windows2008 server-建立子域

本次课程将给大家介绍AD中站点和子网的功能、站点和子网之间的关联，以及相关的设置步骤。

应用背景介绍：contoso公司的总部在西安（Xian），陕南的汉中（Shannan）和陕北的榆林（Shanbei）分别设有分公司，分别负责陕南和陕北的业务。

contoso公司的全体员工人数是150人，因为整个公司的资源对象不多，所以采用单域结构实现了整个公司的IT架构管理。

公司的员工分布在三地（西安、陕南和陕北），为了便于三地员工访问AD的资源，所以分别创建了Xian、Shannan、Shanbei三个站点。

并且在三个站点分别部署了三台DC：DC1负责西安地区的用户做查询AD的动作、DC2负责陕南、DC3负责陕北（每个站点内都至少放置了一台DC）。

而三个站点都通过DDN专线相互联系。

在DC1上打开“Active Directory 站点和服务”可以查看到西安、陕南、陕北三个地区的站点。

从上图中可以看出两方面内容：一方面：在每个站点中都有一台DC。

每个DC都可以根据“Active Directory 站点和服务”中的结构判断自己是属于哪一个站点为哪一个站点工作的（为所属站点的用户提供查询服务）。

另一方面：在subnets（子网）中有三个子网，分别是192.168.66.0/24 、192.168.88.0/24、192.168.99.0/24。

这三个子网分别给三个站点的成员机用来识别自己是属于哪一个站点，该连接到哪一台DC上去做查询。

而上面这样的设置就可以解决上面contoso公司的IT架构管理问题。

那么具体怎么样做设置？站点的概念是什么？这样做有什么用呢？下面咱们一步步来设置。

操作步骤：1、分别把三台服务器升级成DC2、打开“Active Directory 站点和服务”分别创建三个站点的名字为“Xian” “Shannan” “Shanbei”。

3、分别把DC1、DC2、DC3 从默认站点中移动到“Xian” “Shannan” “Shanbei” 三个站点。

5-2 创建Active Directory 域我们使用下图来介绍如何创建第1个林中的第1个域（根域）。

创建域的方法是先安装一台Windows Server 2008服务器，然后将其升级为域控制器。

再架构此域的第二台域控制器（Windows Server 2008）、一台成员服务器（Windows Server 2008）与一台加入域的Windows Vista 计算机。

首先将上图左上角的服务器升级为域控制器，也就是在其内安装Active Directory 。

当运行这个升级工作时，因为它是第一台域控制器，因此这个升级过程会同时完成以下的工作：☻ 创建第一个林☻ 创建此新林中的第一个域树状目录☻ 创建此新域树状目录中的第一个域☻ 创建此新域中的第一个域控制器在创建上图中第一台域控制器 时，它会同时创建此域控制器所属的域 ，同时也会创建域 所属的域树状目录，而域第一台域控制器 &DNS 服务器 IP:192.168.8.1/24 DNS:192.168.8.1 第二台域控制器IP:192.168.8.2/24DNS:192.168.8.1成员服务器 IP:192.168.8.3/24 DNS:192.168.8.1 加入域的WindowsVista vista IP:192.168.8.4/24DNS:192.168.8.1也是此域树状目录的根域。

由于这是第一个域树状目录，因此它同时也会创建一个新林，林名就是第一个域树状目录的根域的域名，也就是。

域就是整个林的林根域。

5-2-1 创建域的必要条件在将Windows Server 2008服务器升级为域控制器前，请注意以下事项：☻DNS域名请提前为Active Directory域想好一个符号DNS格式的域名，例。

☻DNS服务器由于域控制器需要将自己登记到DNS服务器内，以便让其他计算机通过DNS 服务器来找到这台域控制器，因此必须要有一台可支持Active Directory的DNS服务器，也就是它必须支持SRV RR，且最好能支持动态更新。

域网络的搭建目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2008，客户端则采用Windows7系统。

第一步首先，当然是在成员服务器上安装上Windows Server 2008，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 注意：网络设置使用静态ip机器名:ServerIP:192.168.0.59子网掩码:255.255.255.0默认网关:192.168.0.1DNS:192.168.0.59(因为我要把这台机器配置成DNS服务器) dns的安装就不做介绍了第二步安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”: 这里是一个兼容性的要求，选择windows2008及以上的操作系统来做为客户端。

然后点击“下一步”: 在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”: 在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“FM”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

在这里要指定AD数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。

这里是指定SYSVOL文件夹的位置，还是那句话，没有特殊情况，不建议修改:第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。

引用：/zh-cn/library/cc733006(WS.10).aspx安装新的Windows Server 2008 域树更新时间: 2009年1月应用到: Windows Server 2008, Windows Server 2008 R2如果您是在Windows Server 2008 林中安装新的Windows Server 2008 域树，则没有必要在开始安装之前准备林。

