1、Windows server 2008域環境搭建第一章虛擬場景2.第1 頁，共 36 頁第# 頁，共 36 頁1、公司簡介22、公司現有IT狀況2第二章實驗設計2.第# 頁，共 36 頁第# 頁，共 36 頁1、 域規劃22、 計算機規劃3第三章具體實施3.第# 頁，共 36 頁第# 頁，共 36 頁1、建立根域31.1準備31.2安裝42、建立子域123、額外域控制器建立 174、站點的建立與連接 244.1創建站點244.2 定義站點子網 254.3定位服務器264.4配置站點連接器275角色遷移28第四章實驗中的問題32第一章虛擬場景1、公司簡介某公司通過合理的運營和管理，發展迅速，員工

2、人數已有 200人左右，現在該公司總部設在長 春，兩個子公司分部在大連和沈陽，為了滿足公司未來的發展和企業運營的需求，公司決定重新部署 企業網絡。公司決定部署一個由 200臺計算機組成的局域網。用于完成企業數據通信和資源共享。公司內部有：人力資源部、行政部、財務部、工程部、銷售部、總經理辦公室2、公司現有IT狀況公司已有一個局域網，運行200臺計算機，服務器操作系統是 windows server 2008 ，客戶機 的操作系統是windows xp，工作在工作組模式下，員工一人一機辦公。公司從 ISP申請2M專線用 于與各個子公司相連，實現各公司間資源交換與共享。由于計算機比較多，管理上缺乏

3、層次，公司希 望能夠利用windows域環境管理所有網絡資源，提高辦公效率，加強內部網絡安全，規范計算機使 用。第二章實驗設計1、域規劃一改以往的工作組模式，組建域，使管理更方便，工作的環境更安全，用戶可以在任意一臺域內 的計算機登錄，共享網絡資源。在總公司長春建立根域 內部子網/24大連分部建立子域 內部子網/24沈陽分部建立子域 內部子網/24cc-usa2MDChlbwinOl1I*:192.14SI4.1W2域;h：n my.c(nVJP;10.10.10,0/24、導如gz DQ：憑翊 /IP：l92.IMrBDJW“

4、用皺；tb.inyxom* 丸曲;192.16 斤血(V242、計算機規劃DC情況如下表：地區DC計算機名IP子網掩碼DNS長Mywi ngc11春Mywi nsu161大Hanwin 01連Hanwin 0161沈Tbw in 01731陽Shi

5、wi n02151第三章具體實施1、建立根域1.1準備對于安裝 WINDOWS 2008 SERVER的服務器，對硬件有如下要求:處理器最低 1.0GHz x86 或 1.4GHz x64推存2.0GHz或更咼；安騰版則需要Itanium 2內存最低512MB,推薦2GB或更多內存最大支持32位標準版4GB、企業版和數據中心版 64GB64位標準版32GB，其他版本2TB硬盤最少10GB，推薦40GB或更多內存大于16GB的系統需要更多空間用于頁面、休眠和轉存儲文件備注光驅要求DVD-ROM ;顯示器要求至少 SVGA 8

6、00 X 600分辨率，或更咼；在安裝根域服務器前，首先要確定你的計算機IP地址（IPV4 ）為靜態，DNS指向本機的IP地址（DNS安裝會在下面操作中說明）IPV6 禁用1.2安裝在安裝windows 2008 之后（安裝過程不詳細介紹），選擇“開始”“管理工具” 一“服務 器管理器”選項，然后選擇添加角色E行狀況，以斥添加或刪除角色和功能。Ld角色摘要幫助垂添加甬色匕刪除笛倒在服務器角色中選擇AD域服務（DNS不可與AD 一起勾選）第5 頁，共 36 頁然后單擊下一步，進入一個對 AD的簡介界面,單擊下一步進入安裝界面確認安裝選擇第6 頁，共 36 頁第# 頁，共 36 頁刑白之前脈骨器角

7、邑Act.1 V4 Blit-ftctory !或月繪務遴度若姜安裝OSS角色腮勞或功龍，済單擊“安裝*2棗信凰卿息顯示如下安藝芫成注，可龍需要重新康臓服希階4 Active Directoryi雷莓撻蟲屋旨便用Active Directory裝問導即訕“詢假脈另-器全打EF、俁存咸誦討由+曲件笈送F信兒V上一老）|下一爭：| 安裝| 取消_|點擊安裝。裝完成后會出現如下界面提示用戶進行AD域服務安裝向導的進行，點擊該連接進入域服務安裝向導單擊“下一步”會彈出微軟的一個提示信息,Active Birectory城匿努安裝向導提詐系統荼育性Windows Server 2008中改逬的安全設畫影

