大家都很清楚網路控制站是 AD 網域中最重要的伺服器,除了要建置兩台以上來維持容錯的功能之外,平時規律的系統資料備份也是非常重要的。
網域控制站是指在網域中主控資料複本的伺服器。網域控制站會提供 Active Directory 目錄服務給網路使用者和電腦,該服務可存放和複寫目錄資料,並管理使用者與網域間的互動,包括使用者登入處理程序、驗證及目錄搜尋。每個網域必須至少有一 台網域控制站。除非是限定的授權合約者,否則任何成員或獨立伺服器都必須先安裝 Active Directory 才能安裝網域控制站。
當在您的組織安裝第一台網域控制站時,您建立的是第一個網域 (又稱為根網域) 及第一個樹系。您可以在現存的網域新增其他的網域控制站以提供容錯性、改善服務可用性及平衡現存網域控制站的負載。
您也可安裝網域控制站以建立一個新的子網域或新的網域樹狀目錄。當需要的新網域與至少一個網域共用連續名稱區時,請建立新的子 網域。這表示新網域的名稱會包含父系網域的全名。例如,sales.microsoft.com 是 microsoft.com 的子網域。
只有當所需要的網域,其網域名稱系統 (DNS) 名稱區在樹系中和其他的網域無關時,才建立新的網域樹狀目錄。
這表示新網域的樹狀根網域 (及其所有子網域) 的名稱沒有包含父系網域的全名。樹系可以包含一或多個網域樹狀結構。
建立網域的方法是先安裝一台獨立伺服器或成員伺服器,然後再將其升級為網
域控制站,因此請先準備好扮演獨立伺服器或成員伺服器角色的Windows
Server 2003, Windows Server 2008, Standard Edition、Enterprise Edition或是Datacenter Edition。
為了因應企業截然不同的應用需求,有時負責管理網域運作的網域主控站,也必須經過適當的調校,才能正常提供服務。
Active Directory(AD)是許多企業廣泛使用的管理工具,在網域的樹系結構之下,內部網路各處的電腦、印表機、共享資源,乃至於使用者等物件(Object)皆可透過AD統一管理。
然而,AD在建置上仍有一些需要注意的,例如為了因應企業之間截然不同的應用需求,有時負責管理網域運作的網域主控站(Domain Controller,DC)也必須經過適當的調校,才能正常提供服務。
建立AD DS網域_建立第1台網域控制站_利用Windows視窗介面安裝
Step1:電腦名稱與IP位址的設定
1.先在圖中左上角的伺服器dc1.sayms.com上安裝Windows Server 2008。
2.將其電腦名稱設定為「dc1」
(電腦名稱為dc1即可,等升級為網域控制站後,它會自動被改為dc1.sayms.com)。
3.IP位址、DNS伺服器等依照圖所示來設定(可取消勾選TCP/IPv6)。
Step2:安裝Active Directory網域服務
點選【開始è系統管理工具è伺服器管理員】
Step3:點選左側窗格的「角色」,接著在右邊窗格中點選「新增角色」。
Step4:出現「在您開始前」畫面時直接按「下一步」鈕。
Step5:勾選「Active Directory網域服務」後按「下一步」鈕。
Step6:在「Active Directory網域服務」畫面中按「下一步」鈕。
Step7:在「確認安裝選項」畫面中按「安裝」鈕。
Step8:安裝完成後,按「關閉」鈕。
由圖中可知還必須執行「Active Directory網域服務安裝精靈(dcpromo.exe)」後,這台伺服器才會成為功能完整的網域控制站。
Step9:先點選「角色」處的「Active Directory網域服務」,接著再點選「請執行Active Directory網域服務安裝精靈(dcpromo.exe)」。
Step10:如圖所示勾選「使用進階模式安裝」後按「下一步」鈕。
Step11:在出現如圖所示的作業系統相容性畫面時按「下一步」鈕。
註:AD DS網域的群組原則:「允許Windows NT 4.0相容的密碼編譯演算法」
1.預設不允許用戶端採用安全性較差的舊式密碼編譯演算法來跟Windows Server 2008網域控制站溝通。
2.它會讓Windows NT 4.0等採用舊式演算法的用戶端無法跟Windows Server 2008網域控制站連線。
3.可以透過啟用此原則或在用戶端安裝更新程式的方式來解決此問題。
