当前位置:  操作系统/服务器>linux
本页文章导读:
    ▪Windows Server 2008 R2上部署Exchange Server 2010图文教程       这两个产品可谓是09年下半年微软推出的重头产品,均为64位架构,而且其功能和性能远远超出了其早期版本,在此不再对这方面的内容做过多的描述。 Windows Server 2008 R2和Exchange Server 2010的.........
    ▪WIN2008 R2 Active Directory 之二 部署企业中Windows Server 2008 R2额外域控制器       题外话——谨以此文纪念“痛苦”的交规考试以98分通过。小弟准备考驾照,最近被交规,就把博文之事放下了。哈哈哈,今天刚一通过就马上来码字儿了!  通过《部署企业中第一台Windows .........
    ▪WIN2008 R2 Active Directory 之一 部署企业中第一台Windows Server 2008 R2域控制器       前言 对于活动目录(AD)来讲,从Windows 2000到现在有非常多的文章在对其进行探讨,微软公司每推出一代新的Windows系统,这一重要服务技术不管是从功能上还是从性能上都在不断进步。在.........

[1]Windows Server 2008 R2上部署Exchange Server 2010图文教程
    来源: 互联网  发布时间: 2013-12-24

这两个产品可谓是09年下半年微软推出的重头产品,均为64位架构,而且其功能和性能远远超出了其早期版本,在此不再对这方面的内容做过多的描述。

Windows Server 2008 R2和Exchange Server 2010的结合是“完美”的。对于Exchange Server 2010的前一版本Exchange Server 2007来讲,只能运行在Windows Server 2008操作平台上,因此,想要在Windows Server 2008 R2部署Exchange 看来只能选择Exchange Server 2010版了。然而,在安装过程中将遇到一些以前没有过的问题,特别是在Exchange Server 2008 R2中有些服务被默认禁用掉了,需要重新设置使其开启,否则安装将无法进行。这些步骤可能对于早期产品的部署过程中根本都不会遇到,如果是一位Exchange Server 2007的工程师来进行操作可能还要容易上手点。但是,若是一名Exchange Server 2003的工程师来做,那么可能会让其很郁闷。

Exchange Server 2010的部署和其早期产品一样,都需要活动目录(AD)的支持。因此,只能将其部署在域环境中。另外,早期的Exchange系统在部署时如果没有需求,一般是不会去部署证书服务器的。但是Exchange Server 2010却不同,它建议要在企业中部署证书服务器,否则客户端在每次登录时都会遇到系统对企业证书的验证警告提示。虽然,不影响客户端对邮箱的访问,但是会给客户带来不友好的感觉,这一点尤其需要注意。在下面的介绍中将呈现一个没有证书服务支持的Exchange Server 2010服务器部署过程,在其中可以看出客户端遇到的警告。

实验环境以一个小型企业为例,如果其要全新部署Exchange Server 2010,目前来讲采用Windows Server 2008 R2作为系统平台是最佳的。在这台服务器上配置目录服务,让其充当域控制器(DC),DNS服务器等。接下来如果在其上直接进行Exchange Server 2010的安装,是无法通过需求程序的检查的,会被通知存在大量的错误(如图1)。

图1

各角色环境需求

因为Exchange Server 2010根据不同的角色进行安装时,要求系统的配置是不一样的。具体情况如下:

一、对于单独安装邮箱角色(MB)的服务器需要安装一下组件(如图2):

IIS以及其元数据

W3SVC服务

在目录站点中至少有存在集线器传输服务器(HUB)角色才能收发邮件

在目录站点中至少有存在客户端访问服务器(CAS)角色才能支持Outlook Web App(OWA)和Exchange ActiveSync移动电话访问

建议安装2007 Office System转换器: Microsoft筛选包(64bit)

图2

二、对于单独HUB角色的服务器需要安装一下组件(如图3):

? IIS以及其元数据

? W3SVC服务

? 将Net. Tcp端口共享服务器设置为“自动”启动

图3

三、对于单独HUB角色的服务器需要安装一下组件(如图4):

建议安装2007 Office System转换器: Microsoft 筛选包(64bit)

图4

四、对于单独UM角色的服务器需要安装一下组件(如图5):

