Windows Server 2008 R2 AD活动目录域控制器安装配置手册

ActiveDirectory域控制器安装⼿册Active Directory域控制器安装指南1.1Active Directory介绍1.1.1功能介绍Active Directory提供了⼀种⽅式，⽤于管理组成组织⽹络的标识和关系。

Active Directory与Windows Server 2008 R2的集成，为我们带来了开箱即⽤的功能，通过这些功能我们可以集中配置和管理系统、⽤户和应⽤程序设置。

Active Directory域服务（AD DS，Active Directory Domain Services）存储⽬录数据，管理⽤户和域之间的通信，包括⽤户登录过程、⾝份验证，以及⽬录搜索。

此外还集成其它⾓⾊，为我们带来了标识和访问控制特性和技术，这些特性提供了⼀种集中管理⾝份信息的⽅式，以及只允许合法⽤户访问设备、程序和数据的技术。

1.1.2Active Directory域服务AD DS是配置信息、⾝份验证请求和森林中所有对象信息的集中存储位置。

利⽤Active Directory，我们可以在⼀个安全集中的位置中，⾼效地管理⽤户、计算机、组、打印机、应⽤程序以及其它⽀持⽬录的对象。

*审查。

对Active Directory对象的修改可以记录下来，这样我们就可以知道这个对象做了哪些修改，以及被修改属性的历史值和当前值。

*粒度更细的密码。

密码策略可以针对域中单独的组进⾏配置。

不需要每个帐户都使⽤域中相同的密码策略了。

*只读的域控制器。

当域控制器的安全⽆法得到保障时，我们可以部署⼀台只有只读版本Active Directory数据库的域控制器，例如在分⽀办公室，这种环境下域控制器的物理安全都是个问题，⼜如承载了其他⾓⾊的域控制器，其他⽤户也需要登录和管理这台服务器。

只读域控制器（RODC，Read-Only Domain Controllers）的使⽤，可以防⽌在分⽀机构对它潜在的意外修改，然后通过复制导致AD森林数据的损坏。

win 2008 R2域控管理工具+Exchange管理工具安装手册
一、安装域控管理工具
首先使用自己的域用户登录管理服务器
登陆后进入“服务器管理器”---“功能”----“添加功能”
选中下图中红色方框中的内容
然后点击“添加必需的功能”
然后点击“下一步”----“安装”。

即可完成管理工具的安装，安装完成后重启服务器。

重启服务器之后打开“运行”框输入“MMC”打开控制台
在控制台中选择“文件”----“添加删除管理单元”
选中“Active Directory 用户和计算机”然后点击“添加”
单击“确定”即可创建、删除域用户等操作来对域控进行管理
二、Exchange服务器管理工具
安装Exchange管理工具之前需要检查.net Framework 3.5和IIS6是否已经安装，如果没有安装则需要安装。

安装方式以安装IIS为例：
进入“服务器管理器”----功能-----添加功能
选中图片中红色框内容，点击“下一步”进行安装即可
下面开始安装Exchange服务器管理工具
双击“Exchange安装程序中的Setup”出现如下对话框
点击“安装Microsoft Exchange”
点击“下一步”
点击“安装”如图
点击“完成”完成安装。

启动管理控制台
通过控制台就可以管理用户邮箱。

Windows Server 2008 R2 域控制器部署手册
一、域控制器安装步骤：
1、装Windows Server 2008 R2并配置计算机名称和IP地址。

2、点击“开始”，在“搜索程序和文件”中输入Dcpromo.exe后按回车键。

3、如下图进入域控制器安装的准备；
4、进入AD DS安装向导，点击“下一步”；
5、在操作系统兼容性，点击“下一步”；
6、选择“在新林中创建域”后点击“下一步”；
7、输入域名“”后点击“下一步”；
8、选择合适的林功能级别级别（建议使用Windows Server 2008 R2），之后点击“下一步”；
9、在其他域控制器选项，点击“下一步”；
10、点击“是”，继续安装；
11、在指定数据库、日志文件及SYSVOL位置，点击“下一步”；
12、输入目录服务还原模式密码后，点击“下一步”；
13、回顾AD DS相关配置，点击“下一步”后进入活动目录安装进程；
14、安装完成后，点击“确定”后点击“立即重新启动”，如下图；
15、重新启动后，使用域管理员帐号登陆域控制器。

