對于活動目錄（AD）來講，從Windows 2000到現(xiàn)在有非常多的文章在對其進行探討，微軟公司每推出一代新的Windows系統(tǒng)，這一重要服務技術不管是從功能上還是從性能上都在不斷進步。在此，以最新Windows Server 2008 R2（以后簡稱WIN08R2）系統(tǒng)為例，從零開始講述關于WIN08R2活動目錄相關技術。希望能一直堅持寫完！

——胖哥

通過多年來AD在企業(yè)中的部署，技術人員幾乎都知道與活動目錄相關的一系列概念了，如：域、域樹、域林、OU和站點，還有域控制器（DC）等。那么，對于一個AD來講是從哪里開始實現(xiàn)的呢？

也許有人將是從第一臺DC開始的。的確，AD的起點是從安裝第一臺DC開始的。但是，可能很少有人會意識到在安裝第一臺DC時，實際上是在部署AD的第一個域——根域，第一棵域樹，乃至實現(xiàn)一個單域的域林。只不過這個林中只有一棵域樹，這棵域樹中只有一個域，而且域中就只有這一臺計算機——第一個DC。

由此可見，在企業(yè)中即使是在部署安裝第一臺DC之前，所考慮的并不僅僅是怎樣去安裝一臺域控制器那么簡單，而是要考慮好整個域林、域樹的規(guī)劃，以及相關服務，如：DNS服務等的規(guī)劃的部署。并且要考慮清楚，每一個服務實現(xiàn)的位置，每一個步驟實現(xiàn)的做法。只有這樣走下來，所部屬的AD才能更大的滿足現(xiàn)在和以后的需要。在此，由安裝域林中第一臺DC的過程，可以了解到在部署前需要考慮的一系列基本問題。

一、DC網(wǎng)絡屬性的基本配置

對于將要安裝成為DC的服務器來講，其系統(tǒng)配置以及基本的磁盤規(guī)劃在此就不在累述了，但是關鍵的網(wǎng)絡連接屬性是必須要注意的。可以通過打開本地連接的屬性來進行配置其IP屬性。作為服務器DC的IP地址一定要是靜態(tài)的IP地址，雖然不一定需要配置默認網(wǎng)關，但是DNS服務器指向一定要配置正確，因為AD的工作是緊密依賴于DNS服務的。本實例中整個微軟網(wǎng)絡環(huán)境都是白手起家的，考慮讓這第一臺DC同時充當企業(yè)網(wǎng)絡中的DNS服務器，故需要將其首選DNS服務器地址配置為本臺計算機的IP地址（如圖1）。

圖2

當然，除此之外，當前計算機的NetBIOS名，也就是計算機需要設置好，因為安裝完DC后，再去進行修改操作是不明智的。

二、準備安裝AD服務

WIN08R2對于AD服務的安裝與早期版本略有不同，可以通過“服務器管理”的角色添加來完成初始化的準備工作（如圖3），打開“服務器管理”工具，展開“角色”節(jié)點，在右邊窗口中點擊“添加角色”。

圖4

在“服務器角色”列表中勾選“Active Directory域服務”（如圖5），此時，系統(tǒng)會自動彈出對話框，

圖6

所以在此必須點擊“添加必需的功能”按鈕，返回“選擇服務器角色”對話框后點擊“下一步”（如圖7）。

圖8

點擊“下一步”進行安裝（如圖9）。

圖10

三、完成AD服務器的安裝

1、需要運行AD域服務器安裝向導才能完成該服務器的部署，所以在“運行”對話框中輸入“dcpromo”點擊“確定”啟動向導（如圖11）。

圖12

但是在此建議使用高級模式來進行操作。高級模式較之標準模式的功能增強可以參考表1所示。此外，還可直接在命令提示符下運行帶有/adv開關的dcpromo命令（dcpromo /adv）來啟動高級向導。

圖13

4、點擊“下一步”，對域林的根域進行命名（如圖14）。需要在之前對DNS基礎結構有一個完整的計劃。必須了解該林的完整DNS名稱。可以在安裝AD之前先安裝DNS服務器服務，或者如本實例一樣選擇讓AD安裝向導安裝DNS服務器服務。

圖15

5、點擊“下一步”，“設置林功能級別”（如圖16），功能級別確定了在域或林中啟用AD的功能，還將限制可以在域或域林中DC上運行的Windows服務器版本。但是，功能級別不會影響在連接到域或域林的工作站和成員服務器上運行的操作系統(tǒng)。

圖17

DNS服務器選項

正如“DC網(wǎng)絡屬性的基本配置”一節(jié)中談到的在DC上同時安裝DNS服務，此處就需要勾選“DNS服務器”選項。該選項的默認設置取決于此前選擇的部署配置和當前網(wǎng)絡中的DNS環(huán)境等因素。表4中列出了不同AD部署配置的默認DNS服務安裝配置。

圖18

8、確定AD數(shù)據(jù)庫、日志文件和SYSVOL放置的位置（如圖19）。對于數(shù)據(jù)庫來講主要存儲有關用戶、計算機和網(wǎng)絡中其它對象的信息；日志文件記錄與AD有關的活動；SYSVOL存儲組策略對象和腳本，其默認是位于%windir%目錄中的操作系統(tǒng)文件的一部分。

圖20

特別注意

DSRM密碼與域管理員帳戶的密碼不同。

當創(chuàng)建林中第一臺DC時，AD安裝向導會將本地服務器上生效的密碼策略強制作用于此。對于所有的其他DC的安裝，AD安裝向導將現(xiàn)有DC上生效的密碼策略強制作用于此。這意味著，指定的DSRM密碼必須符合包含現(xiàn)有DC所在域的最小密碼長度、歷史記錄和復雜性要求。默認情況下，必須包含大寫和小寫字母組合、數(shù)字和符號的強密碼。

10、點擊“下一步”，顯示安裝摘要（如圖21），并且可以單擊“導出設置”將在此向導中指定的設置保存到一個應答文件。然后，可以使用應答文件自動執(zhí)行AD的后續(xù)安裝。

圖22

則執(zhí)行完畢后，AD安裝向導將出現(xiàn)完成安裝頁（如圖23）。點擊“完成”，

圖24

四、完成后簡單驗證安裝情況

重啟服務器后，可以通過以下幾點的驗證來確定DC的基本安裝成功。

1、AD數(shù)據(jù)文件是否產(chǎn)生（如圖25）。

圖26

3、SYSVOL文件夾是否存在，能正常訪問。

4、日志中是否有錯誤事件等。

若均無問題，則表明當前部署的企業(yè)中第一臺DC工作基本正常。

本文出自 “胖哥技術堂” 博客