要求安装Windows Media Encoder,即需要安装“桌面体检”组件

要求安装Windows Media Audio Voice Codec,即需要安装“桌面体检”组件

在目录站点中至少有存在集线器传输服务器(HUB)角色才能使用统一消息功能

图5

五、对于Edge角色必须单独安装,而且被部署在DMZ中,所以在此就不再过多讲述。

安装前的准备

如果采用默认的安装选择,则会自动选中MB、HUB、CAS角色。因此,服务器上先要安装IIS(如图6),

图6

并且在安装IIS时需要添加“基本身份验证”、“Windows身份验证”、“摘要试身份验证”、“动态内容压缩”、“IIS 6元数据库兼容”(如图7)。

图7

其次,通过服务管理控制台,打开“Net. Tcp Port Sharing Service”服务属性,将其默认的“禁用”启动类型改为“自动”(如图8)。

图8

最后,根据建议从http://go.microsoft.com/fwlink/?LinkId=123380下载并安装2007 Office System转换器: Microsoft 筛选包(64bit)(如图9)。

图9

具体安装步骤

1、插入Exchange Server 2010光盘,自动运行或手动运行光盘内容,在桌面上显示安装概述对话框,根据安装步骤提示进行操作。由于示例服务器为Windows Server 2008 R2系统并且安装了活动目录服务,所以Windows PowerShell v2和.NET Framework 3.5 SP1已经被安装。

注:1、Windows Server 2008 R2的PowerShell是被默认安装的

2、Windows Server 2008 R2的服务器在安装AD时,会被强制要求安装.NET Framework 3.5 SP1(如图10)

图10

因此,只需要单击“选择Exchange语言选项”,再选择“仅从DVD安装语言”(如图11)。

图11

2、选择“安装Microsoft Exchange”步骤,根据向导进行操作,在“选择Exchange Server安装类型”时,选择“Exchange Server典型安装”(如图12),单击“下一步”。

图12

3、在“Exchange组织”中写入企业的组织名称,这个名称在部署完Exchange后是无法再进行修改的,因此需再三决定(如图13),单击“下一步”。

图13

4、在“客户端设置”中,建议选择“是”(如图14),因为在目前国内企业中绝大多数用户还在使用Office 2003,所以应该兼容Outlook 2003客户端,单击“下一步”。

图14

5、在“配置客户端访问服务器外部域”中,如果需要其支持来自Internet的访问,则应该勾选“客户端访问服务器角色将面向Internet”,并填写注册的域名(如图15)。

图15

6、向导会自动准备情况检查,如果按照之前步骤进行了安装前的准备,在此只会受到关于“组织先决条件”的一条警告信息,而其它的均满足(如图16)。

图16

该警告信息提示,因为是使用的Exchange Server 2010的安装程序为其初始化活动目录的,从而对Exchange Server 2010组织做准备,由于此前整个森林中没有Exchange Server 2007服务器,因此这一组织将只支持Exchange Server 2010服务器,而早期版本的Exchange Server不被兼容。在此,选择“安装”,直到向导完成(如图17)。

图17

安装后的操作

完成安装后,如果该服务器能够访问Internet,建议对其进行更新检查,安装最新的补丁程序。即在最初的安装概述对话框中,选择“获取Exchange Server的关键更新”,服务器会使用系统的更新工具完成更新操作的。

最后,需要建立部分测试用户对其进行简单的基本测试,保证Exchange Server 2010服务器的成功安装。

注:Exchange Server 2010允许试用120天,如果需要输入序列号,可以是Exchange管理控制台(EMS)来进行操作


    
[2]WIN2008 R2 Active Directory 之二 部署企业中Windows Server 2008 R2额外域控制器
    来源: 互联网  发布时间: 2013-12-24

题外话——谨以此文纪念“痛苦”的交规考试以98分通过。小弟准备考驾照,最近被交规,就把博文之事放下了。哈哈哈,今天刚一通过就马上来码字儿了!

