置的功能禁用，以免用户私自通过此处更改这些设置值。

由于目前并没有任何GPO被链接到组织单位业务部，因此我们先我们创建一个链接到业务部GPO，然后通过修改GPO设置值的方式来达到目的。

图8-9 IIS 管理器图8-10 Web 服务器安装成功8.2.2 配置IP 地址和端口Web 服务器安装完成以后，可以使用默认创建的Web 站点来发布Web 网站。

不过，如果服务器中绑定有多个IP 地址，就需要为Web 站点指定唯一的IP 地址及端口。

在IIS 管理器中，右击默认站点，单击快捷菜单中的“编辑绑定”命令，或者在右侧“操作”栏中单击“绑定”，显示如图8-11所示的“网站绑定”窗口。

默认端口为80，使用本地计算机中的所有IP 地址。

选择该网站，单击“编辑”按钮，显示如图8-12所示的“编辑网站绑定”窗口，在“IP 地址”下拉列表框中选择欲指定的IP 地址即可。

在“端口”文本框中可以设置Web 站点的端口号，且不能为空。

“主机名”文本框用于设置用户访问该Web 网站时的名称，当前可保留为空。

图8-11 “网站绑定”窗口图8-12 “编辑网站绑定”窗口注 意 使用默认值80端口时，用户访问该网站不需输入端口号，如http://192.168.0.1或 。

但如果端口号不是80，那么访问Web 网站时就必须提供端口号，如http://192.168.0.1:8000或:8000。

设置完成以后，单击“确定”按钮保存设置，并单击“关闭”按钮关闭即可。

此时，在IE 浏览器的地址栏中输入Web 服务器的地址，显示如图8-13所示的窗口，表示可以访问Web 网站。

168图8-13 Web 网站8.2.3 配置主目录主目录也就是网站的根目录，用于保存Web 网站的网页、图片等数据，默认路径为“C:\Intepub\wwwroot ”。

但是，数据文件和操作系统放在同一磁盘分区中，会存在安全隐患，并可能影响系统运行，因此应设置为其他磁盘或分区。

打开IIS 管理器，选择欲设置主目录的站点，在右侧窗格的“操作”选项卡中单击“基本设置”，显示如图8-14所示的“编辑网站”窗口，在“物理路径”文本框中显示的就是网站的主目录。

目录一、搭建域控制器步骤 (2)二、搭建额外域控制器步骤（可搭建多个额外域控制器） (1)三、创建计算机账号和用户账号 (16)四、将员工电脑加入域 (22)五、将员工电脑退出域 (24)六、组策略--设置员工登录域后加入本地管理员组（这样员工自己可以安装卸载软件） (28)七、组策略—员工电脑禁用可移动磁盘 (31)八、组策略—密码复杂性 (32)九、组策略—域控制器不可用时客户机仍可以继续登录 (32)十、域共享文件夹和备份到额外域控制器 (33)一、 搭建域控制器步骤FERT 公司拓扑如下所示：1. DNS 前期准备DNS 服务器对域来说是不可或缺的，一方面，域中的计算机使用DNS 域名，DNS 需要为域中的计算机提供域名解析服务；另外一个重要的原因是域中的计算机需要利用DNS 提供的SRV 记录来定位域控制器，因此我们在创建域之前需要先做好DNS 的准备工作。

那么究竟由哪台计算机来负责做DNS 服务器呢？一般工程师有两种选择，要么使用域控制器来做DNS 服务器，要么使用一台单独的DNS 服务器。

这里直接使用域控制器来做DNS 服务器。

2.设置域控制器的TCP/IP 属性IP 地址设为静态，首选DNS 设为127.0.0.13.Win 键+R 输入dcpromo ，开始域控制器的创建主域控制器（也是DNS 服务器） 额外域控制器（也用DNS 服务器）员工电脑员工电脑 员工电脑 员工电脑交换机阅读操作兼容性说明，单击下一步按钮；在“选择某一部署配置”页面中，选择“在新林中新建域”；在“命名林根域”页面输入目录林根域的FQDN名，这里命名为;在“选择林功能级别”页面中选择林功能级别；注，以下是各种级别的支持度。