但是，如果您是在Windows Server 2003 或Windows 2000 Server 林中安装新的Windows Server 2008 域树，则必须首先运行Adprep 来准备林，然后才能安装运行Windows Server 2008 的第一个域控制器。

重要事项根据需要使用以下过程安装新的Windows Server 2008 域树：∙为运行Windows Server 2008 的域控制器准备Windows 2000 或Windows Server 2003 林架构（如有必要）。

∙使用以下三种方法之一安装新的域树：∙使用Windows 界面安装新的Windows Server 2008 域树∙使用命令行安装新的Windows Server 2008 域树∙使用答案文件安装新的Windows Server 2008 域树为运行Windows Server 2008 的域控制器准备Windows 2000 或Windows Server 2003 林架构更新时间: 2009年9月应用到: Windows Server 2008, Windows Server 2008 R2若要将运行Windows Server 2008 的域控制器添加到运行Windows 2000 Server 或Windows Server 2003 的Active Directory 环境中，必须先更新Active Directory 架构。

实验一搭建Windows Server 2008域结构网络一实验目的1、组建一个最小的计算机网络实验环境，即有两个独立的操作系统且这两个操作系统可以通过以太网进行通信。

2、学习Windows Server 2008 中Active Directory 的安装方法。

3、掌握域、域树、域林的构建方法。

二实验环境需要搭建的网络拓扑结构类似下图。

图1 基于Windows Server 2008域结构的网络拓扑图具体要求如下：1、在单个计算机中构建虚拟网络实验环境、基于C/S或B/S结构的软件调试环境，完成软件安装环境的构建。

2、利用VMware软件虚拟出一台计算机（称为“虚拟机”或“虚拟系统”），作为目标机。

建议安装方式：在XP系统中，安装虚拟的Windows Server 2008系统，以后实验一般都在虚拟系统中完成。

要求物理机与虚拟机IP地址对应起来（即第1台虚拟机主机地址=物理机主机地址+100，第2台虚拟机主机地址=物理机主机地址+200），方便管理。

3、操作系统：Windows Server 2008；2~3 台计算机组成一个合作小组，可以通过网上邻居互相访问。

在以下的实例中以两台计算机为例构建不同的域结构。

三实验内容1、Windows Server 2008安装与配置体会虚拟系统的优点。

通过实验掌握在VMware中安装虚拟系统的操作方法，通过操作学会设置、管理、迁移虚拟系统。

（1）安装虚拟机系统：使用的软件版本号为VMware Workstation-v7，运行安装程序，一般只需按照默认选项设置即可。

（2）安装虚拟计算机系统安装完虚拟机系统以后，就象组装了一台计算机，该计算机必须安装操作系统才能使用。

首次安装选择窗口“Home”◊“New Virtual Machine”，安装过程中根据向导提示进行。

完成后即可在VMware主界面中出现Windows Server 2008的引导选项卡。

（3）安装操作系统选中并启动（“Start this Virtual Machine”）Windows 2008系统，此时虚拟机窗口中显示的进程与实际计算机安装时的进程完全一致，放入操作系统安装光盘，按提示完成安装。

Win2008—-——文件服务器一．项目概况小明是一家从事信息技术的台资企业的网管，公司有总经理办公室,人事部,财务部，技术部等部门，共计员工150位，所用客户机均为xp系统，为方便公司电子办公，提高效率，公司需要搭建一台文件服务器，用于上传和下载公司部门资料。

二．实施任务描述注意：接下来做的全部在域环境下的。

由于没有强烈要求。

所以在这里我就直接在域环境下做了。

1）建立各部门相对应的用户组.建立各部门用户组，为各部门用户建立相应的账号(每个部门至少两个账号:一名经理与一名普通话员工）并添加到所在的部门组。

在ad用户和计算机里面创建ou。

为总经理。

部门创建好了，接下来在ou里面创建两个用户和本地域组。

这里为什么选择本地域组呢？因为有些权限本地域才可以达到.本地域组创建好后,把经理和普通用户加入到本地域组。

组和用户都已经创建好。

两个用户已经被添加到本地域组了。

建立其它部门的用户和组在这里我就不截图了。

步骤同上。

2）密码至少6位及为复杂密码.开始--—管理工具—组策略管理—--找到相应的域。

打开组策略编辑器。

密码策略更改好了。

需要刷新下策略.Gpupdate。

3）实现所有用户的工作环境与管理员相同.这里需要首先在文件服务器里面打开c盘,用户下面，到对话框的上面点查看,工具，文件夹选项。

显示隐藏文件夹。

会出现一个default文件夹.把里面的文件全部删除.这时候把用户下面的administrator文件夹里面的文件全部复制到default文件夹里（注意：这时候肯定复制不了。

