部署域/验证域
Active Directory需要至少NTFS文件系统支持,主要用于存储“SYSVOL”文件夹内容。如果磁盘不是NTFS分区,可以使用“Convert C:/fs:ntfs”命令转换。注意:Windows Server 2012中使用最新的文件系统“Resilient File System(ReFS)”。
部署AD DS域服务时,针对不同域控制器需要使用不用管理员权限,包括:
・安装第一个域中的第一台域控制器需要本地管理员权限,从而创建新的目录林。
・如果在现有域中安装额外域控制器,需要具有该域的域管理员权限。
・如果创建子域,则需要企业级管理员权限。
DNS配置
Windows网络中部署AD DS域服务,建议在网络中部署“集成区域DNS服务”,即域控制器同时兼任DNS服务器。优点是DNS信息存储在活动目录数据库中。网络中部署多台域控制器后,DNS数据通过所有域之间的活动目录数据库复制自动完成数据同步。
域名结构
活动目录名字使用DNS全限定域名格式(FQDN),例如book.com。禁止使用“NetBios”名称作为域名,例如book。
部署网络中第一台域服务器
自Windows Server 2003之后,网络中所有域控制器都是平行关系,但是第一台域控制器和其他域控制器之间存在区别,因此第一台域控制器部署十分重要。第一台域控制器默认作为林的根域服务器,同时安装五种操作主机角色。
Windows Server 2012操作系统是运行“AD DS域服务”的系统平台,“AD DS域服务”运行在操作系统之上。“AD DS域服务”与普通的服务一样可以单独启动或者关闭。Windows Server 2012 AD DS域服务默认通过向导方式部署,已经取消“dcpromo.exe”命令方式部署。
安装向导提供三种Active Directory安装模式:
・将域控制器添加到现有域。完成的功能为网络部署多台域控制器。
・将新域添加到现有林。完成的功能为现有林中添加新域,创建另一棵全新的域树。
・添加新林。完成的功能为创建新林、新域。
设置“目录还原模式”密码,注意该密码和域管理员密码不同。“目录还原模式”主要用来还原Active Directory数据库。该密码必须符合Windows Server 2012的强密码策略,该密码不需要和域管理员密码相同。
提示:
强密码策略
Windows Server 2012系统中,默认“密码策略”启用“密码必须符合复杂性要求(强密码)”设置,对用户密码设置有如下要求。
・不包含全部或部分的用户账户名
・长度至少为7个字符。
包含以下4种类型字符中的3中字符:英文大写字母(从A到Z)、英文小写字母(从a到z)、10个基本数字(从0到9)以及非字母字符(例如!、$、#、%)
设置Active Directory数据库文件夹、Active Directory日志文件文件夹以及SYSVOL文件夹的位置,建议将数据库文件夹、日志文件文件夹和SYSVOL文件夹分别存储在:
・不同的物理磁盘中
・运行Raid 5的磁盘阵列
・其他专业存储设备中。
验证第一台域控制器是否成功部署
验证“AD DS域服务”
自Windows Server 2008版本发布之后,AD DS域服务成为一个普通的服务,通过“服务”控制台可以查看AD DS域服务运行状态,可以同普通服务一样启动、停止、暂停、重新启动服务,不需要和Windows Server 2008之前的版本一样,只有在重新启动域控制器并进入到“目录还原模式”后,才能维护活动目录服务。
AD DS域服务部署完成后,默认部署2个和AD DS域服务直接相关的服务:Active Diretory Domain Services(ADDS)服务和Active Directory Web Services(ADWS)服务,这2个服务默认处于“正在运行”状态。
验证“Domain Controllers”
默认的域控制器管理单元为“Domain Controllers”,包含第一个域控制器(DC),另外还是新域控制器(额外域控制器、只读域控制器)的默认容器。其他域控制器安装后,将自动归并到该组织单元中。
验证“Default-First-Site-Name”
将服务器提升为域控制器过程中,安装向导自动确定该域控制器属于哪个站点的成员。如果新建域控制器是新林中的第一个域控制器,将创建名称为“Default-First-Site-Name”的默认站点,第一台域控制器称为该站点的第一个成员。