在“其他域控制器选项”页面中选择“DNS服务器”；设置数据库、日志文件和SYSVOL的存储位置；这里选择默认；在“目录还原模式的Administrator密码“页中，输入密码；在“摘要“页，检查所有的选择，单击下一步；开始安装和配置活动目录服务；安装完成后单击“完成”，如下图所示，服务器需要重启；二、搭建额外域控制器步骤（可搭建多个额外域控制器）设置TCP/IP属性为静态IP地址，DNS设为第一台域控制器的IP地址。

如何将server 2008 R2作为server 2003域中的额外域控自Windows Server 2008 正式发布以来，已受到广泛的好评，它是对已使用5年之久的Windows操作系统的重大改进，将会在未来几年内极大的增强IT界支持业务和组织创新的能力。

随着Windows Server 2008 R2的发布，它又提供了像Direct Access、Branch Cache、Powershell 2.0、Hyper-v 2.0等全新的功能特性，并且在AD服务中又添加了诸多令人兴奋的功能，像AD回收站、离线加入域。

这些优秀技术的加入，使得IT技术人员可以更加灵活方便的进行管理，提高工作效率的同时让工作充满了乐趣。

Contoso公司目前就面临了这样一个问题：使用Windows Server 2003作为基础架构平台，但随着公司业务的发展，公司规模的不断扩展，需要在外地建立分支机构，并且拥有一支人数不少的业务团队，并且团队需要与总部保持通讯，由于业务需要，工作人员需要使用笔记本在公网接入公司内网，查询信息。

这样就对目前基础架构发起了挑战，IT部门经过讨论决定，将基础架构升级至Windows Server 2008 R2，并使用其新的功能特性来满足公司需求。

Contoso公司目前服务器情况如下：一台配置主流的服务器A运行Windows Server 2003 R2 64位操作系统作为域控制器，DNS和DHCP服务器。

一台配置已经过时的服务器B运行Windows Server 2003 R2 32位操作系统作为辅助域控制器，DNS。

一台配置刚好的服务器C运行Windows Server 2003 R2 64位操作系统作为Exchange 2007 邮件服务器。

经过分析，服务器A硬件配置符合Windows Server 2008 R2安装需求，可保留作为辅助域控制器，服务器B硬件配置过时不建议继续使用，新购买一台服务器D安装Windows Server 2008 R2作为主要域控制器使用。

Windows Server 2008域服务器配置全部的选择：将该服务器配置为新林中的第一个 Active Directory 域控制器。

新域名为 newhome.tianye。

这也是新林的名称。

域的 NetBIOS 名称为 NEWHOME林功能级别: Windows Server 2008域功能级别: Windows Server 2008站点: Default-First-Site-Name其他选项:只读域控制器: 否全局编录: 是DNS 服务器: 是创建 DNS 委派: 否数据库文件夹: F:\Windows\NTDS日志文件文件夹: F:\Windows\NTDSSYSVOL 文件夹: F:\Windows\SYSVOL将在此计算机上安装 DNS 服务器服务。

将在此计算机上配置 DNS 服务器服务。

此计算机将会配置为使用此 DNS 服务器作为其首选 DNS 服务器。

新域 Administrator 的密码将与此计算机的本地 Administrator 的密码相同。

安装的事件摘要：级别事件ID 日期和时间来源信息2014 2009/10/6 18:26:25 Microsoft-Windows-ActiveDirectory_DomainService "Active Directory 域服务成功地完成重新建立下列数量的索引。

索引: 5"信息2013 2009/10/6 18:26:24 Microsoft-Windows-ActiveDirectory_DomainService "Active Directory 域服务正在重新建立下列数量的索引，这是初始化的一部分。

索引: 5"警告1463 2009/10/6 18:26:23 Microsoft-Windows-ActiveDirectory_DomainService "作为初始化的一部分，Active Directory 域服务已检测到并删除了某些可能已损坏的索引。

