前言
对于活动目录(AD)来讲,从Windows 2000到现在有非常多的文章在对其进行探讨,微软公司每推出一代新的Windows系统,这一重要服务技术不管是从功能上还是从性能上都在不断进步。在此,以最新Windows Server 2008 R2(以后简称WIN08R2)系统为例,从零开始讲述关于WIN08R2活动目录相关技术。希望能一直坚持写完!
——胖哥
【Active Directory】之一
部署企业中第一台域控制器
通过多年来AD在企业中的部署,技术人员几乎都知道与活动目录相关的一系列概念了,如:域、域树、域林、OU和站点,还有域控制器(DC)等。那么,对于一个AD来讲是从哪里开始实现的呢?
也许有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。
由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。
一、DC网络属性的基本配置
对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。
图1
由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的,所以,最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”(如图2)。
图2
当然,除此之外,当前计算机的NetBIOS名,也就是计算机需要设置好,因为安装完DC后,再去进行修改操作是不明智的。
二、准备安装AD服务
WIN08R2对于AD服务的安装与早期版本略有不同,可以通过“服务器管理”的角色添加来完成初始化的准备工作(如图3),打开“服务器管理”工具,展开“角色”节点,在右边窗口中点击“添加角色”。
图3
打开“添加角色向导”(如图4),在该页中会得到系统的三点提示,其中最重要的是第二点。对于第一、三点来讲,可以不按提示配置,也不影响安装,点击“下一步”。
图4
在“服务器角色”列表中勾选“Active Directory域服务”(如图5),此时,系统会自动弹出
图5
对话框,要求安装“.NET Framework 3.5.1功能”(如图6),由于AD在WIN08R2上必须该功
图6
能的支持,所以在此必须点击“添加必需的功能”按钮,返回“选择服务器角色”对话框后点击“下一步”(如图7)。
图7
在“Active Directory域服务”对话框中,向导会给出四点注意事项(如图8),根据这些注意
图8
事项可以了解到安装AD前后操作应该执行的任务和AD需要的服务。点击“下一步”进行安装(如图9)。
图9
当出现“安装结果”对话框时,如果没有错误,证明AD的安装准备已经完成,但是由于该台计算机还不能完全正常运行DC,所以提示需要启用AD安装向导(dcpromo.exe)来完成安装(如图10)。可以直接点击“关闭该向导并启动Active Directory域服务安装向导(dcpromo.exe)”进入安装向导,也可以直接点击“关闭”按钮之后,手动打开AD安装向导。
图10
三、完成AD服务器的安装
1、需要运行AD域服务器安装向导才能完成该服务器的部署,所以在“运行”对话框中输入“dcpromo”点击“确定”启动向导(如图11)。
图11
2、经过系统自动检测后,将出现AD安装向导的欢迎界面(如图12)。在该对话框中可以选择使用标准或高级模式来进行安装。对于高级模式是提供给有经验的用户对安装过程有更多的
图12
控制,但是在此建议使用高级模式来进行操作。高级模式较之标准模式的功能增强可以参考表1所示。此外,还可直接在命令提示符下运行带有/adv开关的dcpromo命令(dcpromo /adv)来启动高级向导。
部署配置 | 高级模式安装向导页 |
新林 域 | NetBIOS 名称 |
现有林中的新域 | 在“选择某一部署配置”页上,用于创建新域树的选项仅出现在高级模式安装中。
域 NetBIOS 名称 源域控制器 |
现有域中的其他域控制器 | 从介质安装
源域控制器 指定密码复制策略(仅限于 RODC 安装) |
为只读域控制器 | (RODC) 安装创建账户
指定密码复制策略 |
将服务器连接到用于 RODC 安装的账户 | 从介质安装
源域控制器 |
表1
