6.创建现有域的额外域控制器(第二台服务器)

基础性实验五活动目录的创建一．实训目的：学会WindowsServer2003活动目录的安装。

二．实训内容在Windowsserver2003中创建活动目录。

三．实训环境的搭建1．计算机上已经安装了WindowsServer2003系统。

2．活动目录数据库至少需要200MB，活动目录数据库的事务日志文件另需50MB，若为全局编录服务器，还需要一定的空间。

3．系统卷文件夹必须在NTFS分区中。

4．系统配置了TCP/IP。

5．若在现存的Windows2003Server网络中创建，那么还需创建域所需要的管理特权。

四．实训操作实践与步骤活动目录的安装使计算机转换为域控制器。

活动目录的安装过程如下：（1）启动活动目录安装向导。

选择“开始”/“程序”/“管理工具”/“配置您的服务器”命令，出现“配置您的服务器”对话框，如图1所示，单击“添加或删除角色”连接；在图2所示的“预备步骤”对话框中确认，已达到所有要求后单击“下一步”按钮；经过一段时间的网络配置检查，出现图3所示的“服务器角色”对话框，选择“域控制器（ActiveDirectory）”后单击“下一步”按钮；如图4所示，在出现的“选择总结”对话框中，单击“下一步”按钮后，即可进入“ActiveDirectory安装向导”，如图5所示。

用户也可以选择“开始”/“运行”命令，在运行对话框中输入Dcpromo.exe命令，如图6所示，启动ActiveDirectory安装向导。

图1“配置您的服务器”对话框图2“预备步骤”对话框图3“服务器角色”对话框图4“选择总结”对话框图5“ActiveDirectory安装向导”对话框图6“运行”对话框（2）在图5所示的“ActiveDirectory安装向导”对话框中，单击“下一步”按钮，弹出图7所示的“操作系统兼容性”对话框，单击“下一步”按钮；打开“域控制器类型”对话框，如图8所示。

如果是创建一个域中的第二台域控制器，则选择“现有域的额外域控制器（A）”选项，此时，选择“新域的域控制器”选项，单击“下一步”按钮。

微软双机群集安装总结Step1 安装操作系统。

注意两台机子的名称不能混淆。

因为双机包含两台服务器，我们将第一台服务器的取名test01,第二台取名为test02.登陆用户均为administrator,口令abcd2011。

Step2 安装硬件驱动并安装操作系统补丁包。

以下为安装硬件驱动步骤，以HP Proliant dl580 G7服务器为例：插入驱动光盘（HP SmartStart 32Bit），系统弹出如下提示：选择Agree，进入如下界面：选择software,进入如下界面：选择Install ProLiant Support Pack，进入如下界面：选择Express installation of the PSP for Windows，进入如下界面：选择Start Inventory,进入如下界面：安装即可，进入如下界面：在安装过程中可能会弹出如下错误，单击取消即可：系统驱动安装结束以后，检查一下是否有未安装上的硬件驱动。

这里DL580有一个硬件驱动光线卡，需要手动安装。

但前提是先安装系统补丁KB932755，找到后安装即可，然后安装光线卡驱动。

至此，所举例子的硬件驱动全部安装完毕。

继续安装系统补丁。

Step3 配置IP。

因为每台服务器有两块网卡，一块公有，一块私有。

下面以收费双机群集为例，第一台服务器（即test01）共有网卡，配置如下：私有网卡配置有如下几步，首先进入属性配置界面后，去掉microsoft网络客户端、microsoft网络的文件和打印机共享前面的勾，配置后如下：接下来，点击“配置”进入网卡配置界面，选择“高级”选项卡，将网卡配置成100Mb 半双工。

如下图所示：接下来，配IP，如下：然后，点击“高级”进入下一个配置页面，进入DNS配置选项卡，将“在DNS中注册此连接的地址”前的勾去掉。

如下：最后，点击“WINS”TAB页，禁用TCP/IP上的NetBIOS，如图：点击确定即可。

域控制器建立完整教程 Company number：【0089WT-8898YT-W8CCB-BUUT-202108】[上海360宽带网] [制作人：360宽带网] [] [360宽带网口号：为人民服务] 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC 数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:Server由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

1.没有建域之前，
2.新建域之后
3.在windows2003 server中，新建域！运行dcpromo
这里选择“新域的域控制器”
这里选择，“新林中的域”，然后下一步，
不出错误的话，复制完之后就完成了域的建立，之后重启2003server，如下图
这里就可以登录我们的新域了，在“登录到”选项卡中选择“yanfu”，
登陆域成功之后，我们可以看到此server的系统属性，如图已经加入域中，
在另一台pc中，依次选择“我的电脑”→右键“属性”→“计算机名”→“域”如下图，输入域中有管理员权限的账户和密码
本地计算机成功加入域中
本地计算机加入域成功后，可在server 中看到新加入的计算机，如图，
如果此时我们使用本地计算机的用户名和密码，如下图提示，我们是无法进入域中的，因此我们必需输入域中的账户和密码。

