将额外控制器升级为主域控制器
前两天打雷,一台额外域控制器(windows 2003 DC服务器)主板击坏,无法维修,还好,主域控服务器(Windows 2003 )没有什么事,现购买一台新机作为服务器,打算把新机升级为主域控制器,原来的主域降级为额外域控制器;
一、新服务器安装好Windows 2003企业版操作系统及更新补丁,具体大家都会做,不用多说了;
二、在控制面板--添加删除程序--点击添加删除组件,出现新窗口,点击网络服务,选择如下服务(WINS,DHCP,DNS,简单TCP/IP服
务);
点击确定,放入windows2003光盘到光驱;
三、将Windows 2003升级为额外域控制器,使用Dcpromo命令,出现升级向导,如下图:
点击下一步,选择现在域的额外域控制器;接下来输入域控制器的管理员帐号和密码及域名(例:https://www.doczj.com/doc/368701964.html,);
输入完成后点击下一步,直到完成(中间步骤省略),重启服务器;这样就安装成功额外域控制器;
四、接下来,在管理工具中,点击Active Directory 站点和服务,自动创建了连接,出现如下窗口,如图:
在主域控打开Active Directory 站点和服务,立即复制副本,(如上图)正常会提示Active Directory 已复制了连接;
在额外域控打开Active Directory 站点和服务,立即复制副本,(如上图)正常会提示Active Directory 已复制了连接;
最好查看一下日志看有没有错误;同时检查一下DNS看有没有同步;
五、将额外域升级为主域控制器;
1、将DC-SRV主域的FSMO,五种角色转移到BDC-SRV上,别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。
2、夺取五种角色的方法:
首先要查看FSMO,运行regsvr32 schmmgmt.dll注册,注册成功按确定。
<1>更改操作主机,
运行MMC---添加AD架构---运行AD架构:显示,https://www.doczj.com/doc/368701964.html,为操作主机;
选择更改域控制器,输入额外域控制器的主机全名;
点击确定;
<二> 更改域命名主机,运行Active Directory 域和信任关系, 在Active Directory 域和信任关系右键点击操作主机:显示:域命名主机为https://www.doczj.com/doc/368701964.html,
点击更改,确定。
<3>、更改RID、pdc仿真器、基本结构主机,运行Active Directory 用户和计算机,弹出窗口,显示域名为:https://www.doczj.com/doc/368701964.html,右键点击---操作主机,RID,PDC,基本结构主机显示为:https://www.doczj.com/doc/368701964.html,,依次更改它们;
点击“是” RID更改成功;
PDC更改同上;
点击“是”,结构主机更改成功!!
到此为止,已经成功将一台新服务器由成员升级为额外域控,再提升到主域控制器;本文是依照此次更换主机过程而写,希望能给有需要朋友一些帮助!!
WINDOWS SERVER 2008 R2 域控制器安装过程 有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。 由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。 一、DC网络属性的基本配置 对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环
境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。 图1 由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的,所以,最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”(如图2)。
实训二配置额外域控制器 一、知识点: 额外域控制器:如果域中只有一台域控制器,一旦出现物理故障,我们时可以备份还原AD。部署额外域控制器,指的是在域中部署第二个甚至更多的域控制器,每个域控制器都拥有一个Active Directory数据库。 只读域控制器:RODC只能单向的从其他可读写域控制器请求信息,而不会把任何修改传送给其他可写域控制器,这样做不仅可以降低主域服务器的工作负载及监控负载的工作量,还可以提高分支机构网络的安全性,同时便于管理。 二、动手实验: 实验目的: 利用windows server 2008搭建辅助域环境,了解辅助域控制器的作用,不仅学会安装辅助域控制器,而且还应学会如何配置辅助域,并实现辅助域在域环境中的作用。 实验内容: 1、配置域环境中额外域控制器 2、配置域环境中的只读域控制器(RODC) 3、测试辅助控制器是否搭建成功 实验要求: 1、完成实训内容,并做成实验报告。 实验步骤: 第一步配置域环境中额外域控制器 (1)部署环境 设置网络环境