文档信息：目录1背景描述 (3)2功能描述 (3)3配置环境 (3)4配置前的准备 (3)5配置流程 (4)6配置步骤 (4)安装环境准备 (4)安装操作系统 (4)安装Active Directory域服务 (4)安装第一台域服务器 (9)安装第二台域服务器 (16)1 背景描述在很多大洋公司的典型业务应用中，域控制器作为基础网络的基本功能与配置，扮演着重要的角色，因此，做好域控制器的部署工作尤为重要，本文基于Windows 2008 R2 X64操作系统，介绍了该系统下安装部署域控制器的主要方法。

2 功能描述域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。

不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

3 配置环境4 配置前的准备a) 硬件准备：服务器上架并上电，连线，部署网络环境。

b) 软件准备：Windows Server2008 R2 X64 Enterprise5 配置流程6 配置步骤6.1安装环境准备部署服务器、交换机等设备，部署网络环境并检查物理连接，确保无误。

6.2安装操作系统此步骤本文不再赘述，请参考大洋技术研究院系统整合实验室相关文档和手册。

注意：请严格按照密码复杂度要求设置administrator账户的密码！6.3安装Active Directory域服务开始菜单，点击“服务器管理器”，进入Windows Sever 2008 R2 X64服务器管理器界面左侧栏点击角色，进入角色管理界面。

点击添加角色，进入添加角色向导。

加必要的功能”，再点击下一步点击下一步点击安装，安装AD域服务和Framework功能待AD域服务安装成功后，点击关闭。

这里以两台server 2008以例，为了清楚两块以上网卡与一块网卡搭建域控的区别，将DC1一、根域的建立DC1配置以管理员登录系统查看网卡信息及主机名选择“开始”→“管理工具”→打开“服务器管理器”，单击“角色”→单击“添加角色”，在服务器角色中勾选“Active Directory域服务”，勾选时在弹出的对话框中单击“添加必需的功能”（注：DNS不可与AD一起勾选）单击下一步，进入一个对AD的简介界界单击下一步进入安装界面安装完成后会出现如下画面单击“关闭该向导并启动Active Directory域服务安装向导(dcpromo.exe)”，进入域服务安装向导勾选“使用高级模式安装”选择“在新林中新建域”输入域名（FQDN），此处以以例单击下一步时会自动检查输入的FQDN是否有重复或错误等默认即可选择林功能级别，此处模拟环境使用的系统全为Server 2008 R2单击下一步将检查DNS，此环境之前无安装，这里将会安装DNS此时是由于第二张网卡没有配置固定IP而弹出的提示，单击“是（Y），该计算机将使用DHCP 服务器自动分配的IP地址（不推荐）”此时单击按钮“是（Y）”默认即可设置“目录服务还原模式”的密码，必须输入密码，密码要求强密码显示摘要勾选“完成后重新启动”重启后即完成域控的安装二、额外域控制器建立（即辅域控）查看网卡信息及主机名（DNS需指向根域）与根域一样选择“开始”→“管理工具”→打开“服务器管理器”，单击“角色”→单击“添加角色”，在服务器角色中勾选“Active Directory域服务”，勾选时在弹出的对话框中单击“添加必需的功能”（注：DNS不可与AD一起勾选）添加“AD域服务”后，运行域服务安装向导此时选择“现有林(E)”下的“向现有域添加域控制器”由于是要向域（）中添加辅域，所以在此处输入域名：；单击设置，输入域中有权限的用户密码下一步单击按钮“是(Y)”默认即可输入“目录服务还原模式”密码重启后完成三、域的基本操作登录域控，单击“开始”→“管理工具”→打开“AD用户和计算机”1、建立OU右击域（）→“新建”→单击“组织单位”输入名称，勾选“防止容器意外删除”，此处以abc为例建立成功2、新建用户在刚新建的OU里新建用户test右击OU“abc”→“新建”→单击“用户”，注：此时右侧无任何用户按下图输入test用户信息输入密码完成建立成功3、。