新建域中用户名和密码，“user”右键→选择“新建用户”
建好账户之后，如下图，我们就可以在users中看到域中成员了，当然也包括新建的用户。

这时再用新建的域中账户，登录计算机，
登陆成功后，在本地计算机中查看计算机属性，如下图：
至此我们就完成了新建域以及计算机加域的实验，下一步将在另一台server中，新建额外域控制器，
和新建域一样，只是在这一步，选择“现有域的额外域控制器”，然后下一步
这一步，我们填写具有域控制器权限的用户名和密码。

关于域控制器和证书服务器分离的部署策略配置过程如下：一．域控制器的配置1．安装DNS服务器。

首先，在服务器上安装WIN 2003 企业版（如果不是企业版，则V2模板有些不能使用）。

安装好WIN 2003系统以后，点击“配置你的服务器向导”，选择“自定义配置”，点中“DNS服务器”，安装DNS服务器，根据提示可以很容易的自行安装。

在此不再赘述。

2．配置AD。

安装好DNS后，再点击“配置你的服务器向导”，选择“自定义配置“，点中“域控制器”，点击“下一步“，等一下，会出现如下界面：选择“新域的域控制器“，点击”下一步”，出现如下界面：选择“在新林中的域”，点击“下一步”，出现如下界面输入新域的域名（例如“”，特别提示，一定要有后缀”.com”且不能和计算机重名）。

然后点击“下一步”，其他页面选择默认或自行更改，出现输入还原密码页面，如下：输入还原模式密码，。

点击“下一步”，剩下的就是等win 自动安装完成就可以了。

然后安装KEY的CSP程序小结：域控制服务器的配制顺序：先安装DNS，然后配置AD。

二．证书服务器的配制1．把另外一台服务器安装WIN2003 企业版，然后加入到按上述方法配制成的域中，即中。

2．安装IIS。

点击“配置你的服务器向导”，安装IIS 服务器。

以上两步皆为常规配制，在此不再赘述。

3．安装域控制器，点击“配置你的服务器向导”，点中“域控制服务器”，当出现下图时，选择“现有域的额外域控制器“，点击”下一步“，出现如下界面：输入用户名（例如，administrator，该用户必须是Domain admins组的成员），密码，域名，点击“下一步“，出现下图：输入还原模式密码，点击“下一步“，对配置文档的存放位置，可以是默认位置，或自行更改位置。

然后一路默认设置，就可以了，WIN 会自动安装完成域控制器4．添加证书服务。

点击“控制面板”－》“添加/删除程序”－》“添加/删除windows 组件”，点中“证书服务”，使其前面的方框中被打上勾，会出现如下一个对话框：选择“是”，点击“下一步”，出现如下：选择“企业根CA”，点击“下一步”，如下图：输入ca的公用名称，和有效年限，点击“下一步“。

实验3 建立域控制器1 实验目的1、通过实验掌握Windows Serv er 2008R2中活动目录的安装步骤。

2、通过实验掌握额外域控制器的安装步骤。

3、掌握将客户机加入或脱离域的方法。

4、掌握创建具有父子信任关系的域树的方法。

5、掌握创建具有根信任关系的域林的方法。

2 实验环境1、VMware中两台已经安装Windows Serv er 2008R2的计算机（也可通过clone 实现）（计算机名分别为ser v ier01和serv er02）。

2、1台Windows 7计算机。

3、所有计算机之间能够相互连通。

3 实验原理1、域控制器是用来保存活动目录信息的服务器。

它处于域中顶尖的位置，在构建域网络的过程中需要建立的第一台服务器就是它。

域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其它域控制器上。

域控制器也负责用户的登录过程，以及其它与域有关的操作，如身份认证、目录信息查找等。

2、网络中可以有多台域控制器，以实现容错的能力。

所有域控制器都是平等的。

3、Windows系统的计算机加入域后，便可以访问AD数据库与其它域资源，例如用户可以在这些计算机上使用域用户账户来登录域，并使用此域用户账户来访问域内其它计算机内的资源。

当然，加入域的计算机也可以脱离域。

4、域树由一个或多个域构成，安装时应先创建父域，再创建子域，在域名上应具有连续性。

林由一个或多个域树构成，在建立第2个域树的根域时可以建立与已有域树的根信任关系。

域林中各个域的域名没有关联关系。

5、信任关系是用于确保一个域的用户可以访问和使用另一个域中资源的安全机制。

信任是域之间建立的关系，可以使一个域中的用户由另一个域中的域控制器进行验证。

常用的信任类型包括：（1）父子信任在域林中，父子域之间存在信任关系，称之为父子信任关系。

默认情况下，当现有域树中添加新的子域时，将建立一个新的父子信任。

来自从属域的身份验证请求将通过其父项向上传递到信任域中。