(2)与主域的IP地址要互Ping的通 (3)根据拓扑图要求,将额外控制器的名称改为“BDC1”
输入域https://www.doczj.com/doc/368701964.html, 点击确定 (4)安装额外域控制器 开始------运行---输入dcpromo
输入dcpromo 点击确定 之后会弹出如下向导对话框,点击下一步 在弹出“部署配置”对话框勾选“现有林---向现有于添加域控制器”
下一步,输入主域名“https://www.doczj.com/doc/368701964.html,” 点击“设置”
输入“用户名和密码”点击“确定” 点击“下一步”选择域“https://www.doczj.com/doc/368701964.html,”
要想让服务器按需运行,就需要对其进行正确管理与维护。作为网络管理员,在与服务器长时间亲密“接触”之后,或多或少地会积累一些服务器管理方面的经验;在这些经验的指导下,服务器的管理效率的确能够在一定程度上得到提高。可是,这些管理经验也不是万能的,如果我们片面地依赖它们的话,反而会在日后的管理维护中受到框框限制;为此,面对一些特殊的管理需求,我们有时需要另僻蹊径,跳出之前管理服务器的各种框框,只有这样才能享受异想不到的管理效果! 1、删除主机名无须到现场 在局域网域环境中,当普通计算机第一次进入指定的Windows Server 2000 系统域后,该计算机的主机名称就会被域控制器自动保存在对应的活动目录中 了,那样的话局域网中的其他计算机就能及时看到新登录域目标计算机中的共享 信息了。虽然域控制器的这一智能存储操作会给大家带来不小的方便与快捷,但 是在某些时候该智能功能也会给大家带来烦恼;比方说,要是局域网中的某一计 算机系统由于意外原因发生崩溃,在对它重装系统并设置了相同的主机名称之 后,我们发现该计算机不能使用原来的主机名称登录域控制器了,这是什么原因 呢,我们是否需要换名进行域控制器登录操作呢? 其实,重装系统的计算机之所以不能使用之前的主机名称登录局域网域控制 器,是因为域控制器系统的活动目录中已经有了该主机名称的记录,只有想办法 将活动目录中对应的主机名称记录删除掉,那么重装系统的计算机才能继续使用 原来的主机名称正确登陆域控制器。一般来说,我们只要在域控制器现场以系统 管理员帐号登录服务器系统,之后进入活动目录窗口,找到之前生成的主机名称 记录,然后将它从域控制器中删除掉,就能解决重装系统的计算机不能以原来主 机名称登录局域网域控制器的故障;不过,要是我们无法赶到域控制器服务器现 场,是否能在本地计算机通过远程控制方式进入域控制器系统,并将其中的旧主 机名记录删除掉呢?答案是肯定的,我们只要按照如下步骤进行操作就可以了: 为了能够通过远程控制方式来管理域控制器服务器中的活动目录,我们首先需要在服务器系统中做一些准备工作。先以特权帐号登录进局域网域控制器系统,在该系统中执行网上搜索操作,将Windows Server 2000系统的SP4补丁包下载到本地服务器硬盘中,之后通过专业的解压缩程序将SP4补丁包解压到系统中的一个临时文件夹中;再打开对应系统的资源管理器窗口,从中找到临时文件夹并用鼠标右键单击该文件夹图标,从弹出的快捷菜单中选择“共享”命令,在其后界面中将SP4的解压文件夹设置为共享状态。 完成上面的准备工作后,我们可以在局域网的任意一台能够访问域控制器的计算机系统中,双击桌面上的“网上邻居”图标,进入对应的“网上邻居”窗口,从中找出域控制器服务器的主机名称,再用鼠标双击该主机名称,之后在弹出的身
win2003额外域控制器升级为主域控制器 2010-03-19 23:46:46 标签:控制器 win2003额外域控制器升级为主域控制器 公司https://www.doczj.com/doc/368701964.html,(虚拟)有一台主域控制器https://www.doczj.com/doc/368701964.html,,还有一台额外域控制器https://www.doczj.com/doc/368701964.html,。现主域控制器(https://www.doczj.com/doc/368701964.html,)由于硬件故障突然损坏,事先又没有https://www.doczj.com/doc/368701964.html,的系统状态备份,没办法通过备份修复主域控制器(https://www.doczj.com/doc/368701964.html,),我们怎么让额外域控制器(https://www.doczj.com/doc/368701964.html,)替代主域控制器,使Activate Directory 继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制器恢复。 如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。 --------------------------------------------------------------- 一、从AD中清除主域控制器https://www.doczj.com/doc/368701964.html,对象 3.1在额外域控制器(https://www.doczj.com/doc/368701964.html,)上通过ntdsutil.exe工具把主域控制器 (https://www.doczj.com/doc/368701964.html,)从AD中删除; c:>ntdsutil ntdsutil: metadata cleanup metadata cleanup: select operation target select operation target: connections server connections: connect to Domain https://www.doczj.com/doc/368701964.html, server connections: quit select operation target: list sites Found 1 site(s) 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain No current server No current Naming Context select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com Found 1 domain(s) 0 - DC=test,DC=com select operation target: select domain 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com No current server No current Naming Context select operation target: List servers for domain in site Found 2 server(s)
域控制器安装入门图解教程 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台, 则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集 中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们 现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加 方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到 如下画面:
向下搬运右边的滚动条,找到“网络服务”,选中: 默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只 需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:
Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。 安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以 看到“Active Directory安装向导” 在这里直接点击“下一步”:
子域控制器的安装与配置 实验名称:子域控制器的安装与配置成绩: 实验日期:年月日实验报告日期:年月日 一、实验目的 1.掌握子域控制器的安装与配置。 2.掌握子域控制器、额外域控制器与域控制器之间的关系。 二、实验环境 1、一台完成了第一台服务器的典型配置的服务器 2、一台没有任何服务器角色的Windows server 2003服务器 3、用交叉线连起来,没有任何服务器角色的Windows server 2003服务器与完成了第一台服务器的典型配置的服务器IP地址在同一个网段内,且没有任何服务器角色的Windows server 2003服务器的首选DNS服务器设置为完成了第一台服务器的典型配置服务器的IP地址 三、实验内容 1、子域控制器的安装与配置 四、实验步骤、过程 1、执行“开始”→“管理工具”→“配置您的服务器向导”,弹出“配置您的服务器向导”对话框。
2、单击“下一步”按钮,打开“预备步骤”对话框,按照列表一一确认预备步骤是否已经准备好; 3、单击“下一步”按钮,打开“服务器角色”对话框,表中列出的是当前计算机的服务器角色,可以为服务器添加或删除角色。选择“域控制器 (Active Directory)”,单击“下一步”;
4、出现“选择总结”对话框,单击“下一步”; 5、打开“Active Directory 安装向导”;
6、单击“下一步”按钮,出现“操作系统兼容性”对话框,显示不能与Windows server 2003系统Active Directory域控制器进行联网的Windows操作系统。 7、单击“下一步”按钮,打开“域控制器类型”对话框。在这里选择“新域的域控制器”;
