域控制器安装方法二.docxVIP

【WIN08R2 Active Directory】之二 部署企业中Windows Server 2008 R2额外域控制器 2010-05-14 16:27:36　标签：/tagindex.php?keyword=%CE%A2%C8%ED微软 /tagindex.php?keyword=%D3%F2%BF%D8%D6%C6%C6%F7域控制器 /tagindex.php?keyword=%BB%EE%B6%AF%C4%BF%C2%BC活动目录 /tagindex.php?keyword=ADAD /tagindex.php?keyword=%C9%B9%CE%C4%D5%C2晒文章　[/推送到技术圈] 版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章 /1355103/315536原始出处 、作者信息和本声明。否则将追究法律责任。/1355103/315536/1355103/315536题外话——谨以此文纪念“痛苦”的交规考试以98分通过。小弟准备考驾照，最近被交规，就把博文之事放下了。哈哈哈，今天刚一通过就马上来码字儿了！?通过《部署企业中第一台Windows Server 2008 R2域控制器》（/1355103/299629/1355103/299629）已经完成了企业中Windows网络域森林的建立。但是，在企业中对于AD来讲，为了保证安全稳定运行，至少需要两台以上的物理域控制器。在早期的Windows中可以部署备份域控制器（BDC）；到WIN2K后，AD使用额外域控制器和操作主机角色来解决域控制器备份的问题；到了WIN08后，为了增加在分支机构的应用，引入了只读域控制器（RODC）概念，其和读写域控制器同时一同部署从而提高Windows AD的可用性。在此，主要讨论关于部署当前域的额外域控制器，即读写额外域控制器。额外域控制器由于不是企业中的第一台域控制器，所以在其部署之前，亦即在创建域森林的时候就应该将其规划妥当。由此，虽然其没有首台DC部署那样需要注意的事项多，但是对于WIN08R2来讲还是有很多地方值得提及，也与早期的版本不同。一、DC网络属性的基本配置其配置情况主要应该参考当前网络规划和首台DC的配置而定，在此就延续前一篇文章所述内容来描述。由于首台DC被规划为同时充当DNS服务器，因此该台额外域控制器首选DNS服务器配置项中的值应该指向首台DC的IP地址（如图1）。但是，在规划时这台额外域控制器同时还要作为域中的DNS服务器，并已经安装配置好DNS服务了，而且还从首台DC同步的DNS区域数据，那么可以将首选的DNS服务器选项设置为其自身IP地址。图1注意：如果企业中有专门的DNS服务器存在，则需要指向这些服务器，而不能指向首台DC。此外，同样需要将“网络和共享中心”窗口中的“公用网络”更改为“专用网络”。这样才能保证额外域控制在配置和运行中能够正常与其他服务器和客户通信。二、准备安装AD服务WIN08R2安装额外域控制器，依然是通过“服务器管理器”的角色添加来完成初始化的准备工作的。在角色选择过程中勾选“Active Directory域服务”（如图2），并根据向导完成初始化操作。图2三、完成AD服务器的安装1、通过“运行”对话框执行“dcpromo”，打开“Active Directory域服务安装向导”（如图3），根据建议勾选“使用高级模式安装”，单击“下一步”。图3根据AD部署向导，仍然建议选择“使用高级模式安装”。2、由于现在已经存在AD目录森林，所以在“选择某一部署配置”界面要选择“现有林”。因为现在是要安装额外域控制器，因此同时选中“向现有域添加域控制器”，单击“下一步”（如图4）。图43、指定要将此额外域控制器安装到的森林，即为哪个森林添加额外域控制器。在这里建议填写该服务器将要安装到的域，而不要写森林中的其它域。WIN8R2在这一过程中还同时需要指定具有升级额外域控制器权限的用户。如果是在工作组中直接升级为额外域控制器，则不能用当前账户凭证进行，只能使用备用凭证。此外，即使之前将该台作为额外域控制器的服务器已经加入了域，登录进行升级操作的域用户也必须要有在域中添加删除DC权限才能直接使用当前用户凭证，否则也只能使用备用凭证进行操作（如图5）。图5对于不同的部署配置，AD安装向导所需要的网络凭证是不相同的，如果实现像前一节中讲述的安装新的森林，只需作为将成为林的第一个域控制器的服务器上的本地管理员组的成员。但是，若要向现有林中添加新域或删除域，必须是要添加或删除域的父域中的 Enterprise Admins 组或 Domain Admins 组的成员。Active Directory 域服务安装向导将验证凭据是否足以实现在向导中指定的部署配置，如表1中列出了添加和删除不同