Windons-server2012服务器Active Directory域创建

域服务器的作用是：

1.安全集中管理，统一安全策略 。
2.软件集中管理，按照公司要求限定所有机器只能运行必需的办公软件。
3.环境集中管理，利用AD可以统一客户端桌面,IE,TCP/IP等设置
4.活动目录是企业基础架构的根本，为公司整体统一管理做基础。其它isa,exchange,防病毒服务器，补丁分发服务器，文件服务器等服务依赖于域服务器。

环境

DC1：193.5.1.199

DC2：193.5.1.160（还未创建）

server:193.5.1.154（测试，后续删除，成员服务器）

PC1:193.5.1.191

 子网掩码 255.255.255.0 网关193.5.1.1

域名：gsld.com

创建域的必备条件

• DNS域名：先要想好一个符合dns格式的域名，如 gsld.com
• DNS服务器：域中需要将自己注册到DNS服务器内，让其他计算机通过DNS服务器来找到这台机器，因此需要一台可支持AD的DNS服务器，并且支持动态更新（如果现在没有DNS服务器，则可以在创建域的过程中，选择这台域控上安装DNS服务器）
• 存储位置：AD需要一个SYSVOL文件夹来存储域共享文件（例如域组策略有关的文件），该文件夹必须位于NTFS磁盘，系统默认创建在系统盘，为了性能建议按照到其他分区。

创建网络中的第一台域控制器

• 先修改ip地址，并且将dns指向自己，并且修改计算机名为DC1，升级成域控后，机器名称会自动变成DC1.gsld.com

这台电脑右击——属性——更改设置

安装域功能

打开服务器管理器

选择目标服务器

选择AD域服务

提升为域控制器

添加新林

此林根域名不要与对外服务器的DNS名称相同，如对外服务的DNS URL为http://www.contoso.com，则内部的林根域名就不能是contoso.com，否则未来可能会有兼容问题。下一步

·

默认设置就行（server2012向之前的版本兼容）

• 默认会直接在此服务器上安装DNS服务器
• 第一台域控制器必须是全局编录服务器的角色
• 第一台域控制器不可以是只读域控制器（RODC）这个角色是win 2008时新出来的功能

• 设置目录还原密码。

  目录还原模式是一个安全模式，可以开机进入安全模式时修复AD数据库，但是必须使用此密码

下一步，出现此警告无需理会

系统会自动创建一个netbios名称，可以更改。

不支持DNS域名的旧系统，如win98 winnt需要通过netbios名来进行通信

• 数据库文件夹：用了存储AD数据库
• 日志文件文件夹：用了存储AD的更改记录，此记录可以用来修复AD数据库

• SYSVOL文件夹：用了存储域共享文件（例如组策略）

如果计算机内有多个硬盘，建议将数据库与日志文件夹分别设置到不同的硬盘内，分两个硬盘可以提供运行效率，而且分开存储可以避免两份数据同时出现问题，以提高修复AD的能力。

顺利通过检查，直接安装

安装完成重启

检查DNS服务器内的记录是否完备

域控会将自己扮演的角色注册到DNS服务器内，以便让其他计算机能够通过DNS服务器来找到域控。因此先检查DNS服务器内是否已经存在这些记录。需要用域管理员账户来登陆gsld\administrator.

检查主机记录

选择管理工具-dns

默认会有一个gsld.com的区域，主机记录表示域控dc.contoso.com已经正确的将其主机名与IP地址注册到DNS服务器内。

如果域控制器已经正确的将家里注册到dns服务器，应该还会有_tcp _udp等文件夹。单击_tcp文件夹后可以看到数据类型为服务位置(SRV)的_ldap记录，表示dc1.contoso.com已经正确的注册为域控制器。还能看到_gc记录全局编录也是由dc1.contoso.com所扮演。

排除注册失败的问题

如果域成员本身的设置或者网络问题，会造成无法将数据注册到DNS服务器。

如果有成员计算机的主机与ip没有正确注册到DNS服务器，可以到此机器上运行ipconfig /registerdns来手动注册。完成后，到DNS服务器检查是否已有正确记录，例如server1.gsld.com，ip地址193.5.1.154则坚持区域contoso.com是否有对应的a记录和ip。

如果发现域控制器没有将其扮演的角色注册到dns服务器，也就是没有_tcp文件夹与记录，到服务器中重启netlogon服务

创建更多的域控制器

如果一个域内有多个域控制器，可以有如下好处.

• 提高用户登录的效率：如果同时有多台域控制器对客户提供服务，可以分担审核用户登录身份（账户与密码）的负担，让用户登录效率更佳。
• 排错功能：如果有域控制器发生故障，此时依然能有其他正常的域控制器继续提供域服务器。

我们将dc2.gsld.com升级为域控制器

首先改名，改ip

和第一台域控制器一样安装功能

这里不同，将域控添加到现有域，输入域名gsld.com，并且输入现有权限添加域控的账户gsld\administrator的密码

只有Enterprise Admins和Domain Admins内的用户有权限创建其他域控制器。

选择从其他域控复制

安装完成后机器会重启，然后在检查DNS记录。

修改dns指向

修改dc1和dc2的dns互相将各自的首选dns指向对方域控

将windows计算机加入或脱离域

Windows加入域后，就可以访问ad数据库和其他域资源。可以被加域的计算机：

Windows server 2012(R2)

Windows server 2008(R2)

Windows server 2003(R2)

Windows 8

Windows 7

Windows vista

Windows xp

将windows计算机加入域

我们要将server.contoso.com机器加入域。

先将机器改名改ip。

输入域名和域账户密码

如果报错，请检查dns是否指向域控。

完成后我们可以使用域账户登录此台服务器

计算机名后已自动加上域名

脱离域

只要输入工作组并点击确定