51CTO下载-域控制器安装操作手册

公司域控制器安装操作手册一、主域控、额外域控安装环境1、两台装有企业版Windows2003serversp2操作系统的服务器，一台作为主域控服务器，一台作为额外域控服务器。两台服务器操作系统已更新，并且以管理员身份登录。2、服务器上安装公司提供的杀毒软件，已更新病毒库。3、两台服务器分别指定不同的固定IP地址。4、两台服务器均安装DNS和WINS服务，在将要作为主域控的服务器上安装DHCP服务，其余windows组件无需安装。二、主域控制器的安装及设置1、安装前注意事项1.1必须以管理员的身份安装1.2服务器硬盘中至少有一个分区为NTFS分区1.3配置好IP地址1.4网络中有相应的DNS服务器2、服务器IP地址及DNS设置2.1由于是要安装域控制器，假设网络中没有DNS服务器，所以首选DNS使用本机IP地址。如下图：2.2点击“高级”按钮，打开“高级TCP/IP设置”框，切换到“DNS”选项卡，添加DNS后缀，输入com。如下图3、安装必要的Windows组件3.1主域控服务器只需安装DHCP\DNS\WINS服务，安装步骤参考《附录一》4、主域的安装步骤4.1点击“开始”“运行”，输入“dcpromo”后回车，出现“ActiveDirectory安装向导”，如下图：4.2点击“下一步”4.3保持默认，点击“下一步”4.4选择“新域的域控制器”，单击“下一步”。4.5选择“在新林中的域”，单击“下一步”。4.6输入新域的DNS全名为：asianelec.com4.7域NetBIOS名保持默认为“ASIANELEC”，单击“下一步”4.8“数据库和日志文件文件夹”保持默认，单击“下一步”4.9“共享的系统卷”保持默认，单击“下一步”4.10如上图，选择“在这台计算机上安装并配置DNS服务器”，单击“下一步”。4.11选择“只与Windows2000或WindowsServer2003操作系统兼容的权限”。4.12“目录服务还原模式的管理员密码”可以设置，也可以为空，单击“下一步”。4.13查看“摘要”，确认无误后，单击“下一步”。4.14耐心等待一段时间后，点击“完成”，立刻重启服务器使之生效。5、DNS服务设置5.1点击“开始”—“程序”—“管理工具”—“DNS”，打开主域控制器DNS主界面。5.2右键点击“asianelec.com”—属性，确认类型为“ActiveDirector集成区域”。5.3更改区域复制范围为“至ActiveDirectory域中的所有域控制器”，确认动态更新为“安全”。三、额外域控制器的安装1、安装前注意事项1.1必须以管理员的身份安装1.2服务器硬盘中至少有一个分区为NTFS分区1.3配置好IP地址，不能与其他机器冲突，DNS指向主域控服务器的IP地址1.4与主域控必须连通2、服务器IP地址设置2.1参考主域控的设置方法，与之同理。3、安装必要的Windows组件3.1额外域控服务器只需安装DNS服务，安装步骤参考《附录一》4、额外域控的安装步骤4.1基本操作与安装主域控同理，打开“ActiveDirectory安装向导”，单击“下一步”，注意以下几个地方：4.2“域控制器类型”选择“现有域的额外域控制器”，这一点与主域控的安装不同。4.3输入域管理员的用户名、密码和域，点击“下一步”。4.4输入域名“asianelec.com”，单击“下一步”，按照向导提示安装即可。5、四、更换主域控服务器1、保证额外域控制器与主域控制器的网络连通。2、使用MMC管理单元工具将主域控制器上的FSMO角色转移到额外域控。在目录林中，有五个FSMO角色，分别是：架构主机、域命名主机、结构主机、RID主机、PDC模拟器。默认这五种FSMO存在于目录林中根域的第一台DC上。建议domainnamingmaster不要和RIDmaster在一台DC上，而domainnamingmaster同时必须为GC。2.1转移架构主机角色2.1.1在主域控或者额外域控上依次单击“开始”-“运行”，在打开框中键入regsvr32schmmgmt.dll，然后单击确定。2.1.2收到操作成功的消息时，单击确定。2.1.3再依次单击“开始”和“运行”，在打开框中键入mmc，然后单击确定。在文件菜单上，单击“添加/删除管理单元”。单击添加。依次单击ActiveDirectory架构、添加、关闭和确定。在控制台树中，右键单击ActiveDirectory架构，然后单击更改域控制器。单击指定名称，键入将成为新角色持有者的域控制器名称，然后单击确定。在控制台树中，右键单击ActiveDirectory架构，然后单击操作主机。单击更改。单击确定以确认您要转移该角色，然后单击关闭。2.2转移域命名主机角色登录到额外域控制器上，单击开始，指向管理工具，然后单击“ActiveDirectory域和信任关系”。在控制台树中，右键单击“ActiveDirectory域和信任关系”，然后单击操作主机。单击更改。单击确定以确认要转移该角色，然后单击关闭。注意：如果未登录到要将角色转移到其上的域控制器上，则必须右键单击“ActiveDirectory域和信任关系”，然后单击“连接到域控制器”。键入或选择将成为新的角色持有者的域控制器的名称，然后单击确定后再执行操作主机的更改。2.3转移RID主机角色、PDC模拟器角色和结构主机角色登录到额外域控制器上，单击开始，指向管理工具，然后单击“ActiveDirectory用户和计算机”。在控制台树中，右键单击“ActiveDirectory用户和计算机”，指向所有任务，然后单击操作主机。单击要转移角色（RID、PDC或结构）的相应选项卡，然后单击更改。单击确定以确认要转移该角色，然后单击关闭。注意：如果未登录到要将角色转移到其上的域控制器上，则必须右键单击“ActiveDirectory用户和计算机”，然后单击“连接到域控制器”。