单元一：Windows Server 2008域与活动目录任务一：安装Windows Server 2008域控制器任务描述：企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。

虽然活动目录具有强大的功能，但是安装Windows Server 2008操作系统时并未自动生成活动目录。

因此，管理员必须通过安装活动目录来建立域控制器，并通过活动目录的管理来实现针对各种对象的动态管理与服务。

同时客户机登录域的操作也是组建域网络必不可少的部分，也是网络管理员应该熟练掌握的基本技能之一。

任务目标：作为网络管理员，只有明确安装域控制器的条件和准备工作，掌握域网络的组建流程和操作技术，才能在服务器上安装好Windows Server 2008操作系统。

为此，可以启用活动目录安装向导，成功安装活动目录后，将使得一个独立服务器升级为域控制器。

同时通过任务，还应能够区分登录窗口，例如是登录域不是登录本机的登录框。

任务实施：一、建立第一台域控制器：活动目录是Windows Server 2008非常关键的服务，它不是孤立的，与许多协议和服务有着非常紧密的关系，并涉及整个操作系统的结构和安全。

因此，活动目录的安装并非一般Windows组件那样简单，必须在安装前完成一系列的准备，注意事项如下：（1）文件系统和网络协议：Windows Server 2008所在的分区必须是NTFS文件系统，同样活动目录必须安装在NTFS分区，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP协议。

（2）域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。

在组建一个全新的Windows Server 2008网络时，所安装的第一台域控制器将生成第一个域，这个域也被称为根域，选择根域最为关键。

根域名字的选择可以有以下几种方案：使用一个已经注册的DNS域名作为活动目的根域名，使得企业的公共网络和私有网络使用同样的DNS名字。

使用一个已经注册的DNS域名的子域名作为活动目录的根域名。

活动目录使用与已经注册的DNS域名完全不同的域名，使企业网络在内部和互联网上呈现出两种完全不同的命名结构。

（3）域名策划：目录域名通常是该域的完整DNS名称，如“”。

同时，为了确保向下兼容，每个域还应当有一个与Windows 2000 Server以前版本相兼容的名称，如“abc”。

以图1-1中的拓扑为样本，在该网络的域林中有两个域树：和，其中域树下有子域，在域中有两个域控制器，和 ；子域中除了有一个域控制器（）外，还有一个成员服务器（）。

我们先创建域树，然后再创建域树，将其加入到林中。

用户要将自己的服务器配置成域控制器，应该首先安装活动目录，以发挥活动目录的作用。

系统提供的活动目录安装向导，可以帮助用户配置自己的服务器，如果网络没有其它域控制器，可将服务器配置为域控制器，并新建子域、新建域目录树。

如果网络中有其它域控制器，可以服务器设置为附加域控制器，加入旧域、旧目录树。

在配置各个服务器前要先更改机器的名字！在Windows Server 2008中安装活动目录可以参照下述步骤进行操作：（1）首先确认“本地连接”属性TCP/IP首选DNS是否指向了本机，然后选择“开始”→“服务器管理器”命令打开服务器管理器，在左侧选择“角色”一项之后，单击右部区域的“添加角色”链接，并且在如图所示的对话框中选择“Active Directory 域服务”复选框。

（2）单击“下一步”按钮继续操作，在如图所示的对话框中，针对域服务进行相关的介绍。

（3）单击“下一步”按钮继续操作，在如图所示的对话框中显示了安装域服务的相关信息，确认安装可以单击“安装”按钮。

（4）域服务安装完成之后，可以在如图所示的对话框中查看到当前计算机已经安装了Active Directory域控制器，单击“关闭”按钮退出添加角色向导对话框。

（5）返回服务器管理器窗口，在如图所示的窗口中可以查看到Active Directory域服务已经安装，但是还没有将当前服务器作为域控制器运行，因此需要单击右部窗格中蓝色的“运行Active Directory域服务安装向导（dcpromo.exe）”链接来继续安装域服务。

也可以单击“开始”菜单，在搜索栏中输入dcpromo.exe命令打开域服务安装向导。

（6）域服务安装向导的欢迎界面中可以选择“使用高级模式安装”复选框，这样可以针对域服务器更多的高级选项部分进行设置，如图所示，单击“下一步”按钮继续操作。

（7）在如图所示的“操作系统兼容性”窗口中，简介介绍了Windowws Server 2008域控制器和以前版本的Windows之间有可能存在兼容性问题，可以了解下相关知识，单击“下一步”按钮。

（8）在如图所示的“选择某一部署配置”窗口中，如果以前曾在该服务器上安装过Active Directory，可以选择“现有林”下的“向现有域添加域控制器”或“在现有林中新建域”选项；如果是第一次安装，则建议选择“在新林中新建域”选项，然后再单击“下一步”按钮继续操作。

（9）在如图所示的“命令林根域”窗口中，输入目录林根级域的FQDN，在此输入“”，单击“下一步”按钮继续操作（10）在如图所示的“域NetBIOS”窗口中，系统会自动出现默认的NetBIOS 名称，此时可以直接单击“下一步”按钮。

