【Windows Server 2019】活动目录 (Active Directory) ——子域的安装和验证

7. 创建子域

本次实验目的

在DNS3上安装AD域服务，将DNS3提升为子域user.fjnu.local的域控制器，检验子域的域控制器信息。

7.1 配置服务器DNS3的IP地址

7.2 安装Active Diretory服务

该步骤请参考5.1

7.3 将服务器DNS3提升为user.fjnu.local的域控制器

当AD服务安装完成后，安装进度条显示AD服务已在DNS3上安装成功。

点击【结果】界面中的【将此服务器提升为域控制器】。

（1）进入【部署配置】界面

选择【将新域添加到现有林】，【选择域类型】为子域，【父域名】为fjnu.local，【新域名】为user。

以上操作需要提供操作凭据，所以点击【更改】，在弹出【部署操作的凭据】对话框中，输入域管理员用户和密码。

域管理员的用户名和密码即是在5.3 节中设置的。

由于设置的是子域，所以在域管理员用户前面加上完整域名：fjnu.local\administrator。

由于操作凭据需要到DNS1中校验，所以必须确保DNS1正常工作，而且DNS1和DNS3通信正常。

返回【部署配置】界面，输入无误后，点击【下一步】，如果DNS1对DNS3中的凭据验证通过则进入【域控制器选项】界面，否则会提示错误信息。

（2）进入【域控制器选项】界面

默认选择【域名系统(DNS)服务器】和【全局编录】，设置【键入目录服务还原模式密码】，点击【下一步】

• 默认情况下， 由于林功能级别设置为 Windows Server 2016，所以域功能级别设置为 Windows Server 2016。
• 可配置的域控制器选项包括【DNS 服务器】和【全局目录】；不能将只读域控制器配置为新域（第一个子域）的第一个域控制器。
  Microsoft 建议所有域控制器都提供 DNS 和全局目录服务，以在分布式环境中实现高可用性，这就是在创建新域时向导默认情况下启用这些选项的原因。
• 【域控制器选项】页还可以从林配置中选择相应的 Active Directory 逻辑【站点名称】。 默认情况下，将选择具有最合适子网的站点。 如果只有一个站点，将自动选择该站点。

（3）进入【DNS选项】界面

系统会自动检测其父域DNS1上开启了DNS服务，将在DNS1上的DNS服务器中为本子域创建DNS委派，即把子域的域名解析委派给DNS3。因此默认勾选【创建DNS委派】，点击【下一步】。

（4）进入【其他选项】界面

系统将自动设置NetBIOS域名，使用系统设置即可，点击【下一步】。

（5）进入【路径】界面

指定 AD DS 数据库 (NTDS.DIT)、日志文件和 SYSVOL 的位置。 对于本地安装，可以浏览到要用于存储文件的位置。使用默认位置即可，点击【下一步】。

（6）进入【查看选项】界面

该界面用于检查和验证前面所做的配置选择。 确认无误后，点击【下一步】。

（7）进入【先决条件检查】界面

当前面所有的配置条件符合系统要求后，检查通过后，会提示【所有先决条件检查都成功通过】，这时候，点击【安装】，系统会在安装完后自动重启。

（8）进入【安装】界面

正在安装中。安装过程会持续一段时间。

（9）进入【结果】界面

安装完后，系统自动重启设置使服务器加入域user.fjnu.local。

7.4 验证 DNS3 是 user.fjnu.local 的域控制器

系统重启后进入登录界面，发现已经自动加入了user.fjnu.local区域。

（1）验证DNS

1）打开DNS3上的【DNS管理器】，安装程序自动为服务器DNS服务设置了转发器。即将本服务器解析不了的域名转发到DNS1和DN2中，使得子域可以访问父域的资源。

2）DNS3上的DNS服务自动创建了区域：user.fjnu.local，并在该区域注册了子域控制器DNS3的信息，即添加了关于DNS3的A记录

（2）验证子域控制器

打开【Active Directory管理中心】，点击左侧【user(本地)】右边的黑色箭头，选择【Domain Controller】。

可以看到在显示界面，存在一台域控制器，DNS3。

这说明DNS3已经成为user.fjnu.local区域的域控制器。

（3）验证子域和父域信任关系

再次点击左侧【user(本地)】右边的黑色箭头，选择【System】。

可以看到在显示界面，fjnu.local的类型是受信任域。

打开DNS1上的【DNS管理器】，该服务器上的DNS服务自动为新域user，并在新域user中注册了DNS3的信息，即相当于子域委派。

在DNS1上打开【Active Directory管理中心】，点击左侧【user(本地)】右边的黑色箭头，选择【System】。

可以看到在显示界面，use.fjnu.local的类型是受信任域。

参考资料

• 戴有炜，《2016 Windows Server 系统配置指南》，清华出版社，2018
• Microsoft Docs：AD DS Installation and Removal Wizard Page Descriptions
• Microsoft Docs：Forest and Domain Functional Levels