建立AD DS域

建立AD DS域前的准备工作

在建立AD DS域前，先要确认以下准备工作是否已经完成

• 选择适当的DNS域名
• 准备好一台用来支持AD DS的DNS服务器
• 选择AD DS数据库的存储位置

选择适当的DNS域名

AD DS域名是采用DNS的架构与命名方式，因此要先为AD DS域取一个符合DNS格式的域名，例如：h2o.com

准备好一台支持AD DS的DNS服务器

在AD DS域中，域控制器会将自己所扮演的角色注册到DNS服务器内，以便让其他计算机通过DNS服务器来找到这台域控制器，因此需要一台DNS服务器，并且它需要支持SRV记录，同时支持动态更新、Incremental Zone Transfer与Fast Zone Transfer等功能

• SRV记录：域控制器需将其所扮演的角色注册到DNS服务器的SRV记录内，因此DNS服务器必须支持此类型的记录(Windows Server的DNS服务器域BIND DNS服务器都支持此功能)
• 动态更新：虽然不一定需要具备动态更新功能，但是建议具备此功能，否则域控制器无法自动将自己注册到DNS服务器的SRV记录内，此时便需由系统管理员手动将数据输入到DNS服务器，如此势必增加管理负担(Windows Server的DNS服务器域BIND DNS服务器都支持此功能)
• Incremental Zone Transfer：它让此DNS服务器与其他DNS服务器之间在执行区域传递时，只会复制最新变动记录，而不是复制区域内的所有记录(Windows Server的DNS服务器域BIND DNS服务器都支持此功能)
• Fast Zone Transfer：它让DNS服务器可以利用快速区域传送将区域内的记录复制给其他DNS服务器。快速区域传送可对数据压缩，每一条传送消息内可包含多条记录(Windows Server的DNS服务器域BIND DNS服务器都支持此功能)

搭建DNS服务器

搭建DNS服务方式：

• 方式1：在将服务器升级为域控制器时，同时让系统自动在这台服务器上安装DNS服务器角色。系统还会自动在此DNS服务器内建立一个支持AD DS域的区域，并自动启用安全动态更新。
• 方式2：使用现有DNS服务器或另外安装一台DNS服务器，然后再这台DNS服务器内建立用来支持AD DS域的 区域，然后启用动态更新功能

选择AD DS数据库的存储位置

域控制器需要利用磁盘空间来存储以下三个与AD DS有关的数据：

• AD DS数据库：用来存储AD DS对象
• 日志文件：用来存储AD DS数据库的变动日志
• SYSVOL文件夹：用来存储域共享文件(例如与组策略有关的文件)

   

建立AD DS

建立AD DS的域控制器的具体步骤：

• 在这台即将称为域控制器与DNS服务器计算机上，将其首选DNS服务器的IP地址设置为自己的IP地址

• 检查服务器操作系统的版本，是否支持安装Active Directory域服务

• 检查用户角色，是不是超级管理员Administrator

• 打开服务器管理器，单击仪表板处的添加角色和功能
• 持续单击"下一步"按钮，勾选Active Directory域服务，单击"添加功能"按钮

• 持续单击"下一步"按钮，直到确认安装所选内容界面中单击"安装"按钮
• 完成安装后的界面上，单击将此服务器提升为域控制器

• 选择添加新林、设置林根域名称(假设是h2o.com)，单击"下一步"按钮

• 选择林功能级别、域功能级别，勾选在此服务器上安装DNS服务器和全局编录，已经设置目录服务还原模式的系统管理员密码
  • 域功能级别不能低于林功能基本
  • 第一台域控制器需要扮演全局编录服务器角色
  • 第一台域控制器不能是只读域控制器(RODC)

• 出现下图的警告界面时，因为目前不会有影响，因此不必理会它，直接单击"下一步"按钮

• 如图，会自动为此域设置一个NetBIOS域名，也可以更改此名称。如果该NetBIOS域名已被占用的话，安装程序会自动指定一个建议名称，完成后单击"下一步"按钮

• 按需修改以下三个文件夹的保存位置，单击"下一步"按钮

• 在查看选项界面中单击"下一步"按钮
• 顺利通过检查后，就直接单击"安装"按钮，否则请根据界面提示先排除问题。安装完成后会自动重新启动

   

确认AD DS域是否正常

检查DNS服务器内的记录是否完备

域控制器会将其主机名、IP地址与所扮演角色等数据注册到DNS服务器，以便让其他计算机能够通过DNS服务器找到此域控制器，因此我们先检查DNS服务器内是否有这些记录。利用域管理员账户登录

• 检查主机记录：检查域控制器是否已将其主机名与IP地址注册到DNS服务器内

(到兼具DNS服务器角色的服务器上单击 开始 -> Windows管理工具 -> DNS)

• 利用DNS控制台检查SRV记录

如果域控制器已经正确将其扮演角色注册到DNS服务器的话，则还会有下图所示的 _tcp、_udp等文件夹。图中_tcp文件夹右侧数据类型为服务位置(SRV)的_ldap记录，表示DC1.h2o.com.已经成功地注册为域控制器。由图中_gc记录还可以看出全局编录服务器的角色也是DC1.h2o.com.所扮演

域控制器不但会将自己所扮演的角色注册到_tcp、_sites等相关的文件夹内，还会另外注册到_msdcs文件夹。如果DNS服务器是在安装AD DS时同时安装的，则它除了会自动建立一个用来支持AD DS区域的(h2o.com)外，还会建立一个名称为_msdcs.h2o.com的区域，它时专供Windows Server域控制器来注册的，此时域控制器会将其信息注册到_msdcs.h2o.com区域内，而不是_msdcs文件夹。如下图

• 利用NSLOOKUP命令检查SRV记录

可以利用NSLOOKUP命令来检查DNS服务器内的SRV记录。

具体步骤：

• 单击 开始 -> Windows Power shell
• 执行nslookup
• 输入"set type=srv"，表示要显示SRV记录
• 输入"_ldap._tcp.dc._msdcs.h2o.com"后按Enter，由图中可看出域控制器DC1.h2o.com.已经成功地将其扮演LDAP服务器角色的信息注册到DNS服务器内

  

• 还可以利用更多类似的命令来查看其他SRV记录，例如：_gc._tcp.h2o.com命令来查看扮演全局编录服务器的域控制器。可以利用ls -t SRV h2o.com命令来查看所有的SRV记录，不过需要事先在DNS服务器上将h2o.com区域的允许区域传送权限开放给查询计算机，否则会查询失败，并且会显示Query refused的警告消息。