安装域控制器
安装域控制器
域控制器为网络用户和计算机提供了 Active Directory 目录服务,它存储并复制目录数据,并管理用户与域的交互,包括用户登录进程、身份验证和目录搜索。每个域至少必须包含一个域控制器。可以通过在任何成员服务器或独立服务器(除了那些具有限制性许可协议的服务器)上安装 Active Directory 来安装域控制器。
当您将第一个域控制器安装到组织中时,您就创建了第一个域(也称根域)和第一个林。可以在现有的域中添加附加的域控制器来提供容错功能、提高服务的可用性以及平衡现有域控制器的负载。
还可以安装域控制器来创建一个新的子域或新的域树。当您想要与一个或多个域共享连续的名称空间的域时,请创建新的子域。意思是,新域的名称中包含父域的完整名称。例如,sales.microsoft.com 可以是 microsoft.com 的一个子域。仅当您想要的域的域名系统 (DNS) 名称空间与该林中的其他域无关时,才创建一个新的域树。也就是说,新域树的根域(及其所有子域)的名称不包含父域的完整名称。一个林中可以包含一个或多个域树。
在安装域控制器之前,需要考虑与 Windows 2000 以前版本兼容的安全级别,并标识域的 DNS 名称。有关详细信息,请参阅清单:在现有的域中创建其他域控制器。
安装域控制器时,最常执行的任务是在新的林中创建新域、在现有的域树中创建新的子域、在现有的林中创建新的域树和在现有的域中安装域控制器。
有关安装域控制器时需要做的重要决策的信息,请参阅使用 Active Directory 安装向导。
在新的林中创建新域
1.
打开 Active Directory 安装向导。
2.
单击“域控制器类型”页面上的“新域的域控制器”,然后单击“下一步”。
3.
在“创建一个新域”页面上,单击“在新林中的域”,然后单击“下一步”。
4.
在“新的域名”页面上,键入新域的 DNS 全名,然后单击“下一步”。
5.
验证“NetBIOS 域名”页面上的 NetBIOS 名称,然后单击“下一步”。
6.
在“数据库和日志文件文件夹”页面上,键入要放置数据库和日志文件文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
7.
在“共享的系统卷”页面上,键入要放置 Sysvol 文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
8.
在“DNS 注册诊断”页面上,验证现有 DNS 服务器是否具有该林的管理权,或者在必要时通过单击“在这台计算机上安装并配置 DNS 服务器,并将这台 DNS 服务器设为这台计算机的首选 DNS 服务器”,然后单击“下一步”,选择在该服务器上安装和配置 DNS。
9.
在“权限”页面上,选择以下选项之一:
• 与 Windows 2000 Server 之前版本的操作系统兼容的权限
• 只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限
10.
查看“摘要”页面,然后单击“下一步”开始安装。
11.
重新启动计算机。
注意
• 要执行该过程,您必须是本地计算机上 Administrators 组的成员,或者您必须被委派了适当的权限。如果计算机已加入某个域,则 Domain Admins 组的成员可能会执行该过程。作为安全性最佳操作,请考虑使用“运行方式”执行此过程。详细信息,请参阅默认本地组、默认组以及使用“运行方式”。
• 执行本过程时所在的服务器将被升级为林根域中的第一个域控制器。
• “权限”页上的向导选项会影响与 Windows 2000 和 Windows Server 2003 操作系统之前版本的应用程序兼容性,而与域功能无关。
• “Active Directory 安装向导”允许域名最多包含 64 个字符或 155 个字节。虽然 64 个字符限制通常在 155 个字节限制之前达到,但如果名称中包含采用三个字节的 Unicode 字符,则会发生相反的情况。这些限制不适用于计算机名。
在现有的域树中创建新的子域
1.
打开 Active Directory 安装向导。
2.
单击“域控制器类型”页面上的“新域的域控制器”,然后单击“下一步”。
3.
在“创建一个新域”页面上,单击“现有域树中的子域”,然后单击“下一步”。
4.
在“网络凭据”页面上,键入要用于该操作的用户帐户的用户名、密码及用户域,然后单击“下一步”。
5.
在“子域安装”页面上,验证父域并键入新子域名称,然后单击“下一步”。
6.
在“NetBIOS 域名”页上,验证 NetBIOS 名称,然后单击“下一步”。
7.
在“数据库和日志文件文件夹”页面上,键入要放置数据库和日志文件文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
8.
在“共享的系统卷”页面上,键入要放置 Sysvol 文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
9.
在“DNS 注册诊断”页面上,验证 DNS 配置设置是否正确,然后单击“下一步”。
10.
在“权限”页面上,选择以下选项之一:
• 与 Windows 2000 Server 之前版本的操作系统兼容的权限
• 只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限
11.