○如何添加DHCP和域控
1..添加DHCP服务器角色：
点击桌面右下角的服务器图标--服务器管理器--角色--添加角色--DHCP服务器
这里也可以添加active directory 服务其次添加服务和winserver 2003 服务是一样的
4.选择网络绑定
5.指定IPV4 DNS服务器的配置
6.添加或编辑DHCP作用域
7.配置完成
8.点击“安装”进行服务器的安装
客户端（windows7--网卡在Vmnet2）：
1.将网卡设置成为自动获取
选定桌面网络--属性--更改适配设置--IPV4
2.让此客户机归属在工作网络环境中
3.在命令下输入ipconfig查看配置
在服务器上打开开始---管理工具---DHCP服务进行查看
注意：1.在本次试验中需先将防火墙关闭！
2.需将PC与SERVER归属同意区段！
3.在命令行下输入ipconfig /release 可释放寻到的IP配置
4.在命令行下输入ipconfig /renew 可自动获取IP配置。

实验2-1 Windows 2008 RODC-只读域控制器部署实例Windows 2008 RODC-只读域控制器部署实例一：什么是只读域控制器？只读域控制器有什么好处？只读域控制器 (RODC) 是 Windows Server® 2008 操作系统中的一种新类型的域控制器。

借助 RODC，组织可以在无法保证物理安全性的位置中轻松部署域控制器。

RODC 承载Active Directory(R) 域服务 (AD DS) 数据库的只读分区。

在 Windows Server 2008 发布之前，如果用户必须通过广域网 (WAN) 对域控制器进行身份验证，则没有合适的替代方案。

在许多情况下，这不是一个有效的解决方案。

分支机构通常不能为可写域控制器提供所需的充分的物理安全性。

此外，当分支机构连接到中心站点时，其网络带宽状况通常较差。

这可能增加登录所需的时间。

它还可能妨碍对网络资源的访问。

RODC 有什么作用？物理安全性不足是考虑部署 RODC 的最常见原因。

RODC 提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器的物理安全性的位置中更安全地部署域控制器的方法。

