本文通過一個(gè)比較生動(dòng)的實(shí)例介紹了如何在Windows Server 2008 R2中創(chuàng)建域控制器的詳細(xì)步驟。具體如下所述：

我是一個(gè)開發(fā)商，可是我卻不會(huì)安裝計(jì)算機(jī)基礎(chǔ)設(shè)備。也就是說，我只很少自己安裝域控制器（在我的記憶中，只有兩次這樣的操作）。我不會(huì)分派IP地址，而我安裝Window Server也是因?yàn)橐粫r(shí)興起，一般情況下，我們都是使用網(wǎng)絡(luò)內(nèi)部安裝，這樣在安裝的過程中，我就不用動(dòng)腦子思考了。

作為示例，我一般都會(huì)下載一個(gè)VHD，那是其他人建造好的，通常VHD是一個(gè)Windows Server操作系統(tǒng)，那是一個(gè)域控制器，也有很多其他部件安裝到它之上。當(dāng)然，配套是齊全的，但是這次我需要一個(gè)獨(dú)立的域控制器。我決定接受這個(gè)挑戰(zhàn)開始我的新學(xué)習(xí)了。

謝天謝地，這已經(jīng)是很多、很多人寫入自己博客的了。我甚至不需要提供這個(gè)安裝步驟的任何屏幕截圖，只需要幾個(gè)鏈接，就可以創(chuàng)建自己的VHD，這是一個(gè)與你的其他VHD共同使用的域控制器。

步驟一：運(yùn)行Windows Server 2008 R2--安裝和創(chuàng)建域控制器實(shí)驗(yàn)室。

具體步驟為：

環(huán)境：

win2k server,配置如下計(jì)算機(jī)名： server1 IP: 192.168.0.1

情況一：?jiǎn)斡颍瑔斡蚩刂破?/p>

目標(biāo)：

將server1做成域控制器，域名為test.com，server2作為member server

AD需要DNS的支持，DNS可以在安裝AD的前中后裝，建議在AD安裝之前裝，并手動(dòng)配置

(1A)    安裝DNS(server1上)

1:安裝DNS服務(wù)。（如果是給forestroot做DNS，建議先將機(jī)器上原來的DNS卸干凈，包括system32下DNS目錄也刪掉。再安裝服務(wù)）

2：創(chuàng)建forward lookup zone,為test.com。reverse lookup zone填網(wǎng)絡(luò)號(hào)192.168.0

3：設(shè)置兩個(gè)zone允許dynamic update

4：在本地連接中將DNS地址指向192.168.0.1

5:設(shè)置primary dns suffix為test.com

6：按照提示，restart，建議一定重起。

7: 重起后發(fā)現(xiàn)test.com中有server1的A記錄，說明一切正常。反向zone中有ptr記錄

(需要注意的是，域名第一片和計(jì)算機(jī)名不要一樣，如果在計(jì)算機(jī)abc上不要做abc.com，否則默認(rèn)情況下domain的netbios名和計(jì)算機(jī)的netbios名會(huì)一樣)(1B)

按照正常情況Dcpromo，選擇安裝成新域的域控制器，新樹，新森林。

安裝過程中應(yīng)不會(huì)提示任何諸如“DNS找不到”的信息，這就正常了。

裝完AD后看看DNS的的test.com內(nèi)是否有放置SRV記錄的四個(gè)目錄，目錄名為TCP,UDP,MSDCS,Sites。如果一個(gè)也沒有，重新啟動(dòng)Net logon服務(wù)，如果

還是沒有，那裝得有問題。一般應(yīng)該都是正常的。

同時(shí)查看事件查看器中是否有任何關(guān)于directory service的錯(cuò)誤日志。

(1C)    將server2設(shè)置成member server

在server2上將dns指向server1，修改primary dns suffix為test.com，重起，然后將server2加入domian，在server1上打開ad user and

computer，其中computer容器內(nèi)可以看到server2的計(jì)算機(jī)帳號(hào)。DNS中也會(huì)有server2的A記錄。查看事件查看器，確保無任何不良記錄。

情況2，單域，兩個(gè)域控制器

目標(biāo)：server1作為第一臺(tái)域控制器，server2作為第二臺(tái)域控制器，域名test.com

server1的安裝同1a，1b。

對(duì)于server2。

（2a）

1：安裝前，此機(jī)器屬于domain或者工作組沒有關(guān)系。

2：將dns指向server1（192.168.0.1）

3:修改primary suffix為test.com （suffix是可以自動(dòng)改，但是手動(dòng)改總是放心些）

4：重起機(jī)器，建議一定重起。

5：檢查server1上的dns，在test.com這個(gè)zone內(nèi)會(huì)發(fā)現(xiàn)server2的a記錄。如果沒有，那配置有問題，可以用ipconfig/registerdns手動(dòng)注冊(cè)，再看

