Windows Server 2008 R2之一活动目录服务部署

测试环境：

服务器：计算机名Win2008R2CNDC,已安装Windows Server 2008 R2。IPV4:192.168.1.13,255.255.255.0,网关地址192.168.1.1

管理员：Bill.XU

实验要求：安装第一个企业根据域控制器域名为Hbycrsj.com。

部署过程：

以下操作都是以管理员Bill.XU登录完成

方法一：手动部署

1、使用事件查看器(EventVWR.MSC），查看日志情况。并要所查看情况，进行系统诊断，确保安装前系统的状态正常

2、打开网络连接，设置网卡的IP4地址为一静态地址，同时将DNS服务器地址设置为127.0.0.1

3、运行DCPROMO,出现设置向导。设置过程如下图

检测系统是否安装AD域服务二进制文件，如果没有，系统会自动安装(也可以在运行命令之前，通过服务器管理器，添加活动目录域服务角色来安装）

出现活动目录域服务安装向导，选择高级模式（如果不选择此项，安装过程中将无法对有些设置进行更改，如域Netbios名的更改等）

由于这是森林中的第一台服务器，所以选择在新林中新建域。

功能级别，所提供的功能不同。如要使用R2新增的活动目录回收站功能，必须将功能级别提升到2008 R2功能级别。要使用棵粒化密码策略，须将功能级别提升到2008。R2新增了一种功能级别即2008 R2级别。注意功能级别的操作是单向，即当提升到一个高功能级别后，它不能再降为低功能级别。除非得新安装AD域服务

具体见：

Appendix of Functional Level Features

此实验中，DC也是一台DNS服务器，所以要勾选DNS服务器。同时，这是森林中的第一台DC，所以全局编录（GC），只读域控制器（RODC）不可操作。森林中必须至少有一台GC，同时要安装RODC，域中必须首先有一台可写的DC。

指定活动目录数据库的存放位置。在一个大型的网络中，为了提高活动活动工作效率，可以将数据在放在其它的磁盘控制器或RAID上。同时，随着活动目录数据增大，可以以后通过操作移动活动目录的位置。当然活动目录数据还有其它操作（如压缩）。我将在以后的实验中进行操作。

目录服务还原模式（DSRM）密码，必须符合密码复杂性。默认情况下，密码复杂性是指长度至少为7个字符，密码必须含有数字，符号，大小字这三项中的两项。同时，密码存放历史不能在24个之内。

可能启动系统时，按F8，选择进入DSRM，进行活动目录的相关操作，如还原对象等。

导出设置，将设置导出一个文本文件。我们可以利用这个文件进行活动目录的无人职守安装

以下无人职守文件的内容。具体参数含义见

无人参与安装参数附录

; DCPROMO unattend file (automatically generated by dcpromo)
; Usage:
; dcpromo.exe /unattend:C:UsersAdministratorDesktopShareUNATTEND.TXT
;
[DCInstall]
; New forest promotion
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=HBYCRSJ.COM
ForestLevel=2
DomainNetbiosName=HBYCRSJ
DomainLevel=2
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
DatabasePath="C:WindowsNTDS"
LogPath="C:WindowsNTDS"
SYSVOLPath="C:WindowsSYSVOL"
; Set SafeModeAdminPassword to the correct value prior to using the unattend file
SafeModeAdminPassword=
; Run-time flags (optional)
; RebootOnCompletion=Yes

4、重新启动计算机。将网卡地址的DNS服务器地址设置为它自身的IP地址。即192.168.1.13

5、验证DC是否安装成功

打开DNS管理器（DNSmgmt.msc），在服务器节点可以看到

打开管理工具，可以看到新增了如下有关活动目录的管理工具

使用事件查看器，查看安装情况。

方法二：通过命令行进部署
通过dcpromo命令的命令参数进行安装

dcpromo /unattend /InstallDns:yes /dnsOnNetwork:yes /replicaOrNewDomain:domain /newDomain:forest /newDomainDnsName:hbycrsj.com /DomainNetbiosName:hbycrsj /databasePath:"c:Windowsntds" /logPath:"c:Windowsntdslogs" /sysvolpath:"c:Windowssysvol" /safeModeAdminPassword:a1a2a3B1! /forestLevel:2 /domainLevel:2 /rebootOnCompletion:yes

命令行参数包括:

/unattend[:filename]
用于指定无人参与操作模式或提供无人参与安装脚本文件。

/adv
启用高级用户选项。

/uninstallBinaries
用于卸载 Active Directory 域服务二进制文件。

/?[:{Promotion | CreateDcAccount | UseExistingAccount | Demotion}]
/?:Promotion、/?:CreateDCAccount、/?:UseExistingAccount 和 /?:Demotion
将显示适用于指定任务的无人参与参数。
/CreateDCAccount 和 /UseExistingAccount:Attach 互斥。

/CreateDCAccount
创建 RODC 帐户。

/UseExistingAccount:Attach
将服务器与 RODC 帐户连接。

/forceRemoval
强制卸载此域控制器上的 Active Directory 域服务。不会在目录中
删除用于域控制器的帐户，但自此域控制器上次使用伙伴复制后发生
的更改将丢失。

/?
显示此帮助。

无人参与参数还可以在命令行上进行指定。例如:

dcpromo.exe /ReplicaOrNewDomain:Replica

方法三：通过无人应答文件行进部署

产生如上面所述的无人应答文件，输入如下命令进行安装

dcpromo.exe /unattend:UNATTEND.TXT

方法四：通过媒体进行安装

可以使用 Ntdsutil.exe 为在域中创建的其他域控制器创建安装介质。通过从介质安装，可以最大程度地减少网络上目录数据的复制。这样可有得于在远程站点中更高效地安装其他域控制器。

这个方法我将在以后进行介绍。