 通过《部署企业中第一台Windows Server 2008 R2域控制器》(http://www./article/38401.htm)已经完成了企业中Windows网络域森林的建立。但是,在企业中对于AD来讲,为了保证安全稳定运行,至少需要两台以上的物理域控制器。

在早期的Windows中可以部署备份域控制器(BDC);到WIN2K后,AD使用额外域控制器和操作主机角色来解决域控制器备份的问题;到了WIN08后,为了增加在分支机构的应用,引入了只读域控制器(RODC)概念,其和读写域控制器同时一同部署从而提高Windows AD的可用性。在此,主要讨论关于部署当前域的额外域控制器,即读写额外域控制器。

额外域控制器由于不是企业中的第一台域控制器,所以在其部署之前,亦即在创建域森林的时候就应该将其规划妥当。由此,虽然其没有首台DC部署那样需要注意的事项多,但是对于WIN08R2来讲还是有很多地方值得提及,也与早期的版本不同。

一、DC网络属性的基本配置

其配置情况主要应该参考当前网络规划和首台DC的配置而定,在此就延续前一篇文章所述内容来描述。由于首台DC被规划为同时充当DNS服务器,因此该台额外域控制器首选DNS服务器配置项中的值应该指向首台DC的IP地址(如图1)。但是,在规划时这台额外域控制器同时还要作为域中的DNS服务器,并已经安装配置好DNS服务了,而且还从首台DC同步的DNS区域数据,那么可以将首选的DNS服务器选项设置为其自身IP地址。

图1

注意:如果企业中有专门的DNS服务器存在,则需要指向这些服务器,而不能指向首台DC。

此外,同样需要将“网络和共享中心”窗口中的“公用网络”更改为“专用网络”。这样才能保证额外域控制在配置和运行中能够正常与其他服务器和客户通信。

二、准备安装AD服务

WIN08R2安装额外域控制器,依然是通过“服务器管理器”的角色添加来完成初始化的准备工作的。在角色选择过程中勾选“Active Directory域服务”(如图2),并根据向导完成初始化操作。

图2

三、完成AD服务器的安装

1、通过“运行”对话框执行“dcpromo”,打开“Active Directory域服务安装向导”(如图3),根据建议勾选“使用高级模式安装”,单击“下一步”。

图3

根据AD部署向导,仍然建议选择“使用高级模式安装”。

2、由于现在已经存在AD目录森林,所以在“选择某一部署配置”界面要选择“现有林”。因为现在是要安装额外域控制器,因此同时选中“向现有域添加域控制器”,单击“下一步”(如图4)。

图4

3、指定要将此额外域控制器安装到的森林,即为哪个森林添加额外域控制器。在这里建议填写该服务器将要安装到的域,而不要写森林中的其它域。WIN8R2在这一过程中还同时需要指定具有升级额外域控制器权限的用户。如果是在工作组中直接升级为额外域控制器,则不能用当前账户凭证进行,只能使用备用凭证。此外,即使之前将该台作为额外域控制器的服务器已经加入了域,登录进行升级操作的域用户也必须要有在域中添加删除DC权限才能直接使用当前用户凭证,否则也只能使用备用凭证进行操作(如图5)。

图5

对于不同的部署配置,AD安装向导所需要的网络凭证是不相同的,如果实现像前一节中讲述的安装新的森林,只需作为将成为林的第一个域控制器的服务器上的本地管理员组的成员。但是,若要向现有林中添加新域或删除域,必须是要添加或删除域的父域中的 Enterprise Admins 组或 Domain Admins 组的成员。Active Directory 域服务安装向导将验证凭据是否足以实现在向导中指定的部署配置,如表1中列出了添加和删除不同的域或DC所需要的权限。

表1

4、指定要将该服务器安装到哪个域,作为其额外域控制器存在(如图6)。选中之后单击“下一步”。

图6

确定当前额外域控制器物理主机放置的站点(如图7)。在早期版本中实现非首台DC的安装时是不会出现如此的操作步骤的,在进行选择的时候直接都是很含糊的进行指定,而在WIN08R2中,微软把这些步骤进行的细化,并且更加明确了。这样便于工程师在部署时更能精确的进行配置。

图7

5、单击“下一步”,配置“其它域控制器选项”(如图8)。此处,由于是安装域中的额外域控制器,对于其是否成为“DNS服务器”,“全局编录”,“只读域控制器(RODC)”在此过程中均可忽略。其原因如下:

