Windows Server 2008 R2 AD DS架构-第07部分 AD RMS、AD FS

安装和删除ADDS的已知问题安装和删除 AD DS 的已知问题更新时间: 2009年9⽉应⽤到: Windows Server 2008, Windows Server 2008 R2安装 Active Directory 域服务 (AD DS) 之前，请查看下列已知问题：Adprep.exe 问题Active Directory 域服务安装向导 (Dcpromo.exe) 问题RODC 安装问题磁盘空间和组件位置问题其他 AD DS 服务器⾓⾊问题对性能计数器的更改Adprep.exe 问题Adprep.exe 在 Windows Server 2008 和 Windows Server 2008 R2 中的位置不同。

必须运⾏Adprep.exe 才能将运⾏ Windows Server 2008 或 Windows Server 2008 R2 的域控制器添加到现有 Windows 2000 Server 或 Windows Server 2003 Active Directory 环境。

在 Windows Server 2008 中，Adprep.exe 位于操作系统安装磁盘的 /Sources/adprep ⽂件夹中。

在Windows Server 2008 R2 中，Adprep.exe 位于 /Support/adprep ⽂件夹中。

Windows Server 2008 R2 包括 32 位和 64 位版本的 Adprep.exe。

在默认情况下运⾏ 64 位版本。

如果希望在 32位计算机上运⾏ Adprep.exe 命令之⼀，则必须使⽤ Adprep.exe 的 32 位版本。

如果在运⾏adprep /rodcprep命令时应⽤程序⽬录分区的基础结构操作主机不可⽤，则该命令会记录⼀个错误。

该错误指⽰其基础结构操作主机⾓⾊不可⽤的应⽤程序⽬录分区的名称。

有关如何修复此问题的详细信息，请参阅 Microsoft 知识库中的⽂章 949257(/fwlink/?LinkId=114419)（可能为英⽂⽹页）。

WindowsServer2008R2服务器安装及设置教程Windows Server 2008R2服务器安装及设置教程第一篇：系统安装与设置前言：本安装及设置教程适用于使用Windows2008R2为操作系统的服务器，目的是让服务器实现下列环境。

语言脚本环境：ASP、1.1、2.0、3.0、3.5、PHP（FastCGI模式）。

数据库环境：Access、MSSQL、MySQL。

FTP环境：Ser-U常见组件：AspJpeg、Jmail、LyfUpload、动易、ISAPI_ReWrite。

一、系统准备操作系统：Windows2008R2原版安装文件、服务器硬件驱动程序、SQL SERVER 2000安装盘、SQL SERVER 2000 SP4 补丁，MySQL安装包，PHP压缩包，Zend Optimizer安装包，Serv- U 囧.0.6，Aspjpeg 2.0，JMail 4.5，LyfUpload，动易组件 1.8.6，ISAPI_ReWrite，GHOST。

Windows2008R2和SQL SERVER 2000安装文件可以购买正版光盘或其他途径获得。

Windows2008R2最好是原版，SQL SERVER 2000可以选择企业版或者标准版。

SQL SERVER 2000 SP4可以直接从微软网站下载获得。

服务器硬件驱动应该在购买服务器的同时附带了。

MySQL安装文件，PHP安装文件，Zend Optimizer安装文件可以到其官方网站免费下载，或到其他下载网站获得。

Serv_U，Aspjpeg，Jmail，LyfUpload，动易组件，ISAPI_ReWrite和GHOST等均可以通过购买或者其他途径来获得。

二、系统安装分区：服务器的硬盘是320Ｇ，分成了4个区，C盘做系统盘（30G），D盘做数据库和软件盘（50G），E盘做网站目录（150G），F盘做备份盘（90G），以NTFS格式对4个区进行格式化。

