欢迎来到5分享! 微信公众号   新浪微博

5分享

文章类别:
当前位置: 主页 > 文章 > 服务部署 >

windowsserver2012R2创建AD域控加辅域

时间:2018-05-26 12:38来源:网上 作者:匿名 点击:
图文介绍windowsserver2012怎么创建域控,怎么添加域成员。Windows Server 2012已经不太支持使用Dcpromo.exe命令,如果你使用dcpromo.exe(无任何参数),命令行会引导你到服务器管理器的信息。

Windows Server 2012已经不太支持使用Dcpromo.exe命令,如果你使用dcpromo.exe(无任何参数),命令行会引导你到服务器管理器的信息。如使用dcpromo.exe /unattend,则仍可以使用Dcpromo.exe的无人安装。

前言

  我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台Windows服务器,然后将其升级为域控制器。然后创建第二台域控制器,一台成员服务器与一台加入域的Win8计算机。

环境

域名 contoso.com

DC1  192.168.100.11/24

DC2  192.168.100.12/24

Server 192.168.100.13/24

PC1   192.168.100.14/24

创建域的必备条件

  • DNS域名:先要想好一个符合dns格式的域名,如 contoso.com

  • DNS服务器:域中需要将自己注册到DNS服务器内,其他计算机通过DNS服务器来找到这台机器,因此需要一台可支持AD的DNS服务器。

创建网络中的第一台域控制器

修改机器名和ip

先修改ip地址,并且将dns指向自己,并且修改计算机名为DC1,升级成域控后,机器名称会自动变成dc1.contoso.com


添加角色和功能。

选择AD。

此林根域名不要与对外服务器的DNS名称相同,如对外服务的DNS URL为http://www.contoso.com,则内部的林根域名就不能是contoso.com,否则未来可能会有兼容问题。

选择林功能级别,域功能级别。 此处我们选择的为win 2012 ,此时域功能级别只能是win 2012,如果选择其他林功能级别,还可以选择其他域功能级别  默认会直接在此服务器上安装DNS服务器  第一台域控制器必须是全局编录服务器的角色  第一台域控制器不可以是只读域控制器(RODC)这个角色是win 2008时新出来的功能  设置目录还原密码。  目录还原模式是一个安全模式,可以开机进入安全模式时修复AD数据库,但是必须使用此密码     出现此警告无需理会

数据库文件夹:用了存储AD数据库  

日志文件文件夹:用了存储AD的更改记录,此记录可以用来修复AD数据库  

SYSVOL文件夹:用了存储域共享文件(例如组策略)

如果计算机内有多个硬盘,建议将数据库与日志文件夹分别设置到不同的硬盘内,分两个硬盘可以提供运行效率,而且分开存储可以避免两份数据同时出现问题,以提高修复AD的能力。(不过我认为现在都是RAID模式了没必要分开,和操作系统分区分开就可以了)  

顺利通过检查,直接安装,安装完后会重启。

检查DNS服务器内的记录是否完备

域控会将自己扮演的角色注册到DNS服务器内,以便让其他计算机能够通过DNS服务器来找到域控。因此先检查DNS服务器内是否已经存在这些记录。需要用域管理员账户来登陆contoso\administrator.

检查主机记录

选择管理工具-dns

默认会有一个contoso.com的区域,主机记录表示域控dc.contoso.com已经正确的将其主机名与IP地址注册到DNS服务器内。

如果域控制器已经正确的将家里注册到dns服务器,应该还会有_tcp _udp等文件夹。单击_tcp文件夹后可以看到数据类型为服务位置(SRV)的_ldap记录,表示dc1.contoso.com已经正确的注册为域控制器。还能看到_gc记录全局编录也是由dc1.contoso.com所扮演。

排除注册失败的问题 如果域成员本身的设置或者网络问题,会造成无法将数据注册到DNS服务器。  

如果有成员计算机的主机与ip美元正确注册到DNS服务器,可以到此机器上运行ipconfig /registerdns来手动注册。完成后,到DNS服务器检查是否已有正确记录,例如server1.contoso.com,ip地址192.168.100.13则坚持区域contoso.com是否有对应的a记录和ip。  

如果发现域控制器没有将其扮演的角色注册到dns服务器,也就是没有_tcp文件夹与记录,到服务器中重启netlogon服务

创建更多的域控制器

如果一个域内有多个域控制器,可以有如下好处.

  • 提高用户登录的效率:如果同时有多台域控制器对客户提供服务,可以分担审核用户登录身份(账户与密码)的负担,让用户登录效率更佳。

  • 排错功能:如果有域控制器发生故障,此时依然能有其他正常的域控制器继续提供域服务器。

我们将dc2.contoso.com升级为域控制器

首先改名,改ip

这里不同,将域控添加到现有域,输入域名contoso.com,并且输入现有权限添加域控的账户contoso\administrator的密码。

只有Enterprise Admins和Domain Admins内的用户有权限创建其他域控制器。

创建组织单位与域用户账户

可以将用户账户创建到任何一个容器或组织单位(OU)内。先创建业务部的OU.然后再创建用户。

创建组织单位

点击 Active Directory管理中心

  • 用户UPN登录:用户可以利用这个域电子邮箱格式相同的名称(wang@contoso.com)来登录域,此名称被称为User Principal Name(UPN)。此名在林中是唯一的。

  • 用户名SamAccountName登录:用户也可以利用此名称(contoso\wang)来登录。其中wang是NetBios名。同一个域中此名称必须是唯一的。Windows NT Windows 98等旧版系统不支持UPN,因此在这些计算机上登录时,只能使用此登录名。

使用新账户登录域

我们使用2种方法来登录域

多台域控制器的情况

如果域内有多台域控制器,则设置的安全设置值,先被存储到PDC操作主机角色的域控制器内,默认由第一台域控制器扮演。

Active Directory用户和计算机-选择contoso.com右键操作主机

需要等待设置值从PDC操作主机复制到其他域控制器后,他们才会应用这些设置值。什么时候应用分两种情况:

  • 自动复制:PDC操作主机默认15秒后悔自动将其复制出去,因此其他域控制器可能需要等15秒或更久才能接受到此设置值。

  • 手动复制:到任何一台域控制器上选择Active Directory站点和服务-Sites-Default-First-Name Servers单击要接收设置的域控制器-NTDS Settings-立即复制。如下图DC1是操作主机,DC2是需要接收的域控

如果是组策略设置,则他先辈存储在PDC操作主机内,但如果Active Directory用户账户或其他对象有改动,则这些改动会先被存储在所连接的域控制器,同时系统默认会在15秒后自动将此改动数据复制到其他域控制器。  

如果要查询目前连接的域控制器,可以如下图在Active Directory管理中心控制台中将鼠标指针对着图中的contoso,他就会显示所连接的域控制器。如果要更改连接其他控制器,单击更改域控制器。

限制登录时间与登录计算机 我们可以限制用户的登录时间已经能用使用某些计算机来登录域。

默认用户可以登录所有非域控制器的成员计算机,不过可以限制他们只能利用某些特定计算机来登录域。如下图限制只能登录server计算机。


欢迎关注【5分享】(fivsha)公众号获取更多帮助和资讯。   

5分享公众号.jpg

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
网名:
验证码:点击我更换图片
最新评论
系统重装、硬件故障、虚拟化、服务部署、欢迎联系 系统重装、硬件故障、虚拟化、服务部署、欢迎联系
推荐内容