3.2 新手任务——安装Windows Server 2016域控制器

【任务描述】

企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。虽然活动目录具有强大的功能，但是安装Windows Server 2016操作系统时并未自动生成活动目录。因此，管理员必须通过安装活动目录来建立域控制器，并通过活动目录的管理来实现针对各种对象的动态管理与服务。同时客户机登录域的操作是组建域网络必不可少的部分，也是网络管理员应该熟练掌握的基本技能之一。

【任务目标】

作为网络管理员，只有明确安装域控制器的条件和准备工作，掌握域网络的组建流程和操作技术，才能在服务器上安装好Windows Server 2016操作系统。为此，可以启用活动目录安装向导，成功安装活动目录后，使一个独立服务器升级为域控制器。同时通过任务，还应能够区分登录窗口，例如是登录域而不是登录本机的登录框。

3.2.1 建立第一台域控制器

活动目录是Windows Server 2016非常关键的服务，它不是孤立的，与许多协议和服务有着非常紧密的关系，并涉及整个操作系统的结构和安全。因此，活动目录的安装并非一般Windows组件那样简单，必须在安装前完成一系列的准备，注意事项如下。

1）文件系统和网络协议：Windows Server 2016所在的分区必须是NTFS，同样活动目录必须安装在NTFS分区，服务器要正确安装网卡驱动程序，并启用TCP/IP。

2）域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。在组建一个全新的Windows Server 2016网络时，所安装的第一台域控制器将生成第一个域，这个域也被称为根域，选择根域最为关键。

根域名字的选择可以有以下三种方案：①使用一个已经注册的DNS域名作为活动目录的根域名，使得企业的公共网络和私有网络使用同样的DNS名字；②使用一个已经注册的DNS域名的子域名作为活动目录的根域名；③活动目录使用与已经注册的DNS域名完全不同的域名，使企业网络在内部和互联网上呈现出两种完全不同的命名结构。

3）域名策划：目录域名通常是该域的完整DNS名称，如“abc.net”。同时，为了确保向下兼容，每个域还应当有一个与Windows 2000 Server以前版本相兼容的名称，如“abc”。

注意

在使用TCP/IP的网络中，DNS是用来解决计算机名字和IP地址的映射关系的。活动目录和DNS的关系密不可分，它使用DNS服务器来登记域控制器的IP地址、各种资源的定位等，因此在一个域林中至少要有一个DNS服务器存在。Windows Server 2016中的域也是采用DNS的格式来命名的，在安装域控制器时，操作系统将同时安装DNS服务。

为了本任务说明的方便，以图3-13中的拓扑为样本，在该网络的域林中有两个域树：nos.com和iot.com，其中nos.com域树下有win.nos.com子域，在nos.com域中有两个域控制器，a.nos.com和b.nos.com；win.nos.com子域中除了有一个域控制器（b.win.nos.com）外，还有一个成员服务器（a.win.nos.com）。先创建nos.com域树，再创建iot.com域树，将其加入林中。

用户要将自己的服务器配置成域控制器，应该首先安装活动目录，以发挥活动目录的作用。系统提供的活动目录安装向导，可以帮助用户配置自己的服务器，如果网络没有其他域控制器，可将服务器配置为域控制器，并新建子域、新建域目录树。如果网络中有其他域控制器，可以将服务器设置为附加域控制器，加入旧域、旧目录树。

在Windows Server 2016中安装活动目录可以参照下述步骤进行操作。

1）在“服务器管理器”仪表板中，单击“添加角色和功能”选项来安装“Active Directory域服务”角色，和前面介绍安装“Hyper-V”角色的操作基本上差不多，在此不一一阐述，只简要介绍操作中不同的地方。“开始之前”“安装类型”“服务器选择”等界面和前文一样，在“添加角色和功能向导”界面中，勾选“Active Directory域服务”角色，如图3-14所示，列举了Active Directory域服务所需要的管理工具等。

2）单击“下一步”按钮，依次在“功能”→“AD DS”对话框中进行相应的设置，如图3-15所示，在“确认”对话框，如果确认无误可以单击“安装”按钮开始安装。

3）安装过程所花费的时间并不是很长，安装完毕会自动打开“服务器管理器”的仪表板，和未安装Active Directory域服务以前相比，仪表板上多了“AD DS”的服务器图标，如图3-16所示。

4）可以看到Active Directory域服务已经安装，但此时当前服务器还未作为域控制器运行，因此需要单击仪表板上部出现黄色惊叹号的“任务”图标，提示部署服务后应进行相应的配置，在弹出的面板中选择“将此服务器提升为域控制器”选项，如图3-17所示。

5）进入“Active Directory域服务配置向导”的“部署配置”对话框，如图3-18所示。如果以前在同一网络中其他服务器上安装过Active Directory，可以选择“将域控制器添加到现有域”或“将新域添加到现有域”选项，由于本次操作是第一次配置域服务，应选择“添加新林”选项，在“根域名”区域输入规划好的域名“nos.com”。