现在森林中已经有了DNS服务器,还要将该服务器作为DNS服务器实现,则可以在完成AD安装向导后来单独实现; 对于全局编录并非在每台DC上都要建立,所以也可以按其后管理过程中根据需要进行设置。但是如果是作为某一个站点的第一台DC来讲,在这里还是有必要将其选中,因为建议每个站点至少要有一个GC; 由于在此讲述的是可读写额外域控制器的安装,因此当然是一定不能选择只读域控制器选项的了。

图8

6、单击“下一步”,向导可能会提示“结构主机配置冲突”的对话框(如图9)。如果域森林在此前只有一台DC,那么在安装额外域控制器,即第二台DC时,肯定会遇到这一提示对话框。产生这一个提示对话框的原因是因为当前域中的基础结构主机(IM)同时又承载着GC的角色。

图9

IM更新的引用信息是来自其它域的信息,即非本域信息。在以下两种情况,IM其实是不工作的:

只有一个域时,此时无论把基础结构主控放在哪都无所谓。因为没有其它域的信息需要引用。 多域环境,所有DC都是GC。这时基础结构主控也无需工作,因为所有的DC都是GC,GC拥有其它域的只读信息。

而且IM在GC上运行,将会停止更新对象信息,原因是其已包含对其所拥有的对象的引用。所以,强烈建议IM和GC不要在同一台DC上共存。在此,选择“将结构主机角色传送到此域控制器”。

7、对于WIN08R2安装额外域控制器时,可以从介质安装(IFM),而不用通过网络复制所有的目录数据。将安装介质存储在本地驱动器、可移动媒体(如 DVD)或网络共享文件夹上。执行IFM操作来创建额外域控制器,可以大大降低安装AD时所使用的网络带宽。但是,网络连接仍然是必要的,以便将所有的新对象和对现有对象的最新更改复制到新的域控制器。

创建安装介质有两种不同的方法:

建议使用Ntdsutil.exe工具来创建,通过该工具的ifm子命令可以创建安装AD目录服务所必需的文件 还可以使用还原系统状态备份并将其用作安装介质,但域控制器的系统状态备份所包含的数据通常要多于执行 IFM 操作所需的数据。

注意:若用另一个DC的备份作为安装介质,则应该使用最新的可用备份。较早的备份需要更多网络带宽来执行复制。并且所使用的备份不能比域的墓碑生存时间更早,该生存时间被默认设置为180天(早期版本的服务器上创建的林中,默认值为60天)。

但是,出于操作的方便和稳妥,在网络资源和服务器资源允许的情况下,建议还是采用通过网络复制来完成(如图10)。选择“通过网络从现有域控制器复制数据”,单击“下一步”。

图10

8、由于额外域控制器的安装,无论是从网络复制还是通过IFM来进行,都需要从现有DC中复制数据。通过“源域控制器”界面,可以手动指定将哪台现有DC作为安装期间必须复制的数据的源,也可以让该向导自动选择DC(如图11)。

图11

建议指定安装伙伴时,应选择入站和出站连接数较低的DC,并且不是重要负责使用文件复制服务(FRS)复制伙伴生产或转发更改的设备。此外,若不使用IFM,系统将在安装伙伴上创建或修改新的NTDS设置对象和新的计算机账户;安装伙伴还会将SYSVOL内容复制到新域控制器上。

注意:

只读域控制器(RODC)永远不能为安装伙伴。 如果安装 RODC,则只有运行WIN08或WIN08R2的可写域控制器才可以作为安装伙伴。 如果为现有域安装额外域控制器,则只有该域的DC可以为安装伙伴。

9、指定活动目录数据库文件、日志文件、SYSVOL文件夹存放的位置,并且设置目录还原模式的管理员密码。在“摘要”页面确认相关设置信息无误,单击“下一步”,直接进行网络复制安装额外域控制器(如图12)。

图12

此处,可以勾选“完成后重新启动”,以便安装完后自动重启更新。

四、完成后简单验证和其它操作

1、与第一台DC相同,安装完成后依然需要对其进行基本的测试和验证。

2、可以把该DC作为DNS服务器,为域中DNS进行备份。

3、为了对域内DC进行负载平衡和降低风险,可以将操作主机进行迁移,尽量分布在不同的DC上。

本文出自 “胖哥技术堂” 博客


    
[3]WIN2008 R2 Active Directory 之一 部署企业中第一台Windows Server 2008 R2域控制器
    来源: 互联网  发布时间: 2013-12-24
前言

对于活动目录(AD)来讲,从Windows 2000到现在有非常多的文章在对其进行探讨,微软公司每推出一代新的Windows系统,这一重要服务技术不管是从功能上还是从性能上都在不断进步。在此,以最新Windows Server 2008 R2(以后简称WIN08R2)系统为例,从零开始讲述关于WIN08R2活动目录相关技术。希望能一直坚持写完!

