目录
一、域与活动目录
1.1 工作组
1.2 域
1.2.1 域(Domain)
1.2.2 域控制器(Domain Controller,DC)
1.2.3 功能和角色
1.2.4 管理和监控
1.2 5 域结构
1.3 组织单元(Organizational Unit,OU)
1.4 物理结构
1.4.1 站点(Sites)
1.4.2 域控制器(Domain Controllers, DCs)
1.4.3 复制拓扑(Replication Topology)
1.4.4 全局编录(Global Catalog, GC)
1.5 域主要特点
1.6 活动目录
1.6.1 Active Directory名称空间
1.6.2 对象和属性
1.7 管理⼯具
实验一、安装服务
实验二:配置额外域控制器
实验三、降级删除卸载
一、域与活动目录
1.1 工作组
"工作组"(Workgroup)是一个没有集中管理的计算机集合,它依赖于网络中的每台计算机来管理自己的账户和资源。工作组是Windows网络环境中的一种组织形式,与域(Domain)相对
- 定义:工作组是一组没有中央管理的计算机集合,它们共享资源但各自独立管理用户账户和资源。
- 网络资源:资源如文件和打印机在工作组中是共享的,但访问控制由本地计算机设置。
- 管理方式:管理是分散的,每台计算机自行管理用户账户和安全策略。
- 规模适用性:适合小型网络环境,如家庭、小型办公室或临时设置
以下是设置和配置工作组的基本步骤:
- 规划工作组名称:选择一个独特的名称来标识你的工作组,确保在同一网络中没有重复。
- 配置计算机:在每台需要加入工作组的计算机上,打开系统设置;进入“系统”或“计算机名”设置,找到“工作组”或“计算机名/域更改”选项。
- 加入工作组:将每台计算机的“工作组”名称更改为之前规划的名称,重启计算机以使设置生效。
- 配置网络协议:确保所有计算机都安装并启用了必要的网络协议,如TCP/IP。
- 设置文件和打印机共享:在每台计算机上,根据需要设置文件和打印机共享;可以通过“网络和共享中心”或“服务”来配置这些设置。
- 配置本地账户:在每台计算机上,创建本地用户账户并设置权限,以便在网络上共享资源
- 测试网络连接:通过“网络”或“我的电脑”(Windows资源管理器)来查看工作组中的其他计算机;尝试访问共享的文件和打印机,确保一切正常。
- 安全设置:根据需要配置防火墙和安全设置,以保护工作组内的计算机。
- 备份网络设置:记录所有网络配置信息,以便在需要时进行恢复。
- 用户教育:确保所有用户都知道如何使用网络资源,并且了解基本的安全实践
注意事项:
- 确保所有电脑都连接到同⼀局域⽹中。
- 配置防⽕墙允许通过⽹络共享服务。
- 使⽤强密码和适当的共享权限来增强⽹络安全。
⼯作组配置完成后,所有在同⼀⼯作组内的电脑将能够相互访问共享的⽂件和设备,⽆需复杂的服务器配置。这种配置适合⼩规模⽹络,因为它依赖于各个电脑的配置⽽不是中央管理
1.2 域
域是一种形式的计算机网络,其中所有的计算机成员都被集中管理。域提供了一种方法来管理一个大型网络的权限和资源,如用户账户、计算机、打印机等设备。域中的计算机可以共享资源,用户只需在域中进行一次登陆(单点登录),就可以访问其有权限的所有资源。
域是通过一个或多个服务器配置成为域控制器实现的(多余的域控制器作为备份使用,和主从DNS的原理相同),这些域控制器负责维护域的安全策略和用户账户信息。一个企业可以有一个或多个域,这些域可以设置信任关系,共享数据和用户访问权限
1.2.1 域(Domain)
域是一个由活动目录数据库管理的网络资源(如用户账户、计算机账户、打印机、文件共享等)的集合。域提供了一个安全边界,其中的用户和资源可以被集中管理
1.2.2 域控制器(Domain Controller,DC)
域控制器是运行活动目录服务的服务器,它存储了域内所有对象的信息和域策略,并负责处理域中的身份验证请求,如用户登录。当一个用户试图访问网络资源时,他们的登录请求被发送到域控制器,域控制器验证用户的凭据并决定是否授予访问权限
1.2.3 功能和角色
域控制器主要负责以下功能:
- 身份验证服务:域控制器负责验证用户登录请求,确保用户身份的合法性
- 目录服务:域控制器提供目录服务,提供一个中央位置,存储有关域内用户、组、计算机和其他资源的信息
- 策略管理:集中管理和实施安全策略和用户配置,如密码策略、权限舍等
如何设置和维护:
在设置域时,通常需要先安装并配置Active Directory Domain Services(AD DS),然后将至少一台服务器提升为域控制器:
- 安装Active Directory:在Windows Server上,通过服务器管理器安装AD DS⻆⾊
- 提升为域控制器:运⾏Active Directory域服务安装向导,创建新域或加⼊现有域,并将服务器设置为域控制器
1.2.4 管理和监控
- 管理域环境涉及监控域控制器的健康状况,管理用户账户和安全策略,以确保数据备份和灾难恢复计划的有效性
- 使用工具如MMC和PowerShell,可以有效管理
1.2 5 域结构
(1)单域(Single Domain)
- 定义:单域结构是最简单的AD DS结构,其中所有的用户账户、计算机账户和资源都存储在一个域中。
- 管理:管理简单,因为所有的对象都在一个域中,不需要跨域的复制或信任关系。
- 适用性:适合小型组织或单一的地理位置,其中所有的资源和用户都在一个网络上
(2)域树(Domain Tree)
- 定义:域树是由一个或多个域组成的结构,这些域通过信任关系连接,并且共享一个连续的命名空间。在域树中,域可以是子域或父域的关系。
- 管理:管理比单域复杂,因为涉及到多个域的协调和管理。但是,域树中的域共享一个连续的命名空间,使得跨域的资源访问和身份验证更加容易。
- 适用性:适合需要按部门、地理位置或业务单元组织资源的中大型组织
(3)域林(Forest)
- 定义:林是多个域树的集合,每个域树都有自己的根域,并且域树之间通过林信任关系连接。林中的域树可以有不同的命名空间。
- 管理:管理最为复杂,因为涉及到多个域树和信任关系。林信任关系允许跨域树的资源访问和身份验证。
- 适用性:适合大型组织,特别是那些需要严格隔离不同业务单元或部门的组织,或者需要在多个域树之间保持独立性的组织
1.3 组织单元(Organizational Unit,OU)
组织单元(Organizational Unit,简称OU)是一个逻辑容器,用于组织和管理工作目录中的账户和其他对象。OU提供了一种灵活的方式来组织和管理域中的资源,使得管理员可以更有效地应用组策略、委派管理责任以及执行其他管理任务
- 定义:OU是管理Active Directory中的资源的一种方式,允许管理员对这些对象施加组策略和权限
- 特点:OU是日常管理的基本单元,允许管理员对集合内的资源应用特定的策略和权限。OU的设计通常反映了组织的行政结构或业务需求,如按部门、地理位置等进行阻止
如何理解这些结构的关系和应用:
- 层级性:域是AD结构的基本组成部分,比OU更高级,一个域可以包含多个OU。单域属于单一层级,域树和域林代表了更加复杂的层级关系,其中包含了多个域
- 管理灵活性:随着从单域到林的过渡,管理灵活性和复杂性增加,允许大型组织有效的控制不同地区和部门的策略
- 安全和策略应用:通过OU,管理员可以更细致的控制策略和权限,例如只对特定部门的用户应用某个特定的安全策略
1.4 物理结构
物理结构主要与数据的物理存储和AD服务的分布有关,站点、域控制器、复制拓扑和全局编录是关键组件,它们共同确保了网络环境的高效运行和数据的一致性
1.4.1 站点(Sites)
- 定义:站点是AD中的一个逻辑表示,是一组互联的局域网(LAN),用于定义网络的物理结构。一个站点通常包含在同一个地理位置的计算机和设备,它们通过高速网络连接。
- 目的:优化网络流量,减少广域网(WAN)上的流量,提高用户访问资源的速度。
- 应用:在每个物理位置创建一个站点,并在站点内放置域控制器,以提供快速的登录和认证服务
1.4.2 域控制器(Domain Controllers, DCs)
- 定义:域控制器是运行AD DS的服务器,负责管理域内的用户账户、计算机账户、策略和其他目录信息。