在“目录服务还原模式的管理员密码”页面上,键入并确认要指派给服务器管理员帐户并让他/她在计算机以目录服务还原模式启动时使用的密码,然后单击“下一步”。
12.
查看“摘要”页面,然后单击“下一步”开始安装。
13.
重新启动计算机。
注意
• 要执行此过程,您必须是 Active Directory 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行方式”执行此过程。详细信息,请参阅默认本地组、默认组以及使用“运行方式”。
• 执行本过程时所在的服务器将被升级为新建子域中的第一个域控制器。
• 当子域被添加到现有的树域中时,默认情况下将建立一个双向、可传递的父子信任。
• “权限”页上的向导选项会影响与 Windows 2000 和 Windows Server 2003 操作系统之前版本的应用程序兼容性,而与域功能无关。
• “Active Directory 安装向导”允许域名最多包含 64 个字符或 155 个字节。虽然 64 个字符限制通常在 155 个字节限制之前达到,但如果名称中包含采用三个字节的 Unicode 字符,则会发生相反的情况。这些限制不适用于计算机名。
在现有的林中创建新的域树
1.
打开 Active Directory 安装向导。
2.
单击“域控制器类型”页面上的“新域的域控制器”,然后单击“下一步”。
3.
在“创建一个新域”页面上,单击“现有的林中的域树”。
4.
在“网络凭据”页面上,键入要用于该操作的用户帐户的用户名、密码及用户域,然后单击“下一步”。
5.
在“新域树”页面上,键入新域的 DNS 全名,然后单击“下一步”。
6.
验证“NetBIOS 域名”页面上的 NetBIOS 名称,然后单击“下一步”。
7.
在“数据库和日志文件文件夹”页面上,键入要放置数据库和日志文件文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
8.
在“共享的系统卷”页面上,键入要放置 Sysvol 文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
9.
在“DNS 注册诊断”页面上,验证现有 DNS 服务器是否具有该林的管理权,或者在必要时通过单击“在这台计算机上安装并配置 DNS 服务器,并将这台 DNS 服务器设为这台计算机的首选 DNS 服务器”,然后单击“下一步”,选择在该服务器上安装和配置 DNS。
10.
在“权限”页面上,选择以下选项之一:
• 与 Windows 2000 Server 之前版本的操作系统兼容的权限
• 只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限
11.
在“目录服务还原模式的管理员密码”页面上,键入并确认要指派给服务器管理员帐户并让他/她在计算机以目录服务还原模式启动时使用的密码,然后单击“下一步”。
12.
查看“摘要”页面,然后单击“下一步”开始安装。
13.
重新启动计算机。
注意
• 要执行此过程,您必须是 Active Directory 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行方式”执行此过程。详细信息,请参阅默认本地组、默认组以及使用“运行方式”。
• 执行本过程时所在的服务器将被升级为新建域树中的第一个域控制器。
• 在现有的林中创建新的域树时,默认情况下将建立一个双向、可传递的树根信任。
• “权限”页上的向导选项会影响与 Windows 2000 和 Windows Server 2003 操作系统之前版本的应用程序兼容性,而与域功能无关。
• “Active Directory 安装向导”允许域名最多包含 64 个字符或 155 个字节。虽然 64 个字符限制通常在 155 个字节限制之前达到,但如果名称中包含采用三个字节的 Unicode 字符,则会发生相反的情况。这些限制不适用于计算机名。
在现有的域中安装其他域控制器
1.
打开 Active Directory 安装向导。
2.
在“域控制器类型”页面上,单击“现有域的其他域控制器”,然后单击“下一步”。
3.
在“网络凭据”页面上,键入要用于该操作的用户帐户的用户名、密码及用户域,然后单击“下一步”。有关详细信息,请参阅下面的“注意”。
4.
在“额外的域控制器”页面上,输入该服务器将成为其一个域控制器的现有域的 DNS 全名,然后单击“下一步”。
5.
在“数据库和日志文件文件夹”页面上,键入要放置数据库和日志文件文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
6.
在“共享的系统卷”页面上,键入要放置 Sysvol 文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
7.
在“目录服务还原模式的管理员密码”页面上,键入并确认要指派给服务器管理员帐户并让他/她在计算机以目录服务还原模式启动时使用的密码,然后单击“下一步”。
8.
查看“摘要”页面,然后单击“下一步”开始安装。
9.