3、点击“下一步”,对部属配置进行选择(如图13),由于目的是部属企业中的第一个DC,所以在此应选择“在新林中新建域”。因为,创建新林需要管理员权限,所以必须是正在其上安装AD的服务器本地管理员组的成员。
图13
4、点击“下一步”,对域林的根域进行命名(如图14)。需要在之前对DNS基础结构有一个完整的计划。必须了解该林的完整DNS名称。可以在安装AD之前先安装DNS服务器
图14
服务,或者如本实例一样选择让AD安装向导安装DNS服务器服务。让AD向导来安装DNS服务器服务,将使用此处的DNS名称为林中的第一个域自动生成NetBIOS名称。点击“下一步”,向导会验证DNS名称和NetBIOS名称在网络中的唯一性。由于使用的是高级模式,所以NetBIOS无论是否发生冲突,都会出现“域NetBIOS名称”步骤(如图15)。当然,在标准模式下,只有检查到自动生成的NetBIOS名称与现有网络中名称冲突时,才会出现该步骤。
图15
5、点击“下一步”,“设置林功能级别”(如图16),功能级别确定了在域或林中启用AD的功能,还将限制可以在域或域林中DC上运行的Windows服务器版本。但是,功能级
图16
别不会影响在连接到域或域林的工作站和成员服务器上运行的操作系统。创建新域或新林时,建议将域和林功能级别设置为当前环境可以支持的最高值,这样可以尽可能的充分发挥AD的功能。如果肯定不会将运行Windows Server 2008(以后简称WIN08)或任何更早版本的操作系统的域控制器添加到域或林,可以选择WIN08R2功能级别。另外,如果可能会保留或添加运行WIN08或早版本的域控制器,则在安装期间应选择 Windows Server 2008 功能级别。若确定不会添加这类域控制器或这类域控制器不再使用,则安装后可以提升功能级别。需要注意的是不能将域功能级别设置为低于林功能级别的值。例如将林功能级别设置为WIN08,则只能将域功能级别设置为WIN08或WIN08R2。Windows 2000(以后简称WIN2K)和Windows Server 2003(以后简称WIN03)域功能级别值在“设置域功能级别”向导页中将不可选择。因此,若选择林功能级别为WIN08R2,那么,向导将不会出现“设置域功能级别”步骤,默认情况下向林添加的所有域都将为WIN08R2域功能级别。
特别需要注意:
将域功能级别设置为某个特定值后,将无法回滚或降低域功能级别,但以下情况例外:将域功能级别提升至WIN08R2,并且林功能级别为WIN08或更低时,可以将域功能级别回滚到WIN08,且只能将其从WIN08R2降到WIN08,而不能将其回直接滚到WIN03。
将林功能级别设置为某个值之后,就不能回滚或降低林功能级别,但有一种情况例外:当您将林功能级别提升到WIN08R2且没有启用AD回收站时,则可以选择将林功能级别回滚到WIN08。且只能将其从WIN08R2降到WIN08,而不能将其回直接滚到WIN03。
以下表2列出了每种域功能级别启用的功能和支持的域控制器操作系统
域功能级别 | 启用的功能 | 支持的域控制器操作系统 |
Windows 2000 | 本机模式 所有默认的 Active Directory 功能及以下功能:
· 与分发组和安全组对应的通用组 · 组嵌套 · 组转换,可在安全组与分发组之间进行转换 · 安全标识符 (SID) 历史记录 |
Windows 2000
Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 |
Windows Server 2003 | 所有默认的 Active Directory 功能、所有来自 Windows 2000 本机模式域功能级别的功能,以及以下功能:
· 域管理工具 Netdom.exe 可用于为域控制器重命名作准备。 · 登录时间戳更新。将使用用户或计算机的上次登录时间来更新 lastLogonTimestamp 属性。可以在域内复制该属性。请注意,如果只读域控制器 (RODC) 对帐户进行身份验证,则可能不会更新该属性。 · 可以将 userPassword 属性设置为 inetOrgPerson 对象和用户对象上的有效密码。 · 可以重定向用户和计算机容器。默认情况下,提供两个已知容器以容纳计算机和用户/组帐户:cn=Computers,<domain root> 和 cn=Users,<domain root>。借助此功能,可以为这些帐户定义新的已知位置。 · 授权管理器可以将其授权策略存储在 AD DS 中。 · 受限制的委派,使得应用程序可通过 Kerberos 身份验证协议充分利用用户凭据的安全委派。可以将委派配置为仅允许特定的目标服务。 · 选择性身份验证支持,这可以从受信任林指定允许对信任林中资源服务进行身份验证的用户和组。 |