因为administrator里面的配置文件正在被管理员使用，这时我们得把部门里面的用户加入到到本地管理员组里面，让他有权限复制和登录.这是用于进去要复制东西。

不然就不用加入管理员组.直接可以在组策略里设置允许交互式登录。

(这是在域环境下。

如果在工作组下面就不用这么麻烦了。

）用jingli用户登录.把c盘用户下的administrator里的文件全部复制到default里面。

2015-2016学年度网络、网站专业网络1401、网络1402、网站1401 班 windows server 2008 网络操作系统课程教案(12) 在【目录服务还原模式的Administrator密码】向导页中，设置在目录服务还原模式(DSRM)下启动此域控制器的密码;(13) 在【摘要】向导页中，显示前面所进行的设置以便用户检查;(14) 在【Active Directory域服务安装向导】警告框中，提示正在根据所设置的选项配置Active Directory;(15) 配置完成;(16) 提示重新启动计算机;(17) 系统已升级为Active Directory域控制器，此时必须使用域用户账号登录，其格式是“域名\用户账户;(18)【Active Directory用户和计算机】窗口2.检查DNS服务器内SRV记录的完整性1）SRV记录的作用它是DNS服务器的数据库中支持的一种资源记录的类型，它记录了哪台计算机提供了哪个服务这么一个简单的信息。

2）目的：使其他域成员和域控制器通过SRV记录发现此域控制器。

3）检查方法：(1) 首选DNS改成指向自己的IP地址(系统默认：127.0.0.1）(2) 打开【DNS管理器】窗口，检查DNS服务器内的SRV记录是否完整上面区域内有4项下面的区域有6项课间休息1.将Windows计算机加入域（35min）教师在教师机上给学生演示查看过程1）目的：必须加入到域，才能接受域的统一管理，使用域中的资源Home版不能添加到域中2）添加到域的步骤：(1) 在【Internet协议(TCP/IP)属性】对话框中，指定DNS服务器的地址；(2) 打开【系统属性】对话框，在【计算机名】选项卡中，单击【更改】按钮；(3) 在【计算机名称更改】对话框中，选中【隶属于】选择区域的【域】单选按钮，输入要加入的域的名称(4) 输入具有将计算机加入到域权限的账户名称和密码；(5) 验证通过，加入域成功；(6) 关闭【系统属性】对话框，系统提示重新启动计算机以便使用所做的改动；(7) 打开【Active Directory用户和计算机】窗口，选择控制台树中Computers节点，就可以看到新加入域的客户机2.使用已加入域的计算机登录1）Windows XP客户端2）Windows Vista/ 7、2008客户端请同学上来在教师机上演示，教师指导。

目录一、搭建域控制器步骤 (2)二、搭建额外域控制器步骤（可搭建多个额外域控制器） (1)三、创建计算机账号和用户账号 (16)四、将员工电脑加入域 (22)五、将员工电脑退出域 (24)六、组策略--设置员工登录域后加入本地管理员组（这样员工自己可以安装卸载软件） (28)七、组策略—员工电脑禁用可移动磁盘 (31)八、组策略—密码复杂性 (32)九、组策略—域控制器不可用时客户机仍可以继续登录 (32)十、域共享文件夹和备份到额外域控制器 (33)一、 搭建域控制器步骤FERT 公司拓扑如下所示：1. DNS 前期准备DNS 服务器对域来说是不可或缺的，一方面，域中的计算机使用DNS 域名，DNS 需要为域中的计算机提供域名解析服务；另外一个重要的原因是域中的计算机需要利用DNS 提供的SRV 记录来定位域控制器，因此我们在创建域之前需要先做好DNS 的准备工作。

那么究竟由哪台计算机来负责做DNS 服务器呢？一般工程师有两种选择，要么使用域控制器来做DNS 服务器，要么使用一台单独的DNS 服务器。

这里直接使用域控制器来做DNS 服务器。

2.设置域控制器的TCP/IP 属性IP 地址设为静态，首选DNS 设为127.0.0.13.Win 键+R 输入dcpromo ，开始域控制器的创建主域控制器（也是DNS 服务器） 额外域控制器（也用DNS 服务器）员工电脑员工电脑 员工电脑 员工电脑交换机阅读操作兼容性说明，单击下一步按钮；在“选择某一部署配置”页面中，选择“在新林中新建域”；在“命名林根域”页面输入目录林根域的FQDN名，这里命名为;在“选择林功能级别”页面中选择林功能级别；注，以下是各种级别的支持度。

在“其他域控制器选项”页面中选择“DNS服务器”；设置数据库、日志文件和SYSVOL的存储位置；这里选择默认；在“目录还原模式的Administrator密码“页中，输入密码；在“摘要“页，检查所有的选择，单击下一步；开始安装和配置活动目录服务；安装完成后单击“完成”，如下图所示，服务器需要重启；二、搭建额外域控制器步骤（可搭建多个额外域控制器）设置TCP/IP属性为静态IP地址，DNS设为第一台域控制器的IP地址。