8、響舊版Windows與Windows NT 4.0兼容的加 $ 11匕設畫陸止MicrosoftWiikdows Server 2008I非Microsoft SMB “客戶端姬IVindotts Server 200S 域控制器為 翹算法秤的.Windows 和life4GM妣具 書山工 的加卅移 7 改務or 畧箭Ct bKFZe 止孑也r 受和lDiE套It的SS3 戶 客JB-有關此設雪的更多信息，請參閱知識庫文章94254(http: /go. micrflsoft ccm/flink/?LirJcId= 104751) 上一步|遲三步口| 取消 |這里，我們選“下一步”進行下一步的

9、安裝第9 頁，共 36 頁第# 頁，共 36 頁第# 頁，共 36 頁在這里我們選擇“在新林中新建域”來創建第一臺域控制器，然后進行“下一步在這里輸入根域的域名“ ”然后下一步些時系統會自動生成一個 NetBIOS名，單擊“下一步”第11 頁，共 36 頁選擇“ wi ndows server 2008” 進行下一步安裝第12 頁，共 36 頁在彈出的窗口中，系統會自動把DNS勾選，因為是域中的第一臺域控制器，所以默認為全局錄服務器。單擊Ql Active Directory KI展奔安裝向導何 法或構確行SDfarLr 鷲域以 5迅 E m 宇n帝 nxi C 冃聘fr齊威ffi的 錢果Is

10、加ar)第13 頁，共 36 頁第# 頁，共 36 頁這里我們選擇“是”進行下一步安裝q! Active Directory域般務安裝向導數振庫、曰志文件和STSVOL的位羞指定將包含Active Directory域控制器敎拆庫、曰志文件和SYSVDL的為荻僖更好的性能和可飯復性，請將數據庫和日志文件存儲在不同的卷上。數據庫文件夾0)：Window5VNTDS戶志文件文件夾【)_： |C?WindowsNTDS STSTOL文件夾G): fc:Wiiido*ESYSVDL有關袖苦 Actw已IlzuImy t並服話交件的詳細信息上一步CB) |下一步00 ” 取消選擇數據庫文件存放的位置，單

11、擊“下一步”第# 頁，共 36 頁這里要求軟入還原模式密碼，與 2003不同，在2003中此步驟可跳過，不輸入任務密碼，但是 在2008中這樣是不可以的。這時系統會生成一個配置信息，我們可以選擇導出，以用于在CORE模式的2008中部署DC單機下一步，進行安裝，安裝完成后，會提示計算機進行重新啟動。Directory域朋務安裝向尋趙籍鍛踹軟域服卻此過程可能需要幾分鐘到幾小孫等待E肥安裝完成第15 頁，共 36 頁第# 頁，共 36 頁元嘉后垂新啟動注）2、建立子域關于子域，這里我們用TB.MY.COM子域的建立為例進行說明建立子域的過程中需要通過 DNS服務器找到目標域，所以第一步先把DNS設

12、置改成域內DNS 的IP地址第# 頁，共 36 頁第# 頁，共 36 頁接下來在命令行下輸入DCPROMO.EXE，進入下圖所示向導:第16 頁，共 36 頁按下一步后如下圖所示，選擇現有林內添加域:輸入父域的域名和有加入該域權限的登錄憑據:第17 頁，共 36 頁第18 頁，共 36 頁輸入父域完整域名和子域 DNS目錄名稱:Q|1 JLctive Dirlectoury HE腥勢專裝向異命名新域潮覽迅)|旦定撼名M0H),戒單擊“瀏覽”選中它乜然后鎮入新子挾的|my. con制如:corp. contcsQ. cqid子域的單標簽UKS皂稱程）：Pi巫例二 h idqnart sri新子域