Windows Server 2003
Windows Server 2008 Windows Server 2008 R2 |
Windows Server 2008 | 所有默认的 Active Directory 功能、所有来自 Windows 2000 纯模式和 Windows Server 2003 域功能级别的功能,以及以下功能:
· SYSVOL 的分布式文件系统 (DFS) 复制支持,可提供 SYSVOL 内容的更稳健更详细的复制。您可能需要执行其他步骤来使用 SYSVOL 的 DFS 复制。有关详细信息,请参阅“文件服务”(http://go.microsoft.com/fwlink/?LinkId=93167)(可能为英文网页)。 · Kerberos 协议的高级加密服务(AES 128 和 256)支持。 · 上次交互式登录信息,将显示用户上次成功交互式登录的时间、来自什么工作站,以及自上次登录失败的登录尝试次数。 · 严格的密码策略,这可以为域中的用户和全局安全组指定密码和帐户锁定策略。 |
Windows Server 2008
Windows Server 2008 R2 |
Windows Server 2008 R2 | 所有默认的 Active Directory 功能、所有来自 Windows 2000 纯模式、Windows Server 2003 和 Windows Server 2008 功能级别的功能,以及以下功能:
· 身份验证机制保证,将用于对域用户进行身份验证的登录方法(智能卡或用户名/密码)类型信息封装在每个用户的 Kerberos 令牌中。如果在已部署联合身份管理基础结构(如 Active Directory 联合身份验证服务 (AD FS))的网络环境中启用此功能,则每当用户尝试访问已部署为根据用户登录方法确定是否授权的声明感知应用程序时,都会提取令牌中的信息。 |
Windows Server 2008 R2 |
表2
以下表3列出了每种林功能级别启用的功能和支持的域控制器操作系统
林功能级别 | 启用的功能 | 支持的域控制器操作系统 |
Windows 2000 | 所有默认的 Active Directory 功能 | Windows 2000
Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 |
Windows Server 2003 | 所有默认的 Active Directory 功能及以下功能:
|
Windows Server 2003
Windows Server 2008 Windows Server 2008 R2 |
Windows Server 2008 | Windows Server 2003 林功能级别上可用的所有功能,但不包括任何其他功能。但在默认情况下,随后添加到林的所有域,将在 Windows Server 2008 域功能级别进行操作。
如果计划仅包括在整个林中运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器,则为便于进行管理可以选择此林功能级别。 |
Windows Server 2008
Windows Server 2008 R2 |
Windows Server 2008 R2 | Windows Server 2003 林功能级别上可用的所有功能及以下功能:
|
Windows Server 2008 R2 |
表3
6、点击“下一步”,配置“其它域控制器选项”(如图17)。在AD安装期间,可以为DC选择安装DNS服务、或将其设置成为全局编录服务器(GC)或只读域控制器(RODC)。
图17
DNS服务器选项
正如“DC网络属性的基本配置”一节中谈到的在DC上同时安装DNS服务,此处就需要勾选“DNS服务器”选项。该选项的默认设置取决于此前选择的部署配置和当前网络中的DNS环境等因素。表4中列出了不同AD部署配置的默认DNS服务安装配置。