额外域控制升级为主域控制器(一) 额外域控制升级为主域控制器(一) 一、实验环境: 域名为test. 1、原主域控制器 System: windows 20003 Server FQDN: PDC.test. IP:192.168.50.1 Mask:255.255.255.0 DNS:192.168.50.1 2、辅助域控制器 System: windows 2003 Server FQDN:BDC.test. IP: 192.168.50.2 Mask: 255.255.255.0 DNS:192.168.50.1 3、Exchange 2003 Server FQDN:mail.test. IP:192.168.50.3 Mask:255.255.255.0 DNS:192.168.50.1 也许有人会问,做辅域升级要装个Exchange干什么? 其实我的目的是为了证明我的升级是否成功,因为Exchange和AD是紧密集成的,如果升级失败的话,Exchange应该就会停止工作。如果升级成功,对Exchange应该就没有影响,其实现在我们很多的生产环境中有很多这样的情况。 二、实验目的: 在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制,从而不影响所有依靠AD的服务。 三、实验步骤 1、安装域控制器。第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装 DNS组件。在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。
实操AD域架构及文件服务器架构 AD组织架构分别有以下组织单位:行政管理、文控中心、办公室部门、车间部门
1、行政管理HR&GM组织单位----------新建组织单位----------- 新建组-------- -新建User (1)新建组织单位 总经组、人力资源部 总经组:组织单位新建组 总经理组 新建User Xxxxxxxxxxxxxxxxxxxxxxxxxxx
人办资源部组:组织单位新建组 人力资源部管理者组安全组------------全局 人力资源部助理1组安全组------------全局 人力资源部助理2组安全组------------全局 人力资源部助理3组安全组------------全局 人力资源部组安全组------------全局 新建User Xxxxxxxxxxxxxxxxxx 2、文控中心组织单位----------新建组织单位----------- 新建组-------- -新建Use (1)新建组织单位 文控中心DDC 文控中心:组织单位新建组 文控中心组 新建User Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
3、办公室Office 组织单位----------新建组织单位 ----------- 新建组-------- -新建User (1)新建组织单位 体系组、技术部、生产部、电脑部、研发部、营业部、设备部、财务部、质量部、进出口部、采购部
体系组:组织单位新建组 休系工程师组安全组----------全局体系管理者组安全组-----------全局体系技术员组安全组-----------全局体系文员组安全组----------全局体系组安全组----------全局新建User Xxxxxxxxxxxxxxxxxxxxxxxxxxx
部署Windows Server 2008 R2域控制器 通过多年来AD在企业中的部署,技术人员几乎都知道与活动目录相关的一系列概念了,如:域、域树、域林、OU和站点,还有域控制器(DC)等。那么,对于一个AD来讲是从哪里开始实现的呢? 也许有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。 由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。 一、DC网络属性的基本配置 对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP 属性。作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。
