将 Windows Server 安装为域控制器.docx
《将 Windows Server 安装为域控制器.docx》由会员分享,可在线阅读,更多相关《将 Windows Server 安装为域控制器.docx(21页珍藏版)》请在冰豆网上搜索。
将WindowsServer安装为域控制器
简介逐步式指南 MicrosoftWindowsServer2003部署分步指南提供了很多常见操作系统配置的实际操作经验。
本指南首先介绍通过以下过程来建立通用网络结构:
安装WindowsServer2003;配置ActiveDirectory;安装WindowsXPProfessional工作站并最后将此工作站添加到域中。
后续分步指南假定您已建立了此通用网络结构。
如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。
在配置通用网络结构后,可以使用任何其他分步指南。
注意,某些分步指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。
任何额外的要求都将列在特定的分步指南中。
MicrosoftVirtualPC 可以在物理实验室环境中或通过虚拟化技术(如MicrosoftVirtualPC2004或VirtualServer2005)来实施WindowsServer2003部署分步指南。
借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。
VirtualPC2004和VirtualServer2005就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。
WindowsServer2003部署分步指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不经修改就可以应用于虚拟环境。
这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。
重要说明 此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,我们决无意影射,任何人也不应由此臆猜,任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。
此通用基础结构是为在专用网络上使用而设计的。
此通用基础结构中使用的虚拟公司名称和域名系统(DNS)名称并没有为在Internet上使用而进行注册。
您不应在公共网络或Internet上使用此名称。
此通用基础结构的ActiveDirectory服务结构用于说明“WindowsServer2003更改和配置管理”如何与ActiveDirectory配合使用。
不能将其作为任何组织进行ActiveDirectory配置时都可以使用的模型。
概述 本指南首先介绍如何将MicrosoftWindowsServer2003操作系统安装并配置为域控制器来说明如何建立通用网络结构。
您可通过该通用结构了解和评估WindowsServer2003。
在实施本指南时,请考虑您将在组织中如何使用它们。
本指南是一个系列文章(共包含两部分)中的第一部分,介绍如何将服务器安装为域控制器以及如何填充一个示例ActiveDirectory服务结构。
第二部分讲述安装WindowsXPProfessional客户端并将该客户端连接到域控制器的步骤。
首先,请完成本指南中的步骤,然后按照“第二部分:
安装WindowsXPProfessional工作站并将其连接到域”中的步骤建立您的通用网络结构。
先决条件
•
无
指南要求 以下是通用结构的硬件要求。
项目
数量
注释
服务器
1
可以运行WindowsServer2003
工作站
根据需要
可以运行WindowsXPProfessional
网络集线器
根据需要
建议使用专用网络
远程访问硬件
根据需要
用于测试慢速链接和远程连接
网络接口卡
根据需要
100MB卡
UPS
可选
保护服务器
打印机
可选
打印配置信息和其他测试信息
注意:
•
基于Intel处理器且运行WindowsServer2003的服务器必须至少有128MBRAM。
Microsoft还建议该服务器应具有几个GB的磁盘存储容量。
此外,服务器应配备高速网络接口卡。
•
使用数量足够多的工作站来模拟各种不同的工作站环境,其中包括用户组织的典型桌面、漫游用户、移动用户以及任何其他适当的配置。
计算机必须能够运行WindowsXPProfessional。
对于基于Intel处理器的工作站,Microsoft建议至少使用64MBRAM。
•
在创建物理结构时,建议使用专用网络;因此,您需要使用数量足够多的网络集线器和其他网络硬件,以便将所有工作站和服务器连接到一个网络上。
•
有关硬件要求和服务器兼容性的最新信息,请访问WindowsServer2003产品兼容性Web站点。
其他服务器参数 如果在通用结构中添加其他的服务器,请使用以下服务器命名约定。
参数
值
计算机名称
HQ-CON-SRV-01
HQ-CON-SRV-nn
服务器配置概述 图1说明基本服务器配置。
图1.服务器配置
服务器磁盘配置 若要在本指南提供的结构中单独使用一个服务器,则该服务器需要有两个磁盘驱动器,或者一个具有两个分区的磁盘驱动器。
注意:
本系列中的后续分步指南可能需要使用其他服务器或其他设备;特定指南中会给出有关这些附加设备的内容。
第一个磁盘或分区中保存WindowsServer2003和通用结构的其他文件,如WindowsInstaller程序包和应用程序源文件。
第二个磁盘或分区是为其他分步指南所需的ActiveDirectory日志文件和过程保留的。
每个磁盘或分区必须保存几个GB的信息,而且必须将每个磁盘或分区格式化为NT文件系统(NTFS)。
本指南中包含创建和格式化分区的步骤。
服务器安装 要开始安装过程,请直接从WindowsServer2003CD启动。
您的CD-ROM必须支持可启动的CD。
注意:
在配置分区和格式化驱动器时,服务器硬盘驱动器上的数据均会被破坏。
开始安装 安装程序在运行WindowsServer2003的计算机中创建磁盘分区,格式化驱动器,然后将安装文件从CD复制到服务器上。
注意:
这些说明假定在尚未运行Windows的计算机上安装WindowsServer2003。
如果从较早版本的Windows进行升级,某些安装步骤可能会有所不同。
开始安装
1.
