域控制器建立教程

Windows Server 2008 R2 辅域控搭建方法
1、安装前，需要先把IP地址固定，并把主DNS设置主域控的IP地址，辅DNS设置辅域控本身IP地址
2、打开运行窗口，输入dcpromo并回车，会启动域控安装程序
3、选择使用高级模式安装，直接下一步
4、选择向现有域添加域控制器
5、输入域名，并且在“备用凭据”处点击设置，会提示输入账号密码，在这里输入具有管理员权限的账号密码即可点击下一步
6、选择域，直接默认下一步
7、选择一个站点，这里也直接默认下一步
8、其它域控制器选项可以默认
9、提示无法创建该DNS 服务器的委派，可以忽略，继续下一步
10、从介质安装，选择通过网络从现有域控制器复制数据
11、源域控制器，直接下一步
12、数据库，日志文件和sysvol的存储路径，可以直接默认
13、创建目录服务还原模式的密码，这个一定要记住，在有备份系统的前提下，可以很方便的还原系统
14、安装摘要，直接下一步即可开始安装，可以勾选完成后重新启动，安装完会自动重启，安装完成。

一、安装域控制器a)第一步安装Win 2003操作系统，注意改变计算机名称。

b)第二步点击“管理您的服务器”c)第三步点击“添加删除角色”向导中“下一步”在“配置你的服务向导”中，“服务器角色”选择“域控制器”点击“下一步”f)第六步在向导中继续“下一步”g)第七步向导中继续“下一步”h)第八步向导中继续“下一步”向导中选择“新的域控制器”，下一步j)第十步向导中选择“新林中的域”，下一步k)第十一步向导中输入新的DNS名称，这个名称随便起，例如：，点击下一步，这步视服务器性能会有点慢。

向导中这步默认即可，点击下一步m)第十三步向导中默认即可，点击下一步。

向导中默认即可，点击下一步，这步视服务器性能可能会有点慢o)第十五步向导中，若出现了DNS错误，选择第三步，下一步p)第十六步向导中，选择第二项“只与Win200或WinServer2003操作系统兼容的权限”，下一步q)第十七步向导中需要输入还原模式密码，这个密码用于卸载AD域控制器时需要，可以随意设置，例如：Ab123456r)第十八步向导中默认，点击下一步向导中点击“完成”向导中，出现如下，点击重启重启服务器，登陆后如图显示：至此，恭喜您域控制器安装成功：）a)域控制器安装证书服务。

i.第一步点击“控制面板”—>“添加删除程序”—>“添加删除Win组件”ii.第二步在向导中的“组件”中选择“证书服务”iii.第三步在随后的提示信息中点击“是”，然后下一步iv.第四步选择“企业根CA”下一步在“公用名称”中填写一个名字，例如：4ARoot在“有限期限”中尽量定义比较大的日期，例如：10年vi.第六步默认点击下一步安装文件，从操作系统中寻找其中若出现下图，点击“确认”即可viii.第八步随后出现如下图，恭喜您，安装证书服务成功：）b)证书服务器（域控制器）导出证书i.第一步在“开始”—>“运行”输入”mmc”，打开如下：点击“文件”—>“添加删除管理单元”iii.第三步点击“添加”在“可用的独立管理单元”中选择“证书”，添加v.第五步选择“计算机帐户”，下一步选项默认“本地计算机”，点击“完成”vii.第七步重复第四步到第七步，在第四步中选择“证书颁发机构”viii.第八步第七步操作完毕会显示如下图ix.第九步点开“证书”—>“个人”—>“证书”，在右方的证书（在：二 a v中添加的）点击右键，然后“所有任务”—>“导出”，如图x.第十步默认点击下一步xi.第十一步默认点击下一步xii.第十二步默认点击下一步xiii.第十三步输入根证书文件名，文件名随便输入，例如：和原有名字相同4ARootxiv.第十四步默认完成xv.第十五步在“证书”右方，点击右键，点击“所有任务”—>“申请新证书”xvi.第十六步默认下一步xvii.第十七步在向导中“证书类型”中选择“域控制器身份验证”点击“下一步”xviii.第十八步向导中的客户端证书名称，随意定义名称例如：4AClient点击“完成”xx.第二十步完成以上步骤后，显示如下图，在《第十五步到第二十步》生成的证书上点击右键，点击“所有任务”—>“导出”默认下一步默认下一步xxiii.第二十三步默认下一步xxiv.第二十四步随意输入客户端名称，例如和第十八步起的名字相同：4AClientxxv.第二十五步默认“完成”c)证书合并成证书库文件将从证书中导出的两个证书文件,*.cer 使用java的keytool工具创建或导入证书库文件中D:\Borland\jdk142_05\bin>keytool -import -keystore security51.keystore -file 51ADroot.cer输入keystore密码：lwfmah（iamConfigT est.xml引用此密码）Owner: CN=securityCA, DC=security, DC=boco发照者：CN=securityCA, DC=security, DC=boco序号：72880fb3005cd7a54efa9c224241008b有效期间：Thu Nov 10 20:48:49 CST 2005 至：Tue Nov 10 20:55:33 CST 2015认证指纹：MD5：51:3F:C3:B1:C3:A6:EF:24:55:70:2A:25:0D:EB:57:59SHA1：B3:EE:CC:92:E3:D4:87:48:D4:1D:F3:53:5B:0E:99:E1:B7:0F:27:20信任这个认证？[否]：y认证已添加至keystore中导入申请的计算机证书D:\Borland\jdk142_05\bin>keytool -import -keystore security51.keystore -alias comkey -file 51AD.cer输入keystore密码：lwfmah（iamConfigT est.xml引用此密码）认证已添加至keystore中三、Citrix安装1.请确保安装CPS服务器的磁盘是NTFS格式（可在命令行下用convert命令进行转换，PS：convert c:/fs ntfs）2.CPS与域控不能装在同一台机器，如采用域的方式，可将域控与citrix license服务装在一起，其他装在同一台机器上（根据实际部署环境，如服务器比较多，其他组件也可分别安装）3.端口的确认：Citrix服务器与应用程序之间会通过1494或者2598端口进行通信。