有沒有，如果還是沒有，那就有問題了（dns沒有按照1a設(shè)置好）。

（2b）

1：dcpromo，啟動(dòng)向?qū)?/p>

2：選擇，安裝成一個(gè)已經(jīng)存在的域的另外一臺(tái)域控制器

3：按照提示，輸入身份，這個(gè)身份是enterprise admins的身份，也就是現(xiàn)在test.com的administrator以及其密碼

4：選擇要加入的domain，這里是test.com

5：完成其他選項(xiàng)

（3c）

1：安裝后可以在ad user and computer (ad u&c)中的domain controller ou中看見server1和server2的計(jì)算機(jī)帳號(hào)

2：dns的test.com的四個(gè)目錄（tcp udp msdcs sites，里面為srv記錄）中可以發(fā)現(xiàn)server2的srv記錄。如果沒有，重起server2上的netlogon服務(wù)，同時(shí)可以嘗試用ipcpnfig /registerdns重新注冊(cè)。

3：可以在兩臺(tái)域控制器上添加新的，然后看相互復(fù)制是否正常。

4：當(dāng)然，其他比如dcdiag，repmonitor等工具可以用來檢查一些問題，不過這是個(gè)簡(jiǎn)易貼，就不說了阿。

5：查看事件查看器，確保無任何不良記錄。

#p#

步驟二：創(chuàng)建一個(gè)虛擬動(dòng)態(tài)目錄域控制器。

域控制器存儲(chǔ)數(shù)據(jù)并管理用戶和域交互，包括用戶登錄過程、身份驗(yàn)證和目錄搜索。如果您計(jì)劃使用該服務(wù)器向網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供 Active Directory 目錄服務(wù)，則應(yīng)將該服務(wù)器配置為域控制器。

如要將一臺(tái)服務(wù)器配置為域控制器，需要在該服務(wù)器上安裝 Active Directory。在“Active Directory 安裝向?qū)?rdquo;中有四個(gè)選項(xiàng)可用。您可以在現(xiàn)有域中創(chuàng)建額外的域控制器，為新子域創(chuàng)建域控制器，為新域樹創(chuàng)建域控制器，還可以為新林創(chuàng)建域控制器。如果您不確定自己需要哪個(gè)角色，請(qǐng)單擊角色選項(xiàng)閱讀每個(gè)角色。

如果您已經(jīng)安裝了一個(gè)域控制器角色，并且希望查看后面的步驟，請(qǐng)?jiān)谙旅娴牧斜碇?，單擊您所安裝的域控制器配置，然后單擊“下一步”：完成其他任務(wù)。

如果需要將服務(wù)器重新配置為另外一個(gè)角色，可以刪除現(xiàn)有服務(wù)器角色。通過刪除域控制器角色，您將從該服務(wù)器卸載 Active Directory。卸載 Active Directory 之后，該服務(wù)器將不再參與目錄對(duì)象的復(fù)制和基于域的用戶身份驗(yàn)證請(qǐng)求

為現(xiàn)有域創(chuàng)建額外的域控制器

當(dāng)您希望改進(jìn)網(wǎng)絡(luò)服務(wù)的可用性和可靠性時(shí)，可創(chuàng)建額外的域控制器。通過添加額外的域控制器，可以提供容錯(cuò)，平衡現(xiàn)有域控制器的負(fù)載，向站點(diǎn)提供額外的結(jié)構(gòu)支持，并使客戶端在登錄到網(wǎng)絡(luò)時(shí)更易于連接到域控制器上，從而提高性能。例如，在下面的圖示中可以看到，向 microsoft.com 域中添加一個(gè)新的域控制器 (DC2)，有助于減輕其他域控制器上的負(fù)載。

本主題說明在組織中創(chuàng)建額外的域控制器時(shí)必須執(zhí)行的基本步驟。

此過程包括使用配置您的服務(wù)器向?qū)Ш?Active Directory 安裝向?qū)碓诖朔?wù)器上安裝 Active Directory。完成設(shè)置域控制器后，可以完成其他配置任務(wù)。

1.之前

將服務(wù)器配置為域控制器之前，請(qǐng)驗(yàn)證：

該服務(wù)器的 TCP/IP 配置，特別是用于 DNS 名稱解析的設(shè)置是否均正確。

所有現(xiàn)有的磁盤卷都使用 NTFS 文件系統(tǒng)。Active Directory 要求至少存在一個(gè) NTFS 卷存儲(chǔ) SYSVOL 文件夾及其內(nèi)容。FAT32 卷缺乏安全性，而且不支持文件和文件夾壓縮、磁盤配額、文件加密或單個(gè)文件權(quán)限。

2.域控制器

要配置域控制器，請(qǐng)通過完成下面的任一操作來啟動(dòng)配置您的服務(wù)器向?qū)В?/p>

在“管理您的服務(wù)器”中，單擊“添加或刪除角色”。默認(rèn)情況下，“管理您的服務(wù)器”會(huì)在您登錄時(shí)自動(dòng)啟動(dòng)。要打開“管理您的服務(wù)器”，請(qǐng)依次單擊“開始”和“控制面板”，雙擊“管理工具”，然后雙擊“管理您的服務(wù)器”。