将“WindowsServer2003CD”插入CD-ROM驱动器。
2.
“重新启动”计算机。
在出现提示时,按任意键从CD启动。
此时将开始安装WindowsServer2003。
3.
在“欢迎使用安装程序”屏幕上,按“Enter”键。
4.
阅读许可协议,如果接受的话,请按“F8”键。
注意:
如果此服务器上已安装了较早版本的WindowsServer2003,则可能会出现一条消息,询问您是否要修复驱动器。
按“Esc”键,继续进行安装而不修复驱动器。
5.
按照说明进行操作,删除所有现有的磁盘分区。
具体步骤可能会因计算机上现有分区的数量和类型而异。
继续删除分区,直至所有磁盘空间均标记为“未划分的空间”为止。
6.
在将所有磁盘空间均标记为“未划分的空间”后,按“C”键,在第一个磁盘驱动器的未划分空间中创建一个分区(如果适用)。
7.
如果服务器只有一个磁盘驱动器,请将可用磁盘空间分成相等的两个分区。
删除“总空间默认值”。
在出现“创建磁盘分区大小(单位MB)”提示时,键入总磁盘空间值的一半,然后按“Enter”键。
(如果服务器有两个磁盘驱动器,则在出现该提示时键入第一个驱动器的总容量。
)
8.
在创建“新的(未使用)”分区后,按“Enter”键。
9.
选择“用NTFS文件系统格式化磁盘分区<快>”,然后按“Enter”键。
WindowsServer2003安装程序将格式化该分区,然后将文件从WindowsServer2003ServerCD复制到硬盘驱动器上。
计算机将重新启动,WindowsServer2003安装程序继续进行安装。
完成安装 使用WindowsServer2003安装向导继续安装
1.
“WindowsServer2003安装向导”检测并安装设备。
这可能需要几分钟的时间,在这段时间内,您的屏幕可能会闪烁。
2.
在“区域和语言选项”对话框中,根据需要更改您的区域设置(通常,如果是美国,则不需要进行更改),然后单击“下一步”。
3.
在“自定义软件”对话框中,在“姓名”框中键入“MikeNash”,在“单位”框中键入“Reskit”。
单击“下一步”。
4.
在提供的文本框中,键入“产品密钥”(在WindowsServer2003CD包装盒背面),然后单击“下一步”。
5.
在“授权模式”对话框中,选择适合您组织的授权模式,然后单击“下一步”。
6.
在“计算机名称和管理员密码”对话框的“计算机名称”框中,键入新的计算机名“HQ-CON-DC-01”,然后单击“下一步”。
最佳做法:
为便于执行这些指南中的步骤,系统管理员密码被保留为空而没有设置密码。
这不是一种可接受的安全做法。
在为生产网络安装服务器时,应始终设置密码。
默认情况下,WindowsServer2003要求设置复杂密码。
7.
在出现“Windows安装程序”提示时,单击“是”,确认设置空白的系统管理员密码。
8.
必要时,在“日期和时间设置”对话框中,更正当前日期和时间,然后单击“下一步”。
9.
在“网络设置”对话框中,确保选择了“典型设置”,然后单击“下一步”。
10.
在“工作组或计算机域”对话框中(默认选择“不”),单击“下一步”。
注意:
此时可以指定域名,但本指南稍后将使用“配置服务器向导”来创建域名。
WindowsServer2003安装继续并配置所需的组件。
这可能需要几分钟的时间。
11.
服务器“重新启动”,并且从硬盘驱动器加载操作系统。
准备第二个分区或第二个磁盘驱动器 必须对WindowsServer2003安装尚未划分的空间进行格式化,然后操作系统才能对其进行访问。
磁盘和分区管理是通过“Microsoft管理控制台”的“计算机管理”管理单元完成的。
以下步骤假定第二个磁盘驱动器正在使用;请为第二个分区相应地修改过程。
准备第二个分区或磁盘驱动器
警告:
格式化分区时会破坏该分区上的所有数据。
确保选择了正确的分区。
1.
按“Ctrl+Alt+Del”组合键,并以“administrator”(系统管理员)的身份登录到服务器上。
将密码保留为空。
2.
单击“开始”按钮,指向“管理工具”,然后单击“计算机管理”。
3.
要定义和格式化尚未划分的空间,请单击“磁盘管理”。
4.
在磁盘1上右键单击“未指派”。
5.