——胖哥

通过多年来AD在企业中的部署,技术人员几乎都知道与活动目录相关的一系列概念了,如:域、域树、域林、OU和站点,还有域控制器(DC)等。那么,对于一个AD来讲是从哪里开始实现的呢?

也许有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。

由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。

一、DC网络属性的基本配置

对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。

图1

由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的,所以,最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”(如图2)。

图2

当然,除此之外,当前计算机的NetBIOS名,也就是计算机需要设置好,因为安装完DC后,再去进行修改操作是不明智的。

二、准备安装AD服务

WIN08R2对于AD服务的安装与早期版本略有不同,可以通过“服务器管理”的角色添加来完成初始化的准备工作(如图3),打开“服务器管理”工具,展开“角色”节点,在右边窗口中点击“添加角色”。

图3

打开“添加角色向导”(如图4),在该页中会得到系统的三点提示,其中最重要的是第二点。对于第一、三点来讲,可以不按提示配置,也不影响安装,点击“下一步”。

图4

在“服务器角色”列表中勾选“Active Directory域服务”(如图5),此时,系统会自动弹出对话框,

图5

要求安装“.NET Framework 3.5.1功能”(如图6),由于AD在WIN08R2上必须该功能的支持,

图6

所以在此必须点击“添加必需的功能”按钮,返回“选择服务器角色”对话框后点击“下一步”(如图7)。

图7

在“Active Directory域服务”对话框中,向导会给出四点注意事项(如图8),根据这些注意事项可以了解到安装AD前后操作应该执行的任务和AD需要的服务。

图8

点击“下一步”进行安装(如图9)。

图9

当出现“安装结果”对话框时,如果没有错误,证明AD的安装准备已经完成,但是由于该台计算机还不能完全正常运行DC,所以提示需要启用AD安装向导(dcpromo.exe)来完成安装(如图10)。可以直接点击“关闭该向导并启动Active Directory域服务安装向导(dcpromo.exe)”进入安装向导,也可以直接点击“关闭”按钮之后,手动打开AD安装向导。

图10

三、完成AD服务器的安装

1、需要运行AD域服务器安装向导才能完成该服务器的部署,所以在“运行”对话框中输入“dcpromo”点击“确定”启动向导(如图11)。

图11

2、经过系统自动检测后,将出现AD安装向导的欢迎界面(如图12)。在该对话框中可以选择使用标准或高级模式来进行安装。对于高级模式是提供给有经验的用户对安装过程有更多的控制,

图12

但是在此建议使用高级模式来进行操作。高级模式较之标准模式的功能增强可以参考表1所示。此外,还可直接在命令提示符下运行带有/adv开关的dcpromo命令(dcpromo /adv)来启动高级向导。

表1

3、点击“下一步”,对部属配置进行选择(如图13),由于目的是部属企业中的第一个DC,所以在此应选择“在新林中新建域”。因为,创建新林需要管理员权限,所以必须是正在其上安装AD的服务器本地管理员组的成员。

图13

4、点击“下一步”,对域林的根域进行命名(如图14)。需要在之前对DNS基础结构有一个完整的计划。必须了解该林的完整DNS名称。可以在安装AD之前先安装DNS服务器服务,或者如本实例一样选择让AD安装向导安装DNS服务器服务。

图14

让AD向导来安装DNS服务器服务,将使用此处的DNS名称为林中的第一个域自动生成NetBIOS名称。点击“下一步”,向导会验证DNS名称和NetBIOS名称在网络中的唯一性。由于使用的是高级模式,所以NetBIOS无论是否发生冲突,都会出现“域NetBIOS名称”步骤(如图15)。当然,在标准模式下,只有检查到自动生成的NetBIOS名称与现有网络中名称冲突时,才会出现该步骤。