要打開“配置您的服務(wù)器向?qū)?rdquo;，請(qǐng)依次單擊“開始”和“控制面板”，雙擊“管理工具”，然后雙擊“配置您的服務(wù)器向?qū)?rdquo;。

在“服務(wù)器角色”頁面上，單擊“域控制器 (Active Directory)”，然后單擊“下一步”。

該部分描述了該過程中的所有步驟，并概述了在配置域控制器期間必需做出的選擇和決定。

在“配置您的服務(wù)器向?qū)?rdquo;的“選擇總結(jié)”頁上，可復(fù)查并確認(rèn)已選擇的選項(xiàng)。如果在上一頁面選擇了“域控制器 (Active Directory)”，則將出現(xiàn)下列內(nèi)容：

運(yùn)行 Active Directory 安裝向?qū)韺⒋朔?wù)器配置成域控制器

要應(yīng)用“選擇總結(jié)”頁面上顯示的選擇，請(qǐng)單擊“下一步”。

使用 Active Directory 安裝向?qū)?/p>

單擊“下一步”后，Active Directory 安裝向?qū)⒆詣?dòng)啟動(dòng)。如果這是第一次在服務(wù)服務(wù)器上安裝 Active Directory，請(qǐng)單擊“Active Directory 安裝向?qū)?rdquo;的歡迎頁上的 Active Directory 幫助，以獲取有關(guān) Active Directory 的詳細(xì)信息。

仔細(xì)閱讀 Active Directory 的有關(guān)信息之后，請(qǐng)單擊“下一步”。在最后一頁上單擊“完成”之前，您可以從向?qū)У娜魏挝恢梅祷氐酱隧?。?ldquo;操作系統(tǒng)兼容性”頁上，閱讀相關(guān)信息，然后單擊“下一步”。如果這是第一次在運(yùn)行 Windows Server 2003 的服務(wù)器上安裝 Active Directory，請(qǐng)單擊“兼容性幫助”以獲得更多信息。

3.控制器類型

在“域控制器類型”頁上，單擊“新域的域控制器”。

完成后，請(qǐng)單擊“下一步”。

4.額外的域控制器

在“額外的域控制器”頁面上，鍵入要將該域控制器添加到其中的域的完整 DNS 名稱。完整的 DNS 名稱也稱為完全限定的域名 (FQDN)。Active Directory 域以 DNS 名稱命名，并使用與 DNS 相同的層次結(jié)構(gòu)。

完成后，請(qǐng)單擊“下一步”。

5.數(shù)據(jù)庫和日志文件文件夾

在“數(shù)據(jù)庫和日志文件夾”頁面上，鍵入要安裝數(shù)據(jù)庫和日志文件夾的位置，或單擊“瀏覽”選擇一個(gè)位置。要避免在安裝或刪除 Active Directory 時(shí)出現(xiàn)問題，非常重要的一點(diǎn)是確保您有足夠的磁盤空間來承載目錄數(shù)據(jù)庫和日志文件。Active Directory 安裝向?qū)б笥?250 MB 磁盤空間用于 Active Directory 數(shù)據(jù)庫，50 MB 用于日志文件。建議將這些文件保存在 NTFS 分區(qū)上。

完成后，請(qǐng)單擊“下一步”。

6.共享的系統(tǒng)卷

在“共享的系統(tǒng)卷”頁面上，鍵入要安裝 Sysvol 文件夾的位置，或單擊“瀏覽”選擇一個(gè)位置。Sysvol 文件夾必須存儲(chǔ)在 NTFS 卷上，因?yàn)樗奈募⒃谟蚧蛄种械挠蚩刂破髦g進(jìn)行復(fù)制。這些文件包括腳本、Windows NT 4.0 和更低版本的系統(tǒng)策略、NETLOGON 和 SYSVOL 共享以及組策略設(shè)置。

完成后，請(qǐng)單擊“下一步”。

7.目錄服務(wù)還原模式管理員密碼

在“目錄服務(wù)還原模式的管理員密碼”頁面上，鍵入和確認(rèn)要指派給該服務(wù)器的還原模式管理員帳戶的密碼。您應(yīng)該使用強(qiáng)密碼作為目錄還原模式密碼。

在以上這些攻略中，我沒有對(duì)步驟做任何改變。例如：我使用的域控制器的IP地址：192.168.0.1，同時(shí)沒有安裝WINS，除此之外，我也就是一步步按照這些文章里的步驟來做的，再也沒有更簡(jiǎn)單的了。

望通過對(duì)在Windows Server 2008 R2中創(chuàng)建域控制器這個(gè)實(shí)例能夠?qū)ψx者有所幫助。

【編輯推薦】

1. 由服務(wù)器升級(jí)為域控制器的方法
2. 額外域控制器如何接替域控制器
3. 如何配置額外域控制器上的DNS？
4. 將計(jì)算機(jī)提升至域控制器之故障排除
5. WindowsServer2008R2域控制器:RODC