要定义分区,请单击“新建磁盘分区”,然后单击“下一步”继续。
6.
选择“主磁盘分区”(默认),然后单击“下一步”继续。
7.
单击“下一步”,将“分区大小(MB)”设为默认值。
8.
对于“指派以下驱动器号”,选择“L”,然后单击“下一步”继续。
9.
在“按下面的设置格式化这个磁盘分区”下面,单击“执行快速格式化”。
单击“下一步”,然后单击“完成”,完成第二个磁盘驱动器的配置。
完成后,磁盘分配应与图2中显示的内容相似。
图2.磁盘管理
10.
关闭“计算机管理”控制台。
将服务器配置为DHCP服务器 可以手动安装动态主机配置协议(DHCP),也可以使用“WindowsServer2003管理服务器”向导进行安装。
本节使用该向导来完成安装。
使用“WindowsServer2003管理服务器”向导安装DHCP
警告:
下一节介绍将服务器配置为DHCP服务器。
如果该服务器在生产网络中,服务器分配的IP地址信息可能在网络中无效。
Microsoft建议在独立的网络中完成这些练习。
1.
在“管理您的服务器”页中,单击“添加或删除角色”。
注意:
如果关闭了“管理服务器”页,则可以从“管理工具”中启动“配置您的服务器向导”。
如果选择该选项,以下步骤可能会略有不同。
2.
在出现“配置您的服务器向导”后,单击“下一步”。
3.
单击“自定义配置”,然后单击“下一步”。
4.
在“服务器角色”下面,单击“DHCP服务器”,然后单击“下一步”。
5.
检查“选择总结”,然后单击“下一步”开始安装。
6.
在出现“新建作用域向导”后,单击“下一步”定义DHCP作用域。
7.
对于“名称”,键入“ContosoHQ”。
将“描述”保留为空,然后单击“下一步”。
8.
输入“10.0.0.10”作为“起始IP地址”;输入“10.0.0.254”作为“结束IP地址”。
单击“下一步”。
9.
此时不定义排除。
单击“下一步”继续安装。
10.
要接受默认的“租约期限”,请单击“下一步”。
11.
要设置“DHCP选项”,请单击“下一步”。
12.
在“路由器(默认网关)”屏幕上,键入“10.0.0.1”作为“IP地址”,单击“添加”,然后单击“下一步”。
13.
对于“域名称和DNS服务器”屏幕中的“父域”,键入“”。
对于“IP地址”,键入“10.0.0.2”,单击“添加”,然后单击“下一步”。
14.
如果该环境中不使用“WINS服务器”,请单击“下一步”。
15.
在“激活作用域”中,单击“下一步”。
16.
单击“完成”两次。
17.
关闭“管理您的服务器”屏幕。
将服务器配置为域控制器 可以手动安装域名服务(DNS)和DCPromo(创建DNS和ActiveDirectory的命令行工具),也可以使用“WindowsServer2003管理服务器”向导进行安装。
本节使用手动工具来完成安装。
使用手动工具安装DNS和ActiveDirectory
1.
单击“开始”按钮,单击“运行”,键入“DCPROMO”,然后单击“确定”。
2.
在出现“ActiveDirectory安装向导”时,单击“下一步”开始安装。
3.
阅读“操作系统兼容性”信息后,单击“下一步”。
4.
选择“新域的域控制器”(默认),然后单击“下一步”。
5.
选择“在新林中的域”(默认),然后单击“下一步”。
6.
对于“DNS全名”,键入“”,然后单击“下一步”。
(这表示一个完全限定的名称。
)
7.
单击“下一步”,接受将“CONTOSO”作为默认“域NetBIOS名”。
(NetBIOS名称提供向下兼容性。
)
8.
在“数据库和日志文件文件夹”屏幕上,将ActiveDirectory“日志文件文件夹”指向“L:
WindowsNTDS”,然后单击“下一步”继续。
9.
保留“共享的系统卷”的默认文件夹位置,然后单击“下一步”。
10.
在“DNS注册诊断”屏幕上,单击“在这台计算机上安装并配置DNS服务器”。
单击“下一步”继续。
11.
选择“只与Windows2000或WindowsServer2003操作系统兼容的权限”(默认),然后单击“下一步”。
12.
在“还原模式密码”和“确认密码”中,键入密码,然后单击“下一步”继续。
注意:
在生产环境中,应使用复杂的目录服务还原密码。
图3.ActiveDirectory安装选项摘要
13.
图3中显示的是“ActiveDirectory安装选项摘要”。
单击“下一步”开始安装ActiveDirectory。
在出现提示时,请插入WindowsServer2003安装CD。
14.
单击“确定”,对已为DNS服务器动态分配了IP地址这一提示信息作出确认。
15.
如果有多个网络接口,在“选择连接”下拉列表中选择“10.0.0.0网络接口”,然后单击“属性”。
16.
