部署域控制器

Windows Server 2019操作系統安裝完成後，需要完成如下幾個任務。

1. 重命名計算機

2. 更改網絡參數

3. 關閉防火牆

4. 開啓遠程桌面

5. 安裝AD DS域服務。安裝過程分爲兩個階段：安裝角色和提升域服務。

1、重命名計算機

以管理員身份登錄服務器，打開服務器管理器，選擇本地服務器，點擊計算機名，打開系統屬性頁面，在系統屬性頁面，點擊更改即可。

根據之前規劃名稱，修改即可。

修改之後重啓以應用變更。

2、更改網絡參數

參照規劃，配置如下

3、關閉防火牆

4、開啓遠程桌面

5、部署域控制器

打開服務器管理器儀表盤，點擊添加角色和功能

打開添加角色和功能嚮導，在開始之前頁面，直接下一步

在安裝類型頁面，選擇基於角色或基於功能的安裝

在服務器選擇頁面，選擇服務器MCDC01

在服務器角色頁面選擇Active Directory域服務，並添加相應的功能

在功能頁面，選擇默認下一步

在AD DS頁面，有相應的描述，默認下一步

在確認頁面，點擊安裝

完成安裝

在此單擊“將此服務器提升爲域控制器”，啓動“Active Directory域服務配置嚮導，打開”部署配置“對話框。安裝嚮導提供三種Active Directory安裝模式

• 將控制器添加到現有域。完成的功能：部署多臺域控制器。

• 將新域添加到現有林。完成的功能：在現有林中添加新域，創建另一顆全新的域樹。

• 添加新林。完成的功能：創建新林、新域。

在本次測試中，我們選擇部署一個新林，在“選擇部署操作”選項中選擇“添加新林”選項，根域名設置爲MC.com

選擇新林和根域的功能級別，並制定域控制器功能，鍵入目錄服務器還原模式密碼

在DNS選項頁面，選擇默認下一步

在其他選項頁面，選擇設置NetBIOS域名並點擊下一步

配置AD DS數據庫、日誌文件和SYSVOL位置

在查看選項頁面，點擊默認

在先決條件檢查頁面，保持默認並點擊安裝。

等待安裝

完成安裝後，服務器將自動重啓。

驗證域控制器是否安裝成功;當部署完域控制器之後，在開始菜單下的windows管理工具會添加Active Directory管理中心、Active Directory用戶和計算機、Active Directory域和信任關係、Active Directory站點和服務、ADSI編輯器、DNS。

驗證AD DS域服務；AD DS域服務部署完成後，默認部署以下2個和AD DS有關的服務

• Active Directory Domain Service（NTDS）服務

• Active Directory Web Services（ADWS）服務

兩個服務都是默認開機自啓動的。

相關屬性如下

驗證“默認容器”

域控制器部署完成後，安裝成功的域控制器將創建部分默認容器，通過點擊查看---高級選項，具體展示如下

驗證Domain Controllers

默認域控制器管理單元爲“Domain Controllers”,其中包含第一個域控制器（DC），還是新域控制器（額外控制器、只讀控制器）的默認容器。其中域控制器安裝完畢後將自動歸併到該組織中。

驗證“Default-first-Site-Name”

在將服務器提升爲域控制器的過程中，安裝嚮導自動確定該域控制器屬於哪個站點的成員。如果新建域控制器是新林中的第一個域控制器，將創建名稱爲“Default-First-Site-Name”的默認站點，域控制器爲域中第一個成員。打開“Active Directory站點和服務”控制檯，選擇“Site”---“Default-First-Site-Name”---“server”選項，顯示域控制器已加入到默認的站點中。

驗證“Active Directory”數據庫和“日誌文件”

在將服務器提升爲域控制器的過程中，在“路徑”對話框中設置Active Directory數據庫和日誌文件的存儲位置，默認位於“”%Systemroot%\NTDS文件夾中，其中：

• Active Directory數據庫“Ntds.dit”，存儲域控制器中所有活動目錄對象。拓展名“dit”,全稱爲“Directory Information Tree”，中文直譯爲“目錄信息樹”。

• 事件日誌文件“edb.log”;該文件保存Active Directory操作信息，默認事務日誌名爲“edb.log",每個事務日誌文件大小爲10MB,當edb.log寫滿時，其被重命名爲edbxxxx.log,重新建立一個新日誌文件，同時舊日誌文件自動被刪除。其中xxxx是文件編號，從0001開始逐漸遞增；Active Directory將事務日誌寫入到內存的同時，將事務日誌寫入到日誌文件edb.log中，如果系統不正常關機會導致內存尚未寫入Active Directory數據庫的數據丟失。當開機後系統檢查點文件edb.chk,從而得知從事務日誌文件edb.log內的那個數據開始，利用事務日誌文件edb.log內的日誌記錄，將關機前尚未寫入Active Directory數據庫的日誌績效寫入到Active Directory數據庫。

• 檢查點文件“edb.chk”,跟蹤尚未寫入活動目錄數據文件的日誌。記錄Active Directory數據庫文件和內存中Active Directory數據之間的差異，一般此文件用於Active Directory的初始化和還原操作。

• 暫存日誌文件爲“edbtmp.log”，該日誌是當前日誌文件（edb.log）填滿時的暫時日誌

• 保留日誌文件“Edbres0001.jrs”和“edbres0002.jrs”。這兩個文件是日誌保留文件，僅當含有日誌文件的磁盤空間不足時使用。如果當前日誌文件填滿且處於磁盤剩餘空間不足而導致服務器不能創建新的日誌文件，服務器就將當前內存中的活動目錄處理日誌寫入兩個保留日誌文件中，然後關閉活動目錄。每一個日誌文件大小也是10MB。

• 臨時文件“Temp.edb”。該文件在數據庫維護時使用，在存儲維護過程中處理的數據。

在資源管理器，導航到c:\Windows\NTDS\查看如下：

驗證計算機角色，命令行執行net accounts,驗證如下：

驗證系統共享卷“SYSVOL”和“NetLogon”服務

域服務安裝完畢後，系統共享卷默認位於“%Systemroot%\SYSVOL文件夾中。文件目錄結構如下

驗證共享卷，在命令行執行net share,共享卷已經創建成功。如下：

驗證目錄服務器，在命令行運行dcdiag，命令結果如下：

驗證“SRV記錄”以管理員身份登錄DNS控制檯，在_msdcs.mc.com/dc/_sites/Default-first-Site-name/tcp將存在如下兩個SRV記錄

在_msdcs.mc.com/dc/tcp也將存在如下記錄

查看域控制器的FQDN，在DNS控制檯選擇_msdcs.mc.com選項，右側列表中顯示域控制器的別名記錄，如下

測試域控制器FQDN名稱連通性，執行ping 查看是否正常

驗證FSMO操作主機角色，在命令行窗口，鍵入如下netdom query fsmo命令查詢是否成功創建五種操作主機角色

命令執行後，顯示五種操作主機角色所在的域控制器。至此，完成域控制器的完整操作。更多內容敬請期待。