4.這個原則也會影響到SAMBA等非Microsoft的SMB用戶端與NAS儲存設備。
Step12:選擇「在新樹系內建立新網域」後按「下一步」鈕。
因為管理者帳戶「Administrator」的密碼不符合需求,故無法建立網域,按「確定」鈕。
點選【開始è系統管理工具è電腦管理】,接著點選左側窗格中「本機使用者和群組」之下的「使用者」資料夾,並在右側窗格中點選使用者帳戶「Administrator」,按右鍵,執行「設定密碼」命令。
按「繼續」鈕。
設定完密碼後,按「確定」鈕。
按「確定」鈕。
點選【開始è命令提示字元】,並輸入以下指令
「net user administrator /passwordreq:yes」,輸入完後按鍵盤的「Enter」鍵。
按「下一步」鈕。
Step13 :輸入網域名稱「sayms.com」後按「下一步」鈕。
(安裝精靈會檢查此網域名稱是否已存在於網路中,若存在的話,安裝程式會要求重新設定一個新的網域名稱。)
Step14:在圖中安裝精靈會自動設定一個符合「NetBIOS格式」的網域名稱,它讓Windows98、Windows NT等不支援DNS格式的網域名稱的舊系統可以利用NetBIOS網域名稱來存取此網域內的資源。
按「下一步」鈕。
※預設的「NetBIOS網域名稱」:
■為DNS網域名稱中第1個句點左邊的文字(例如:sayms.com中的SAYMS)。
■若預設的網域名稱在網路中已被使用,則安裝精靈會自動更換名稱。
Step15:在圖中選擇「Windows Server 2008」樹系功能等級,接著按「下一步」鈕。
注意:
若將樹系功能等級設定為「Windows 2000原生」或「Windows Server 2003」的話,則接下來安裝精靈會另外要求選擇網域功能等級,由於此處選擇的樹系功能等級為Windows Server 2008,此時網域功能等級將自動(也只能夠)被設定為Windows Server 2008,故不會出現要求選擇網域功能等級的畫面。
Step16:由圖中可知安裝精器將直接在這台伺服器上安裝DNS伺服器、同時第一台網域控制站也必須扮演「通用類別目錄伺服器」的角色、第一台網域控制站不可以是「唯讀網域控制站(RODC)」。
按「下一步」鈕。
附註:若要使用安裝在其他電腦上的DNS伺服器的話,需先在其內建立支援此網域(sayms.com)的區域,並啟用動態更新功能。
Step17:若出現以下畫面,則表示安裝精靈找不到父網域,因而無法透過父網域來委派,不過由於此sayms.com網域為根網域,並不需要透過父網域來委派,故直接按「是(Y)」鈕即可。
Step18:資料庫資料夾 :用來儲存Active Directory資料庫。
記錄檔案資料夾 :用來儲存Active Directory資料庫的異動記錄,此記錄檔可用來復原ActiveDirectory資料庫。
SYSVOL資料夾 :用來儲存網域共用檔案(例如與群組原則有關的檔案),注意它必須位於NTFS磁碟內。
按「下一步」鈕繼續。
附註:如果電腦內有多顆硬碟的話,建議將資料庫與記錄資料夾分別設定到不同硬碟內,一方面是因為兩顆硬碟分別運作,可以提高運作效率,另一方面是因為分開儲存,可以避免兩份資料同時出問題,以提高Active Directory資料庫的復原能力。
Step19:目錄服務還原模式:
是「安全模式(safe mode)」,進入此模式可以修復Active Directory資料庫。
可以在系統啟動時按F8鍵來選擇此模式,但必須輸入此處所設定的密碼。
設定「目錄服務還原模式」的系統管理員密碼,完成後按「下一步」鈕。
Step20:摘要畫面中按「下一步」鈕。
Step21:在圖中勾選完成後重新開機或完成後手動重新開機。
按「完成」鈕。
Step22:重新啟動系統後,重新登入。
完成網域控制站的安裝後:
1.電腦原本的本機使用者帳戶會被轉移到Active Directory資料庫。
2.由於它本身也是DNS伺服器,因此會將「慣用DNS伺服器」的IP位址改為代表自已的「127.0.0.1」。
建立 Windows Server 2008 網域
Lab: 建立網域中的第一台網域控制站
設定電腦名稱
設定固定IP
於伺服器管理員視窗內
安裝 Active Directory 網域服務
將現有網域控制站升級為 Windows Server 2008
[重要]