AD 域DNS 分离+额外域控制器安装 及主域控制器损坏解决方法 对于域控制器的安装,我们已经知道如何同DNS 集成安装,而且集成安装的方法好处有:使DNS 也得到AD 的安全保护,DNS 的区域复制也更安全,并且集成DNS 只广播修改的部分,相信更多情况下大家选择集成安装的方式是因为更简洁方便。当然你也许会遇到这样的情况:客户的局域网络内已经存在一个DNS 服务器,并且即将安装的DC 控制器负载预计会很重,如果觉得DC 本身的负担太重,可把DNS 另放在一台服务器上以分担单台服务器的负载。 这里我们设计的环境是一台DNS 服务器(DNS-srv )+主域控制器(AD-zhu )+额外域控制器(AD-fu 点击查看额外控制器的作用),另外为了检验控制器安装成功与否,是否以担负其作用,我们再安排一台客户端(client-0)用来检测。(其中由于服务器特性需要指定AD-zhu 、AD-fu 、DNS-srv 为静态地址) huanjing.png 对于DC 和DNS 分离安装,安装顺序没有严格要求,这里我测试的环境是先安装DNS 。先安装DC 在安装DNS 的话,需要注意的就是DC 安装完后在安装DNS 需要重启DC 以使DNS 得到DC 向DNS 注册的SRV 记录,Cname 记录,NS 记录。那么我们就以先安装DNS 为例,对于实现这个环境需要三个大步骤: 1.DNS 服务器的安装; 2.DC 主控制器的安装; 3.DC 额外控制器的安装。 接下来我们分步实现······ 为了更加了解DC 和DNS 的关系,安装前请先参阅:(v=ws.10) 安装 Active Directory 的 DNS 要求 在成员服务器上安装 Active Directory 时,可将成员服务器升级为域控制器。Active https://www.doczj.com/doc/368701964.html, AD-zhu DC 192.168.23.20 Client-0 客户端 192.168.23.40 DNS-srv DNS 192.168.23.10 AD-fu 额外DC 192.168.23.30
使用 Active Directory(R) 域服务 (AD DS) 服务器角色,可以创建用于用户和资源管理的可伸缩、安全及可管理的基础机构,并可以提供对启用目录的应用程序(如Microsoft(R) Exchange Server)的支持。 AD DS 提供了一个分布式数据库,该数据库可以存储和管理有关网络资源的信息,以及启用了目录的应用程序中特定于应用程序的数据。运行 AD DS 的服务器称为域控制器。管理员可以使用 AD DS 将网络元素(如用户、计算机和其他设备)整理到层次内嵌结构。内嵌层次结构包括 Active Directory 林、林中的域以及每个域中的组织单位 (OU)。 1、使用本地管理员登录。 2、修改计算机名为“DC” 3、更改计算机名后,需要重新启动服务器。 4、设置服务器固定IP。 5、通过服务器管理器中添加角色,进行域服务角色安装。(注windows server 2012中已不能使用dcpromo进入域安装向导) 6、默认选择“下一步”。
7、选择“基于角色或基于功能的安装”。下一步。 8、选择本地服务器“DC”。下一步。 9、选择“Active Directory域服务。 10、默认选项。下一步。 11、默认选项。下一步。 12、选择“如果需要,自动重新启动目标服务器”。按“安装”。(备注:指定备用源路径,指向windows server 2012安装盘) 13、安装完成。按“关闭”。
14、选择服务器任务详细信息,选择“部署后配置”按:将此服务器提升为域控制器。 15、选择“添加新林”,填写根域名:。 16、选择林和域功能级别是windows server 2003,提供域控制器功能,选择“域名系统(DNS)服务器。默认是选“全局编录”。并设置活动目录还原密码。 17、默认选择下一步。 18、默认显示NetBIOS是MCITP。 19、默认选择下一步。 20、显示安装信息,下一步。 21、查看导出安装AD脚本。
域服务器的配置与实现(Windows Server2003) 法一: 1、dns服务器设置 a)开始—程序—管理工具—管理服务器角色—添加删除角色—域控制器(默认) 2、域控制器设置 法二: 一、域服务器的配置: 1.步骤: 1.0:计算机必须安装TCP/IP协议且IP地址最好为静态IP地址, 配置DNS服务器地址为网络中维护该区域DNS服务器的IP地址, 如下图:
1.1:点击开始?运行cmd,输入dcpromo命令,运行,出现【Acrive Directory安装向导】对话框; 1.2:安装配置Active Directory 【Acrive Directory安装向导】对话框: 1.2.1域控制类型:
选中【新域的域控制器】,下一步。 1.2.2创建一个新域: 选中【在新林中的域】,下一步。
1.2.3新的域名: 指定新域的DNS名称,一般应为公用的DNS域名,也可是部网使用的专用域名。 例如:hd.rjxy.。下一步。 1.2.4NetBI O S域名-默认 指定新域的NetBIOS名称。这是为了兼容以前版本Windows用户。该名默认为DNS名称最左
侧的名称,也可指定不同的名称。下一步。 1.2.5志文件文件夹:默认 指定这两种文件的文件夹位置,保留默认值即可。下一步。 1.2.6共享的系统卷:默认
指定存储域公用文件的文件夹,保持默认即可。下一步。 1.2.7DNS注册诊断 提示建立DNS服务器。 因为我们此前没有安装配置过DNS,所以诊断失败。这不是问题,我们让它自动安 装配置。 选中第2个,下一步。 1.2.8权限:默认