ADFS是Windows Server 2008 操作系统中的一项新功能，它提供了一个统一的访问解决方案，用于解决基于浏览器的内外部用户的访问。

这项新功能甚至可以实现完全不同的两个网络或者是组织之间的帐户以及应用程序之间的通讯。

要理解ADFS的工作原理，可以先考虑活动目录的工作原理。

当用户通过活动目录进行认证时，域控制器检查用户的证书。

当证明是合法用户后，用户就可以随意访问Windows网络的任何授权资源，而无需在每次访问不同服务器时重新认证。

ADFS将同样的概念应用到Internet。

我们都知道当Web应用需要访问位于数据库或其他类型后端资源上的后端数据时，对后端资源的安全认证问题往往比较复杂。

现在可以使用的有很多不同的认证方法提供这样的认证。

例如，用户可能通过RADIUS(远程拨入用户服务认证)服务器或者通过应用程序代码的一部分实现所有权认证机制。

这些认证机制都可实现认证功能，但是也有一些不足之处。

不足之一是账户管理。

当应用仅被企业自己的员工访问时，账户管理并不是个大问题。

但是，如果企业的供应商、客户都使用该应用时，就会突然发现用户需要为其他企业的员工建立新的用户账户。

不足之二是维护问题。

当其他企业的员工离职，雇佣新员工时，用户还需要删除旧的账户和创建新的账户。

ADFS能为您做什么?如果用户将账户管理的任务转移到他们的客户、供应商或者其他使用Web应用的人那里会是什么样子哪? 设想一下，Web应用为其他企业提供服务，而用户再也不用为那些员工创建用户账户或者重设密码。

如果这还不够，使用这一应用的用户也不再需要登录应用。

那将是一件多么令人兴奋的事情。

ADFS需要什么?当然，活动目录联合服务还需要其它的一些配置才能使用，用户需要一些服务器执行这些功能。

最基本的是联合服务器，联合服务器上运行ADFS的联合服务组件。

联合服务器的主要作用是发送来自不同外部用户的请求，它还负责向通过认证的用户发放令牌。

另外在大多数情况下还需要联合代理。

Ntdsutil作为活动目录数据库管理的命令行工具，它主要执行数据库的维护、管理和控制操作主机、删除从网络上非正常卸载DC留下的元数据，以及创建应用程序分区等。

在以前的实验中，我们曾多次使用这个工具，感受到它强大的功能。

实验环境：森林中有两台DC，它们同时也时GC，分别是Win2008R2CNDC,WIN2008R2CNDC01.假设由于硬件故障，WIN20 08R2CNDC01无法启动，现在我们要删除这个对象。

实验步骤：以下操作在Win2008R2CNDC这台DC上完成。

1、运行Ntdsutil2、输入Metadata cleanup (清理不使用的服务器的对象）Remove selected domain - 删除所选域的 AD DS 对象Remove selected Naming Context - 为选定的命名上下文删除对象Remove selected server - 从所选服务器上删除对象Remove selected server %s - 从所选服务器上删除对象Remove selected server %s on %s - 从所选服务器上删除对象Select operation target - 选择的站点，服务器，域，角色和命名上下文3、输入Connections(连接到一个特定的AD DC或LDS实例）4、connect to server （连接到服务器）5、quit（返回上一层目录，即Metadata cleanup操作命令状态）6、select operation target(选择操作对象）在此命令状态，我们通过命令当前域，站点，服务器的情况List current selections - 列出当前的站点/域/服务器/命名上下文List domains - 列出所有包含交叉引用的域List domains in site - 列出所选站点中的域List Naming Contexts - 列出已知命名上下文List roles for connected server - 列出已连接的服务器已知的角色List servers for domain in site - 列出所选域和站点中的服务器List servers in site - 列出所选站点中的服务器List sites - 在企业中列出站点Quit - 返回到上一个菜单Select domain %d - 将 %d 域定为所选域Select Naming Context %d - 使命名上下文 %d 为选定的命名上下文Select server %d - 将 %d 服务器定为所选服务器Select site %d - 将 %d 站点定为所选站点7、List sites（在企业中列出站点）8、select site 0(将 %d 站点定为所选站点)9、list domains in site(列出所选站点中的服务器)10、select domain 0（将 %d 域定为所选域）11、select servers for domain in site（列出所选域和站点中的服务器）12、select server 1（将 %d 服务器定为所选服务器）13、quit14、remove select server补充说明：为了从AD彻底删除这个对象，我们还有必须在DNS服务器删除有关记录。

Windows Server 2008 R2 域控制器部署手册
一、域控制器安装步骤：
1、装Windows Server 2008 R2并配置计算机名称和IP地址。