如果您想要升級 Windows 2000 Active Directory 網域至 Windows Server 2008 AD DS 網域,必須對樹系中執行 Windows 2000 的現有網域控制站執行就地升級,成為執行 Windows Server 2003 的網域控制站。然後再對這些網域控制站執行就地升級,成為 Windows Server 2008。不支援直接升級 Windows 2000 Active Directory 至 Windows Server 2008 AD DS 網域。
請先在升級程序中升級下列現有的 Windows 2000 型和 Windows Server 2003 型網域控制站:
若要在 Windows Server 2003 型網域控制站上啟動 Windows Server 2008 作業系統安裝,請在網域控制站上插入 Windows Server 2008 作業系統 DVD。或者,如果 Windows Server 2008 媒體透過網路共用,請執行 Setup.exe 命令列工具。
http://sakananote2.blogspot.com/2010/05/windows-server-2008.html
http://technet.microsoft.com/zh-tw/library/cc732825%28v=WS.10%29.aspx
網域控制站是指在網域中主控資料複本的伺服器。網域控制站會提供 Active Directory 目錄服務給網路使用者和電腦,該服務可存放和複寫目錄資料,並管理使用者與網域間的互動,包括使用者登入處理程序、驗證及目錄搜尋。每個網域必須至少有一 台網域控制站。除非是限定的授權合約者,否則任何成員或獨立伺服器都必須先安裝 Active Directory 才能安裝網域控制站。
當在您的組織安裝第一台網域控制站時,您建立的是第一個網域 (又稱為根網域) 及第一個樹系。您可以在現存的網域新增其他的網域控制站以提供容錯性、改善服務可用性及平衡現存網域控制站的負載。
您也可安裝網域控制站以建立一個新的子網域或新的網域樹狀目錄。當需要的新網域與至少一個網域共用連續名稱區時,請建立新的子 網域。這表示新網域的名稱會包含父系網域的全名。例如,sales.microsoft.com 是 microsoft.com 的子網域。
只有當所需要的網域,其網域名稱系統 (DNS) 名稱區在樹系中和其他的網域無關時,才建立新的網域樹狀目錄。
這表示新網域的樹狀根網域 (及其所有子網域) 的名稱沒有包含父系網域的全名。樹系可以包含一或多個網域樹狀結構。
建立網域的方法是先安裝一台獨立伺服器或成員伺服器,然後再將其升級為網
域控制站,因此請先準備好扮演獨立伺服器或成員伺服器角色的Windows
Server 2003, Windows Server 2008, Standard Edition、Enterprise Edition或是Datacenter Edition。
為了因應企業截然不同的應用需求,有時負責管理網域運作的網域主控站,也必須經過適當的調校,才能正常提供服務。
Active Directory(AD)是許多企業廣泛使用的管理工具,在網域的樹系結構之下,內部網路各處的電腦、印表機、共享資源,乃至於使用者等物件(Object)皆可透過AD統一管理。
然而,AD在建置上仍有一些需要注意的,例如為了因應企業之間截然不同的應用需求,有時負責管理網域運作的網域主控站(Domain Controller,DC)也必須經過適當的調校,才能正常提供服務。
建立AD DS網域_建立第1台網域控制站_利用Windows視窗介面安裝
Step1:電腦名稱與IP位址的設定
1.先在圖中左上角的伺服器dc1.sayms.com上安裝Windows Server 2008。
2.將其電腦名稱設定為「dc1」
(電腦名稱為dc1即可,等升級為網域控制站後,它會自動被改為dc1.sayms.com)。
3.IP位址、DNS伺服器等依照圖所示來設定(可取消勾選TCP/IPv6)。
Step2:安裝Active Directory網域服務
點選【開始è系統管理工具è伺服器管理員】
Step3:點選左側窗格的「角色」,接著在右邊窗格中點選「新增角色」。
Step4:出現「在您開始前」畫面時直接按「下一步」鈕。