新林 | 默认会安装 DNS 服务器。 |
新域 | 如果向导在父域中检测到 DNS 基础结构,则默认会安装 DNS 服务器。 |
如果向导没有检测到 DNS 基础结构,则默认不会安装 DNS 服务器。 | |
新域树 | 如果向导在林根域中检测到 DNS 基础结构,则默认会安装 DNS 服务器。
如果向导没有检测到 DNS 基础结构,则默认不会安装 DNS 服务器。 |
其他域控制器 | 如果向导在域中检测到 DNS 基础结构,则默认会安装 DNS 服务器。
如果向导在域中没有检测到 DNS 基础结构,则 DNS 服务器安装选项不可用。 |
表4
需要注意的是:
如果启动AD安装向导之前已经安装了DNS服务,但AD没有 DNS 基础结构,则 DNS 服务将继续为它承载的任何基于文件的区域解析名称,但不会承载它作为域控制器所在的域的任何AD集成的DNS区域。
全局编录选项
由于林中的第一台DC必须是GC,因此在创建域林时“全局编录”复选框处于会被自动选中,而且变灰不能被取消。在现有域中安装其他DC时,默认也会选中该复选框。但是,可以手动取消选择。
在创建新的子域或域树时,默认情况下不会选中“全局编录”复选框,因为新域中的第一个域控制器承载着所有域范围的操作主机角色(FSMO角色),包括基础结构操作主机角色。在多域林中,除非域中的所有DC都是GC,否则在GC上承载基础结构主机角色可能会出现问题。因此,在新子域或域树的第一个DC上安装全局编录,则需要在将其他DC安装到域中之后转移基础结构主机角色,或是确保安装到域中的所有其他DC也都是GC。而且,在安装其他可写域控制器时,AD安装向导会验证基础结构主机是否承载于合适的DC上,并且会验证它是否可以修复使用所选安装选项引发的问题。
RODC选项
以下条件下不允许安装 RODC:
· 新林中安装第一个域控制器
· 新域中安装第一个域控制器
· 林功能级别不是WIN03、WIN08或WIN08R2
· 要安装RODC的域中没有WIN08 或WIN08R2的可写域控制器
选项间的关系
如果选中“只读域控制器(RODC)”复选框,除非无法选中“DNS 服务器”复选框,否则向导会自动选中此选项。如果在向导选中“DNS 服务器”复选框之后将其清除,则向导会发出警告:“如果不同时安装 DNS 服务器,分支机构中的客户端可能无法找到RODC”。默认情况下,“全局编录”复选框可能也处于选中状态,具体取决于选择的其他安装选项。默认情况下,如果选中“只读域控制器”复选框,向导就会自动选中“全局编录”复选框。
验证检查选项
在“其他域控制器选项”页上选择选项,然后点击“下一步”之后,向导会执行以下验证检查,之后才会继续进行操作。
静态 IP 地址验证——如果选中“DNS 服务器”复选框,AD安装向导会验证服务器的所有物理网络适配器是否都具有一个静态地址,包括静态的IPv4和IPv6地址。尽管不使用静态IP地址便可以完成AD安装,但不建议这样做,因为如果DC的 IP地址发生变化,客户端可能无法联系DC。
基础结构主机检查——如果选择在域中安装其他域控制器的选项,AD安装向导默认会选中“全局编录”复选框。如果正在安装可写域控制器(“只读域控制器”复选框处于清除状态),而且清除了“全局编录”复选框,向导会检查域中的全局编录服务器上当前是否承载了基础结构主机角色。如果检查结果为是,向导会提示将该角色转移到正在安装的DC上。可以点击“是”将基础结构主机角色转移到此DC上,或点击“否”稍后更改配置。
Adprep /rodcprep检查——如果安装 RODC,向导会验证adprep /rodcprep命令是否成功完成,以及该命令导致的更改是否复制到整个林中。如果adprep /rodcprep命令没有成功完成,或是更改尚未复制到整个林中,会收到一条错误消息,指出在继续进行安装之前必须运行该命令。如果收到此消息,可以在林中的任何计算机上再次运行adprep /rodcprep,或是等待更改复制到整个林中。
7、点击“下一步”,系统会弹出DNS服务委派警告对话框(如图18)。在此,点击“是”继续完成向导。这个对话框的出现是由于配置其它服务器时,选择了“DNS服务器”选项,
图18
而当前计算机又未找到指定域的权威父域Windows DNS服务器,从而无法确定是否对指定域进行了委派导致的。