- 目的:提供用户认证、资源授权和目录服务。
- 应用:部署在每个站点中,以减少登录延迟并提高服务的可用性
1.4.3 复制拓扑(Replication Topology)
- 定义:复制拓扑描述了AD数据如何在域控制器之间复制的过程和路径。
- 目的:确保所有域控制器都有最新的目录数据,以维持数据的一致性和可靠性。
- 应用:通过配置连接对象(Connection Objects)和站点链接(Site Links),管理员可以控制和优化数据复制的流量和频率
1.4.4 全局编录(Global Catalog, GC)
- 定义:全局编录是AD中的一个部分副本,包含林中所有域的目录数据的一小部分,但足以满足大多数用户的查询需求。
- 目的:提供快速的用户和资源查找,支持林范围内的资源定位和身份验证。
- 应用:全局编录服务器部署在每个站点中,以确保用户可以快速地找到林中的资源,如用户账户和共享资源
1.5 域主要特点
物理部署的最佳实践
- 多域控制器:在每个主要的地理位置部署多个域控制器,以提供冗余和容错。
- 合理站点设计:合理规划站点和站点链接,以确保有效的复制和最⼩的⽹络流量。
- 全局编录的策略部署:在多个地理位置部署全局编录服务器,确保快速响应时间和业务连续性
- 集中管理(Centralized Management):域允许管理员通过中央管理界面对用户账户、组、计算机账户和其他资源进行统一管理。这种管理方式通过活动目录(AD DS)实现,其中包括对组策略对象(GPOs)的管理,这些对象定义了用户和计算机的配置和行为。
- 资源共享(Resource Sharing):在域环境中,资源如打印机、文件服务器和应用程序可以通过域的逻辑结构进行共享。用户可以根据自己的权限访问这些资源,而管理员可以在域级别上控制资源的访问和分配。
- 认证和授权(Authentication and Authorization):域提供基于 Kerberos 协议的认证服务,确保用户身份的合法性。授权则是基于用户账户和组成员资格来控制用户对资源的访问权限。域控制器(DCs)负责处理登录请求和验证用户凭证。
- 安全性(Security):域实现了多层次的安全策略,包括账户策略、密码策略和审核策略。组策略可以用于在整个域或特定的组织单位(OU)内强制执行安全设置,如强制复杂密码、定期更新密码和限制未授权的软件安装
1.6 活动目录
活动目录(Active Directory,AD)是微软Windows Server操作系统中的一个关键服务,它提供了一个集中的目录服务,用于管理网络环境中的用户、计算机、设备、应用程序和服务。活动⽬录允许管理员通过⼀个⽤户友好的界⾯集中管理域中的资源、⽤户帐户、安全策略等。它使⽤轻量⽬录访问协议(LDAP)来访问和维护信息
主要功能包括:
- 身份管理:管理用户账户和计算机账户,以及他们的属性
- 策略管理:集中管理和计算机的策略
- 认证和授权:提供Kerberros协议支持的安全和单点登录功能
- 目录服务:提供一个分布式数据库。存储和管理关于网络资源的信息及应用程序数据
活动目录的组织结构主要包括以下几个层级:
- 域:基本的组织单元,存储所有的用户、组和设备的信息
- 树:包含一个或多个具有共同命名策略的域
- 林:由一个或多个域书组成,是活动目录的最高级逻辑容器
- 组织单位(Organizational Unit,OU):OU是域中的容器,用于组织和管理对象,OU可以嵌套,支持更细粒度的管理
- 全局编录(Global Catalog, GC):GC是包含所有域中所有对象的子集的数据库,用于加速查询和跨逻辑登录
设置活动目录:
活动⽬录通常在安装Windows Server时作为⻆⾊添加,并在⾸次安装时通过运⾏AD DS(ActiveDirectory Domain Services)安装向导进⾏配置。安装AD DS并提升服务器为域控制器后,就可以创建域,并开始添加⽤户和配置策略
使用场景:
活动⽬录⾮常适⽤于需要严格控制⽤户和设备访问权限的⼤型企业环境。它⽀持⾃动化、提供了强⼤的安全性和管理多个域和森林的能⼒。通过使⽤组策略(Group Policy),管理员可以在整个组织中实施安全设置、软件安装等操作