Step5:勾選「Active Directory網域服務」後按「下一步」鈕。
Step6:在「Active Directory網域服務」畫面中按「下一步」鈕。
Step7:在「確認安裝選項」畫面中按「安裝」鈕。
Step8:安裝完成後,按「關閉」鈕。
由圖中可知還必須執行「Active Directory網域服務安裝精靈(dcpromo.exe)」後,這台伺服器才會成為功能完整的網域控制站。
Step9:先點選「角色」處的「Active Directory網域服務」,接著再點選「請執行Active Directory網域服務安裝精靈(dcpromo.exe)」。
Step10:如圖所示勾選「使用進階模式安裝」後按「下一步」鈕。
Step11:在出現如圖所示的作業系統相容性畫面時按「下一步」鈕。
註:AD DS網域的群組原則:「允許Windows NT 4.0相容的密碼編譯演算法」
1.預設不允許用戶端採用安全性較差的舊式密碼編譯演算法來跟Windows Server 2008網域控制站溝通。
2.它會讓Windows NT 4.0等採用舊式演算法的用戶端無法跟Windows Server 2008網域控制站連線。
3.可以透過啟用此原則或在用戶端安裝更新程式的方式來解決此問題。
4.這個原則也會影響到SAMBA等非Microsoft的SMB用戶端與NAS儲存設備。
Step12:選擇「在新樹系內建立新網域」後按「下一步」鈕。
因為管理者帳戶「Administrator」的密碼不符合需求,故無法建立網域,按「確定」鈕。
點選【開始è系統管理工具è電腦管理】,接著點選左側窗格中「本機使用者和群組」之下的「使用者」資料夾,並在右側窗格中點選使用者帳戶「Administrator」,按右鍵,執行「設定密碼」命令。
按「繼續」鈕。
設定完密碼後,按「確定」鈕。
按「確定」鈕。
點選【開始è命令提示字元】,並輸入以下指令
「net user administrator /passwordreq:yes」,輸入完後按鍵盤的「Enter」鍵。
按「下一步」鈕。
Step13 :輸入網域名稱「sayms.com」後按「下一步」鈕。
(安裝精靈會檢查此網域名稱是否已存在於網路中,若存在的話,安裝程式會要求重新設定一個新的網域名稱。)
Step14:在圖中安裝精靈會自動設定一個符合「NetBIOS格式」的網域名稱,它讓Windows98、Windows NT等不支援DNS格式的網域名稱的舊系統可以利用NetBIOS網域名稱來存取此網域內的資源。
按「下一步」鈕。
※預設的「NetBIOS網域名稱」:
■為DNS網域名稱中第1個句點左邊的文字(例如:sayms.com中的SAYMS)。
■若預設的網域名稱在網路中已被使用,則安裝精靈會自動更換名稱。
Step15:在圖中選擇「Windows Server 2008」樹系功能等級,接著按「下一步」鈕。
注意:
若將樹系功能等級設定為「Windows 2000原生」或「Windows Server 2003」的話,則接下來安裝精靈會另外要求選擇網域功能等級,由於此處選擇的樹系功能等級為Windows Server 2008,此時網域功能等級將自動(也只能夠)被設定為Windows Server 2008,故不會出現要求選擇網域功能等級的畫面。
Step16:由圖中可知安裝精器將直接在這台伺服器上安裝DNS伺服器、同時第一台網域控制站也必須扮演「通用類別目錄伺服器」的角色、第一台網域控制站不可以是「唯讀網域控制站(RODC)」。
按「下一步」鈕。
附註:若要使用安裝在其他電腦上的DNS伺服器的話,需先在其內建立支援此網域(sayms.com)的區域,並啟用動態更新功能。
Step17:若出現以下畫面,則表示安裝精靈找不到父網域,因而無法透過父網域來委派,不過由於此sayms.com網域為根網域,並不需要透過父網域來委派,故直接按「是(Y)」鈕即可。
Step18:資料庫資料夾 :用來儲存Active Directory資料庫。
記錄檔案資料夾 :用來儲存Active Directory資料庫的異動記錄,此記錄檔可用來復原ActiveDirectory資料庫。
SYSVOL資料夾 :用來儲存網域共用檔案(例如與群組原則有關的檔案),注意它必須位於NTFS磁碟內。
按「下一步」鈕繼續。
