單元一：Windows Server 2008域與活動目錄任務(wù)一：安裝Windows Server 2008域控制器任務(wù)描述：企業(yè)網(wǎng)絡(luò)采用域的組織結(jié)構(gòu)，可以使得局域網(wǎng)的管理工作變得更集中、更容易、更方

單元一：Windows Server 2008域與活動目錄

任務(wù)一：安裝Windows Server 2008域控制器

任務(wù)描述：

企業(yè)網(wǎng)絡(luò)采用域的組織結(jié)構(gòu)，可以使得局域網(wǎng)的管理工作變得更集中、更容易、更方便。雖然活動目錄具有強大的功能，但是安裝Windows Server 2008操作系統(tǒng)時并未自動生成活動目錄。因此，管理員必須通過安裝活動目錄來建立域控制器，并通過活動目錄的管理來實現(xiàn)針對各種對象的動態(tài)管理與服務(wù)。同時客戶機登錄域的操作也是組建域網(wǎng)絡(luò)必不可少的部分，也是網(wǎng)絡(luò)管理員應(yīng)該熟練掌握的基本技能之一。

任務(wù)目標：

作為網(wǎng)絡(luò)管理員，只有明確安裝域控制器的條件和準備工作，掌握域網(wǎng)絡(luò)的組建流程和操作技術(shù)，才能在服務(wù)器上安裝好Windows Server 2008操作系統(tǒng)。為此，可以啟用活動目錄安裝向?qū)?，成功安裝活動目錄后，將使得一個獨立服務(wù)器升級為域控制器。同時通過任務(wù)，還應(yīng)能夠區(qū)分登錄窗口，例如是登錄域不是登錄本機的登錄框。

任務(wù)實施：

一、建立第一臺域控制器：

活動目錄是Windows Server 2008非常關(guān)鍵的服務(wù)，它不是孤立的，與許多協(xié)議和服務(wù)有著非常緊密的關(guān)系，并涉及整個操作系統(tǒng)的結(jié)構(gòu)和安全。因此，活動目錄的安裝并非一般Windows 組件那樣簡單，必須在安裝前完成一系列的準備，注意事項如下：

（1）文件系統(tǒng)和網(wǎng)絡(luò)協(xié)議：Windows Server 2008所在的分區(qū)必須是NTFS 文件系統(tǒng)，同樣活動目錄必須安裝在NTFS 分區(qū)，同時計算機上要正確安裝了網(wǎng)卡驅(qū)動程序，并啟用了TCP/IP協(xié)議。

（2）域結(jié)構(gòu)規(guī)劃：活動目錄可包含多個域，只有合理地規(guī)劃目錄結(jié)構(gòu)，才能充分發(fā)揮活動目錄的優(yōu)越性。在組建一個全新的Windows Server 2008網(wǎng)絡(luò)時，所安裝的第一臺域控制器將生成第一個域，這個域也被稱為根域，選擇根域最為關(guān)鍵。根域名字的選擇可以有以下幾種方案：

使用一個已經(jīng)注冊的DNS 域名作為活動目的根域名，使得企業(yè)的公共網(wǎng)絡(luò)

和私有網(wǎng)絡(luò)使用同樣的DNS 名字。

使用一個已經(jīng)注冊的DNS 域名的子域名作為活動目錄的根域名。

活動目錄使用與已經(jīng)注冊的DNS 域名完全不同的域名，使企業(yè)網(wǎng)絡(luò)在內(nèi)部和互聯(lián)網(wǎng)上呈現(xiàn)出兩種完全不同的命名結(jié)構(gòu)。

（3）域名策劃：目錄域名通常是該域的完整DNS 名稱，如“abc.net ”。同時，為了確保向下兼容，每個域還應(yīng)當有一個與Windows 2000 Server 以前版本相兼容的名稱，如“abc ”。

以圖1-1中的拓撲為樣本，在該網(wǎng)絡(luò)的域林中有兩個域樹：nos.com 和nos.net ，其中nos.com 域樹下有win.nos.com 子域，在nos.com 域中有兩個域控制器，a.nos.com 和b.nos.com ；win.nos.com 子域中除了有一個域控制器（b.win.nos.com ）外，還有一個成員服務(wù)器（a.win.nos.com ）。我們先創(chuàng)建nos.com 域樹，然后再創(chuàng)建nos.net 域樹，將其加入到林中。

用戶要將自己的服務(wù)器配置成域控制器，應(yīng)該首先安裝活動目錄，以發(fā)揮活動目錄的作用。系統(tǒng)提供的活動目錄安裝向?qū)?，可以幫助用戶配置自己的服?wù)器，如果網(wǎng)絡(luò)沒有其它域控制器，可將服務(wù)器配置為域控制器，并新建子域、新建域目錄樹。如果網(wǎng)絡(luò)中有其它域控制器，可以服務(wù)器設(shè)置為附加域控制器，

