返回目录:office365
最近公司把域从2008R2升级到了2012R2,过程就不说了,有机会再写。下面是老跟班在虚拟机下创建域的过程,请各位多多指教。
先按照下图来创建第一个林中的第一个域,方法为先安装一台Windows 2012R2服务器,然后将其升级为域控制器,然后创建第二台域控制器,一台成员服务器与一台加入域的计算机。
拓扑图
约定设置:
网关:192.168.10.1
子网掩码:255.255.255.0
主DNS:192.168.10.2
备DNS:192.168.10.3
域名:top.local
DC:192.168.10.2
BDC:192.168.10.3
TopServer1:192.168.10.4
top1:192.168.10.100
一、创建域的前提条件:
1、DNS域名:要想好一个符合dns格式的域名,如top.com或top.local,这里设置为top.local,一定要想好,后期更
改较麻烦。
2、DNS服务器:需要将本机注册到DNS服务器内,让其他计算机通过DNS服务器来找
到这台机器,所以要一台可支持AD的DNS服务器,并且支持动态更新,如果现在没有
DNS服务器,则可以在创建域的过程中,选择在这台域控上安装DNS服务器。
注:AD需要一个SYSVOL文件夹用来存储域共享文件(例如域组策略有关的文件),
该文件夹必须位于NTFS磁盘(现在windows基本都是NTFS了吧),系统默认创建在系
统盘,为了性能建议按照到其他分区。
二、下面正式开始(安装windows 2012R2过程略过)
1、创建网络中的第一台域控制器
修改机器名和ip
先修改ip地址,将dns指向自己,修改计算机名为DC,升级成域控后,电脑名称会自
动变成dc.top.local
计算机名称
2、安装域,添加角色和功能
添加角色和功能
3、选择服务器,下面基本是按默认就行
直接下一步
默认
默认
选AD域服务
添加功能
默认下一步
下一步
开始安装
安装完成后点击关闭
3、回到仪表板,找到AD DS(当然,也可以从上一步那里点击“将此服务器提升为域控制器”进入)
4、此林根域名不要与对外服务器的DNS名称相同,如对外服务的DNS 为http://www.top.com,则内部的林根域名就不能是top.com,否则可能会有各种未知的问题。
添加新林
5、选择林功能级别,域功能级别。
这里我们选择windows server 2012 ,此时域功能级别只能是2012,如果有2008服务器的域控,还可以选择2008功能级别
默认会直接在此服务器上安装DNS服务器
第一台域控制器必须是全局编录服务器的角色
第一台域控制器不可以是只读域控制器(RODC)这个角色是2008时新出来的功能
设置目录还原密码(此密码相当的重要,后续做数据库迁移、备份、整理、恢复的时候都可能用到,千万别随便搞一个,这个密码要保存好,别忘记了)。
目录还原模式是一个安全模式,可以开机进入安全模式时修复AD数据库。
设置DSRM密码
出现此提示无需理会,下一步
6、设置NetBIOS域名
百度了一下,NetBIOS主要是用于老旧的windows来进行通信。系统根据根域名自动创建NETBIOS,可以更改。个人感觉设置简单点好,方便自己以后登录域帐号或其他的时候,输入方便,如top帐号。
设置NetBIOS
7、指定AD DS数据库、日志文件和SYSVOL的位置
数据库文件夹:用来存储AD数据库
日志文件文件夹:用来存储AD的更改记录,此记录可以用来修复AD数据库
SYSVOL文件夹:用来存储域共享文件(例如组策略)
这里我选择默认,建议正式在服务器实施时设置到C盘以外,以提高安全性,在系统出现问题时提高修复AD的可能性。
指定AD DS数据库、日志文件和SYSVOL的位置
8、下一步,先决条件检查通过后就可以安装了,如不通过,请严格检查每一步是否有误。
9、完成后重启
10、检查DNS服务器内的记录是否完整
域控会将自己扮演的角色注册到DNS服务器内,以便让其他计算机能够通过DNS服务器来找到域控,因此先检查DNS服务器内是否已经存在这些记录。重启后登录windows时需要用域管理员账户来登陆topadministrator。
11、选择管理工具-dns
12、查看top.local区域,如图表示域控top.local已经正确的将其主机名与IP地址注册到DNS服务器内。
13、如果域控制器已经正确的注册到dns服务器,应该还会有_tcp _udp等文件夹。单击_tcp文件夹后可以看到数据类型为服务位置(SRV)的_ldap记录,表示dc.top.local已经正确的注册为域控制器。还能看到_gc记录全局编录也是由dc.top.local所扮演。
14、排除注册失败的问题
如果域成员本身的设置或者网络问题,会造成无法将数据注册到DNS服务器。
如果有成员计算机的主机与ip没有正确注册到DNS服务器,可以到此机器上运行ipconfig /registerdns来手动注册。完成后,到DNS服务器检查是否已有正确记录,例如topserver1.top.local,ip地址192.168.10.100,则检查区域top.local是否有对应的a记录和ip。
如果发现域控制器没有将其扮演的角色注册到dns服务器,也就是没有_tcp文件夹与记录,到服务器中重启netlogon服务。在服务里重启或用命令重启都可以。
方法1
方法2
三、创建更多的域控制器
如果一个域内有多个域控制器,可以有如下好处:
提高用户登录的效率:如果同时有多台域控制器对客户提供服务,可以分担审核用户登录身份(账户与密码)的负担,让用户登录效率更佳。
排错功能:如果有域控制器发生故障,此时依然能有其他正常的域控制器继续提供域服务器。
我们将BDC.top.local升级为域控制器
1、首先去第二台服务器装好2012R2后改名,设置好ip
2、添加角色和功能向导,方法跟安装第一台一样,只是这里不一样:将域控添加到
现有域,输入域名top.local,并且输入现有权限添加域控的账户top
administrator的密码。只有Enterprise Admins和Domain Admins内的用户有权限创建其他域控制器。
3、设置目录还原模式DSRM密码
4、选择复制自dc.top.local,然后下一步直到安装结束。
5、安装完成后服务器会重启,然后检查DNS记录。
修改DC和BDC的dns互相将各自的首选dns指向对方域控。到此,备域控设置完毕。
四、加域
1、客户机确保DNS、IP等设置无误后,加入top.local域中。用topadministrator帐号加域。这里偷一下懒,因我电脑内存不足,不多再多开一个虚拟机来演示,只截图了。
至此暂时结束。