13、Bj瑪朋： | Lb. my. com例如：heidq-u.arteirz. corp, coxitos. com上一步2|下一審)| 取消 1選擇所要加入的站點:|cp Active Directory請迭擇一個站點為新城控新囂迭握一忖占點。r使用與此計算機的if地址対應的站點取消 |選擇其他DC選項:站點：確定數據庫、日志文件和 SYSVOL的位置:設置還原 ADMINISTRATOR 密碼:第21 頁，共 36 頁確認DC信息:3、額外域控制器建立在提升為額外域控的時候，先要把計算機加入到域中，以加入 為例。加入到域后,添加域服務，并運行域服務安裝向導。這個向導并不陌生，當我們新建域是選

14、擇的是“在新林中新建域”，這次要做的是在第23 頁，共 36 頁中填加個額外域控制器，所以選擇的是“向現有林中添加域控制器”，然后點擊“下一步”把域名 輸入，點擊“設置”輸入有僅限加入 的用戶名和密碼，點擊“下第25 頁，共 36 頁在“為該額外域控制器選擇域”中選擇“ ”，點擊“下一步”為新域控制器選擇一個站點第26 頁，共 36 頁關于其他域控制器選項，我只安裝了“ DNS服務器”，把“全局編錄”去掉，點擊“下一步”Active Direct ory域朋秀安妾向導爵密楓窯飜黒磁牆覲：輙葩中和-棉有是否將奴麼威上的委派更暫対包含診厠mis朋霽器?愕是，自動嘗試在此安裝過程中更新賂姿派(V)可

15、能舎提示您提浜其他憑拯更新LH5委派。廠否，不更新IMS委瀝A育黃呃五的詳細信息上一步|下一步廁” 酬 |選擇是否更新DNS委派，選擇“是，自動嘗試在此安裝過程中更新 DNS服務器”，點擊“下一點擊后，要求輸入DNS區域服務器的管理憑據，輸入正確后點擊“確定”，然后“下一步” 第20 頁，共 36 頁2dS I 霍。 哭耶制 1 1A 為EWT 導胡 -_個數 座1 可旻I 的且 用開 使,選擇“通過網絡從現有域控制器復制數據”點擊“下一步”qT Active Directory 域JK務安裝向導兼域腔制潯為安裝伙伴選擇源域控制器：a讓向導選擇一個合適的域控制器I)r使用此持定的域控制器on：

16、域控制器名稱站點名稱.：tbwixiDl tb. my. comxunsu_gc有關迭崔安裝合隹進住的詳細信息| 取消 I在選擇源域控制器時，選擇“讓向導選擇一個合適的域控制器”，這個源控制器的作用就是新建立的域控制器從源域控制器復制某些數據，并且將某些數據寫入源控制器。源控制器也就是他的復制第29 頁，共 36 頁伙伴。點擊“下一步”這里選擇的是數據庫、日志文件和 SYSVOL的存儲位置，選擇完成后點擊“下一步”輸入目錄服務還原模式的admi ni strator密碼，點擊“下一步”第31 頁，共 36 頁這里顯示的是整個安裝過程的摘要信息，點擊“下一步”等待安裝，安裝完成后重新啟動計算機第

17、32 頁，共 36 頁4、站點的建立與連接4.1創建站點在開始中依次選擇“管理工具” 一“AD站點和服務”在“site ”處右鍵,選擇新建站點SffActir* Directory 祐點和滕務名祁I類壘I撤L冒MIMS Eite.一站點設置一S+rv*ri朋労逐容器文件 操作 査看 幫助用時Active Directory站i!點和服務 日 _ SitesSubnaEl _3 InterSite TranspartEMYWIHGC MYWIWHM02 MTWIMSU SKCWIBCe TBWIHO1I+I+I田(+ 田TP在彈出的窗口中輸入站點名，選擇默認連接然后確定朗醺 Active Dir

18、ectory日；_ Sites新建對象-站點SubnattH _ _ Inter-Site TransporIFE 黒 xu-日Z3(1田S+1田SMTPSU-gC創崖于xbgdLover. c orri/ C onf i gw at i on/S i t m eHWINDI MYWIBGC MYWIHHM02 MYWIHSU SHIWIItt? TBWIH01名稱(fc):|dc-dlDBTAULTIPSITEUHKIF豔馨龜幹年匚無對象。站斂劇象可以在站點/詁點創建后會彈出如下窗口Ilc 11 ve Direc lory 域BE務1,福、站點DC-DL己創建。若要完成EC-DL的a：U確保