WindowsServer2008搭建AD域控服务器AD域安装过程安装DNS服务器⼀路下⼀步这⾥选安装到这⾥DNS服务器安装成功，可以在主页⾯看到我们安装的⾓⾊安装DNS服务器后我们需要重启服务器安装AD域服务新增AD域服务⾓⾊⼀路下⼀步——安装即可两条安装成功提⽰，重启服务器⾓⾊中选择AD域服务，运⾏dcpromo.exe域服务安装向导这⾥系统默认选择的是2003版本，我们⼿动切换成2008 R2版本由于我们之前安装过DNS服务器所以这⾥直接下⼀步即可确认信息⽆误点选下⼀步这⾥我们勾选完成后重新启动重启之后完成AD域服务的安装校验可以看到DNS已经被设置为指向本机配置DNS服务器配置主DNS转发器，为域中所有PC解析WEB域名配置正向查找区域正向查找区域配置完成后加⼊域内的PC均可以通过AD域DNS服务器解析我们设定好的域名打开服务器管理器——DNS服务器——DNS——ServerID——正向查找区域——找到我们新建的那个域——新建主机配置反向查找区域相对于正向查找，反向查找区域⽤的相对较少，这个功能可以允许客户端通过查询IP地址得到对应的名称，反向查询的类型我们称之为PTR（Poniter）AD域配置新增域⽤户User组新建⽤户备份组策略对象GPO（Group Policy Object）默认应⽤策略模板为Default Domain Policy 我们将其备份⾄桌⾯新建⾃定义组策略 导⼊设置NTP服务器配置客户端配置更改PC名 加⼊ADtest域 输⼊我们之前创建好的⽤户名和密码重启客户端⽤域账号重新登录即可这⾥账号注意后缀需要@你创建的域名验证域控搭建效果验证DNS服务器可以看出加⼊域中的客户端成功通过域控服务器提供的DNS转发器解析了域名，实现了与外⽹的连通由于我们配置了正向查找区域 所以可以解析验证NTP时间服务器所有加⼊域控服务器的PC⽇期和时间默认是锁定的，与域控服务器的⽇期和时间同步由于我们之前设置了NTP服务器 所以域控服务器定期通过阿⾥云时间服务器获取最新时间 然后下发给域控内的所有其他PC验证组策略我们打开组策略管理启⽤防⽌⽤户启动任务管理器策略客户端尝试启动任务管理器不论是快捷键还是右键任务栏均⽆法启动 验证域控策略⽣效。

在Windows Server 2008 R2环境中，域控制器（Domain Controller, DC）是Active Directory（AD）服务的核心组件，负责存储目录数据、执行身份验证和授权操作。

以下是一个基于该环境的域控服务器管理案例分析，涵盖从安装配置到日常管理与故障排查。

案例背景：假设某公司计划升级其IT基础设施，决定部署一台新的Windows Server 2008 R2 Enterprise版服务器作为主域控制器来管理整个企业的用户账户、组策略、文件服务以及网络资源访问权限。

案例步骤与分析：1.安装与配置域控服务器：o准备硬件：确保服务器满足系统要求，有足够的内存、磁盘空间以及冗余电源等。

o安装操作系统：安装Windows Server 2008 R2并完成基本配置。

o安装AD DS（Active Directory Domain Services）角色：通过服务器管理器添加角色和功能，选择“Active Directory 域服务”进行安装，并运行dcpromo.exe工具启动AD安装向导，根据企业需求配置森林根域名、域功能级别等参数。

o DNS配置：在安装过程中将域控制器配置为DNS服务器，或者事先安装DNS角色并将新域控制器配置为自身的首选DNS服务器。

2.日常管理与维护：o用户账户管理：使用Active Directory用户和计算机管理工具创建、修改和删除用户账户、组织单位（OU）结构，以及分配权限和组成员资格。