验证“Active Directory数据库”和“日志文件”
服务器提升为域控制器过程中,“路径”对话框设置Active Directory数据库和日志文件的存储位置,默认位于“%Systemroot%\Ntds”文件夹中,其中:
・Active Directory数据库文件“Ntds.dit”,存储域控制器中所有活动目录对象。扩展名“dit”,全称为“Direcory Informatin Tree”,中文直译为“目录信息树”。
・事务日志文件“edb.log”
*该文件保存Active Directory操作信息,默认事务日志名为edb.log,每个事务日志文件大小为10MB。
*当edb.log写满时被重命名为edbxxx.log,重新建立一个新日志文件,同时旧日志文件被自动删除。其中xxxx是文件编号,从0001开始逐渐递增。
*Active Directory将事务日志写入到内存的同时,将事务日志写到日志文件edb.log。如果系统不正常关机,导致内存尚未写入Active Directory数据库的数据丢失,当开机后系统根据检查点文件edb.chk得知要从事务日志文件edb.log内的哪个数据开始,利用事务日志文件edb.log内的日志记录,将关机前尚未写入Active Directory数据库日志继续写入Active Directory数据库。
・检查点文件“edb.chk”,跟踪尚未写入活动目录数据库文件的日志。记录Active Directory数据库文件和内存中Active Directory数据之间的差异,一般此文件用于Active Directory的初始化或还原。
・暂存日志文件为“edbtmp.log”。该日志是当前日志文件(Edb.log)填满时的暂时日志。
・保留日志文件“edbres00001.jrs”和“edbres00002.jrs”。这2个文件是日志保留文件,仅当含有日志文件的磁盘空间不足时使用。如果当前日志文件填满且由于磁盘剩余空间不足而导致服务器不能创建新的日志文件,服务器将当前内存中的活动目录处理日志写入到两个保留日志文件中然后关闭活动目录。每一个日志文件也是10MB大小。
・临时文件“Temp.edb”。该文件在数据库维护时使用,存储维护过程中处理的数据。
验证计算机角色
由于部署网络中第一台有域控制器,也就是根域控制器,所以第一台域控制器的“计算机角色”应该为“PRIMARY”。如果是额外域控制器,“计算机角色”应该为“BACKUP”。
net accounts,可以查看当前计算机角色状态。
验证系统共享卷“SYSVOL”和“NetLogon”服务
服务器提升为域控制器过程中,“路径”对话框设置Active Directory数据库、日志文件以及系统共享卷的存储位置,系统共享卷默认位于“%Systemroot%\SYSVOL”文件夹中。
1、验证活动目录的sysvol文件夹结构
AD DS域服务安装完成后,“%Systemroot%\sysvol”目录下将创建名称为“domain”、"staging"、“stagin areas”、“sysvol”的目录。
2、验证系统共享卷“SYSVOL”和“NetLogon”
net share,可显示该域控制器中发布的共享
登录域控制器或者网络中任何一台客户端计算机,通过“\\dc”和“\\dc.book.com”访问发布的系统共享卷“SYSVOL”和“NetLogon”。
3、默认域策略和默认域控制器策略
安装过程中,Active Directory将创建两个标准域策略:“默认域”策略和“默认域控制器”策略(位于%Systemroot%\Sysvol\'Domain'、Policies文件夹中)。这些策略显示为一下全局唯一标识符(GUID)。
・{31B2F340-016D-11D2-945F-00C04FB984F9}:表示“默认域”策略
・{6AC1786C-016F-11D2-945F-00C04fB984F9}:表示“默认域控制器”策略
4、验证目录服务器
dcdiag /test:netlogons
命令执行后,显示测试结果。如果正常安装域控制器,将显示测试成功信息
验证“SRV记录”
测试域控制器FQDN名称的连通性
Ping ‘别名’._msdcs.'域名'.com
验证DSMO操作主机角色
服务器提升为域控制器过程中,第一台域控制器中将创建五种操作系统主机角色
