Active Directory(AD)域服務(wù)是Windows Server的核心功能之一,它為網(wǎng)絡(luò)中的用戶(hù)、計(jì)算機(jī)和其他資源提供集中式的管理和身份驗(yàn)證服務(wù)。搭建AD服務(wù)器是構(gòu)建企業(yè)IT基礎(chǔ)架構(gòu)的關(guān)鍵步驟。以下將以Windows Server 2016為例,圖文并茂地詳細(xì)闡述搭建AD域控制器的完整步驟。
一、搭建前準(zhǔn)備
1. 硬件與系統(tǒng)要求:確保服務(wù)器滿(mǎn)足Windows Server 2016的最低硬件要求(如1.4GHz 64位處理器、512MB內(nèi)存、32GB磁盤(pán)空間)。建議為生產(chǎn)環(huán)境配置更高的資源。
2. 網(wǎng)絡(luò)配置:為服務(wù)器設(shè)置一個(gè)靜態(tài)的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器地址。在初始安裝時(shí),可以暫時(shí)指向公共DNS(如8.8.8.8),但安裝AD后,域控制器自身的IP地址應(yīng)設(shè)為首選DNS服務(wù)器。
3. 系統(tǒng)安裝:完成Windows Server 2016操作系統(tǒng)的標(biāo)準(zhǔn)安裝,并設(shè)置好管理員(Administrator)密碼。安裝完成后,建議通過(guò)Windows Update更新系統(tǒng)至最新?tīng)顟B(tài)。
二、安裝Active Directory域服務(wù)角色
1. 登錄系統(tǒng)后,打開(kāi)服務(wù)器管理器。在儀表板界面,點(diǎn)擊“添加角色和功能”。
2. 在“開(kāi)始之前”頁(yè)面,直接點(diǎn)擊“下一步”。
3. 在“安裝類(lèi)型”頁(yè)面,選擇“基于角色或基于功能的安裝”,點(diǎn)擊“下一步”。
4. 在“服務(wù)器選擇”頁(yè)面,從服務(wù)器池中選擇當(dāng)前要安裝角色的服務(wù)器,點(diǎn)擊“下一步”。
5. 在“服務(wù)器角色”頁(yè)面,勾選“Active Directory域服務(wù)”。在彈出的對(duì)話(huà)框中,點(diǎn)擊“添加功能”,然后點(diǎn)擊“下一步”。
6. 在“功能”頁(yè)面,無(wú)需額外勾選,直接點(diǎn)擊“下一步”。
7. 在“AD DS”介紹頁(yè)面,閱讀信息后點(diǎn)擊“下一步”。
8. 在“確認(rèn)”頁(yè)面,確認(rèn)所選內(nèi)容,可以選擇“如果需要,自動(dòng)重新啟動(dòng)目標(biāo)服務(wù)器”復(fù)選框,然后點(diǎn)擊“安裝”。
9. 安裝過(guò)程開(kāi)始。安裝完成后,不要關(guān)閉窗口。注意提示信息,安裝角色后需要執(zhí)行額外的配置。點(diǎn)擊“將此服務(wù)器提升為域控制器”。
三、配置并提升為域控制器
1. 在“部署配置”頁(yè)面,由于是創(chuàng)建新林,選擇“添加新林”,并在“根域名”處輸入你的域名(例如:contoso.local)。點(diǎn)擊“下一步”。
- 在“域控制器選項(xiàng)”頁(yè)面:
- 設(shè)置林功能級(jí)別和域功能級(jí)別(建議選擇Windows Server 2016)。
- 為第一臺(tái)域控制器,必須勾選“域名系統(tǒng)(DNS)服務(wù)器”。
- 指定目錄服務(wù)還原模式(DSRM)密碼。
* 點(diǎn)擊“下一步”。
3. 在“DNS選項(xiàng)”頁(yè)面,可能會(huì)收到關(guān)于DNS委派的警告,因?yàn)槭切陆郑梢灾苯狱c(diǎn)擊“下一步”。
4. 在“其他選項(xiàng)”頁(yè)面,NetBIOS域名會(huì)自動(dòng)生成(通常為域名前綴,如CONTOSO),確認(rèn)無(wú)誤后點(diǎn)擊“下一步”。
5. 在“路徑”頁(yè)面,可以指定AD數(shù)據(jù)庫(kù)、日志文件和SYSVOL文件夾的存儲(chǔ)位置,通常保持默認(rèn)即可,點(diǎn)擊“下一步”。
6. 在“查看選項(xiàng)”頁(yè)面,檢查所有配置摘要。如果需要,可以點(diǎn)擊“查看腳本”生成PowerShell配置腳本。確認(rèn)無(wú)誤后,點(diǎn)擊“下一步”。
7. 在“先決條件檢查”頁(yè)面,系統(tǒng)會(huì)自動(dòng)檢查所有配置是否滿(mǎn)足條件。如果所有檢查通過(guò)(顯示為“警告”的項(xiàng)目通常可以忽略),點(diǎn)擊“安裝”。
- 服務(wù)器將開(kāi)始配置AD域服務(wù),此過(guò)程會(huì)自動(dòng)重啟服務(wù)器。請(qǐng)等待重啟完成。
四、安裝后驗(yàn)證
1. 服務(wù)器重啟后,使用域管理員賬戶(hù)(格式如:CONTOSO\Administrator)登錄。
2. 打開(kāi)服務(wù)器管理器,可以看到“AD DS”角色已安裝并顯示管理工具。
3. 點(diǎn)擊“開(kāi)始”菜單,找到“Windows管理工具”,其中應(yīng)包含“Active Directory 用戶(hù)和計(jì)算機(jī)”、“DNS”等管理控制臺(tái)。
4. 打開(kāi)“Active Directory 用戶(hù)和計(jì)算機(jī)”,展開(kāi)你的域名,可以查看默認(rèn)容器(如Computers, Users),這證明AD域服務(wù)已成功運(yùn)行。
五、后續(xù)配置(可選但重要)
1. 修改DNS設(shè)置:進(jìn)入網(wǎng)絡(luò)連接屬性,將服務(wù)器的首選DNS服務(wù)器地址改為127.0.0.1(指向自己),以確保域名的正確解析。
2. 創(chuàng)建組織單元(OU)與用戶(hù):根據(jù)公司架構(gòu),在“Active Directory 用戶(hù)和計(jì)算機(jī)”中創(chuàng)建OU(如“總部”、“銷(xiāo)售部”),并在相應(yīng)OU下創(chuàng)建用戶(hù)賬戶(hù)和計(jì)算機(jī)賬戶(hù),以實(shí)現(xiàn)更精細(xì)的管理。
3. 配置組策略(GPO):使用“組策略管理”控制臺(tái)創(chuàng)建和管理組策略對(duì)象,用于統(tǒng)一管理域內(nèi)計(jì)算機(jī)和用戶(hù)的軟件、安全、桌面環(huán)境等設(shè)置。
至此,一臺(tái)基于Windows Server 2016的AD域控制器已成功搭建完畢。這臺(tái)服務(wù)器現(xiàn)在可以作為網(wǎng)絡(luò)中的身份驗(yàn)證和資源管理的核心。在生產(chǎn)環(huán)境中,建議至少部署兩臺(tái)域控制器以實(shí)現(xiàn)冗余和高可用性。