1.6.1 Active Directory名称空间
Active Directory名称空间(Namespace)是指在Active Directory域服务(AD DS)中,所有对象(如用户、计算机、组和组织单位等)的逻辑容器。名称空间是由林的根域开始,延伸至林中的所有子域和域树,形成一个连续的、分层的结构
在AD中,名称空间通常指的是在整个林或域中使⽤的命名约定。AD使⽤DNS格式来命名资源和服务位置,这允许AD使⽤DNS结构来⽀持⽬录服务的位置和复制服务。例如,在AD中,域控制器的名称会映射到其在DNS中的记录,以便⽹络中的其他服务和客户端可以找到它。
我们在服务器上通过查找⼀个对象可以查到的所有关联信息总和,如⼀个⽤户,如果我们在服务器已给这个⽤户定义了讲如:⽤户名、⽤户密码、⼯作单位、联系电话、家庭住址等,那上⾯所说的总和⼴义上理解就是“⽤户”这个名字的名字空间,因为我们只输⼊⼀个⽤户名即可找到上⾯我所列的⼀切信息
1.6.2 对象和属性
对象和属性是构成数据模型的基本元素,这些概念有助于组织和管理网络中的各种资源
对象(Object)
- 定义:在AD中,对象是⼀个独⽴实体,代表了⽹络环境中的⼀个资源或实体。每个对象都属于⼀个特定的类别,如⽤户、计算机、打印机、组等。
- 作⽤:对象存储了关于其代表的实体的信息,并且可以在⽬录中被查找和管理。例如,⽤户对象包含了关于⼀个⽤户的所有信息,如姓名、密码、权限设置等。
- 结构:对象由多个属性组成,这些属性定义了对象的特性和配置。在AD中,对象的属性可以是静态的(如姓名或电⼦邮件地址),也可以是动态的(如登录次数或最后登录时间)
属性(Attribute)
- 定义:属性是附加在对象上的数据项,⽤于描述或配置对象。每个属性都有⼀个特定的数据类型和值范围。
- 作⽤:属性为对象提供了具体的信息,使得对象的管理和使⽤变得具体和有针对性。例如,⽤户对象的属性可以包括⽤户名、电⼦邮件地址、部⻔等。
- 定制:在AD中,管理员可以根据需要定制对象的属性,例如添加额外的属性来存储组织特定的信息或调整现有属性以符合特定的安全或业务需求
应⽤实例
- ⽤户管理:在AD中,⽤户对象可能包括⽤户名、密码、电话号码、办公地点等属性。这些属性帮助管理员管理⽤户身份和控制对资源的访问权限。
- 资源访问:计算机和打印机等设备对象也通过属性定义,如设备位置、⽹络配置等,这些属性帮助⽹络中的⽤户找到并正确地使⽤这些资源。
- 安全与策略应⽤:某些属性,如安全标识符(SID)或访问控制列表(ACLs),⽤于定义安全策略和控制访问权限
1.7 管理⼯具
AD提供了多种⼯具和服务,如Active Directory⽤户和计算机(ADUC)、Active Directory管理中⼼等,这些⼯具允许管理员创建、修改和删除对象和属性。这些管理活动是通过图形⽤户界⾯(GUI)或命令⾏⼯具(如PowerShell)完成的
实验一、安装服务
注意:将服务器设置为静态IP地址,确保它不会因为DHCP服务器的变更而改变。另外,在实验开始前拍摄一张快照,以便之后的还原
步骤1:安装Active Directory域服务器角色
- 打开服务器管理器
- 点击“管理”,然后选择“添加角色和功能”
- 在“添加角色和功能向导”中,选择“角色”或“功能”安装,点击下一步
- 选择“Active Directory域服务”,一路安装
步骤2:配置Active Directory
- 安装角色后,返回服务器管理器,这时会看到一个提示来“提升此服务器为域控制器”
- 点击此通知,启动配置向导
- 选择“新增林”并输入你的根域名
- 设置域和林功能级别,通常选择最新的功能级别以访问最新的AD功能
- 设置一个强大的目录服务还原模式(DSRM)密码
步骤3:完成AD DS安装
- 完成向导并重启服务器,这样你的服务器就会成为域控服务器
- 在重启后,你可以通过“Active Directory用户和计算机”管理工具来管理你的域
步骤4:配置DNS服务
- 确保DNS正确配置,因为 AD DS依赖于DNS服务来定位域控制器和管理域内的通信