键入或选择将成为新的角色持有者的域控制器的名称，然后单击确定后再执行操作主机的更改。3、更改全局编录服务器3.1打开ActiveDirectory站点和服务。3.2在控制台树中，依次展开ActiveDirectory站点和服务-Sites-适用站点-Servers-适用服务器，右键单击NTDS设置。3.3单击“属性”，在“常规”页面上，选中“全局编录”复选框。3.4取消原主域控制器全局编录功能。4、将主域控制器降域后移除4.1当角色更换完毕后，主域控制器和额外域控制器之间进行自动复制，待一段时间后，将主域控制器降域，然后移除即可。五、主域控制器灾难恢复在多域控制器的环境下，主域控制器由于硬件故障突然损坏，要使额外域控制器接替它的工作，从而使ActiveDirectory正常运行，等待硬件修理好之后，再恢复主域控制器的职能。主要有以下几个步骤：1、在额外域控制器上通过ntdsutil.exe工具从AD中清除主域控制器对象命令为：c:ntdsutilntdsutil:metadatacleanupmetadatacleanup:selectoperationtargetselectoperationtarget:connectionsserverconnections:connecttodomainadtest.comserverconnections:quitselectoperationtarget:listsitesselectoperationtarget:selectsite0selectoperationtarget:Listdomainsinsiteselectoperationtarget:selectdomain0selectoperationtarget:Listserversfordomaininsiteselectoperationtarget:selectserver０selectoperationtarget:quitmetadatacleanup:Removeselectedserverremoveselectedserver按回车后，出现下面的对话框点击是即可。接着出现“角色占用确认对话”，均点击“否”。metadatacleanup:quitntdsutil:quit在额外域控制器上打开“activedirectory站点和服务”中的sites下的default-first-site-name-----servers删除“主域控制器名”，如下图所示：2、在额外域控制器上通过ntdsutil.exe工具进行五种FMSO角色转移命令为：c:ntdsutilntdsutil:rolesfsmomaintenance:Selectoperationtargetselectoperationtarget:connectionsserverconnections:connecttodomaintest.comserverconnections:quitselectoperationtarget:listsitesselectoperationtarget:selectsite0selectoperationtarget:Listdomainsinsiteselectoperationtarget:selectdomain0selectoperationtarget:Listserversfordomaininsiteselectoperationtarget:selectserver０selectoperationtarget:quitfsmomaintenance:Seizedomainnamingmaster--转移域命名主机角色在出现的“角色占用确认对话”框中点击“是”。注意：因为主域控制器不在线，所以在夺取时可能会有如下出错信息。接下来的各个角色的夺取也会有这个出错信息。可以再输入一次角色夺取命令，直到执行成功。fsmomaintenance:Seizeinfrastructuremaster--转移结构主机角色在出现的“角色占用确认对话”框中点击“是”。fsmomaintenance:SeizePDC--转移PDC在出现的“角色占用确认对话”框中点击“是”。fsmomaintenance:SeizeRIDmaster--转移RID在出现的“角色占用确认对话”框中点击“是”。fsmomaintenance:Seizeschemamaster--转移架构主机角色在出现的“角色占用确认对话”框中点击“是”。fsmomaintenance:quitntdsutil:quit至此，五种FSMO角色全部夺取完成，可以在图形方式下查看。特别注意：seize只能在原FMSO不在线时进行操作，如果原FMSO在线时要用transfer操作。3、设置额外域控制器为GC（全局编录）3.1打开“ActiveDirectory站点和服务”，展开sites--default-first-site-name中servers，展开拥有FSMO角色的服务器名，右击NTDSsetting选择属性，将全局编录勾选，点击“确定”然后重新启动服务器即可。4、重新安装并恢复损坏的主域控制器4.1重新安装好主域控制器的基本条件后，再运行dcpromo提升为额外域控制器。如果仍想让它担当主域控制器时，可通过图形方式或ntdsutil.exe工具进行角色转换。4.2最后在“ActiveDirectory站点和服务”中设置此台服务器为全局编录，取消临时替代主域控制器的额外域控制器的全局编录功能。提示：域命名主机角色不要和RID主机角色在一台DC上，而域命名主机服务器同时必须为全局编录服务器。附录一：DHCP\DNS\WINS组件的安装1、插入WindowsServer2003系统光盘，在“欢迎界面”选择“安装可选的Windows组件”。2、在Windows组件向导中选中“网络服务”，注意不要勾选前面的复选框，然后点击“详细信息”。3、在“网络服务”对话框