安装部署域控制器 本软件系统的主要技术实现手段是通过网络把远端服务器上的映像文件完全仿真成本地磁盘。在这个仿真的“本地磁盘”上同样可以引导和启动操作系统以及运行其他软件,并保持原貌不做任何的更改。虚拟硬盘的加载与真实硬盘处于同一层面,因而不存在任何兼容性问题。若客户端系统使用的是微软支持域功能的桌面操作系统,则同样可以完成加域操作,并和有盘系统一样接受活动目录(ActiveDirectory)的管理以及进行其他相关应用。 1.ActiveDirectory相关 a)什么是活动目录(ActiveDirectory)? 活动目录是一种目录服务,目录服务包括三方面的功能:组织网络中的资源,提供对资源的管理,对资源的访问控制。活动目录服务通过将网络中各种资源的信息保存到一个数据库中来为网络中的用户和管理员提供对这些资源的访问,管理和控制,这个数据库叫做活动目录数据库。 b)关于目录与目录服务 要想理解什么是活动目录(ActiveDirectory),必须先理解什么是目录(Directory)和目录服务(DirectoryService)。在计算机中使用的“目录”和现实生活中使用的“目录”很相似,都是存储以某种方式相关联的信息集。如通讯录存储用户名称和相应的电话号码,还可能包括关于该用户的的地址或其他信息。 目录服务就是用户通过其提供的服务来使用目录中的信息。用于识别网络中的各种资源,使用户和应用程序能够访问这些资源,并将这些资源集中存储,使用和管理这些资源的全部信息,因而简化了查找和管理这些资源的过程。 c)如何实现活动目录服务? 域是活动目录的一种实现形式,也是活动目录最核心的管理单位和复制单位。一个域由域控制器和成员计算机及用户组成。域控制器(DomainControler)就是安装了活动目录服务的一台计算机,简称DC。在域控制器上,每一个成员计算机都有一个计算机账号,每一个域用户都有一个域用户账号。域管理员可以在域控制器上实现对域用户账号和计算机账号及其他资源的管理。 域还是一种复制单位,我们在域中可以安装多台域控制器,域管理员可以在任何一台域控制器上创建和修改活动目录对象。域控制器之间可以自动的同步,或者复制这样一种更新。 2.创建活动目录服务——部署域控制器 域控制器,DomainController,是实现ActiveDirectory的载体和控制单位。要良好的进行活动目录服务,域控的安装部署以及管理至关重要。 部署网络中的第一台域控制器 实验环境
将额外控制器升级为主域控制器 前两天打雷,一台额外域控制器(windows 2003 DC服务器)主板击坏,无法维修,还好,主域控服务器(Windows 2003 )没有什么事,现购买一台新机作为服务器,打算把新机升级为主域控制器,原来的主域降级为额外域控制器; 一、新服务器安装好Windows 2003企业版操作系统及更新补丁,具体大家都会做,不用多说了; 二、在控制面板--添加删除程序--点击添加删除组件,出现新窗口,点击网络服务,选择如下服务(WINS,DHCP,DNS,简单TCP/IP服 务); 点击确定,放入windows2003光盘到光驱;
三、将Windows 2003升级为额外域控制器,使用Dcpromo命令,出现升级向导,如下图: 点击下一步,选择现在域的额外域控制器;接下来输入域控制器的管理员帐号和密码及域名(例:https://www.doczj.com/doc/368701964.html,); 输入完成后点击下一步,直到完成(中间步骤省略),重启服务器;这样就安装成功额外域控制器; 四、接下来,在管理工具中,点击Active Directory 站点和服务,自动创建了连接,出现如下窗口,如图:
在主域控打开Active Directory 站点和服务,立即复制副本,(如上图)正常会提示Active Directory 已复制了连接; 在额外域控打开Active Directory 站点和服务,立即复制副本,(如上图)正常会提示Active Directory 已复制了连接; 最好查看一下日志看有没有错误;同时检查一下DNS看有没有同步; 五、将额外域升级为主域控制器; 1、将DC-SRV主域的FSMO,五种角色转移到BDC-SRV上,别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。
域服务器的部署方案(总3页) -CAL-FENGHAI.-(YICAI)-Company One1 -CAL-本页仅作为文档封面,使用请直接删除
域服务器和文件服务器部署方案 一.域服务器的作用 1.安全集中管理统一安全策略 2.软件集中管理按照公司要求限定所有机器只能运行必需的办公软件。 3.环境集中管理利用AD可以统一客户端桌面,IE,TCP/IP等设置 4.活动目录是企业基础架构的根本,为公司整体统一管理做基础其它exchange,防病毒服务器,文件服务器等服务依赖于域服务器。二.域服务器的部署。 1.域服务器的安装。 域控的安装是为了更好的管理客户端,域的用户默认的都是user的权限,对有些软件安装权限和升级的权限是禁用的。还有网络ip的修改权限的禁用。所以整体规划需要对各部门的权限进行策略控制。如营销中心的PC 全部为users的权限,设计中心需要用一些设计软件,可以给予administrators的权限具体权限控制管理下面会详细列出。