8、确定AD数据库、日志文件和SYSVOL放置的位置(如图19)。对于数据库来讲主要存储有关用户、计算机和网络中其它对象的信息;日志文件记录与AD有关的活动;SYSVOL存储组策略对象和脚本,其默认是位于%windir%目录中的操作系统文件的一部分。在决定AD文件的存储位置时,可以从以下两个因素来考虑——
图19
备份和恢复
对于只有一个硬盘的服务器来将,只需接受AD安装向导的默认安装设置即可。但是,必须至少在该硬盘上创建两个卷。其中一个卷用于存储关键卷数据,另一个卷用于存储备份。 在使用Windows Server Backup或Wbadmin.exe命令行工具备份DC时,至少必须备份系统状态数据,以便使用备份恢复服务器。用于存储备份的卷不能与承载系统状态数据的卷相同。构成系统状态数据的系统组件由安装在计算机上的服务器角色来决定。系统状态数据至少包括下列数据(根据所安装的服务器角色,还可能包括其他数据):
注册表
COM+ 类注册数据库
引导文件
Active Directory 证书服务 (AD CS) 数据库
承载 Active Directory 数据库 (Ntds.dit) 的卷
承载 Active Directory 数据库日志文件的卷
SYSVOL 目录
群集服务信息
Microsoft Internet Information Services (IIS) 元目录
Windows 资源保护下的系统文件
性能
对于更加复杂的安装,可能需要配置硬盘存储以优化 AD的性能。由于数据库和日志文件以不同方式利用磁盘存储空间,因此可以通过将每种内容分配到不同的硬盘主轴来提高 AD的性能。
例如,一台服务器具有四个可用的硬盘驱动器,它们的驱动器卷标分别为:
驱动器 C,包含操作系统文件
驱动器 D,未使用
驱动器 E,未使用
驱动器 F,用于备份
在此服务器上,可以通过将数据库和日志文件分别安装到专用的驱动器(如D和E)中而最大限度提高AD的性能。这有助于提高数据库的搜索性能,因为有一个驱动器主轴可以专用于搜索活动。在同时进行大量更改的情况下,这种配置也会降低承载日志文件的磁盘出现瓶颈问题的几率。可以将 SYSVOL 与操作系统文件一起存储在驱动器 C 中。
9、点击“下一步”,向导要求输入“目录还原模式的Administrator密码”(如图20)。在 AD未运行时,目录服务还原模式(DSRM)密码是登录域控制器所必需的。
图20
特别注意
DSRM密码与域管理员帐户的密码不同。
当创建林中第一台DC时,AD安装向导会将本地服务器上生效的密码策略强制作用于此。对于所有的其他DC的安装,AD安装向导将现有DC上生效的密码策略强制作用于此。这意味着,指定的DSRM密码必须符合包含现有DC所在域的最小密码长度、历史记录和复杂性要求。默认情况下,必须包含大写和小写字母组合、数字和符号的强密码。
10、点击“下一步”,显示安装摘要(如图21),并且可以单击“导出设置”将在此向导中指定的设置保存到一个应答文件。然后,可以使用应答文件自动执行AD的后续安装。
图21
应答文件是包含 [DCInstall] 标题的纯文本文件,应答文件提供了对AD安装向导所需配置的设置值。使用该应答文件时,管理员无需与该向导进行交互。向导会向该应答文件中添加文本,说明如何使用该文件,例如,说明如何使用dcpromo命令来调用该文件以及必须更新哪些设置才能使用该文件。
若要使用应答文件来安装AD,在命令提示符下输入:
dcpromo /answer[:filename]
其中 filename 为应答文件的名称。
11、点击“下一步”,安装向导执行安装操作(如图22)。如果没有勾选“完成后重新
图22
启动”复选框,则执行完毕后,AD安装向导将出现完成安装页(如图23)。点击“完成”,
图23
系统会提示需要重新启动计算机配置才能生效(如图24)。点击“立即重新启动”完成DC安装操作。
图24
四、完成后简单验证安装情况
重启服务器后,可以通过以下几点的验证来确定DC的基本安装成功。
1、AD数据文件是否产生(如图25)
图25
2、DNS服务是否工作正常,与域相关的资源记录,特别是SRV记录是否正确写入(如图26)
图26
3、SYSVOL文件夹是否存在,能正常访问
4、日志中是否有错误事件等
若均无问题,则表明当前部署的企业中第一台DC工作基本正常。