6）单击“下一步”按钮，进入“域控制器选项”界面，如图3-19所示，默认选择“林功能级别”为“Windows Server 2016”，“域功能级别”为“Windows Server 2016”，“指定域控制器功能”默认勾选“域名系统（DNS）服务器”复选框，设置目录服务还原模式的密码。

注意

① 此处所选择的林功能级别为“Windows Server 2016”，此时域功能级别只能选择“Windows Server 2016”。若选择其他林功能级别，此处可以选择其他域功能级别，不同的林功能级别和域功能级别有不同的特点。

② 系统会检测是否有已安装好的DNS，由于没有安装其他的DNS服务器，系统会自动选择“域名系统（DNS）服务器”复选框来一并安装DNS服务，使得该域控制器同时也作为一台DNS服务器，该域的DNS区域及该区域的授权会被自动创建。由于林中的第一台域控制器必须是全局编录服务器，且不能是只读域控制器（RODC），所以这两个复选框为灰色，为不可选状态。

③ 输入目录服务还原模式密码：目录还原模式是一个安全模式，进入此模式可以修复AD DS数据库，不过进入目录服务还原模式前需输入此处所设置的密码。

7）单击“下一步”按钮，进入“DNS选项”界面，如图3-20所示，“指定DNS委派”选项出现警告信息。DNS委派是指DNS服务器将某些区域的解析委托给其他DNS服务器负责，DNS区域的委派是针对子域DNS区域而言的，目前是配置第一个域，所以就无所谓委派了，可以忽略。

8）单击“下一步”按钮，进入“其他选项”界面，如图3-21所示，系统会自动出现默认的NetBIOS域名，NetBIOS名称的意义在于，让其他早期Windows版本的用户可以识别新域，有点类似计算机名称的作用。

9）单击“下一步”按钮，进入“路径”界面，如图3-22所示，需要指定数据库、日志文件和SYSVOL所在的卷及文件夹的位置。

注意

数据库存储有关用户、计算机和网络中的其他对象的信息。日志文件记录与活动目录服务有关的活动，例如有关当前更新对象的信息。SYSVOL存储组策略对象和脚本。默认情况下，SYSVOL是位于%windir%目录中的操作系统文件的一部分，必须位于NTFS分区。如果在计算机上安装有独立磁盘冗余阵列（Redundant Array of Independent Disks，RAID）或几块磁盘控制器，建议将数据库和日志文件分别存储在不包含程序或者其他非目录文件的不同卷（或磁盘）上，因为两块硬盘分开工作可以提高读写效率，而且分开存储可以避免两份数据同时出现问题，以提高AD DS数据库的能力。

10）单击“下一步”按钮，进入“查看选项”界面，显示要安装的Active Directory服务相关的管理工具和模块等，单击“下一步”按钮，进入“先决条件检查”界面，如图3-23所示，如果所有先决条件检查都成功通过，就可以直接单击“安装”按钮，否则就要根据界面提示先排除问题，有些小的问题可以忽略不计。

11）安装完成后会要求重新启动计算机，此时的登录界面和以前有些不同：系统管理员“Administrator”名称添加了NetBIOS名“NOS”，单击登录界面左下角用户图标，可以在域管理员用户与其他用户之间切换，如图3-24所示。

12）以系统管理员身份登录安装域的计算机之后，选择“开始”→“Windows管理工具”命令，查看Windows Server 2016的管理工具安装域前后出现的变化，如图3-25所示。

注意

1）菜单中增加了有关活动目录的多个管理工具，其中，“Active Directory管理中心”可以在活动目录中管理和发布信息，执行常见的活动目录对象管理任务；“Active Directory用户和计算机”用于管理活动目录的对象、组策略和权限等；“Active Directory域和信任关系”用于管理活动目录的域和信任关系；“Active Directory站点和服务”用于管理活动目录的物理结构站点；“ADSI编辑器”可以通过脚本技术实现活动目录的自动化操作，还可以通过查询目录来快速获得目录信息；“DNS”用来管理与配置DNS服务器；新的管理方式“Active Directory管理中心”构建在Windows Powershell技术之上，域管理员管理域的每个操作都可以通过“Windows Powershell历史记录”显示详细的处理过程。

2）在活动目录安装之后，不但服务器的开机和关机时间变长，而且系统的执行速度也变慢，所以如果用户对某个服务器没有特别要求或不把它作为域控制器来使用，可将该服务器上的活动目录删除，使其降级成为成员服务器或独立服务器。要删除活动目录，打开“开始”菜单，选择“运行”命令，打开“运行”对话框，输入“dcpromo”命令，然后单击“确定”按钮，打开“Active Directory安装向导”对话框，并按照向导的提示进行删除即可。

安装了域的服务器的配置会发生比较大的变化，主要表现在以下两个方面。

1）计算机名称和网络类型：在系统属性“计算机名”选项卡中，发现计算机名称已由“Ycserver2016”变成“Ycserver2016.nos.com”，原来工作组“Workgroup”变成域“nos.com”，如图3-26所示。注意此时服务器已变成了域控制器，单击“更改”按钮，已不再能更改服务器计算机名和网络类型。