2、点击“开始”，在“搜索程序和文件”中输入Dcpromo.exe后按回车键。

3、如下图进入域控制器安装的准备；
4、进入AD DS安装向导，点击“下一步”；
5、在操作系统兼容性，点击“下一步”；
6、选择“在新林中创建域”后点击“下一步”；
7、输入域名“”后点击“下一步”；
8、选择合适的林功能级别级别（建议使用Windows Server 2008 R2），之后点击“下一步”；
9、在其他域控制器选项，点击“下一步”；
10、点击“是”，继续安装；
11、在指定数据库、日志文件及SYSVOL位置，点击“下一步”；
12、输入目录服务还原模式密码后，点击“下一步”；
13、回顾AD DS相关配置，点击“下一步”后进入活动目录安装进程；
14、安装完成后，点击“确定”后点击“立即重新启动”，如下图；
15、重新启动后，使用域管理员帐号登陆域控制器。

1.4 习题一、填空题（1）Windows Server 2008 R2版本共有6个，每个Windows Server 2008 R2都提供了关键功能，这6个版本是：、、、、、。

（2）Windows Server 2008所支持的文件系统包括、、。

Windows Server 2008系统只能安装在文件系统分区。

（3）Windows Server 2008有多种安装方式，分别适用于不同的环境，选择合适的安装方式可以提高工作效率。

除了常规的使用DVD启动安装方式以外，还有、及。

（4）安装Windows Server 2008 R2时，内存至少不低于，硬盘的可用空间不低于。

并且只支持位版本。

（5）Windows Server 2008要管理员口令要求必须符合以下条件：①至少6个字符；②不包含用户账户名称超过两个以上连续字符；③包含、大写字母（A～Z）、小写字母（a～z）4组字符中的3组。

（6）Windows Server 2008中的，相当于Windows Server 2003中的Windows 组件。

（7）Windows Server 2008安装完成后，为了保证能够长期正常使用，必须和其他版本的Windows操作系统一样进行激活，否则只能够试用。

（8）页面文件所使用的文件名是根目录下的，不要轻易删除该文件，否则可能会导致系统的崩溃。

（9）对于虚拟内存的大小，建议为实际内存的。

（10）MMC有和模式。

二、选择题（1）在Windows Server 2008系统中，如果要输入DOS命令，则在“运行”对话框中输入（）。

A、CMDB、MMCC、AUTOEXED、TTY（2）Windows Server 2008系统安装时生成的Documents and Settings、Windows以及Windows\System32文件夹是不能随意更改的，因为它们是（）。

A、Windows的桌面B、Windows正常运行时所必需的应用软件文件夹C、Windows正常运行时所必需的用户文件夹D、Windows正常运行时所必需的系统文件夹（3）有一台服务器的操作系统是Windows Server 2003，文件系统是NTFS，无任何分区，现要求对该服务进行Windows Server 2008的安装，保留原数据，但不保留操作系统，应使用下列（）种方法进行安装才能满足需求。

在Windows Server 2008 R2环境中，域控制器（Domain Controller, DC）是Active Directory（AD）服务的核心组件，负责存储目录数据、执行身份验证和授权操作。

以下是一个基于该环境的域控服务器管理案例分析，涵盖从安装配置到日常管理与故障排查。

案例背景：假设某公司计划升级其IT基础设施，决定部署一台新的Windows Server 2008 R2 Enterprise版服务器作为主域控制器来管理整个企业的用户账户、组策略、文件服务以及网络资源访问权限。

案例步骤与分析：1.安装与配置域控服务器：o准备硬件：确保服务器满足系统要求，有足够的内存、磁盘空间以及冗余电源等。

o安装操作系统：安装Windows Server 2008 R2并完成基本配置。

o安装AD DS（Active Directory Domain Services）角色：通过服务器管理器添加角色和功能，选择“Active Directory 域服务”进行安装，并运行dcpromo.exe工具启动AD安装向导，根据企业需求配置森林根域名、域功能级别等参数。

o DNS配置：在安装过程中将域控制器配置为DNS服务器，或者事先安装DNS角色并将新域控制器配置为自身的首选DNS服务器。

2.日常管理与维护：o用户账户管理：使用Active Directory用户和计算机管理工具创建、修改和删除用户账户、组织单位（OU）结构，以及分配权限和组成员资格。