加

入舊域、舊目錄樹。

在配置各個服務(wù)器前要先更改機器的名字！

在Windows Server 2008中安裝活動目錄可以參照下述步驟進行操作：

（1）首先確認“本地連接”屬性TCP/IP首選DNS 是否指向了本機，然后選擇“開始”→“服務(wù)器管理器”命令打開服務(wù)器管理器，在左側(cè)選擇“角色”一項之后，單擊右部區(qū)域的“添加角色”鏈接，并且在如圖所示的對話框中選擇“Active Directory 域服務(wù)”復(fù)選框。

（2）單擊“下一步”按鈕繼續(xù)操作，在如圖所示的對話框中，針對域服務(wù)進行相關(guān)的介紹。

（3）單擊“下一步”按鈕繼續(xù)操作，在如圖所示的對話框中顯示了安裝域服務(wù)的相關(guān)信息，確認安裝可以單擊“安裝”按鈕。

（4）域服務(wù)安裝完成之后，可以在如圖所示的對話框中查看到當前計算機已經(jīng)安裝了Active Directory域控制器，單擊“關(guān)閉”按鈕退出添加角色向?qū)υ捒颉?/p>

（5）返回服務(wù)器管理器窗口，在如圖所示的窗口中可以查看到Active Directory 域服務(wù)已經(jīng)安裝，但是還沒有將當前服務(wù)器作為域控制器運行，因此需要單擊右部窗格中藍色的“運行Active Directory 域服務(wù)安裝向?qū)В╠cpromo.exe ）”鏈接來繼續(xù)安裝域服務(wù)。也可以單擊“開始”菜單 ，在搜索欄中輸入dcpromo.exe 命令打開域服務(wù)安裝向?qū)А?/p>

（6）域服務(wù)安裝向?qū)У臍g迎界面中可以選擇“使用高級模式安裝”

復(fù)選框，

這樣可以針對域服務(wù)器更多的高級選項部分進行設(shè)置，如圖所示，單擊“下一步”按鈕繼續(xù)操作。

（7）在如圖所示的“操作系統(tǒng)兼容性”窗口中，簡介介紹了Windowws Server 2008域控制器和以前版本的Windows 之間有可能存在兼容性問題，可以了解下相關(guān)知識，單擊“下一步”按鈕。

（8）在如圖所示的“選擇某一部署配置”窗口中，如果以前曾在該服務(wù)器上安裝過Active Directory

，可以選擇“現(xiàn)有林”下的“向現(xiàn)有域添加域控制

器”或“在現(xiàn)有林中新建域”選項；如果是第一次安裝，則建議選擇“在新林中新建域”選項，然后再單擊“下一步”按鈕繼續(xù)操作。

（9）在如圖所示的“命令林根域”窗口中，輸入目錄林根級域的FQDN ，在此輸入“nos.com ”，單擊“下一步”按鈕繼續(xù)操作

（10）在如圖所示的“域NetBIOS ”窗口中，系統(tǒng)會自動出現(xiàn)默認的NetBIOS 名稱，此時可以直接單擊“下一步”按鈕。NetBIOS

名稱的意義在于，讓其它早

期Windows 版本的用戶可以識別新域。

（11）在如圖所示的“設(shè)置林功能級別”窗口中，可以選擇多個不同的林功能級別“Windows 2000”、“Windows Server 2003”、“Windows Server 2008”，考慮到網(wǎng)絡(luò)中有低版本的Windows 系統(tǒng)計算機，此時建議選擇“Windows 2000”一項，然后單擊“下一步”按鈕。

提示：林和域的功能級越高，兼容性越小，但是能使用更多域的功能。要注意的是，功能級的提升是單向的，例如選擇Windows Server 2008的林功能級別，就不能再降為Windows Server 2003或是Windows 2000。

（12）在如圖所示的“設(shè)置域功能級別”窗口中，可以選擇多個不同的域功能級別“Windows 2000純模式”、“Windows Server 2003”、“Windows Server 2008”，考慮到網(wǎng)絡(luò)中有低版本的Windows 系統(tǒng)計算機，此時建議選擇“Windows 2000純模式” 一項。

（13）單擊“按鈕，在如圖所示的“其他域控制器選項”窗口中，可以對域控制器的其他方面進行設(shè)置。系統(tǒng)會檢測是否有已安裝好的DNS ，由于沒有安裝其他的DNS 服務(wù)器，系統(tǒng)會自動選擇“DNS 服務(wù)器”復(fù)選框來一并安裝DNS 服務(wù)，使得該域控制器同時也作為一臺DNS 服務(wù)器，該域的DNS 區(qū)域及該區(qū)域的授權(quán)會被自動創(chuàng)建。由于林中的第一臺域控制器必須是全局編錄服務(wù)器，且不能是只讀域控制器（RODC ），所以這兩項為不可選狀態(tài)。