重新启动计算机。
注意
• 要执行此过程,您必须是 Active Directory 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行方式”执行此过程。详细信息,请参阅默认本地组、默认组以及使用“运行方式”。
• 要从还原的备份文件创建额外的域控制器,请在命令提示符下键入 dcpromo /adv 启动 Active Directory 安装向导。
域控制器为网络用户和计算机提供了 Active Directory 目录服务,它存储并复制目录数据,并管理用户与域的交互,包括用户登录进程、身份验证和目录搜索。每个域至少必须包含一个域控制器。可以通过在任何成员服务器或独立服务器(除了那些具有限制性许可协议的服务器)上安装 Active Directory 来安装域控制器。
当您将第一个域控制器安装到组织中时,您就创建了第一个域(也称根域)和第一个林。可以在现有的域中添加附加的域控制器来提供容错功能、提高服务的可用性以及平衡现有域控制器的负载。
还可以安装域控制器来创建一个新的子域或新的域树。当您想要与一个或多个域共享连续的名称空间的域时,请创建新的子域。意思是,新域的名称中包含父域的完整名称。例如,sales.microsoft.com 可以是 microsoft.com 的一个子域。仅当您想要的域的域名系统 (DNS) 名称空间与该林中的其他域无关时,才创建一个新的域树。也就是说,新域树的根域(及其所有子域)的名称不包含父域的完整名称。一个林中可以包含一个或多个域树。
在安装域控制器之前,需要考虑与 Windows 2000 以前版本兼容的安全级别,并标识域的 DNS 名称。有关详细信息,请参阅清单:在现有的域中创建其他域控制器。
安装域控制器时,最常执行的任务是在新的林中创建新域、在现有的域树中创建新的子域、在现有的林中创建新的域树和在现有的域中安装域控制器。
有关安装域控制器时需要做的重要决策的信息,请参阅使用 Active Directory 安装向导。
在新的林中创建新域
1.
打开 Active Directory 安装向导。
2.
单击“域控制器类型”页面上的“新域的域控制器”,然后单击“下一步”。
3.
在“创建一个新域”页面上,单击“在新林中的域”,然后单击“下一步”。
4.
在“新的域名”页面上,键入新域的 DNS 全名,然后单击“下一步”。
5.
验证“NetBIOS 域名”页面上的 NetBIOS 名称,然后单击“下一步”。
6.
在“数据库和日志文件文件夹”页面上,键入要放置数据库和日志文件文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
7.
在“共享的系统卷”页面上,键入要放置 Sysvol 文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
8.
在“DNS 注册诊断”页面上,验证现有 DNS 服务器是否具有该林的管理权,或者在必要时通过单击“在这台计算机上安装并配置 DNS 服务器,并将这台 DNS 服务器设为这台计算机的首选 DNS 服务器”,然后单击“下一步”,选择在该服务器上安装和配置 DNS。
9.
在“权限”页面上,选择以下选项之一:
• 与 Windows 2000 Server 之前版本的操作系统兼容的权限
• 只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限
10.
查看“摘要”页面,然后单击“下一步”开始安装。
11.
重新启动计算机。
注意
• 要执行该过程,您必须是本地计算机上 Administrators 组的成员,或者您必须被委派了适当的权限。如果计算机已加入某个域,则 Domain Admins 组的成员可能会执行该过程。作为安全性最佳操作,请考虑使用“运行方式”执行此过程。详细信息,请参阅默认本地组、默认组以及使用“运行方式”。
• 执行本过程时所在的服务器将被升级为林根域中的第一个域控制器。
• “权限”页上的向导选项会影响与 Windows 2000 和 Windows Server 2003 操作系统之前版本的应用程序兼容性,而与域功能无关。
• “Active Directory 安装向导”允许域名最多包含 64 个字符或 155 个字节。虽然 64 个字符限制通常在 155 个字节限制之前达到,但如果名称中包含采用三个字节的 Unicode 字符,则会发生相反的情况。这些限制不适用于计算机名。
在现有的域树中创建新的子域
1.
打开 Active Directory 安装向导。
2.
单击“域控制器类型”页面上的“新域的域控制器”,然后单击“下一步”。
3.
在“创建一个新域”页面上,单击“现有域树中的子域”,然后单击“下一步”。
4.
在“网络凭据”页面上,键入要用于该操作的用户帐户的用户名、密码及用户域,然后单击“下一步”。
5.
在“子域安装”页面上,验证父域并键入新子域名称,然后单击“下一步”。
6.
在“NetBIOS 域名”页上,验证 NetBIOS 名称,然后单击“下一步”。
7.
在“数据库和日志文件文件夹”页面上,键入要放置数据库和日志文件文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
8.
在“共享的系统卷”页面上,键入要放置 Sysvol 文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
9.
在“DNS 注册诊断”页面上,验证 DNS 配置设置是否正确,然后单击“下一步”。
10.
在“权限”页面上,选择以下选项之一:
• 与 Windows 2000 Server 之前版本的操作系统兼容的权限
• 只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限
11.