Windows Server 2008域服务器配置全部的选择：将该服务器配置为新林中的第一个 Active Directory 域控制器。

新域名为 newhome.tianye。

这也是新林的名称。

域的 NetBIOS 名称为 NEWHOME林功能级别: Windows Server 2008域功能级别: Windows Server 2008站点: Default-First-Site-Name其他选项:只读域控制器: 否全局编录: 是DNS 服务器: 是创建 DNS 委派: 否数据库文件夹: F:\Windows\NTDS日志文件文件夹: F:\Windows\NTDSSYSVOL 文件夹: F:\Windows\SYSVOL将在此计算机上安装 DNS 服务器服务。

将在此计算机上配置 DNS 服务器服务。

此计算机将会配置为使用此 DNS 服务器作为其首选 DNS 服务器。

新域 Administrator 的密码将与此计算机的本地 Administrator 的密码相同。

安装的事件摘要：级别事件ID 日期和时间来源信息2014 2009/10/6 18:26:25 Microsoft-Windows-ActiveDirectory_DomainService "Active Directory 域服务成功地完成重新建立下列数量的索引。

索引: 5"信息2013 2009/10/6 18:26:24 Microsoft-Windows-ActiveDirectory_DomainService "Active Directory 域服务正在重新建立下列数量的索引，这是初始化的一部分。

索引: 5"警告1463 2009/10/6 18:26:23 Microsoft-Windows-ActiveDirectory_DomainService "作为初始化的一部分，Active Directory 域服务已检测到并删除了某些可能已损坏的索引。

Windows server 2008域管理第一章Windows server 2008域的安装与管理指定林根域的名称：如密码要指定为强密码，就是复杂一点，如p@sswOrd这里指定为 p@sswOrd.Ip地址子网掩码网关地址 Dns服务器地址最好为静态地址，以防客户端加入域时遇到故障。

服务器的ip地址要和客户端的ip地址在同一个网段内，DNS服务器地址统一。

一：首先我们先安装活动目录， active directory（1）单机“开始”打开“运行”输入 dcpromo 单击确定按钮。

（2）弹出“active directory 域服务安装向导”选择“使用高级模式安装”下一步(3)选择“在新林中新建域”单击下一步（4）为域控制器指定名称“”（5）单击“下一步”“下一步”即可。

（6）弹出“设置林功能级别”在这里我们选着 windows server 2003，以防万一我们所在的域里面有其它的域控制器而导致不能正常通信的问题。

下面介绍一下这三种的林功能级别。

Windows xpWindows 2000 林功能级别提供在 Windows 2000 Server 中可用的所有 Active Directory 域服务功能。

如果您的域控制器运行的是更高版本的 Windows Server，则当该林位于 Windows 2000 功能级别时，某些高级功能将在这些域控制器上不可用。

Windows Server 2003Windows Server 2003 林功能级别提供在 Windows 2000 林功能级别中可用的所有功能，以及下列其他功能:- 链接值复制，它可以改善对组成员身份更改的复制。

- 由 KCC 更有效地生成复杂复制拓扑。

- 林信任，它允许机构轻松在多个林之间共享内部资源。

在该林中创建的任何新域将在 Windows Server 2003 域功能级别自动运行。

Windows Server 2008此林功能级别不提供 Windows 2003 林功能级别之上的任何新功能。

WindowsServer2008ActiveDirectory配置指南-l...一、Active Directory Domain Services(AD DS)in the Windows Server 2008 network enviroment ,Active Directory Domain Services(AD DS),provide with organizing、managing、controlling network resources.1-1 active directory domain services overviewdirectory :telephone directory;file directory如果这些directory内的数据能够系统的加以整理的话，用户就能够容易且迅速的查找到所需文件。

Active Directory的组成是directory，域内的directory是用来存储用户帐户、计算机帐户、打印机与共享文件夹等对象，我们把这些对象的存储地点称为目录数据库（directory database）。

Active Directory 域内负责提供目录服务的组件就是active directory域服务，active directory domain services它负责目录数据库的存储、添加、删除、修改与查询操作。

1-1-1 active directory domain service scopeactive directory domain service 可以用在一台计算机、LAN或者数个WAN的联合，它包含此范围所有的对象，例如文件、打印机、应用程序、服务器、域控制器与用户帐户等。

1-1-2nameSpacebounded area ,一块界定好的区域，在此区域内，我们可以利用某个名称来找到与这个名称有关的信息。

active directory 域服务内，active directory就是一个名称空间，在active directory内我们可以通过对象名来找到与这个对象相关的所有的信息。