1.建立ou 和组织架构。 按公司的组织架构进行建立OU,然后OU里建立好计算机,组和用户,统一给予用户一个统一密码,由客户端自行修改密码。 2.客户端加入域。 将客户端的DNS指向域控服务器,然后在我的电脑(win7为计算机)上右键属性更改计算机名点更改隶属于输入域的名复称为https://www.doczj.com/doc/368701964.html, 计算机统一命名规则为如营销中心北区为MCN-001 英文缩写加编号,配合execl 表格做。 加入域然后输入用户名密码重启计算机用域用户就可以加入域里了。
3.加入域后,如果只有user权限的用户,要用OA精灵,QQ,360 软件,需要进本地管理员帐号,进行设置权限,给予需要运行的软件文件夹可写,可读的权限。然后本地的管理员的权限全部收回,统一设置一个密码,便于以后方便维护。 三.域服务器的备份 为保证系统遇到硬盘损坏的情况下,可以正常恢复数据,所 以需要建立日常的备份机制。 1.域服务器每月对AD数据的C盘进行一次,全盘备份。其他时间 计划为每天进行一次增量备份。每周对AD数据库进行一次备份,数据存储在D盘。 2.同时用软件拷贝一份到,另一台PC机上,做二次备份。 3.文件服务器每天进行增量备份。数据也存储在D盘。同时用软件 命令拷贝一份到,另一台PC机上,做二次备份。 具体的备份操作见,域服务器备份的操作手册。
D E L L R服务器配置R 及安装服务器系统以及 域的控制 集团标准化办公室:[VV986T-J682P28-JP266L8-68PNN]
DELL R730服务器配置RAID及安装服务器系统以及域的控制 CPU:e5-2609 v3内存2*8GB硬盘:4*2TB阵列卡:H330,忘记拍安装导轨及上架的图片了,这个已经装上机柜了。 首先开机进行RAID配置 在启动界面显示按CTRL+R的画面的时候,按CTRL+R 进行到虚拟磁盘管理器界面 这里忘记拍图了,在网上找的图片 首先进入到VG MGMT菜单(这里可以用CTRL+NT和CTRL+P切换菜单) 按F2展开虚拟磁盘创建菜单 选择create new VD创建新的虚拟磁盘 RAID LEVEL选项,可以看到所支持的RAID级别,根据硬盘数量的不同,这里显示的也会有区别,我有4块2T硬盘,做RAID5。这里选择RAID5回车确定。 由于划分RAID5后,硬盘总大小还有6TB,大于2TB不支持BIOS启动,先划分个小磁盘安装系统。 勾选要加入RAID的磁盘,在VD SIZE处输入磁盘容量 做完RAID的效果 CTRL+N切换到PD MGMT菜单,可以看到磁盘的状态为ONLINE。 这里不用保存,直接ESC退出重启即可。 下面接着来安装操作系统,我这里安装的是WINDOWS SEVER 2008 R2 重启到这个界面,按F10 进入到Lifecycle Controller界面
选择OS部署 第一项是先设置RAID,由于刚才已经设置过了,所以选择下面的选项,直接安装系统。 (DELL客户不建议在这里做RAID,所以在开机时先按CTRL+R,在虚拟磁盘管理器界面配置了RAID。) 启动模式选择BIOS,选择系统为2008 选择手动模式,把系统光盘放入光驱。 检查没有问题,点击完成并重启。
主域控制器系统安装及配置 一、W2K Server安装(请参考《Windwos 2000 Advanced Server安装手册》) 注意事项: 1、将W2K Ad Server安装盘放入光驱,安装光盘自动检测运行。 2、创建C盘,空间建议在10G左右,用NTFS格式(如果已装过系统,建议重新分区) 3、每服务器同时连接数字,建议输入999,(或者根据网络站点情况输入相应站点) 4、输入规划的计算机名:DBSERVER 5、在选择安装程序组件中,去掉IIS 6、正常安装系统 7、系统安装完毕后,启动进入系统,放入服务器导航盘安装驱动,把有问号的设备全部重 新安装驱动程序,详见下图
8、进入W2K Server 界面,装SP4,装完重启 9、配置IP地址,第一个域控不用设DNS,默认为127.0.0.1,以后配置的域控DNS指向第 一个域控 二、服务器配置 在服务器配置选项中,选择“网络中已有一个或多个服务器在运行”,见下图
三、Active Directory和 DNS安装 确定操作系统安装完全、网卡驱动安装正确、IP设置正确、网络已有连接后,才可以开始Active Directory和 DNS安装 在服务器配置中,点击Active Directory,选择启动,见下图 DBSERVER作为全网第一个域控,因此采用如下方法进行配置:
1、选择新的域控制器 2、创建一个新的域目录树 3、创建一个新的域目录林
4、输入新域的DNS全名,如 https://www.doczj.com/doc/368701964.html, 5、输入新域的NetBIOS名,如 sztv 6、数据库与日志位置,选择默认 7、sysvol文件夹位置,选择默认