2）服务器DNS设置：在“Internet协议版本4（TCP/IPv4）”属性对话框中，发现首选DNS服务器地址由原来的“192.168.1.1”变为“127.0.0.1”，并删除了原来备用DNS服务器的设置地址“202.103.24.68”，如图3-27所示。

安装完成之后，可以在服务器上确认域控制器是否安装成功，具体的方法如下。

1）由于域中的所有对象都依赖于DNS服务，因此，首先应该确认与域控制器集成的DNS服务器的安装是否正确：执行“开始”→“所有程序”→“Windows管理工具”→“DNS”命令，打开如图3-28所示的窗口，选择“正向查找区域”选项，可以看到与域控制器集成的正向查找区域的多个子目录，这是域控制器安装成功的标志。

2）域控制器是活动目录的存储位置，相当于一个单位的门卫一样，应确认这个“门卫”是否存在：执行“开始”→“所有程序”→“Windows管理工具”→“Active Directory用户和计算机”命令，在“Active Directory用户和计算机”窗口中双击“Domain Controllers”选项，可以看到安装成功的域控制器图标，如图3-29所示。

3）执行“开始”→“命令提示符”命令，进入DOS命令提示符状态，输入“nslookup”，在交互式模式下输入“nos.com”，若能查询到它的地址“192.168.1.101”，则代表域控制器所依赖的DNS服务器配置成功，如图3-30所示。

4）执行“开始”→“命令提示符”命令，进入DOS命令提示符状态，输入“ping nos.com”，若能ping通，则代表域控制器成功安装，如图3-31所示。

注意

① nslookup是一个监测网络中DNS服务器是否能正确实现域名解析的命令行工具，它用来向Internet域名服务器发出查询信息。

② ping（Packet Internet Groper，因特网包探测器）是Windows系统自带的一个可执行命令，用于测试网络连接量的程序。ping发送一个ICMP回声请求消息给目的地，并报告是否收到所希望的ICMP回声应答。一般用于检测网络通与不通，用时延来表示，其值越大，速度越慢。它是用来检查网络是否通畅或者网络连接速度的命令。对网络管理员来说，这是一个必须掌握的命令。它所利用的原理是这样的：网络上的计算机或设备都有唯一的IP地址，给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包可以确定目标主机的存在，用好它可以很好地帮助我们分析判定网络故障。

3.2.2 客户机登录到域

域中的客户机既可以是安装了Windows 10操作系统的计算机，也可以是Windows Server2016操作系统的服务器。前者成为普通的域工作站，后者将成为域的成员服务器。安装Windows系列操作系统的各类客户机加入域的操作过程十分相似。下面仅以安装Windows 10操作系统的客户机为例，对于安装了其他操作系统的客户机，可以参照进行。

1）首先以Windows 10计算机管理员的身份登录本机，由于在设置客户端时会更改本机的设置，因此必须先以本机管理员的身份登录，否则系统的许多选项不能更改。登录时，“用户名”文本框应输入“Administrator”，“密码”文本框应输入在系统安装过程中确定的管理员密码。此时，登录使用的用户名及密码，会在本机的目录数据库中进行登录验证。

2）在需要加入域的计算机上，执行“开始”→“控制面板”→“系统和安全”→“系统”命令，在打开的“查看有关计算机基本信息”窗口中，单击“更改设置”按钮，弹出系统属性“计算机名”选项卡，如图3-32所示。

3）单击“更改”按钮，打开“计算机名称更改”对话框，在“隶属于”选项区中，选中“域”单选按钮，输入Windows 10工作站要加入的域名“nos.com”，单击“确定”按钮，系统要求输入用户管理员名称和密码。注意：此时应输入在域控制器中具有将计算机加入域权限的用户账号（NOS\Administrator）以及相应的密码，而不是计算机本身的系统管理员账号和密码。

4）如果域控制器验证通过后，弹出“计算机名/域更改”的对话框，表示本地计算机已经成功加入域“nos.com”，如图3-33所示。

5）单击“确定”按钮，系统会要求重新启动计算机。当计算机重新启动后，可以使用两种方式登录：本地用户账户与域用户账户。本地用户账户是经常使用的方式，如图3-34所示，系统默认使用本地系统管理员“Administrator”身份登录，只要输入本地系统管理员的密码就可以登录，将使用本地计算机的目录数据库进行登录数据的验证。

6）使用域用户账户登录，在登录界面中单击“其他用户”，如图3-35所示，输入域系统管理员的账户名“NOS\Administrator”与密码来登录，通过网络上传到域控制器中的活动目录数据库中进行验证。

7）使用域用户账户成功登录进入系统之后，在域控制器上执行“开始”→“所有程序”→“Windows管理工具”→“Active Directory用户和计算机”命令，在“Active Directory用户和计算机”窗口，双击“Computers”选项，可以看到刚刚成功加入域的计算机图标，如图3-36所示。

8）在使用域用户账户成功登录进入Windows 10系统之后，系统桌面看似没有什么变化，但此时和本地用户账户登录有很多区别，例如不能进行桌面图标的设置，如图3-37所示，提示没有适当的权限访问项目。后面将会深入学习相关权限的设置。