在“目录服务还原模式的管理员密码”页面上,键入并确认要指派给服务器管理员帐户并让他/她在计算机以目录服务还原模式启动时使用的密码,然后单击“下一步”。
12.
查看“摘要”页面,然后单击“下一步”开始安装。
13.
重新启动计算机。
注意
• 要执行此过程,您必须是 Active Directory 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行方式”执行此过程。详细信息,请参阅默认本地组、默认组以及使用“运行方式”。
• 执行本过程时所在的服务器将被升级为新建子域中的第一个域控制器。
• 当子域被添加到现有的树域中时,默认情况下将建立一个双向、可传递的父子信任。
• “权限”页上的向导选项会影响与 Windows 2000 和 Windows Server 2003 操作系统之前版本的应用程序兼容性,而与域功能无关。
• “Active Directory 安装向导”允许域名最多包含 64 个字符或 155 个字节。虽然 64 个字符限制通常在 155 个字节限制之前达到,但如果名称中包含采用三个字节的 Unicode 字符,则会发生相反的情况。这些限制不适用于计算机名。
在现有的林中创建新的域树
1.
打开 Active Directory 安装向导。
2.
单击“域控制器类型”页面上的“新域的域控制器”,然后单击“下一步”。
3.
在“创建一个新域”页面上,单击“现有的林中的域树”。
4.
在“网络凭据”页面上,键入要用于该操作的用户帐户的用户名、密码及用户域,然后单击“下一步”。
5.
在“新域树”页面上,键入新域的 DNS 全名,然后单击“下一步”。
6.
验证“NetBIOS 域名”页面上的 NetBIOS 名称,然后单击“下一步”。
7.
在“数据库和日志文件文件夹”页面上,键入要放置数据库和日志文件文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
8.
在“共享的系统卷”页面上,键入要放置 Sysvol 文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
9.
在“DNS 注册诊断”页面上,验证现有 DNS 服务器是否具有该林的管理权,或者在必要时通过单击“在这台计算机上安装并配置 DNS 服务器,并将这台 DNS 服务器设为这台计算机的首选 DNS 服务器”,然后单击“下一步”,选择在该服务器上安装和配置 DNS。
10.
在“权限”页面上,选择以下选项之一:
• 与 Windows 2000 Server 之前版本的操作系统兼容的权限
• 只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限
11.
在“目录服务还原模式的管理员密码”页面上,键入并确认要指派给服务器管理员帐户并让他/她在计算机以目录服务还原模式启动时使用的密码,然后单击“下一步”。
12.
查看“摘要”页面,然后单击“下一步”开始安装。
13.
重新启动计算机。
注意
• 要执行此过程,您必须是 Active Directory 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行方式”执行此过程。详细信息,请参阅默认本地组、默认组以及使用“运行方式”。
• 执行本过程时所在的服务器将被升级为新建域树中的第一个域控制器。
• 在现有的林中创建新的域树时,默认情况下将建立一个双向、可传递的树根信任。
• “权限”页上的向导选项会影响与 Windows 2000 和 Windows Server 2003 操作系统之前版本的应用程序兼容性,而与域功能无关。
• “Active Directory 安装向导”允许域名最多包含 64 个字符或 155 个字节。虽然 64 个字符限制通常在 155 个字节限制之前达到,但如果名称中包含采用三个字节的 Unicode 字符,则会发生相反的情况。这些限制不适用于计算机名。
在现有的域中安装其他域控制器
1.
打开 Active Directory 安装向导。
2.
在“域控制器类型”页面上,单击“现有域的其他域控制器”,然后单击“下一步”。
3.
在“网络凭据”页面上,键入要用于该操作的用户帐户的用户名、密码及用户域,然后单击“下一步”。有关详细信息,请参阅下面的“注意”。
4.
在“额外的域控制器”页面上,输入该服务器将成为其一个域控制器的现有域的 DNS 全名,然后单击“下一步”。
5.
在“数据库和日志文件文件夹”页面上,键入要放置数据库和日志文件文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
6.
在“共享的系统卷”页面上,键入要放置 Sysvol 文件夹的位置,或单击“浏览”选择一个位置,然后单击“下一步”。
7.
在“目录服务还原模式的管理员密码”页面上,键入并确认要指派给服务器管理员帐户并让他/她在计算机以目录服务还原模式启动时使用的密码,然后单击“下一步”。
8.
查看“摘要”页面,然后单击“下一步”开始安装。
9.
重新启动计算机。
注意
• 要执行此过程,您必须是 Active Directory 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行方式”执行此过程。详细信息,请参阅默认本地组、默认组以及使用“运行方式”。
• 要从还原的备份文件创建额外的域控制器,请在命令提示符下键入 dcpromo /adv 启动 Active Directory 安装向导。
浙公网安备 33010602011771号