图15

5、点击“下一步”,“设置林功能级别”(如图16),功能级别确定了在域或林中启用AD的功能,还将限制可以在域或域林中DC上运行的Windows服务器版本。但是,功能级别不会影响在连接到域或域林的工作站和成员服务器上运行的操作系统。

图16

创建新域或新林时,建议将域和林功能级别设置为当前环境可以支持的最高值,这样可以尽可能的充分发挥AD的功能。如果肯定不会将运行Windows Server 2008(以后简称WIN08)或任何更早版本的操作系统的域控制器添加到域或林,可以选择WIN08R2功能级别。另外,如果可能会保留或添加运行WIN08或早版本的域控制器,则在安装期间应选择 Windows Server 2008 功能级别。若确定不会添加这类域控制器或这类域控制器不再使用,则安装后可以提升功能级别。需要注意的是不能将域功能级别设置为低于林功能级别的值。例如将林功能级别设置为WIN08,则只能将域功能级别设置为WIN08或WIN08R2。Windows 2000(以后简称WIN2K)和Windows Server 2003(以后简称WIN03)域功能级别值在“设置域功能级别”向导页中将不可选择。因此,若选择林功能级别为WIN08R2,那么,向导将不会出现“设置域功能级别”步骤,默认情况下向林添加的所有域都将为WIN08R2域功能级别。

特别需要注意:

将域功能级别设置为某个特定值后,将无法回滚或降低域功能级别,但以下情况例外:将域功能级别提升至WIN08R2,并且林功能级别为WIN08或更低时,可以将域功能级别回滚到WIN08,且只能将其从WIN08R2降到WIN08,而不能将其回直接滚到WIN03。

将林功能级别设置为某个值之后,就不能回滚或降低林功能级别,但有一种情况例外:当您将林功能级别提升到WIN08R2且没有启用AD回收站时,则可以选择将林功能级别回滚到WIN08。且只能将其从WIN08R2降到WIN08,而不能将其回直接滚到WIN03。

以下表2列出了每种域功能级别启用的功能和支持的域控制器操作系统

表2

以下表3列出了每种林功能级别启用的功能和支持的域控制器操作系统

表3

6、点击“下一步”,配置“其它域控制器选项”(如图17)。在AD安装期间,可以为DC选择安装DNS服务、或将其设置成为全局编录服务器(GC)或只读域控制器(RODC)。

图17

DNS服务器选项

正如“DC网络属性的基本配置”一节中谈到的在DC上同时安装DNS服务,此处就需要勾选“DNS服务器”选项。该选项的默认设置取决于此前选择的部署配置和当前网络中的DNS环境等因素。表4中列出了不同AD部署配置的默认DNS服务安装配置。

表4

需要注意的是:

如果启动AD安装向导之前已经安装了DNS服务,但AD没有 DNS 基础结构,则 DNS 服务将继续为它承载的任何基于文件的区域解析名称,但不会承载它作为域控制器所在的域的任何AD集成的DNS区域。

全局编录选项

由于林中的第一台DC必须是GC,因此在创建域林时“全局编录”复选框处于会被自动选中,而且变灰不能被取消。在现有域中安装其他DC时,默认也会选中该复选框。但是,可以手动取消选择。

在创建新的子域或域树时,默认情况下不会选中“全局编录”复选框,因为新域中的第一个域控制器承载着所有域范围的操作主机角色(FSMO角色),包括基础结构操作主机角色。在多域林中,除非域中的所有DC都是GC,否则在GC上承载基础结构主机角色可能会出现问题。因此,在新子域或域树的第一个DC上安装全局编录,则需要在将其他DC安装到域中之后转移基础结构主机角色,或是确保安装到域中的所有其他DC也都是GC。而且,在安装其他可写域控制器时,AD安装向导会验证基础结构主机是否承载于合适的DC上,并且会验证它是否可以修复使用所选安装选项引发的问题。

RODC选项

以下条件下不允许安装 RODC:

新林中安装第一个域控制器 新域中安装第一个域控制器 林功能级别不是WIN03、WIN08或WIN08R2 要安装RODC的域中没有WIN08 或WIN08R2的可写域控制器

