部署第一個(gè)域在上篇博文中我們介紹了部署域的意義，今天我們來部署第一個(gè)域。一般情況下，域中有三種計(jì)算機(jī)，一種是域控制器，域控制器上存儲(chǔ)著Active Directory ；一種是成員服務(wù)器，負(fù)責(zé)提供郵件

部署第一個(gè)域

在上篇博文中我們介紹了部署域的意義，今天我們來部署第一個(gè)域。一般情況下，域中有三種計(jì)算機(jī)，一種是域控制器，域控制器上存儲(chǔ)著Active Directory ；一種是成員服務(wù)器，負(fù)責(zé)提供郵件，數(shù)據(jù)庫，DHCP 等服務(wù)；還有一種是工作站，是用戶使用的客戶機(jī)。我們準(zhǔn)備搭建一個(gè)基本的域環(huán)境，拓?fù)淙缦聢D所示，F(xiàn)lor ence 是域控制器，Berlin 是成員服務(wù)器，Perth 是工作站。

部署一個(gè)域大致要做下列工作：

1 DNS 前期準(zhǔn)備

2 創(chuàng)建域控制器

3 創(chuàng)建計(jì)算機(jī)賬號(hào)

4 創(chuàng)建用戶賬號(hào)

一 DNS 前期準(zhǔn)備

DNS 服務(wù)器對(duì)域來說是不可或缺的，一方面，域中的計(jì)算機(jī)使用DNS 域名，D NS 需要為域中的計(jì)算機(jī)提供域名解析服務(wù)；另外一個(gè)重要的原因是域中的計(jì)算機(jī)需要利用DNS 提供的SRV 記錄來定位域控制器，因此我們?cè)趧?chuàng)建域之前需要先做好DNS 的準(zhǔn)備工作。那么究竟由哪臺(tái)計(jì)算機(jī)來負(fù)責(zé)做DNS 服務(wù)器呢？一般工程師有兩種選擇，要么使用域控制器來做DNS 服務(wù)器，要么使用一臺(tái)單獨(dú)的DNS 服務(wù)器。我一般使用一臺(tái)獨(dú)立的計(jì)算機(jī)來充當(dāng)DNS 服務(wù)器，這臺(tái)D NS 服務(wù)器不但為域提供解析服務(wù)，也為公司其他的業(yè)務(wù)提供DNS 解析支持，大家可以根據(jù)具體的網(wǎng)絡(luò)環(huán)境來選擇DNS 服務(wù)器。

在創(chuàng)建域之前，DNS 服務(wù)器需要做好哪些準(zhǔn)備工作呢？

1 創(chuàng)建區(qū)域并允許動(dòng)態(tài)更新

首先我們要在DNS 服務(wù)器上創(chuàng)建出一個(gè)區(qū)域，區(qū)域的名稱和域名相同，域內(nèi)計(jì)算機(jī)的DNS 記錄都創(chuàng)建在這個(gè)區(qū)域中。我們?cè)贒NS 服務(wù)器上打開DNS 管理器，如下圖所示，右鍵單擊正向查找區(qū)域，選擇新建一個(gè)區(qū)域。出現(xiàn)新建區(qū)域向?qū)Ш?，點(diǎn)擊下一步繼續(xù)。

區(qū)域類型選擇“主要區(qū)域”。

區(qū)域名稱和域名相同，是adtest.com 。

區(qū)域一定要允許動(dòng)態(tài)更新，因?yàn)樵趧?chuàng)建域的過程中需要向DNS 區(qū)域中寫入A 記錄，SRV 記錄和Cname 記錄。

區(qū)域創(chuàng)建完畢，點(diǎn)擊完成結(jié)束創(chuàng)建。

2 檢查NS 和SOA 記錄

區(qū)域創(chuàng)建完成后，一定要檢查一下區(qū)域的NS 記錄和SOA 記錄。在前面的DN S 課程中，我們已經(jīng)介紹了NS 記錄和SOA 記錄的意義，NS 記錄描述了有多少個(gè)DNS 服務(wù)器可以解析這個(gè)區(qū)域，SOA 記錄描述了哪個(gè)DNS 服務(wù)器是區(qū)域的主服務(wù)器。如果NS 記錄和SOA 記錄出錯(cuò)，域的創(chuàng)建過程中就無法向DNS 區(qū)域中寫入應(yīng)有的記錄。在DNS 服務(wù)器上打開DNS 管理器，在adtest.com

區(qū)域中檢查ns 記錄，如下圖所示，我們發(fā)現(xiàn)ns 記錄不是一個(gè)有效的完全合格域名，我們需要對(duì)它進(jìn)行修改。

如下圖所示，我們把ns 記錄改為 ns.adtest.com. ，解析出的IP 地址和DNS 服務(wù)器的IP 是吻合的，這樣我們就完成了ns 記錄的修改。

如下圖所示，我們把區(qū)域的SOA 記錄也同樣進(jìn)行修改，現(xiàn)在區(qū)域的主服務(wù)器是ns.adtest.com. ，這樣SOA 記錄也修改完畢了。

至此，DNS 準(zhǔn)備工作完成，我們接下來可以部署域了。

二 創(chuàng)建域控制器

有了DNS 的支持，我們現(xiàn)在可以開始創(chuàng)建域控制器了，域控制器是域中的第一臺(tái)服務(wù)器，域控制器上存儲(chǔ)著Active Directory ，可以說，域控制器就是域的靈魂。我們準(zhǔn)備在Florence 上創(chuàng)建域控制器，首先檢查Florence 網(wǎng)卡的TCP /IP屬性，注意，F(xiàn)lorence 應(yīng)該使用192.168.11.1作為自己的DNS 服務(wù)器。因?yàn)槲覀儎倓傇?92.168.11.1上創(chuàng)建了adtest.com 區(qū)域。

如下圖所示，在Florence 上運(yùn)行Dcpromo ，開始域控制器的創(chuàng)建。

如下圖所示，出現(xiàn)Active Directory 安裝向?qū)?，?chuàng)建域控制器其實(shí)就是在Flor ence 上安裝一個(gè)Active Directory 數(shù)據(jù)庫，點(diǎn)擊下一步繼續(xù)。

Adtest.com 是一個(gè)新創(chuàng)建的域，因?yàn)槲覀冞x擇創(chuàng)建“新域的域控制器”。

如下圖所示，我們選擇創(chuàng)建一個(gè)“在新林中的域”，這個(gè)選項(xiàng)是什么意思呢？我們雖然只是簡(jiǎn)單地創(chuàng)建了一個(gè)域，但其實(shí)從邏輯上講是創(chuàng)建了一個(gè)域林。因?yàn)橛蛞欢ㄒ`屬于域樹，域樹一定要隸屬于域林。因?yàn)槲覀儗?shí)際上是創(chuàng)建了一個(gè)域林，雖然這個(gè)域林內(nèi)只有一棵域樹，域樹內(nèi)只有一個(gè)樹根。

輸入域的DNS 名稱，adtest.com 。

域的NETBIOS 名稱是ADTEST ，由于. 在NETBIOS 名稱中是非法字符，因?yàn)榛旧嫌虻腘ETBIOS 名稱就是域名中. 之前的部分。

Active Directory 數(shù)據(jù)庫的路徑我們使用了默認(rèn)值，如果在生產(chǎn)環(huán)境，可以考慮把數(shù)據(jù)庫和日志部分分開存儲(chǔ)。

Sysvol 文件夾的路徑我們也使用默認(rèn)值，至于Sysvol 文件夾是干嘛的，我們后續(xù)會(huì)有介紹。