步骤5:添加用户和计算机到域
- 在“Active Directory用户和计算机”中创建用户账号和计算机账户
- 将客户机加入到域中,以便开始管理
详细步骤:
首先确保IP地址为静态手动配置的,,并给你的计算机“重命名”,这个新的计算机名字会应用到你后续配置完AD域中,选择“控制面板”中的“系统”来更改计算机名称。
更改名称后,它会提示你重启以生效,我们可以选择稍后重启
安装Active Directory域服务,和之前安装服务的步骤一样
在安装完域服务后会有一个提示,点击提升域控制
添加新林,创建你的根域名
这里的级别我们使用默认的2016就好,指定域控制器的功能,域名系统(DNS)服务器,全局编录(GC)都是默认安装在此域控服务器上的
设置目录服务器还原模式(DSRM)密码。Directory Services Restore Mode,简称DSRM,是Windows域控制器的服务器安全模式启动选项。DSRM允许管理员用来修复或还原或重建活动目录数据库。
DNS选项直接下一步,DNS 服务器的委派(DNS Delegation)是一个在域名系统(DNS)中常见的概念,主要涉及到权限和管理责任的分配。这一过程允许一个域名的管理者将对子域的管理权委托给其他的DNS服务器。具体来说,就是将一个较大的域(如 example.com)下的一部分(如 sub.example.com)DNS解析任务委托给其他的服务器负责,这些服务器可以由不同的管理员控制和运维。但在这里我们暂时不勾选
委派的具体步骤包括:
- 创建 NS 记录:在父域的 DNS 设置中,添加 NS(Name Server)记录,指向负责子域的那些 DNS 服务器。例如,如果你想将 sub.example. com 委派给其他的 DNS 服务器,你需要在 example.com 域的 DNS 记录中设置指向那些服务器的 NS 记录。
- 创建A 或 AAAA 记录:在父域中,为被委派的 DNS 服务器创建 A(IPv4 地址)或AAAA (IPV6 地址)记录,这样互联网上的其他系统就能找到负责子域的 DNS 服务器。
- 设置子域的 DNS 记录:在接受委派的 DNS 服务器上配置子域的具体 DNS 记录,如A记录、MX记录、CNAME记录等,用以实现对子域内部各种服务的正确解析。
委派的好处:
- 分散管理:允许不同的团队或组织管理不同的子域,便于管理和维护。
- 提升啊应速度:地理上靠近用户的 DNS服务器可以更快地响应用户的查询请求。
- 增加安全性:通过分散的管理,可以减少单点故障的风险,同时增加安全设置的灵活性。
DNS委派是一种有效的域名管理策略,特别适用于大型组织和公司。其中不同部门或业务单位需要独立控制自己的IT资源。
其他选项,NetBIOS域名,默认,下一步
在路径页面,可以配置AD DS的数据库,日志文件和SYSVOL的文件夹位置,默认位置始终位于%systemroot%中,我们使用默认即可
在先决条件页面,确认所有先决条件检查都成功通过,然后点击“安装”
系统会自动重启以启用更改,并在重启后自动完成域控制器的安装和配置,并且自动加入域AD test.com
在升级成为服务器后,我们可以看到计算机名已经更新,计算机管理中也没有用户和组了,用户和组都在“工具”——“Active Directory用户和计算机”中
我们来看看计算机全程,这表示域服务器已经搭建完成
接下来我们将Windows计算机加入域
方法一:
客户端计算机必须加入域,才能接受域的统一管理,使用域中的资源。在目前主流的Windows 操作系统中,除Home版外都能添加到域中。
【Internet 协议版本4(TCP/IPv4)属性】对话框中,指定DNS服务器的地址,如图所示。如果域控制器采用默认的安装过程,则域控制器也是DNS服务器
通过【控制面板】或桌面上的【计算机】图标,打开【系统】窗口,在窗口中单击【更改设置】,打开【系统属性】对话框,在【计算机名】选项卡中,单击【更改】按钮,如图所示
系统提示请输入有权限加入该域账户的名称和密码。域控制器的系统管理员具有该权限,或者被委派将计算机添加到域权限的用户也具有该权限。在这里我们输入管理员的账号密码。