NetBIOS名称的意义在于，让其它早期Windows版本的用户可以识别新域。

（11）在如图所示的“设置林功能级别”窗口中，可以选择多个不同的林功能级别“Windows 2000”、“Windows Server 2003”、“Windows Server 2008”，考虑到网络中有低版本的Windows系统计算机，此时建议选择“Windows 2000”一项，然后单击“下一步”按钮。

提示：林和域的功能级越高，兼容性越小，但是能使用更多域的功能。

要注意的是，功能级的提升是单向的，例如选择Windows Server 2008的林功能级别，就不能再降为Windows Server 2003或是Windows 2000。

（12）在如图所示的“设置域功能级别”窗口中，可以选择多个不同的域功能级别“Windows 2000纯模式”、“Windows Server 2003”、“Windows Server 2008”，考虑到网络中有低版本的Windows系统计算机，此时建议选择“Windows 2000纯模式”一项。

（13）单击“按钮，在如图所示的“其他域控制器选项”窗口中，可以对域控制器的其他方面进行设置。

系统会检测是否有已安装好的DNS，由于没有安装其他的DNS服务器，系统会自动选择“DNS服务器”复选框来一并安装DNS服务，使得该域控制器同时也作为一台DNS服务器，该域的DNS区域及该区域的授权会被自动创建。

由于林中的第一台域控制器必须是全局编录服务器，且不能是只读域控制器（RODC），所以这两项为不可选状态。

（14）单击“下一步”按钮，在如图所示的信息提示对话框中，单击“是”按钮继续安装，之后在活动目录的安装过程中，将在这台计算机上自动安装和配置DNS服务，并且自动配置自己为首选DNS服务器。

的位置”窗口中，需要指定将包含这些文件所在的卷及文件夹的位置。

提示：数据库存储有关用户、计算机和网络中的其他对象的信息。

日志文件记录与活动目录服务有关的活动，例如有关当前更新对象的信息。

SYSVOL存储组策略对象和脚本。

默认情况下，SYSVOL是位于%windir%目录中的操作系统文件的一部分，必须位于NTFS分区。

如果在计算机上安装有RAID(独立冗余磁盘阵列)或几块磁盘控制器，为了获得更好的性能和可恢复性，建议将数据库和日志文件分别存储在不包含程序或者其他非目录文件的不同卷（或磁盘）上。

（16）单击“下一步”按钮，在如图所示的“目录服务还原模式Administrator 密码”窗口中输入两次完全一致的密码，用以创建目录服务还原模式的超级用户帐户密码。

若提示因为密码问题，可以先按ctr+alt+delete修改密码，密码要求大写字母，小写字母符号，数字四者中至少包含三个，并且至少六位；然后继续，若还是提示密码，可以在运行——输入cmd ——输入net user administrator /passwordreq:yes 解除密码策略；（17）单击“下一步”按钮，在如图所示的“摘要”窗口中，可以查看以上各步骤中配置的相关信息。

（18）确认之后单击“下一步”按钮继续，安装向导将自动进行活动目录的安装和配置，如图所示，如果选择“完成后重新启动”复选框，则计算机会在域服务安装完成之后自动重新启动计算机，否则将会弹出如图所示的“完成Active Directory域服务安装向导”窗口，单击“完成”按钮，将重新启动计算机，即可完成活动目录的配置。

活动目录安装好之后，可以选择“开始”→“管理工具”命令，查看Windows Server 2008的管理工具安装前后出现的变化，如图所示。

菜单中增加了有关活动目录的几个管理工具，其中“Active Directory用户和计算机”用于管理活动目录的对象、组策略和权限等；“Active Directory域和信任关系”用于管理活动目录的域和信任关系；“Active Directory站点和服务”用于管理活动目录的物理结构站点。

注意：在活动目录安装之后，不但服务器的开机和关机时间变长，而且系统的执行速度也变慢，所以如果用户对某个服务器没有特别要求或不把它作为域控制器来使用，可将该服务器上的活动目录删除，使其降级成为成员服务器或独立服务器。

要删除活动目录，打开“开始”菜单，选择“运行”命令，打开“运行”对话框，输入dcpromo命令，然后单击“确定”按钮，打开“Active Directory 安装向导”对话框，并按着向导的步骤进行删除，这里不再细述其过程。

在服务器上确认域控制器成功安装的方法如下：（1）由于域中的所有对象都依赖于DNS服务，因此，首先应该确认与域控制器集成的DNS服务器的安装是否正确。

测试方法：选择“开始”→“所有程序”→“管理工具”→“DNS”命令，打如图所示的窗口，选择“正向查找区域”选项，可以见到与域控制器集成的正向查找区域的多个子目录，这是域控制器安装成功的标志。

（2）选择“开始”→“管理工具”命令，在“管理工具”菜单选项的列表中，可以看到系统已经有域控制器的若干菜单选项。

选择其中的“Active Directory用户和计算机”选项，打开如图所示的“Active Directory用户和计算机”窗口，选择“Domain Controllers”选项，可以看到安装成功的域控制器。