19、DC-DL使用相應的站點甜接已錐搖到苴仙站點。為DC-DL將子網添加到子網容器亠IS EC-DL中安裝一個或參個域控制予，或將瑚有DC移入此晉羽卷會窗DieuWF站乏和服奔之前，您不會再第34 頁，共 36 頁第# 頁，共 36 頁各個站點可用同上的方法進行建立4.2定義站點子網在“ AD站點和服務”的窗口中右鍵 Sub nets文件夾，選擇“新建子網”會出現如下窗口第# 頁，共 36 頁第# 頁，共 36 頁在前綴中輸入站點的子網，然后在下面的“為此前綴選擇站點對像”中選擇站點，然后確定第# 頁，共 36 頁4.3定位服務器DC的在默認的情況下，所有的DC都加入到默認站點中，在這里我們要根據

20、實際的物理分布對 IP地址來把它們加入不同的站點。首先選擇你要移動的DC。右鍵“移動”會出現如下窗口選擇你要把DC移動到哪個站點，然后確定，即可實現。結果如下圖胃旳Active Directory站點和服労 E 一.Subnetst e TranspurtsCC-SY ServersIE4BC-DLsIBSHIWTMJ2ServersHAWIEOlHAWTKKA1TO2曰E9eKu- sir- gc a Servers+MYWIHGCMYWIBSU第35 頁，共 36 頁4.4配置站點連接器右鍵“ IP”選擇新建連接麗Active Directory站點和服務 曰 _ Sites|Subnet

21、sS _ _ Inter_Si te TransportsSCD彈出如下窗口，在左側窗口中選擇兩個站點，進行連接建立這后，可以右鍵該連接，設置復制頻率和開銷值第36 頁，共 36 頁5角色遷移在Active Directory 環境中，如果具備操作主機角色的域控制器出現故障，在域控制器可用的 情況下，可以使用轉移角色的方式完成操作主機角色的轉移，在域控制器不可用的情況下，可以使 用占用角色的方式完成操作主機角色的轉移。也可以通過計劃的角色遷移進行負載均衡下面我們在根域把額外DC提升為主DC首先我們在MYWINSU計算機上點擊“開始”“運行”，然后輸入CMD，在提示符下輸入: netdom qu

22、ery fsmo，通過該命令查看現在 FSMO五個角色的分布情況現在要把這個五個角色轉移到 mywinsu上，使mywinsu成為這五個角色的owner。現在登陸mywinGC （主域控制器），進入命令提示符窗口，在命令提示符下輸入： ntdsutil回 車，再輸入:roles 回車，再輸入 connections 回車，再輸入 connect to server（備注：這里的dc-1是指服務器名稱），提示綁定成功后，輸入q退出，如圖：輸入？回車可看到以下信息: 如圖：Tran sfer domai n naming master回車Tran sfer in frastructure mast

23、er回車Tran sfer PDCTransfer RID masterTran sfer schema master回車回車回車以上的命令在輸入完成一條后都會有提示是否傳送角色到新的服務器，選擇YES,完成以后，檢查一下是否全部轉移到mywinsu上了，開始 運行輸入netdom query fsmo,如圖:全部轉移成功.現在五個角色的owner都是mywinsu 了.角色轉移成功以后，還要把GC也轉移過去，打開活動目錄站點和服務，展開 site-DC-CCservers,你會看到兩臺域控制器都在下面。展開 mywi nsu，右擊【NTDS Sett in gs】 點【屬性】，勾上全局編錄前

24、面的勾，點確定，如圖：現在已經可以把原來的主域控制器（mywingc ）刪除掉了，在 mywingc）現在的輔助域控制器 上運行dcpromo按照提示一步一步的刪除它，然后將它退出域。就完成了整個升級過程。這里還有 一點要注要的：升級完以后，你現在的主域控制器的IP地址是新的，而不是原來的那個IP地址了,第40 頁，共 36 頁而下面所有的客戶端的DNS都是指向原來的主域控制器的，這樣就會出現很多問題，所以我最簡單 的方法就是把mywinsu （現在的主域控制器）的IP改為mywingc （原來的主域控制器）的IP就好 了。4第四章實驗中的問題檢蠻煉的謹些厘）：瞥踐呀辦器優走為卻子城中的圭一撫址論加牲創舊*m NetBIOSKMT12J違新t或是淡riy con的子呦t軸