若验证通过,则提示欢迎加入域,重启后生效
重启后,打开“Active Directory用户和计算机”窗口,选择控制台树中的Computers节点,就可以看到新加入域的客户机了
方法二:也可以创建域登陆用户
可以创建域登陆用户
使用以加入域的计算机登陆
计算机会成为该域的一部分,并且可以接受域控制器的管理。这包括用户的登录过程,域可以提供用户账户、密码策略和各种权限设置。然而,即便计算机加入了域,本地用户账户仍然存在,并且可以用来独立于域账户登陆。
登录本地账户的方法:
- 使用本地账户登录:即使计算机已加入到域中,仍然可以使用之前创建的本地用户账户进行登录。要登录本地账户,通常需要在用户名前加上计算机名或者使用“\”作为前缀。例如,如果本地账户的用户名是 user,而计算机的名字是 computer,那么在登录时应该输入 computerluser 或•Luser 作为用户名。
- 密码不变:本地账户的密码并不会因为加入域而改变。如果你没有更改本地账户的密码,那么可以使用加入域之前的相同密码登录。
- 切换用户类型:在登录界面,通常可以选择登录到域或是本地计算机。确保你选择了正确的账户类型(本地或域)。
注意事项:
- 域策略影响:加入域后,域的安全策略可能会影响到本地账户,例如密码过期策略、登录时间限制等。这取决于域管理员如何配置域策略。
- 用户权限:本地账户通常不受域的管理策略控制,但访问网络资源时可能需要域账户的权限。
- 网络资源访问:使用本地账户登录时,可能会受限于访问由域控制的网络资源。
- 域控制器没有本地账户域控制器不再有本地账户:当一台计算机提升为域控制器后,本地账户(如win2019\Administrator)会被域账户所取代。因此,不再存在本地 Administrator 账户,只有域 Administrator 账户。
- 域控制器的默认管理员账户当计算机被提升为域控制器时,默认的本地 Administrator 账户会转变为域内的Administrator 账户。此时,这个 Administrator 账户管理整个域,而不是仅限于本地计算机。
单击【其他用户】按钮,打开Windows 10登录域界面。在【用户名】文本框中输入欲使用的域用户账户,其格式是:“用户名@域名”或“域名\用户名”,例如 Administrator@ADtest.com
ADtest. com Administrator
此时提示信息会显示要登录到的域。在【密码】文本框中输入密码,单击【登录】按钮或按 Enter键即可登录到域
将Windows 计算机加入域的目的,一方面是为了将本机的资源发布到活动目录中,另一方面是为了方便用户在活动目录中查找资源。下面介绍在客户机查询活动目录资源的方法。
用户退出域:
在更改隶属于域还是工作组的地方,重新将隶属于改回工作组WORKGROUP即可
实验二:配置额外域控制器
在Windows Server 2019 中配置额外的域控制器是增强 Active Directory 环境冗余和高可用性的常见做法。以下是配置额外域控制器的步骤:
先决条件:
- 现有域:己经有一个 Active Directory 域存在,且当前的域控制器运行正常。
- 服务器准备:确保你要配置的额外域控制器的服务器已经安装好 Windows Server 2019,并且加入了现有域。
- 静态 IP 配置:确保额外域控制器使用的是静态 IP地址,而不是动态分配的IP地址。并且和主域控可以互相访问
步骤 1:加入现有域
- 打开“服务器管理器”。
- 点击“本地服务器”,找到“工作组”并点击旁边的链接。
- 在“系统属性”窗口中,点击“更改”按钮。
- 选择“域”,输入现有域的名称(如 hanhan.com)。
- 点击“确定”,系统将提示您输入有权限加入域的用户凭据。
- 成功加入域后,系统会提示重启计算机,点击“重启”。
步骤 2:安装 ADDS 角色
- 重启后,重新打开“服务器管理器”。
- 在“服务器管理器”中,点击右上角的“管理”菜单,选择“添加角色和功能”。
- 在“添加角色和功能向导”中,点击“下一步”,直到到达“选择安装类型”页面。