在“此连接使用下列项目”部分下面,单击“Internet协议(TCP/IP)”,然后单击“属性”。
17.
选择“使用下面的IP地址”,然后在“IP地址”中键入“10.0.0.2”。
按两次“Tab”键,然后在“默认网关”中键入“10.0.0.1”。
在“首选DNS服务器”中键入“127.0.0.1”,然后单击“确定”。
单击“关闭”继续。
18.
在“ActiveDirectory安装向导”完成后,单击“完成”。
19.
单击“立即重新启动”以重新启动计算机。
授权DHCP服务器
1.
在计算机重新启动后,按“Ctrl+Alt+Del”组合键,并以“administrator@”的身份登录到服务器上。
将密码保留为空。
2.
单击“开始”菜单,选择“管理工具”,然后单击“DHCP”。
3.
单击“hq-con-dc-”。
右键单击“hq-con-dc-”,然后单击“授权”。
4.
关闭“DHCP”管理控制台
ActiveDirectory示例结构 该通用结构基于的是虚构组织“Contoso”。
“Contoso”的DNS名为“”,它是使用前面介绍的“ActiveDirectory安装向导”配置的。
图4中显示的是示例ActiveDirectory结构。
图4.示例ActiveDirectory结构
该结构最有趣的部分是域():
Accounts、Headquarters、Production、Marketing、Groups、Resources、Desktops、Laptops和Servers组织单位(OU)。
在图4中用文件夹(书)来表示这些组织单位。
OU表示管理委派和组策略应用,而不仅仅是反映业务单位。
有关OU结构设计的深入探讨,请参阅“DesigningandDeployingDirectoryandSecurityServices”(设计和部署目录和安全服务)。
填充ActiveDirectory 本节介绍如何手动创建附录A中描述的OU、用户和安全组。
创建组织单位和组 创建OU和安全组
1.
单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“ActiveDirectory用户和计算机”。
2.
单击“”旁边的“+”号将其展开。
单击“”本身,显示其在右窗格中的内容。
3.
在左窗格中,右键单击“”,指向“新建”,然后单击“组织单位”。
4.
在名称框中键入“Accounts”,然后单击“确定”。
5.
重复步骤3和4以创建“Groups”和“Resources”OU。
6.
在左窗格中单击“Accounts”。
此时将在右窗格中显示其内容。
(此过程开始时它是空的。
)
7.
右键单击“Accounts”,指向“新建”,然后单击“组织单位”。
8.
键入“Headquarters”,单击“确定”。
9.
重复步骤7和8,在“Accounts”中创建“Production”和“Marketing”OU。
完成后,OU结构应与图5中显示的内容相似。
图5.创建组织单位
查看大图
10.
使用同样的方法,在“Resources”OU中创建“Desktops”、“Laptops”和“Servers”。
11.
右键单击“Groups”,指向“新建”,然后单击“组”以创建两个安全组。
要添加的两个组是“Management”和“Non-management”。
每个组的设置应该是“全局”和“安全”。
单击“确定”分别创建每个组。
完成所有步骤后,最终的OU结构应与图6中显示的内容相似。
图6.最终的OU结构
查看大图
创建用户帐户 创建用户帐户
1.
在左窗格中,单击“Headquarters”(在“Accounts”中)。
此时将在右窗格中显示其内容。
(在此过程开头时它为空。
)
2.
右键单击“Headquarters”,指向“新建”,然后单击“用户”。
3.
键入“Christine”作为“名”;键入“Koch”作为“姓”。
(注意,在“姓名”框中将自动显示全名。
)
4.
键入“Christine”作为“用户登录名”。
窗口应与图7相似。
图7.添加用户
5.
单击“下一步”。
6.
在“密码”和“确认密码”中,键入“pass#word1”,然后单击“下一步”继续。
注意:
默认情况下,WindowsServer2003要求所有新创建的用户使用复杂密码。
可通过组策略禁用密码复杂性要求。
7.
单击“完成”。
此时,ChristineKoch作为用户显示在右窗格的“R
8.
重复步骤2到7,为“Headquarters”OU添加附录A中列出的名称。
完成后,“Headquarters”OU屏幕应与图8相似。
图8.“Headquarters”OU中列出的用户
查看大图
9.
重复步骤1到8,在“Production”和“Marketing”OU中创建用户。
将用户添加到安全组中 将用户添加到安全组中
1.
在左窗格中,单击“Groups”。
2.
在右窗格中,双击“Management”组。
3.
单击“成员”选项卡,然后单击“添加”。
4.
单击“高级”,然后单击“立即查找”。
5.
按住“Ctrl”键并单击用户名,从下面部分中选择所有相应的用户。
在突出显示所有成员后,单击“确定”。
(附录A中列出了属于该安全组成员的用户。
)再次单击“确定”,