Netdom query fsmo
命令执行后,显示五种操作主机角色所在的域控制器。注意,“Netdom”已经内置,不需要安装其他工具包。
常见问题
更改域控制器IP地址后
停止NETLOGON服务 Net stop NETLOGON
重启NETLOGON服务 NET Start NETLOGON
重新注册DNS信息 IPconfig /registerdns
DNS服务器验证所有新主机记录(A记录)
打开DNS管理控制台,删除所有和原域控制器IP地址相关的A记录,并验证新A记录是否更新成功,和A记录相关的选项包括:
・DNS服务器名称-“正向查找区域”-“_msdcs.'域名'.com”-“gc”
・DNS服务器名称-“正向查找区域”-“.'域名'.com”选项
・DNS服务器名称-“正向查找区域”-“.'域名'.com”-“DomainDnsZones”
・DNS服务器名称-“正向查找区域”-“.'域名'.com”-“ForestDnsZones”选项
删除并重建“反向查找区域”
如果DNS服务器中部署“反向查找区域”,建议按照以下流程操作
第1步,删除“反向查找区域”
第2步,重建“反向查找区域”
第3步,域控制器重建PTR记录。
第9步,重新启动域控制器
第10步:验证域控制器的状态
最后,Dcdiag测试当前域控制器的状态。
重命名域控制器
重命名域控制器时,需要为域控制器确定一个新的FQDN名称。域控制器计算机账号必须包含更新的SPN属性,域内的权威DNS服务器必须包含域控制器新计算机名的主机记录。新旧计算机名在更新过程中同时存在,直到移除旧的计算机名。这样才可以确保与控制器在重命名时客户端的连接不会因此而中断,直至此域控制器重启启动。
本例中域控制器FQDN名称为dc01.book.com,重命名为dc.book.com。
第1步:验证域控制器的FQDN名称
netdom computername dc01.book.com /enumerate
第2步:域控制器添加新FQDN名称
netdom computername dc01.book.com /add:dc.book.com
该命令更新计算机账户在Active Directory数据库中的服务主体名称(SPN)属性,并在DNS服务器中注册新计算机名资源记录(SRV)。计算机账户SPN值必须复制到该域的所有域控制器,新计算机名DNS资源记录必须同步到该域名的所有授权DNS服务器。如果在删除旧计算机名之前没有进行更新和注册,某些客户端可能无法使用新名或旧名找到目标计算机。
执行命令:
netdom computername cd01.book.com /enumerate
查看域控制器所有可用的FQDN名称。
第3步:将新FQDN名称设置为在线模式
netdom computername dc01.book.com /add:dc.book.com
命令执行后,为域控制器添加新FQDN名称
执行命令:
netdom computername dc01.book.com /makeprimary:dc.book.com
命令执行后,将FQDN名称dc.book.com设置为在线模式。注意:只有重启域控制器后,新FQDN名称才生效。
第4步:重启域控制器
第5步:删除原FQDN名称
netdom computername dc.book.com /remove:dc01.book.com
命令执行后,删除原FQDN名称
执行命令:
netdom computername dc.book.com /enumerate
命令执行后,显示域控制器的FQDN名称已经更新为新FQDN名称。
第6步:验证DNS服务器中域控制器的主机记录
打开DNS控制台,选择“DNS服务器名称”-“正向查找区域”-“book.com(域名)”选项,右侧列表中显示所有可用的计算机名称。右击“dc01”的主机记录,在弹出的快捷菜单中选择“删除”命令。命令执行后,删除原主机记录。
选择“DNS服务器名称”-“正向查找区域”-“.book.com”-“_sites”-“Default-First-site-Name”-“_tcp”选项,验证SRV记录是否更新为新FQDN名称。
第7步:验证主机角色所在的域控制器
Netdom query fsmo
命令执行后,显示五种操作主机角色所在的域控制器。
确认正确后,成功重命令域控制器。