网络操作系统——Windows Server 2008篇84域用户的账号通过域的安全验证后，即可访问网络中的各种资源，服务器的角色可以改变，例如服务器在删除活动目录时，如果是域中最后一个域控制器，则使该服务器成为独立服务器，如果不是域中唯一的域控制器，则将使该服务器成为成员服务器。

同时独立服务器既可以转换为域控制器，也可以加入到某个域成为成员服务器。

4.2 任务1—安装Windows Server 2008域控制器【任务描述】企业网络采用域的组织结构，可以使局域网的管理工作变得更集中、更容易、更方便。

虽然活动目录具有强大的功能，但是安装Windows Server 2008操作系统时并未自动生成活动目录。

因此，管理员必须通过安装活动目录来建立域控制器，并通过活动目录的管理来实现针对各种对象的动态管理与服务。

同时客户机登录域的操作也是组建域网络必不可少的部分，也是网络管理员应该熟练掌握的基本技能之一。

【任务目标】作为网络管理员，只有明确安装域控制器的条件和准备工作，掌握域网络的组建流程和操作技术，才能在服务器上安装好Windows Server 2008操作系统。

为此，可以启用活动目录安装向导，在成功安装活动目录后，将使一个独立服务器升级为域控制器。

同时通过该任务，还应能够区分登录窗口，例如是登录域不是登录本机的登录框。

4.2.1 建立第一台域控制器活动目录是Windows Server 2008非常关键的服务，它不是孤立的，而是与许多协议和服务有着非常紧密的关系，并涉及整个操作系统的结构和安全。

因此，活动目录的安装并非一般Windows 组件那样简单，必须在安装前完成一系列的准备，注意事项如下。

（1）文件系统和网络协议：Windows Server 2008所在的分区必须是NTFS 文件系统，同样活动目录必须安装在NTFS 分区，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP 协议簇。

2008_域环境搭建目录第一章虚拟场景 (2)1、公司简介 (2)2、公司现有IT状况 (2)第二章实验设计 (3)1、域规划 (3)2、计算机规划 (3)第三章具体实施 (4)1、建立根域 (4)1.1准备 (4)1.2 安装 (4)2、建立子域 (13)3、额外域控制器建立 (18)4、站点的建立与连接 (25)4.1 创建站点 (25)4.2 定义站点子网 (26)4.3 定位服务器 (27)4.4 配置站点连接器 (28)5角色迁移 (28)第四章实验中的问题 (33)第一章虚拟场景1、公司简介某公司通过合理的运营和管理，发展迅速，员工人数已有200人左右，现在该公司总部设在长春，两个子公司分部在大连和沈阳，为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业网络。

公司决定部署一个由200台计算机组成的局域网。

用于完成企业数据通信和资源共享。

公司内部有：人力资源部、行政部、财务部、工程部、销售部、总经理办公室2、公司现有IT状况公司已有一个局域网，运行200台计算机，服务器操作系统是windows server 2008，客户机的操作系统是windows xp，工作在工作组模式下，员工一人一机办公。