附註:如果電腦內有多顆硬碟的話,建議將資料庫與記錄資料夾分別設定到不同硬碟內,一方面是因為兩顆硬碟分別運作,可以提高運作效率,另一方面是因為分開儲存,可以避免兩份資料同時出問題,以提高Active Directory資料庫的復原能力。
Step19:目錄服務還原模式:
是「安全模式(safe mode)」,進入此模式可以修復Active Directory資料庫。
可以在系統啟動時按F8鍵來選擇此模式,但必須輸入此處所設定的密碼。
設定「目錄服務還原模式」的系統管理員密碼,完成後按「下一步」鈕。
Step20:摘要畫面中按「下一步」鈕。
Step21:在圖中勾選完成後重新開機或完成後手動重新開機。
按「完成」鈕。
Step22:重新啟動系統後,重新登入。
完成網域控制站的安裝後:
1.電腦原本的本機使用者帳戶會被轉移到Active Directory資料庫。
2.由於它本身也是DNS伺服器,因此會將「慣用DNS伺服器」的IP位址改為代表自已的「127.0.0.1」。
建立 Windows Server 2008 網域
Lab: 建立網域中的第一台網域控制站
設定電腦名稱
- 點選 開始
- 點選 系統管理工具
- 點選 伺服器管理員
- 於伺服器管理員內, 點選 變更系統內容
- 點選 電腦名稱標籤內的 變更
- 輸入 新的電腦名稱, 例如 AD1
- 點選 確定, 點選 確定, 點選 關閉
- 點選 立刻重新開機 讓名稱變更生效
設定固定IP
於伺服器管理員視窗內
- 點選 檢視網路連線
- 選取 區域網路( 或是相對應的網卡 ), 於上方按滑鼠右鍵, 點選內容
- 點選 Internet Protocol Version 4 ( TCP/IPv4)
- 點選 內容
- 在使用下列的 IP 位址以及 使用下列的 DNS 伺服器位址 輸入自訂的 IP 及 DNS
- 點選 確定, 點選關閉
安裝 Active Directory 網域服務
- 點選 開始
- 點選 執行
- 輸入 dcpromo , 點選確定 ( 升級 DC )
- 出現 網域服務安裝精靈 畫面, 點選 下一步
- 點選 下一步 ( 系統相容性)
- 點選 在新樹系內建立新網域, 點選 下一步
- 輸入 網域的 FQDN 例如 example.com ,點選 下一步
- 點選 樹系功能等級類型 ( Windows 2000 / Windows Server 2003 / Windows Server 2008) , 點選下一步
- 點選 網域功能等級 類型 , 點選 下一步
- 點選 下一步 ( 預設如果是第一台主機 會安裝 DNS 伺服器)
- 點選 是 ( 出現找不到 授權的父系區域 )
- 確認相關 資料庫儲存位置, 點選 下一步
- 設定 目錄服務還原模式的 Administrator 帳戶密碼, 點選下一步
- 檢視 摘要, 點選 下一步
- 點選 完成, 點選 立刻重新啟動 完成安裝
將現有網域控制站升級為 Windows Server 2008
[重要]
如果您想要升級 Windows 2000 Active Directory 網域至 Windows Server 2008 AD DS 網域,必須對樹系中執行 Windows 2000 的現有網域控制站執行就地升級,成為執行 Windows Server 2003 的網域控制站。然後再對這些網域控制站執行就地升級,成為 Windows Server 2008。不支援直接升級 Windows 2000 Active Directory 至 Windows Server 2008 AD DS 網域。
請先在升級程序中升級下列現有的 Windows 2000 型和 Windows Server 2003 型網域控制站:
- 具有網域命名操作主機角色 (又稱為彈性單一主機操作,簡稱 FSMO) 的網域控制站。這樣可確保稍後要用於網域名稱系統 (DNS) 之應用程式目錄分割的建立作業。如果您選擇不升級此網域命名主機,就必須將網域命名主機的角色傳送至 Windows Server 2008 網域控制站。 當執行 DNS 伺服器服務的網域控制站在作業系統升級至 Windows Server 2008 之後第一次重新啟動時,會嘗試訂閱現有的應用程式目錄分割,或建立應用程式目錄分割 (如果偵測不到)。如果網域命名主機不是 Windows Server 2008 型網域控制站,應用程式目錄分割的建立作業會失敗,並產生錯誤。