选项间的关系

如果选中“只读域控制器(RODC)”复选框,除非无法选中“DNS 服务器”复选框,否则向导会自动选中此选项。如果在向导选中“DNS 服务器”复选框之后将其清除,则向导会发出警告:“如果不同时安装 DNS 服务器,分支机构中的客户端可能无法找到RODC”。默认情况下,“全局编录”复选框可能也处于选中状态,具体取决于选择的其他安装选项。默认情况下,如果选中“只读域控制器”复选框,向导就会自动选中“全局编录”复选框。

验证检查选项

在“其他域控制器选项”页上选择选项,然后点击“下一步”之后,向导会执行以下验证检查,之后才会继续进行操作。

静态 IP 地址验证——如果选中“DNS 服务器”复选框,AD安装向导会验证服务器的所有物理网络适配器是否都具有一个静态地址,包括静态的IPv4和IPv6地址。尽管不使用静态IP地址便可以完成AD安装,但不建议这样做,因为如果DC的 IP地址发生变化,客户端可能无法联系DC。

基础结构主机检查——如果选择在域中安装其他域控制器的选项,AD安装向导默认会选中“全局编录”复选框。如果正在安装可写域控制器(“只读域控制器”复选框处于清除状态),而且清除了“全局编录”复选框,向导会检查域中的全局编录服务器上当前是否承载了基础结构主机角色。如果检查结果为是,向导会提示将该角色转移到正在安装的DC上。可以点击“是”将基础结构主机角色转移到此DC上,或点击“否”稍后更改配置。

Adprep /rodcprep检查——如果安装 RODC,向导会验证adprep /rodcprep命令是否成功完成,以及该命令导致的更改是否复制到整个林中。如果adprep /rodcprep命令没有成功完成,或是更改尚未复制到整个林中,会收到一条错误消息,指出在继续进行安装之前必须运行该命令。如果收到此消息,可以在林中的任何计算机上再次运行adprep /rodcprep,或是等待更改复制到整个林中。

7、点击“下一步”,系统会弹出DNS服务委派警告对话框(如图18)。在此,点击“是”继续完成向导。这个对话框的出现是由于配置其它服务器时,选择了“DNS服务器”选项,而当前计算机又未找到指定域的权威父域Windows DNS服务器,从而无法确定是否对指定域进行了委派导致的。

图18

8、确定AD数据库、日志文件和SYSVOL放置的位置(如图19)。对于数据库来讲主要存储有关用户、计算机和网络中其它对象的信息;日志文件记录与AD有关的活动;SYSVOL存储组策略对象和脚本,其默认是位于%windir%目录中的操作系统文件的一部分。

图19

在决定AD文件的存储位置时,可以从以下两个因素来考虑——

备份和恢复

对于只有一个硬盘的服务器来将,只需接受AD安装向导的默认安装设置即可。但是,必须至少在该硬盘上创建两个卷。其中一个卷用于存储关键卷数据,另一个卷用于存储备份。 在使用Windows Server Backup或Wbadmin.exe命令行工具备份DC时,至少必须备份系统状态数据,以便使用备份恢复服务器。用于存储备份的卷不能与承载系统状态数据的卷相同。构成系统状态数据的系统组件由安装在计算机上的服务器角色来决定。系统状态数据至少包括下列数据(根据所安装的服务器角色,还可能包括其他数据):

注册表 COM+ 类注册数据库 引导文件 Active Directory 证书服务 (AD CS) 数据库 承载 Active Directory 数据库 (Ntds.dit) 的卷 承载 Active Directory 数据库日志文件的卷 SYSVOL 目录 群集服务信息 Microsoft Internet Information Services (IIS) 元目录 Windows 资源保护下的系统文件

性能

对于更加复杂的安装,可能需要配置硬盘存储以优化 AD的性能。由于数据库和日志文件以不同方式利用磁盘存储空间,因此可以通过将每种内容分配到不同的硬盘主轴来提高 AD的性能。

例如,一台服务器具有四个可用的硬盘驱动器,它们的驱动器卷标分别为:

驱动器 C,包含操作系统文件 驱动器 D,未使用 驱动器 E,未使用 驱动器 F,用于备份

在此服务器上,可以通过将数据库和日志文件分别安装到专用的驱动器(如D和E)中而最大限度提高AD的性能。这有助于提高数据库的搜索性能,因为有一个驱动器主轴可以专用于搜索活动。在同时进行大量更改的情况下,这种配置也会降低承载日志文件的磁盘出现瓶颈问题的几率。可以将 SYSVOL 与操作系统文件一起存储在驱动器 C 中。

