【Windows Server 2019】活动目录 (Active Directory) ——安装Acitve Directory域服务和提升为域控制器

5. 安装 Active Directory 域服务

实验目的

在服务器DNS1上安装AD，并将此AD提升为域控制器，最后检验DNS1是否成为域控制器。

5.1 配置服务器的IP地址

• IP地址：192.168.82.201
• 子网掩码：255.255.255.0
• 首选DNS服务器：192.168.82.201

5.2 安装Active Diretory服务

（1）添加角色和功能

打开服务器DNS1上的服务器管理器，点击【添加角色和功能】。

（2）进入【开始之前】界面

提示开始【添加角色和功能】前需要完成的任务。点击【下一步】。

（3）进入【安装类型】界面

使用默认选项【基于角色或基于功能的安装】，点击【下一步】。

（4）进入【服务器选择】界面

默认已经选中当前服务器，点击【下一步】。

（5）进入【服务器角色】界面

选择【Active Directory 域服务】。

在弹出的的【添加角色和功能导向】对话框中，单击【添加功能】，确认要安装的内容。

返回到【服务器角色】界面，确认【Active Directory 域服务】已经勾选，点击【下一步】。

（6）进入【功能】界面

使用默认选项，点击【下一步】。

（7）进入【AD DS】界面

AD DS即Active Directory Domain Services。该界面介绍了AD DS的功能，及相关注意事项。不做任何操作，点击【下一步】。

（8）进入【确认】界面

对前面所选择的安装内容进行确认。如果想要修改，点击【上一步】返回前面步骤修改即可。确认安装内容正确后，点击【安装】。

（9）进入【结果】界面

系统开始安装所选择角色和功能，安装过程会持续一段时间。

安装完成后关闭。

5.3 将服务器提升为域控制器

进入【Active Directory域服务配置向导】的方法有两个：

第一个方法是：在AD域服务安装】结果【界面中点击【将此服务器提升为域控制器】，即可进入域控制器的配置界面。

第二个方法是：打开服务器管理器，点击左边栏目的AD DS，系统会提示DNS中的Active Directory域服务所需的配置，点击更多。

进入【所有服务器 任务详细消息】界面，在详细信息中点击【将此服务器提升为域控制器】。

（1）进入【部署配置】界面

在【选择部署操作】中选择最下面的【添加新林】，并将【根域名】设置为fjnu.local。点击【下一步】

• 创建新林时，必须为林根域指定名称。 林根域名不能为单标记 (例如，它必须是 “contoso.com” 而不是 “contoso” ) 。 必须使用合法的 DNS 域命名约定。
• 不要使用与外部 NDS 名称相同的名称创建新 Active Directory 林。 例如，如果 互联网 DNS URL 是 http： / /contoso.com，则必须为内部林选择不同的名称，以避免将来出现兼容性问题。 该名称应具有唯一性，且不会产生 Web 流量，比如 corp.contoso.com。
• 在创建新林的服务器上，你必须属于管理员组的成员。
  

（2）进入【域控制器选项】界面

在【选择新林和根域功能级别】中均选择默认的Windows Server 2016。在【目录服务还原模式密码】中输入【密码】和【确认密码】。密码需要满足复杂性要求，即需要有大小写字母和数字。

• 默认情况下，林和域功能级别设置为 Windows Server 2016。
  功能级别决定了可用的 Active Directory 域服务 (AD DS) 域或林功能。 功能级别还决定了管理员可以在域或林中的域控制器上运行哪些 Windows Server 操作系统。 但是，功能级别不会影响已加入域或林的工作站和成员服务器上运行哪些操作系统。
  部署 AD DS 时，建议将域和林功能级别设置为环境可以支持的最高值。 因为最高值可以尽可能使用更多的AD DS 功能。 部署新的林时，系统会提示设置林功能级别，然后设置域功能级别。 可以将域功能级别设置为高于林功能级别的值，但不能将域功能级别设置为低于林功能级别的值。
  目前在Windows Server 2019上域和林支持的功能级别有Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016。
• 创建新林时，默认情况下选择 DNS 服务器。 林中的第一个域控制器必须是全局目录 (GC) 服务器，且不能是只读域控制器 (RODC)。
• 需要目录服务还原模式 (DSRM) 密码才能登录未运行 AD DS 的域控制器。 指定的密码必须遵循应用于服务器的密码策略，且默认情况下无需强密码；仅需非空密码。 总是选择复杂强密码或首选密码。

（3）进入【DNS选项】界面

用于指定DNS委派，由于该服务器第一次安装DNS，所以忽略警告信息，点击【下一步】。

（4）进入【其他选项】界面

系统会自动设置NetBIOS域名，使用系统设置即可，点击【下一步】。

（5）进入【路径】界面

指定 AD DS 数据库 (NTDS.DIT)、日志文件和 SYSVOL 的位置。 对于本地安装，可以浏览到要用于存储文件的位置。使用默认位置即可，点击【下一步】

（6）进入【查看选项】界面

该界面用于检查和验证前面所做的配置选择。 这不是停止使用服务器管理器安装的最后一次机会。 此页只是让管理员先查看和确认设置，然后再继续配置。确认无误后，点击【下一步】

• 【查看选项】界面还提供可选的查看脚本按钮，可将包含当前 AD DS Deployment 配置的 Unicode 文本文件创建为一个 Windows PowerShell 脚本。 这样，管理员可以将【Active Directory域服务配置向导】界面的配置转变 Windows PowerShell 脚本命令用于 Windows PowerShell 部署工作台。此过程将创建有效且语法正确的示例，以便做进一步修改或直接使用。也可以导出后用于其他服务器安装。

（7）进入【先决条件检查】界面

当前面所有的配置条件符合系统要求后，检查通过后，会提示【所有先决条件检查都成功通过】，这时候，点击【安装】，系统会在安装完后自动重启。

• 检查不通过的场合，需要在查看结果中查询，哪里不符合安装要求，再次配置完成后，点击【重新运行先决条件检查】。

对于结果中两个黄色感叹号的警告。

解决方法：the net logon service on windows server 2008 and newer domain controll

（8）进入【安装】界面

正在安装中。安装过程会持续一段时间。

（9）进入【结果】界面

安装完后，系统自动重启设置使服务器加入域fjnu.local。

（10）重启

系统自动重启后发现，该服务器已经加入了FJNU域中。

tips：当计算机加入AD域时，之前的用户名和密码被系统默认暂时删除，因此local/administrator为无效用户名。所以无法用加入AD域之前的用户名登录。当计算机脱离AD域后，之前的用户名和密码被系统恢复，用户可以继续使用administrator登录计算机。

5.4 域控制器验证

（1）验证DNS

在重启电脑后，打开DNS管理器。

服务器管理器——>工具——>DNS——>DNS正向查找区域——>fjnu.local

系统自动创建了fjnu.local区域，同时在该区域注册了域控制器的相关信息。

（2）验证域控制器

打开Active Diretory管理中心。

服务器管理器——>工具——>Active Diretory管理中心——>fjnu（本地）——>Domain Controllers

可以看到 Domain Controllers 显示DNS的类型是域控制器。说明域控制器安装部署成功。

参考资料

• 戴有炜，《2016 Windows Server 系统配置指南》，清华出版社，2018
• Microsoft Docs：AD DS Installation and Removal Wizard Page Descriptions
• Microsoft Docs：Forest and Domain Functional Levels