图解WINDOWS SERVER 2008 R2 域控制器安装过程 有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC 时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。 一、DC网络属性的基本配置 对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络
环境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。 图1 由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的,所以,最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”(如图2)。
公司环境描述: 用户现有Windows2003域控制器两台,两台域控制器上分别安装有DNS服务器,共同维护现有活动目录集成区域。 现在存在的问题和要求: 问题:用户主域控制器前段时间因为感染病毒和其他软件问题导致主域控制器运行很不稳定,现在需要对主域控制器进行重新安装系统以解决这个问题。 要求:因为域控制器上存储有大量用户帐号信息,所以在对域控制器进行系统安装的时候要求不能造成用户帐户信息丢失。同时在对域控制器系统进行重新安装后对网络客户端访问网络资源和认证不能产生影响。 解决方案: 主要步骤: 1.备份现有主域控制器和备份域控制器系统 2.检查和配置活动目录集成的DNS区域 3.把GC(全局编录)移置到额外域控制器上 4.转移域里的5种角色 5.在主域控制器上运行DCPROMO删除AD,额外域控制器被提升为主域控制器 6.删除AD成功后,重新安装Windows2003,再运行DCPROMO安装AD,将该计算机配置成为本域中的额外域控制器。 7.在新安装的服务器上安装并配置DNS服务器
8.测试系统 详细步骤: 1.备份现有主域控制器和备份域控制器操作系统 1)准备一张包含GHOST8.3程序的可引导光盘 2)进入服务器BIOS更改服务器引导顺序,将光盘放在启动设备的第一位。 3)启动电脑到DOS状态 4)启动ghost,如下图,依次点击local\Partition\ToImage 5)下面是选择要备份的分区,保存的位置和文件名 选择镜像文件保存的位置 6)选择压缩压缩方式(如下图): 2.检查和配置活动目录集成的DNS区域 1)检查主域控制器DNS配置 首选DNS应该设置为辅助域控制器安装的DNS服务器 点击开始---程序-----管理工具---DNS---右键相关正向区域----选择“属性”查看主域控制器的DNS服务器如下所示: 类型:应该为“ActiveDirectory集成区域” 复制:应该为“ActiveDirectory域中的所有域控制器” 动态更新为:安全 2)检查辅助域控制器DNS配置 首选DNS应该设置为主域控制器安装的DNS服务器
域控制服务器教程 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
【WIN08R2 Active Directory】之一部署企业中第一台Windows Server 2008 R2域控制器 【WIN08R2 Active Directory】之一部署企业中第一台Windows Server 2008 R2域控制器 作者:刘力科日期:2010-05-27 前言 对于活动目录(AD)来讲,从Windows 2000到现在有非常多的文章在对其进行探讨,微软公司每推出一代新的Windows系统,这一重要服务技术不管是从功能上还是从性能上都在不断进步。在此,以最新Windows Server 2008 R2(以后简称WIN08R2)系统为例,从零开始讲述关于WIN08R2活动目录相关技术。希望能一直坚持写完! ——胖哥 通过多年来AD在企业中的部署,技术人员几乎都知道与活动目录相关的一系列概念了,如:域、域树、域林、OU和站点,还有域控制器(DC)等。那么,对于一个AD来讲是从哪里开始实现的呢? 也许有人将是从第一台DC开始的。的确,AD的起点是从安装第一台DC开始的。但是,可能很少有人会意识到在安装第一台DC时,实际上是在部署AD的第一个域——根域,第一棵域树,乃至实现一个单域的域林。只不过这个林中只有一棵域树,这棵域树中只有一个域,而且域中就只有这一台计算机——第一个DC。 由此可见,在企业中即使是在部署安装第一台DC之前,所考虑的并不仅仅是怎样去安装一台域控制器那么简单,而是要考虑好整个域林、域树的规划,以及相关服务,如:DNS服务等的规划的部署。并且要考虑清楚,每一个服务实现的位置,每一个步骤实现的做法。只有这样走下来,所部属的AD才能更大的满足现在和以后的需要。在此,由安装域林中第一台DC的过程,可以了解到在部署前需要考虑的一系列基本问题。 一、DC网络属性的基本配置 对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP 地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址(如图1)。