9、点击“下一步”,向导要求输入“目录还原模式的Administrator密码”(如图20)。在 AD未运行时,目录服务还原模式(DSRM)密码是登录域控制器所必需的。

图20

特别注意

DSRM密码与域管理员帐户的密码不同。

当创建林中第一台DC时,AD安装向导会将本地服务器上生效的密码策略强制作用于此。对于所有的其他DC的安装,AD安装向导将现有DC上生效的密码策略强制作用于此。这意味着,指定的DSRM密码必须符合包含现有DC所在域的最小密码长度、历史记录和复杂性要求。默认情况下,必须包含大写和小写字母组合、数字和符号的强密码。

10、点击“下一步”,显示安装摘要(如图21),并且可以单击“导出设置”将在此向导中指定的设置保存到一个应答文件。然后,可以使用应答文件自动执行AD的后续安装。

图21

应答文件是包含 [DCInstall] 标题的纯文本文件,应答文件提供了对AD安装向导所需配置的设置值。使用该应答文件时,管理员无需与该向导进行交互。向导会向该应答文件中添加文本,说明如何使用该文件,例如,说明如何使用dcpromo命令来调用该文件以及必须更新哪些设置才能使用该文件。

若要使用应答文件来安装AD,在命令提示符下输入:

dcpromo /answer[:filename]

其中 filename 为应答文件的名称。

11、点击“下一步”,安装向导执行安装操作(如图22)。如果没有勾选“完成后重新启动”复选框,

图22

则执行完毕后,AD安装向导将出现完成安装页(如图23)。点击“完成”,

图23

系统会提示需要重新启动计算机配置才能生效(如图24)。点击“立即重新启动”完成DC安装操作。

图24

四、完成后简单验证安装情况

重启服务器后,可以通过以下几点的验证来确定DC的基本安装成功。

1、AD数据文件是否产生(如图25)。

图25

2、DNS服务是否工作正常,与域相关的资源记录,特别是SRV记录是否正确写入(如图26)。

图26

3、SYSVOL文件夹是否存在,能正常访问。

4、日志中是否有错误事件等。

若均无问题,则表明当前部署的企业中第一台DC工作基本正常。

本文出自 “胖哥技术堂” 博客


    
最新技术文章:
▪linux系统中的列出敏感用户的脚本代码
▪a10 config backup for aXAPI
▪一键备份gitolite服务器的Shell脚本
▪nagios 分发文件实现代码
▪阿里云云服务器Linux系统更新yum源Shell脚本
▪一个监控LINUX目录和文件变化的Shell脚本分享
▪Linux下实现SSH免密码登录和实现秘钥的管理、...
▪Shell正则表达式之grep、sed、awk实操笔记
▪3个备份系统文件并邮件发送的Shell脚本分享
▪CentOS 6.3下给PHP添加mssql扩展模块教程
▪监控网站是否可以正常打开的Shell脚本分享
▪shell脚本编程之if语句学习笔记
▪shell脚本编程之循环语句学习笔记
▪shell脚本编程之case语句学习笔记
▪Shell脚本实现的阳历转农历代码分享
▪Shell脚本实现复制文件到多台服务器的代码分...
▪Shell脚本实现批量下载网络图片代码分享
▪Shell脚本实现检测文件是否被修改过代码分享
▪Shell脚本数组用法小结
▪Shell脚本批量重命名文件后缀的3种实现
▪C语言实现的ls命令源码分享
▪Linux下查找后门程序 CentOS 查后门程序的shell脚...
▪Shell 函数参数
▪linux shell 自定义函数方法(定义、返回值、变...
▪Shell实现判断进程是否存在并重新启动脚本分...
▪Shell脚本break和continue命令简明教程
▪Shell脚本函数定义和函数参数
▪让代码整洁、过程清晰的BASH Shell编程技巧
▪shell常用重定向实例讲解
▪awk中RS、ORS、FS、OFS的区别和联系小结
 


站内导航:


特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

©2012-2021,,E-mail:www_#163.com(请将#改为@)

浙ICP备11055608号-3