o组策略应用：通过组策略管理控制台编辑和链接GPO（组策略对象），实施桌面配置、软件分发、安全设置等策略。

o系统健康检查：定期运行dcdiag和netdiag工具进行系统健康性检查，确保域控制器状态良好，同步正常。

o备份与恢复：制定并执行域控制器的备份计划，包括系统状态备份，以防意外情况下的快速恢复。

3.故障排查与扩展：o域账户故障：当出现域账户登录问题时，可能需要检查账户状态、密码策略、域信任关系或Kerberos 协议问题等。

选择Active Directory 域服务部署配置安装Active Directory 域服务(AD DS) 时，可以选择以下可能的部署配置之一：向域中添加新的域控制器向林中添加新的子域，或作为一个选项添加新的域树注意只有在选中位于Active Directory 域服务安装向导的“欢迎使用Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时，用于安装新域树的选项才会出现。

创建新的林下列各部分将详细介绍上述的每个部署配置。

向域中添加新的域控制器如果域中已有一个域控制器，则可以向该域添加其他域控制器，以提高网络服务的可用性和可靠性。

通过添加其他域控制器，有助于提供容错，平衡现有域控制器的负载，以及向站点提供其他基础结构支持。

当域中有多个域控制器时，如果某个域控制器出现故障或必须断开连接，该域可继续正常工作。

此外，多个域控制器使客户端在登录网络时可以更方便地连接到域控制器，从而还可以提高性能。

准备现有域向现有的Active Directory 域添加运行Windows Server 2008 R2 的域控制器之前，必须通过运行Adprep.exe 来准备林和域。

请务必运行Windows Server 2008 R2 安装介质随附的Adprep 版本。

此版本的Adprep 可以添加运行Windows Server 2008 R2 的域控制器所需的架构对象和属性，并且可以修改对新对象和现有对象的权限。

根据需要为环境运行以下adprep 参数：添加运行Windows Server 2008 R2 的域控制器之前，请在承载架构操作主机角色（架构主机）的林中的域控制器上运行一次adprep /forestprep。

若要运行此命令，您必须是包括架构主机的域的Enterprise Admins 组、Schema Admins 组和Domain Admins 组的成员。

此外，请在每个计划将运行Windows Server 2008 R2 的域控制器添加到其中的域中，在承载基础结构操作主机角色（基础结构主机）的域控制器上运行一次adprep /domainprep /gpprep。

项目一基于Windows Server 2008 R2域的安全管理Windows Server 2008 R2是微软最新的服务器操作系统，该操作系统秉承“按需定制”的原则，可以根据需要选择安装组件。

网络中常用的基础服务以“角色”的方式体现，更多的管理任务以“功能”的方式体现。

由于系统安装的服务少，因而能够减少网络攻击面，提升网络安全。

其中的AD DS域服务是Windows网络的基础网络服务，是Windows系列应用型产品的核心平台，是用户管理、计算机管理的基础。

一、项目简介本项目实现计算机系OU中若干计算机账号和用户账号（见表1-1）的统一的管理。

表1-1 网络环境描述图1-1 基于域的网络拓扑图图1-1是网络拓扑图。

二、实训环境1、软件环境Windows Server 2008 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。

2、学院域，计算机系是域中的一个OU。

三、项目学时本项目预计学时24学时，包含评讲。

任务1 应用组策略管理用户工作环境（6学时）组策略是一个能够让系统管理员充分管理用户工作环境的技术，通过它来确保用户拥有与权限相符的工作环境，也通过它来限制用户，如此不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

[安全管理需求]用户使用统一的方式上网，在登录、注销时使用统一脚本，普通用户在离开时可以关闭本地服务器。

为便于备份和管理，要实现文件夹的重定向，将文件目录统一放至文件服务器上。

用户登录后环境要求统一，如桌面、磁盘配额等。

为了安全起见，不允许用户私自使用移动存储介质，如USB、光盘设备。

[任务描述]1、设置用户使用代理服务器上网设置域内的计算机系内的用户必须使用企业内部的代理服务器（Proxy Server）上网，代理服务器的网址为，端口号为8080，同时要将用户浏览器IE的连接标签内更改代理服务器设置的功能禁用，以免用户私自通过此处更改这些设置值。