- 选择“基于角色或基于功能的安装”,然后点击“下一步”。
- 在“选择目标服务器”页面中,选择当前服务器并点击“下一步”。
- 在“选择服务器角色”页面,勾选“Active Directory 域服务”,系统会提示添加相关的管理工具,点击“添加功能”。
- 点击“下一步”,直到到达“确认安装选择”页面,点击“安装”。
- 安装完成后,您无需立即重启服务器,可以直接进入下一步配置。
步骤3:配置额外域控制器
- 安装完成后,服务器管理器会显示一个标志,提示“进行 ADDS 配置”,点击“任务详细信息”旁边的“更多”链接,或者点击项部通知栏的“推广此服务器为域控制器”链接。
- 在“部署配置向导”中,选择“将域控制器添加到现有域”。
- 输入域名(通常会自动填充),然后点击“选择”以选择现有域的凭据(具有域管理员权限)。
- 点击“下一步”继续。
步骤 4:域控制器选项
在“域控制器选项”页面:
- DNS:默认情况下,DNS 服务器选项会被选中。如果您希望该服务器也作为 DNS 服务器,可以保持默认。
- 全局编录(GC):全局编录选项也是默认选中的,这对于额外的域控制器是有利的。
- 只读域控制器(RODC):通常您不需要选中此选项,除非您希望该域控制器是只读的。
- 输入目录服务还原模式(DSRM)的密码(要求包含大小写以及特殊字符),必须记住这个密码,因为它在目录恢复模式中使用
步骤 5:确认复制
- 选择“从”选项,将新的域控制器与现有的哪个域控制器同步。通常可以选择自动选择最近的域控制器。
- 点击“下一步”
步骤 6:配置 AD DS 数据库、日志和 SYSVOL位置
- 默认情况下,AD DS 数据库、日志文件和 SYSVOL 文件夹的位置设置为 C:\Windows \NTDS 和 C:\Windows\SYSVOL。如果有需要,可以更改它们的位置。
- 点击“下一步”。
步骤 7:检查和安装
- 系统会自动检查安装的需求,如果一切正常,您将会看到“所有先决条件检查己成功完成”的消息。
- 点击“安装”以开始安装和配置额外的域控制器。
步骤 8:完成安装并重启
- 安装和配置完成后,服务器会自动重启。
- 重启后,新的域控制器会加入现有的域,您可以通过 Active Directory 用户和计算机 (ADUC)或 ActiveDirectory 站点和服务来验证新域控制器的配置。
步骤9:验证配置
- 打开“Active Directory 用户和计算机”工具,确认新的域控制器己显示在域控制器的列表中。
- 通过“Active Directory 站点和服务”工具检查新域控制器的站点配置和复制设置。
- 确认 DNS 配置(如适用)己正确设置,并且新的域控制器能够解析 DNS 查询。
实验三、降级删除卸载
AD域的删除事实上要经过“三次卸载”:
- 从全局目录中移除:在删除域控制器之前,需要先将其从全局目录(GC)中移除。全局目录是AD中存储整个林的信息副本,包括所有的域。移除全局目录服务器可以确保在删除域控制器时不会丢失全局目录的数据
- 从域中移除:接下来,需要将域控制器从其所在的域中移除。这通常涉及到将域控制器的角色转换为成员服务器,然后从域中移除该成员服务器
- 从站点中移除:最后,需要将服务器从AD站点和服务中移除。AD站点是逻辑上的网络划分,用于管理网络流量和复制策略。在域控制器被完全移除之前,需要确保它也从相关的站点中被移除
步骤1:降级
- 在服务器管理器中右上角选择“管理”——“删除角色和功能”
- “开始”和“服务器选择”中保持默认,点击下一步
- 在“服务器角色”中去掉“Active Directory域服务”的勾
- 将此域控制器降级
- 凭证中默认下一步。注意:强制删除此域控制器是无法联网或是最后一台域控制器才勾选
- 警告中勾选继续删除,下一步
- 删除选项默认下一步
- 设置新的管理员密码
- 查看选项中选择降级,等待完成
- 之后电脑会自动重启,等待重启完毕,第一步完成
步骤2:卸载
- 把上面的步骤再进行一次,选择管理——删除角色和功能
- 只是这次,在服务器角色中不再有报错提示,可以点击下一步,点击删除,等待其完成重启计算机即可