公司从ISP申请2M专线用于与各个子公司相连，实现各公司间资源交换与共享。

由于计算机比较多，管理上缺乏层次，公司希望能够利用windows域环境管理所有网络资源，提高办公效率，加强内部网络安全，规范计算机使用。

第二章实验设计1、域规划一改以往的工作组模式，组建域，使管理更方便，工作的环境更安全，用户可以在任意一台域内的计算机登录，共享网络资源。

在总公司长春建立根域内部子网172.16.18.0/24大连分部建立子域内部子网10.10.10.0/24沈阳分部建立子域内部子网192.168.80.0/242、计算机规划DC情况如下表:地区DC计算机名IP 子网掩码DNS长春Mywingc 172.16.18.51 255.255.255.0 172.16.18.51 Mywinsu 172.16.18.216 255.255.255.0 172.16.18.51大连Hanwin01 10.10.10.1 255.255.255.0 172.16.18.51 Hanwin02 10.10..10.216 255.255.255.0 172.16.18.512M沈阳Tbwin01 192.168.80.173 255.255.255.0 172.16.18.51 Shiwin02 192.168.80.215 255.255.255.0 172.16.18.51第三章具体实施1、建立根域1.1准备对于安装WINDOWS 2008 SERVER 的服务器，对硬件有如下要求：处理器最低1.0GHz x86或1.4GHz x64推荐2.0GHz或更高；安腾版则需要Itanium 2内存最低512MB 推荐2GB或更多内存最大支持32位标准版4GB、企业版和数据中心版64GB 64位标准版32GB，其他版本2TB硬盘最少10GB，推荐40GB或更多内存大于16GB的系统需要更多空间用于页面、休眠和转存储文件备注光驱要求DVD-ROM；显示器要求至少SVGA 800×600分辨率，或更高；在安装根域服务器前，首先要确定你的计算机IP地址（IPV4）为静态，DNS指向本机的IP地址（DNS安装会在下面操作中说明） IPV6 禁用1.2 安装在安装windows 2008 之后（安装过程不详细介绍），选择“开始”－“管理工具”—“服务器管理器”选项，然后选择添加角色在服务器角色中选择AD域服务（DNS不可与AD一起勾选）然后单击下一步，进入一个对AD的简介界面，单击下一步进入安装界面点击安装。

1.没有建域之前，
2.新建域之后
3.在windows2003 server中，新建域！运行dcpromo
这里选择“新域的域控制器”
这里选择，“新林中的域”，然后下一步，
不出错误的话，复制完之后就完成了域的建立，之后重启2003server，如下图
这里就可以登录我们的新域了，在“登录到”选项卡中选择“yanfu”，
登陆域成功之后，我们可以看到此server的系统属性，如图已经加入域中，
在另一台pc中，依次选择“我的电脑”→右键“属性”→“计算机名”→“域”如下图，输入域中有管理员权限的账户和密码
本地计算机成功加入域中
本地计算机加入域成功后，可在server 中看到新加入的计算机，如图，
如果此时我们使用本地计算机的用户名和密码，如下图提示，我们是无法进入域中的，因此我们必需输入域中的账户和密码。

新建域中用户名和密码，“user”右键→选择“新建用户”
建好账户之后，如下图，我们就可以在users中看到域中成员了，当然也包括新建的用户。

这时再用新建的域中账户，登录计算机，
登陆成功后，在本地计算机中查看计算机属性，如下图：
至此我们就完成了新建域以及计算机加域的实验，下一步将在另一台server中，新建额外域控制器，
和新建域一样，只是在这一步，选择“现有域的额外域控制器”，然后下一步
这一步，我们填写具有域控制器权限的用户名和密码。

实验3 建立域控制器1 实验目的1、通过实验掌握Windows Serv er 2008R2中活动目录的安装步骤。

2、通过实验掌握额外域控制器的安装步骤。

3、掌握将客户机加入或脱离域的方法。

4、掌握创建具有父子信任关系的域树的方法。

5、掌握创建具有根信任关系的域林的方法。

2 实验环境1、VMware中两台已经安装Windows Serv er 2008R2的计算机（也可通过clone 实现）（计算机名分别为ser v ier01和serv er02）。

2、1台Windows 7计算机。

3、所有计算机之间能够相互连通。

3 实验原理1、域控制器是用来保存活动目录信息的服务器。

它处于域中顶尖的位置，在构建域网络的过程中需要建立的第一台服务器就是它。

域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其它域控制器上。

域控制器也负责用户的登录过程，以及其它与域有关的操作，如身份认证、目录信息查找等。

2、网络中可以有多台域控制器，以实现容错的能力。

所有域控制器都是平等的。

3、Windows系统的计算机加入域后，便可以访问AD数据库与其它域资源，例如用户可以在这些计算机上使用域用户账户来登录域，并使用此域用户账户来访问域内其它计算机内的资源。

当然，加入域的计算机也可以脱离域。

4、域树由一个或多个域构成，安装时应先创建父域，再创建子域，在域名上应具有连续性。

林由一个或多个域树构成，在建立第2个域树的根域时可以建立与已有域树的根信任关系。

域林中各个域的域名没有关联关系。

5、信任关系是用于确保一个域的用户可以访问和使用另一个域中资源的安全机制。

信任是域之间建立的关系，可以使一个域中的用户由另一个域中的域控制器进行验证。

常用的信任类型包括：（1）父子信任在域林中，父子域之间存在信任关系，称之为父子信任关系。

默认情况下，当现有域树中添加新的子域时，将建立一个新的父子信任。

来自从属域的身份验证请求将通过其父项向上传递到信任域中。