- 樹系根網域中具有網域主控站 (PDC) 模擬器操作主機角色的網域控制站。這樣可確保建立樹系的其他安全性主體。如需在樹系根網域中的 PDC 模擬器主機升級之後所建立之其他安全性主體的相關資訊,請參閱附錄- 升級 Active Directory 網域至 Windows Server 2008 AD DS 網域的背景資訊。
- 具有 PDC 模擬器操作主機角色的其他所有網域控制站。這樣可確保建立所有新的 Windows Server 2008 群組與群組成員資格。如果您選擇不升級各個網域的 PDC 模擬器主機,就必須將 PDC 操作主機角色傳送至 Windows Server 2008 型網域控制站。
若要在 Windows Server 2003 型網域控制站上啟動 Windows Server 2008 作業系統安裝,請在網域控制站上插入 Windows Server 2008 作業系統 DVD。或者,如果 Windows Server 2008 媒體透過網路共用,請執行 Setup.exe 命令列工具。
自動升級至 Windows Server 2008
您也可以使用回應檔案執行自動升級至 Windows Server 2008。如需如何建立新回應檔案的相關資訊,請參閱<Windows Vista 部署逐步指南>(http://go.microsoft.com/fwlink/?LinkID=66066) 中的「步驟 2:建立回應檔案」(可能為英文網頁)。
這是可用來執行自動升級至 Windows Server 2008 的回應檔案範例:
建立回應檔案之後,請使用下列程序來執行自動升級 Windows Server 2003 型網域控制站至 Windows Server 2008。
若要完成此程序,至少需要本機 Administrator 帳戶的成員資格或同等權限。 如需有關如何使用適當之帳戶與群組成員資格的詳細資訊,請參閱本機與網域預設群組(http://go.microsoft.com/fwlink/?LinkId=83477)。
根據您為電腦選取的作業系統安裝選項,本機系統管理員密碼可能是空白或不需要。在此案例中,請先在命令提示字元中執行下列命令,然後再開始安裝 AD DS:
net user Administrator /passwordreq:yes
以強式密碼取代 。
[參考來源]這是可用來執行自動升級至 Windows Server 2008 的回應檔案範例:
Machine Name Product-Key True User Name Organization Name Never 0 1 Image/Name Windows Longhorn SERVERSTANDARD Never 0 False 1 1 C True True True EN-US Domain Name Administrator Administrators True Domain Name User Name User Password 9999 1 Command To Execute "RunOnceItem0" 2 Command To Execute "Post Install Command Execute" True True
若要完成此程序,至少需要本機 Administrator 帳戶的成員資格或同等權限。 如需有關如何使用適當之帳戶與群組成員資格的詳細資訊,請參閱本機與網域預設群組(http://go.microsoft.com/fwlink/?LinkId=83477)。
根據您為電腦選取的作業系統安裝選項,本機系統管理員密碼可能是空白或不需要。在此案例中,請先在命令提示字元中執行下列命令,然後再開始安裝 AD DS:
net user Administrator
以強式密碼取代
使用回應檔案執行網域控制站就地升級至 Windows Server 2008
- 在命令提示字元中,輸入以下命令:
setup.ex /unattend:" 回應檔案的路徑 " - 按下 [ENTER]。
http://sakananote2.blogspot.com/2010/05/windows-server-2008.html
http://technet.microsoft.com/zh-tw/library/cc732825%28v=WS.10%29.aspx