但是，您的组织也可选择根据特殊管理要求部署 RODC。

例如，行业 (LOB) 应用程序只有在安装在域控制器上的情况下，才可以成功运行。

或者，域控制器可能是分支机构中唯一的服务器，并且可能必须承载服务器应用程序。

在这种情况下，LOB 应用程序的所有者必须经常以交互方式登录到域控制器，或使用终端服务配置和管理应用程序。

此情况产生了在可写域控制器上可能无法接受的安全风险。

RODC 为在此方案中部署域控制器提供了更安全的机制。

您可以向非管理域用户授予登录到 RODC 的权限，同时最小化 Active Directory 林的安全风险。

还可以在其他方案中部署 RODC，例如，Extranet 或面向应用程序的角色中，其中本地存储的所有域用户密码是主要威胁。

一、实训背景随着信息技术的飞速发展，网络和计算机系统在企业、政府、教育等领域的应用越来越广泛。

为了提高网络安全性和管理效率，域控制技术应运而生。

域控制（Domain Controller，简称DC）作为Windows域环境中核心组件，负责用户身份验证、资源访问控制和安全策略实施。

为了使团队成员深入了解域控制技术，提高网络安全管理能力，我们开展了为期两周的域控制实训。

二、实训目标1. 理解域控制的基本概念、架构和原理。

2. 掌握Windows Server操作系统下域控制器的安装与配置。

3. 学会用户、组和计算机的管理与权限分配。

4. 熟悉域控制的安全策略配置。

5. 提高网络安全意识和实际操作能力。

三、实训内容1. 域控制基础理论首先，我们学习了域控制的基本概念、架构和原理。

域控制是一种集中式管理网络资源的机制，它将网络中的计算机、用户和资源组织成一个或多个域，由域控制器进行统一管理。

域控制器是域中的核心组件，负责用户身份验证、资源访问控制和安全策略实施。

2. Windows Server操作系统安装在实训过程中，我们首先在虚拟机中安装了Windows Server 2012操作系统。

通过安装操作系统，我们熟悉了Windows Server操作系统的基本操作，为后续的域控制器配置奠定了基础。

3. 域控制器安装与配置在安装好Windows Server操作系统后，我们进行了域控制器的安装与配置。

具体步骤如下：（1）设置计算机名称和IP地址，确保域控制器在域中具有唯一性。

（2）安装Active Directory域服务，将计算机提升为域控制器。

（3）配置Active Directory域服务，设置域名、林名称和域控制器类型。

（4）创建域用户和组，为用户分配权限。

（5）配置DNS服务器，实现域名解析。

4. 用户、组和计算机的管理与权限分配在实训过程中，我们学习了如何创建和管理用户、组以及计算机。

具体操作如下：（1）创建用户和组，为用户分配角色和权限。

WindowsServer2008ActiveDirectory配置指南-l...一、Active Directory Domain Services(AD DS)in the Windows Server 2008 network enviroment ,Active Directory Domain Services(AD DS),provide with organizing、managing、controlling network resources.1-1 active directory domain services overviewdirectory :telephone directory;file directory如果这些directory内的数据能够系统的加以整理的话，用户就能够容易且迅速的查找到所需文件。

Active Directory的组成是directory，域内的directory是用来存储用户帐户、计算机帐户、打印机与共享文件夹等对象，我们把这些对象的存储地点称为目录数据库（directory database）。

Active Directory 域内负责提供目录服务的组件就是active directory域服务，active directory domain services它负责目录数据库的存储、添加、删除、修改与查询操作。

1-1-1 active directory domain service scopeactive directory domain service 可以用在一台计算机、LAN或者数个WAN的联合，它包含此范围所有的对象，例如文件、打印机、应用程序、服务器、域控制器与用户帐户等。

1-1-2nameSpacebounded area ,一块界定好的区域，在此区域内，我们可以利用某个名称来找到与这个名称有关的信息。

active directory 域服务内，active directory就是一个名称空间，在active directory内我们可以通过对象名来找到与这个对象相关的所有的信息。

Window server 2008 R2 SP1系统及域服务器安装配置手册1Window server 2008 R2 SP1系统硬件要求：2Window server 2008 R2 SP1系统安装：本安装过程以光盘安装方式进行讲解，其他的安装方式都具有相似性，不做过多说明。

机器配置要求和Windows 7差不多。

首先将电脑配置从CD-ROM启动（或者启动按快捷键调出bootmenu），出现“按任意键开始安装——”的英文提示按任意键开始进行安装过程。

本教程以图解方式为主，间或文字进行说明。

2.1开始安装将系统安装盘放入光驱，重启计算机，将计算机从光盘引导，进入安装界面。

2.2语言区域设置选择安装语言、时间和货币格式、键盘和输入方法，单击“下一步”。

2.3正式安装现在已经可以安装系统，点击“现在安装”2.4系统正在准备安装程序2.5选择要安装的server2008 R2的版本版本不一样所安装的组件及角色都不一样。

在这里我们选择Windows Server 2008 R2 Enterprises （完全安装），单击“下一步”2.6Microsoft安装许可条款勾选“我接受许可条款（A）”，单击“下一步”2.7选择进行何种类型的安装我们选择“自定义（高级）安装”，点击“自定义（高级）安装”2.8选择要按照的位置我们这里可以选择“驱动器选项（高级）（A）”对硬盘进行分区及格式化操作，现在我们选择磁盘0，单击“下一步”2.9开始自动复制文件安装系统功能及更新，并显示安装进度。

安装完毕后系统自动重启。

2.10安装完成系统为第一次登录做准备。

2.11首次登录需要给系统管理员设置一个密码，点击“确定”按钮。

输入要设置的密码，点击蓝色箭头按钮。

（密码规则：）2.13出现按“ctrl+alt+delete”登录界面。

2.14第一次登录系统登录成功后会显示初始配置任务窗口，我们可以按照提示一步一步配置服务器。

也可以先不配置服务器，点击“关闭即可”。