o组策略应用：通过组策略管理控制台编辑和链接GPO（组策略对象），实施桌面配置、软件分发、安全设置等策略。

o系统健康检查：定期运行dcdiag和netdiag工具进行系统健康性检查，确保域控制器状态良好，同步正常。

o备份与恢复：制定并执行域控制器的备份计划，包括系统状态备份，以防意外情况下的快速恢复。

3.故障排查与扩展：o域账户故障：当出现域账户登录问题时，可能需要检查账户状态、密码策略、域信任关系或Kerberos 协议问题等。

WindowsServer2008R2活动目录服务部署（一）测试环境：硬件环境：IBM X3250M3 软件环境：wmware esxi 5.1.0 客户端：VMware vSphere Client 5.1.0服务器：计算机名LMDC1,已安装Windows Server 2008 R2。

IPV4:172.168.88.2,255.255.0.0 网关地址172.168.88.1管理员：administrator实验要求：安装第一个企业根据域控制器域名为部署过程：方法一：手动部署1、首先进行系统诊断，确保安装前系统的状态正常.并使用事件查看器(EventVWR.MSC），查看日志情况。

2、打开网络连接，设置网卡的IP4地址为一静态地址，同时将DNS服务器地址设置为127.0.0.13、运行DCPROMO,出现设置向导。

检测系统是否安装AD域服务二进制文件，如果没有，系统会自动安装(也可以在运行命令之前，通过服务器管理器，添加活动目录域服务角色来安装）3、弹出活动目录域服务安装向导，选择高级模式（如果不选择此项，安装过程中将无法对有些设置进行更改，如域Netbios名的更改等）5、由于这是森林中的第一台服务器，所以选择在新林中新建域。

6、功能级别，所提供的功能不同。

如要使用R2新增的活动目录回收站功能，必须将功能级别提升到2008 R2功能级别。

要使用棵粒化密码策略，须将功能级别提升到2008。

R2新增了一种功能级别即2008 R2级别。

注意功能级别的操作是单向，即当提升到一个高功能级别后，它不能再降为低功能级别。

除非得新安装AD域服务7、此实验环境中，DC1也是一台DNS服务器，所以要勾选DNS 服务器。

同时，这是森林中的第一台DC，所以全局编录（GC），只读域控制器（RODC）不可操作。

森林中必须至少有一台GC，同时要安装RODC，域中必须首先有一台可写的DC。

12、指定活动目录数据库的存放位置。

活动目录及域控制器的安装与配置一、安装DC（域控制器）的必备条件1、本地管理权限（系统管理员权限）2、操作系统版本必须满足条件Windows Server 2005windows Derver 20082、有TCP/IP4、有足够的可用磁盘空间5、NTFS 分区（至少要有一个NTFS分区）6、需DNS的支持。

二、安装DC1,、打开方法：开始-运行-输入“dcpromo”，就会出现图1-1所示的AD域服务器安装向导。

一般默认安装就行，钩不勾选高级差别不大。

图1-1图1-22、选择在新林中新建域数据库和日志文件夹默认保存位置C:\windows\NTDS Sysvol文件夹的位置必须为NTFS分区图1-3在这里输入你要新建的域名，域名一般是按照或形式建立图1-4在这里选择要安装的域控制器的操作系统版本，一般先选择最低级别的windows 2000 server,这里的好处是以后可以根据需要升级到高版本的如server 2003,2008等，如果直接选择最高版本的以后低版本的某些功能可能不会实现。

图1-5图1-6因为我的电脑之前已经安装了一个与服务器了所以这里会出现这个提示。

图1-7这里可能会出现如下图所示的对话框，问你是否配置静态IP，最好先到IPv4的协议中配置好ip和dns，网关根据需要来，也可以先不用配置。

图1-84、输入目录服务还原模式的Administrator密码。

一定不要忘记此密码，此密码可用于卸载你已经安装的好的域控制器图1-9图1-10图1-11图1-12这里我们可以看到，我的管理员前面出现了一个TARENA的域名，说明已经成功了，如果你重启后也看到你自己添加的域名证明你成功了图1-13让我们登陆看一下吧，登录Administrator用户，打开开始菜单——管理工具——就能看到活动目录了，图1-14，很好继续。

图1-14下图是打开活动目录后，看到自己新建的域——，你的不一定是这个哦，看你自己输入的域名是什么它就显示什么。